Leaflet
16-46
思科 ASA 系列命令参考,A 至 H 命令
第 16 章 file-bookmarks 至 functions 命令
fragment
fragment
要提供数据包分段的额外管理并改进与 NFS 之间的兼容性,请在全局配置模式下使用 fragment
命令。要恢复默认值,请使用此命令的 no 形式。
fragment reassembly {full | virtual}
{size | chain | timeout limit} [interface]
no fragment reassembly {full | virtual}
{size | chain | timeout limit} [interface]
语法说明
默认值 默认值如下:
• chain 是 24 个数据包。
• interface 是所有接口。
• size 是 200。
• timeout 为 5 秒。
• 虚拟重组被启用。
命令模式 下表展示可输入此命令的模式:
命令历史
chain limit
指定一个完整 IP 数据包的最大分段数量。
interface
(可选)指定 ASA 接口。如果未指定接口,则此命令应用于所有接口。
reassembly full |
virtual
指定通过 ASA 来路由的 IP 分段的完全或虚拟重组。在 ASA 终止的 IP
分段始终会完全重组。
size limit
设置可在 IP 重组数据库中等待重组的分段的最大数量。
注 在整个队列大小达到 2/3 满之后,ASA 不接受不是现有交换矩阵
链的一部分的任何分段。队列的剩余 1/3 用于接受这样的分段:
其中的源 / 目标 IP 地址和 IP 标识号与已部分排队的不完整分段链
的分段相同。此限制是一种 DoS 保护机制,在有分段泛洪攻击
时,可帮助合法分段链进行重组。
timeout limit
指定等待整个分段数据包到达的最大秒数。在数据包的第一个分段到达
后计时器启动。如果在指定秒数后数据包的分段没有全部抵达,则已收
到的数据包的所有分段将被丢弃。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
此命令经过修改,现在您必须选择以下关键字之一:chain、size 或
timeout。若不输入这些关键字之一,您无法再输入 fragment 命令,而
在软件的先前版本中支持这样做。
8.0(4)
添加了 reassembly full | virtual 选项。