Leaflet
5-52
思科 ASA 系列命令参考,A 至 H 命令
第 5 章 cache 至 clear compression 命令
class (policy-map)
b.
应用类型的命令
- 请参阅 CLI 配置指南了解每种应用类型可使用的命令。检查策略映射的
类配置模式支持的操作包括:
–
丢弃数据包
–
丢弃连接
–
重置连接
–
记录
–
对消息进行速率限制
–
屏蔽内容
c. parameters - 配置影响检查引擎的参数。CLI 进入参数配置模式。请参阅 CLI 配置指南了
解可用命令。
3. class-map - 标识要对其执行操作的流量。
4. policy-map - 标识与每个类映射关联的操作。
a. class - 标识要对其执行操作的第 3/4 层类映射。
b. inspect application inspect_policy_map - 启用应用检查,并调用检查策略映射以执行特殊
操作。
5. service-policy - 向接口分配策略映射或全局分配策略映射。
配置始终包括匹配所有流量的名为 class-default 的类映射。在每个第 3/4 层策略映射的末尾,配
置包括未定义任何操作的 class-default 类映射。当您想要匹配所有流量,但不想创建另一个类映
射时,可以使用此类映射。实际上,某些功能只能为 class-default 类映射配置,如 shape 命令。
包括 class-default 类映射在内,在一个策略映射中最多可以配置 63 个 class 和 match 命令。
示例 以下是包含 class 命令的连接策略的 policy-map 命令示例。它限制了允许到达 Web 服务器
10.1.1.1 的连接数:
ciscoasa(config)# access-list http-server permit tcp any host 10.1.1.1
ciscoasa(config)# class-map http-server
ciscoasa(config-cmap)# match access-list http-server
ciscoasa(config)# policy-map global-policy
ciscoasa(config-pmap)# description This policy map defines a policy concerning connection
to http server.
ciscoasa(config-pmap)# class http-server
ciscoasa(config-pmap-c)# set connection conn-max 256
以下示例展示了多匹配在策略映射中的工作原理:
ciscoasa(config)# class-map inspection_default
ciscoasa(config-cmap)# match default-inspection-traffic
ciscoasa(config)# class-map http_traffic
ciscoasa(config-cmap)# match port tcp eq 80
ciscoasa(config)# policy-map outside_policy
ciscoasa(config-pmap)# class inspection_default
ciscoasa(config-pmap-c)# inspect http http_map
ciscoasa(config-pmap-c)# inspect sip
ciscoasa(config-pmap)# class http_traffic
ciscoasa(config-pmap-c)# set connection timeout tcp 0:10:0