Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

기본 구성에서 global_policy 정책 맵은 모든 인터페이스에 전체적으로 할당됩니다. global_policy

를 편집하려면 정책 이름으로 global_policy를 입력합니다. 클래스 맵의 경우 이 절차에서 이미 만

든 클래스를 지정합니다.

클래스와 일치하는 패킷에서 TTL(time-to-live)을 줄입니다.

 

기존 서비스 정책(예: global_policy라는 기본 전역 정책)을 편집 중인 경우 이 단계를 건너뛸 수 있

습니다. 그렇지 않은 경우 하나 이상의 인터페이스에 대한 정책 맵을 활성화합니다.

policymap_name {global | interface interface_name}

예: 

ciscoasa(config)# service-policy global_policy global

키워드는 모든 인터페이스에 정책 맵을 적용하고, interface는 하나의 인터페이스에 정책

을 적용합니다. 전역 정책은 하나만 허용됩니다. 특정 인터페이스에 서비스 정책을 적용함으로써 

해당 인터페이스에서 전역 정책을 재지정할 수 있습니다. 각 인터페이스에 정책 맵을 하나만 적용

할 수 있습니다.

ASA

가 traceroute 출력에 나타나도록 ICMP의 연결할 수 없는 메시지에 대한 속도 제한을 늘립니

다.

 rate burst-size size 

예

ciscoasa(config)# icmp unreachable rate-limit 50 burst-size 1 

속도 제한의 범위는 1~100이며 기본값은 1입니다. Burst size는 의미가 없지만 범위는 1~10이어

야 합니다.

다음의 예는 모든 트래픽에 대한 TTL을 전역적으로 줄이고 ICMP 연결할 수 없는 제한을 50으로 

늘립니다.

ciscoasa(config)# class-map global-policy 

ciscoasa(config-cmap)# match any 

ciscoasa(config-cmap)# exit 

ciscoasa(config)# policy-map global_policy 

ciscoasa(config-pmap)# class global-policy 

ciscoasa(config-pmap-c)# set connection decrement-ttl 

ciscoasa(config-pmap-c)# exit 

ciscoasa(config)# icmp unreachable rate-limit 50 burst-size 6 

traceroute

를 사용하면 패킷이 대상으로 이동하는 경로를 확인하는 데 도움이 됩니다. traceroute

는 잘못된 포트의 대상으로 UDP 패킷을 전송하는 방식으로 작동합니다. 포트가 유효하지 않기 때

문에, 대상으로 가는 동안 라우터는 ICMP 시간 초과됨 메시지로 응답하고 ASA에 오류를 보고합

니다.
traceroute 

명령은 전송된 각 프로브의 결과를 보여 줍니다. 출력의 모든 줄은 증가하는 순으로 

TTL 

값에 해당합니다. 다음 표는 출력 기호에 대해 설명합니다.