Leaflet
13-17
思科 ASA 系列命令参考,A 至 H 命令
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令
drop
drop
要丢弃所有与 match 命令或 class 命令匹配的数据包,请在匹配或类配置模式下使用 drop 命令。
要禁用此操作,请使用此命令的 no 形式。
drop [send-protocol-error] [log]
no drop [send-protocol-error] [log]
语法说明
默认值 没有默认行为或值。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 使用 模块化策略框架 时,通过在匹配或类配置模式下使用 drop 命令,丢弃与 match 命令或类映
射匹配的数据包。此丢弃操作在用于应用流量的检查策略映射(policy-map type inspect 命令)
中可用;但是,并非所有应用都允许此操作。
一个检查策略映射包含一个或多个 match 和 class 命令。检查策略映射可用的确切命令取决于应
用。输入 match 或 class 命令以识别应用流量(class 命令是指相应包括 match 命令的现有
class-map type inspect 命令)后,您可以输入 drop 命令以丢弃所有与 match 命令或 class 命令匹
配的数据包。
如果丢弃数据包,则检查策略映射中不会执行任何进一步的操作。例如,如果第一个操作是丢弃
数据包,则不会与任何进一步的 match 或
class 命令匹配。如果第一个操作是记录数据包,则会
发生进一步操作,例如丢弃该数据包。您可以为同一 match 或 class 命令同时配置 drop 和 log 操
作,这样在为给定匹配丢弃数据包前会记录该数据包。
在第 3/4 层策略映射中使用 inspect 命令启用应用检查(policy-map 命令)时,您可以启用包含此
操作的检查策略映射,例如,当 http_policy_map 是检查策略映射的名称时输入 inspect http
http_policy_map 命令。
log
日志匹配。系统日志消息数取决于应用。
send-protocol-error
发送协议错误消息。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
匹配和类配置
• 是 • 是 • 是 • 是
—
版本 修改
7.2(1)
引入了此命令。