Leaflet
16-47
思科 ASA 系列命令参考,A 至 H 命令
第 16 章 file-bookmarks 至 functions 命令
fragment
使用指南 默认情况下,ASA 接受最多 24 个分段,以重建完整 IP 数据包。根据您的网络安全策略,您应该
考虑配置 ASA 以防止分段数据包穿越 ASA,方法是在每个接口上输入 fragment chain 1 interface
命令。设置限值为 1 表示所有数据包必须是完整的,即未分段。
如果通过 ASA 的大部分网络流量是 NFS,则可能有必要进行其他调整以避免数据库溢出。
在 NFS 服务器与客户端之间的 MTU 大小很小的环境中,如 WA N 接口,chain 关键字可能需要额
外的调整。在这种情况下,我们建议使用 NFS over TCP 以提高效率。
将 size limit 设置为一个大值可能导致 ASA 更容易因分段泛洪而受到 DoS 攻击。请勿将 size limit
设置为等于或大于 1550 或 16384 池中的块总数。
默认值将限制分段泛洪导致的 DoS 攻击。
无论 reassembly 选项的设置如何,均会执行以下过程:
• 收集 IP 片段,直到片段集形成或超时间隔已到(请参阅 timeout 选项)。
• 如果分段集形成,则对片段集执行完整性检查。这些检查包括无重叠、无尾部溢出和无链溢
出(参阅 chain 选项)。
如果配置了 fragment reassembly virtual 命令,则片段集被转发到传输层,以供进一步处理。
如果配置了 fragment reassembly full 命令,则片段集会首先合并为单个 IP 数据包。然后,该单
个 IP 数据包被转发到传输层,以供进一步处理。
示例 以下示例展示如何阻止外部和内部接口上的分段数据包:
ciscoasa(config)# fragment chain 1 outside
ciscoasa(config)# fragment chain 1 inside
在您希望在其上防止分段数据包的每个额外接口上继续输入 fragment chain 1 interface 命令。
以下示例展示如何在外部接口上将分段数据库配置为最大大小 2000、最大链长 45 和等待时间
10 秒:
ciscoasa(config)# fragment size 2000 outside
ciscoasa(config)# fragment chain 45 outside
ciscoasa(config)# fragment timeout 10 outside
以下示例展示带有 reassembly virtual 选项的 show fragment 命令的输出:
ciscoasa(config)# show fragment
Interface: outside
Size: 200, Chain: 24, Timeout: 5, Reassembly: virtual
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
Interface: inside
Size: 200, Chain: 24, Timeout: 5, Reassembly: virtual
Queue: 0, Assembled: 0, Fail: 0, Overflow: 0
相关命令
命令 说明
clear configure
fragment
将所有 IP 分段重组配置重置为默认值。
clear fragment
清除 IP 分段重组模块的运行数据。
show fragment
显示 IP 分段重组模块的运行数据。
show running-config
fragment
显示 IP 分段重组配置。