命令无法删除访问被拒绝

思科系统公司www.
cisco.
com思科在全球设有200多个办事处.
有关地址、电话号码和传真号码信息,可查阅思科网站:www.
cisco.
com/go/offices.
思科ASA系列命令参考、ASASM的T至Z命令和IOS命令文本部件号:不适用,仅在线提供本手册中有关产品的规格和信息如有更改,恕不另行通知.
本手册中的所有声明、信息和建议均准确可靠,但我们不为其提供任何明示或暗示的担保.
用户必须承担使用产品的全部责任.
随附产品的软件许可和有限担保在随产品一起提供的信息包中提供,且构成本文的一部分.
如果您无法找到软件许可或有限担保,请与思科代表联系以获取副本.
思科所采用的TCP报头压缩是加州大学伯克莱分校(UCB)开发的一个程序的改版,是UCB的UNIX操作系统公共域版本的一部分.
保留所有权利.
版权所有1981,加州大学董事会.
无论在该手册中是否作出了其他担保,来自这些供应商的所有文档文件和软件都按"原样"提供且仍有可能存在缺陷.
思科和上述供应商不承诺所有明示或暗示的担保,包括(但不限于)对特定用途的适销性、适用性、非侵权性以及因交易、使用或商业惯例所衍生的担保.
在任何情况下,对于任何间接、特殊、连带发生或偶发的损坏,包括(但不限于)因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏,思科及其供应商概不负责,即使思科及其供应商已获知此类损坏的可能性也不例外.
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标.
要查看思科商标列表,请转至此URL:www.
cisco.
com/go/trademarks.
文中提及的第三方商标为其相应所有者的财产.
"合作伙伴"一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系.
(1110R)本文档中使用的任何互联网协议(IP)地址和电话号码并非实际地址和电话号码.
本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用.
说明性内容中用到的任何真实IP地址或电话号码纯属巧合,并非有意使用.
思科ASA系列命令参考、ASASM的T至Z命令和IOS命令2016思科系统公司.
版权所有.
第1部分T至Z命令章第1-1思科ASA系列命令参考、ASASM的T至Z命令和IOS命令1Table-map至titletable-map要在IP路由表通过BGP获知路由进行更新时修改度量和标记值,请在地址系列配置模式下使用table-map命令.
要禁用此功能,请使用该命令的no形式.
table-mapmap_namenotable-mapmap_name语法说明默认值此命令默认禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令将route-map命令定义的路由映射名称添加到IP路由表.
此命令用于设置标记名称和路由度量以实施重分布.
您可在table-map命令中使用路由映射的match子句.
支持IP访问列表、自治系统路径和下一跃点match子句.
map_name来自route-map命令的路由映射名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统地址系列配置是-是是-版本修改9.
2(1)添加了此命令.
1-2思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章示例在以下地址系列配置模式示例中,ASA软件配置为自动计算BGP获知路由的标记值并更新IP路由表:ciscoasa(config)#route-maptagciscoasa(config-route-map)#matchaspath10ciscoasa(config-route-map)#setautomatic-tagciscoasa(config)#routerbgp100ciscoasa(config-router)#address-familyipv4unicastciscoasa(config-router-af)#table-maptag相关命令命令描述address-family进入address-family配置模式.
route-map定义将路由从一个路由协议重新分发到另一个路由协议的条件.
1-3思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章tcp-inspection要启用通过TCP的DNS检测,请在参数配置模式下使用tcp-inspection命令.
要禁用协议实施,请使用此命令的no形式.
tcp-inspectionnotcp-inspection语法说明此命令没有任何参数或关键字.
默认值禁用通过TCP的DNS检测.
命令模式下表展示可输入命令的模式:命令历史记录使用指南将此命令添加到DNS检测策略映射,以便在检测中包括DNS/TCP端口53流量.
如果不使用此命令,则仅会检测UDP/53DNS流量.
确保DNS/TCP端口53流量是要应用DNS检测的类的一部分.
该检测的默认类包括TCP/53.
示例以下示例展示如何在DNS检测策略映射中启用通过TCP进行的DNS检测:ciscoasa(config)#policy-maptypeinspectdnspreset_dns_mapciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#tcp-inspection相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改9.
6(2)添加了此命令.
命令描述inspectdns启用DNS检测.
policy-maptypeinspectdns创建DNS检测策略映射.
showrunning-configpolicy-map显示所有当前的策略映射配置.
1-4思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章tcp-map要定义一组TCP规范化操作,请在全局配置模式下使用tcp-map命令.
TCP规范化功能可让您指定识别异常数据包的标准,ASA在检测到这些数据包时将其丢弃.
要删除TCP映射,请使用此命令的no形式.
tcp-mapmap_namenotcp-mapmap_name语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此功能使用模块化策略框架.
首先使用tcp-map命令定义您想要执行的TCP规范化操作.
tcp-map命令会进入tcp-map配置模式,您可在此模式下输入一条或多条命令来定义TCP规范化操作.
然后,使用class-map命令定义您要对其应用TCP映射的流量.
输入policy-map命令以定义策略,然后输入class命令以引用类映射.
在类配置模式下,输入setconnectionadvanced-options命令,以引用TCP映射.
最后,使用service-policy命令将策略映射应用到接口.
有关模块化策略框架工作原理的详细信息,请参阅CLI配置指南.
以下命令在tcp-map配置模式下可用:map_name指定TCP映射名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改7.
0(1)添加了此命令.
7.
2(4)/8.
0(4)添加了invalid-ack、seq-past-window和synack-data子命令.
check-retransmission启用和禁用重新传输数据检查.
checksum-verification启用和禁用校验和验证.
exceed-mss允许或丢弃超出对等设备所设置的MSS数据包.
invalid-ack设置对具有无效ACK的数据包的操作.
queue-limit配置可以排队等待TCP连接的无序数据包的最大数量.
此命令仅在ASA5500系列自适应ASA上可用.
在PIX500系列ASA上,队列限制为3且无法更改.
reserved-bits在ASA中设置保留标志策略.
1-5思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章示例例如,要允许所有流量的紧急标志和紧急偏移数据包发送到众所周知的FTP数据端口与Telnet端口之间的TCP端口范围,请输入以下命令:ciscoasa(config)#tcp-maptmapciscoasa(config-tcp-map)#urgent-flagallowciscoasa(config-tcp-map)#class-mapurg-classciscoasa(config-cmap)#matchporttcprangeftp-datatelnetciscoasa(config-cmap)#policy-mappmapciscoasa(config-pmap)#classurg-classciscoasa(config-pmap-c)#setconnectionadvanced-optionstmapciscoasa(config-pmap-c)#service-policypmapglobal相关命令seq-past-window设置对具有past-window序列号的数据包的操作,即接收的TCP数据包序列号大于TCP接收窗口的右侧边界.
synack-data设置对包含数据的TCPSYNACK数据包的操作.
syn-data允许或丢弃具有数据的SYN数据包.
tcp-options基于TCP报头中的TCP选项字段的内容来设置数据包的操作.
ttl-evasion-protection启用或禁用ASA提供的TTL回避保护.
urgent-flag通过ASA允许或清除URG指针.
window-variation丢弃意外更改其窗口大小的连接.
命令描述class(policy-map)指定要用于流量分类的类映射.
clearconfiguretcp-map清除TCP映射配置.
policy-map配置策略;即流量类与一个或多个操作的关联.
showrunning-configtcp-map显示关于TCP映射配置的信息.
tcp-options允许或清除selective-ack、timestamp或window-scaleTCP选项.
1-6思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章tcp-options要在TCP报头中允许或清除TCP选项,请在tcp-map配置模式下使用tcp-options命令.
要删除此指定,请使用此命令的no形式.
tcp-options{md5|mss|selective-ack|timestamp|window-scale|rangelowerupper}actionnotcp-options{md5|mss|selective-ack|timestamp|window-scale|rangelowerupper}action语法说明默认值(9.
6(1)及更低版本.
)默认将允许所有已命名选项,并清除选项6-7和9-255.
(9.
6(2)及更高版本.
)默认将允许每个已命名选项的一个实例、丢弃具有一个以上给定已命名选项的数据包,并清除6-7、9-18和20-155选项.
命令模式下表展示可输入命令的模式:action要为选项执行的操作.
操作包括:allow[multiple]-允许包含该选项的数据包.
自9.
6(2)起,allow表示允许包含单个此类型选项的数据包.
这是所有已命名选项的默认设置.
如果要允许数据包,即便其中包含该选项的多个实例亦不例外,请添加multiple关键字.
multiple关键字不适用于range.
maximumlimit-仅限mss.
将最大分段大小设置为所示的限制,范围为68-65535.
默认TCPMSS在sysoptconnectiontcpmss命令中定义.
clear-从报头中删除此类型的选项并允许该数据包.
这是您可以在range关键字中配置的所有已编号选项的默认设置.
请注意,清除时间戳选项将禁用PAWS和RTT.
drop-丢弃包含此选项的数据包.
此操作仅可用于md5和range.
md5为MD5选项设置操作.
mss为最大分段大小选项设置操作.
rangelowerupper为范围下限和上限内的编号选项设置操作.
要为单个编号选项设置操作,请对范围下限和上限输入相同的编号.
(9.
6(2)及更高版本.
)有效范围为6-7、9-18和20-255.
(9.
6(1)及更低版本.
)有效范围为6-7和9-255.
selective-ack为选择性确认机制(SACK)选项设置操作.
timestamp为时间戳选项设置操作.
清除时间戳选项将禁用PAWS和RTT.
window-scale为窗口缩放机制选项设置操作.
命令模式防火墙模式安全情景路由透明一个多个情景系统Tcp-map配置是是是是-1-7思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章命令历史记录使用指南将tcp-map命令与模块化策略框架基础设施结合使用.
使用class-map命令定义流量类并使用tcp-map命令定制TCP检查.
应用新TCP映射使用policy-map命令.
使用service-policy命令激活TCP检查.
使用tcp-map命令进入TCP映射配置模式.
在tcp-map配置模式下使用tcp-options命令定义对各种TCP选项的处理方式.
示例以下示例展示如何丢弃6-7和9-255范围内具有TCP选项的所有数据包:ciscoasa(config)#access-listTCPextendedpermittcpanyanyciscoasa(config)#tcp-maptmapciscoasa(config-tcp-map)#tcp-optionsrange67dropciscoasa(config-tcp-map)#tcp-optionsrange918dropciscoasa(config-tcp-map)#tcp-optionsrange20255dropciscoasa(config)#class-mapcmapciscoasa(config-cmap)#matchaccess-listTCPciscoasa(config)#policy-mappmapciscoasa(config-pmap)#classcmapciscoasa(config-pmap)#setconnectionadvanced-optionstmapciscoasa(config)#service-policypmapglobal相关命令版本修改7.
0(1)添加了此命令.
9.
6(2)如果对已命名选项的默认处理中包含给定类型的单个选项,则更改为允许数据包;如果有多个该类型的选项,则丢弃数据包.
此外,添加了md5、mss、allowmultiple和mssmaximum关键字.
MD5选项的默认值已从清除更改为允许.
命令描述class指定要用于流量分类的类映射.
policy-map配置策略;即流量类与一个或多个操作的关联.
setconnection配置连接值.
tcp-map创建TCP映射,并允许对tcp-map配置模式的访问.
1-8思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章telnet要允许接口的Telnet访问,请在全局配置模式下使用telnet命令.
要删除Telnet访问,请使用此命令的no形式.
telnet{ipv4_addressmask|ipv6_address/prefix}interface_namenotelnet{ipv4_addressmask|ipv6_address/prefix}interface_name语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南telnet命令可让您指定哪些主机能够通过Telnet访问ASACLI.
您可以启用Telnet以登录到所有接口上的ASA.
但是,除非在VPN隧道内使用Telnet,否则无法使用Telnet登录到最低安全接口.
此外,如果指定了BVI接口,则必须在该接口上配置managenent-access.
使用password命令以设置控制台Telnet访问的密码.
使用who命令以查看哪些IP地址当前正在访问ASA控制台.
使用kill命令以终止活动的Telnet控制台会话.
如果您使用aaaauthenticationtelnetconsole命令,则Telnet控制台访问必须使用身份验证服务器进行验证.
interface_name指定要在其上允许Telnet的接口的名称.
除非在VPN隧道中使用Telnet,否则无法在最低安全接口上启用Telnet.
可以指定物理或虚拟接口.
ipv4_addressmask指定授权通过Telnet登录到ASA的主机或网络的IPv4地址,以及子网掩码.
ipv6_address/prefix指定授权通过Telnet登录到ASA的IPv6地址/前缀.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改7.
0(1)添加了此命令.
9.
0(2)、9.
1(2)默认密码"cisco"已删除;您必须主动使用password命令设置登录密码.
9.
9.
(2)现在,可以指定虚拟接口.
1-9思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章示例本例显示如何允许主机192.
168.
1.
3和192.
168.
1.
4通过Telnet访问ASACLI.
此外,位于192.
168.
2.
0网络上的所有主机均被赋予访问权限.
ciscoasa(config)#telnet192.
168.
1.
3255.
255.
255.
255insideciscoasa(config)#telnet192.
168.
1.
4255.
255.
255.
255insideciscoasa(config)#telnet192.
168.
2.
0255.
255.
255.
0insideciscoasa(config)#showrunning-configtelnet192.
168.
1.
3255.
255.
255.
255inside192.
168.
1.
4255.
255.
255.
255inside192.
168.
2.
0255.
255.
255.
0inside本例显示Telnet控制台登录会话(输入时未显示密码):ciscoasa#passwd:ciscoWelcometotheXXX…Typehelpor''foralistofavailablecommands.
ciscoasa>您可以使用notelnet命令删除单独的条目,也可以使用clearconfiguretelnet命令删除所有telnet命令语句:ciscoasa(config)#notelnet192.
168.
1.
3255.
255.
255.
255insideciscoasa(config)#showrunning-configtelnet192.
168.
1.
4255.
255.
255.
255inside192.
168.
2.
0255.
255.
255.
0insideciscoasa(config)#clearconfiguretelnet相关命令命令描述clearconfiguretelnet从配置中删除Telnet连接.
kill终止Telnet会话.
showrunning-configtelnet显示授权使用Telnet连接登录到ASA的IP地址当前列表.
telnettimeout设置Telnet超时.
who显示ASA上活动的Telnet管理会话.
1-10思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章telnettimeout要设置Telnet空闲超时,请在全局配置模式下使用telnettimeout命令.
要恢复默认超时,请使用此命令的no形式.
telnettimeoutminutesnotelnettimeoutminutes语法说明默认值默认情况下,Telnet会话空闲五分钟后即被ASA关闭.
命令模式下表展示可输入命令的模式:命令历史记录使用指南使用telnettimeout命令设置控制台Telnet会话被ASA注销之前可处于空闲状态的最长时间.
示例本例显示如何更改最长会话空闲持续时间:ciscoasa(config)#telnettimeout10ciscoasa(config)#showrunning-configtelnettimeouttelnettimeout10minutes相关命令minutesTelnet会话被ASA关闭之前可处于空闲状态的分钟数.
有效值为1到1440分钟.
默认值为5分钟.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改7.
0(1)添加了此命令.
命令描述clearconfiguretelnet从配置中删除Telnet连接.
kill终止Telnet会话.
showrunning-configtelnet显示授权使用Telnet连接登录到ASA的IP地址当前列表.
telnet启用对ASA的Telnet访问.
who显示ASA上活动的Telnet管理会话.
1-11思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章terminalinteractive如果要在CLI中输入时启用当前CLI的帮助,请在特权EXEC模式下使用terminalinteractive命令.
要禁用CLI帮助,请使用此命令的no形式.
terminalinteractivenoterminalinteractive语法说明此命令没有任何参数或关键字.
默认值默认已启用交互式CLI帮助.
命令模式下表展示可输入命令的模式:命令历史记录使用指南通常,在ASACLI中输入时,会显示命令帮助.
为了能够输入作为命令中的文本(例如,将加入URL中),可以使用noterminalinteractive命令禁用交互式帮助.
示例以下示例显示如何将控制台转换成非交互模式再转换为交互模式:ciscoasa#noterminalinteractiveciscoasa#terminalinteractive相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是是版本修改9.
4(1)添加了此命令.
命令描述clearconfigureterminal清除终端显示宽度设置.
pager设置在出现"---more---"提示符前要在Telnet会话中显示的行数.
此命令将保存到配置.
showrunning-configterminal显示当前终端设置.
terminalpager设置在出现"---more---"提示符前要在Telnet会话中显示的行数.
此命令不会保存到配置中.
terminalwidth在全局配置模式中设置终端显示宽度.
1-12思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章terminalmonitor要允许在当前CLI会话中显示系统日志消息,请在特权EXEC模式下使用terminalmonitor命令.
要禁用系统日志消息,请使用此命令的no形式.
terminal{monitor|nomonitor}语法说明默认值默认情况下,系统日志消息已禁用.
默认情况下此命令为交互式命令.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例显示如何在当前会话中显示和禁用系统日志消息:ciscoasa#terminalmonitorciscoasa#terminalnomonitor相关命令监控允许在当前CLI会话中显示系统日志消息.
nomonitor禁止在当前CLI会话中显示系统日志消息.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是是版本修改7.
0(1)添加了此命令.
命令描述clearconfigureterminal清除终端显示宽度设置.
pager设置在出现"---more---"提示符前要在Telnet会话中显示的行数.
此命令将保存到配置.
showrunning-configterminal显示当前终端设置.
terminalpager设置在出现"---more---"提示符前要在Telnet会话中显示的行数.
此命令不会保存到配置中.
terminalwidth在全局配置模式中设置终端显示宽度.
1-13思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章terminalpager要设置在出现Telnet会话"---More---"提示符前在页面上显示的行数,请在特权EXEC模式下使用terminalpager命令.
terminalpager[lines]lines语法说明默认值默认值为24行.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令仅更改当前Telnet会话的分页程序行设置.
但是,仅当您在用户EXEC模式下输入login命令,或输入enable命令以进入特权EXEC模式时,ASA才会从正在运行配置重新发起当前会话中的分页程序值.
这正如原先设计的那样.
注在ASA重新显示用户提示符之前,出现意外的"---More---"提示符,这可能会抑制bannerexec命令的输出.
而是使用bannermotd命令或bannerlogin命令.
要将新的默认分页程序设置保存到配置,请执行以下操作:1.
通过输入login命令访问用户EXEC模式,或通过输入enable命令访问特权EXEC模式.
2.
输入pager命令.
如果您使用Telnet访问管理情景,则分页程序行设置会在您更改为其他情景时跟随您的会话,即使在给定情景中pager命令具有不同设置.
要更改当前分页程序设置,请使用新设置输入terminalpager命令,您也可以在当前情景中输入pager命令.
除将新分页程序设置保存到情景配置外,pager命令还可将新设置应用于当前Telnet会话中.
[lines]lines设置在出现"---More---"提示符前在页面上显示的行数.
默认值是24行;0表明不存在页面限制.
行数范围是0至2147483647行.
lines关键字可选,并且无论是否存在关键词,命令都是一样的.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是是版本修改7.
0(1)添加了此命令.
1-14思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章示例以下示例将显示的行数更改为20:ciscoasa#terminalpager20相关命令命令描述clearconfigureterminal清除终端显示宽度设置.
pager设置在出现"---More---"提示符前要在Telnet会话中显示的行数.
此命令将保存到配置.
showrunning-configterminal显示当前终端设置.
terminal允许在Telnet会话中显示系统日志消息.
terminalwidth在全局配置模式中设置终端显示宽度.
1-15思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章terminalwidth要设置控制台会话期间显示信息的宽度,请在全局配置模式下使用terminalwidth命令.
要禁用,请使用此命令的no形式.
terminalwidthcolumnsnoterminalwidthcolumns语法说明默认值默认显示宽度为80列.
命令模式下表展示可输入命令的模式:命令历史记录示例本例显示如何将终端显示宽度设为100列:ciscoasa#terminalwidth100相关命令columns指定终端宽度(以列为单位).
默认值为80.
范围为40到511.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是是版本修改7.
0(1)添加了此命令.
命令描述clearconfigureterminal清除终端显示宽度设置.
showrunning-configterminal显示当前终端设置.
terminal在特权EXEC模式下设置终端行参数.
1-16思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章testaaa-server要检查ASA是否能够使用特定AAA服务器验证或授权用户,请在特权EXEC模式下使用testaaa-server命令.
无法访问AAA服务器可能是由于ASA中的配置错误,或者AAA服务器可能出于其他原因(例如受限的网络配置或服务器停机)无法访问.
testaaa-server{authenticationserver_tag[hostip_address][usernameusername][passwordpassword]|authorizationserver_tag[hostip_address][usernameusername][ad-agent]}语法说明默认值没有默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南testaaa-server命令可让您验证ASA是否能够使用特定AAA服务器验证用户,以及对于传统VPN授权,您是否能够授权用户.
此命令可让您测试AAA服务器而无需尝试验证或授权的实际用户.
它还可帮助您隔离AAA故障是由于AAA服务器参数配置错误、AAA服务器连接问题还是ASA中的其他配置错误.
ad-agent测试与AAAAD代理服务器的连接.
authentication测试AAA服务器的身份验证功能.
authorization测试AAA服务器的传统VPN授权功能.
hostip_address指定服务器IP地址.
如果没有在命令中指定IP地址,系统将提示您输入地址.
passwordpassword指定用户密码.
如果没有在命令中指定密码,系统将提示您输入密码.
server_tag指定通过aaa-server命令设置的AAA服务器标记.
usernameusername指定用于测试AAA服务器设置的帐户的用户名.
确保AAA服务器中存在该用户名;否则,测试将失败.
如果没有在命令中指定用户名,系统将提示您输入用户名.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是-版本修改7.
0(4)添加了此命令.
8.
4(2)添加了ad-agent关键字.
1-17思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章示例以下示例配置主机192.
168.
3.
4上名为srvgrp1的RADIUSAAA服务器,将超时设置为9秒,将重试间隔设置为7秒,并配置验证端口1650.
testaaa-server命令跟随AAA服务器参数的设置表明身份验证测试无法访问该服务器.
ciscoasa(config)#aaa-serversvrgrp1protocolradiusciscoasa(config-aaa-server-group)#aaa-serversvrgrp1host192.
168.
3.
4ciscoasa(config-aaa-server-host)#timeout9ciscoasa(config-aaa-server-host)#retry-interval7ciscoasa(config-aaa-server-host)#authentication-port1650ciscoasa(config-aaa-server-host)#exitciscoasa(config)#testaaa-serverauthenticationsvrgrp1ServerIPAddressorname:192.
168.
3.
4Username:bogusPassword:mypasswordINFO:AttemptingAuthenticationtesttoIPaddress(timeout:10seconds)ERROR:AuthenticationRejected:Unspecified以下是具有成功结果的testaaa-server命令的输出示例:ciscoasa#testaaa-serverauthenticationsvrgrp1host192.
168.
3.
4usernameboguspasswordmypasswordINFO:AttemptingAuthenticationtesttoIPaddress(timeout:12seconds)INFO:AuthenticationSuccessful相关命令命令描述aaaauthenticationconsole配置管理流量的身份验证.
aaaauthenticationmatch配置通过流量的身份验证.
aaa-server创建AAA服务器组.
aaa-serverhost将AAA服务器添加到服务器组.
1-18思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章testaaa-serverad-agent要在配置后测试ActiveDirectory代理配置,请在AAA服务器组配置模式下使用testaaa-serverad-agent命令.
testaaa-serverad-agent语法说明此命令没有任何参数或关键字.
默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南要为身份防火墙配置ActiveDirectory代理,必须输入ad-agent-mode命令,即aaa-server命令的子模式.
输入ad-agent-mode命令即可进入AAA服务器组配置模式.
配置ActiveDirectory代理后,输入testaaa-serverad-agent命令验证ASA是否有与ActiveDirectory代理的功能性连接.
AD代理可通过WMI定期或按需监控ActiveDirectory服务器安全事件日志文件有无用户登录和注销事件.
AD代理维护用户ID和IP地址映射的缓存并向ASA通报更改.
配置AD代理服务器组的主AD代理和辅助AD代理.
当ASA检测到主要AD代理未响应并且辅助代理已指定时,ASA会切换到辅助AD代理.
AD代理的ActiveDirectory服务器使用RADIUS作为通信协议;因此,应指定ASA与AD代理之间共享密钥的主要属性.
示例以下示例展示如何在为身份防火墙配置ActiveDirectory代理的同时启用ad-agent-mode,然后测试连接:hostname(config)#aaa-serveradagentprotocolradiushostname(config)#ad-agent-modehostname(config-aaa-server-group)#aaa-serveradagent(inside)host192.
168.
1.
101hostname(config-aaa-server-host)#keymysecrethostname(config-aaa-server-hostkey)#user-identityad-agentaaa-serveradagenthostname(config-aaa-server-host)#testaaa-serverad-agent命令模式防火墙模式安全情景路由透明一个多个情景系统Aaa服务器组配置是-是--版本修改8.
4(2)添加了此命令.
1-19思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章相关命令命令描述aaa-server创建AAA服务器组并配置组特定和所有组主机通用的AAA服务器参数.
clearconfigureuser-identity清除身份防火墙功能的配置.
1-20思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章testdynamic-access-policyattributes要进入dap属性模式,请从特权EXEC模式输入testdynamic-access-policyattributes命令.
这样可以指定用户和终端属性值对.
dynamic-access-policyattributes默认值没有默认值或行为.
命令模式下表展示可输入命令的模式:命令历史记录使用指南通常,ASA从AAA服务器检索用户授权属性,而从思科安全桌面、主机扫描、CNA或NAC检索终端属性.
对于test命令,您可在此属性模式下指定用户授权和终端属性.
ASA将其写入评估DAP记录的AAA选择属性和终端选择属性时DAP子系统引用的属性数据库.
此功能可让您尝试创建DAP记录.
示例以下示例展示如何使用attributes命令.
ciscoasa#testdynamic-access-policyattributesciscoasa(config-dap-test-attr)#相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是--版本修改8.
0(2)添加了此命令.
命令描述dynamic-access-policy-record创建DAP记录.
attributes进入属性模式,您可在该模式下指定用户属性值对.
display显示当前属性列表.
1-21思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章testdynamic-access-policyexecute要测试已配置的DAP记录,请在特权EXEC模式下使用testdynamic-access-policyexecute命令:testdynamic-access-policyexecute语法说明命令模式下表展示可输入命令的模式:命令历史记录使用指南通过指定授权属性值对,此命令可让您测试检索设备上配置的一组DAP记录.
AAAattributevalue评估每个记录的AAA和终端选择属性时,设备上的DAP子系统会引用这些值.
–AAA属性-标识AAA属性.
–操作值-将属性标识为=/!
=指定的值.
endpointattributevalue标识终端属性.
–终端ID-提供终端属性ID.
–名称/操作/值-命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是--版本修改8.
4(4)添加了此命令.
1-22思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章testregex要测试正则表达式,请在特权EXEC模式下使用testregex命令.
testregexinput_textregular_expression语法说明默认值没有默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南testregex命令测试正则表达式以确保其匹配您认为其将匹配的内容.
如果正则表达式匹配输入文本,您将看到以下消息:INFO:Regularexpressionmatchsucceeded.
如果正则表达式不匹配输入文本,您将看到以下消息:INFO:Regularexpressionmatchfailed.
示例以下示例针对正则表达式测试输入文本:ciscoasa#testregexfarscapescapeINFO:Regularexpressionmatchsucceeded.
ciscoasa#testregexfarscapescaperINFO:Regularexpressionmatchfailed.
input_text指定要匹配正则表达式的文本.
regular_expression指定正则表达式,最多100个字符的长度.
有关正则表达式中可使用元字符的列表,请参阅regex命令.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是-版本修改7.
2(1)添加了此命令.
1-23思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章相关命令命令描述class-maptypeinspect创建检查类映射以匹配特定于应用的流量.
policy-map通过将流量类和一个或多个操作关联,创建策略映射.
policy-maptypeinspect定义特殊的应用检查操作.
class-maptyperegex创建正则表达式类映射.
regex创建正则表达式.
1-24思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章testsso-server(已弃用)注支持此命令的最后一个版本是版本9.
5(1).
要测试具有试验身份验证请求的SSO服务器,请在特权EXEC模式下使用testsso-server命令.
testsso-serverserver-nameusernameuser-name语法说明默认值没有默认值或行为.
命令模式下表展示可输入命令的模式:命令历史记录使用指南单点登录支持,仅供WebVPN使用,可让用户能够访问不同服务器不同安全服务,无需多次输入用户名和密码.
testsso-server命令测试SSO服务器是否已识别并响应身份验证请求.
如果未找到通过server-name参数指定的SSO服务器,则出现以下错误:ERROR:sso-serverserver-namedoesnotexist如果已找到SSO服务器,但未找到通过user-name参数指定的用户,则拒绝身份验证.
在身份验证中,ASA充当WebVPN用户登录SSO服务器的代理.
ASA当前支持SiteMinderSSO服务器(以前称为NetegritySiteMinder)和SAMLPOST类型SSO服务器.
此命令适用于这两种类型的SSO服务器.
server-name指定所测试SSO服务器的名称.
user-name指定所测试SSO服务器中用户的名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统Config-webvpn是-是--Config-webvpn-sso-saml是-是--Config-webvpn-sso-siteminder是-是--全局配置模式是-是--特权EXEC是-是--版本修改7.
1(1)添加了此命令.
9.
5(2)为了支持SAML2.
0,此命令已弃用.
1-25思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章示例以下示例进入特权EXEC模式,通过用户名Anyuser成功测试名为my-sso-server的SSO服务器:ciscoasa#testsso-servermy-sso-serverusernameAnyuserINFO:Attemptingauthenticationrequesttosso-servermy-sso-serverforuserAnyuserINFO:STATUS:Successciscoasa#以下示例展示相同服务器的测试,但用户Anotheruser无法识别,因此身份验证失败:ciscoasa#testsso-servermy-sso-serverusernameAnotheruserINFO:Attemptingauthenticationrequesttosso-servermy-sso-serverforuserAnotheruserINFO:STATUS:Failedciscoasa#相关命令命令描述max-retry-attempts配置ASASSO身份验证尝试失败后的重试次数.
policy-server-secret创建密钥用于加密身份验证请求到SiteMinderSSO服务器.
request-timeout指定失败的SSO身份验证尝试超时之前的秒数.
showwebvpnsso-server显示在安全设备上配置的所有SSO服务器的运行统计信息.
sso-server创建单点登录服务器.
web-agent-url指定ASA向其发出SiteMinderSSO身份验证请求的SSO服务器URL.
1-26思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章text-color要设置登录、主页和文件访问页面上WebVPN标题栏中文本的颜色,请在webvpn模式下使用text-color命令.
要从配置中删除文本颜色并重置默认值,请使用此命令的no形式.
text-color[black|white|auto]notext-color语法说明默认值标题栏的默认文本颜色为白色.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示如何将标题栏的文本颜色设置为黑色:ciscoasa(config)#webvpnciscoasa(config-webvpn)#text-colorblack相关命令auto根据secondary-color命令的设置选择黑色或白色.
也就是说,如果辅助颜色为黑色,则该值为白色.
black标题栏的默认文本颜色为白色.
white您可以将颜色更改为黑色.
命令模式防火墙模式安全情景路由透明一个多个情景系统config-webvpn是-是--版本修改7.
0(1)添加了此命令.
命令描述secondary-text-color设置WebVPN登录、主页和文件访问页面的辅助文本颜色.
1-27思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章tftp-server要指定默认TFTP服务器以及路径和文件名与configurenet或writenet命令一起使用,请在全局配置模式下使用tftp-server命令.
要删除服务器配置,请使用此命令的no形式.
此命令支持IPv4和IPv6地址.
tftp-serverinterface_nameserverfilenamenotftp-server[interface_nameserverfilename]语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南tftp-server命令可简化输入configurenet和writenet命令.
当您输入configurenet或writenet命令时,您可以继承通过tftp-server命令指定的TFTP服务器,也可以提供自己的值.
您还可以原样继承tftp-server命令中的路径,将路径和文件名添加到tftp-server命令值结尾,或覆盖tftp-server命令值.
ASA仅支持一条tftp-server命令.
示例以下示例展示如何指定TFTP服务器,然后从/temp/config/test_config目录读取配置:ciscoasa(config)#tftp-serverinside10.
1.
1.
42/temp/config/test_configciscoasa(config)#configurenetfilename指定路径和文件名.
interface_name指定网关接口名称.
如果指定了并非最高安全接口的接口,则显示一条警告消息,通知您该接口不安全.
server设置TFTP服务器的IP地址或名称.
您可以输入IPv4或IPv6地址.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是是版本修改7.
0(1)现在需要网关接口.
1-28思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章相关命令命令描述configurenet从您指定的TFTP服务器和路径载入配置.
showrunning-configtftp-server显示默认TFTP服务器地址和配置文件的目录.
1-29思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章tftp-serveraddress(已弃用)要指定集群中的TFTP服务器,请在phone-proxy配置模式下使用tftp-serveraddress命令.
要从电话代理配置中删除TFTP服务器,请使用此命令的no形式.
tftp-serveraddressip_address[port]interfaceinterfacenotftp-serveraddressip_address[port]interfaceinterface语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南电话代理必须配置至少一台CUCMTFTP服务器.
最多可为电话代理配置五台TFTP服务器.
假设TFTP服务器位于防火墙背后受信任的网络上;因此,电话代理会拦截IP电话与TFTP服务器之间的请求.
TFTP服务器必须位于与CUCM相同的接口上.
使用内部IP地址创建TFTP服务器,并指定TFTP服务器所在的接口.
在IP电话上,必须配置TFTP服务器的IP地址如下:如果为TFTP服务器配置NAT,则使用TFTP服务器的全局IP地址.
如果没有为TFTP服务器配置NAT,则使用TFTP服务器的内部IP地址.
如果服务策略全局应用,将创建分类规则,控制到达所有入口接口(TFTP服务器所在的接口除外)上TFTP服务器的所有TFTP流量.
当服务策略应用于特定接口时,将创建分类规则,将到达该指定接口上TFTP服务器的所有TFTP流量指向电话代理模块.
如果为TFTP服务器配置NAT规则,则必须在应用服务策略之前进行配置,以便在安装分类规则时使用TFTP服务器的全局地址.
ip_address指定TFTP服务器的地址.
interfaceinterface指定TFTP服务器所在的接口.
此项必须是TFTP服务器的真实地址.
port(可选)此项是TFTP服务器侦听TFTP请求的端口.
如果不是默认的TFTP端口69,应进行配置.
命令模式防火墙模式安全情景路由透明一个多个情景系统电话代理配置是-是--版本修改8.
0(4)添加了此命令.
9.
4(1)此命令以及所有phone-proxy模式命令均已弃用.
1-30思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章示例以下示例展示使用tftp-serveraddress命令配置电话代理的两台TFTP服务器:ciscoasa(config)#phone-proxyasa_phone_proxyciscoasa(config-phone-proxy)#tftp-serveraddress192.
168.
1.
2ininterfaceoutsideciscoasa(config-phone-proxy)#tftp-serveraddress192.
168.
1.
3ininterfaceoutsideciscoasa(config-phone-proxy)#media-terminationaddress192.
168.
1.
4interfaceinsideciscoasa(config-phone-proxy)#media-terminationaddress192.
168.
1.
25interfaceoutsideciscoasa(config-phone-proxy)#tls-proxyasa_tlspciscoasa(config-phone-proxy)#ctl-fileasactlciscoasa(config-phone-proxy)#cluster-modenonsecure相关命令命令描述phone-proxy配置电话代理实例.
1-31思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章threat-detectionbasic-threat要启用基本威胁检测,请在全局配置模式下使用threat-detectionbasic-threat命令.
要禁用基本威胁检测,请使用此命令的no形式.
threat-detectionbasic-threatnothreat-detectionbasic-threat语法说明此命令没有任何参数或关键字.
默认值默认情况下,启用基本威胁检测.
使用以下默认速率限制:命令模式下表展示可输入命令的模式:表1-1基本威胁检测默认设置丢包原因触发器设置平均速率突发速率检测到DoS攻击数据包格式错误超出连接限制检测到可疑的ICMP数据包在过去600秒内100个丢包/秒.
在过去20秒内400个丢包/秒.
在过去3600秒内80个丢包/秒.
在过去120秒内320个丢包/秒.
检测到扫描攻击在过去600秒内5个丢包/秒.
在过去20秒内10个丢包/秒.
在过去3600秒内4个丢包/秒.
在过去120秒内8个丢包/秒.
检测不完整会话,例如检测到TCPSYN攻击或检测到无返回数据的UDP会话攻击(组合)在过去600秒内100个丢包/秒.
在过去20秒内200个丢包/秒.
在过去3600秒内80个丢包/秒.
在过去120秒内160个丢包/秒.
被访问列表拒绝在过去600秒内400个丢包/秒.
在过去20秒内800个丢包/秒.
在过去3600秒内320个丢包/秒.
在过去120秒内640个丢包/秒.
基本防火墙检查失败数据包未通过应用检查在过去600秒内400个丢包/秒.
在过去20秒内1600个丢包/秒.
在过去3600秒内320个丢包/秒.
在过去120秒内1280个丢包/秒.
接口过载在过去600秒内2000个丢包/秒.
在过去20秒内8000个丢包/秒.
在过去3600秒内1600个丢包/秒.
在过去120秒内6400个丢包/秒.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--1-32思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章命令历史记录使用指南当您启用基本威胁检测后,ASA会监控由于以下原因导致的丢包和安全事件速率:被访问列表拒绝不良数据包格式(例如invalid-ip-header或invalid-tcp-hdr-length)超出连接限制(系统范围资源限制和在配置中设置的限制)检测到DoS攻击(例如无效SPI,状态防火墙检查失败)基本防火墙检查失败(此选项是包括此项目符号列表中所有防火墙相关丢包的组合速率.
它不包括非防火墙相关丢包(例如接口过载、数据包未通过应用检查以及检测到扫描攻击.
)检测到可疑的ICMP数据包数据包未通过应用检查接口过载检测到扫描攻击(此选项监控扫描攻击;例如,第一个TCP数据包并非SYN数据包,或者TCP连接未通过三方握手.
全面扫描威胁检测(请参阅threat-detectionscanning-threat命令)采用此扫描攻击速率信息,然后通过例如将主机归类为攻击者并自动回避以采取相应措施.
)不完整会话检测,例如检测到TCPSYN攻击或检测到无返回数据的UDP会话攻击当ASA检测到威胁时,它会立即发送系统日志消息(733100)并提醒ASDM.
基本威胁检测仅当有丢包或潜在威胁时影响性能;即使在这种情况下,对性能的影响仍然可以忽略.
"默认值"部分中的表1-1列出了默认设置.
您可以使用showrunning-configallthreat-detection命令查看所有这些默认设置.
您可通过使用threat-detectionrate命令覆盖每种类型事件的默认设置.
如果超出事件速率,则ASA将发送系统消息.
ASA跟踪两种类型的速率:在某一间隔内的平均事件率,以及在较短突发间隔内的突发事件率.
突发事件率为平均速率间隔的1/30或10秒,以较高者为准.
对于收到的每个事件,ASA将检查平均速率和突发速率限制;如果两种速率均超出,则ASA将发送两条单独的系统消息,最多允许每种速率类型在每个突发期间发送一条消息.
示例以下示例启用基本威胁检测,然后更改DoS攻击的触发器:ciscoasa(config)#threat-detectionbasic-threatciscoasa(config)#threat-detectionratedos-droprate-interval600average-rate60burst-rate100版本修改8.
0(2)添加了此命令.
8.
2(1)突发速率间隔从平均速率的1/60更改为1/30.
1-33思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章相关命令命令描述clearthreat-detectionrate清除基本威胁检测统计信息.
showrunning-configallthreat-detection显示威胁检测配置,包括默认速率设置(如果没有单独配置).
showthreat-detectionrate显示基本威胁检测统计信息.
threat-detectionrate设置每种事件类型的威胁检测速率限制.
threat-detectionscanning-threat启用扫描威胁检测.
1-34思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章threat-detectionrate使用threat-detectionbasic-threat命令启用基本威胁检测后,您可以在全局配置模式下使用threat-detectionrate命令更改每种事件类型的默认速率限制.
如果使用threat-detectionscanning-threat命令启用扫描威胁检测,则采用scanning-threat关键字的此命令还会设置主机何时被视为攻击者或目标;否则,默认的scanning-threat值将用于基本和扫描威胁检测.
要恢复默认设置,请使用此命令的no形式.
threat-detectionrate{acl-drop|bad-packet-drop|conn-limit-drop|dos-drop|fw-drop|icmp-drop|inspect-drop|interface-drop|scanning-threat|syn-attack}rate-intervalrate_intervalaverage-rateav_rateburst-rateburst_ratenothreat-detectionrate{acl-drop|bad-packet-drop|conn-limit-drop|dos-drop|fw-drop|icmp-drop|inspect-drop|interface-drop|scanning-threat|syn-attack}rate-intervalrate_intervalaverage-rateav_rateburst-rateburst_rate语法说明acl-drop设置由于被访问列表拒绝导致丢包的速率限制.
average-rateav_rate设置介于0到2147483647之间的平均速率限制,以丢包数/秒为单位.
bad-packet-drop设置由于被不良数据包格式(例如invalid-ip-header或invalid-tcp-hdr-length)拒绝导致丢包的速率限制.
burst-rateburst_rate设置介于0到2147483647之间的突发速率限制,以丢包数/秒为单位.
突发速率计算为每N秒的平均速率,其中N是突发速率间隔.
突发速率间隔是rate-intervalrate_interval值的1/30或10秒,以较大者为准.
conn-limit-drop设置由于超出连接限制(系统范围资源限制和在配置中设置的限制)导致丢包的速率限制.
dos-drop设置由于检测到DoS攻击(例如无效SPI,状态防火墙检查失败)导致丢包的速率限制.
fw-drop设置由于基本防火墙检查失败导致丢包的速率限制.
此选项是包括此命令中所有防火墙相关丢包的组合速率.
它不包括非防火墙相关丢包(例如interface-drop、inspect-drop和scanning-threat).
icmp-drop设置由于检测到可疑ICMP数据包被拒绝导致丢包的速率限制.
inspect-drop设置由于数据包未通过应用检查导致丢包的速率限制.
interface-drop设置由于接口过载导致丢包的速率限制.
rate-intervalrate_interval将平均速率间隔设置为介于600秒到2592000秒(30天)之间的值.
速率间隔用于确定平均丢包数的时长.
它还可确定突发阈值速率间隔.
scanning-threat设置由于检测到扫描攻击导致丢包的速率限制.
此选项监控扫描攻击;例如,第一个TCP数据包并非SYN数据包,或者TCP连接未通过三方握手.
全面扫描威胁检测(请参阅threat-detectionscanning-threat命令)采用此扫描攻击速率信息,然后通过将主机归类为攻击者并自动回避等方法,以便采取相应措施.
syn-attack为不完整会话(例如,TCPSYN攻击或无返回数据的UDP会话攻击)造成的丢包设置速率限制.
1-35思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章默认值使用threat-detectionbasic-threat命令启用基本威胁检测后,请使用以下默认速率限制:命令模式下表展示可输入命令的模式:命令历史记录表1-2基本威胁检测默认设置丢包原因触发器设置平均速率突发速率dos-dropbad-packet-dropconn-limit-dropicmp-drop在过去600秒内100个丢包/秒.
在过去20秒内400个丢包/秒.
在过去3600秒内100个丢包/秒.
在过去120秒内400个丢包/秒.
scanning-threat在过去600秒内5个丢包/秒.
在过去20秒内10个丢包/秒.
在过去3600秒内5个丢包/秒.
在过去120秒内10个丢包/秒.
syn-attack在过去600秒内100个丢包/秒.
在过去20秒内200个丢包/秒.
在过去3600秒内100个丢包/秒.
在过去120秒内200个丢包/秒.
acl-drop在过去600秒内400个丢包/秒.
在过去20秒内800个丢包/秒.
在过去3600秒内400个丢包/秒.
在过去120秒内800个丢包/秒.
fw-dropinspect-drop在过去600秒内400个丢包/秒.
在过去20秒内1600个丢包/秒.
在过去3600秒内400个丢包/秒.
在过去120秒内1600个丢包/秒.
interface-drop在过去600秒内2000个丢包/秒.
在过去20秒内8000个丢包/秒.
在过去3600秒内2000个丢包/秒.
在过去120秒内8000个丢包/秒.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
0(2)添加了此命令.
8.
2(1)突发速率间隔从平均速率的1/60更改为1/30.
1-36思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章使用指南可以为每种事件类型配置最多三个不同的速率间隔.
当您启用基本威胁检测后,ASA会监控由于"语法说明"表中所述事件类型导致的丢包率和安全事件:当ASA检测到威胁时,它会立即发送系统日志消息(733100)并提醒ASDM.
基本威胁检测仅当有丢包或潜在威胁时影响性能;即使在这种情况下,对性能的影响仍然可以忽略.
"默认值"部分中的表1-1列出了默认设置.
您可以使用showrunning-configallthreat-detection命令查看所有这些默认设置.
如果超出事件速率,则ASA将发送系统消息.
ASA跟踪两种类型的速率:在某一间隔内的平均事件率,以及在较短突发间隔内的突发事件率.
对于收到的每个事件,ASA将检查平均速率和突发速率限制;如果两种速率均超出,则ASA将发送两条单独的系统消息,最多允许每种速率类型在每个突发期间发送一条消息.
示例以下示例启用基本威胁检测,然后更改DoS攻击的触发器:ciscoasa(config)#threat-detectionbasic-threatciscoasa(config)#threat-detectionratedos-droprate-interval600average-rate60burst-rate100相关命令命令描述clearthreat-detectionrate清除基本威胁检测统计信息.
showrunning-configallthreat-detection显示威胁检测配置,包括默认速率设置(如果没有单独配置).
showthreat-detectionrate显示基本威胁检测统计信息.
threat-detectionbasic-threat启用基本威胁检测.
threat-detectionscanning-threat启用扫描威胁检测.
1-37思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章threat-detectionscanning-threat要启用扫描威胁检测,请在全局配置模式下使用threat-detectionscanning-threat命令.
要禁用扫描威胁检测,请使用此命令的no形式.
threat-detectionscanning-threat[shun[except{ip-addressip_addressmask|object-groupnetwork_object_group_id}|durationseconds]]nothreat-detectionscanning-threat[shun[except{ip-addressip_addressmask|object-groupnetwork_object_group_id}|durationseconds]]语法说明默认值默认回避持续时间为3600秒(1小时).
以下默认速率限制用于扫描攻击事件:命令模式下表展示可输入命令的模式:durationseconds设置回避攻击主机的持续时间,该值介于10到2592000秒之间.
默认时长为3600秒(1小时).
except无需回避的IP地址.
多次输入此命令以标识无需回避的多个IP地址或网络对象组.
ip-addressip_addressmask指定无需回避的IP地址.
object-groupnetwork_object_group_id指定无需回避的网络对象组.
请参阅object-groupnetwork命令以创建对象组.
shun当ASA将主机标识为攻击者时,除了发送系统日志消息733101以外,自动终止主机连接.
表1-3扫描威胁检测的默认速率限制平均速率突发速率在过去600秒内5个丢包/秒.
在过去20秒内10个丢包/秒.
在过去3600秒内5个丢包/秒.
在过去120秒内10个丢包/秒.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--1-38思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章命令历史记录使用指南典型的扫描攻击包含测试子网中每个IP地址可达性(通过扫描子网中的多台主机或扫描主机或子网中的多个端口)的主机.
扫描威胁检测功能确定主机何时执行扫描.
与基于流量签名的IPS扫描检测不同,ASA扫描威胁检测功能维护包含可分析扫描活动的主机统计信息的广泛数据库.
主机数据库跟踪可疑的活动(例如没有返回活动的连接、访问关闭的服务端口、如非随机IPID等易受攻击的TCP行为以及更多行为).
小心扫描威胁检测功能可以显著影响ASA性能和内存,同时创建和收集基于主机和子网的数据结构和信息.
可以将ASA配置为发送关于攻击者的系统日志消息,也可以自动回避该主机.
默认情况下,主机被标识为攻击者后,将生成系统日志消息730101.
超出扫描威胁事件速率后,ASA会标识攻击者和目标.
ASA跟踪两种类型的速率:在某一间隔内的平均事件率,以及在较短突发间隔内的突发事件率.
对于被视为扫描攻击组成部分的检测到的每个事件,ASA会检查平均和突发速率限制.
如果从主机发送的流量超出任一速率,则该主机被视为攻击者.
如果主机接收的流量超出任一速率,则该主机被视为目标.
您可以使用threat-detectionratescanning-threat命令更改扫描威胁事件的速率限制.
要查看归类为攻击者或目标的主机,请使用showthreat-detectionscanning-threat命令.
要查看回避的主机,请使用showthreat-detectionshun命令.
要释放回避的主机,请使用clearthreat-detectionshun命令.
示例以下示例启用扫描威胁检测并自动回避归类为攻击者的主机,位于10.
1.
1.
0网络上的主机除外.
扫描威胁检测的默认速率限制也将更改.
ciscoasa(config)#threat-detectionscanning-threatshunexceptip-address10.
1.
1.
0255.
255.
255.
0ciscoasa(config)#threat-detectionratescanning-threatrate-interval1200average-rate10burst-rate20ciscoasa(config)#threat-detectionratescanning-threatrate-interval2400average-rate10burst-rate20相关命令版本修改8.
0(2)添加了此命令.
8.
0(4)添加了duration关键字.
命令描述clearthreat-detectionshun释放回避的主机.
showthreat-detectionscanning-threat显示归类为攻击者和目标的主机.
showthreat-detectionshun显示当前回避的主机.
threat-detectionbasic-threat启用基本威胁检测.
threat-detectionrate设置每种事件类型的威胁检测速率限制.
1-39思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章threat-detectionstatistics要启用高级威胁检测统计信息,请在全局配置模式下使用threat-detectionstatistics命令.
要禁用高级威胁检测统计信息,请使用此命令的no形式.
小心启用统计信息可能会影响ASA性能,具体取决于所启用统计信息的类型.
threat-detectionstatisticshost命令会显著影响性能;如果您有高流量负载,可考虑临时启用此类型的统计信息.
不过,threat-detectionstatisticsport命令的影响有限.
threat-detectionstatistics[access-list|[host|port|protocol[number-of-rate{1|2|3}]|tcp-intercept[rate-intervalminutes][burst-rateattacks_per_sec][average-rateattacks_per_sec]]nothreat-detectionstatistics[access-list|host|port|protocol|tcp-intercept[rate-intervalminutes][burst-rateattacks_per_sec][average-rateattacks_per_sec]]语法说明默认值默认情况下,访问列表统计信息已启用.
如果没有在此命令中指定任何选项,则启用所有选项.
默认tcp-interceptrate-interval为30分钟.
默认burst-rate为每秒400次.
默认average-rate为每秒200次.
access-list(可选)启用访问列表拒绝的统计信息.
访问列表统计信息仅当使用showthreat-detectiontopaccess-list命令时显示.
average-rateattacks_per_sec(可选)对于TCP拦截,设置系统日志消息生成的平均速率阈值,该值介于25到2147483647之间.
默认值为每秒200条消息.
超出平均速率时,将生成系统日志消息733105.
burst-rateattacks_per_sec(可选)对于TCP拦截,设置系统日志消息生成的阈值,该值介于25到2147483647之间.
默认值为每秒400条消息.
超出突发速率时,将生成系统日志消息733104.
host(可选)启用主机统计信息.
只要主机处于活动状态并且位于扫描威胁主机数据库中,即可累积主机统计信息.
处于非活动状态10分钟后,将从数据库中删除主机(并清除统计信息).
number-of-rate{1|2|3}(可选)设置为主机、端口或协议统计信息维护的速率间隔数.
默认速率间隔数为1,该值将保持较低的内存利用率.
要查看更多速率间隔,请将该值设置为2或3.
例如,如果将该值设置为3,则查看过去1小时、8小时和24小时的数据.
如果将此关键字设置为1(默认值),则仅维护最短速率间隔的统计信息.
如果将该值设置为2,则维护最短的两个间隔.
port(可选)启用端口统计信息.
protocol(可选)启用协议统计信息.
rate-intervalminutes(可选)对于TCP拦截,设置历史记录监控时段的大小,该值介于1到1440分钟之间.
默认值为30分钟.
在此间隔期间,ASA会采样攻击数量30次.
tcp-intercept(可选)启用TCP拦截所拦截攻击的统计信息.
请参阅setconnectionembryonic-conn-max命令,或者nat或static命令,以启用TCP拦截.
1-40思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章命令模式下表展示可输入命令的模式:命令历史记录使用指南如果没有在此命令中指定任何选项,则启用所有统计信息.
要仅启用某些统计信息,请对此命令输入每种统计信息类型,不要同时输入不带任何选项的该命令.
可以输入threat-detectionstatistics(不带任何选项),然后通过输入具有统计信息特定选项(例如,threat-detectionstatisticshostnumber-of-rate2)的命令自定义某些统计信息.
如果输入threat-detectionstatistics(不带任何选项),然后输入特定统计信息的命令,但不带任何统计信息特定选项,则该命令没有任何影响,因为命令已启用.
如果输入此命令的no形式,它会删除所有threat-detectionstatistics命令,包括默认情况下已启用的threat-detectionstatisticsaccess-list命令.
使用showthreat-detectionstatistics命令查看统计信息.
您无需使用threat-detectionscanning-threat命令启用扫描威胁检测;您可以单独配置检测和统计信息.
示例以下示例启用除主机以外所有类型的扫描威胁检测和扫描威胁统计信息:ciscoasa(config)#threat-detectionscanning-threatshunexceptip-address10.
1.
1.
0255.
255.
255.
0ciscoasa(config)#threat-detectionstatisticsaccess-listciscoasa(config)#threat-detectionstatisticsportciscoasa(config)#threat-detectionstatisticsprotocolciscoasa(config)#threat-detectionstatisticstcp-intercept相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改8.
0(2)添加了此命令.
8.
0(4)/8.
1(2)添加了tcp-intercept关键字.
8.
1(2)添加了number-of-rates关键字用于主机统计信息,并且默认速率数从3更改为1.
8.
2(1)突发速率间隔从平均速率的1/60更改为1/30.
8.
3(1)添加了number-of-rates关键字用于端口和协议统计信息,并且默认速率数从3更改为1.
命令描述threat-detectionscanning-threat启用扫描威胁检测.
showthreat-detectionstatisticshost显示主机统计信息.
showthreat-detectionmemory显示用于高级威胁检测统计信息的内存.
showthreat-detectionstatisticsport显示端口统计信息.
1-41思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章showthreat-detectionstatisticsprotocol显示协议统计信息.
showthreat-detectionstatisticstop显示前10个统计信息.
命令描述1-42思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章threshold要为SLA监控操作中的超出阈值事件设置阈值,请在SLA监控配置模式下使用threshold命令.
要恢复默认值,请使用此命令的no形式.
thresholdmillisecondsnothreshold语法说明默认值默认阈值为5000毫秒.
命令模式下表展示可输入命令的模式:命令历史记录使用指南阈值仅用于指示超出阈值事件,这不会影响可达性,但可用于评估timeout命令是否正确设置.
示例以下示例配置ID为123的SLA操作并创建ID为1的跟踪条目以跟踪SLA的可达性.
SLA操作频率设置为10秒,阈值设置为2500毫秒而超时值设置为4000毫秒.
ciscoasa(config)#slamonitor123ciscoasa(config-sla-monitor)#typeechoprotocolipIcmpEcho10.
1.
1.
1interfaceoutsideciscoasa(config-sla-monitor-echo)#threshold2500ciscoasa(config-sla-monitor-echo)#timeout4000ciscoasa(config-sla-monitor-echo)#frequency10ciscoasa(config)#slamonitorschedule123lifeforeverstart-timenowciscoasa(config)#track1rtr123reachability相关命令milliseconds指定要声明的上升阀值的毫秒数.
有效值为0至2147483647.
该值不应大于为超时设置的值.
命令模式防火墙模式安全情景路由透明一个多个情景系统SLA监控配置是-是--版本修改7.
2(1)添加了此命令.
命令描述slamonitor定义SLA监控操作.
timeout定义SLA操作等待响应的时间量.
1-43思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章throughputlevel要设置智能许可授权请求的吞吐量级别,请在许可证智能配置模式下使用throughputlevel命令.
要删除吞吐量级别和取消许可您的设备,请使用此命令的no形式.
注此功能仅适用于ASAv.
throughputlevel{100M|1G|2G}nothroughputlevel[100M|1G|2G]语法说明命令默认无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南当您请求或更改吞吐量级别时,必须先退出许可证智能配置模式,更改才能生效.
示例以下示例将功能级别设置为"标准",并将吞吐量级别设置为2G:ciscoasa#licensesmartciscoasa(config-smart-lic)#featuretierstandardciscoasa(config-smart-lic)#throughputlevel2Gciscoasa(config-smart-lic)#exitciscoasa(config)#100M将吞吐量级别设置为100Mbps.
1G将吞吐量级别设置为1Gbps.
2G将吞吐量级别设置为2Gbps.
命令模式防火墙模式安全情景路由透明一个多个情景系统许可证智能配置是是是--版本修改9.
3(2)添加了此命令.
1-44思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章相关命令命令描述call-home配置SmartCallHome.
智能许可使用SmartCallHome基础设施.
clearconfigurelicense清除智能许可配置.
featuretier设置智能许可的功能级别.
http-proxy为智能许可和SmartCallHome设置HTTP(S)代理.
licensesmart让您为智能许可请求许可证授权.
licensesmartderegister从许可证颁发机构注销设备.
licensesmartregister向许可证颁发机构注册设备.
licensesmartrenew续订注册或许可证授权.
servicecall-home启用SmartCallHome.
showlicense显示智能许可状态.
showrunning-configlicense显示智能许可配置.
1-45思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章ticket(已弃用)要配置思科公司间媒体引擎代理的票证纪元和密码,请在UC-IME配置模式下使用ticket命令.
要从代理中删除配置,请使用此命令的no形式.
ticketepochnpasswordpasswordnoticketepochnpasswordpassword语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南配置思科公司间媒体引擎的票证纪元和密码.
纪元包含一个整数,在每次更改密码时更新.
初次配置代理和初次输入密码时,输入1用于纪元整数.
每次更改密码时,增加纪元以指示新密码.
您必须在每次更改密码时递增纪元值.
通常,您可以按顺序递增纪元;但ASA允许您在更新纪元时选择任意值.
如果您更改纪元值,则当前密码失效,并且您必须输入新密码.
我们建议密码至少为20个字符.
一次只能配置一个密码.
票证密码存储在闪存中.
showrunning-configuc-ime命令的输出显示*****而不是密码字符串.
注您在ASA中配置的纪元和密码必须匹配思科公司间媒体引擎服务器上配置的纪元和密码.
有关信息,请参阅思科公司间媒体引擎服务器文档.
n指定两次密码完整性检查之间的时长.
请输入1-255的整数.
password设置思科公司间媒体引擎票证的密码.
输入至少10个、最多64个来自US-ASCII字符集的可打印字符.
允许使用的字符包括0x21到0x73(包含边界),不包含空格字符.
一次只能配置一个密码.
命令模式防火墙模式安全情景路由透明一个多个情景系统UC-IME配置是-是--版本修改8.
3(1)添加了此命令.
9.
4(1)此命令以及所有uc-ime模式命令均已弃用.
1-46思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章示例以下示例展示在思科公司间媒体引擎代理中指定票证和纪元:ciscoasa(config)#uc-imelocal_uc-ime_proxyciscoasa(config-uc-ime)#media-terminationime-media-termciscoasa(config-uc-ime)#ucmaddress192.
168.
10.
30trunk-security-modenon-secureciscoasa(config-uc-ime)#ticketepoch1passwordpassword1234hostname(config-uc-ime)#fallbackmonitoringtimer120hostname(config-uc-ime)#fallbackhold-downtimer30相关命令命令描述showrunning-configuc-ime显示思科公司间媒体引擎代理的运行中配置.
uc-ime在ASA上创建思科公司间媒体引擎代理实例.
1-47思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timeout(aaa-serverhost)要配置与AAA服务器建立连接时放弃之前允许的主机特定最长响应时间(以秒为单位),请在aaa-server主机模式下使用timeout命令.
要删除超时值并将超时重置为默认值10秒,请使用此命令的no形式.
timeoutsecondsnotimeout语法说明默认值默认超时值为10秒.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令对所有AAA服务器协议类型均有效.
使用timeout命令指定的时间长度ASA尝试与AAA服务器进行连接.
使用retry-interval命令指定ASA在两次连接尝试之间等待的时间量.
超时是ASA尝试完成与服务器的事务时花费的总时间量.
重试间隔确定超时时段内通信重试的频率.
因此,如果重试间隔大于或等于超时值,您将不会看到重试.
如果要查看重试,重试间隔必须小于超时值.
示例以下示例在主机1.
2.
3.
4上将名为"svrgrp1"的RADIUSAAA服务器配置为使用超时值30秒,重试间隔10秒.
因此,ASA在30秒之后放弃前会尝试通信尝试三次.
ciscoasa(config)#aaa-serversvrgrp1protocolradiusciscoasa(config-aaa-server-group)#aaa-serversvrgrp1host1.
2.
3.
4ciscoasa(config-aaa-server-host)#timeout30ciscoasa(config-aaa-server-host)#retry-interval10ciscoasa(config-aaa-server-host)#seconds指定请求的超时间隔(1-60秒).
这是ASA放弃对主要AAA服务器的请求之前经过的时间.
如果有备用AAA服务器,则ASA会将请求发送到备用服务器.
命令模式防火墙模式安全情景路由透明一个多个情景系统aaa-server主机配置是是是是-版本修改7.
0(1)添加了此命令.
1-48思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章相关命令命令描述aaa-serverhost进入aaaserver主机配置模式,以便能够配置主机特定的AAA服务器参数.
clearconfigureaaa-server从配置中删除所有AAA命令语句.
showrunning-configaaa显示当前AAA配置值.
1-49思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timeout(dnsserver-group)要指定尝试下一个DNS服务器之前等待的时间量,请在dns-server-group配置模式下使用timeout命令.
要恢复默认超时,请使用此命令的no形式.
timeoutsecondsnotimeout[seconds]语法说明默认值默认的超时时间为2秒.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例将DNS服务器组"dnsgroup1"的超时设置为1秒:ciscoasa(config)#dnsserver-groupdnsgroup1ciscoasa(config-dns-server-group)#dnstimeout1相关命令seconds指定介于1到30之间的超时(以秒为单位).
默认值为2秒.
每次ASA重试服务器列表,此超时将加倍.
在dns-server-group配置模式下使用retries命令以配置重试次数.
命令模式防火墙模式安全情景路由透明一个多个情景系统DNS服务器组配置是是是是-版本修改7.
1(1)添加了此命令.
命令描述clearconfiguredns删除所有用户创建的DNS服务器组并将默认服务器组的属性重置为默认值.
domain-name设置默认域名.
retries指定当ASA没有收到回应时DNS服务器列表的重试次数.
showrunning-configdnsserver-group显示当前运行的DNS服务器组配置.
1-50思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timeout(global)要设置各项功能的全局最长空闲时间的持续时间,请在全局配置模式下使用timeout命令.
要将所有超时设置为默认值,请使用此命令的no形式.
要将一项功能重置为其默认值,请重新输入timeout命令及默认值.
timeout{conn|conn-holddown|floating-conn|h225|h323|half-closed|icmp|icmp-error|igpstale-route|mgcp|mgcp-pat|pat-xlate|sctp|sip|sip-disconnect|sip-invite|sip_media|sip-provisional-media|sunrpc|tcp-proxy-reassembly|udp|xlate}hh:mm:sstimeoutuauthhh:mm:ss[absolute|inactivity]notimeout语法说明absolute(对于uauth可选)需要在uauth超时过期后重新验证.
默认情况下,absolute关键字已启用.
要将uauth计时器设置为在经过非活动时段后超时,请输入inactivity关键字代替.
conn指定连接关闭之前经过的空闲时间,该值介于0:5:0到1193:0:0之间.
默认值为1小时(1:0:0).
使用0表示连接永不超时.
conn-holddown系统应在该连接使用的路由不再存在或处于非活动状态时维持连接的时间长度.
如果在此等待期间内路由未处于活动状态,系统将释放该连接.
配置连接等待计时器的目的是为了降低路由摆动的影响,其中路由可能会快速显示和断开.
您可以减小等待计时器,以便更快地进行路由融合.
默认值为15秒,范围介于00:00:00到00:00:15秒之间.
floating-conn当多个路由共存于一个具有不同性能的网络时,ASA在创建连接时使用性能最好的路由.
如果有更好的路由变得可用,则此超时可让连接关闭,以便使用更好的路由重新建立连接.
默认值为0(连接永不超时).
为了可以使用更好的路由,请将超时设置为0:0:30至1193:0:0之间的值.
hh:mm:ss以小时、分钟和秒钟为单位指定超时.
如果可用,使用0表示连接永不超时.
h225指定H.
225信令连接关闭之前经过的空闲时间,该值介于0:0:0到1193:0:0之间.
默认值为1小时(1:0:0).
超时值0:0:1会在清除所有呼叫后立即禁用计时器并关闭TCP连接.
h323指定H.
245(TCP)和H.
323(UDP)媒体连接关闭之前经过的空闲时间,该值介于0:0:0到1193:0:0之间.
默认值为5分钟(0:5:0).
由于H.
245和H.
323媒体连接上设置的连接标志相同,因此H.
245(TCP)连接与H.
323(RTP和RTCP)媒体连接共享空闲超时.
half-closed指定释放TCP半关闭连接之前经过的空闲时间,该值介于0:5:0(适用于9.
1(1)及更早版本)或0:0:30(适用于9.
1(2)及更高版本)到1193:0:0之间.
默认值为10分钟(0:10:0).
使用0表示连接永不超时.
icmp指定ICMP的空闲时间,该值介于0:0:2到1193:0:0之间.
默认值为2秒(0:0:2).
icmp-error指定ASA在收到ICMP回应应答数据包后删除ICMP连接之前的空闲时间,该值介于0:0:0到0:1:0之间;或者为timeouticmp值,以较低者为准.
默认为0(禁用).
如果禁用此超时并启用ICMP检测,ASA将在收到回应应答后立即删除ICMP连接;因此,针对该(现已关闭)连接生成的任何ICMP错误都将被丢弃.
此超时可以延迟删除ICMP连接,使您能够接收重要的ICMP错误.
1-51思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章默认值默认值如下:conn为1小时(1:0:0).
conn-holddown为15秒(0:0:15).
floating-conn永不超时(0).
igpstale-route指定闲置时间,也就是将过时的路由从路由器信息库中删除前将它保存多长时间.
这些路由供内部网关协议(例如OSPF)使用.
默认值为70秒(00:01:10),范围介于00:00:10到00:01:40之间.
inactivity(对于uauth可选)需要在非活动超时过期后重新验证uauth.
mgcp设置删除MGCP媒体连接之前经过的空闲时间,该值介于0:0:0到1193:0:0之间.
默认值为5分钟(0:5:0)mgcp-pat设置删除MGCPPAT转换之前经过的绝对间隔,该值介于0:0:0到1193:0:0之间.
默认值为5分钟(0:5:0).
pat-xlate指定释放PAT转换插槽之前经过的空闲时间,该值介于0:0:30到0:5:0之间.
默认值为30秒.
如果上游路由器拒绝使用释放的PAT端口的新连接,您可能会想要增加超时,因为以前的连接在上游设备中可能仍处于开放状态.
sctp指定流控制传输协议(SCTP)连接关闭之前允许的空闲时间,该值介于0:1:0到1193:0:0之间.
默认值为2分钟(0:2:0).
sip指定SIP控制连接关闭之前经过的空闲时间,该值介于0:5:0到1193:0:0之间.
默认值为30分钟(0:30:0).
使用0表示连接永不超时.
sip-disconnect指定CANCEL或BYE消息未收到200OK时,删除SIP会话之前经过的空闲时间,该值介于0:0:1到00:10:0之间.
默认值为2分钟(0:2:0).
sip-invite(可选)指定PROVISIONAL响应和媒体xlate的针孔关闭之前经过的空闲时间,该值介于0:1:0到1193:0:0之间.
默认值为3分钟(0:3:0).
sip_media指定SIP媒体连接关闭之前经过的空闲时间,该值介于0:1:0到1193:0:0之间.
默认值为2分钟(0:2:0).
使用0表示连接永不超时.
SIP媒体计时器用于具有SIPUDP媒体数据包的SIPRTP/RTCP,而不是UDP非活动超时.
sip-provisional-media指定SIP临时媒体连接的超时值,该值介于0:1:0到1193:0:0之间.
默认值为2分钟(0:2:0).
sunrpc指定SUNRPC插槽关闭之前经过的空闲时间,该值介于0:1:0到1193:0:0之间.
默认值为10分钟(0:10:0).
使用0表示连接永不超时.
tcp-proxy-reassembly配置丢弃等待重组的缓冲数据包之前经过的空闲超时,该值介于0:0:10到1193:0:0之间.
默认值为1分钟(0:1:0).
uauth指定身份验证和授权缓存超时并且用户必须重新验证下一连接之前经过的持续时间,该值介于0:0:0到1193:0:0之间.
默认值为5分钟(0:5:0).
默认计时器为absolute;可以通过输入inactivity关键字将超时设置为经过非活动时段后发生.
uauth持续时间必须比xlate持续时间短.
设置为0表示禁用缓存.
如果连接使用被动FTP或使用virtualhttp命令进行网络身份验证,请勿使用0.
udp指定释放UDP插槽之前经过的空闲时间,该值介于0:1:0到1193:0:0之间.
默认值为2分钟(0:2:0).
使用0表示连接永不超时.
xlate指定释放转换插槽之前经过的空闲时间,该值介于0:1:0到1193:0:0之间.
默认值为3小时(3:0:0).
1-52思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章h225为1小时(1:0:0).
h323为5分钟(0:5:0).
half-closed为10分钟(0:10:0).
icmp为2秒(0:0:2).
icmp-error永不超时(0).
igpstale-route为70秒(00:01:10).
mgcp为5分钟(0:5:0).
mgcp-pat为5分钟(0:5:0).
rpc为5分钟(0:5:0).
sctp为2分钟(0:2:0).
sip为30分钟(0:30:0).
sip-disconnect为2分钟(0:2:0).
sip-invite为3分钟(0:3:0).
sip_media为2分钟(0:2:0).
sip-provisional-media为2分钟(0:2:0).
sunrpc为10分钟(0:10:0).
tcp-proxy-reassembly为1分钟(0:1:0).
uauth为5分钟(0:5:0)绝对值.
udp为2分钟(0:02:0).
xlate为3小时(3:0:0).
命令模式下表展示可输入命令的模式:命令历史记录命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置模式是是是是-版本修改7.
2(1)已添加mgcp-pat、sip-disconnect和sip-invite关键字.
7.
2(4)/8.
0(4)添加了sip-provisional-media关键字.
7.
2(5)/8.
0(5)/8.
1(2)/8.
2(1)添加了tcp-proxy-reassembly关键字.
8.
2(5)/8.
4(2)添加了floating-conn关键字.
8.
4(3)添加了pat-xlate关键字.
9.
1(2)half-closed最小值已降至30秒(0:0:30).
9.
4(3)/9.
6(2)已添加conn-holddown关键字.
9.
5(2)已添加sctp关键字.
1-53思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章使用指南timeout命令可让您设置全局超时.
对于某些功能,setconnectiontimeout命令优先使用该命令中标识的流量.
您可以在timeout命令后输入多个关键字和值.
连接计时器(conn)优先于转换计时器(xlate);转换计时器仅当所有连接均已超时后有效.
示例以下示例展示如何配置最长空闲时间的持续时间:ciscoasa(config)#timeoutuauth0:5:0absoluteuauth0:4:0inactivityciscoasa(config)#showrunning-configtimeouttimeoutxlate3:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00timeoutuauth0:05:00absoluteuauth0:04:00inactivity相关命令9.
7(1)已添加igpstale-route关键字.
9.
8(1)已添加icmp-error关键字.
版本修改命令描述clearconfiguretimeout清除超时配置并将其重置为默认值.
setconnectiontimeout使用模块化策略框架设置连接超时.
showrunning-configtimeout显示指定协议的超时值.
1-54思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timeout(policy-maptypeinspectgtp>parameters)要更改GTP会话的非活动计时器,请在参数配置模式下使用timeout命令.
您可以通过先输入policy-maptypeinspectgtp命令来访问参数配置模式.
使用此命令的no形式将这些间隔设置为其默认值.
timeout{endpoint|gsn|pdp-context|request|signaling|t3-response|tunnel}hh:mm:ssnotimeout{endpoint|gsn|pdp-context|request|signaling|t3-response|tunnel}hh:mm:ss语法说明默认值endpoint、gsn、pdp-context和signaling的默认值为30分钟.
request的默认值为1分钟.
tunnel的默认值为1小时(如果没有收到删除PDP情景请求).
t3-response的默认值为20秒.
命令模式下表展示可输入命令的模式:命令历史记录hh:mm:ss指定服务的空闲超时(以"小时:分钟:秒"格式).
如果不想设置超时,请指定数字0.
endpoint删除GTP终端之前允许处于非活动状态的最长时间.
gsn删除GSN之前允许处于非活动状态的最长时间.
从9.
5(1)开始,此关键字已移除,且替换为endpoint关键字.
pdp-context删除GTP会话的PDP情景前允许处于非活动状态的最长时间.
在GTPv2中,这属于承载情景.
request从请求队列中删除某个请求之前允许处于非活动状态的最长时间.
对丢弃请求的任何后续响应也将被丢弃.
signaling删除GTP信令之前允许处于非活动状态的最长时间.
t3-response删除连接前等待响应的最长时间.
tunnel终止GTP隧道之前允许处于非活动状态的最长时间.
命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改7.
0(1)添加了此命令.
9.
5(1)gsn关键字已替换为endpoint.
1-55思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章使用指南使用此命令更改GTP检测中所用的默认超时.
示例以下示例将请求队列的超时值设置为2分钟:ciscoasa(config)#policy-maptypeinspectgtpgtp-policyciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#timeoutrequest00:02:00相关命令命令描述clearservice-policyinspectgtp将清除全局GTP统计数据.
inspectgtp适用于特定的GTP映射,以用于应用检查.
showservice-policyinspectgtp显示GTP配置.
1-56思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timeout(policy-maptypeinspectm3ua>parameters)要更改M3UA会话的非活动计时器,请在参数配置模式使用timeout命令.
您可以通过先输入policy-maptypeinspectm3ua命令来访问参数配置模式.
使用此命令的no形式将这些间隔设置为其默认值.
timeout{endpoint|session}hh:mm:ssnotimeout{endpoint|session}hh:mm:ss语法说明默认值endpoint和session的默认值为30分钟.
命令模式下表展示可输入命令的模式:命令历史记录使用指南使用此命令更改在M3UA检测中使用的默认超时.
示例以下示例为终端设置45分钟的超时.
ciscoasa(config)#policy-maptypeinspectm3uam3ua-mapciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#timeoutendpoint00:45:00hh:mm:ss指定服务的空闲超时(以"小时:分钟:秒"格式).
如果不想设置超时,请指定数字0.
endpoint删除M3UA终端统计信息之前允许处于非活动状态的最长时间.
默认值为30分钟.
session如果启用严格ASP状态验证,则表示删除M3UA会话之前的空闲超时,该值的格式为hh:mm:ss.
默认值为30分钟(00:30:00).
禁用此超时可防止系统删除过时的会话.
命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改9.
6(2)添加了此命令.
9.
7(1)已添加了session关键字.
1-57思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章相关命令命令描述inspectm3ua启用M3UA检测.
policy-maptypeinspect创建检查策略映射.
showservice-policyinspectm3ua显示M3UA统计信息.
strict-asp-state启用严格M3UAASP状态验证.
1-58思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timeout(policy-maptypeinspectradius-accounting>parameters)要更改RADIUS记帐用户的非活动计时器,请在参数配置模式下使用timeout命令.
您可以通过先输入policy-maptypeinspectradius-accounting命令来访问参数配置模式.
使用此命令的no形式将这些间隔设置为其默认值.
timeoutusershh:mm:ssnotimeoutusershh:mm:ss语法说明默认值用户的默认超时为一小时.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例将用户的超时值设置为10分钟:hostname(config)#policy-maptypeinspectradius-accountingraciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#timeoutuser00:10:00相关命令hh:mm:ss此项为超时,其中hh指定小时,mm指定分钟,ss指定秒钟,而冒号(:)分隔这三个组成部分.
值0表示永不立即关闭.
默认值为一小时.
users指定用户的超时.
命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改7.
2(1)添加了此命令.
命令描述inspectradius-accounting设置RADIUS记账的检查.
parameters设置检查策略映射的参数.
1-59思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timeout(typeecho)要设置SLA操作等待请求数据包响应的时间量,请在typeecho配置模式下使用timeout命令.
您可以通过首先输入slamonitor命令来访问typeecho配置模式.
要恢复默认值,请使用此命令的no形式.
timeoutmillisecondsnotimeout语法说明默认值默认超时值为5000毫秒.
命令模式下表展示可输入命令的模式:命令历史记录使用指南使用frequency命令设置SLA操作发出请求数据包的频率,使用timeout命令设置SLA操作等待接收这些请求响应的时长.
为timeout命令指定的值不能大于为frequency命令指定的值.
示例以下示例配置ID为123的SLA操作并创建ID为1的跟踪条目以跟踪SLA的可达性.
SLA操作频率设置为10秒,阈值设置为2500毫秒而超时值设置为4000毫秒.
ciscoasa(config)#slamonitor123ciscoasa(config-sla-monitor)#typeechoprotocolipIcmpEcho10.
1.
1.
1interfaceoutsideciscoasa(config-sla-monitor-echo)#threshold2500ciscoasa(config-sla-monitor-echo)#timeout4000ciscoasa(config-sla-monitor-echo)#frequency10ciscoasa(config)#slamonitorschedule123lifeforeverstart-timenowciscoasa(config)#track1rtr123reachability相关命令毫秒0到604800000.
命令模式防火墙模式安全情景路由透明一个多个情景系统Typeecho配置是-是--版本修改7.
2(1)添加了此命令.
命令描述frequency指定SLA操作重复的速率.
slamonitor定义SLA监控操作.
1-60思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timeoutassertion要配置SAML超时,请在webvpn配置模式下使用timeoutassertion命令:timeoutassertionnumberofseconds语法说明默认值默认值为none,这意味着断言中的NotBefore和NotOnOrAfter确定有效性.
命令模式下表展示可输入命令的模式:命令历史记录使用指南如果指定,则在NotBefore和超时秒数之和早于NotOnOrAfter的情况下,此配置会覆盖NotOnOrAfter.
如果不指定,则断言中的NotBefore和NotOnOrAfter用于确定有效性.
在config-webvpn-saml-idp下面输入超时值时,断言和秒数值均为必填.
示例以下示例配置基于无客户端VPN的URL、SAML请求签名和SAML断言超时:ciscoasa(config-webvpn-saml-idp)#baseurlhttps://172.
23.
34.
222ciscoasa(config-webvpn-saml-idp)#signatureciscoasa(config-webvpn-saml-idp)#timeoutassertion7200numberofsecondsSAMLIdP超时(以秒为单位).
命令模式防火墙模式安全情景路由透明一个多个情景系统configwebVPN是是是是-版本修改9.
5.
2添加了此命令.
1-61思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timeoutpinhole要配置DCERPC针孔的超时并覆盖两分钟的全局系统针孔超时,请在参数配置模式下使用timeoutpinhole命令.
参数配置模式可从策略映射配置模式访问.
要禁用此功能,请使用此命令的no形式.
timeoutpinholehh:mm:ssnotimeoutpinhole语法说明默认值此命令默认禁用.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示如何在DCERPC检查策略映射中配置针孔连接的针孔超时:ciscoasa(config)#policy-maptypeinspectdcerpcdcerpc_mapciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#timeoutpinhole0:10:00相关命令hh:mm:ss针孔连接的超时.
该值介于0:0:1到1193:0:0之间.
命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改7.
2(1)添加了此命令.
命令描述class在策略映射中标识类映射名称.
class-maptypeinspect创建检查类映射以匹配特定于应用的流量.
policy-map创建第3/4层策略映射.
showrunning-configpolicy-map显示所有当前的策略映射配置.
1-62思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timeoutsecure-phones(已弃用)要配置从电话代理数据库删除secure-phone条目之前经过的空闲超时,请在phone-proxy配置模式下使用timeoutsecure-phones命令.
要将超时值恢复为默认值5分钟,请使用此命令的no形式.
timeoutsecure-phoneshh:mm:ssnotimeoutsecure-phoneshh:mm:ss语法说明默认值安全电话超时的默认值为5分钟.
命令模式下表展示可输入命令的模式:命令历史记录使用指南由于安全电话始终在启动时请求CTL文件,因此电话代理会创建将电话标记为安全的数据库.
安全电话数据库中的条目在经过指定的配置超时后将被删除(通过timeoutsecure-phones命令).
条目的时间戳在每次注册时更新以刷新SIP电话接收的电话代理和SCCP电话的Keepalive.
timeoutsecure-phones命令的默认值为5分钟.
指定大于SCCPKeepalive和SIP注册刷新最大超时值的值.
例如,如果SCCPKeepalive配置为1分钟的间隔,而SIP注册刷新配置为3分钟,请将此超时值配置为大于3分钟.
示例以下示例展示使用timeoutsecure-phones命令在3分钟后将电话代理配置为安全电话数据库中的超时条目:ciscoasa(config)#phone-proxyasa_phone_proxyciscoasa(config-phone-proxy)#tftp-serveraddress192.
168.
1.
2ininterfaceoutsideciscoasa(config-phone-proxy)#tftp-serveraddress192.
168.
1.
3ininterfaceoutsideciscoasa(config-phone-proxy)#media-terminationaddress192.
168.
1.
4ciscoasa(config-phone-proxy)#tls-proxyasa_tlspciscoasa(config-phone-proxy)#ctl-fileasactlciscoasa(config-phone-proxy)#timeoutsecure-phones00:03:00hh:mm:ss指定删除对象之前经过的空闲超时.
默认值为5分钟.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改8.
0(4)添加了此命令.
9.
4(1)此命令以及所有phone-proxy模式命令均已弃用.
1-63思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章相关命令命令描述phone-proxy配置电话代理实例.
1-64思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章time-range要进入time-range配置模式并定义可附加到流量规则或操作的时间范围,请在全局配置模式下使用time-range命令.
要禁用,请使用此命令的no形式.
time-rangenamenotime-rangename语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南创建时间范围并不会限制对设备的访问.
time-range命令仅定义时间范围.
定义时间范围之后,您可以将其附加到流量规则或操作.
要实施基于时间的ACL,请使用time-range命令定义某日和周的特定时间.
然后,使用access-listextendedtime-range命令将时间范围与ACL绑定.
时间范围依赖于ASA的系统时钟;但是,该功能与NTP同步配合使用效果最佳.
示例以下示例创建一个名为"New_York_Minute"的时间范围,然后进入timerange配置模式:ciscoasa(config)#time-rangeNew_York_Minuteciscoasa(config-time-range)#创建时间范围并进入time-range配置模式后,您可以使用absolute和periodic命令定义时间范围参数.
要恢复time-range命令absolute和periodic关键字的默认设置,请在time-range配置模式下使用default命令.
name时间范围的名称.
名称不得超过64个字符.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改7.
0(1)添加了此命令.
1-65思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章要实施基于时间的ACL,请使用time-range命令定义某日和周的特定时间.
然后,使用access-listextended命令将时间范围与ACL绑定.
以下示例将名为"Sales"的ACL与名为"New_York_Minute"的时间范围绑定:ciscoasa(config)#access-listSalesline1extendeddenytcphost209.
165.
200.
225host209.
165.
201.
1time-rangeNew_York_Minuteciscoasa(config)#有关ACL的详细信息,请参阅access-listextended命令.
相关命令命令描述absolute定义时间范围生效时的绝对时间.
access-listextended配置允许或拒绝IP流量通过ASA的策略.
default恢复time-range命令absolute和periodic关键字的默认设置.
periodic指定支持time-range功能的各功能的重复(每周)时间范围.
1-66思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timersbgp要调整BGP网络计时器,请在路由器bgp配置模式下使用timersbgp命令.
要重置BGP计时默认值,请使用此命令的no形式.
timersbgpkeepaliveholdtime[min-holdtime]notimersbgpkeepaliveholdtime[min-holdtime]语法说明默认值keepalive:60秒holdtime:180秒命令模式下表展示可输入命令的模式:命令历史记录使用指南当holdtime参数配置的值小于20秒时,将显示以下警告:Aholdtimeoflessthan20secondsincreasesthechancesofpeerflapping(保持时间小于20秒会增加对等设备摆动的几率)如果最短可接受保持时间的时间间隔大于指定的保持时间,将显示一条通知:Minimumacceptableholdtimeshouldbelessthanorequaltotheconfiguredholdtime(最短可接受保持时间应小于或等于配置的保持时间)注如果在BGP路由器上配置最短可接受保持时间,则仅当远程对等设备通告的保持时间等于或大于最短可接受保持时间的时间间隔时,才建立远程BGP对等会话.
如果最短可接受保持时间的时间间隔大于配置的保持时间,则下次尝试建立远程会话将失败,并且本地路由器将发送通知表明"不可接受的保持时间".
keepalive思科IOS软件将keepalive消息发送到其对等设备的频率(以秒为单位).
默认值为60秒.
范围是从0到65535.
holdtime时间间隔(以秒为单位),若经过该时间后未收到keepalive消息,软件声明对等设备失效.
默认值为180秒.
范围是从0到65535.
min-holdtime(可选)指定来自BGP邻居的最短可接受保持时间的时间间隔(以秒为单位).
最短可接受保持时间必须小于或等于在holdtime参数中指定的时间间隔.
范围是从0到65535.
命令模式防火墙模式安全情景路由透明一个多个情景系统路由器bgp配置是-是是-版本修改9.
2(1)添加了此命令.
1-67思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章示例以下示例将keepalive计时器更改为70秒、hold-time计时器更改为130秒,并将最短可接受保持时间的时间间隔更改为100秒:ciscoasa(config)#routerbgp45000ciscoasa(config-router)#timersbgp701301001-68思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timerslsaarrival要设置ASA接受来自OSPFv3邻居的相同LSA的最短间隔,请在IPv6路由器配置模式下使用timerslsaarrival命令.
要恢复默认值,请使用此命令的no形式.
timerslsaarrivalmillisecondsnotimerslsaarrivalmilliseconds语法说明默认值默认值为1000毫秒.
命令模式下表展示可输入命令的模式:命令历史记录使用指南使用此命令指示两次接受从邻居到达的相同LSA必须经过的最短间隔.
示例以下示例将接受相同LSA的最短间隔设置为2000毫秒:ciscoasa(config-if)#ipv6routerospf1ciscoasa(config-rtr)#log-adjacency-changesciscoasa(config-rtr)#timerslsaarrival2000相关命令milliseconds指定两次接受到达邻居之间相同LSA必须经过的最短延迟(以毫秒为单位).
有效值为0到600,000毫秒.
命令模式防火墙模式安全情景路由透明一个多个情景系统IPv6路由器配置是-是--版本修改9.
0(1)添加了此命令.
命令描述ipv6routerospfOSPFv3进入路由器配置模式.
showipv6ospf显示关于OSPFv3路由过程的一般信息.
timerspacingflood配置OSPFv3路由过程的LSA泛洪数据包定步.
1-69思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timerslsa-group-pacing要指定将OSPF链路状态通告(LSA)收集到组中以及刷新、验证校验和或老化的间隔,请在路由器配置模式下使用timerslsa-group-pacing命令.
要恢复默认值,请使用此命令的no形式.
timerslsa-group-pacingsecondsnotimerslsa-group-pacing[seconds]语法说明默认值默认间隔为240秒.
命令模式下表展示可输入命令的模式:命令历史记录使用指南要更改将OSPF链路状态通告(LSA)收集到组中以及刷新、验证校验和或老化的间隔,请使用timerslsa-group-pacingseconds命令.
要恢复计时器默认值,请使用notimerslsa-group-pacing命令.
示例以下示例将LSA的组处理间隔设置为500秒:ciscoasa(config-rtr)#timerslsa-group-pacing500ciscoasa(config-rtr)#相关命令seconds将OSPF链路状态通告(LSA)收集到组中以及刷新、验证校验和或老化的间隔.
有效值范围为10到1800秒.
命令模式防火墙模式安全情景路由透明一个多个情景系统路由器配置是-是--版本修改7.
0(1)添加了此命令.
命令描述routerospf进入路由器配置模式.
showospf显示关于OSPF路由过程的一般信息.
timersspf指定最短路径优先(SPF)计算延迟和保持时间1-70思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timerspacingflood要配置LSA泛洪数据包定步,请在IPv6路由器配置模式下使用timerspacingflood命令.
要恢复默认泛洪数据包定步值,请使用此命令的no形式.
timerspacingfloodmillisecondsnotimerspacingfloodmilliseconds语法说明默认值默认值为33毫秒.
命令模式下表展示可输入命令的模式:命令历史记录使用指南使用此命令以配置LSA泛洪数据包定步.
示例以下示例将LSA泛洪数据包定步更新配置为以20毫秒的间隔对OSPFv3进行:ciscoasa(config-if)#ipv6routerospf1ciscoasa(config-rtr)#timerspacingflood20相关命令milliseconds指定泛洪队列中的LSA在两次更新之间定步的时间(以毫秒为单位).
可配置范围是从5到100毫秒.
命令模式防火墙模式安全情景路由透明一个多个情景系统IPv6路由器配置是-是--版本修改9.
0(1)添加了此命令.
命令描述ipv6routerospf进入IPv6路由器配置模式.
timerspacinglsa-group指定将OSPFv3LSA收集到组中以及刷新、验证校验和或老化的间隔.
1-71思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timerspacinglsa-group要指定将OSPFv3LSA收集到组中以及刷新、验证校验和或老化的间隔,请在IPv6路由器配置模式下使用timerspacinglsa-group命令.
要恢复默认值,请使用此命令的no形式.
timerspacinglsa-groupsecondsnotimerspacinglsa-group[seconds]语法说明默认值默认间隔为240秒.
命令模式下表展示可输入命令的模式:命令历史记录使用指南使用此命令指示将OSPFv3LSA收集到组中以及刷新、验证校验和或老化的间隔.
示例以下示例将LSA组之间的OSPFv3组数据包定步更新配置为以300秒的间隔对OSPFv3路由过程1进行:ciscoasa(config-if)#ipv6routerospf1ciscoasa(config-rtr)#timerspacinglsa-group300相关命令seconds指定将LSA收集到组中以及刷新、验证校验和或老化的间隔秒数.
有效值范围为10到1800秒.
命令模式防火墙模式安全情景路由透明一个多个情景系统IPv6路由器配置是-是--版本修改9.
0(1)添加了此命令.
命令描述ipv6routerospf进入IPv6路由器配置模式.
showipv6ospf显示关于OSPFv3路由过程的一般信息.
timerspacingflood配置OSPFv3路由过程的LSA泛洪数据包定步.
timerspacingretransmission配置LSA重新传输数据包定步.
1-72思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timerspacingretransmission要配置链路状态通告(LSA)重新传输数据包定步,请在路由器配置模式下使用timerspacingretransmission命令.
要恢复默认重新传输数据包定步值,请使用此命令的no形式.
timerspacingretransmissionmillisecondsnotimerspacingretransmission语法说明默认值默认间隔为66毫秒.
命令模式下表展示可输入命令的模式:命令历史记录使用指南配置开放最短路径优先(OSPF)重新传输定步计时器,以便控制OSPF重新传输队列中后续链路状态更新数据包之间的数据包间间隔.
此命令可用于控制进行LSA更新的速率,以便区域泛洪大量LSA时能够降低可能出现的高CPU或缓冲区利用率.
OSPF数据包重新传输定步计时器的默认设置适合大多数OSPF部署.
注除非满足OSPF数据包泛洪要求的所有其他选项均已用尽,否则请勿更改数据包重新传输定步计时器.
具体而言,网络运营商应首选使用汇总、末节区域使用、队列调整和缓冲区调整,然后再更改默认泛洪计时器.
此外,更改计时器值没有任何指导;每个OSPF部署都是唯一的,因此应依据个案而定.
网络运营商应承担与更改默认数据包重新传输定步计时器值有关的风险.
示例以下示例将LSA泛洪定步更新配置为以55毫秒的间隔对OSPF路由过程1进行:hostname(config)#routerospf1hostname(config-router)#timerspacingretransmission55milliseconds指定重新传输队列中的LSA定步的时间间隔(以毫秒为单位).
有效值为5毫秒到200毫秒.
命令模式防火墙模式安全情景路由透明一个多个情景系统IPv6路由器配置是-是--版本修改9.
2(1)添加了此命令.
1-73思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章相关命令命令描述ipv6routerospf进入IPv6路由器配置模式.
showipv6ospf显示关于OSPFv3路由过程的一般信息.
timerspacingflood配置OSPFv3路由过程的LSA泛洪数据包定步.
1-74思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timersspf要指定最短路径优先(SPF)计算延迟和保持时间,请在路由器配置模式下使用timersspf命令.
要恢复默认值,请使用此命令的no形式.
timersspfdelayholdtimenotimersspf[delayholdtime]语法说明默认值默认值如下:delay为5秒.
holdtime为10秒.
命令模式下表展示可输入命令的模式:命令历史记录使用指南要配置OSPF协议收到拓扑更改与启动计算之间的延迟时间,以及两个连续SPF计算之间的保持时间,请使用timersspf命令.
要恢复计时器默认值,请使用notimersspf命令.
示例以下示例将SPF计算延迟设置为10秒,将SPF计算保持时间设置为20秒:ciscoasa(config-router)#timersspf1020ciscoasa(config-router)#delay指定OSPF收到拓扑更改与启动最短路径优先(SPF)计算之间的延迟时间(以秒为单位),该值为1到65535.
holdtime两个连续SPF计算之间的保持时间(以秒为单位);有效值为1到65535.
命令模式防火墙模式安全情景路由透明一个多个情景系统路由器配置是-是是-版本修改7.
0(1)添加了此命令.
9.
0(1)增加了多情景模式支持.
1-75思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章相关命令命令描述routerospf进入路由器配置模式.
showospf显示关于OSPF路由过程的一般信息.
timerslsa-group-pacing指定收集以及刷新、验证校验和或老化OSPF链路状态通告(LSA)的间隔.
1-76思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timersthrottle要为"开放最短路径优先"(OSPF)链路状态通告(LSA)生成过程或SPF生成过程设置速率限制值,请在路由器ospf或ipv6路由器ospf配置模式下使用timersthrottle命令.
要恢复默认值,请使用此命令的no形式.
timersthrottle{lsa|spf}start-intervalhold-intervalmax-intervalnotimersthrottle{lsa|spf}语法说明默认值LSA限制:对于start-interval,默认值为0毫秒.
对于hold-interval,默认值为5000毫秒.
对于max-interval,默认值为5000毫秒.
SPF限制:对于start-interval,默认值为5000毫秒.
对于hold-interval,默认值为10000毫秒.
对于max-interval,默认值为10000毫秒.
lsa配置LSA调速.
start-interval指定生成第一次出现的LSA时的延迟(以毫秒为单位).
指定接收SPF计算更改的延迟(以毫秒为单位).
指定生成第一次出现的LSA时的最短延迟(以毫秒为单位).
注本地OSPF拓扑更改后立即生成LSA的第一个实例.
仅当经过start-interval后才会生成下一LSA.
有效值介于0到600,000毫秒之间.
默认值为0毫秒;LSA将立即发送.
hold-interval指定发起相同LSA的最长延迟(以毫秒为单位).
指定第一个和第二个SPF计算之间的延迟(以毫秒为单位).
指定再次生成LSA的最短延迟(以毫秒为单位).
该值用于计算LSA生成的后续速率限制时间.
有效值介于1到600,000毫秒之间.
默认值为5000毫秒.
max-interval指定发起相同LSA的最短延迟(以毫秒为单位).
指定SPF计算的最长等待时间(以毫秒为单位).
指定再次生成LSA的最长延迟(以毫秒为单位).
有效值介于1到600,000毫秒之间.
默认值为5000毫秒.
spf配置SPF调速.
1-77思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章命令模式下表展示可输入命令的模式:命令历史记录使用指南LSA和SPF限制提供一种动态机制,在网络不稳定时减慢OSPF中的LSA更新的速度,通过提供LSA速率限制(以毫秒为单位)允许更快的OSPF融合.
对于LSA调速,如果最短或最长时间小于第一次出现的值,则OSPF会自动更正为第一次出现的值.
同样,如果指定的最大延迟小于最小延迟,则OSPF会自动更正为最小延迟值.
对于SPF限制,如果hold-interval或max-interval小于start-interval,则OSPF会自动更正为start-interval值.
同样地,如果max-interval小于hold-interval,则OSPF会自动更正为hold-interval值.
示例以下示例配置OSPFv3LSA限制(以毫秒为单位):ciscoasa(config)#ipv6routerospf10ciscoasa(config-rtr)#timersthrottlelsa10040005000对于LSA限制,以下示例展示指定的最长延迟值小于最短延迟值时进行自动更正:ciscoasa(config)#ipv6routerospf10ciscoasa(config-rtr)#timersthrottlelsa1005050%OSPFv3:Throttletimerscorrectedto:100100100ciscoasa(config-rtr)#showrunning-configipv6ipv6routerospf10timersthrottlelsa100100100以下示例配置OSPFv3SPF限制(以毫秒为单位):ciscoasa(config)#ipv6routerospf10ciscoasa(config-rtr)#timersthrottlespf60001200014000对于SPF限制,以下示例展示指定的最长延迟值小于最短延迟值时进行自动更正:ciscoasa(config)#ipv6routerospf10ciscoasa(config-rtr)#timersthrottlespf1005050%OSPFv3:Throttletimerscorrectedto:100100100ciscoasa(config-rtr)#showrunning-configipv6ipv6routerospf10timersthrottlespf100100100命令模式防火墙模式安全情景路由透明一个多个情景系统Ipv6路由器ospf配置是-是是-路由器ospf配置是-是是-版本修改9.
0(1)添加了此命令.
9.
2(1)添加对IPv6的支持.
1-78思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章相关命令命令描述ipv6routerospf进入IPv6路由器配置模式.
showipv6ospf显示关于OSPFv3路由过程的一般信息.
timerslsa-group-pacing指定收集以及刷新、验证校验和或老化OSPFv3LSA的间隔.
1-79思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章timestamp要在带有IP选项检测的数据包报头中出现时间戳(TS)选项时定义操作,请在参数配置模式下使用timestamp命令.
要禁用此功能,请使用此命令的no形式.
timestampaction{allow|clear}notimestampaction{allow|clear}语法说明默认值默认情况下,IP选项检测会丢弃包含时间戳IP选项的数据包.
您可以在IP选项检测策略映射中使用default命令更改默认值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令可配置的IP选项检查策略映射中.
可以配置IP选项检测来控制具有特定IP选项的哪些IP数据包可以通过ASA.
您可以允许数据包通过,而无需更改或清除指定的IP选项,然后允许数据包通过.
示例以下示例展示如何在策略映射中设置IP选项检查的操作:ciscoasa(config)#policy-maptypeinspectip-optionsip-options_mapciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#timestampactionallowciscoasa(config-pmap-p)#router-alertactionallow相关命令allow允许其中包含时间戳IP选项的数据包.
clear从数据包报头中删除时间戳选项,然后允许数据包.
命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改9.
5(1)添加了此命令.
命令描述class在策略映射中标识类映射名称.
class-maptypeinspect创建检查类映射以匹配特定于应用的流量.
1-80思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章policy-map创建第3/4层策略映射.
showrunning-configpolicy-map显示所有当前的策略映射配置.
命令描述1-81思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章title要定制WebVPN用户连接到安全设备时所显示WebVPN页面的标题,请在webvpn定制模式下使用title命令:title{text|style}value[no]title{text|style}value要从配置中删除该命令并使值得到继承,请使用此命令的no形式.
语法说明默认值默认标题文本为"WebVPNService".
默认标题样式如下:background-color:white;color:maroon;border-bottom:5pxgroove#669999;font-size:larger;vertical-align:middle;text-align:left;font-weight:bold命令模式下表展示可输入命令的模式:命令历史记录使用指南要使其没有标题,请使用titletext命令而不带value参数.
style选项表示为任何有效的层叠样式表(CSS)参数.
描述这些参数已超出本文档的范围.
有关CSS参数的更多信息,请查询位于www.
w3.
org的万维网联盟(W3C)网站上的CSS规范.
CSS2.
1规范的附录F包含CSS参数的便捷列表,且在www.
w3.
org/TR/CSS21/propidx.
html上提供.
以下是对WebVPN页面进行最常见更改(页面颜色)的一些技巧:您可以使用逗号分隔的RGB值、HTML颜色值或颜色的名称(如果已在HTML中标识).
RGB格式是0,0,0,每种颜色(红色、绿色、蓝色)的范围是从0到255的十进制数字;逗号分隔的条目表示每种颜色与其他颜色相结合的强度级别.
HTML格式是#000000,十六进制格式的六位数;第一和第二个数字代表红色,第三和第四个数字代表绿色,第五和第六个数字代表蓝色.
text指示您正在更改文本.
style指示您正在更改样式.
value要显示的实际文本(最多256个字符)或层叠样式表(CSS)参数(最多256个字符).
命令模式防火墙模式安全情景路由透明一个多个情景系统WebVPN定制是-是--版本修改7.
1(1)添加了此命令.
1-82思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第1章注要轻松定制WebVPN页面,我们建议您使用ASDM,它具有配置样式元素的便捷功能,包括色样和预览功能.
示例在以下示例中,标题使用文本"CiscoWebVPNService"定制:ciscoasa(config)#webvpnciscoasa(config-webvpn)#customizationciscociscoasa(config-webvpn-custom)#titletextCiscoWebVPNService相关命令命令描述徽标定制WebVPN页面上的徽标.
pagestyle定制使用层叠样式表(CSS)参数的WebVPN页面.
章第2-1思科ASA系列命令参考、ASASM的T至Z命令和IOS命令2tls-proxy至typeecho命令tls-proxy要在TLS配置模式下配置TLS代理实例或者设置最大会话数,请在全局配置模式下使用tls-proxy命令.
要删除配置,请使用此命令的no形式.
tls-proxy[maximum-sessionsmax_sessions|proxy_name][noconfirm]notls-proxy[maximum-sessionsmax_sessions|proxy_name][noconfirm]语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南使用tls-proxy命令进入TLS代理配置模式以创建TLS代理实例,或者设置平台上支持的最大会话数.
max_sessionsmax_sessions指定平台上支持的最大TLS代理会话数.
noconfirm运行tls-proxy命令而不需要确认.
proxy_name指定TLS代理实例的名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改8.
0(2)添加了此命令.
2-2思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章示例以下示例展示如何创建TLS代理实例:ciscoasa(config)#tls-proxymy_proxyciscoasa(config-tlsp)#servertrust-pointccm_proxyciscoasa(config-tlsp)#clientldcissuerldc_serverciscoasa(config-tlsp)#clientldckeypairphone_common相关命令命令描述客户端定义密码套件以及设置本地动态证书颁发者或密钥对.
ctl-provider定义CTL提供程序实例,然后进入提供程序配置模式.
servertrust-point指定要在TLS握手期间呈现的代理信任点证书.
showtls-proxy显示TLS代理.
2-3思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tos要定义SLA操作请求数据包的IP报头中的服务字节类型,请在SLA监控协议配置模式下使用tos命令.
要恢复默认值,请使用此命令的no形式.
tosnumbernotos语法说明默认值默认服务类型值为0.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此字段包含延迟、优先级、可靠性等信息.
可供网络上其他路由器用于策略路由和承诺接入速率等功能.
示例以下示例配置一个ID为123的SLA操作,该操作使用ICMP回应请求/响应时间探测操作.
它将回应请求数据包的有效负载大小设为48字节、SLA操作期间发送的回应请求数设为5、服务类型字节设为80.
ciscoasa(config)#slamonitor123ciscoasa(config-sla-monitor)#typeechoprotocolipIcmpEcho10.
1.
1.
1interfaceoutsideciscoasa(config-sla-monitor-echo)#num-packets5ciscoasa(config-sla-monitor-echo)#request-data-size48ciscoasa(config-sla-monitor-echo)#tos80ciscoasa(config-sla-monitor-echo)#timeout4000ciscoasa(config-sla-monitor-echo)#threshold2500ciscoasa(config-sla-monitor-echo)#frequency10ciscoasa(config)#slamonitorschedule123lifeforeverstart-timenowciscoasa(config)#track1rtr123reachabilitynumber要用于IP报头中的服务类型值.
有效值为0至255.
命令模式防火墙模式安全情景路由透明一个多个情景系统SLA监控协议配置是-是--版本修改7.
2(1)添加了此命令.
2-4思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章相关命令命令描述num-packets指定要在SLA操作期间发送的请求数据包数.
request-data-size指定请求数据包负载的大小.
slamonitor定义SLA监控操作.
typeecho将SLA操作配置为回应响应时间探测操作.
2-5思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章traceroute要确定将传送至其目标的路由数据包,请使用traceroute命令.
traceroutedestination_ip|hostname[sourcesource_ip|source-interface][numeric][timeouttimeout_value][probeprobe_num][ttlmin_ttlmax_ttl][portport_value][use-icmp]语法说明默认值此命令没有默认设置.
命令模式下表展示可输入命令的模式:destination_ip指定traceroute的目标IP地址.
支持IPv4和IPv6地址.
hostname必须跟踪其路由的主机的主机名.
主机目标地址可以是IPv4或IPv6地址.
如果指定了主机,请使用name命令定义它,或者配置DNS服务器以启用traceroute将主机名解析为IP地址.
支持DNS域名,例如www.
example.
com.
max-ttl可以使用的最大TTL值.
默认值为30.
此命令在跟踪路由数据包到达目标或达到该值时终止.
min_ttl第一次探测的TTL值.
默认值为1,但也可以设置为更高的值来抑制已知跃点的显示.
numeric指定只输出打印中间网关的IP地址.
如果未指定此关键字,跟踪路由会尝试查找跟踪时到达的网关主机名.
portport_value用户数据报协议(UDP)探测消息使用的目标端口.
默认值为33434.
probeprobe_num在每个TTL级别要发送的探测次数.
默认计数为3.
source指定IP地址或接口用作跟踪数据包的源.
IPv6将仅接受IPv6源地址.
source_interface指定数据包跟踪的源接口.
指定后,将使用源接口的IP地址.
source_ip指定数据包跟踪的源IP地址.
此IP地址必须是其中一个接口的IP地址.
在透明模式下,它必须是ASA的管理IP地址.
timeout指定使用超时值timeout_value指定在连接超时前等待响应的时间(秒).
默认值为3秒.
ttl用于指定探测中要使用的"生存时间"值范围的关键字.
use-icmp指定使用ICMP探测数据包而不是UDP探测数据包.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是是2-6思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章命令历史记录使用指南traceroute命令可打印发送的每个探测的结果.
每行输出以递增顺序对应一个TTL值.
以下是traceroute命令打印的输出符号:示例以下示例展示指定了目标IP地址时产生的跟踪路由输出:ciscoasa#traceroute209.
165.
200.
225Tracingtherouteto209.
165.
200.
225110.
83.
194.
10msec10msec0msec210.
83.
193.
650msec0msec0msec310.
88.
193.
1010msec10msec0msec410.
88.
193.
970msec0msec10msec510.
88.
239.
90msec10msec0msec610.
88.
238.
6510msec10msec0msec7172.
16.
7.
22170msec70msec80msec8209.
165.
200.
22570msec70msec70msecciscoasa/admin(config)#traceroute2002::130Typeescapesequencetoabort.
Tracingtherouteto2002::13015000::20msec0msec0msec22002::13010msec0msec0msec相关命令版本修改7.
2(1)添加了此命令.
9.
7.
(1)已将此命令更新为接受IPv6地址.
输出符号描述*在超时期限内未收到对探测的响应.
U没有通往目标的路由.
nnmsec各节点指定探测数的往返时间(以毫秒为单位).
!
N.
无法访问ICMP网络.
对于ICMPv6,地址超出范围.
!
H无法访问ICMP主机.
!
PICMP协议不可达.
对于ICMPv6,端口不可访问.
!
A管理性禁止ICMP.
未知ICMP错误.
命令描述捕捉捕捉数据包信息,包括跟踪数据包.
showcapture在未指定选项时显示捕捉配置.
packet-tracer启用数据包跟踪功能.
2-7思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章trackrtr要跟踪SLA操作的可达性,请在全局配置模式下使用trackrtr命令.
要删除SLA跟踪,则使用此命令的no形式.
tracktrack-idrtrsla-idreachabilitynotracktrack-idrtrsla-idreachability语法说明默认值禁用SLA跟踪.
命令模式下表展示可输入命令的模式:命令历史记录使用指南trackrtr命令创建跟踪条目对象ID并指定该跟踪条目使用的SLA.
每项SLA操作保持操作返回代码值,该代码值通过跟踪过程解译.
返回代码可能正常、超过阈值或者有多个其他返回代码.
表2-1显示涉及这些返回代码的对象可达性状态.
可访问性指定跟踪对象的可达性.
sla-id跟踪条目所用SLA的ID.
track-id创建跟踪条目对象ID.
有效值为从1到500.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
表2-1SLA跟踪返回代码Tracking返还码跟踪状态可访问性正常或超过阈值Up任何其他代码关闭2-8思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章示例以下示例配置ID为123的SLA操作,并且创建ID为1的跟踪条目来跟踪SLA的可访问性:ciscoasa(config)#slamonitor123ciscoasa(config-sla-monitor)#typeechoprotocolipIcmpEcho10.
1.
1.
1interfaceoutsideciscoasa(config-sla-monitor-echo)#timeout1000ciscoasa(config-sla-monitor-echo)#frequency3ciscoasa(config)#slamonitorschedule123lifeforeverstart-timenowciscoasa(config)#track1rtr123reachability相关命令命令描述route配置静态路由.
slamonitor定义SLA监控操作.
2-9思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章traffic-forward要将流量定向到模块并绕过访问控制和其他处理过程,请在接口配置模式下使用traffic-forward命令.
要禁用流量转发,请使用此命令的no形式.
traffic-forwardmodule_typemonitor-onlynotraffic-forwardmodule_typemonitor-only语法说明命令默认无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令可替代对服务策略sfr或cxsc命令的使用,其使用monitor-only关键字将流量重定向至模块.
使用服务策略,流量仍会经过ASA处理(例如访问规则和TCP规范化),这可导致丢弃流量.
此外,ASA仅会将流量的副本发送至模块,并最终根据其自己的策略传输流量.
而Traffic-forward命令会完全绕过ASA处理,只将流量转发到模块.
该模块然后会检查流量、制定策略决策并生成事件,显示当流量以内联模式运行时您需要对其执行什么操作.
虽然该模块在流量副本上运行,则无论ASA或模块化策略决策如何,ASA自身会立即丢弃流量.
该模块充当黑洞.
module_type模块的类型.
支持的模块包括:sfr—ASAFirePOWER模块.
cxsc—ASACX模块.
monitor-only将模块设为只监控模式.
在仅监控模式下,模块可以处理流量,但是之后会丢弃流量.
根据不同的模块类型,使用情况也会不同:ASAFirePOWER-使用此命令配置被动模式.
您可以将此模式用于生产用途.
ASACX-这严格来说是演示模式.
您无法将流量转发接口或设备用于生产目的.
命令模式防火墙模式安全情景路由透明一个多个情景系统接口配置-是是--版本修改9.
1(2)添加了此命令.
9.
2(1)添加了sfr关键字.
9.
3(2)添加了sfr关键字,可支持生产使用.
2-10思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章将流量转发接口连接到您网络中交换机上的SPAN端口.
流量转发接口配置有以下限制:在ASA上,您无法同时配置仅监控模式和正常内联模式.
只允许使用一种类型的安全策略.
ASA必须处于单情景透明模式下.
流量转发接口必须是物理接口,而不能是VLAN或BVI.
物理接口也不能关联任何VLAN.
流量转发接口不能用于ASA流量;不能为这些接口命名或配置接口用于ASA功能,包括故障切换或仅管理功能.
示例以下示例将GigabitEthernet0/5设为流量转发接口:interfacegigabitethernet0/5nonameiftraffic-forwardsfrmonitor-onlynoshutdown相关命令命令描述Interface进入接口配置模式.
cxsc将流量重定向到ASACX模块的服务策略命令.
sfr将流量重定向到ASAFirePOWER模块的服务策略命令.
2-11思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章traffic-non-sip要允许使用已知SIP信令端口的非SIP流量,请在参数配置模式使用traffic-non-sip命令.
参数配置模式可从策略映射配置模式访问.
要禁用此功能,请使用此命令的no形式.
traffic-non-sipnotraffic-non-sip语法说明此命令没有任何参数或关键字.
默认值默认情况下会启用此命令.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示在SIP检查策略映射中如何允许使用已知SIP信令端口的非SIP流量:ciscoasa(config)#policy-maptypeinspectsipsip_mapciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#traffic-non-sip相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改7.
2(1)添加了此命令.
命令描述class在策略映射中标识类映射名称.
class-maptypeinspect创建检查类映射以匹配特定于应用的流量.
policy-map创建第3/4层策略映射.
showrunning-configpolicy-map显示所有当前的策略映射配置.
2-12思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章transfer-encoding要通过指定传输编码类型来限制HTTP流量,请在HTTP映射配置模式(使用http-map命令可访问)下使用transfer-encoding命令:要禁用此功能,请使用此命令的no形式.
transfer-encodingtype{chunked|compress|deflate|gzip|identity|default}action{allow|reset|drop}[log]notransfer-encodingtype{chunked|compress|deflate|gzip|identity|default}action{allow|reset|drop}[log]语法说明默认值此命令默认禁用.
当启用此命令并且未指定支持的传输编码类型时,默认操作是允许连接但不记录日志.
要更改默认操作,请使用default关键字并指定不同的默认操作.
命令模式下表展示可输入命令的模式:命令历史记录action指定在检测到连接使用指定的传输编码类型时所执行的操作.
allow允许消息.
chunked标识消息正文作为一系列信息块传输的传输编码类型.
compress标识消息正文使用UNIX文件压缩传输的传输编码类型.
default指定当流量包含不在配置列表中的支持请求方式时ASA采取的默认操作.
deflate标识消息正文使用zlib格式(RFC1950)和deflate压缩(RFC1951)传输的传输编码类型.
drop关闭连接.
gzip标识消息正文使用GNUzip(RFC1952)传输的传输编码类型.
identity标识消息正文没有传输编码时执行的连接.
log(可选)生成系统日志.
reset将TCP重置消息发送到客户端和服务器.
type指定要通过HTTP应用检查控制的传输编码类型.
命令模式防火墙模式安全情景路由透明一个多个情景系统HTTP映射配置是是是是-版本修改7.
0(1)添加了此命令.
2-13思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章使用指南启用transfer-encoding命令时,ASA将为每个支持和配置的传输编码类型对HTTP连接应用指定的操作.
对于与配置列表中的传输编码类型不匹配的所有流量,ASA将应用默认操作.
预配置的默认操作是允许连接而不记录日志.
例如,按照预配置的默认操作,如果您指定一个或多个具有操作丢弃和记录的编码类型,则ASA将丢弃包含已配置编码类型的连接、记录每个连接,并允许其他支持的编码类型的所有连接.
如果要配置更严格的策略,可将默认操作改为丢弃(或重置)并记录(如果要记录事件).
然后使用允许操作配置每个允许的编码类型.
为每项要应用的设置输入一次transfer-encoding命令.
使用transfer-encoding命令的一个实例更改默认操作,一个实例将每个编码类型添加到配置的传输编码类型列表.
使用此命令的no形式从配置的应用类型列表中删除应用类别时,将会忽略命令行中应用类别关键字后的所有字符.
示例以下示例提供使用预配置默认值的允许策略,允许未明确禁止的所有支持的应用类型.
ciscoasa(config)#http-mapinbound_httpciscoasa(config-http-map)#transfer-encodinggzipdroplogciscoasa(config-http-map)#在这种情况下,只会丢弃使用GNUzip的连接,并且会记录事件.
以下示例提供限制策略,此策略更改默认操作来重置连接,并且为未明确允许的任何编码类型记录事件.
ciscoasa(config)#http-mapinbound_httpciscoasa(config-http-map)#port-misusedefaultactionresetlogciscoasa(config-http-map)#port-misuseidentityallowciscoasa(config-http-map)#在这种情况下,只允许不使用传输编码的连接.
收到其他支持的编码类型的HTTP流量时,ASA会重置连接并创建系统日志条目.
相关命令命令描述class-map定义要应用的安全操作的流量类.
debugappfw显示与增强型HTTP检查关联的流量详细信息.
http-map为配置的增强型HTTP检查定义HTTP映射.
inspecthttp应用要用于应用检查的特定HTTP映射.
policy-map将类映射与特定的安全操作相关联.
2-14思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章trustpoint(samlidp)要配置包含idp身份验证或sp身份验证证书的信任点,请在samlidp配置模式下使用trustpoint命令.
您可以通过先输入webvpn命令来访问samlidp配置模式.
要删除信任点,请使用此命令的no形式.
trustpoint{idp|sp}trustpoint-namenotrustpoint{idp|sp}trustpoint-name语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南信任点代表证书机构身份,基于无需验证测试即可视为有效的CA颁发证书,特别是用于在证书路径中提供第一个公钥的公钥证书.
相关命令trustpoint-name指定要使用的信任点的名称.
sp该信任点包含ASA(SP)的证书,以便IdP可验证ASA的签名或加密SAML断言.
idp该信任点包含IdP证书,以便ASA可验证SAML断言.
命令模式防火墙模式安全情景路由透明一个多个情景系统Samlidp配置是-是--版本修改9.
5(2)添加了此命令.
命令描述samlidp为第三方Idp创建一个配置,并将您置于saml-idp模式下,以便您可以配置SAML属性.
2-15思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章trustpoint(ssoserver)(已弃用)注支持此命令的最后一个版本是版本9.
5(1).
要指定信任点的名称以标识要发送到SAMLPOST类型SSO服务器的证书,请在sso服务器模式下使用trustpoint命令.
要消除信任点指定,请使用此命令的no形式.
trustpointtrustpoint-namenotrustpointtrustpoint-name语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南单点登录支持,仅供WebVPN使用,可让用户能够访问不同服务器不同安全服务,无需多次输入用户名和密码.
ASA当前支持SAMLPOST类型的SSO服务器和SiteMinder类型的SSO服务器.
此命令仅适用于SAML类型的SSO服务器.
信任点代表证书机构身份,基于无需验证测试即可视为有效的CA颁发证书,特别是用于在证书路径中提供第一个公钥的公钥证书.
示例以下示例进入config-webvpn-sso-saml模式,并且命名信任点以标识要发送到SAMLPOST类型SSO服务器的证书:ciscoasa(config-webvpn)#ssoserverciscoasa(config-webvpn-sso-saml)#trustpointmytrustpointtrustpoint-name指定要使用的信任点的名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统Configwebvpnssosaml是-是--版本修改8.
0(2)添加了此命令.
9.
5(2)为了支持SAML2.
0,此命令已弃用.
2-16思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章相关命令命令描述cryptocatrustpoint管理信任点信息.
showwebvpnssoserver显示在安全设备上配置的所有SSO服务器的运行统计信息.
ssoserver创建、命名并指定SSO服务器的类型.
2-17思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章trust-verification-server要标识TrustVerificationServices服务器,以使CiscoUnifiedIP电话在HTTPS建立期间验证应用服务器身份,请在SIP检查的参数配置模式下使用trust-verification-server命令.
参数配置模式可从策略映射配置模式访问.
要禁用此功能,请使用此命令的no形式.
trust-verification-server{ipaddress|portnumber}notrust-verification-server{ipaddress|portnumber}语法说明默认值默认端口为2445.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示如何在SIP检查策略映射中配置四台TrustVerificationServices服务器:ciscoasa(config)#policy-maptypeinspectsipsip_mapciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#trust-verification-serverip10.
1.
1.
1ciscoasa(config-pmap-p)#trust-verification-serverip10.
1.
1.
2ciscoasa(config-pmap-p)#trust-verification-serverip10.
1.
1.
3ciscoasa(config-pmap-p)#trust-verification-serverip10.
1.
1.
4ciscoasa(config-pmap-p)#trust-verification-serverport2445ipaddress指定TrustVerificationServices服务器的IP地址.
输入此命令时,此参数在SIP检查策略映射中最多可以使用四次.
SIP检测会为每个已注册的电话打开用于连接到每台服务器的针孔,由电话确定使用哪个针孔.
在思科统一通信管理器(CUCM)服务器上配置TrustVerificationServices服务器.
portnumber指定服务器使用的端口号.
允许的端口范围是1026到32768.
命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改9.
3(2)添加了此命令.
2-18思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章相关命令命令描述policy-maptypeinspect创建检查策略映射.
showrunning-configpolicy-map显示所有当前的策略映射配置.
2-19思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tsigenforced若需要TSIG资源记录存在,请在参数配置模式下使用tsigenforced命令.
要禁用此功能,请使用此命令的no形式.
tsigenforcedaction{drop[log]|log}notsigenforced[action{drop[log]|log}]语法说明默认值此命令默认禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令在DNS事务处理中启用TSIG在线状态的监控和实施.
示例以下示例展示如何在DNS检查策略映射中启用TSIG实施:ciscoasa(config)#policy-maptypeinspectdnspreset_dns_mapciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#tsigenforcedactionlog相关命令drop如果TSIG不存在,则丢弃数据包.
log生成系统消息日志.
命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改7.
2(1)添加了此命令.
命令描述class在策略映射中标识类映射名称.
class-maptypeinspect创建检查类映射以匹配特定于应用的流量.
policy-map创建第3/4层策略映射.
showrunning-configpolicy-map显示所有当前的策略映射配置.
2-20思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章ttl-evasion-protection要启用生存时间(TTL)规避保护,请在tcp-map配置模式下使用ttl-evasion-protection命令.
要禁用该功能,请使用此命令的no形式.
ttl-evasion-protectionnottl-evasion-protection语法说明此命令没有任何参数或关键字.
默认值默认将启用所提供的TTL规避保护.
命令模式下表展示可输入命令的模式:命令历史记录使用指南将tcp-map命令与模块化策略框架基础设施结合使用.
使用class-map命令定义流量类并使用tcp-map命令定制TCP检查.
应用新TCP映射使用policy-map命令.
使用service-policy命令激活TCP检查.
使用tcp-map命令进入TCP映射配置模式.
在tcp-map配置模式下使用ttl-evasion-protection命令防止试图规避安全策略的攻击.
利用TTL规避保护,对应于连接的最大TTL数由初始数据包中的TTL确定.
后续数据包的TTL可以减少,但不能增加.
系统会将TTL重置为该连接之前看到过的最低TTL.
例如,攻击者可以发送一个TTL很短的通过策略的数据包.
当TTL变为零时,ASA与终端之间的路由器就会丢弃数据包.
此时攻击者可以发送一个TTL很长、似乎ASA是重新传输的恶意数据包并获得通过.
但到达终端主机时,它是攻击者收到的第一个数据包.
在这种情况下,攻击者可以成功绕过防范攻击的安全措施.
启用此功能可防止此类攻击.
示例以下示例展示如何在从网络10.
0.
0.
0到20.
0.
0.
0的流上禁用TTL规避保护.
ciscoasa(config)#access-listTCP1extendedpermittcp10.
0.
0.
0255.
0.
0.
020.
0.
0.
0255.
0.
0.
0ciscoasa(config)#tcp-maptmapciscoasa(config-tcp-map)#nottl-evasion-protectionciscoasa(config)#class-mapcmapciscoasa(config-cmap)#matchaccess-listTCP1命令模式防火墙模式安全情景路由透明一个多个情景系统TCP映射配置是是是是-版本修改7.
0(1)添加了此命令.
2-21思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章ciscoasa(config)#policy-mappmapciscoasa(config-pmap)#classcmapciscoasa(config-pmap)#setconnectionadvanced-optionstmapciscoasa(config)#service-policypmapglobal相关命令命令描述class指定要用于流量分类的类映射.
policy-map配置策略;即流量类与一个或多个操作的关联.
setconnection配置连接值.
tcp-map创建TCP映射,并允许对TCP映射配置模式的访问.
2-22思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunneldestination要指定VTI隧道目标的IP地址,请在接口配置模式下使用tunneldestination命令.
要删除VTI隧道的目标IP地址,请使用此命令的no形式.
tunneldestination{IPaddress|hostname}notunneldestination{IPaddress|hostname}语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式.
命令历史记录使用指南在全局配置模式下使用interfacetunnel命令之后,可在接口配置模式下使用此命令.
示例以下示例指定VTI隧道目标的IP地址:ciscoasa(config)#interfacetunnel10ciscoasa(config-if)#tunneldestination10.
2.
2.
3相关命令IPaddress指定VTI隧道目标的IP地址(IPv4).
hostname指定VTI隧道目标的主机名.
命令模式防火墙模式安全情景路由透明一个多个情景系统接口配置是否是否-版本修改9.
7(1)我们引入了此命令.
命令描述interfacetunnel创建新的VTI隧道接口.
tunnelsourceinterface指定用于创建VTI隧道的源接口.
tunnelmode指定将IPsec用于隧道保护.
tunnelprotectionipsec指定将用于隧道保护的IPsec配置文件.
2-23思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnelmode要指定VTI隧道的隧道保护模式,请在接口配置模式下使用tunnelmode命令.
要删除VTI隧道保护,请使用此命令的no形式.
tunnelmodeipsecIPv4notunnelmodeipsecIPv4语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式.
命令历史记录使用指南在全局配置模式下使用interfacetunnel命令之后,可在接口配置模式下使用此命令.
示例以下示例将IPsec指定为保护模式:ciscoasa(config)#interfacetunnel10ciscoasa(config-if)#tunnelmodeipsecipv4相关命令ipsec指定为隧道将使用IPsec作为隧道保护标准.
IPv4指定为隧道将通过IPv4使用IPsec.
命令模式防火墙模式安全情景路由透明一个多个情景系统接口配置是否是否-版本修改9.
7(1)我们引入了此命令.
命令描述interfacetunnel创建新的VTI隧道接口.
tunnelsourceinterface指定用于创建VTI隧道的源接口.
tunneldestination指定VTI隧道目标的IP地址.
tunnelprotectionipsec指定将用于隧道保护的IPsec配置文件.
2-24思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnelprotectionipsec要指定VTI隧道的Ipsec配置文件,请在接口配置模式下使用tunnelprotectionipsec命令.
要删除隧道的IPsec配置文件,请使用此命令的no形式.
tunnelprotectionipsecIPsecprofilenamenotunnelprotectionipsecIPsecprofilename语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式.
命令历史记录使用指南在全局配置模式下使用interfacetunnel命令之后,可在接口配置模式下使用此命令.
使用此命令时,IKEv1策略将附加到IPsec配置文件.
示例在以下示例中,profile12是IPsec配置文件:ciscoasa(config)#interfacetunnel10ciscoasa(config-if)#tunnelprotectionipsecprofile12相关命令ipsecprofilename指定要使用的IPsec配置文件的名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统接口配置是否是否-版本修改9.
7(1)我们引入了此命令.
命令描述interfacetunnel创建新的VTI隧道接口.
tunnelsourceinterface指定用于创建VTI隧道的源接口.
tunneldestination指定VTI隧道目标的IP地址.
tunnelmode指定将IPsec用于隧道保护.
2-25思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnelsourceinterface要指定VTI隧道的源接口,请在接口配置模式下使用tunnelsourceinterface命令.
要删除VTI隧道的源接口,请使用此命令的no形式.
tunnelsourceinterfaceinterfacenamenotunnelsourceinterfaceinterfacename语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式.
命令历史记录使用指南在全局配置模式下使用interfacetunnel命令之后,可在接口配置模式下使用此命令.
IP地址取自所选接口.
示例以下示例指定VTI隧道的源接口:ciscoasa(config)#interfacetunnel10ciscoasa(config-if)#tunnelsourceinterfaceoutside相关命令interfacename指定用于创建VTI隧道的源接口.
命令模式防火墙模式安全情景路由透明一个多个情景系统接口配置是否是否-版本修改9.
7(1)我们引入了此命令.
命令描述interfacetunnel创建新的VTI隧道接口.
tunneldestination指定VTI隧道目标的IP地址.
tunnelmode指定将IPsec用于隧道保护.
tunnelprotectionipsec指定将用于隧道保护的IPsec配置文件.
2-26思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnel-group要为IPsec和WebVPN隧道创建和管理连接特定记录的数据库,请在全局配置模式下使用tunnel-group命令.
要删除隧道组,则使用此命令的no形式.
tunnel-groupnametypetypenotunnel-groupname语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:注tunnel-group命令适用于透明防火墙模式,允许局域网至局域网隧道组配置,但不允许remote-access组或WebVPN组.
所有适用于局域网至局域网的tunnel-group命令也适用于透明防火墙模式.
命令历史记录name指定隧道组的名称.
这可以是您选择的任何字符串.
如果名称是IP地址,通常是对等设备的IP地址.
type指定隧道组类型:remote-access-允许用户使用IPsec远程接入或WebVPN(门户或隧道客户端)连接.
ipsec-l2l-指定IPsec局域网至局域网,允许两个站点或局域网通过Internet等公共网络安全地连接.
注以下隧道组类型在8.
0(2)版本中已弃用:ipsec-ra-IPsec远程接入webvpn-WebVPNASA会将这些类型转换为remote-access类型.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是请参阅注释.
是是-版本修改7.
0(1)添加了此命令.
7.
1(1)添加了webvpn类型.
8.
0(2)添加了remote-access类型,并废弃了ipsec-ra和webvpn类型.
8.
3(1)name参数经过修改,接受IPv6地址.
9.
0(1)增加了多情景模式支持.
2-27思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章使用指南SSLVPN用户(AnyConnect和无客户端)可以使用以下不同的方法选择哪个隧道组接入:group-urlgroup-alias证书映射(如果使用证书)此命令和子命令用于配置ASA,使用户在登录到webvpn服务时可以通过下拉菜单选择组.
菜单中显示的组是ASA上配置的实际连接配置文件(隧道组)的别名或URL.
ASA具有以下默认隧道组:DefaultRAGroup,默认IPsec远程接入隧道组DefaultL2LGroup,默认IPsec局域网至局域网隧道组DefaultWEBVPNGroup,默认WebVPN隧道组.
您可以更改这些组,但不能删除它们.
如果在隧道协商过程中没有标识特定隧道组,ASA将会使用这两个隧道组来配置远程访问隧道组和LAN到LAN隧道组的默认隧道参数.
在输入tunnel-group命令后,输入以下适当的命令为特定隧道组配置特定属性.
其中每个命令都可以进入用于配置隧道组属性的配置模式.
tunnel-groupgeneral-attributestunnel-groupipsec-attributestunnel-groupwebvpn-attributestunnel-groupppp-attributes对于局域网至局域网连接,ASA会尝试将加密映射中指定的对等地址匹配到相同名称的隧道组,以选择用于连接的隧道组.
因此,对于IPv6对等设备,您应该将隧道组名称配置为对等设备的IPv6地址.
您可以使用短记数法或长记数法指定隧道组名称.
CLI会将名称减至最短的记数法.
例如,如果您输入以下隧道组命令:ciscoasa(config)#tunnel-group2001:0db8:0000:0000:0000:0000:1428:57abtypeipsec-l2l隧道组在配置中显示为:tunnel-group2001:0db8::1428:57abtypeipsec-l2l示例以下示例是在全局配置模式下输入的.
第一个配置远程接入隧道组.
组名是group1.
ciscoasa(config)#tunnel-groupgroup1typeremote-accessciscoasa(config)#以下示例展示配置webvpn隧道组"group1"的tunnel-group命令.
在全局配置模式下输入此命令:ciscoasa(config)#tunnel-groupgroup1typewebvpnciscoasa(config)#2-28思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章相关命令命令描述clearconfiguretunnel-group清除所有配置的隧道组.
showrunning-configtunnel-group显示所有隧道组或特定隧道组的隧道组配置.
tunnel-groupgeneral-attributes进入用于配置常规隧道组属性的config-general模式.
tunnel-groupipsec-attributes进入用于配置IPsec隧道组属性的config-ipsec模式.
tunnel-groupppp-attributes进入用于为L2TP连接配置PPP设置的config-ppp模式.
tunnel-groupwebvpn-attributes进入用于配置WebVPN隧道组属性的config-webvpn模式.
2-29思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnel-groupgeneral-attributes要进入常规属性配置模式,请在全局配置模式下使用tunnel-groupgeneral-attributes命令.
此模式用于配置所有支持的隧道协议公用的设置.
要删除所有常规属性,请使用此命令的no形式.
tunnel-groupnamegeneral-attributesnotunnel-groupnamegeneral-attributes语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例是在全局配置模式下输入的,使用局域网至局域网对等设备的IP地址为远程接入连接创建remote-access隧道组,然后进入常规属性配置模式,配置隧道组常规属性.
隧道组的名称是209.
165.
200.
225.
ciscoasa(config)#tunnel-group209.
165.
200.
225typeremote-accessciscoasa(config)#tunnel-group209.
165.
200.
225general-attributesciscoasa(config-tunnel-general)#以下示例是在全局配置模式下输入的,为IPsec远程接入连接创建一个名为"remotegrp"的隧道组,然后进入常规配置模式,为名为"remotegrp"的隧道组配置常规属性.
ciscoasa(config)#tunnel-groupremotegrptypeipsec_raciscoasa(config)#tunnel-groupremotegrpgeneralciscoasa(config-tunnel-general)general-attributes指定此隧道组的属性.
name指定隧道组的名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统隧道组常规属性配置是是是是-版本修改7.
0(1)添加了此命令.
7.
1(1)其他隧道组类型的各项属性迁移到了常规隧道组属性列表,并且隧道组常规属性模式的提示已更改.
9.
0(1)增加了多情景模式支持.
2-30思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章相关命令命令描述clearconfiguretunnel-group清除整个隧道组数据库或只清除指定的隧道组.
showrunning-configtunnel-group为指定的隧道组或所有隧道组显示当前运行的隧道组配置.
tunnel-group为IPsec和WebVPN隧道创建和管理连接特定记录的数据库.
2-31思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnel-groupipsec-attributes要进入ipsec属性配置模式,请在全局配置模式下使用tunnel-groupipsec-attributes命令.
此模式用于配置特定于IPsec隧道协议的设置.
要删除所有IPsec属性,请使用此命令的no形式.
tunnel-groupnameipsec-attributesnotunnel-groupnameipsec-attributes语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例是在全局配置中输入的,为名为remotegrp的IPsec远程接入隧道组创建一个隧道组,然后指定IPsec组属性:ciscoasa(config)#tunnel-groupremotegrptypeipsec_raciscoasa(config)#tunnel-groupremotegrpipsec-attributesciscoasa(config-tunnel-ipsec)相关命令ipsec-attributes指定此隧道组的属性.
name指定隧道组的名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改7.
0(1)添加了此命令.
7.
1(1)各项IPsec隧道组属性迁移到了常规隧道组属性列表,并且隧道组ipsec属性模式的提示已更改.
9.
0(1)增加了多情景模式支持.
命令描述clearconfiguretunnel-group清除整个隧道组数据库或只清除指定的隧道组.
showrunning-configtunnel-group为指定的隧道组或所有隧道组显示当前运行的隧道组配置.
tunnel-group为IPsec和WebVPN隧道创建和管理连接特定记录的数据库.
2-32思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnel-group-listenable要启用在tunnel-groupgroup-alias中定义的隧道组,请使用tunnel-group-listenable命令:tunnel-group-listenable语法说明此命令没有任何参数或关键字.
默认值无默认行为或值.
命令模式下表展示可输入命令的模式:使用指南此命令与tunnel-groupgroup-alias及group-url命令一起用于无客户端和AnyConnectVPN客户端会话.
它启用相关功能,使隧道组下拉列表显示在登录页.
组别名是ASA管理员定义的一个文本字符串,例如员工、工程或顾问,用来显示给最终用户.
命令历史记录示例ciscoasa#configureterminalciscoasa(config)#tunnel-groupExampleGroup1webvpn-attciscoasa(config-tunnel-webvpn)#group-aliasGroup1enableciscoasa(config-tunnel-webvpn)#exitciscoasa(config)#webvpnciscoasa(config-webvpn)#tunnel-group-listenable相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统Webvpn配置是-是是-版本修改7.
0(1)添加了此命令.
命令描述tunnel-group创建VPN连接配置文件或访问VPN连接配置文件数据库.
group-alias配置连接配置文件(隧道组)的别名.
group-url将VPN终端指定的URL或IP地址与连接配置文件进行匹配.
showrunning-configtunnel-group显示所有隧道组或特定隧道组的隧道组配置.
2-33思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnel-group-map当自适应安全设备收到采用客户端证书身份验证的IPsec连接请求时,它将根据您配置的策略为连接分配连接配置文件.
该策略可以使用您配置的规则、证书OU字段、IKE身份(如主机名、IP地址、密钥ID)、客户端IP地址或默认连接配置文件分配连接配置文件.
对于SSL连接,自适应安全设备只使用您配置的规则分配连接配置文件.
tunnel-group-map命令根据您配置的规则,通过将现有映射名称与连接配置文件关联向连接分配连接配置文件.
使用此命令的no形式可取消连接配置文件与映射名称的关联.
该命令的no形式不删除映射名称,只取消其与连接配置文件的关联.
以下是该命令的语法︰tunnel-group-map[mapname][rule-index][connection-profile]notunnel-group-map[mapname][rule-index]注您可以使用此命令创建证书映射名称:cryptocacertificatemap[mapname][rule-index]"隧道组"是一个旧术语,现在我们称之为"连接配置文件".
考虑使用tunnel-group-map命令来创建连接配置文件映射.
语法说明默认值如果未定义隧道组映射,并且ASA收到采用客户端证书身份验证的IPsec连接请求,ASA会按以下顺序尝试将证书身份验证请求与其中一个策略进行匹配,以分配连接配置文件:证书ou字段-根据主题可分辨名称(DN)中的组织单位(OU)字段值确定连接配置文件.
IKE身份-根据第1阶段IKEID的内容确定连接配置文件.
peer-ip-根据现有的客户端IP地址确定连接配置文件.
默认连接配置文件-如果ASA与前三个策略不匹配,将会分配默认连接配置文件.
默认配置文件为DefaultRAGroup.
否则使用tunnel-group-mapdefault-group命令配置默认连接配置文件.
命令模式下表展示可输入命令的模式:mapnameRequired.
标识现有证书映射的名称.
rule-indexRequired.
标识与映射名称关联的规则索引.
rule-index参数使用cryptocacertificatemap命令定义.
有效值为1到65535.
connection-profile为此证书映射列表指定连接配置文件名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是是-2-34思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章命令历史记录使用指南您指定的映射名称必须已经存在,然后才可将其与连接配置文件关联.
可使用cryptocacertificatemap命令创建映射名称.
详细信息请参阅有关cryptocacertificatemap命令的文档.
将映射名称与连接配置文件关联后,需要启用tunnel-group-map以使用您配置的规则而不是前述默认策略.
为此必须在全局配置模式下运行tunnel-group-mapenablerules命令.
示例以下示例将规则索引为10的映射名称SalesGroup关联到SalesConnectionProfile连接配置文件.
ciscoasa(config)#tunnel-group-mapSalesGroup10SalesConnectionProfileciscoasa(config)#相关命令版本修改7.
0(1)添加了此命令.
9.
0(1)增加了多情景模式支持.
命令描述cryptocacertificatemap[mapname]进入ca证书映射配置模式,然后可以使用它来创建证书映射名称.
tunnel-group-mapenable根据建立的规则启用基于证书的IKE会话.
tunnel-group-mapdefault-group将现有隧道组名称指定为默认隧道组.
2-35思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnel-group-mapdefault-group如果使用其他配置的方法无法确定名称,tunnel-group-mapdefault-group命令将指定使用默认隧道组.
使用此命令的no形式可删除隧道组映射.
tunnel-group-map[rule-index]default-grouptunnel-group-namenotunnel-group-map语法说明默认值tunnel-group-mapdefault-group的默认值为DefaultRAGroup.
命令模式下表展示可输入命令的模式:命令历史记录使用指南tunnel-group-map命令配置基于证书的IKE会话用以映射到隧道组的策略和规则.
要将使用cryptocacertificatemap命令创建的证书映射条目与隧道组关联,请在全局配置模式下使用tunnel-group-map命令.
您可以多次调用此命令,前提是每次调用都是唯一的,并且不多次引用映射索引.
cryptocacertificatemap命令维护证书映射规则的优先级列表.
只能有一个映射.
但此映射最多可有65535个规则.
详细信息请参阅有关cryptocacertificatemap命令的文档.
从证书推导隧道组名称的处理会忽略证书映射中未关联隧道组的条目(此命令未识别的任何映射规则).
default-grouptunnel-group-name指定当其他配置的方法无法推导出名称时使用默认隧道组.
隧道组名称必须已存在.
ruleindex(可选)请参阅cryptocacertificatemap命令指定的参数.
有效值为1到65535.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改7.
0(1)添加了此命令.
9.
0(1)增加了多情景模式支持.
2-36思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章示例以下示例在全局配置模式下输入,指定当其他配置的方法无法推导出名称时使用默认隧道组.
要使用的隧道组名称是group1:ciscoasa(config)#tunnel-group-mapdefault-groupgroup1ciscoasa(config)#相关命令命令描述cryptocacertificatemap进入cryptocacertificatemap配置模式.
subject-name(cryptocacertificatemap)标识CA证书中要与规则条目字符串进行比较的DN.
tunnel-group-mapenable配置基于证书的IKE会话用以映射到隧道组的策略和规则.
2-37思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnel-group-mapenabletunnel-group-mapenable命令配置基于证书的IKE会话用以映射到隧道组的策略和规则.
使用此命令的no形式可恢复默认值.
tunnel-group-map[rule-index]enablepolicynotunnel-group-mapenable[rule-index]语法说明默认值tunnel-group-map命令的默认值是enableou,并且default-group设为DefaultRAGroup.
命令模式下表展示可输入命令的模式:命令历史记录使用指南cryptocacertificatemap命令维护证书映射规则的优先级列表.
只能有一个映射.
但此映射最多可有65535个规则.
详细信息请参阅有关cryptocacertificatemap命令的文档.
policy指定用于从证书获取隧道组名称的策略.
Policy可以是以下某一项:ike-id-指示如果根据规则查找或ou无法确定隧道组,则基于证书的IKE会话将根据第1阶段IKEID的内容映射到隧道组.
ou-指示如果根据规则查找无法确定隧道组,则使用主题可分辨名称(DN)中的组织单位(OU)值.
peer-ip-指示如果根据规则查找、ou或ike-id方法无法确定隧道组,则使用现有的对等IP地址.
rules-指示基于证书的IKE会话根据此命令配置的证书映射关联映射到隧道组.
ruleindex(可选)指cryptocacertificatemap命令指定的参数.
有效值为1到65535.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改7.
0(1)添加了此命令.
9.
0(1)增加了多情景模式支持.
2-38思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章示例以下示例使基于证书的IKE会话根据第1阶段IKEID的内容映射到隧道组:ciscoasa(config)#tunnel-group-mapenableike-idciscoasa(config)#以下示例使基于证书的IKE会话根据对等设备的现有IP地址映射到隧道组:ciscoasa(config)#tunnel-group-mapenablepeer-ipciscoasa(config)#以下示例根据主题可分辨名称(DN)的组织单位(OU)映射基于证书的IKE会话:ciscoasa(config)#tunnel-group-mapenableouciscoasa(config)#以下示例根据现有的规则映射基于证书的IKE会话:ciscoasa(config)#tunnel-group-mapenablerulesciscoasa(config)#相关命令命令描述cryptocacertificatemap进入CA证书映射模式.
subject-name(cryptocacertificatemap)标识CA证书中要与规则条目字符串进行比较的DN.
tunnel-group-mapdefault-group将现有隧道组名称指定为默认隧道组.
2-39思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnel-groupppp-attributes要进入PPP属性配置模式并且配置L2TPoverIPsec连接使用的PPP设置,请在全局配置模式下使用tunnel-groupppp-attributes命令.
要删除所有PPP属性,请使用此命令的no形式.
tunnel-groupnameppp-attributesnotunnel-groupnameppp-attributes语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南PPP设置由第2层隧道协议(L2TP)使用,此协议是一个VPN隧道协议,允许远程客户端使用拨号电话服务公共IP网络安全地与专用企业网络服务器通信.
L2TP基于客户端/服务器模型,使用PPPoverUDP(端口1701)传输数据.
所有tunnel-groupppp命令适用于PPPoE隧道组类型.
示例以下示例创建隧道组telecommuters并且进入ppp属性配置模式:ciscoasa(config)#tunnel-grouptelecommuterstypepppoeciscoasa(config)#tunnel-grouptelecommutersppp-attributesciscoasa(tunnel-group-ppp)#相关命令name指定隧道组的名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是是-版本修改7.
2(1)添加了此命令.
9.
0(1)增加了多情景模式支持.
命令描述clearconfiguretunnel-group清除整个隧道组数据库或只清除指定的隧道组.
showrunning-configtunnel-group为指定的隧道组或所有隧道组显示当前运行的隧道组配置.
tunnel-group为IPsec和WebVPN隧道创建和管理连接特定记录的数据库.
2-40思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnel-group-preference要使用与终端指定的URL匹配的组URL更改连接配置文件的VPN首选项,请在webvpn配置模式下使用tunnel-group-preference命令.
要从配置中删除此命令,则使用no形式.
tunnel-group-preferencegroup-urlnotunnel-group-preferencegroup-url语法说明此命令没有任何参数或关键字.
命令默认默认情况下,如果ASA将连接配置文件中指定的证书字段值与终端所用证书的字段值进行匹配,ASA会将该配置文件分配到VPN连接.
此命令会覆盖默认行为.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令在连接配置文件选择过程中会更改连接配置文件首选项.
它可让您采用许多旧版ASA软件使用的组URL首选项.
如果终端指定不在连接配置文件中的组URL,但指定与连接配置文件匹配的证书值,则ASA会将该连接配置文件分配到VPN会话.
虽然您是在webvpn配置模式下输入此命令,但它会更改ASA协商的所有无客户端和AnyConnectVPN连接的连接配置文件选择首选项.
示例以下示例在连接配置文件选择过程中更改连接配置文件首选项:ciscoasa(config)#webvpnciscoasa(config-webvpn)#tunnel-group-preferencegroup-urlciscoasa(config-webvpn)#相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统Config-webvpn是-是--版本修改8.
2(5)/8.
4(2)添加了此命令.
命令描述tunnel-group创建VPN连接配置文件或访问VPN连接配置文件数据库.
group-url将VPN终端指定的URL或IP地址与连接配置文件进行匹配.
showrunning-configtunnel-group显示所有隧道组或特定隧道组的隧道组配置.
2-41思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnel-groupwebvpn-attributes要进入webvpn属性配置模式,请在全局配置模式下使用tunnel-groupwebvpn-attributes命令.
此模式配置WebVPN隧道公用的设置.
要删除所有WebVPN属性,请使用此命令的no形式.
tunnel-groupnamewebvpn-attributesnotunnel-groupnamewebvpn-attributes语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南除了常规属性之外,还可以在webvpn属性模式下配置以下特定于WebVPN连接的属性:authenticationcustomizationdns-groupgroup-aliasgroup-urlwithout-csdPre-fill-username和secondary-pre-fill-username属性用于从身份验证和授权中使用的证书提取用户名.
值为client或clientless.
name指定隧道组的名称.
webvpn-attributes指定此隧道组的WebVPN属性.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是是-版本修改7.
1(1)添加了此命令.
9.
0(1)增加了多情景模式支持.
9.
8(1)将pre-fill-username和secondary-pre-fill-username值从clientless更改为client.
2-42思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章示例以下示例是在全局配置模式下输入的,使用局域网至局域网对等设备的IP地址为WebVPN连接创建一个隧道组,然后进入webvpn配置模式,配置WebVPN属性.
隧道组的名称是209.
165.
200.
225.
ciscoasa(config)#tunnel-group209.
165.
200.
225typewebvpnciscoasa(config)#tunnel-group209.
165.
200.
225webvpn-attributesciscoasa(config-tunnel-webvpn)#以下示例是在全局配置模式下输入的,为WebVPN远程接入连接创建一个名为"remotegrp"的隧道组,然后进入webvpn配置模式,为名为"remotegrp"的隧道组配置WebVPN属性.
ciscoasa(config)#tunnel-groupremotegrptypewebvpnciscoasa(config)#tunnel-groupremotegrpwebvpn-attributesciscoasa(config-tunnel-webvpn)#相关命令命令描述clearconfiguretunnel-group清除整个隧道组数据库或只清除指定的隧道组.
showrunning-configtunnel-group为指定的隧道组或所有隧道组显示当前运行的隧道组配置.
tunnel-group为IPsec和WebVPN隧道创建和管理连接特定记录的数据库.
2-43思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tunnel-limit要指定允许的最大活跃GTP隧道数,请在策略映射参数配置模式下使用tunnellimit命令.
使用此命令的no形式将隧道限制设置回其默认值.
tunnel-limitmax_tunnelsnotunnel-limitmax_tunnels语法说明默认值默认隧道限制为500.
命令模式下表展示可输入命令的模式:命令历史记录使用指南达到此命令指定的隧道数后,新请求将被丢弃.
示例以下示例为GTP流量指定最多10,000个隧道:ciscoasa(config)#policy-maptypeinspectgtpgtp-policyciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#tunnel-limit10000相关命令max_tunnels允许的最大隧道数.
该值相当于PDP情景或终端数量.
命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改7.
0(1)添加了此命令.
命令描述clearservice-policyinspectgtp将清除全局GTP统计数据.
inspectgtp适用于特定的GTP映射,以用于应用检查.
showservice-policyinspectgtp显示GTP配置.
2-44思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章tx-ring-limit要指定优先级队列的深度,请在优先级队列模式下使用tx-ring-limit命令.
要删除此指定,请使用此命令的no形式.
注ASA5580万兆位以太网接口、ASA5512-X至ASA5555-X管理接口或ASA服务模块不支持此命令.
(万兆位以太网接口支持ASA5585-X上的优先级队列.
)tx-ring-limitnumber-of-packetsnotx-ring-limitnumber-of-packets语法说明默认值默认值为511.
命令模式下表展示可输入命令的模式:命令历史记录使用指南ASA允许两类流量:较高优先级的低延迟队列(LLQ),对延迟敏感的流量(例如语音和视频);所有其他尽力而为的流量(默认).
ASA会识别优先流量并执行适当的服务质量(QoS)策略.
您可以配置的规模和深度优先级队列,以优化流量.
必须在优先级队列生效之前使用priority-queue命令为接口创建优先级队列.
您可以将priority-queue命令应用于任何可由nameif命令定义的接口.
priority-queue命令将进入优先级队列模式,如提示所示.
在优先级队列模式中,可以配置传输队列中在任何指定时间允许的数据包最大数(tx-ring-limit命令),以及在丢弃数据包之前允许缓冲的任一类(优先或尽力而为)数据包数(queue-limit命令).
Tx环限制和您指定的队列限制影响较高的优先级低延迟队列和尽力服务队列.
Tx环限制是两种类型的允许进入驱动程序,驱动程序外推到坐在该接口的队列来告诉它们这些缓冲区数据包,直到拥塞清除之前的数据包数.
通常情况下,您可以调整这两个参数,以优化低延迟流量的流动.
number-of-packets指定在以太网传输驱动程序推回接口上的队列以让其缓冲数据包直到拥塞消除为止之前,允许进入该驱动程序的低延迟或正常优先级数据包最大数.
范围为3至511.
命令模式防火墙模式安全情景路由透明一个多个情景系统优先级队列是是是是-版本修改7.
0(1)添加了此命令.
2-45思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章由于队列大小有限制,队列可以填满和溢出.
如果队列已满,任何额外的数据包无法进入队列,并将丢弃.
这是丢弃的尾部.
以避免队列填充起来,您可以使用priority-queue命令以提高队列缓冲区大小.
注用于queue-limit和tx-ring-limit命令的值范围上限在运行时动态确定.
要查看此限制,请在命令行中输入help或.
关键的决定因素是设备上支持的队列和可用的内存所需的内存.
对于ASA型号5505(仅限此型号),在一个接口配置优先级队列会覆盖所有其他接口上的相同配置.
也就是说,所有接口上只存在上次应用的配置.
此外,如果优先级队列配置从一个接口删除,就会从所有接口删除.
要解决此问题,请仅在一个接口上配置priority-queue命令.
如果不同的接口需要queue-limit和/或tx-ring-limit命令的不同设置,请在任一接口上使用所有queue-limit的最大值和所有tx-ring-limit的最小值.
示例以下示例配置优先级队列名为test,指定2048数据包的队列限制和传输队列限制为256数据包的接口.
ciscoasa(config)#priority-queuetestciscoasa(priority-queue)#queue-limit2048ciscoasa(priority-queue)#tx-ring-limit256相关命令命令描述clearconfigurepriority-queue指定接口的当前优先级队列配置中移除.
priority-queue配置优先级队列.
在接口上.
queue-limit指定在优先级队列丢弃数据前可排入该队列的最大数据包数.
showpriority-queuestatistics显示指定接口的优先级队列统计信息.
showrunning-configpriority-queue显示当前优先级队列配置.
如果指定all关键字,此命令将显示所有当前的priority-queue、queue-limit和tx-ring-limit命令配置值.
2-46思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章typeecho要将SLA操作配置为回应响应时间探测操作,请在SLA监控配置模式下使用typeecho命令.
要从SLA配置删除类型,请使用此命令的no形式.
typeechoprotocolipIcmpEchotargetinterfaceif-namenotypeechoprotocolipIcmpEchotargetinterfaceif-name语法说明默认值没有默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南ICMP数据包的有效负载默认大小为28字节,会创建一个大小为64字节的总ICMP数据包.
可以使用request-data-size命令更改有效负载的大小.
示例以下示例配置一个ID为123的SLA操作,该操作使用ICMP回应请求/响应时间探测操作.
它创建ID为1的跟踪条目来跟踪SLA的可达性.
SLA操作频率设置为10秒,阈值设置为2500毫秒而超时值设置为4000毫秒.
ciscoasa(config)#slamonitor123ciscoasa(config-sla-monitor)#typeechoprotocolipIcmpEcho10.
1.
1.
1interfaceoutsideciscoasa(config-sla-monitor-echo)#threshold2500ciscoasa(config-sla-monitor-echo)#timeout4000ciscoasa(config-sla-monitor-echo)#frequency10ciscoasa(config)#slamonitorschedule123lifeforeverstart-timenowciscoasa(config)#track1rtr123reachabilityinterfaceif-name如nameif命令所示,指定要用于发送回应请求数据包的接口名称.
接口源地址用作回应请求数据包中的源地址.
protocol协议关键字.
唯一支持的值是ipIcmpEcho,它指定对回应操作使用IP/ICMP回应请求.
target监控的对象的IP地址或主机名.
命令模式防火墙模式安全情景路由透明一个多个情景系统SLA监控配置是是是是-版本修改7.
2(1)添加了此命令.
2-47思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章相关命令命令描述num-packets指定要在SLA操作期间发送的请求数据包数.
request-data-size指定SLA操作请求数据包的有效负载大小.
slamonitor定义SLA监控操作.
2-48思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第2章章第3-1思科ASA系列命令参考、ASASM的T至Z命令和IOS命令3uc-ime至username-prompt命令uc-ime(已弃用)要创建思科公司间媒体引擎代理实例,请在全局配置模式下使用uc-ime命令.
要删除代理实例,请使用此命令的no形式.
uc-imeuc-ime_namenouc-imeuc-ime_name语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录uc-ime_name指定在ASA中配置的思科公司间媒体引擎代理的实例名称.
名称限制为64个字符.
ASA中只能配置一个思科公司间媒体引擎代理.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改8.
3(1)添加了此命令.
9.
4(1)此命令已弃用.
3-2思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章使用指南配置思科公司间媒体引擎代理.
思科跨企业间媒体引擎支持公司使用VoIP技术提供的高级功能按需通过互联网进行互联.
通过利用P2P、安全和SIP协议在不同企业之间创建动态SIP中继,思科公司间媒体引擎可在不同企业的思科UnifiedCommunicationManager集群之间实现企业到企业联盟.
许多企业彼此协作,就像一个大型企业一样运作.
您必须创建媒体终端实例,然后才能在思科公司间媒体引擎代理中指定该实例.
ASA中只能配置一个思科公司间媒体引擎代理.
示例以下示例展示如何通过使用uc-ime命令配置思科公司间媒体引擎代理.
ciscoasa(config)#uc-imelocal_uc-ime_proxyciscoasa(config-uc-ime)#media-terminationime-media-termciscoasa(config-uc-ime)#ucmaddress192.
168.
10.
30trunk-security-modenon-secureciscoasa(config-uc-ime)#ticketepoch1passwordpassword1234ciscoasa(config-uc-ime)#fallbackmonitoringtimer120ciscoasa(config-uc-ime)#fallbackhold-downtimer30相关命令命令描述fallback配置思科公司间媒体引擎用于在连接完整性降级时从VoIP回退到PSTN的回退计时器.
showuc-ime显示有关回退通知、映射服务会话和信令会话的统计数据或详细信息.
ticket配置思科公司间媒体引擎代理的票证期限和密码.
ucm配置思科公司间媒体引擎代理连接的思科UCM.
3-3思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章ucm(已弃用)要配置思科公司间媒体引擎代理连接哪个思科统一通信管理器(UCM),请在全局配置模式下使用ucm命令.
要删除连接到思科公司间媒体引擎代理的思科UCM,请使用此命令的no形式.
ucmaddressip_addresstrunk-security-mode{nonsecure|secure}noucmaddressip_addresstrunk-security-mode{nonsecure|secure}语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南指定企业中的思科UCM服务器.
您可以为思科公司间媒体引擎代理输入多条ucm命令.
注在思科公司间媒体引擎启用了SIP中继的情况下,必须包括集群中每个思科UCM的条目.
为思科UCM或思科UCM集群指定secure表示思科UCM或思科UCM集群正在启动TLS;因此,您必须设置为组件配置TLS.
您可以在此任务中指定secure选项,也可以在稍后为企业配置TLS时进行更新.
企业内的TLS是指ASA所观测的思科公司间媒体引擎中继的安全状态.
address用于配置CiscoUnifiedCommunicationsManager(UCM)IP地址的关键字.
ip_address指定思科UCM的IP地址.
输入IPv4格式的IP地址.
nonsecure指定思科UCM或思科UCM集群在非安全模式下运行.
secure指定思科UCM或思科UCM集群在安全模式下运行.
trunk-security-mode用于配置思科UCM或思科UCM集群安全模式的关键字.
命令模式防火墙模式安全情景路由透明一个多个情景系统UC-IME配置是-是--版本修改8.
3(1)添加了此命令.
9.
4(1)此命令以及所有uc-ime模式命令均已弃用.
3-4思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章如果思科公司间媒体引擎中继的传输安全在思科UCM中发生变化,则必须在自适应安全设备上也进行更改.
不匹配将导致呼叫失败.
自适应安全设备不支持使用不安全IME中继的SRTP.
自适应安全设备假设通过安全中继允许SRTP.
因此,如果使用TLS,则必须检查允许的SRTP有无IME中继.
ASA支持SRTP回退到RTP进行安全IME中继呼叫.
代理位于企业边缘并检查在企业之间创建的SIP中继之间的SIP信令.
它终止来自互联网的TLS信令,然后启动到思科UCM的TCP或TLS.
传输层安全(TLS)是一种加密协议,为网络(如互联网)上的通信提供安全保护.
TLS在传输层端到端加密网络连接的网段.
如果内部网络中允许TCP,则不需要执行此任务.
在本地企业内配置TLS的主要步骤如下:在本地ASA中,为自签证书创建另一个RSA密钥和信任点.
在本地思科UCM和本地ASA之间导出和导入证书.
为ASA中的本地思科UCM创建信任点.
通过TLS进行身份验证:要使ASA可以充当代表N个企业的端口,思科UCM必须能够接受来自ASA的一个证书.
由于思科UCM从证书提取主题名称,然后与安全配置文件中配置的名称进行比较,因此可通过将所有UC-IMESIP中继与同一SIP安全配置文件关联(该配置文件包含与ASA所显示相同的主题名称)来完成此操作.
示例以下示例展示如何连接到UCM代理:ciscoasa(config)#uc-imelocal_uc-ime_proxyciscoasa(config-uc-ime)#media-terminationime-media-termciscoasa(config-uc-ime)#ucmaddress192.
168.
10.
30trunk-security-modenon-secureciscoasa(config-uc-ime)#ticketepoch1passwordpassword1234ciscoasa(config-uc-ime)#fallbackmonitoringtimer120ciscoasa(config-uc-ime)#fallbackhold-downtimer303-5思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章undebug要禁用在当前会话中显示调试信息,请在特权EXEC模式下使用undebug命令.
undebug{command|all}语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南以下命令可以与undebug命令一起使用.
有关调试特定命令的详细信息,或特定debug命令的关联参数和关键字,请参阅debug命令的条目.
aaa-AAA信息acl-ACL信息all-所有调试appfw-应用防火墙信息arp-ARP(包括NP运行)asdm-ASDM信息auto-update-自动更新信息boot-mem-引导内存计算和设置cifs-CIFS信息cmgr-CMGR信息context-情景信息cplane-CP信息crypto-加密信息ctiqbe-CTIQBE信息all禁用所有调试输出.
command禁用指定命令的调试.
有关所支持命令的信息,请参阅"使用指南".
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是是版本修改7.
0(1)此命令已修改.
包括了额外的debug关键字.
3-6思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章ctl-provider-CTL提供程序调试信息dap-DAP信息dcerpc-DCERPC信息ddns-动态DNS信息dhcpc-DHCP客户端信息dhcpd-DHCP服务器信息dhcprelay-DHCP中继信息disk-磁盘信息dns-DNS信息eap-EAP信息eigrp-EIGRP协议信息email-邮件信息entity-实体MIB信息eou-EAPoUDP信息esmtp-ESMTP信息fips-FIPS140-2信息fixup-修复信息fover-故障切换信息fsm-FSM信息ftp-FTP信息generic-其他信息gtp-GTP信息h323-H323信息http-HTTP信息icmp-ICMP信息igmp-互联网组管理协议ils-LDAP信息im-IM检查信息imagemgr-映像管理器信息inspect-检查调试信息integrityfw-完整性防火墙信息ip-IP信息ipsec-over-tcp-IPsecoverTCP信息ipsec-pass-thru-检查ipsec-pass-thru信息ipv6-IPv6信息iua-proxy-IUA代理信息kerberos-KERBEROS信息l2tp-L2TP信息3-7思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章ldap-LDAP信息mfib-组播转发信息库mgcp-MGCP信息module-boot-服务模块引导信息mrib-组播路由信息库nac-framework-NAC-FRAMEWORK信息netbios-inspect-NETBIOS检查信息npshim-NPSHIM信息ntdomain-NT域信息ntp-NTP信息ospf-OSPF信息p2p-P2P检查信息parser-解析器信息pim-协议无关组播pix-PIX信息ppp-PPP信息pppoe-PPPoE信息pptp-PPTP信息radius-RADIUS信息redundant-interface-冗余接口信息rip-RIP信息rtp-RTP信息rtsp-RTSP信息sdi-SDI信息sequence-添加序列号session-command-会话命令信息sip-SIP信息skinny-Skinny信息sla-IPSLA监视器调试Smtp-client-电子邮件系统日志消息splitdns-拆分DNS信息sqlnet-SQLNET信息ssh-SSH信息sunrpc-SUNRPC信息tacacs-TACACS信息tcp-适用于WebVPN的TCPtcp-map-TCP映射信息timestamps-添加时间戳3-8思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章track-静态路由跟踪vlan-mapping-VLAN映射信息vpn-sessiondb-VPN会话数据库信息vpnlb-VPN负载平衡信息wccp-WCCP信息webvpn-WebVPN信息xdmcp-XDMCP信息xml-XML解析器信息由于调试输出在CPU进程中享有高优先级,因此可导致系统不可用.
为此,应仅在对特定问题进行故障排除或与思科TAC进行故障排除会话过程中使用debug命令.
此外,最好在网络流量较低和用户较少时使用debug命令.
在这些时段进行调试会减少因debug命令处理开销增加而影响系统使用的可能性.
示例本示例禁用所有调试输出:ciscoasa(config)#undebugall相关命令命令描述debug显示所选命令的调试信息.
3-9思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章unix-auth-gid要设置UNIX组ID,请在组策略webvpn配置模式下使用unix-auth-gid命令.
要从配置中删除此命令,请使用此命令的no版本.
unix-auth-gididentifiernostorage-objects语法说明默认值默认值为65534.
命令模式下表展示可输入命令的模式:命令历史记录使用指南该字符串指定网络文件系统(NetFS)位置.
仅支持SMB和FTP协议;例如,smb://(NetFS位置)或ftp://(NetFS位置).
您可在storage-objects命令中使用此位置的名称.
示例以下示例将UNIX组ID设置为4567:ciscoasa(config)#group-policytestattributesciscoasa(config-group-policy)#webvpnciscoasa(config-group-webvpn)#unix-auth-gid4567相关命令identifier指定范围为0到4294967294之间的整数.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略webvpn配置是-是--版本修改8.
0(2)添加了此命令.
命令描述unix-auth-uid设置UNIX用户ID.
3-10思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章unix-auth-uid要设置UNIX用户ID,请在组策略webvpn配置模式下使用unix-auth-uid命令.
要从配置中删除此命令,请使用此命令的no版本.
unix-auth-gididentifiernostorage-objects语法说明默认值默认值为65534.
命令模式下表展示可输入命令的模式:命令历史记录使用指南该字符串指定网络文件系统(NetFS)位置.
仅支持SMB和FTP协议;例如,smb://(NetFS位置)或ftp://(NetFS位置).
您可在storage-objects命令中使用此位置的名称.
示例以下示例将UNIX用户ID设置为333:ciscoasa(config)#group-policytestattributesciscoasa(config-group-policy)#webvpnciscoasa(config-group-webvpn)#unix-auth-gid333相关命令identifier指定范围为0到4294967294之间的整数.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略webvpn配置是-是--版本修改8.
0(2)添加了此命令.
命令描述unix-auth-gid设置UNIX组ID.
3-11思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章unsupported要记录不直接受软件支持的Diameter元素,请在策略映射参数配置模式下使用unsupported命令.
使用此命令的no形式删除设置.
unsupported{application-id|avp|command-code}actionlognounsupported{application-id|avp|command-code}actionlog语法说明默认值默认设置为允许这些元素而不对它们进行日志记录.
命令模式下表展示可输入命令的模式:命令历史记录使用指南配置Diameter检测策略映射时使用此命令.
这些选项指定该软件不直接支持的应用ID、命令代码和AVP.
默认设置为允许这些元素而不对它们进行日志记录.
您可以输入该命令三次以对所有元素启用日志记录.
示例以下示例将记录所有不支持的应用ID、命令代码和AVP:ciscoasa(config)#policy-maptypeinspectdiameterdiameter-policyciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#unsupportedapplication-idactionlogciscoasa(config-pmap-p)#unsupportedcommand-codeactionlogciscoasa(config-pmap-p)#unsupportedavpactionlogapplication-id记录其应用程序ID不直接受支持的Diameter消息.
avp记录其中包含不直接受支持的"属性-值"对(AVP)的Diameter消息.
command-code记录其中包含不直接受支持的命令代码的Diameter消息.
命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改9.
5(2)添加了此命令.
3-12思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章相关命令命令描述inspectdiameter启用Diameter检测.
policy-maptypeinspectdiameter创建Diameter检测策略映射.
3-13思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章upgraderommon要升级ASA5506-X和ASA5508-X系列安全设备,请在特权EXEC模式下使用upgraderommon命令.
upgraderommon[disk0|disk1|flash]:/[path]filename语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南为该命令提供文件名后,该命令将验证文件并要求您确认升级.
如果您有未保存的配置信息,系统将提示您在开始重新加载前保存该信息.
如果您确认,ASA将转至ROMMON并将开始升级过程.
示例以下示例展示如何升级ASA5506-X和ASA5508-X系列安全设备:ciscoasa#upgraderommondisk0:/kenton_rommon_1-0-19_release.
SPAVerifyingfileintegrityofdisk0:/kenton_rommon_1-0-19_release.
SPAComputedHashSHA2:cfd031b15f8f9cf8f24bc8f50051d3698fc90ef34d86fab606755bd283d8ccd905c6da1a4b7f061cc7f1c274bdfac98a9ef1fa4c3892f04b2e71a6b19ddb64c4EmbeddedHashSHA2:cfd031b15f8f9cf8f24bc8f50051d3698fc90ef34d86fab606755bd283d8ccd905c6da1a4b7f061cc7f1c274bdfac98a9ef1fa4c3892f04b2e71a6b19ddb64c4disk0:/[path/]filename此选项表示内部闪存.
您还可以使用flash代替disk0;它们互为别名.
disk1:/[path/]filename此选项表示外部闪存卡.
flash:/[path/]filename此选项表示内部闪存卡;flash是disk0:的别名.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是-是--版本修改9.
3(2)添加了此命令.
3-14思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章DigitalsignaturesuccessfullyvalidatedFileName:disk0:/kenton_rommon_1-0-19_release.
SPAImagetype:ReleaseSignerInformationCommonName:abraxasOrganizationUnit:NCS_Kenton_ASAOrganizationName:CiscoSystemsCertificateSerialNumber:54232BC5HashAlgorithm:SHA2512SignatureAlgorithm:2048-bitRSAKeyVersion:AVerificationsuccessful.
Proceedwithreload[confirm]3-15思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章upload-max-size注upload-max-size命令不起作用.
不使用它.
但是,此命令可能会显示在运行配置中,并可在CLI中使用.
要指定对象上传所允许的最大大小,请在组策略webvpn配置模式下使用upload-max-size命令.
要从配置中删除该对象,请使用此命令的no版本.
upload-max-sizesizenoupload-max-size语法说明默认值默认大小为2147483647.
命令模式下表展示可输入命令的模式:命令历史记录相关命令size指定已上传的对象所允许的最大大小.
范围为0到2147483647.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略webvpn配置是-是--版本修改8.
0(2)添加了此命令.
命令描述post-max-size指定要发布对象的最大大小.
webvpn在组策略配置模式或用户名配置模式下使用.
让您可以进入WebVPN模式以配置应用于组策略或用户名的参数.
webvpn在全局配置模式下使用.
让您可以配置WebVPN的全局设置.
3-16思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章srv-id要在引用标识对象中配置uri-id,请在ca-reference-identity模式下使用uri-id命令.
要删除uri-idin,请使用此命令的no形式.
您可以通过先输入cryptocareference-identity命令以配置引用标识对象,来访问ca-reference-identity模式.
srv-idvaluenosrv-idvalue语法说明命令默认无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南在创建引用标识后,可向或从引用标识中添加或删除四种类型的标识符及其相关联的值.
引用标识符可以包含标识应用服务的信息,并且必须包含标识DNS域名的信息.
示例以下示例为系统日志服务器创建引用标识:ciscoasa(config)#cryptocareference-identitysyslogServerciscoasa(config-ca-ref-identity)#dns-idsyslog1-bxb.
cisco.
comciscoasa(config-ca-ref-identity)#cn-idsyslog1-bxb.
cisco.
comvalue每个引用ID的值.
srv-idotherName类型的subjectAltName条目,根据RFC4985中的定义,其名称形式为SRVName.
SRV-ID标识符可以同时包含域名和应用服务类型.
例如,SRV-ID"_imaps.
example.
net"可以拆分为DNS域名部分"example.
net"和应用服务类型部分"imaps".
命令模式防火墙模式安全情景路由透明一个多个情景系统ca-reference-identity是是是是-版本修改9.
6(2)我们引入了此命令.
3-17思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章相关命令命令描述cryptocareference-identity配置引用标识对象.
cn-id配置引用标识对象中的通用名称标识符.
dns-id配置引用标识对象中的DNS域名标识符.
uri-id配置引用标识对象中的URI标识符.
logginghost配置可使用引用标识对象进行安全连接的日志记录服务器.
call-homeprofiledestinationaddresshttp配置可使用引用标识对象进行安全连接的SmartCallHome服务器.
3-18思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章uri-non-sip要识别Alert-Info和Call-Info报头字段中存在的非SIPURI,请在参数配置模式下使用uri-non-sip命令.
参数配置模式可从策略映射配置模式访问.
要禁用此功能,请使用此命令的no形式.
uri-non-sipaction{mask|log}[log}nouri-non-sipaction{mask|log}[log}语法说明默认值此命令默认禁用.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示如何识别SIP检查策略映射的Alert-Info和Call-Info报头字段中存在的非SIPURI:ciscoasa(config)#policy-maptypeinspectsipsip_mapciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#uri-non-sipactionlog相关命令log指定违规情况下的独立或附加日志.
mask屏蔽非SIPURI.
命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改7.
2(1)添加了此命令.
命令描述class在策略映射中标识类映射名称.
class-maptypeinspect创建检查类映射以匹配特定于应用的流量.
policy-map创建第3/4层策略映射.
showrunning-configpolicy-map显示所有当前的策略映射配置.
3-19思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章url(crlconfigure)要维护用于检索CRL的静态URL列表,请在crlconfigure配置模式下使用url命令.
crlconfigure配置模式可从cryptocatrustpoint配置模式进行访问.
要删除现有的URL,请使用此命令的no形式.
urlindexurlnourlindexurl语法说明默认值没有默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南您无法覆盖现有的URL.
要替换现有的URL,请首先使用此命令的no形式删除该URL.
示例以下示例进入crl配置模式,设置索引3用于创建和维护CRL检索的URL列表,并配置URLhttps://example.
com以从其检索CRL:ciscoasa(configure)#cryptocatrustpointcentralciscoasa(ca-trustpoint)#crlconfigureciscoasa(ca-crl)#url3https://example.
comciscoasa(ca-crl)#相关命令index指定从1到5的值以确定列表中每个URL的等级.
ASA首先尝试位于索引1的URL.
url指定从其检索CRL的URL.
命令模式防火墙模式安全情景路由透明一个多个情景系统Crlconfigure配置是-是--版本修改7.
0(1)添加了此命令.
命令描述crlconfigure进入ca-crl配置模式.
cryptocatrustpoint进入trustpoint配置模式.
policy指定用于检索CRL的源.
3-20思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章url(samlidp)要配置用于登录或注销的SAMLIdPURL,请在samlidp配置模式下使用url命令.
您可以通过先输入webvpn命令来访问samlidp配置模式.
要删除URL,请使用此命令的no形式.
url{sign-in|sign-out}valueurlnourlurl语法说明默认值没有默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南您无法覆盖现有的URL.
要替换现有的URL,请首先使用此命令的no形式删除该URL.
url指定从其检索CRL的URL.
命令模式防火墙模式安全情景路由透明一个多个情景系统Samlidp配置是-是--版本修改9.
5(2)添加了此命令.
3-21思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章url-block要管理等待来自过滤服务器的过滤决策时用于网络服务器响应的URL缓冲区,请使用url-block命令.
要删除配置,请使用此命令的no形式.
url-blockblockblock_buffernourl-blockblockblock_bufferurl-blockmempool-sizememory_pool_sizenourl-blockmempool-sizememory_pool_sizeurl-blockurl-sizelong_url_sizenourl-blockurl-sizelong_url_size语法说明默认值此命令默认禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南对于Websense过滤服务器,url-blockurl-size命令可以过滤最长4KB的长URL.
对于SecureComputing,url-blockurl-size命令可以过滤最长3KB的长URL.
对于Websense和N2H2过滤服务器,url-blockblock命令会导致ASA缓冲从网络服务器接收的数据包,以响应网络客户端请求,同时等待来自URL过滤服务器的响应.
与丢弃数据包并且需要网络服务器在连接允许时重新传输数据包的默认ASA行为相比,这将提高网络客户端的性能.
blockblock_buffer创建HTTP响应缓冲区以存储等待来自过滤服务器的过滤决策时的网络服务器响应.
允许的值从1到128,该值指定1550字节数据块的数量.
mempool-sizememory_pool_size配置URL缓冲内存池的最大大小,以千字节(KB)为单位.
允许的值从2到10240,该值指定从2KB到10240KB的URL缓冲内存池.
url-sizelong_url_size为每个缓冲的长URL配置允许的最大URL大小(以KB为单位).
指定最大URL大小的允许值:对于Websense为2、3或4,表示2KB、3KB或4KB;对于SecureComputing为2或3,表示2KB或3KB.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是是版本修改7.
0(1)添加了此命令.
3-22思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章如果您使用url-blockblock命令并且过滤服务器允许该连接,则ASA将数据块从HTTP响应缓冲区发送到网络客户端,然后从缓冲区中删除这些数据块.
如果过滤服务器拒绝该连接,则ASA将拒绝消息发送到网络客户端,并从HTTP响应缓冲区中删除这些数据块.
使用url-blockblock命令以指定等待来自过滤服务器的过滤决策时用于缓冲网络服务器响应的数据块数量.
将url-blockurl-size命令与url-blockmempool-size命令一起使用,以指定要过滤的最大URL长度和要分配给URL缓冲区的最大内存.
使用这些命令可以将长度超过1159字节(最大长度可达4096字节)的URL传递给Websense或Secure-Computing服务器.
url-blockurl-size命令在缓冲区中存储长度超过1159字节的URL,然后将该URL传递给Websense或Secure-Computing服务器(通过TCP数据包流),以便Websense或Secure-Computing服务器能够授予或拒绝该URL的访问权限.
示例以下示例分配56个1550字节的数据块,以用于来自URL过滤服务器的缓冲响应:ciscoasa#(config)#url-blockblock56相关命令命令描述clearurl-blockblockstatistics清除数据块缓冲区使用计数器.
filterurl将流量引导至URL过滤服务器.
showurl-block显示关于URL缓存的信息,该缓存在等待来自N2H2或Websense过滤服务器的响应时用于缓冲URL.
url-cache在来自N2H2或Websense服务器的响应挂起时,启用URL缓存并设置缓存的大小.
url-server标识与filter命令一起使用的N2H2或Websense服务器.
3-23思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章url-cache要为从Websense服务器接收的URL响应启用URL缓存和设置缓存的大小,请在全局配置模式下使用url-cache命令.
要删除配置,请使用此命令的no形式.
url-cache{dst|src_dst}kbytes[kb]nourl-cache{dst|src_dst}kbytes[kb]语法说明默认值此命令默认禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南url-cache命令提供配置选项用于缓存来自URL服务器的响应.
使用url-cache命令以启用URL缓存、设置缓存的大小和显示缓存统计信息.
注N2H2服务器应用不支持此命令进行URL过滤.
缓存在ASA的内存中存储URL访问权限.
主机请求连接时,ASA首先在URL缓存中查找有无匹配的访问权限,而不是将请求转发到Websense服务器.
使用nourl-cache命令可禁用缓存.
注如果您更改Websense服务器上的设置,则使用nourl-cache命令禁用缓存,然后使用url-cache命令重新启用缓存.
dst根据URL目标地址缓存条目.
如果所有用户在Websense服务器上共享相同的URL过滤策略,请选择此模式.
sizekbytes指定缓存大小的值,范围为1到128KB.
src_dst基于发起URL请求的源地址以及URL目标地址缓存条目.
如果用户没有在Websense服务器上共享相同的URL过滤策略,请选择此模式.
statistics使用statistics选项以显示更多URL缓存统计信息,包括缓存查找数和命中率.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是是版本修改7.
0(1)添加了此命令.
3-24思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章使用URL缓存不会更新Websense协议版本1的Websense记帐日志.
如果使用Websense协议版本1,请运行Websense以累积日志,以便您能够查看Websense记帐信息.
获得满足安全需求的使用配置文件后,启用url-cache以增加吞吐量.
使用url-cache命令时,Websense协议版本4URL过滤的记帐日志将会更新.
示例以下示例基于源和目标地址缓存所有出站HTTP连接:ciscoasa(config)#url-cachesrc_dst128相关命令命令描述clearurl-cachestatistics从配置中删除url-cache命令语句.
filterurl将流量引导至URL过滤服务器.
showurl-cachestatistics显示关于URL缓存的信息,该缓存用于从Websense过滤服务器接收的URL响应.
url-server标识与filter命令一起使用的Websense服务器.
3-25思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章url-entry要启用或禁用在门户页面上输入任何HTTP/HTTPSURL的功能,请在dapwebvpn配置模式下使用url-entry命令.
url-entryenable|disable默认值没有默认值或行为.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示如何为名为Finance的DAP记录启用URL条目:ciscoasa(config)config-dynamic-access-policy-recordFinanceciscoasa(config-dynamic-access-policy-record)#webvpnciscoasa(config-dynamic-access-policy-record)#url-entryenable相关命令enable|disable启用或禁用浏览文件服务器或共享的功能.
命令模式防火墙模式安全情景路由透明一个多个情景系统Dapwebvpn配置是是是--版本修改8.
0(2)添加了此命令.
命令描述dynamic-access-policy-record创建DAP记录.
file-entry启用或禁用输入要访问的文件服务器名称的功能.
3-26思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章url-length-limit要配置RTSP消息中允许的最大URL长度,请在参数配置模式下使用url-length-limit命令.
参数配置模式可从策略映射配置模式访问.
要禁用此功能,请使用此命令的no形式.
url-length-limitlengthnourl-length-limitlength语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示如何在RTSP检查策略映射中配置URL长度限制:ciscoasa(config)#policy-maptypeinspectrtsprtsp_mapciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#url-length-limit50相关命令lengthURL长度限制(以字节为单位).
范围为0到6000.
命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改8.
0(2)添加了此命令.
命令描述class在策略映射中标识类映射名称.
class-maptypeinspect创建检查类映射以匹配特定于应用的流量.
policy-map创建第3/4层策略映射.
showrunning-configpolicy-map显示所有当前的策略映射配置.
3-27思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章url-list要将WebVPN服务器和URL列表应用到特定用户或组策略,请在组策略webvpn配置模式下或在usernamewebvpn配置模式下使用url-list命令.
要删除列表,包括使用url-listnone命令创建的空值,请使用此命令的no形式.
no选项允许从其他组策略继承值.
要阻止继承url列表,请使用url-listnone命令.
再次使用该命令将覆盖以前的设置.
url-list{valuename|none}[index]nourl-list语法说明默认值没有默认URL列表.
命令模式下表展示可输入命令的模式:命令历史记录使用指南再次使用该命令将覆盖以前的设置.
您必须通过XML对象创建URL列表,然后才能在webvpn模式下使用url-list命令识别要在用户或组策略的WebVPN主页上显示的列表.
在全局配置模式下使用import命令以将URL列表下载到安全设备.
然后使用url-list命令以将列表应用到特定组策略或用户.
示例以下示例对名为FirstGroup的组策略应用名为FirstGroupURLs的URL列表,并为其分配URL列表中的第一个位置:ciscoasa(config)#group-policyFirstGroupattributesciscoasa(config-group-policy)#webvpnciscoasa(config-group-webvpn)#url-listvalueFirstGroupURLs1index表示在主页上的显示优先级.
none为URL列表设置一个空值.
防止从默认或指定的组策略继承列表.
valuename指定以前配置的URL列表的名称.
要配置此类列表,请在全局配置模式下使用url-list命令.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略webvpn配置是-是--用户名配置是-是--版本修改7.
0(1)添加了此命令.
3-28思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章相关命令命令描述clearconfigureurl-list从配置中删除所有url-list命令.
如果包含列表名称,则ASA仅删除该列表的命令.
showrunning-configurationurl-list显示当前配置的一组url-list命令.
webvpn可让您进入webvpn模式.
这可以是webvpn配置模式、组策略webvpn配置模式(用于配置特定组策略的webvpn设置)或usernamewebvpn配置模式(用于配置特定用户的webvpn设置).
3-29思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章url-server要标识与filter命令一起使用的N2H2或Websense服务器,请在全局配置模式下使用url-server命令.
要删除配置,请使用此命令的no形式.
N2H2url-server[(if_name)]vendor{smartfilter|n2h2}hostlocal_ip[portnumber][timeoutseconds][protocol{TCP[connectionsnumber]}|UDP]nourl-server[(if_name)]vendor{smartfilter|n2h2}hostlocal_ip[portnumber][timeoutseconds][protocol{TCP[connectionsnumber]}|UDP]Websenseurl-server(if_name)vendorwebsensehostlocal_ip[timeoutseconds][protocol{TCP|UDP|connectionsnum_conns]|version]nourl-server(if_name)vendorwebsensehostlocal_ip[timeoutseconds][protocol{TCP|UDP[connectionsnum_conns]|version]语法说明N2H2Websenseconnections限制允许的最大TCP连接数.
num_conns指定从安全设备到URL服务器创建的最大TCP连接数.
由于此数值基于服务器,因此不同服务器可能有不同的连接值.
hostlocal_ip运行URL过滤应用的服务器.
if_name(可选)身份验证服务器所在的网络接口.
如果未指定,默认值为inside.
portnumberN2H2服务器端口.
ASA还侦听此端口上的UDP回复.
默认端口号为4005.
protocol协议可以使用TCP或UDP关键字进行配置.
默认值是"TCP".
timeoutsecondsASA切换到您指定的下一服务器之前允许的最大空闲时间.
默认值为30秒.
vendor表示URL过滤服务,使用"smartfilter"或"n2h2"(为实现向后兼容性);但"smartfilter"保存为供应商字符串.
connections限制允许的最大TCP连接数.
num_conns指定从安全设备到URL服务器创建的最大TCP连接数.
由于此数值基于服务器,因此不同服务器可能有不同的连接值.
hostlocal_ip运行URL过滤应用的服务器.
if_name身份验证服务器所在的网络接口.
如果未指定,默认值为inside.
timeoutsecondsASA切换到您指定的下一服务器之前允许的最大空闲时间.
默认值为30秒.
protocol协议可以使用TCP或UDP关键字进行配置.
默认值为TCP协议,版本1.
vendorwebsense指示URL过滤服务供应商为Websense.
version指定协议版本1或4.
默认值为TCP协议版本1.
TCP可以使用版本1或版本4进行配置.
UDP只能使用版本4进行配置.
3-30思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章默认值此命令默认禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南url-server命令指定运行N2H2或WebsenseURL过滤应用的服务器.
限制为单情景模式下16台URL服务器和多情景模式下4台URL服务器;但您一次只能使用一种应用(N2H2或Websense).
此外,在ASA上更改您的配置不会更新应用服务器上的配置;此操作必须按照供应商的说明单独完成.
url-server命令必须在发出针对HTTPS和FTP的filter命令之前进行配置.
如果从服务器列表中删除所有URL服务器,则也将删除与URL过滤有关的所有filter命令.
指定服务器后,使用filterurl命令启用URL过滤服务.
使用showurl-serverstatistics命令以查看服务器统计信息,包括不可访问的服务器.
按照以下步骤操作以过滤URL:步骤1使用适当形式的供应商特定url-server命令,指定URL过滤应用服务器.
步骤2使用filter命令启用URL过滤.
步骤3(可选)使用url-cache命令启用URL缓存以改善已有的响应时间.
步骤4(可选)使用url-block命令启用长URL和HTTP缓冲支持.
步骤5使用showurl-blockblockstatistics、showurl-cachestatistics或showurl-serverstatistics命令以查看运行信息.
有关通过N2H2过滤的详细信息,请访问N2H2网站,网址为:http://www.
n2h2.
com有关Websense过滤服务的详细信息,请访问以下网站:http://www.
websense.
com/示例以下示例使用N2H2过滤所有出站HTTP连接,来自10.
0.
2.
54主机的连接除外:ciscoasa(config)#url-server(perimeter)vendorn2h2host10.
0.
1.
1ciscoasa(config)#filterurlhttp0000ciscoasa(config)#filterurlexcept10.
0.
2.
54255.
255.
255.
25500命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是是是版本修改7.
0(1)添加了此命令.
3-31思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章以下示例使用Websense过滤所有出站HTTP连接,来自10.
0.
2.
54主机的连接除外:ciscoasa(config)#url-server(perimeter)vendorwebsensehost10.
0.
1.
1protocolTCPversion4ciscoasa(config)#filterurlhttp0000ciscoasa(config)#filterurlexcept10.
0.
2.
54255.
255.
255.
25500相关命令命令描述clearurl-server清除URL过滤服务器统计信息.
filterurl将流量引导至URL过滤服务器.
showurl-block显示关于URL缓存的信息,该缓存用于从N2H2或Websense过滤服务器接收的URL响应.
url-cache在来自N2H2或Websense服务器的响应挂起时,启用URL缓存并设置缓存的大小.
3-32思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章urgent-flag要通过TCP规范器允许或清除URG标志,请在tcp-map配置模式下使用urgent-flag命令.
要删除此指定,请使用此命令的no形式.
urgent-flag{allow|clear}nourgent-flag{allow|clear}语法说明默认值默认情况下,紧急标志和紧急偏移将被清除.
命令模式下表展示可输入命令的模式:命令历史记录使用指南将tcp-map命令与模块化策略框架基础设施结合使用.
使用class-map命令定义流量类并使用tcp-map命令定制TCP检查.
应用新TCP映射使用policy-map命令.
使用service-policy命令激活TCP检查.
使用tcp-map命令进入TCP映射配置模式.
在tcp-map配置模式下使用urgent-flag命令以允许紧急标志.
URG标志用于指示数据包包含优先级高于流内其他数据的信息.
TCPRFC对URG标志的确切解释模糊不清;因此,终端系统以不同的方式处理紧急偏移,从而可能使终端系统易受攻击.
默认行为是清除URG标志和偏移.
示例以下示例展示如何允许紧急标志:ciscoasa(config)#tcp-maptmapciscoasa(config-tcp-map)#urgent-flagallowciscoasa(config)#class-mapcmapciscoasa(config-cmap)#matchporttcpeq513ciscoasa(config)#policy-mappmapciscoasa(config-pmap)#classcmapciscoasa(config-pmap)#setconnectionadvanced-optionstmapciscoasa(config)#service-policypmapglobalallow通过TCP规范器允许URG标志.
clear通过TCP规范器清除URG标志.
命令模式防火墙模式安全情景路由透明一个多个情景系统Tcp-map配置是是是是-版本修改7.
0(1)添加了此命令.
3-33思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章相关命令命令描述class指定要用于流量分类的类映射.
policy-map配置策略;即流量类与一个或多个操作的关联.
setconnection配置连接值.
tcp-map创建TCP映射,并允许对tcp-map配置模式的访问.
3-34思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user要在支持身份防火墙功能的用户组对象中创建用户,请在user-groupobject配置模式下使用user命令.
使用此命令的no形式可从对象中删除用户.
user[domain_nickname\]user_name[no]user[domain_nickname\]user_name语法说明默认值如果没有指定domain_nickname参数,则用户在为身份防火墙功能配置的LOCAL域中创建.
命令模式下表展示可输入命令的模式:命令历史记录使用指南ASA将LDAP查询发送到在ActiveDirectory域控制器中全局定义的用户组的ActiveDirectory服务器.
ASA将为身份防火墙功能导入这些组.
但是,ASA可能有未全局定义的本地化网络资源,从而需要采用本地化安全策略的本地用户组.
本地用户组可包含从ActiveDirectory导入的嵌套组和用户组.
ASA将合并本地和ActiveDirectory组.
用户可以属于本地用户组和从ActiveDirectory导入的用户组.
ASA最多支持256个用户组(包括导入的用户组和本地用户组).
您可通过将用户组对象包含在访问组、捕获或服务策略中以进行激活.
在用户组对象内,您可以定义以下对象类型:User-将单一用户添加到object-groupuser.
用户可以是LOCAL用户或导入的用户.
导入用户的名称必须是唯一的sAMAccountName,而不是可能不唯一的公用名称(cn).
但是,有些ActiveDirectory服务器管理员可能要求sAMAccountName和cn完全相同.
在这种情况下,ASA在showuser-identityad-group-member命令输出中显示的cn可用于通过用户对象定义的导入用户.
domain_nickname(可选)指定要添加用户的域.
user_name指定用户的名称.
用户名可包含任意字符,包括[a-z]、[A-Z]、[0-9]如果用户名包含空格,您必须将名称包含在引号内.
使用user关键字指定的user_name参数包含ASCII用户名,因此不会指定IP地址.
命令模式防火墙模式安全情景路由透明一个多个情景系统对象组用户配置是是是是-版本修改8.
4(2)添加了此命令.
3-35思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章User-group-将通过外部目录服务器(例如MicrosoftActiveDirectory服务器)定义的导入用户组添加到group-objectuser.
user-group的组名称必须是唯一的sAMAccountName,而不是可能不唯一的cn.
但是,有些ActiveDirectory服务器管理员可能要求sAMAccountName和cn完全相同.
在这种情况下,ASA在showuser-identityad-group-member命令输出中显示的cn可在通过user-group关键字指定的user_group_name参数中使用.
注您可以在用户组对象中直接添加domain_nickname\\user_group_name或domain_nickname\user_name而无需首先在对象中指定它们.
如果domain_nickname与AAA服务器关联,则用户对象组激活时,ASA将外部目录服务器(例如MicrosoftActiveDirectory服务器)中定义的详细嵌套用户组和用户导入到ASA.
Group-object-将ASA上本地定义的组添加到object-groupuser.
注在object-groupuser对象中包含object-group时,ASA不会在访问组中扩展object-group,即使您启用了ACL优化.
showobject-group命令的输出不会显示命中数,该项在ACL优化启用时仅可用于普通的网络object-group.
Description-添加object-groupuser的说明.
示例以下示例展示如何将user命令与user-groupobject命令一起使用,以添加用户组对象中的用户,从而与身份防火墙功能一起使用:ciscoasa(config)#object-groupusersampleuser1-groupciscoasa(config-object-groupuser)#descriptiongroupmembersofsampleuser1-groupciscoasa(config-object-groupuser)#user-groupCSCO\\group.
sampleusers-allciscoasa(config-object-groupuser)#userCSCO\user2ciscoasa(config-object-groupuser)#exitciscoasa(config)#object-groupusersampleuser2-groupciscoasa(config-object-groupuser)#descriptiongroupmembersofsampleuser2-groupciscoasa(config-object-groupuser)#group-objectsampleuser1-groupciscoasa(config-object-groupuser)#user-groupCSCO\\group.
sampleusers-marketingciscoasa(config-object-groupuser)#userCSCO\user3相关命令命令描述description将说明添加到使用object-groupuser命令创建的组.
group-object将本地定义的对象组添加到使用object-groupuser命令创建的用户对象组,以便与身份防火墙功能一起使用.
object-groupuser创建用于身份防火墙功能的用户组对象.
user-group将从MicrosoftActiveDirectory导入的用户组添加到使用object-groupuser命令创建的组.
user-identityenable创建思科身份防火墙实例.
3-36思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-alert要通过当前活动会话启用到所有无客户端SSLVPN用户的紧急消息广播,请在特权EXEC模式下使用user-alert命令.
要禁用该消息,请使用此命令的no形式.
user-alertstringcancelnouser-alert语法说明默认值无消息.
命令模式下表展示可输入命令的模式:命令历史记录使用指南当您发出此命令后,最终用户会看到弹出浏览器窗口及配置的消息.
此命令不会导致ASA配置文件发生变化.
示例以下示例展示如何启用DAP跟踪调试:ciscoasa#Wewillrebootthesecurityapplianceat11:00p.
m.
ESTtime.
Weapologizeforanyinconvenience.
ciscoasa#cancel取消弹出浏览器窗口启动.
string一个字母数字.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是-是--版本修改8.
0(2)添加了此命令.
3-37思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-authentication要启用用户身份验证,请在组策略配置模式下使用user-authenticationenable命令.
要禁用用户分身份验证,请使用user-authenticationdisable命令.
要从运行配置中删除用户身份验证属性,请使用此命令的no形式.
此选项允许从其他组策略继承用户身份验证的值.
启用后,用户身份验证要求硬件客户端背后的个人用户进行身份验证,以获取通过隧道访问网络的权限.
user-authentication{enable|disable}nouser-authentication语法说明默认值用户身份验证已禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南个人用户按照身份验证服务器的配置顺序进行身份验证.
如果要求在主要ASA上进行用户身份验证,请务必在所有备用服务器上也进行配置.
示例以下示例展示如何为名为"FirstGroup"的组策略启用用户身份验证:ciscoasa(config)#group-policyFirstGroupattributesciscoasa(config-group-policy)#user-authenticationenabledisable禁用用户身份验证.
enable启用用户身份验证.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略配置是-是--版本修改7.
0(1)添加了此命令.
3-38思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章相关命令命令描述ip-phone-bypass无需经过用户身份验证即可让IP电话连接.
安全设备身份验证仍然有效.
leap-bypass启用后,可让来自VPN客户端背后无线设备的LEAP数据包在用户身份验证之前穿越VPN隧道.
这样就可让使用思科无线接入点设备的工作站建立LEAP身份验证.
然后,它们将根据用户身份验证再次进行验证.
secure-unit-authentication通过在客户端每次启动隧道时均要求VPN客户端使用用户名和密码进行身份验证,提供额外的安全性.
user-authentication-idle-timeout设置各用户的空闲超时.
如果在空闲超时期限内用户连接上没有通信活动,则ASA会终止该连接.
3-39思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-authentication-idle-timeout要设置硬件客户端背后各用户的空闲超时,请在组策略配置模式下使用user-authentication-idle-timeout命令.
要删除空闲超时值,请使用此命令的no形式.
此选项允许从其他组策略继承空闲超时值.
要阻止继承空闲超时值,请使用user-authentication-idle-timeoutnone命令.
如果在空闲超时期限内硬件客户端背后的用户没有通信活动,则ASA会终止该连接.
user-authentication-idle-timeout{minutes|none}nouser-authentication-idle-timeout语法说明默认值30分钟.
命令模式下表展示可输入命令的模式:命令历史记录使用指南最小值为1分钟,默认值为30秒,最大值为10,080分钟.
此计时器仅终止客户端通过VPN隧道进行的访问,而非终止VPN隧道本身.
响应showuauth命令所指示的空闲超时始终是思科简易VPN远程设备上进行隧道身份验证的用户的空闲超时值.
示例以下示例展示如何为名为"FirstGroup"的组策略设置45分钟的空闲超时值:ciscoasa(config)#group-policyFirstGroupattributesciscoasa(config-group-policy)#user-authentication-idle-timeout45相关命令minutes指定空闲超时期限的分钟数.
范围为1到35791394分钟none允许无限制的空闲超时期限.
使用空值设置空闲超时,从而禁止空闲超时.
阻止从默认或指定组策略继承用户身份验证空闲超时值.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略配置是-是--版本修改7.
0(1)添加了此命令.
命令描述user-authentication要求硬件客户端背后的用户先对ASA确定自身身份,然后再进行连接.
3-40思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-group要将从MicrosoftActiveDirectory导入的用户组添加到使用object-groupuser命令创建的组,以与身份防火墙功能一起使用,请在user-groupobject配置模式下使用user-group命令.
使用此命令的no形式可从对象中删除用户组.
user-group[domain_nickname\]user_group_name[no]user-group[domain_nickname\]user_group_name语法说明默认值如果没有指定domain_nickname参数,则用户组在为身份防火墙功能配置的LOCAL域中创建.
命令模式下表展示可输入命令的模式:命令历史记录使用指南ASA将LDAP查询发送到在ActiveDirectory域控制器中全局定义的用户组的ActiveDirectory服务器.
ASA将为身份防火墙功能导入这些组.
但是,ASA可能有未全局定义的本地化网络资源,从而需要采用本地化安全策略的本地用户组.
本地用户组可包含从ActiveDirectory导入的嵌套组和用户组.
ASA将合并本地和ActiveDirectory组.
用户可以属于本地用户组和从ActiveDirectory导入的用户组.
ASA最多支持256个用户组(包括导入的用户组和本地用户组).
您可通过将用户组对象包含在访问组、捕获或服务策略中以进行激活.
在用户组对象内,您可以定义以下对象类型:User-将单一用户添加到object-groupuser.
用户可以是LOCAL用户或导入的用户.
导入用户的名称必须是唯一的sAMAccountName,而不是可能不唯一的公用名称(cn).
但是,有些ActiveDirectory服务器管理员可能要求sAMAccountName和cn完全相同.
在这种情况下,ASA在showuser-identityad-group-member命令输出中显示的cn可用于通过用户对象定义的导入用户.
domain_nickname(可选)指定要在其中创建用户组的域.
user_group_name指定用户组的名称.
组名称可包含任意字符,包括[a-z]、[A-Z]、[0-9]如果组名称包含空格,您必须将名称包含在引号内.
命令模式防火墙模式安全情景路由透明一个多个情景系统对象组用户配置是是是是-版本修改8.
4(2)添加了此命令.
3-41思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章User-group-将通过外部目录服务器(例如MicrosoftActiveDirectory服务器)定义的导入用户组添加到group-objectuser.
用户组的组名称必须是唯一的sAMAccountName,而不是可能不唯一的cn.
但是,有些ActiveDirectory服务器管理员可能要求sAMAccountName和cn完全相同.
在这种情况下,ASA在showuser-identityad-group-member命令输出中显示的cn可在通过user-group关键字指定的user_group_name参数中使用.
注您可以在用户组对象中直接添加domain_nickname\\user_group_name或domain_nickname\user_name而无需首先在对象中指定它们.
如果domain_nickname与AAA服务器关联,则用户对象组激活时,ASA将外部目录服务器(例如MicrosoftActiveDirectory服务器)中定义的详细嵌套用户组和用户导入到ASA.
Group-object-将在ASA上本地定义的组添加到对象组用户.
注在objectgroupuser对象中包含对象组时,ASA不会在访问组中扩展对象组,即使您启用了ACL优化.
showobject-group命令的输出不会显示命中数,该项在ACL优化启用时仅可用于普通的网络对象组.
Description-添加objectgroupuser的说明.
示例以下示例展示如何将user-group命令与user-groupobject命令一起使用,以添加用户组对象中的用户组,以便与身份防火墙功能一起使用:ciscoasa(config)#object-groupusersampleuser1-groupciscoasa(config-object-groupuser)#descriptiongroupmembersofsampleuser1-groupciscoasa(config-object-groupuser)#user-groupCSCO\\group.
sampleusers-allciscoasa(config-object-groupuser)#userCSCO\user2ciscoasa(config-object-groupuser)#exitciscoasa(config)#object-groupusersampleuser2-groupciscoasa(config-object-groupuser)#descriptiongroupmembersofsampleuser2-groupciscoasa(config-object-groupuser)#group-objectsampleuser1-groupciscoasa(config-object-groupuser)#user-groupCSCO\\group.
sampleusers-marketingciscoasa(config-object-groupuser)#userCSCO\user3相关命令命令描述description将说明添加到使用object-groupuser命令创建的组.
group-object将本地定义的对象组添加到使用object-groupuser命令创建的用户对象组,以便与身份防火墙功能一起使用.
object-groupuser创建用于身份防火墙功能的用户组对象.
user将用户添加到使用object-groupuser命令创建的对象组.
user-identityenable创建思科身份防火墙实例.
3-42思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityactionad-agent-down要设置ActiveDirectory代理无响应时思科身份防火墙实例的操作,请在全局配置模式下使用user-identityactionad-agent-down命令.
要删除身份防火墙实例的这一操作,请使用此命令的no形式.
user-identityactionad-agent-downdisable-user-identity-rulenouser-identityactionad-agent-downdisable-user-identity-rule语法说明此命令没有任何参数或关键字.
默认值默认情况下,此命令已禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南指定当AD代理不响应时的操作.
AD代理关闭并且配置user-identityactionad-agent-down命令后,ASA会禁用与该域中用户关联的用户身份规则.
此外,该域中所有用户IP地址的状态在showuser-identityuser命令显示的输出中均标记为已禁用.
示例以下示例展示如何启用身份防火墙的这一操作:ciscoasa(config)#user-identityactionad-agent-downdisable-user-identity-rule相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-43思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityactiondomain-controller-down要设置ActiveDirectory域控制器关闭时思科身份防火墙实例的操作,请在全局配置模式下使用user-identityactiondomain-controller-down命令.
要删除该操作,请使用此命令的no形式.
user-identityactiondomain-controller-downdomain_nicknamedisable-user-identity-rulenouser-identityactiondomain-controller-downdomain_nicknamedisable-user-identity-rule语法说明默认值默认情况下,此命令禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南指定域由于ActiveDirectory域控制器未响应而关闭时的操作.
域关闭并且配置disable-user-identity-rule关键字后,ASA会禁用该域的用户身份-IP地址映射.
此外,该域中所有用户IP地址的状态在showuser-identityuser命令显示的输出中均标记为已禁用.
示例以下示例展示如何配置身份防火墙的这一操作:ciscoasa(config)#user-identityactiondomain-controller-downSAMPLEdisable-user-identity-rule相关命令domain_nickname指定身份防火墙的域名.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-44思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityactionmac-address-mismatch要设置发现用户的MAC地址与ASA设备IP地址不一致时思科身份防火墙实例的操作,请在全局配置模式下使用user-identityactionmac-addressmismatch命令.
要删除该操作,请使用此命令的no形式.
user-identityactionmac-addressmismatchremove-user-ipnouser-identityactionmac-addressmismatchremove-user-ip语法说明此命令没有任何参数或关键字.
默认值默认情况下,ASA在此命令指定时使用remove-user-ip.
命令模式下表展示可输入命令的模式:命令历史记录使用指南指定当发现用户的MAC地址与当前映射到该MAC地址的ASA设备IP地址不一致时的操作.
该操作用于禁用用户身份规则的影响.
配置user-identityactionmac-address-mismatch命令后,ASA会删除该客户端的用户身份-IP地址映射.
示例以下示例展示如何配置身份防火墙:ciscoasa(config)#user-identityactionmac-address-mismatchremove-user-ip相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-45思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityactionnetbios-response-fail要设置客户端未响应思科身份防火墙实例的NetBIOS探测时的操作,请在全局配置模式下使用user-identityactionnetbios-response-fail命令.
要删除该操作,请使用此命令的no形式.
user-identityactionnetbios-response-failremove-user-ipnouser-identityactionnetbios-response-failremove-user-ip语法说明此命令没有任何参数或关键字.
默认值默认情况下,此命令禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南指定客户端不响应NetBIOS探测时的操作.
例如,该客户端的网络连接可能已被阻止或客户端处于不活动状态.
配置user-identityactionremove-user-ip命令后,ASA会删除该客户端的用户身份-IP地址映射.
示例以下示例展示如何配置身份防火墙:ciscoasa(config)#user-identityactionnetbios-response-failremove-user-ip相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-46思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityaaa-serveradagent要定义用于思科身份防火墙实例的AD代理的服务器组,请在AAA服务器主机配置模式下使用user-identityad-agentaaa-server命令.
要删除该操作,请使用此命令的no形式.
user-identityuser-identityad-agentaaa-serveraaa_server_group_tagnouser-identityuser-identityad-agentaaa-serveraaa_server_group_tag语法说明默认值此命令没有默认值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南aaa_server_group_tag变量中定义的第一台服务器是主要AD代理,而定义的第二台服务器是辅助AD代理.
身份防火墙仅支持定义两台AD代理主机.
当ASA检测到主要AD代理关闭并且辅助代理已指定时,它会切换到辅助AD代理.
AD代理的AAA服务器使用RADIUS作为通信协议,并且应指定ASA与AD代理之间共享密钥的主要属性.
示例以下示例展示如何定义用于身份防火墙的AD代理AAA服务器主机:ciscoasa(config-aaa-server-hostkey)#user-identityad-agentaaa-serveradagent相关命令aaa_server_group_tag指定与身份防火墙关联的AAA服务器组.
命令模式防火墙模式安全情景路由透明一个多个情景系统AAA服务器主机配置是是是--版本修改8.
4(2)添加了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-47思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityad-agentactive-user-database要定义ASA如何从思科身份防火墙实例的AD代理检索用户身份-IP地址映射信息,请在全局配置模式下使用user-identityad-agentactive-user-database命令.
要删除配置,请使用此命令的no形式.
user-identityad-agentactive-user-database{on-demand|full-download}nouser-identityad-agentactive-user-database{on-demand|full-download}语法说明此命令没有任何参数或关键字.
默认值默认情况下,ASA5505使用on-demand选项.
其他ASA平台使用full-download选项.
命令模式下表展示可输入命令的模式:命令历史记录使用指南定义ASA如何从AD代理检索用户身份-IP地址映射信息:full-download-指定ASA在ASA启动时发送请求到AD代理以下载整个IP-用户映射表,然后在用户登录和注销时接收增量IP-用户映射.
on-demand-指定ASA在ASA接收需要新连接的数据包,并且其源IP地址的用户不在用户身份数据库中时,从AD代理检索IP地址的用户映射信息.
默认情况下,ASA5505使用on-demand选项.
其他ASA平台使用full-download选项.
完整下载是由事件驱动的,这意味着下载数据库、仅将更新发送到用户身份-IP地址映射数据库等后续请求.
ASA向AD代理注册变更请求后,AD代理会将新事件发送到ASA.
示例以下示例展示如何配置身份防火墙的这一选项:ciscoasa(config)#user-identityad-agentactive-user-databasefull-download命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
3-48思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章相关命令命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-49思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityad-agenthello-timer要定义ASA与思科身份防火墙实例的AD代理之间的计时器,请在全局配置模式下使用user-identityad-agenthello-timer命令.
要删除配置,请使用此命令的no形式.
user-identityad-agenthello-timersecondssecondsretry-timesnumbernouser-identityad-agenthello-timersecondssecondsretry-timesnumber语法说明默认值默认情况下,问候计时器设置为30秒和5次重试.
命令模式下表展示可输入命令的模式:命令历史记录使用指南定义ASA和AD代理之间的问候计时器.
ASA与AD代理之间的问候计时器定义ASA交换问候数据包的频率.
ASA使用问候数据包以获得ASA复制状态(同步或不同步)和域状态(运行或关闭).
如果ASA没有收到来自AD代理的响应,它会在指定间隔后重新发送问候数据包.
默认情况下,问候计时器设置为30秒和5次重试.
示例以下示例展示如何配置身份防火墙的这一选项:ciscoasa(config)#user-identityad-agenthello-timerseconds20retry-times3相关命令number指定计时器的重试次数.
seconds指定计时器的时长.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-50思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityad-agentevent-timestamp-check要启用RADIUS事件时间戳检查以保护ASA免于授权重播更改攻击,请在全局配置模式下使用user-identityad-agentevent-timestamp-check命令.
要删除配置,请使用此命令的no形式.
user-identityad-agentevent-timestamp-checknouser-identityad-agentevent-timestamp-check语法说明此命令没有任何参数或关键字.
默认值默认设置为已禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令允许ASA跟踪其接收的每个标识符的上次事件时间戳;并在事件时间戳比ASA的时钟早至少5分钟,或其时间戳早于上次事件时间戳时丢弃所有消息.
对于新引导的ASA,由于没有上次事件时间戳,因此ASA会将事件时间戳与自己的时钟进行比较.
如果事件在至少5分钟之前发生,则ASA不会接受该消息.
注我们建议您将ASA、ActiveDirectory和ActiveDirectory代理配置为使用NTP在彼此之间同步时钟.
示例以下示例展示如何配置身份防火墙的事件时间戳检查:ciscoasa(config)#user-identityad-agentevent-timestamp-check相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改9.
1(5)添加了此命令.
命令描述user-identityad-agenthello-timer定义ASA与思科身份防火墙实例的AD代理之间的计时器.
3-51思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identitydefault-domain要指定思科身份防火墙实例的默认域,请在全局配置模式下使用user-identitydefault-domain命令.
要删除默认域,请使用此命令的no形式.
user-identitydefault-domaindomain_NetBIOS_namenouser-identitydefault-domaindomain_NetBIOS_name语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南对于domain_NetBIOS_name,输入最多32个字符的名称,可包含[a-z]、[A-Z]、[0-9]、第一个字符不能是".
"和"".
如果域名包含空格,则将整个名称包含在引号内.
域名不区分大小写.
当没有为所有用户或用户组明确配置域时,所有用户和用户组都使用默认域.
未指定默认域时,用户和组的默认域为LOCAL.
对于多情景模式,您可以设置每个情景的默认域名,如同在系统执行空间内一样.
注您指定的默认域名必须匹配ActiveDirectory域控制器中配置的NetBIOS域名.
如果域名不匹配,则AD代理将错误地把用户身份-IP地址映射与配置ASA时您输入的域名关联.
要查看NetBIOS域名,请在任意文本编辑器中打开ActiveDirectory用户事件安全日志.
身份防火墙对所有本地定义的用户组或本地定义的用户使用LOCAL域.
通过网络门户(直通代理)登录的用户被指定为属于其进行身份验证的ActiveDirectory域.
通过VPN登录的用户被指定为属于LOCAL域,除非VPN通过具有ActiveDirectory的LDAP进行身份验证,这样身份防火墙便能够将用户与其ActiveDirectory域关联.
示例以下示例展示如何配置身份防火墙的默认域:ciscoasa(config)#user-identitydefault-domainSAMPLEdomain_NetBIOS_name指定身份防火墙的默认域.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
3-52思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章相关命令命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-53思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identitydomain要关联思科身份防火墙实例的域,请在全局配置模式下使用user-identitydomain命令.
要删除域关联,请使用此命令的no形式.
user-identitydomaindomain_nicknameaaa-serveraaa_server_group_tagnouser-identitydomain_nicknameaaa-serveraaa_server_group_tag语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南将为导入用户组查询而为AAA服务器定义的LDAP参数与域名相关联.
对于domain_nickname,输入最多32个字符的名称,可包含[a-z]、[A-Z]、[0-9]、第一个字符不能是".
"和"".
如果域名包含空格,您必须将空格字符包含在引号内.
域名不区分大小写.
示例以下示例展示如何关联身份防火墙的域:ciscoasa(config)#user-identitydomainSAMPLEaaa-serverds相关命令aaa_server_group_tag指定与身份防火墙关联的AAA服务器组.
domain_nickname指定身份防火墙的域名.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-54思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityenable要创建思科身份防火墙实例,请在全局配置模式下使用user-identityenable命令.
要禁用身份防火墙实例,请使用此命令的no形式.
user-identityenablenouser-identityenable语法说明此命令没有任何参数或关键字.
默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令将启用身份防火墙.
示例以下示例展示如何启用身份防火墙:ciscoasa(config)#user-identityenable相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-55思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityinactive-user-timer要指定用户被思科身份防火墙实例视为空闲之前经过的时间量,请在全局配置模式下使用user-identityinactive-user-timer命令.
要删除该计时器,请使用此命令的no形式.
user-identityinactive-user-timerminutesminutesnouser-identityinactive-user-timerminutesminutes语法说明默认值默认情况下,空闲超时设置为60分钟.
命令模式下表展示可输入命令的模式:命令历史记录使用指南计时器过期后,用户的IP地址将标记为非活动状态,并将从本地缓存的用户身份-IP地址映射数据库中删除,而ASA不再通知AD代理关于该IP地址删除的事宜.
现有的流量仍允许通过.
指定此命令后,ASA将运行非活动计时器,即使已配置NetBIOS注销探测功能.
注IdleTimeout选项不适用于VPN或直通代理用户.
示例以下示例展示如何配置身份防火墙:ciscoasa(config)#user-identityinactive-user-timerminutes120相关命令minutes指定用户被视为空闲之前经过的时间量,表示ASA在指定的时间量内未收到来自用户IP地址的流量.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-56思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identitylogout-probe要对思科身份防火墙实例启用NetBIOS探测,请在全局配置模式下使用user-identitylogout-probe命令.
要删除禁用探测,请使用此命令的no形式.
user-identitylogout-probenetbioslocal-systemprobe-timeminutesminutesretry-intervalsecondssecondsretry-counttimes[user-not-needed|match-any|exact-match]nouser-identitylogout-probenetbioslocal-systemprobe-timeminutesminutesretry-intervalsecondssecondsretry-counttimes[user-not-needed|match-any|exact-match]语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南为将NetBIOS数据包的数量减至最少,ASA仅当用户空闲超过指定的分钟数后将NetBIOS探测发送到客户端.
设置NetBIOS探测计时器(1到65535分钟)和重试间隔(1到256次重试).
指定探测的重试次数:match-any-只要NetBIOS从包含分配到该IP地址的用户之用户名的客户端响应,用户身份即视为有效.
指定此选项要求客户端启用Messenger服务并配置WINS服务器.
exact-match-分配到IP地址的用户之用户名在NetBIOS响应中必须唯一.
否则,该IP地址的用户身份将被视为无效.
指定此选项要求客户端启用Messenger服务并配置WINS服务器.
user-not-needed-只要ASA从客户端收到NetBIOS响应,用户身份即视为有效.
身份防火墙仅对用户身份处于活动状态并且位于至少一个安全策略中的用户执行NetBIOS探测.
ASA不对用户通过直通代理或使用VPN登录的客户端执行NetBIOS探测.
minutes指定两次探测之间的分钟数.
seconds指定重试间隔的时长.
times指定探测的重试次数.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
3-57思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章示例以下示例展示如何配置身份防火墙:ciscoasa(config)#user-identitylogout-probenetbioslocal-systemprobe-timeminutes10retry-intervalseconds10retry-count2user-not-needed相关命令命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-58思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identitymonitor对于云网络安全,要从AD代理下载指定的用户或组信息,请在全局配置模式下使用user-identitymonitor命令.
要停止监控,请使用此命令的no形式.
user-identitymonitor{user-group[domain-name\\]group-name|object-group-userobject-group-name}nouser-identitymonitor{user-group[domain-name\\]group-name|object-group-userobject-group-name}语法说明命令默认无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南当您使用身份防火墙功能时,ASA仅从AD服务器下载活动ACL中包含的用户和组的用户身份信息;ACL必须在如访问规则、AAA规则、服务策略规则等功能或被视为活动的其他功能中使用.
由于云网络安全可将其策略基于用户身份,因此您可能需要下载并非活动ACL一部分的组,以获得所有用户的完全身份防火墙覆盖.
例如,尽管您可以将云网络安全服务策略规则配置为使用具有用户和组的ACL,从而激活任何相关组,但这并非必需;您可以完全基于IP地址使用ACL.
用户身份监控功能可让您从AD代理直接下载组信息.
ASA最多只能监控512个组,包括配置用于用户身份监控的组和通过活动ACL进行监控的组.
示例以下示例监控CISCO\\Engineering用户组:ciscoasa(config)#user-identitymonitoruser-groupCISCO\\Engineeringobject-group-userobject-group-name指定object-groupuser名称.
该组可包含多个组.
user-group[domain-name\\]group-name指定内嵌组名称.
尽管您在域和组之间指定了2个反斜线(\\),但ASA会在将其发送到云网络安全时修改该名称以仅包含一个反斜线,从而符合云网络安全表示法约定.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改8.
4(2)添加了此命令.
3-59思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章相关命令命令描述class-maptypeinspectscansafe为加入白名单的用户和组创建检查类映射.
defaultusergroup如果ASA无法确定进入ASA的用户的身份,则指定默认用户名和/或组.
http[s](parameters)指定检查策略映射的服务类型:HTTP或HTTPS.
inspectscansafe对类中的流量启用云网络安全检查.
license配置ASA发送到云网络安全代理服务器以指示请求来自哪个组织的身份验证密钥.
matchusergroup匹配白名单的用户或组.
policy-maptypeinspectscansafe创建检查策略映射,以便配置重要的规则参数并选择性地标识白名单.
retry-count输入重试计数器值,即ASA在轮询云网络安全代理服务器以检查其可用性之前所等待的时长.
scansafe在多情景模式下,允许基于情景的云网络安全.
scansafegeneral-options配置常规云网络安全服务器选项.
server{primary|backup}配置主要或备用云网络安全代理服务器的完全限定域名或IP地址.
showconnscansafe显示所有云网络安全连接,标有大写Z标志.
showscansafeserver显示服务器的状态,表示服务为当前活动服务器、备用服务器还是无法访问.
showscansafestatistics显示总计和当前HTTP连接数.
白名单对流量类执行白名单操作.
3-60思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identitypoll-import-user-group-timer要指定ASA查询ActiveDirectory服务器以获得思科身份防火墙实例的用户组信息之前经过的时间量,请在全局配置模式下使用user-identitypoll-import-user-group-timer命令.
要删除该计时器,请使用此命令的no形式.
user-identitypoll-import-user-group-timerhourshoursnouser-identitypoll-import-user-group-timerhourshours语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南指定在ASA查询ActiveDirectory服务器有关用户组信息之前的时间量.
如果在ActiveDirectory组添加或删除用户,则ASA会在导入组计时器运行后收到更新的用户组.
默认情况下,轮询计时器为8小时.
要立即更新用户组信息,请输入user-identityupdateimport-user命令:示例以下示例展示如何配置身份防火墙:ciscoasa(config)#user-identitypoll-import-user-group-timerhours1相关命令hours设置轮询计时器的小时数.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-61思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identitystaticuser要为思科身份防火墙功能创建新用户-IP地址映射或将用户的IP地址设置为非活动状态,请在全局配置模式下使用user-identitystaticuser命令.
要删除身份防火墙的这一配置,请使用此命令的no形式.
user-identitystaticuser[domain\]user_namehost_ipnouser-identitystaticuser[domain\]user_namehost_ip语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令没有使用指南.
示例以下示例展示如何为user1创建静态映射.
ciscoasa(config)#user-identitystaticuserSAMPLE\user1192.
168.
1.
101相关命令domain为指定域中的用户创建新用户-IP地址映射或将IP地址设置为非活动状态.
host_ip指定为其创建新用户-IP地址映射或设置为非活动状态的用户的IP地址.
user_name指定为其创建新用户-IP地址映射或将其用户IP地址设置为非活动状态的用户的用户名.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改9.
7(1)引入了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-62思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityupdateactive-user-database要从ActiveDirectory代理下载完整的active-user数据库,请在全局配置模式下使用user-identityupdateactive-user-database命令.
user-identityupdateactive-user-database[timeoutminutesminutes]语法说明默认值默认超时是5分钟.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令从ActiveDirectory代理下载完整的active-user数据库.
此命令将启动更新操作,生成起始更新日志并立即返回.
更新操作完成或在计时器到期时中止后,将生成另一个系统日志消息.
只允许一个未完成的更新操作.
重新运行该命令将显示错误消息.
该命令完成运行后,ASA将在命令提示符下显示[已完成],然后生成系统日志消息.
示例以下示例展示如何启用身份防火墙的这一操作:ciscoasa#user-identityupdateactive-user-databaseERROR:oneupdateactive-user-databaseoperationisalreadyinprogress[Done]user-identityupdateactive-user-database相关命令minutes指定超时的分钟数.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-63思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityupdateimport-user要从ActiveDirectory代理下载完整的active-user数据库,请在全局配置模式下使用user-identityupdateactive-user-database命令.
user-identityupdateimport-user[[domain_nickname\\]user_group_name[timeoutsecondsseconds]]语法说明默认值ASA最多重试更新5次,并在必要时生成警告消息.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令通过立即查询ActiveDirectory服务器而不等待轮询导入用户组计时器过期来更新指定的导入用户组数据库.
没有用于更新本地用户组的命令,因为组ID数据库在每次本地用户组配置发生变化时都会更新.
此命令不会阻止控制台等待LDAP查询返回.
此命令将启动更新操作,生成起始更新日志并立即返回.
更新操作完成或在计时器到期时中止后,将生成另一个系统日志消息.
只允许一个未完成的更新操作.
重新运行该命令将显示错误消息.
如果LDAP查询成功,则ASA将在本地数据库中存储检索的用户数据并相应地更改用户/组关联.
如果更新操作成功,您可以运行showuser-identityuser-of-groupdomain\\group命令列出该组下所有存储的用户.
domain_nickname指定要更新的组的域.
seconds指定超时的秒数.
user_group_name指定user_group_name后,只更新指定的import-user组.
只能更新激活的组(例如,访问组、访问列表、捕获或服务策略中的组).
如果指定的组未激活,则此命令拒绝该操作.
如果指定的组有多个级别的层次结构,则执行递归LDAP查询.
如果没有指定user_group_name,则ASA立即启动LDAP更新服务并尝试定期更新所有激活的组.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
3-64思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章ASA在每次更新后检查所有导入的组.
如果ActiveDirectory中不存在激活的ActiveDirectory组,则ASA会生成系统日志消息.
如果没有指定user_group_name,则ASA立即启动LDAP更新服务并尝试定期更新所有激活的组.
LDAP更新服务在后台运行并通过ActiveDirectory服务器上的LDAP查询定期更新导入用户组.
在系统启动时,如果访问组中定义了导入用户组,则ASA会通过LDAP查询检索用户/组数据.
如果更新过程中发生错误,则ASA最多重试更新5次,并在必要时生成警告消息.
该命令完成运行后,ASA将在命令提示符下显示[已完成],然后生成系统日志消息.
示例以下示例展示如何启用身份防火墙的这一操作:ciscoasa#user-identityupdateimport-usergroup.
sample-group1ERROR:Updateimport-usergroupisalreadyinprogress[Done]user-identityupdateimport-usergroup.
sample-group1相关命令命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-65思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-identityuser-not-found要对思科身份防火墙实例启用user-not-found跟踪,请在全局配置模式下使用user-identityuser-not-found命令.
要删除身份防火墙实例的这一跟踪,请使用此命令的no形式.
user-identityuser-not-foundenablenouser-identityuser-not-foundenable语法说明此命令没有任何参数或关键字.
默认值默认情况下,此命令禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南只跟踪最后1024个IP地址.
示例以下示例展示如何启用身份防火墙的这一操作:ciscoasa(config)#user-identityuser-not-foundenable相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是--版本修改8.
4(2)添加了此命令.
命令描述clearconfigureuser-identity清除身份防火墙功能的配置.
3-66思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-message要指定选择DAP记录时显示的文本消息,请在dynamic-access-policy-record模式下使用user-message命令.
要删除此消息,请使用此命令的no版本.
如果对同一DAP记录多次使用该命令,则较新的消息会取代以前的消息.
user-messagemessagenouser-message语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南对于成功的SSLVPN连接,门户页面将显示闪烁、可点击的图标,可让用户查看与连接关联的消息.
如果连接通过DAP策略终止(操作=终止),并且该DAP记录中配置了用户消息,则该消息在登录屏幕上显示.
如果有多条DAP记录适用于一个连接,则ASA组合适用的用户消息并将其显示为单一字符串.
示例以下示例展示如何为名为Finance的DAP记录设置用户消息"HelloMoneyManagers".
ciscoasa(config)config-dynamic-access-policy-recordFinanceciscoasa(config-dynamic-access-policy-record)#user-message"HelloMoneyManagers"ciscoasa(config-dynamic-access-policy-record)#message分配给此DAP记录的用户的消息.
最多128个字符.
如果消息包含空格,请将其包含在双引号内.
命令模式防火墙模式安全情景路由透明一个多个情景系统Dynamic-access-policy-record是是是--版本修改8.
0(2)添加了此命令.
3-67思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章相关命令命令描述dynamic-access-policy-record创建DAP记录.
showrunning-configdynamic-access-policy-record[name]显示所有DAP记录或指定DAP记录正在使用的配置.
3-68思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-parameter要指定HTTPPOST请求参数(其中必须提交用户名以供SSO身份验证)的名称,请在aaa-server-host配置模式下使用user-parameter命令.
user-parametername注要正确配置使用HTTP协议的SSO,必须透彻地了解身份验证和HTTP协议交换的工作原理.
语法说明默认值没有默认值或行为.
命令模式下表展示可输入命令的模式:命令历史记录使用指南这是带有HTTPForms命令的SSO.
ASA的WebVPN服务器可使用HTTPPOST请求向SSO服务器提交单点登录身份验证请求.
所需命令user-parameter可指定HTTPPOST请求必须包括用于SSO身份验证的用户名参数.
注登录时,用户可输入实际名称值,该值将输入到HTTPPOST请求中并传递给身份验证网络服务器.
示例以下示例在aaa-server-host配置模式下输入,指定要将用户名参数userid包含在用于SSO身份验证的HTTPPOST请求中:ciscoasa(config)#aaa-servertestgrp1hostexample.
comciscoasa(config-aaa-server-host)#user-parameteruseridciscoasa(config-aaa-server-host)#stringHTTPPOST请求中包含的用户名参数的名称.
最大名称大小为128个字符.
命令模式防火墙模式安全情景路由透明一个多个情景系统Aaa-server-host配置是-是--版本修改7.
1(1)添加了此命令.
3-69思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章相关命令命令描述action-uri指定要接收用于单点登录身份验证的用户名和密码的网络服务器URI.
auth-cookie-name指定身份验证Cookie的名称.
hidden-parameter创建用于与身份验证网络服务器交换的隐藏参数.
password-parameter指定HTTPPOST请求参数(其中必须提交用户密码以供SSO身份验证)的名称.
start-url指定用于提取登录前Cookie的URL.
3-70思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-statistics要激活通过MPF收集用户统计信息和匹配身份防火墙的查找操作,请在policy-map配置模式下使用user-statistics命令.
要删除收集的用户统计信息,请使用此命令的no形式.
user-statistics[accounting|scanning]nouser-statistics[accounting|scanning]语法说明默认值默认情况下,此命令禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南当配置策略映射以收集用户统计信息时,ASA会收集所选用户的详细统计信息.
当指定user-statistics命令而不带accounting或scanning关键字时,ASA会收集记帐和扫描统计信息.
示例以下示例展示如何激活身份防火墙的用户统计信息:ciscoasa(config)#class-mapc-identity-example-1ciscoasa(config-cmap)#matchaccess-listidentity-example-1ciscoasa(config-cmap)#exitciscoasa(config)#policy-mapp-identity-example-1ciscoasa(config-pmap)#classc-identity-example-1ciscoasa(config-pmap)#user-statisticsaccountingciscoasa(config-pmap)#exitciscoasa(config)#service-policyp-identity-example-1interfaceoutsideaccounting(可选)指定ASA收集已发送数据包数、已发送丢包数和已接收数据包数.
scanning(可选)指定ASA仅收集已发送丢包数.
命令模式防火墙模式安全情景路由透明一个多个情景系统策略映射配置是是是是-版本修改8.
4(2)添加了此命令.
3-71思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章相关命令命令描述policy-map使用模块化策略框架时,将操作分配给您使用第3/4层类映射标识的流量.
service-policy(global)在所有接口或目标接口上全局激活策略映射.
showservice-policy[user-statistics]当您对身份防火墙启用user-statistics扫描或记帐时,显示所配置服务策略的用户统计信息.
showuser-identityip-of-user[detail]当您对身份防火墙启用user-statistics扫描或记帐时,显示指定用户IP地址的已接收数据包数、已发送数据包数和丢包数统计信息.
showuser-identityuseractive[detail]当您对身份防火墙启用user-statistics扫描或记帐时,显示指定时间段内活动用户的已接收数据包数、已发送数据包数和丢包数统计信息.
showuser-identityuser-of-ip[detail]当您对身份防火墙启用user-statistics扫描或记帐时,显示指定IP地址用户的已接收数据包数、已发送数据包数和丢包数统计信息.
user-identityenable创建身份防火墙实例.
3-72思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章user-storage要在无客户端SSLVPN会话之间存储个性化的用户信息,请在组策略webvpn配置模式下使用userstorage命令.
要禁用用户存储,请使用该命令的no形式.
user-storageNETFS-locationnouser-storage]语法说明默认值用户存储已禁用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南User-storage使您能够在ASA闪存以外的位置存储缓存的凭证和cookie.
此命令提供无客户端SSLVPN用户个人书签的单点登录.
用户凭证以加密的格式在FTP/CIFS/SMB服务器中存储为不可解密的.
cps文件.
尽管用户名、密码和预共享密钥在配置中显示,但这不会带来安全风险,因为ASA使用内部算法以加密形式存储此信息.
如果数据在外部FTP或SMB服务器上加密,您可以通过选择添加书签在门户网页内定义个人书签(例如:user-storagecifs://jdoe:test@10.
130.
60.
49/SharedDocs).
您也可以为所有插件协议创建个性化的URL.
注如果您有全部指向相同FTP/CIFS/SMB服务器并且使用相同"存储密钥"的ASA集群,则可以通过集群中的任何ASA访问书签.
NETFS-location以proto://user:password@host:port/path形式指定文件系统目标如果用户名和密码嵌入到NETFS-location中,则密码输入被视为明文.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略webvpn模式是-是--版本修改8.
0(2)添加了此命令.
8.
4(6)阻止密码在show-run过程中以明文显示.
3-73思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章示例以下示例展示如何在名为anyshare、路径为anyfiler02a/new_share的文件共享中为名为newuser、密码为12345678的用户设置用户存储:ciscoasa(config)#wgroup-policyDFLTGrpPolicyattributesciscoasa(config-group-policy)#webvpnciscoasa(config-group-webvpn)#user-storagecifs://newuser:12345678@anyfiler02a/new_shareciscoasa(config-group_webvpn)#相关命令命令描述storage-key指定用于保护会话之间所存储数据的存储密钥.
storage-objects配置两次会话之间所存储的数据的存储对象.
3-74思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章username如要将用户添加到ASA本地数据库,请在全局配置模式下输入username命令.
要删除用户,请将此命令的no版本与您要删除的用户名一起使用.
usernamename[passwordpassword[pbkdf2|mschap|encrypted|nt-encrypted]|nopassword][privilegepriv_level]nousernamename[passwordpassword[pbkdf2|mschap|encrypted|nt-encrypted]|nopassword][privilegepriv_level]语法说明encrypted对于9.
6及更早版本,表示已对包含32个和更少字符的密码进行加密(如果您未指定mschap).
出于安全目的,当您在username命令中定义密码时,ASA会在将密码保存到配置时创建MD5哈希.
输入showrunning-config命令后,username命令不会显示实际密码;它将显示加密的密码,后跟encrypted关键字.
例如,如果您输入密码"test",则showrunning-config命令输出将显示为类似以下内容:usernamepatpasswordrvEdRh0xPC8bel7sencrypted您在CLI实际输入encrypted关键字的唯一情况是您将配置剪切并粘贴到另一个ASA并且使用相同的密码.
在9.
7及更高版本中,所有长度的密码均使用PBKDF2.
mschap指定密码在您输入后将转换为Unicode并使用MD4进行哈希加密.
如果用户使用MSCHAPv1或MSCHAPv2进行身份验证,则使用此关键字.
name将用户名称指定为长度介于3至64个字符的字符串(使用ASCII可打印字符的任意组合,空格和问号除外).
nopassword表示可为此用户输入任意密码.
这是不安全的配置,因此请谨慎使用此关键字.
(9.
6(2)及更高版本)要创建没有密码的用户名,请不要输入password或nopassword关键字.
例如,sshauthentication命令允许您在ASA上安装公共密钥,并在SSH客户端上使用私有密钥,因此您可能不想配置任何密码.
nt-encrypted表示密码已加密以与MSCHAPv1或MSCHAPv2一起使用.
如果您在添加用户时指定了mschap关键字,则使用showrunning-config命令查看配置时,显示此关键字而不是encrypted关键字.
如果在username命令中定义了密码,则ASA会在将该密码保存到配置时会对其进行加密,以确保安全.
输入showrunning-config命令后,username命令不会显示实际密码;它将显示加密的密码,后跟nt-encrypted关键字.
例如,如果您输入密码"test",则showrunning-config显示内容将类似以下内容:usernamepatpasswordDLaUiAX3l78qgoB5c7iVNw==nt-encrypted您在CLI实际输入nt-encrypted关键字的唯一情况是您将配置剪切并粘贴到另一个ASA并且使用相同的密码.
passwordpassword将密码设置为包含3至32个字符(9.
5及更早版本)或127个字符(9.
6及更高版本)的字符串,可以是ASCII可打印字符(字符代码32-126)的任意组合,但是空格和问号除外.
3-75思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章默认值默认特权级别为2.
命令模式下表展示可输入命令的模式:命令历史记录使用指南login命令使用此数据库进行身份验证.
如果您将可访问CLI的用户,以及您不希望其进入特权模式的用户添加到本地数据库,则您应启用命令授权.
(请参阅aaaauthorizationcommand命令.
)在无命令授权的情况下,如果用户的权限级别为2或更高(2是默认值),则用户可以在CLI使用自己的密码访问特权EXEC模式(以及所有命令).
或者,您可使用AAA身份验证,以使用户无法使用login命令;也可将所有本地用户设置为1级,从而控制可使用enable密码访问特权EXEC模式的用户.
默认情况下,使用此命令添加的VPN用户没有属性或组策略关联.
您必须使用usernameattributes命令显式配置所有值.
pbkdf2表示密码已加密.
对于9.
6及更早版本,仅当密码长度超过32个字符时,才使用PBKDF2(基于密码的密钥派生函数2)哈希.
在9.
7及更高版本中,所有密码均使用PBKDF2.
出于安全目的,当您在username命令中定义密码时,ASA会在将密码保存到配置时创建PBKDF2哈希.
输入showrunning-config命令后,username命令不会显示实际密码;它将显示加密的密码,后跟pbkdf2关键字.
例如,如果您输入一个长密码,则showrunning-config命令输出将类似以下内容:usernamepatpasswordrvEdRh0xPC8bel7spbkdf2您在CLI实际输入pbkdf2关键字的唯一情况是您将配置剪切并粘贴到另一个ASA并且使用相同的密码.
请注意,现有密码将继续使用基于MD5的散列方法,除非您输入新的密码.
privilegepriv_level将此用途的权限级别设置为0到15(最低到最高).
默认特权级别为2.
此权限级别与命令授权一起使用.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改7.
0.
1添加了此命令.
7.
2(1)添加了mschap和nt-encrypted关键字.
9.
6(1)密码长度已增加到127个字符,并且已添加了pbkdf2关键字.
9.
6(2)现在,您可以在不使用password或nopassword关键字的情况下创建用户名.
9.
7(1)现在,将使用PBKDF2哈希值将所有长度的密码保存到配置.
3-76思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章密码身份验证策略启用后,您无法再使用username命令更改自己的密码或删除自己的帐户.
不过,您可以使用change-password命令更改密码.
要显示用户名密码日期,请使用showrunning-configallusername命令.
示例以下示例展示如何配置名为"anyuser"、密码为12345678且权限级别为12的用户:ciscoasa(config)#usernameanyuserpassword12345678privilege12相关命令命令描述aaaauthorizationcommand配置命令授权.
clearconfigusername清除特定用户或所有用户的配置.
showrunning-configusername显示特定用户或所有用户的运行配置.
usernameattributes进入可让您配置特定用户属性的用户名属性模式.
webvpn进入您可以配置指定组WebVPN属性的config-group-webvpn模式.
3-77思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章usernameattributes要进入用户名属性模式,请在用户名配置模式下使用usernameattributes命令.
要删除特定用户的所有属性,请使用此命令的no形式并附加该用户名.
要删除所有用户的所有属性,请使用此命令的no形式而不附加用户名.
属性模式可让您配置特定用户的属性-值对.
usernamenameattributesnousernamenameattributes语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南内部用户身份验证数据库包含使用username命令输入的用户.
login命令使用此数据库进行身份验证.
您可以使用username命令或usernameattributes命令配置用户名属性.
用户名配置模式的命令语法有以下共同特征:no形式从运行配置中删除属性.
none关键字也从运行配置中删除属性.
但它通过将属性设置为空值,从而阻止继承来实现此功能.
布尔型属性有用于启用和禁用设置的显式语法.
usernameattributes命令进入用户名属性模式,您可在该模式下配置以下任意属性:name提供用户的名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统用户名配置是-是--版本修改7.
0(1)添加了此命令.
8.
0(2)添加了service-type属性.
9.
1(2)添加了sshauthentication{pkf[nointeractive]|publickeykey[hashed]}属性.
属性功能group-lock命名用户需要连接的现有隧道组.
password-storage启用或禁用在客户端系统中存储登录密码.
3-78思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章您可以通过在用户名webvpn配置模式下输入usernameattributes命令,然后输入webvpn命令,配置用户名的webvpn-mode属性.
有关详细信息,请参阅webvpn命令(组策略属性和用户名属性模式).
service-type[remote-access|admin|nas-prompt]限制控制台登录,以及允许分配相应级别的用户登录.
remote-access选项指定远程访问的基本AAA服务.
admin选项指定AAA服务、登录控制台权限、EXEC模式权限、启用权限和CLI权限.
nas-prompt选项指定AAA服务、登录控制台权限、EXEC模式权限,但没有启用权限.
sshauthentication{pkf[nointeractive]|publickeykey[hashed]}基于每个用户启用公共密钥身份验证.
key参数的值可以引用以下内容:提供key参数且未指定哈希标记时,密钥值必须是通过能够生成SSH-RSA原始密钥(即无证书)的SSH密钥生成软件生成的base64编码公共密钥.
提交base64编码的公共密钥后,该密钥随即通过SHA-256进行哈希加密,并将相应的32位哈希值用于所有进一步的比较.
提供key参数且哈希标记已指定时,密钥值必须事先采用SHA-256进行哈希加密并且长度为32字节,每个字节以冒号分隔(用于解析目的).
pkf选项使您能够使用4096位RSA密钥作为SSH公共密钥文件(PKF)进行身份验证.
此选项并非限制为4096位RSA密钥,而是可使用小于或等于4096位RSA密钥的任何大小.
nointeractive选项在导入SSH公共密钥格式的密钥时抑制所有提示.
此非交互式数据输入模式仅供ASDM使用.
key字段和hashed关键字仅对publickey选项可用,而nointeractive关键字仅对pkf选项可用.
当您保存配置时,哈希加密的密钥值将保存到该配置并在ASA重新引导时使用.
注您可以在故障切换启用时使用PKF选项,但PKF数据不会自动复制到备用系统.
您必须输入writestandby命令以将PKF设置同步到故障切换对中的备用系统.
vpn-access-hours指定配置的time-range策略的名称.
vpn-filter指定用户特定ACL的名称.
vpn-framed-ip-address指定要分配给客户端的IP地址和网络掩码.
vpn-group-policy指定从其继承属性的组策略的名称.
vpn-idle-timeout[alert-interval]指定空闲超时期限(以分钟为单位),或指定none以禁用.
可以选择指定超时前警报间隔.
vpn-session-timeout[alert-interval]指定最长用户连接时间(以分钟为单位),或指定none表示无限时间.
可以选择指定超时前警报间隔.
vpn-simultaneous-logins指定允许同时登录的最大数量.
vpn-tunnel-protocol指定允许的隧道协议.
webvpn进入可在其中配置WebVPN属性的用户名webvpn配置模式.
属性功能3-79思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章示例以下示例展示如何为名为"anyuser"的用户进入用户名属性配置模式:ciscoasa(config)#usernameanyuserattributesciscoasa(config-username)#相关命令命令描述clearconfigusername清除用户名数据库.
showrunning-configusername显示特定用户或所有用户的运行配置.
username将用户添加到ASA数据库.
webvpn进入您可以配置指定组WebVPN属性的webvpn配置模式.
3-80思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章username-from-certificate要指定证书中的字段用作授权用户名,请在tunnel-groupgeneral-attributes模式下使用username-from-certificate命令.
对等证书的DN用作授权用户名要从配置中删除属性并还原默认值,请使用此命令的no形式.
username-from-certificate{primary-attr[secondary-attr]|use-entire-name}nousername-from-certificate语法说明默认值主要属性的默认值为CN(公用名称).
辅助属性的默认值为OU(组织单位).
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令选择证书中的字段用作用户名.
它在版本8.
0(4)和后续版本中取代弃用的authorization-dn-attributes命令.
username-from-certificate命令强制安全设备使用指定的证书字段作为用户名/密码授权的用户名.
要在证书功能的预填充用户名中使用这一得出的用户名进行用户名/密码身份验证或授权,您还必须在tunnel-groupwebvpn-attributes模式下配置pre-fill-username命令.
也就是说,要使用预填充用户名功能,您必须配置两条命令.
primary-attr指定用于获得从证书进行授权查询的用户名的属性.
如果启用了pre-fill-username,则获得的名称也可在身份验证查询中使用.
secondary-attr(可选)指定与主要属性一起使用的附加属性,用于得出进行身份验证或从数字证书进行授权查询的用户名.
如果启用了pre-fill-username,则获得的名称也可在身份验证查询中使用.
use-entire-name指定ASA必须使用完整主题DN(RFC1779)得出从数字证书进行授权查询的名称.
use-script指定使用ASDM生成的脚本文件从证书提取DN字段用作用户名.
命令模式防火墙模式安全情景路由透明一个多个情景系统隧道组常规属性配置是-是--版本修改8.
0(4)添加了此命令.
3-81思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章主要和辅助属性可能的值包括:示例以下示例在全局配置模式下输入,创建名为remotegrp的IPsec远程访问隧道组,指定使用CN(公用名称)作为主要属性和OU作为辅助属性,用于得出从数字证书进行授权查询的名称:ciscoasa(config)#tunnel-groupremotegrptypeipsec_raciscoasa(config)#tunnel-groupremotegrpgeneral-attributesciscoasa(config-tunnel-general)#username-from-certificateCNOUciscoasa(config-tunnel-general)#以下示例展示如何修改隧道组属性以配置预填充用户名.
username-from-certificate{use-entire-name|use-script|}[secondary-attr]secondary-username-from-certificate{use-entire-name|use-script|}[secondary-attr];usedonlyfordouble-authentication相关命令属性定义C国家/地区:两个字母的国家/地区缩写.
这些代码符合ISO3166国家/地区缩写.
CN公用名称:人员、系统或其他实体的名称.
不可用作辅助属性.
DNQ域名限定符.
EA邮件地址.
GENQ辈分词.
GN名字.
I首字母缩写.
L区域:组织所在的城市或城镇.
N名称.
O组织:公司、机构、办事处、协会或其他实体的名称.
OU组织单位:组织(O)内的子组.
SER序列号.
SN姓氏.
SP省/自治区/直辖市:组织所在的省/自治区/直辖市T职位.
UID用户标识符.
UPN用户主体名称.
use-entire-name使用完整DN名称.
不可用作辅助属性.
use-script使用ASDM生成的脚本文件.
命令描述pre-fill-username启用预填充用户名功能.
showrunning-configtunnel-group显示指示的隧道组配置.
tunnel-groupgeneral-attributes指定命名的隧道组的常规属性.
3-82思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章usernamepassword-date要使系统能够在启动时,或将文件复制到运行配置时恢复密码创建日期,请在非交互配置模式下输入usernamepasword-date命令;换句话说,仅当启动已包含此命令的配置文件时,此命令才可用;您不能在CLI提示符下输入此命令.
usernamenamepassword-datedate语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南要显示用户名密码日期,请使用showrunning-configallusername命令.
不能从CLI提示符中输入usernamepassword-date值.
仅当密码策略生命周期非零时,密码日期才会保存到启动配置.
这意味着密码日期仅当配置密码过期后才会保存.
您不能使用usernamepassword-date命令来阻止用户更改密码创建日期.
相关命令name将用户名称指定为长度介于3至64个字符的字符串(使用ASCII可打印字符的任意组合,空格和问号除外).
date使系统能够在引导过程中读取用户名时恢复密码创建日期.
如果不存在,则密码日期设置为当前日期.
日期为mmm-dd-yyyy格式.
命令模式防火墙模式安全情景路由透明一个多个情景系统非交互是是是是-版本修改9.
1(2)添加了此命令.
命令描述aaaauthorizationcommand配置命令授权.
clearconfigusername清除特定用户或所有用户的配置.
showrunning-configusername显示特定用户或所有用户的运行配置.
usernameattributes进入可让您配置特定用户属性的用户名属性模式.
webvpn进入您可以配置指定组WebVPN属性的config-group-webvpn模式.
3-83思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章username-prompt要定制在WebVPN用户连接到安全设备时向其显示的WebVPN页面登录框的用户名提示,请在webvpn定制模式下使用username-prompt命令:要从配置中删除该命令并使值得到继承,请使用此命令的no形式.
username-prompt{text|style}value[no]username-prompt{text|style}value语法说明默认值用户名提示的默认文本是"USERNAME:".
用户名提示的默认样式为color:black;font-weight:bold;text-align:right.
命令模式下表展示可输入命令的模式:命令历史记录使用指南style选项表示为任何有效的层叠样式表(CSS)参数.
描述这些参数已超出本文档的范围.
有关CSS参数的更多信息,请查询位于www.
w3.
org的万维网联盟(W3C)网站上的CSS规范.
CSS2.
1规范的附录F包含CSS参数的便捷列表,且在www.
w3.
org/TR/CSS21/propidx.
html上提供.
以下是对WebVPN页面进行最常见更改(页面颜色)的一些技巧:您可以使用逗号分隔的RGB值、HTML颜色值或颜色的名称(如果已在HTML中标识).
RGB格式是0,0,0,每种颜色(红色、绿色、蓝色)的范围是从0到255的十进制数字;逗号分隔的条目表示每种颜色与其他颜色相结合的强度级别.
HTML格式是#000000,十六进制格式的六位数;第一和第二个数字代表红色,第三和第四个数字代表绿色,第五和第六个数字代表蓝色.
注要轻松定制WebVPN页面,我们建议您使用ASDM,它具有配置样式元素的便捷功能,包括色样和预览功能.
text指示您正在更改文本.
style指示您正在更改样式.
value要显示的实际文本(最多256个字符)或层叠样式表(CSS)参数(最多256个字符).
命令模式防火墙模式安全情景路由透明一个多个情景系统WebVPN定制是-是--版本修改7.
1(1)添加了此命令.
3-84思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第3章示例在以下示例中,文本更改为"CorporateUsername:",默认样式随字体粗细变粗后更改:ciscoasa(config)#webvpnciscoasa(config-webvpn)#customizationciscociscoasa(config-webvpn-custom)#username-prompttextCorporateUsername:ciscoasa(config-webvpn-custom)#username-promptstylefont-weight:bolder相关命令命令描述group-prompt定制WebVPN页面的组提示.
password-prompt定制WebVPN页面的密码提示信息.
章第4-1思科ASA系列命令参考、ASASM的T至Z命令和IOS命令4Validate-attribute至vxlanport命令validate-attribute要在使用RADIUS记账时验证RADIUS属性,请使用inspectvalidateattribute命令访问radius-accounting参数配置模式,然后在该模式下使用validateattribute命令.
默认情况下该选项处于禁用状态.
validate-attribute[attribute_number]novalidate-attribute[attribute_number]语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南配置此命令后,除了FramedIP属性,安全设备还会对这些属性进行匹配.
此命令允许有多个实例.
您可以从以下位置找到RADIUS属性类型列表:http://www.
iana.
org/assignments/radius-typesattribute_number使用RADIUS记账时要验证的RADIUS属性.
值范围为1-191.
不支持供应商特定属性.
命令模式防火墙模式安全情景路由透明一个多个情景系统Radius-accounting参数配置是是是是-版本修改7.
2(1)添加了此命令.
4-2思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章示例以下示例展示如何启用用户名RADIUS属性的RADIUS记账:ciscoasa(config)#policy-maptypeinspectradius-accountingraciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#validateattribute1相关命令命令描述inspectradius-accounting设置RADIUS记账的检查.
parameters设置检查策略映射的参数.
4-3思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章validate-key要为LISP消息指定预共享密钥,请在参数配置模式下使用validate-key命令.
您可以通过先输入policy-maptypeinspectlisp命令来访问参数配置模式.
要删除密钥,请使用此命令的no形式.
validate-keykeynovalidate-keykey语法说明命令默认无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南指定LISP预共享密钥,以便ASA可以读取LISP消息内容.
关于集群流移动性的LISP检测ASA检测LISP流量是否发生位置更改,然后使用此信息进行无缝集群操作.
如果使用LISP集成,ASA集群成员可以检查第一跳路由器与ETR或ITR之间的LISP流量,然后将流所有者位置更改为新站点.
集群流移动性包含多种相互关联的配置:1.
(可选)基于主机或服务器IP地址限制检查的EID-第一跳路由器可能会向与ASA集群无关的主机或网络发送EID通知消息,因此,您可以限制只向与您的集群有关的服务器或网络发送EID.
例如,如果集群仅涉及2个站点,但是LISP在3个站点上运行,应只包括集群涉及的2个站点的EID.
请参阅policy-maptypeinspectlisp、allowed-eid和validate-key命令.
2.
LISP流量检查-ASA检查LISP流量是否包含第一跳路由器与ITR或ETR之间发送的EID通知消息.
ASA维护着一个关联EID和站点ID的EID表.
例如,您应检查包含第一跳路由器源IP地址以及ITR或ETR目标地址的LISP流量.
请参阅inspectlisp命令.
3.
用于启用指定流量的流移动性的服务策略-您应对关键业务流量启用流移动性.
例如,您可以只对HTTPS流量和/或发送到特定服务器的流量启用流移动性.
请参阅clusterflow-mobilitylisp命令.
key为LISP消息指定预共享密钥.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改9.
5(2)添加了此命令.
4-4思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章4.
站点ID-ASA使用每个集群设备的站点ID确定新的所有者.
请参阅site-id命令.
5.
用于启用流移动性的集群级别配置-您还必须在集群级别启用流移动性.
此开/关切换器允许您轻松地启用或禁用特定流量类或应用类的流移动性.
请参阅flow-mobilitylisp命令.
示例以下示例将EID限制为10.
10.
10.
0/24网络上的EID,并指定预共享密钥:ciscoasa(config)#access-listTRACKED_EID_LISPextendedpermitipany10.
10.
10.
0255.
255.
255.
0ciscoasa(config)#policy-maptypeinspectlispLISP_EID_INSPECTciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#allowed-eidaccess-listTRACKED_EID_LISPciscoasa(config-pmap-p)#validate-keyMadMaxShinyandChrome相关命令命令描述allowed-eids基于IP地址限制检测到的EID.
clearclusterinfoflow-mobilitycounters清除流移动性计数器.
clearlispeid从ASAEID表中删除EID.
clusterflow-mobilitylisp为服务策略启用流移动性.
flow-mobilitylisp为集群启用流移动性.
inspectlisp检测LISP流量.
policy-maptypeinspectlisp定制LISP检测.
site-id为集群机箱设置站点ID.
showasptableclassifydomaininspect-lisp显示LISP检测的ASP表.
showclusterinfoflow-mobilitycounters显示流移动性计数器.
showconn显示受LISP流移动性影响的流量.
showlispeid显示ASAEID表.
showservice-policy显示服务策略.
4-5思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章validation-policy要指定在何种条件下可使用信任点验证与传入的用户连接相关联的证书,请在cryptocatrustpoint配置模式下使用validation-policy命令.
要指定不能对指定条件使用信任点,请使用此命令的no形式.
[no]validation-policy{ssl-client|ipsec-client}[no-chain][subordinate-only]语法说明默认值没有默认值或行为.
命令模式下表展示可输入命令的模式:命令历史记录使用指南远程访问VPN可根据部署要求使用安全套接字层(SSL)VPN、IP安全(IPsec)或同时使用两者,以允许对几乎所有网络应用或资源的访问.
validation-policy命令可指定允许访问自注册CA证书的协议类型.
此命令带no-chain选项时可阻止ASA支持未配置为其信任点的辅助CA证书.
ASA可以对同一CA有两个信任点,这会造成同一CA有两个不同身份证书.
如果使用该信任点向已与另一个启用此功能的信任点相关联的CA进行验证,则此选项将自动禁用.
这样可防止在选择路径验证参数时产生混淆.
如果用户尝试在已向与另一个信任点关联的CA进行过身份验证且启用了此功能的信任点上激活此功能,则不允许进行该操作.
不能有两个信任点都启用此设置并向同一CA进行身份验证.
ipsec-client指定与信任点相关联的证书颁发机构(CA)证书和策略可用于验证IPsec连接.
no-chain禁用不在安全设备上的辅助证书链.
ssl-client指定与信任点相关联的证书颁发机构(CA)证书和策略可用于验证SSL连接.
subordinate-only禁用对直接从此信任点代表的CA颁发的客户端证书的验证.
命令模式防火墙模式安全情景路由透明一个多个情景系统Cryptocatrustpoint配置是是是是-版本修改8.
0(2)添加了此命令.
4-6思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章示例以下示例进入中心信任点的cryptocatrustpoint配置模式,并将其指定为SSL信任点:ciscoasa(config)#cryptocatrustpointcentralciscoasa(config-ca-trustpoint)#validation-policysslciscoasa(config-ca-trustpoint)#以下示例进入checkin1信任点的cryptocatrustpoint配置模式,并将其设置为接受从属于指定信任点的证书.
ciscoasa(config)#cryptocatrustpointcheckin1ciscoasa(config-ca-trustpoint)#validation-policysubordinates-onlyciscoasa(config-ca-trustpoint)#相关命令命令描述cryptocatrustpoint进入trustpoint配置模式.
id-usage指定如何使用信任点的注册身份.
ssltrust-point指定表示接口的SSL证书的证书信任点.
4-7思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章validation-usage要指定此信任点的验证允许的使用类型,请在cryptocatrustpoint配置模式下使用validation-usage命令.
要不指定使用类型,请使用此命令的no形式.
validation-usageipsec-client|ssl-client|ssl-servernovalidation-usageipsec-client|ssl-client|ssl-server语法说明默认值ipsec-client、ssl-client命令模式下表展示可输入命令的模式:命令历史记录使用指南当同一个CA证书关联多个信任点时,只能为某特定客户端类型配置其中一个信任点.
但可以为一个客户端类型配置其中一个信任点,而为另一个客户端类型配置其他信任点.
如果有已使用某客户端类型配置的与同一个CA证书相关联的信任点,则不允许使用相同的客户端类型设置配置新的信任点.
此命令的no形式会清除设置,使信任点无法用于任何客户端验证.
远程访问VPN可根据部署要求使用安全套接字层(SSL)VPN、IP安全(IPsec)或同时使用两者,以允许访问所有网络应用或资源.
相关命令ipsec-client表示可使用此信任点验证IPsec客户端连接.
ssl-client表示可使用此信任点验证SSL客户端连接.
ssl-server表示可使用此信任点验证SSL服务器证书.
命令模式防火墙模式安全情景路由透明一个多个情景系统Cryptocatrustpoint配置是-是--版本修改9.
0(1)已添加此命令以取代client-types命令.
命令描述cryptocatrustpoint进入指定信任点的cryptocatrustpoint配置模式.
4-8思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vdi要使运行在移动设备上的CitrixReceiver应用通过ASA安全地远程访问XenApp和XenDesktopVDI服务器,请使用vdi命令.
vditypecitrixurlurldomaindomainusernameusernamepasswordpassword语法说明命令模式下表展示可输入命令的模式:命令历史记录使用指南在VDI模型中,管理员发布预装企业应用的桌面,最终用户可远程访问这些桌面.
这些虚拟化资源的呈现和任何其他资源(例如邮件)一样,因此,用户不需要通过Citrix访问网关来访问它们.
用户使用CitrixReceiver移动客户端登录到ASA,然后ASA连接到预定义的CitrixXenApp或XenDesktop服务器.
管理员必须在组策略下配置Citrix服务器的地址和登录凭证,这样,当用户连接到其Citrix虚拟化资源时,他们输入ASA的SSLVPNIP地址和凭证,而非指向Citrix服务器的地址和凭证.
当ASA验证凭证后,接收方客户端开始通过ASA检索已授权的应用.
支持的移动设备iPad-CitrixReceiver4.
x或更高版本iPhone/iTouch-CitrixReceiver4.
x或更高版本Android2.
x手机-CitrixReceiver2.
x或更高版本Android3.
x平板电脑-CitrixReceiver2.
x或更高版本Android4.
0手机-CitrixReceiver2.
x或更高版本domaindomain登录到虚拟化基础设施服务器的域.
此值可以是无客户端宏.
passwordpassword登录到虚拟化基础设施服务器的密码.
此值可以是无客户端宏.
typeVDI的类型.
对CitrixReceiver类型,该值必须为citrix.
urlurlXenApp或XenDesktop服务器的完整URL包括HTTP或HTTPS、主机名和端口号,以及XML服务的路径.
usernameusername登录到虚拟化基础设施服务器的用户名.
此值可以是无客户端宏.
命令模式防火墙模式安全情景路由透明一个多个情景系统Webvpn配置是-是--版本修改9.
0(1)添加了此命令.
4-9思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章示例如果用户名和组策略都已配置,则用户名设置优先于组策略.
configureterminalgroup-policyDfltGrpPolicyattributeswebvpnvditypeurldomainusernamepasswordconfigureterminalusernameattributeswebvpnvditypeurldomainusernamepassword]相关命令命令描述debugwebvpncitrix深入了解启动基于Citrix的应用和桌面的过程.
4-10思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章verify要检验文件的校验和,请在特权EXEC模式下使用verify命令.
verifypathverify{/md5|sha-512}path[expected_value]verify/signaturerunning语法说明/md5计算并显示指定软件映像的MD5值.
将此值与Cisco.
com上此映像的可用值进行比较.
/sha-512计算并显示指定软件映像的SHA-512值.
将此值与Cisco.
com上此映像的可用值进行比较.
/signaturerunning验证运行中ASA映像的签名.
expected_value(可选)指定的映像的已知哈希值.
ASA将显示一条消息,验证哈希值是否匹配或是否存在不匹配情况.
pathdisk0:/[path/]filename表示内部闪存.
您还可以使用flash代替disk0;它们互为别名.
disk1:/[path/]filename表示外部闪存卡.
flash:/[path/]filename此选项表示内部闪存卡.
flash是disk0:的别名.
ftp://[user[:password]@]server[:port]/[path/]filename[;type=xx]type可以是以下关键字之一:–ap-ASCII被动模式–an-ASCII正常模式–ip-(默认)二进制被动模式–in-二进制正常模式http[s]://[user[:password]@]server[:port]/[path/]filenametftp://[user[:password]@]server[:port]/[path/]filename[;int=interface_name]如果要覆盖到服务器地址的路由,请指定接口名称.
路径名不能包含空格.
如果路径名有空格,则在tftp-server命令而不是verify命令中设置路径.
system:running-config计算或验证运行中配置的哈希值.
system:text计算或验证ASA进程文本的哈希值.
4-11思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章默认值当前的闪存设备是默认文件系统.
注指定/md5或/sha-512选项时,您可以使用网络文件(例如来自FTP、HTTP或TFTP的文件)作为源.
不带/md5或/sha-512选项的verify命令仅允许验证闪存中的本地映像.
命令模式下表展示可输入命令的模式:命令历史记录使用指南使用verify命令验证文件的校验和,然后再使用文件.
分布在磁盘上的每个软件映像对整个映像使用单个校验和.
当映像复制到闪存中时才显示此校验和;当映像文件从一个磁盘复制到另一个磁盘时,不会显示.
在加载或复制新的映像之前,记录映像的校验和与MD5信息,以便当您将映像复制到闪存中或服务器上时可验证校验和.
Cisco.
com上提供多种映像信息.
要显示闪存的内容,请使用showflash命令.
闪存的内容列表不包含各个文件的校验和.
要重新计算和验证映像复制到闪存后的校验和,请使用verify命令.
但请注意,当文件保存到文件系统之后,verify命令才检查其完整性.
损坏的映像可能会传输到ASA并保存在文件系统中,不进行检测.
如果损坏的映像成功传输到ASA,则软件无法识别映像已损坏,而文件将成功验证.
要使用消息摘要5(MD5)散列算法确保文件验证,请使用带/md5选项的verify命令.
MD5是一种通过创建唯一的128位消息摘要来验证数据完整性的算法(在RFC1321中定义).
verify命令的/md5选项通过将映像的MD5校验和值与该映像的已知MD5校验和值进行比较,检查ASA软件映像的完整性.
目前Cisco.
com提供了所有安全设备软件映像的MD5值,以供与本地系统映像值进行比较.
您也可以指定SHA-512(/sha-512).
要执行MD5或SHA-512完整性检查,请使用/md5或/sha-512关键字执行verify命令.
例如,执行verify/md5flash:cdisk.
bin命令将计算并显示软件映像的MD5值.
将此值与Cisco.
com上此映像的可用值进行比较.
或者,您可以先从Cisco.
com获取MD5值,然后在命令语法中指定此值.
例如,执行verify/md5flash:cdisk.
bin8b5f3062c4cacdbae72571440e962233命令将显示验证MD5值匹配或不匹配的消息.
MD5值不匹配表示映像已损坏或输入了错误的MD5值.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是-是版本修改7.
2(1)添加了此命令.
9.
3(2)添加了signature关键字.
9.
6(2)添加了system:text选项.
4-12思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章示例以下示例展示对名为cdisk.
bin的映像文件执行verify命令的情况.
为清楚起见,某些文字已删除:ciscoasa#verifycdisk.
binDone!
EmbeddedHashMD5:af5a155f3d5c128a271282c33277069bComputedHashMD5:af5a155f3d5c128a271282c33277069bCCOHashMD5:b569fff8bbf8087f355aaf22ef46b782SignatureVerifiedVerifieddisk0:/cdisk.
binciscoasa#以下示例展示对disk0中的签名映像执行verify命令的情况:ciscoasa(config)#verifylfbff.
SSAVerifyingfileintegrityofdisk0:/lfbff.
SSAComputedHashSHA2:7d4e8531f4552458b90f8619ca76a76b2c8751668b060981f95ded6fcca92d21e7fc950834209ab162e2b4daaa8b38e428eaa48e1895919b817b79e4ead0dfd6EmbeddedHashSHA2:7d4e8531f4552458b90f8619ca76a76b2c8751668b060981f95ded6fcca92d21e7fc950834209ab162e2b4daaa8b38e428eaa48e1895919b817b79e4ead0dfd6Digitalsignaturesuccessfullyvalidateciscoasa(config)#verify/signaturelfbff.
SSAVerifyingfileintegrityofdisk0:/lfbff.
SSAComputedHashSHA2:7d4e8531f4552458b90f8619ca76a76b2c8751668b060981f95ded6fcca92d21e7fc950834209ab162e2b4daaa8b38e428eaa48e1895919b817b79e4ead0dfd6EmbeddedHashSHA2:7d4e8531f4552458b90f8619ca76a76b2c8751668b060981f95ded6fcca92d21e7fc950834209ab162e2b4daaa8b38e428eaa48e1895919b817b79e4ead0dfd6Digitalsignaturesuccessfullyvalidatedciscoasa(config)#verify/signaturecdisk.
smpVerifyingfileintegrityofdisk0:/cdisk.
smpDone!
EmbeddedHashSHA-512:b4a6195420d336aa4bb99f26ef30005ee45a7e422937e542153731dae03f974757b6a8829fbc509d6114f203cc6cc420aadfff8db42fae6088bc74959fcbc11fComputedHashSHA-512:b4a6195420d336aa4bb99f26ef30005ee45a7e422937e542153731dae03f974757b6a8829fbc509d6114f203cc6cc420aadfff8db42fae6088bc74959fcbc11fCCOHashSHA-512:cd5d459b6d2616e3530d9ed7c488b5a1b51269f19ad853fbf9c630997e716ded4fda61fa2afe6e293dc82f05997fd787b0ec22839c92a87a37811726e152fadeSignatureVerifiedciscoasa(config)#ciscoasa(config)#verify/signaturecorrupt.
SSA%ERROR:Signaturealgorithmnotsupportedforfiledisk0:/corrupt.
SSA.
ciscoasa(config)#4-13思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章相关命令命令描述copy复制文件.
dir列出系统中的文件.
4-14思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章verify-header要仅允许已知的IPv6扩展报头并实施IPv6扩展报头的顺序,请在参数配置模式下使用verify-header命令.
您可以通过先输入policy-maptypeinspectipv6命令来访问参数配置模式.
要禁用这些参数,请使用此命令的no形式.
verify-header{order|type}noverify-header{order|type}语法说明命令默认默认情况下,order和type均启用.
命令模式下表展示可输入命令的模式:命令历史记录使用指南默认情况下,这些参数均启用.
要禁用它们,请输入关键字no.
示例以下示例对IPv6检查策略映射禁用order和type参数:ciscoasa(config)#policy-maptypeinspectipv6ipv6-mapciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#noverify-headerorderciscoasa(config-pmap-p)#noverify-headertype相关命令order按照RFC2460规范的规定实施IPv6扩展报头顺序.
type仅允许已知的IPv6扩展报头.
命令模式防火墙模式安全情景路由透明一个多个情景系统参数配置是是是是-版本修改8.
2(1)添加了此命令.
命令描述inspectipv6启用IPv6检查.
parameters进入检查策略映射的参数配置模式.
policy-maptypeinspectipv6-创建IPv6检查策略映射.
4-15思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章版本要指定ASA全局使用的RIP版本,请在路由器配置模式下使用version命令.
要恢复默认设置,请使用此命令的no形式.
version{1|2}noversion语法说明默认值ASA接受版本1和版本2数据包,但只发送版本1数据包.
命令模式下表展示可输入命令的模式:命令历史记录使用指南您可以通过在接口上输入ripsendversion和ripreceiveversion命令,基于每个接口覆盖全局设置.
如果您指定RIP第2版,您可以启用邻居身份验证和使用基于MD5加密进行身份验证的RIP更新.
示例以下示例配置ASA以发送和接收所有接口上的RIP版本2数据包:ciscoasa(config)#routerripciscoasa(config-router)#network10.
0.
0.
0ciscoasa(config-router)#version2相关命令1指定RIP版本1.
2指定RIP版本2.
命令模式防火墙模式安全情景路由透明一个多个情景系统路由器配置是-是--版本修改7.
2(1)添加了此命令.
命令描述ripsendversion指定要从特定的接口发送更新时使用的RIP版本.
ripreceiveversion指定要接受时接收更新特定接口上的RIP版本.
routerrip启用RIP路由过程和路由器配置模式下输入此过程.
4-16思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章virtualhttp要配置虚拟HTTP服务器,请在全局配置模式下使用virtualhttp命令.
要禁用虚拟服务器,请使用此命令的no形式.
virtualhttpip_address[warning]novirtualhttpip_address[warning]语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南当您在ASA上使用HTTP身份验证(请参阅aaaauthenticationmatch或aaaauthenticationinclude命令)时,ASA默认使用基本HTTP身份验证.
您可以更改身份验证方法,从而让ASA将HTTP连接重定向到ASA自身使用带redirect关键字的aaaauthenticationlistener命令生成的网页.
但是,如果您继续使用基本HTTP身份验证,则当您有层叠HTTP身份验证时,可能需要执行virtualhttp命令.
如果目标HTTP服务器除了ASA还需要身份验证,则virtualhttp命令可以分别使用ASA(通过AAA服务器)和使用HTTP服务器进行身份验证.
如果没有虚拟HTTP,则使用ASA进行身份验证所用的同一个用户名和密码会发送给HTTP服务器;不会单独提示您输入HTTP服务器用户名和密码.
假设AAA和HTTP服务器的用户名和密码不同,则HTTP身份验证会失败.
ip_address设置ASA上虚拟HTTP服务器的IP地址.
确保此地址是路由到ASA且未使用的地址.
warning(可选)通知用户HTTP连接需要重定向到ASA.
此关键字仅适用于基于文本的浏览器,在这些浏览器中无法自动执行重定向.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改7.
2(1)此命令已弃用,因为在先前版本中使用的内嵌基本HTTP身份验证的方法被重定向方法取代;不再需要此命令.
7.
2(2)重新启用了此命令,因为您现在可以选择使用基本HTTP身份验证(默认),或使用利用aaaauthenticationlistener命令的HTTP重定向.
重定向方法无需对层叠HTTP身份验证使用额外的命令.
4-17思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章此命令将所有要求AAA身份验证的HTTP连接重定向到ASA上的虚拟HTTP服务器.
ASA提示输入AAA服务器用户名和密码.
在AAA服务器对用户进行身份验证后,ASA将HTTP连接重定向回原始服务器,但不包含AAA服务器用户名和密码.
由于HTTP数据包中不包含用户名和密码,HTTP服务器会单独提示用户输入HTTP服务器用户名和密码.
对于入站用户(从较低安全性到较高安全性),还必须包括虚拟HTTP地址作为应用到源接口的访问列表中的目标接口.
此外,必须对虚拟HTTPIP地址添加static命令,即使不需要NAT(使用nonat-control命令).
通常使用身份NAT命令(将地址转换为本身).
对于出站用户,对流量有显式许可,但如果将访问列表应用于内部接口,要确保允许访问虚拟HTTP地址.
不需要static语句.
注在使用virtualhttp命令时,不要将timeoutuauth命令持续时间设置为0秒,因为这会阻止HTTP连接到真正的网络服务器.
示例以下示例展示如何启用虚拟HTTP及AAA身份验证:ciscoasa(config)#virtualhttp209.
165.
202.
129ciscoasa(config)#access-listACL-INextendedpermittcpanyhost209.
165.
200.
225eqhttpciscoasa(config)#access-listACL-INremarkThisistheHTTPserverontheinsideciscoasa(config)#access-listACL-INextendedpermittcpanyhost209.
165.
202.
129eqhttpciscoasa(config)#access-listACL-INremarkThisisthevirtualHTTPaddressciscoasa(config)#access-groupACL-INininterfaceoutsideciscoasa(config)#static(inside,outside)209.
165.
202.
129209.
165.
202.
129netmask255.
255.
255.
255ciscoasa(config)#access-listAUTHextendedpermittcpanyhost209.
165.
200.
225eqhttpciscoasa(config)#access-listAUTHremarkThisistheHTTPserverontheinsideciscoasa(config)#access-listAUTHextendedpermittcpanyhost209.
165.
202.
129eqhttpciscoasa(config)#access-listAUTHremarkThisisthevirtualHTTPaddressciscoasa(config)#aaaauthenticationmatchAUTHoutsidetacacs+相关命令命令描述aaaauthenticationlistenerhttp设置ASA进行身份验证的方法clearconfigurevirtual从配置中删除virtual命令语句.
showrunning-configvirtual显示ASA虚拟服务器的IP地址.
sysoptuauthallow-http-cache当您启用virtualhttp命令时,此命令可使用浏览器缓存中的用户名和密码重新连接到虚拟服务器.
virtualtelnet提供ASA上的虚拟Telnet服务器以让用户通过ASA进行身份验证,然后再启动要求进行身份验证的其他类型的连接.
4-18思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章virtualtelnet要配置ASA上的虚拟Telnet服务器,请在全局配置模式下使用virtualtelnet命令.
如果您需要对ASA不提供身份验证提示的其他类型流量进行身份验证,可能需要使用虚拟Telnet服务器对用户进行身份验证.
要禁用服务器,请使用此命令的no形式.
virtualtelnetip_addressnovirtualtelnetip_address语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南虽然您可以配置任何协议或服务的网络访问身份验证(请参阅aaaauthenticationmatch或aaaauthenticationinclude命令),但您只能直接使用HTTP、Telnet或FTP进行身份验证.
用户首先必须使用这些服务之一进行身份验证,然后才允许需要身份验证的其他流量通过.
如果不想允许HTTP、Telnet或FTP通过ASA,但要对其他类型流量进行身份验证,您可以配置虚拟Telnet;用户通过Telnet连接到ASA上配置的给定IP地址,ASA提供Telnet提示.
您必须配置到虚拟Telnet地址的Telnet访问以及要使用authenticationmatch或aaaauthenticationinclude命令进行身份验证的其他服务.
当未经身份验证的用户连接到虚拟TelnetIP地址时,将要求用户输入用户名和密码,然后由AAA服务器对其进行身份验证.
进行身份验证后,用户会看到"身份验证成功"消息.
然后,用户可以成功访问要求进行身份验证的其他服务.
对于入站用户(从较低安全性到较高安全性),还必须包括虚拟Telnet地址作为应用到源接口的访问列表中的目标接口.
此外,必须对虚拟TelnetIP地址添加static命令,即使不需要NAT(使用nonat-control命令).
通常使用身份NAT命令(将地址转换为本身).
对于出站用户,对流量有显式许可,但如果将访问列表应用于内部接口,要确保允许访问虚拟Telnet地址.
不需要static语句.
要从ASA注销,请重新连接到虚拟TelnetIP地址;将会提示您注销.
ip_address设置ASA上的虚拟Telnet服务器的IP地址.
确保此地址是路由到ASA且未使用的地址.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改7.
0(1)添加了此命令.
4-19思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章示例以下示例展示如何启用虚拟Telnet以及其他服务的AAA身份验证:ciscoasa(config)#virtualtelnet209.
165.
202.
129ciscoasa(config)#access-listACL-INextendedpermittcpanyhost209.
165.
200.
225eqsmtpciscoasa(config)#access-listACL-INremarkThisistheSMTPserverontheinsideciscoasa(config)#access-listACL-INextendedpermittcpanyhost209.
165.
202.
129eqtelnetciscoasa(config)#access-listACL-INremarkThisisthevirtualTelnetaddressciscoasa(config)#access-groupACL-INininterfaceoutsideciscoasa(config)#static(inside,outside)209.
165.
202.
129209.
165.
202.
129netmask255.
255.
255.
255ciscoasa(config)#access-listAUTHextendedpermittcpanyhost209.
165.
200.
225eqsmtpciscoasa(config)#access-listAUTHremarkThisistheSMTPserverontheinsideciscoasa(config)#access-listAUTHextendedpermittcpanyhost209.
165.
202.
129eqtelnetciscoasa(config)#access-listAUTHremarkThisisthevirtualTelnetaddressciscoasa(config)#aaaauthenticationmatchAUTHoutsidetacacs+相关命令命令描述clearconfigurevirtual从配置中删除virtual命令语句.
showrunning-configvirtual显示ASA虚拟服务器的IP地址.
virtualhttp当使用ASA上的HTTP身份验证时,HTTP服务器还需要进行身份验证,此命令可让您分别使用ASA和HTTP服务器进行身份验证.
如果没有虚拟HTTP,则使用ASA进行身份验证所用的同一个用户名和密码会发送给HTTP服务器;不会单独提示您输入HTTP服务器用户名和密码.
4-20思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vlan(组策略)要将VLAN分配给组策略,请在组策略配置模式下使用vlan命令.
要从组策略配置中删除VLAN并使用默认组策略的VLAN设置替换它,请使用此命令的no形式.
[no]vlan{vlan_id|none}语法说明默认值默认值为none.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令指定分配给此组策略的会话的传出VLAN接口.
ASA将此组上的所有流量转发到该VLAN.
您可以将VLAN分配到每个组策略以简化访问控制.
使用此命令作为使用ACL过滤会话上流量的替代方案.
请勿将VoIP检测引擎(CTIQBE、H.
323、GTP、MGCP、RTSP、SIP、SKINNY)、DNS检查引擎或DCERPC检查引擎与vlanmapping选项一起使用.
这些检测引擎将忽略vlan映射设置,这可能会导致错误地路由数据包.
示例以下命令将VLAN1分配给组策略:ciscoasa(config-group-policy)#vlan1ciscoasa(config-group-policy)以下命令从组策略中删除VLAN映射:ciscoasa(config-group-policy)#vlannoneciscoasa(config-group-policy)none禁止将VLAN分配到与此组策略匹配的远程访问VPN会话.
组策略不会从默认组策略继承vlan值.
vlan_idVLAN编号(十进制格式),分配到使用此组策略的远程访问VPN会话.
必须在接口配置模式下使用vlan命令配置在此ASA上的VLAN.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略配置是-是--版本修改8.
0(2)添加了此命令.
4-21思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章相关命令命令描述showvlan显示在ASA上配置的VLAN.
vlan(接口配置模式)将VLANID分配给子接口.
showvpn-session_summary.
db显示IPsec、CiscoAnyConnect、NAC会话数和正在使用的VLAN数量.
showvpn-session.
db显示有关VPN会话的信息,包括VLAN映射和NAC结果.
4-22思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vlan(interface)要将VLANID分配给子接口,请在接口配置模式下使用vlan命令.
要删除VLANID,请使用此命令的no形式.
子接口需要VLANID传递流量.
VLAN子接口允许您在单个物理接口上配置多个逻辑接口.
VLAN可以单独在特定的物理接口上保持流量(例如对于多个安全情景).
vlanid[secondaryvlan_range]novlan[secondaryvlan_range]语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南可以配置主VLAN,以及一个或多个辅助VLAN.
当ASA接收到辅助VLAN上的流量时,它会将该流量映射到主VLAN.
每个子接口必须有一个VLANID,然后才能传递流量.
要更改VLANID,您无需使用no选项删除旧VLANID;您可以输入带有不同VLANID的vlan命令,ASA会更改旧的ID.
要从列表中删除某些辅助VLAN,可以使用no命令,并仅列出要删除的VLAN.
可以仅有选择地删除列出的VLAN;例如,不能删除某一范围中的单个VLAN.
您需要使用noshutdown命令启用物理接口,从而让子接口也启用.
如果启用了子接口,您通常不想让物理接口传递流量,因为物理接口会传递未标记的数据包.
因此,您无法通过关闭物理接口阻止流量通过物理接口.
相反,不加nameif命令可确保物理接口不传递流量.
如果要让物理接口传递未标记的数据包,您可以照常配置nameif命令.
子接口的最大数量根据具体平台而异.
请参阅CLI配置指南以获取每个平台的子接口最大数量.
id指定一个介于1和4094之间的整数.
某些VLANID可能是连接的交换机中的保留VLANID,因此请查看交换机文档以了解详细信息.
secondaryvlan_range(可选)指定一个或多个辅助VLAN.
vlan_id是介于1和4094之间的整数.
某些VLANID可能是连接的交换机中的保留VLANID,因此请查看交换机文档以了解详细信息.
可以使用空格、逗号和连字符(适用于连续范围)分隔辅助VLAN.
当ASA接收到辅助VLAN的流量时,它会将流量映射到主VLAN.
命令模式防火墙模式安全情景路由透明一个多个情景系统接口配置是是是-是版本修改7.
0(1)此命令已从interface命令的关键字转变为接口配置模式命令.
9.
5(2)我们添加了secondary关键字.
4-23思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章示例以下示例将VLAN101分配给子接口:ciscoasa(config)#interfacegigabitethernet0/0.
1ciscoasa(config-subif)#vlan101ciscoasa(config-subif)#nameifdmz1ciscoasa(config-subif)#security-level50ciscoasa(config-subif)#ipaddress10.
1.
2.
1255.
255.
255.
0ciscoasa(config-subif)#noshutdown以下示例将VLAN更改为102:ciscoasa(config)#showrunning-configinterfacegigabitethernet0/0.
1interfaceGigabitEthernet0/0.
1vlan101nameifdmz1security-level50ipaddress10.
1.
2.
1255.
255.
255.
0ciscoasa(config)#interfacegigabitethernet0/0.
1ciscoasa(config-interface)#vlan102ciscoasa(config)#showrunning-configinterfacegigabitethernet0/0.
1interfaceGigabitEthernet0/0.
1vlan102nameifdmz1security-level50ipaddress10.
1.
2.
1255.
255.
255.
0以下示例将一组辅助VLAN映射到VLAN200:interfacegigabitethernet0/6.
200vlan200secondary500503600-700以下示例将从列表中删除辅助VLAN503:novlan200secondary503showrunning-configinterfacegigabitethernet0/6.
200!
interfaceGigabitEthernet0/6.
200vlan200secondary500600-700nonameifnosecurity-levelnoipaddress以下示例显示VLAN映射如何与Catalyst6500配合使用.
请查看Catalyst6500配置指南,了解如何将节点连接到PVLANS.
ASA配置interfaceGigabitEthernet1/1descriptionConnectedtoSwitchGigabitEthernet1/5nonameifnosecurity-levelnoipaddressnoshutdown!
interfaceGigabitEthernet1/1.
70vlan70secondary7172nameifvlan_map1security-level50ipaddress10.
11.
1.
2255.
255.
255.
0noshutdown!
4-24思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章interfaceGigabitEthernet1/2nameifoutsidesecurity-level0ipaddress172.
16.
171.
31255.
255.
255.
0noshutdownCatalyst6500配置vlan70private-vlanprimaryprivate-vlanassociation71-72!
vlan71private-vlancommunity!
vlan72private-vlanisolated!
interfaceGigabitEthernet1/5descriptionConnectedtoASAGigabitEthernet1/1switchportswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlan70-72switchportmodetrunk!
相关命令命令描述allocate-interface将接口和子接口分配至安全情景.
Interface配置接口并进入接口配置模式.
showrunning-configinterface显示接口的当前配置.
4-25思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpdngroup要创建或编辑VPDN组和配置PPPoE客户端设置,请在全局配置模式下使用vpdngroup命令.
要从配置中删除组策略,请使用此命令的no形式.
vpdngroupgroup_name{localnameusername|requestdialoutpppoe|pppauthentication{chap|mschap|pap}}novpdngroupgroup_name{localnamename|requestdialoutpppoe|pppauthentication{chap|mschap|pap}}注如果在ASA上配置故障切换,或在多情景模式或透明模式下,则不支持PPPoE.
仅在单个路由模式下没有故障切换时才支持PPPoE.
语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录localnameusername将用户名链接到VPDN组以进行身份验证,且必须匹配使用vpdnusername命令配置的名称.
pppauthentication{chap|mschap|pap}}指定点对点协议(PPP)身份验证协议.
通过Windows客户端拨号网络设置,可指定使用哪种身份验证协议(PAP、CHAP或MS-CHAP).
您在客户端上指定的所有内容必须匹配您在安全设备上使用的设置.
密码身份验证协议(PAP)可让PPP对等设备相互进行身份验证.
PAP以明文形式传递主机名或用户名.
质询握手身份验证协议(CHAP)可让PPP对等设备通过与访问服务器交互来阻止未授权的访问.
MS-CHAP是Microsoft针对CHAP的派生项.
PIX防火墙仅支持MS-CHAP版本1(不是版本2.
0).
如果未指定主机上的身份验证协议,不要在您的配置中指定pppauthentication选项.
requestdialoutpppoe指定为允许拨出PPPoE请求.
vpdngroupgroup_name指定vpdn组的名称命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是-版本修改7.
2(1)添加了此命令.
4-26思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章使用指南虚拟专用拨号网络(VPDN)用于提供远程拨入用户和专用网络之间的长途点对点连接.
安全设备上的VDPN使用第2层隧道技术PPPoE建立从远程用户跨公共网络到专用网络的拨号网络连接.
PPPoE是基于以太网的点对点协议(PPP).
PPP专为配合使用网络层协议(例如IP、IPX和ARA)而设计.
PPP还有CHAP和PAP作为内置安全机制.
showvpdnsessionpppoe命令显示PPPOE连接的会话信息.
clearconfigurevpdngroup命令从配置中删除所有vpdngroup命令并停止所有活动的L2TP和PPPoE隧道.
clearconfigurevpdnusername命令从配置中删除所有vpdnusername命令.
由于PPPoE封装PPP,PPPoE依赖于PPP对VPN隧道中运行的客户端会话执行身份验证以及ECP和CCP功能.
此外,由于PPP分配PPPoE的IP地址,因此PPPoE不支持与DHCP同时使用.
注除非配置了PPPoE的VPDN组,否则PPPoE无法建立连接.
要定义用于PPPoE的VPDN组,请使用vpdngroupgroup_namerequestdialoutpppoe命令.
然后在接口配置模式下使用pppoeclientvpdngroup命令,以将VPDN组关联到特定接口上的PPPoE客户端.
如果您的ISP需要身份验证,请使用vpdngroupgroup_namepppauthentication{chap|mschap|pap}命令选择您的ISP使用的身份验证协议.
使用vpdngroupgroup_namelocalnameusername将您的ISP分配的用户名关联到VPDN组.
使用vpdnusernameusernamepasswordpassword命令创建PPPoE连接的用户名和密码对.
用户名必须是已关联到PPPoE指定的VPDN组的用户名.
注如果您的ISP使用CHAP或MS-CHAP,用户名可以为远程系统名称,密码可以为CHAP密钥.
默认情况下PPPoE客户端功能关闭,因此配置VPDN后,使用ipaddressif_namepppoe[setroute]命令启用PPPoE.
如果不存在默认路由,setroute选项会创建一条默认路由.
配置PPPoE后,安全设备会尝试查找PPPoE接入集中器以进行通信.
如果PPPoE连接终止,无论是正常还是异常终止,ASA都会尝试查找新接入集中器进行通信.
PPPoE会话启动后,不要使用以下ipaddress命令,因为它们会终止PPPoE会话:ipaddressoutsidepppoe,因为它试图启动一个新的PPPoE会话.
ipaddressoutsidedhcp,因为它禁用接口,直到接口获取其DHCP配置.
ipaddressoutsideaddressnetmask,因为它将接口启用为正常初始化接口.
示例以下示例创建一个vdpn组telecommuters并配置PPPoE客户端:ciscoasa(config)#vpdngrouptelecommutersrequestdialoutpppoeciscoasa(config)#vpdngrouptelecommuterslocalnameuser1ciscoasa(config)#vpdngrouptelecommuterspppauthenticationpapciscoasa(config)#vpdnusernameuser1passwordtest1ciscoasa(config)#interfaceGigabitEthernet0/1ciscoasa(config-subif)#ipaddresspppoesetroute相关命令命令描述clearconfigurevpdngroup从配置中删除所有vpdngroup命令.
clearconfigurevpdnusername从配置中删除所有vpdnusername命令.
4-27思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章showvpdngroupgroup_name显示VPDN组配置.
vpdnusername创建PPPoE连接的用户名和密码对.
命令描述4-28思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpdnusername要创建PPPoE连接的用户名和密码对,请在全局配置模式下使用vpdnusername命令.
vpdnusernameusernamepasswordpassword[store-local]novpdnusernameusernamepasswordpassword[store-local]注如果在ASA上配置故障切换,或在多情景模式或透明模式下,则不支持PPPoE.
仅在单个路由模式下没有故障切换时才支持PPPoE.
语法说明默认值无默认行为或值.
请参阅使用指南.
命令模式下表展示可输入命令的模式:命令历史记录使用指南VPDN用户名必须已关联到使用vpdngroupgroup_namelocalnameusername命令指定的VPDN组.
clearconfigurevpdnusername命令从配置中删除所有vpdnusername命令.
示例以下示例创建VPDN用户名bob_smith及密码telecommuter9/8:ciscoasa(config)#vpdnusernamebob_smithpasswordtelecommuter9/8password指定密码.
store-local将用户名和密码存储在安全设备上NVRAM中的特殊位置.
如果自动更新服务器将clearconfig命令发送到安全设备并且连接随后中断,则安全设备可以从NVRAM读取用户名和密码,并向访问集中器进行身份验证.
username指定用户名.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是-版本修改7.
2(1)添加了此命令.
4-29思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章相关命令命令描述clearconfigurevpdngroup从配置中删除所有vpdngroup命令.
clearconfigurevpdnusername从配置中删除所有vpdnusername命令.
showvpdngroup显示VPDN组配置.
vpdngroup创建VPDN组并配置PPPoE客户端设置.
4-30思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-access-hours要将组策略关联到已配置的时间范围策略,请在组策略配置模式或用户名配置模式下使用vpn-access-hours命令.
要从运行配置中删除属性,请使用此命令的no形式.
此选项允许从其他组策略继承时间范围值.
为防止继承值,请使用vpn-access-hoursnone命令.
vpn-accesshoursvalue{time-range}|nonenovpn-accesshours语法说明默认值不受限制.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示如何将名为FirstGroup的组策略关联到名为824的时间范围策略:ciscoasa(config)#group-policyFirstGroupattributesciscoasa(config-group-policy)#vpn-access-hours824相关命令none将VPN访问时间设置为空值,从而允许无时间范围策略.
防止从默认或指定的组策略继承值.
time-range指定配置的time-range策略的名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略配置是-是--用户名配置是-是--版本修改7.
0(1)添加了此命令.
命令描述time-range设置访问网络的每周天数和每天小时数,包括开始日期和结束日期.
4-31思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-addr-assign要指定将IPv4地址分配到远程访问客户端的方法,请在全局配置模式下使用vpn-addr-assign命令.
要从配置中删除属性,请使用此命令的no版本.
要从ASA中删除所有已配置的VPN地址分配方法,请使用此命令的no版本(不带参数).
vpn-addr-assign{aaa|dhcp|local[reuse-delaydelay]}novpn-addr-assign{aaa|dhcp|local[reuse-delaydelay]}语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南如果您选择了DHCP,您还应使用dhcp-network-scope命令定义DHCP服务器可使用的IP地址范围.
您必须使用dhcp-server命令指示DHCP服务器可使用的IP地址.
如果选择local,还必须使用ip-local-pool命令定义要使用的IP地址范围.
然后使用vpn-framed-ip-address和vpn-framed-netmask命令将IP地址和网络掩码分配给个人用户.
如果使用本地池,您可以使用reuse-delaydelay选项以调整延迟,然后才能重用已发布的IP地址.
增加延迟可防止IP地址返回地址池并快速重新分配时防火墙遇到的问题.
如果选择AAA,您可以从之前配置的RADIUS服务器获取IP地址.
aaa从外部或内部(本地)AAA身份验证服务器分配IPv4地址.
dhcp通过DHCP获取IP地址.
local从ASA上配置的IP地址池分配IP地址并将其关联到隧道组.
reuse-delaydelay已发布的IP地址在可重用之前的延迟.
范围为0至480分钟.
默认为0(禁用).
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是是-版本修改7.
0(1)添加了此命令.
8.
0.
3添加了reuse-delay选项.
9.
5(2)增加了多情景模式支持.
4-32思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章示例以下示例展示如何配置DHCP作为地址分配方法:ciscoasa(config)#vpn-addr-assigndhcp相关命令命令描述dhcp-network-scope指定ASADHCP服务器应该用来为组策略用户分配地址的IP地址范围.
ip-local-pool创建本地IP地址池.
ipv6-addr-assign指定为远程访问客户端分配IPv6地址的方法.
vpn-framed-ip-address指定IP地址以分配给特定用户.
vpn-framed-ip-netmask指定网络掩码以分配给特定用户.
4-33思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-mode要指定集群的VPN模式,请在集群组配置模式下使用vpn-mode命令.
集群的vpn-mode命令让管理员可以在集中模式或分布模式之间切换.
要重置VPN模式,请使用此命令的no形式.
CLI的备份选项让管理员可以配置是否在不同机箱上创建VPN会话备份.
此命令的no形式可将配置恢复为默认值.
vpn-mode[centralized|distributed][backup{flat|remote-chassis}][no]vpn-mode[centralized|distributed{flat|remote-chassis}]默认值默认VPN模式为集中模式.
默认备份是平面.
语法说明命令模式下表展示可输入命令的模式:命令历史记录使用指南在平面备份模式下,将在任何其他集群成员上建立备用会话.
这将防止用户受到刀片故障的影响,但无法保证机箱故障保护.
在远程机箱备份模式下,将在集群中的另一个机箱的成员上建立备用会话.
这将防止用户受到刀片故障和机箱故障的影响.
如果在单机箱环境中配置了远程机箱(有意配置或由于故障而造成),则不会创建任何备份,直到另一个机箱加入.
示例ciscoasa(cfg-cluster)#vpn-modedistributedReturnthebackupstrategyofadistributedVPNclustertodefault:novpn-modedistributedbackupcentralizedVPN会话为集中式,仅在集群主设备上运行.
distributed系统将VPN会话分布在各集群成员中.
flat系统在集群的任何其他成员上分配备份会话.
remote-chassis系统在另一个机箱的成员上分配备份会话.
命令模式防火墙模式安全情景路由透明一个多个情景系统集群配置是是是-是版本修改9.
9(1)添加了此命令.
4-34思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章相关命令命令描述clustergroup配置集群组设置.
showclustervpn-sessiondbdistribution查看集群成员间的活跃会话和备份会话的分布情况.
4-35思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnclientconnect要尝试建立到已配置的单个或多个服务器的EasyVPNRemote连接,请在全局配置模式下使用vpnclientconnect命令.
vpnclientconnect默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令仅适用于作为EasyVPNRemote硬件客户端运行的ASA:运行版本7.
2(1)至9.
2的ASA5505,或运行版本9.
5(1)或更高版本的ASA5506或5508型号.
示例以下示例展示如何尝试建立到已配置的EasyVPN服务器的EasyVPNRemote连接.
ciscoasa(config)#vpnclientconnectciscoasa(config)#命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--特权EXEC是-是--版本修改7.
2(1)添加了此命令.
4-36思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnclientenable要启用EasyVPNRemote功能,请在全局配置模式下使用vpnclientenable命令.
要禁用EasyVPNRemote功能,请使用此命令的no形式:vpnclientenablenovpnclientenable默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令仅适用于作为EasyVPNRemote硬件客户端运行的ASA:运行版本7.
2(1)至9.
2的ASA5505,或运行版本9.
5(1)或更高版本的ASA5506或5508型号.
如果您输入vpnclientenable命令,则支持的ASA功能作为EasyVPNRemote硬件客户端.
示例以下示例展示如何启用EasyVPNRemote功能:ciscoasa(config)#vpnclientenableciscoasa(config)#以下示例展示如何禁用EasyVPNRemote功能:ciscoasa(config)#novpnclientenableciscoasa(config)#命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
4-37思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnclientipsec-over-tcp要配置作为EasyVPNRemote硬件客户端运行的ASA以使用TCP封装的IPsec,请在全局配置模式下使用vpnclientipsec-over-tcp命令.
要从运行配置中删除属性,请使用此命令的no形式.
vpnclientipsec-over-tcp[porttcp_port]novpnclientipsec-over-tcp语法说明默认值如果此命令未指定端口号,则EasyVPNRemote连接使用端口10000.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令仅适用于作为EasyVPNRemote硬件客户端运行的ASA:运行版本7.
2(1)至9.
2的ASA5505,或运行版本9.
5(1)或更高版本的ASA5506或5508型号.
默认情况下,EasyVPN客户端和服务器将IPsec封装在用户数据报协议(UDP)数据包中.
某些环境(如具有某些防火墙规则或NAT和PAT设备)禁止UDP.
要在此环境中使用标准封装安全协议(ESP、Protocol50)或互联网密钥交换(IKE、UDP500),您必须配置客户端和服务器以将IPsec封装在TCP数据包内,从而启用安全隧道.
但如果您的环境允许UDP,配置IPsecoverTCP会添加不必要的开销.
如果配置ASA以使用TCP封装的IPsec,请输入以下命令使它通过外部接口发送数据包:ciscoasa(config)#cryptoipsecdf-bitclear-dfoutsideciscoasa(config)#此命令可以清除封装报头中的不分段(DF)位.
DF位是IP报头中确定数据包是否可以分段的位.
此命令可让EasyVPN硬件客户端发送大于MTU大小的数据包.
port(可选)指定使用特定端口.
tcp_port(如果您指定port关键字,则为必需.
)指定要为TCP封装的IPsec隧道使用的TCP端口号.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
4-38思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章示例以下示例展示如何使用默认端口10000配置EasyVPNRemote硬件客户端以使用TCP封装的IPsec,并使它通过外部接口发送大数据包:ciscoasa(config)#vpnclientipsec-over-tcpciscoasa(config)#cryptoipsecdf-bitclear-dfoutsideciscoasa(config)#以下示例展示如何使用端口10501配置EasyVPNRemote硬件客户端以使用TCP封装的IPsec,并使它通过外部接口发送大数据包:ciscoasa(config)#vpnclientipsec-over-tcpport10501ciscoasa(config)#cryptoipsecdf-bitclear-dfoutsideciscoasa(config)#4-39思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnclientmac-exempt要从个人用户身份验证要求中排除EasyVPNRemote连接的设备,请在全局配置模式下使用vpnclientmac-exempt命令.
要从运行配置中删除属性,请使用此命令的no形式.
vpnclientmac-exemptmac_addr_1mac_mask_1[mac_addr_2mac_mask_2.
.
.
mac_addr_nmac_mask_n]novpnclientmac-exempt语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令仅适用于作为EasyVPNRemote硬件客户端运行的ASA:运行版本7.
2(1)至9.
2的ASA5505,或运行版本9.
5(1)或更高版本的ASA5506或5508型号.
设备(如思科IP电话、无线接入点和打印机)无法执行身份验证,因此在启用单个设备验证时不会进行身份验证.
如果启用个人用户身份验证,可使用此命令从身份验证中免除此类设备.
从个人用户身份验证中免除设备也称为"设备传递".
此命令中指定的MAC地址和掩码的格式为三个十六进制数字(以点号分隔);例如,MAC掩码ffff.
ffff.
ffff只匹配指定的MAC地址.
全零的MAC掩码不匹配任何MAC地址,而ffff.
ff00.
0000的MAC掩码匹配同一制造商生产的所有设备.
mac_addr_1MAC地址,以点号分隔的十六进制数表示,指定免除个人用户身份验证的设备的制造商和序列号.
对于多个设备,指定每个MAC地址,用空格和各自的网络掩码分隔开来.
MAC地址的前6个字符识别设备制造商,后6个字符是序列号.
最后24位是十六进制格式的设备序列号.
mac_mask_1对应的MAC地址的网络掩码.
使用空格分隔网络掩码和所有后续的MAC地址和网络掩码对.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
4-40思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章注您必须在头端设备中配置个人用户身份验证和用户旁路.
例如,如果您将ASA作为头端,请在组策略下配置以下内容:ciscoasa(config-group-policy)#user-authenticationenableciscoasa(config-group-policy)#ip-phone-bypassenable示例思科IP电话具有制造商ID00036b,因此以下命令免除所有思科IP电话,包括您以后可能添加的思科IP电话:ciscoasa(config)#vpnclientmac-exempt0003.
6b00.
0000ffff.
ff00.
0000ciscoasa(config)#下一个示例提供了更好的安全性,但降低了灵活性,因为它只免除特定的思科IP电话:ciscoasa(config)#vpnclientmac-exempt0003.
6b54.
b213ffff.
ffff.
ffffciscoasa(config)#4-41思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnclientmanagement要生成管理访问EasyVPNRemote硬件客户端的IPsec隧道,请在全局配置模式下使用vpnclientmanagement命令.
vpnclientmanagementtunnelip_addr_1ip_mask_1[ip_addr_2ip_mask_2.
.
.
ip_addr_nip_mask_n]vpnclientmanagementclear要从正在运行配置中删除属性,请使用此命令的no形式,此命令以split-tunnel-policy和split-tunnel-network-list命令同样的方式建立管理专用IPsec隧道.
novpnclientmanagement语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录clear使用普通路由提供从企业网络到作为EasyVPN客户端运行的ASA5505的外部接口的管理访问.
此选项不创建管理隧道.
注如果NAT设备在客户端和互联网之间运行,请使用此选项.
ip_addr从EasyVPN硬件客户端为其建立管理隧道的主机或网络的IP地址.
使用带有关键字tunnel的参数.
指定一个或多个IP地址,用空格和各自的网络掩码分隔开来.
ip_mask对应的IP地址的网络掩码.
使用空格分隔网络掩码和所有后续的IP地址和网络掩码对.
tunnel专为从企业网络到作为EasyVPN客户端运行的ASA5505的外部接口的管理访问提供IPsec隧道自动化设置.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
4-42思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章使用指南此命令仅适用于作为EasyVPNRemote硬件客户端运行的ASA:运行版本7.
2(1)至9.
2的ASA5505,或运行版本9.
5(1)或更高版本的ASA5506或5508型号.
它假设ASA5505配置包含以下命令:vpnclientserver指定对等设备.
vpnclientmode指定客户端模式(PAT)或网络扩展模式.
以下项之一:vpnclientvpngroup命名用于EasyVPN服务器上的隧道组和用于身份验证的IKE预共享密钥.
vpnclienttrustpoint命名标识RSA证书以用于身份验证的信任点注NAT设备后面的ASA的公共地址是无法访问的,除非您在NAT设备上添加静态NAT映射.
注无论您如何配置,DHCP请求(包括更新消息)都不应该流经IPsec隧道.
即使是vpnclient管理隧道,也禁止DHCP流量.
示例以下示例展示如何生成从ASA5505的外部接口到IP地址/掩码组合为192.
168.
10.
10255.
255.
255.
0的主机的IPsec隧道:ciscoasa(config)#vpnclientmanagementtunnel192.
168.
10.
0255.
255.
255.
0ciscoasa(config)#以下示例展示如何提供对不使用IPsec的ASA5505外部接口的管理访问:ciscoasa(config)#vpnclientmanagementclearciscoasa(config)#4-43思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnclientmode要配置客户端模式或网络扩展模式的EasyVPNRemote连接,请在全局配置模式下使用vpnclientmode命令.
要从运行配置中删除属性,请使用此命令的no形式.
vpnclientmode{client-mode|network-extension-mode}novpnclientmode语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令仅适用于作为EasyVPNRemote硬件客户端运行的ASA:运行版本7.
2(1)至9.
2的ASA5505,或运行版本9.
5(1)或更高版本的ASA5506或5508型号.
EasyVPN客户端支持两种运行模式:客户端模式或NEM.
运行模式确定了相对于EasyVPN客户端的内部主机是否可以通过隧道从企业网络访问.
先要强制指定运行模式,然后才能进行连接,因为EasyVPN客户端没有默认模式.
在客户端模式下,EasyVPN客户端对来自内部主机的所有流量执行端口地址转换(PAT).
此模式不需要对硬件客户端的内部地址(分配的默认地址是RFC1918)或内部主机进行IP地址管理.
由于PAT,无法从企业网络访问内部主机.
在NEM中,内部网络和内部接口的所有节点都分配了可在整个企业网络路由的地址.
内部主机可以从企业网络通过隧道访问.
内部网络上的主机从可访问的子网上分配IP地址(静态或通过DHCP).
在网络扩展模式下,PAT不应用于VPN流量.
注如果EasyVPN硬件客户端使用NEM并且连接到辅助服务器,请在每个头端设备上使用cryptomapsetreverse-route命令以使用反向路由注入(RRI)配置远程网络的动态声明.
client-mode配置EasyVPNRemote连接以使用客户端模式(PAT).
network-extension-mode配置EasyVPNRemote连接以使用网络扩展模式(NEM).
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
4-44思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章示例以下示例展示如何为客户端模式配置EasyVPNRemote连接:ciscoasa(config)#vpnclientmodeclient-modeciscoasa(config)#以下示例展示如何为NEM配置EasyVPNRemote连接:ciscoasa(config)#vpnclientmodenetwork-extension-modeciscoasa(config)#4-45思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnclientnem-st-autoconnect要配置EasyVPNRemote连接在NEM和拆分隧道配置后自动启动IPsec数据隧道,请在全局配置模式下使用vpnclientnem-st-autoconnect命令.
要从运行配置中删除属性,请使用此命令的no形式.
vpnclientnem-st-autoconnectnovpnclientnem-st-autoconnect语法说明此命令没有任何参数或关键字.
默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令仅适用于作为EasyVPNRemote硬件客户端运行的ASA:运行版本7.
2(1)至9.
2的ASA5505,或运行版本9.
5(1)或更高版本的ASA5506或5508型号.
在输入vpnclientnem-st-autoconnect命令之前,确保为硬件客户端启用了网络扩展模式.
网络扩展模式可让硬件客户端通过VPN隧道为远程专用网络提供单一、可路由的网络.
IPsec封装从硬件客户端背后的专用网络到ASA背后的网络的所有流量.
PAT不适用.
因此,ASA背后的设备可以通过隧道而且只能通过隧道直接访问硬件客户端背后的专用网络中的设备,反之亦然.
硬件客户端必须启动隧道.
隧道运行后,任一端均可发起数据交换.
注您还必须配置EasyVPN服务器以启用网络扩展模式.
要执行此操作,请在组策略配置模式下使用nemenable命令.
在网络扩展模式下,IPsec数据隧道自动启动并保持,除非配置了拆分隧道.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
4-46思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章示例以下示例展示如何配置EasyVPNRemote连接以在配置了拆分隧道的情况下自动以网络扩展模式连接.
对组策略FirstGroup启用网络扩展模式:ciscoasa(config)#group-policyFirstGroupattributesciscoasa(config-group-policy)#nemenableciscoasa(config)#vpnclientnem-st-autoconnectciscoasa(config)#相关命令要从运行配置中删除属性,请使用此命令的no形式.
novpnclientsercureinterface命令描述nem对硬件客户端启用网络扩展模式.
4-47思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnclientserver要为EasyVPNRemote连接配置主要和辅助IPsec服务器,请在全局配置模式下使用vpnclientserver命令.
要从运行配置中删除属性,请使用此命令的no形式.
vpnclientserverip_primary_address[ip_secondary_address_1.
.
.
ipsecondary_address_10]novpnclientserver语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令仅适用于作为EasyVPNRemote硬件客户端运行的ASA:运行版本7.
2(1)至9.
2的ASA5505,或运行版本9.
5(1)或更高版本的ASA5506或5508型号.
必须先配置服务器,然后才能建立连接.
vpnclientserver命令支持IPv4地址、名称数据库或DNS名称并按照这个顺序解析地址.
您可以使用服务器的IP地址或主机名.
示例以下示例将名称headend-1与地址10.
10.
10.
10关联并使用vpnclientserver命令指定三台服务器:headend-dns.
example.
com(主要)、headend-1(辅助)和192.
168.
10.
10(辅助):ciscoasa(config)#namesciscoasa(config)#10.
10.
10.
10headend-1ciscoasa(config)#vpnclientserverheadend-dns.
example.
comheadend-1192.
168.
10.
10ciscoasa(config)#ip_primary_address主要EasyVPN(IPsec)服务器的IP地址或DNS名称.
所有ASA或VPN3000集中器系列都可以作为EasyVPN服务器.
ip_secondary_address_n(可选)多达十个备用EasyVPN服务器的IP地址或DNS名称的列表.
使用空格分隔列表中的项目.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
4-48思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章以下示例展示如何配置IP地址为10.
10.
10.
15的VPN客户端IPsec主要服务器以及IP地址为10.
10.
10.
30和192.
168.
10.
45的辅助服务器.
ciscoasa(config)#vpnclientserver10.
10.
10.
1510.
10.
10.
30192.
168.
10.
10ciscoasa(config)#4-49思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnclientserver-certificate要配置EasyVPNRemote连接以只接受到带有证书映射指定的特定证书的EasyVPN服务器的连接,请在全局配置模式下使用vpnclientserver-certificate命令.
要从运行配置中删除属性,请使用此命令的no形式.
vpnclientserver-certificatecertmap_namenovpnclientserver-certificate语法说明默认值EasyVPN服务器证书过滤默认为禁用状态.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令仅适用于作为EasyVPNRemote硬件客户端运行的ASA:运行版本7.
2(1)至9.
2的ASA5505,或运行版本9.
5(1)或更高版本的ASA5506或5508型号.
使用此命令启用EasyVPN服务器证书过滤.
使用cryptocacertificatemap和cryptocacertificatechain命令定义证书映射本身.
示例以下示例展示如何配置EasyVPNRemote连接以只支持到带有证书映射名为homeservers的EasyVPN服务器的连接:ciscoasa(config)#vpnclientserver-certificatehomeserversciscoasa(config)#相关命令certmap_name指定证书映射的名称,该映射指定可接受的EasyVPN服务器证书.
最大长度为64个字符.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
命令描述certificate添加指定的证书.
vpnclienttrustpoint配置将由EasyVPNRemote连接使用的RSA身份证书.
4-50思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnclienttrustpoint要配置EasyVPNRemote连接使用的RSA身份证书,请在全局配置模式下使用vpnclienttrustpoint命令.
要从运行配置中删除属性,请使用此命令的no形式.
vpnclienttrustpointtrustpoint_name[chain]novpnclienttrustpoint语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令仅适用于作为EasyVPNRemote硬件客户端运行的ASA:运行版本7.
2(1)至9.
2的ASA5505,或运行版本9.
5(1)或更高版本的ASA5506或5508型号.
使用cryptocatrustpoint命令定义信任点.
一个信任点代表一个CA身份,也可能代表一个基于CA签发的证书的设备身份.
信任点子模式下的命令控制CA特定的配置参数,这些参数指定ASA如何获取CA证书、ASA如何从CA以及由CA签发的用户证书的身份验证策略中获取其证书.
示例以下示例展示如何配置EasyVPNRemote连接,以使用名为central的特定身份证书和发送整个证书链:ciscoasa(config)#cryptocatrustpointcentralciscoasa(config)#vpnclienttrustpointcentralchainciscoasa(config)#相关命令链发送整个证书链.
trustpoint_name指定标识RSA证书以用于身份验证的信任点.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
命令描述cryptocatrustpoint进入指定信任点的信任点子模式并管理信任点信息.
4-51思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnclientusername要配置EasyVPNRemote连接的VPN用户名和密码,请在全局配置模式下使用vpnclientusername命令.
要从运行配置中删除属性,请使用此命令的no形式.
vpnclientusernamexauth_usernamepasswordxauthpasswordnovpnclientusername语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令仅适用于作为EasyVPNRemote硬件客户端运行的ASA:运行版本7.
2(1)至9.
2的ASA5505,或运行版本9.
5(1)或更高版本的ASA5506或5508型号.
当安全设备身份验证禁用且服务器请求XAUTH凭证时,会使用XAUTH用户名和密码参数.
如果安全设备身份验证已启用,这些参数将被忽略,并且ASA将提示用户输入用户名和密码.
示例以下示例展示如何配置EasyVPNRemote连接,以使用XAUTH用户名testuser以及密码ppurkm1:ciscoasa(config)#vpnclientusernametestuserpasswordppurkm1ciscoasa(config)#xauth_password指定用于XAUTH的密码.
最大长度为64个字符.
xauth_username指定用于XAUTH的用户名.
最大长度为64个字符.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
4-52思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnclientvpngroup要配置EasyVPNRemote连接的VPN隧道组名称和密码,请在全局配置模式下使用vpnclientvpngroup命令.
要从运行配置中删除属性,请使用此命令的no形式.
vpnclientvpngroupgroup_namepasswordpreshared_keynovpnclientvpngroup语法说明默认值如果作为EasyVPNRemote硬件客户端运行的ASA的配置未指定隧道组,则客户端将尝试使用RSA证书.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令仅适用于作为EasyVPNRemote硬件客户端运行的ASA:运行版本7.
2(1)至9.
2的ASA5505,或运行版本9.
5(1)或更高版本的ASA5506或5508型号.
使用预共享密钥作为密码.
在建立连接之前,您还必须配置服务器并指定模式.
示例以下示例展示如何配置EasyVPNRemote连接,其中VPN隧道组的组名称为TestGroup1,密码为my_key123.
ciscoasa(config)#vpnclientvpngroupTestGroup1passwordmy_key123ciscoasa(config)#相关命令group_name指定在EasyVPN服务器上配置的VPN隧道组的名称.
最大长度是64个字符,而且不允许使用空格.
preshared_keyEasyVPN服务器用于身份验证的IKE预共享密钥.
最大长度为128个字符.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
命令描述vpnclienttrustpoint配置RSA身份证书,以供EasyVPN连接使用.
4-53思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-filter要指定用于VPN连接的ACL名称,请在组策略或用户名模式下使用vpn-filter命令.
要删除ACL,包括通过执行vpn-filternone命令创建的空值,请使用此命令的no形式.
no选项允许从其他组策略继承值.
为防止继承值,请使用vpn-filternone命令.
您配置ACL来为此用户或组策略允许或拒绝各种类型的流量.
然后,使用vpn-filter命令以应用这些ACL.
vpn-filter{valueACLname|none}novpn-filter语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南无客户端SSLVPN不使用vpn-filter命令中定义的ACL.
根据设计,vpn-filter功能只过滤入站方向的流量.
出站规则会自动构建.
在创建ICMP访问列表时,如果想要定向过滤器,不要以访问列表格式指定ICMP类型.
示例以下示例展示如何为名为FirstGroup的组策略设置调用名为acl_vpn的访问列表的过滤器:ciscoasa(config)#group-policyFirstGroupattributesciscoasa(config-group-policy)#vpn-filtervalueacl_vpnnone指示没有访问列表.
设置一个空值,从而禁止访问列表.
防止从其他组策略继承访问列表.
valueACLname提供先前配置的访问列表的名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略配置是-是是-用户名配置是-是是-版本修改7.
0(1)添加了此命令.
9.
0(1)添加了对IPv4和IPv6ACL的支持.
增加了多情景模式支持.
9.
1.
(4)添加了对IPv4和IPv6ACL的支持.
如果已弃用的命令ipv6-vpn-filter被错误地用于指定IPv6ACL,则连接将终止.
4-54思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章相关命令命令描述access-list创建访问列表,或使用可下载访问列表.
ipv6-vpn-filter已弃用的命令,之前用于指定IPv6ACL.
4-55思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-framed-ip-address要指定为个人用户分配的IPv4地址,请在用户名模式下使用vpn-framed-ip-address命令.
要删除该IP地址,请使用此命令的no形式.
vpn-framed-ip-address{ip_address}{subnet_mask}novpn-framed-ip-address语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例显示如何为名为anyuser的用户设置IP地址10.
92.
166.
7:ciscoasa(config)#usernameanyuserattributesciscoasa(config-username)#vpn-framed-ip-address10.
92.
166.
7255.
255.
255.
254ip_address为此用户提供IP地址.
subnet_mask指定子网掩码.
命令模式防火墙模式安全情景路由透明一个多个情景系统用户名配置是-是--版本修改7.
0(1)添加了此命令.
4-56思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-framed-ipv6-address在用户名模式下使用vpn-framed-ipv6-address命令,将专用IPv6地址分配给用户.
要删除该IP地址,请使用此命令的no形式.
vpn-framed-ipv6-addressip_address/subnet_masknovpn-framed-ipv6-addressip_address/subnet_mask语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示如何为名为anyuser的用户设置IP地址和子网掩码2001::3000:1000:2000:1/64.
此地址表示前缀值为2001:0000:0000:0000,接口ID为3000:1000:2000:1.
ciscoasa(config)#usernameanyuserattributesciscoasa(config-username)#vpn-framed-ipv6-address2001::3000:1000:2000:1/64ciscoasa(config-username)相关命令ip_address为此用户提供IP地址.
subnet_mask指定子网掩码.
命令模式防火墙模式安全情景路由透明一个多个情景系统用户名配置是-是--版本修改9.
0(1)添加了此命令.
命令描述vpn-framed-ip-address指定要为个人用户分配的IPv4地址.
4-57思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-group-policy要使用户从已配置的组策略继承属性,请在用户名配置模式下使用vpn-group-policy命令.
要从用户配置删除组策略,请使用此命令的no形式.
使用此命令可让用户继承尚未在用户名级别配置的属性.
vpn-group-policy{group-policyname}novpn-group-policy{group-policyname}语法说明默认值默认情况下,VPN用户没有组策略关联.
命令模式下表展示可输入命令的模式:命令历史记录使用指南如果特定用户的组策略中的属性在用户名模式下可用,您可以通过在用户名模式下配置该属性以覆盖其值.
示例以下示例显示如何配置名为anyuser的用户使用名为FirstGroup的组策略中的属性:ciscoasa(config)#usernameanyuserattributesciscoasa(config-username)#vpn-group-policyFirstGroup相关命令group-policyname提供组策略的名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统用户名配置是-是--版本修改7.
0(1)添加了此命令.
命令描述group-policy将组策略添加到ASA数据库.
group-policyattributes进入可让您为组策略配置AVP的组策略属性模式.
username将用户添加到ASA数据库.
usernameattributes进入可让您为指定用户配置AVP的用户名属性模式.
4-58思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-idle-timeout要配置用户超时期限,请在组策略配置模式或用户名配置模式下使用vpn-idle-timeout命令.
如果在此期间连接上没有通信活动,则ASA将终止此连接.
您可以选择延长默认为一分钟的超时前警报间隔.
要从运行配置中删除属性,请使用此命令的no形式.
此选项允许从其他组策略继承超时值.
要防止继承值,请使用vpn-idle-timeoutnone命令.
vpn-idle-timeout{minutes|none}[alert-intervalminutes]novpn-idle-timeoutnovpn-idle-timeoutalert-interval语法说明默认值30分钟.
命令模式下表展示可输入命令的模式:命令历史记录minutes指定超时期限的分钟数和超时警报前的分钟数.
使用1和35791394之间的一个整数.
noneAnyConnect(SSLIPsec/IKEv2):使用以下命令中的全局WebVPNdefault-idle-timeout值(秒):ciscoasa(config-webvpn)#default-idle-timeout在WebVPNdefault-idle-timeout命令中,此值的范围是60到86400秒;默认全局WebVPN空闲超时(秒)-默认值为1800秒(30分钟).
注对于所有AnyConnect连接,ASA需要一个非零的空闲超时值.
对于WebVPN用户,仅当在组策略/用户名属性中设置了vpn-idle-timeoutnone时,才会实施default-idle-timeout值.
站点到站点(IKEv1、IKEv2)和IKEv1远程访问:禁用超时并允许无限制的空闲期.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略配置是-是--用户名配置是-是--版本修改7.
0(1)添加了此命令.
4-59思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章使用指南AnyConnect客户端支持SSL和IKEv2连接的会话恢复.
通过此功能,最终用户设备可以进入休眠模式,丢失其WiFi或任何其他类似连接,并在返回时恢复同一连接.
示例以下示例展示如何为名为"FirstGroup"的组策略设置15分钟的VPN空闲超时:ciscoasa(config)#group-policyFirstGroupattributesciscoasa(config-group-policy)#vpn-idle-timeout30如果没有为用户定义空闲超时、VPN空闲超时值为0或该值不在有效范围内,则安全设备使用默认空闲超时值.
相关命令default-idle-timeout指定全局WebVPN默认空闲超时.
group-policy创建或编辑组策略.
vpn-session-timeout配置VPN连接允许的最大时间量.
此时间段结束时,ASA将终止连接.
4-60思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnload-balancing要进入可以配置VPN负载平衡和相关功能的VPN负载平衡模式,请在全局配置模式下使用vpnload-balancing命令.
vpnload-balancing注要使用VPN负载平衡,您必须具有带Plus许可的ASA5510或ASA5520或更高版本.
VPN负载均衡还需要活动的3DES/AES许可证.
在启用负载均衡之前,安全设备将检查此加密许可证是否存在.
如果没有检测到活动的3DES或AES许可证,安全设备会阻止启用负载均衡,也会阻止负载均衡系统进行3DES的内部配置,除非许可证允许此使用.
语法说明此命令没有任何参数或关键字.
默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南负载平衡集群可包括安全设备型号5510(带Plus许可证),或ASA5520及以上型号.
您还可以在集群中包括VPN3000系列集中器.
虽然混合配置是可行的,但如果集群是同构的,管理通常更为简单.
使用vpnload-balancing命令进入VPN负载平衡模式.
以下命令可在VPN负载平衡模式下使用:clusterencryptionclusteripaddressclusterkeyclusterportInterfacenatparticipate命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
0(1)添加了此命令.
8.
0(2)增加了对带有Plus许可证的ASA5510及5520以上型号的支持.
4-61思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章priorityredirect-fqdn有关详细信息,请参阅单个命令说明.
示例以下是vpnload-balancing命令的示例;注意提示符的变化:ciscoasa(config)#vpnload-balancingciscoasa(config-load-balancing)#以下是VPN负载平衡命令序列的示例,其中包含将集群的公共接口指定为"test"以及将集群的专用接口指定为"foo"的interface命令:ciscoasa(config)#interfaceGigabitEthernet0/1ciscoasa(config-if)#ipaddress209.
165.
202.
159255.
255.
255.
0ciscoasa(config)#nameiftestciscoasa(config)#interfaceGigabitEthernet0/2ciscoasa(config-if)#ipaddress209.
165.
201.
30255.
255.
255.
0ciscoasa(config)#nameiffoociscoasa(config)#vpnload-balancingciscoasa(config-load-balancing)#nat192.
168.
10.
10ciscoasa(config-load-balancing)#priority9ciscoasa(config-load-balancing)#interfacelbpublictestciscoasa(config-load-balancing)#interfacelbprivatefoociscoasa(config-load-balancing)#clusteripaddress209.
165.
202.
224ciscoasa(config-load-balancing)#clusterkey123456789ciscoasa(config-load-balancing)#clusterencryptionciscoasa(config-load-balancing)#clusterport9023ciscoasa(config-load-balancing)#participate相关命令命令描述clearconfigurevpnload-balancing删除负载平衡运行时间配置并禁止负载平衡.
showrunning-configvpnload-balancing显示当前VPN负载平衡虚拟集群配置.
showvpnload-balancing显示VPN负载平衡运行时间统计信息.
4-62思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-session-db要指定VPN会话或AnyConnect客户端VPN会话的最大数量,请在全局配置模式下使用vpn-session-db命令.
要从配置中删除限制,请使用此命令的no形式:vpn-sessiondb{max-anyconnect-premium-or-essentials-limitnumber|max-other-vpn-limitnumber}语法说明默认值默认情况下,ASA不限制小于许可的最大数量的VPN会话数.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例将AnyConnect会话最大数设置为200:ciscoasa(config)#vpn-sessiondbmax-anyconnect-premium-or-essentials-limit200相关命令max-anyconnect-premium-or-essentials-limitnumber指定AnyConnect的最大会话数,从1到许可证允许的最大会话数.
max-other-vpn-limitnumber指定除AnyConnect客户端会话以外的VPN会话最大数,从1到许可证允许的最大会话数.
这包括思科VPN客户端(IPsecIKEv1)和局域网至局域网VPN.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是是-版本修改7.
0(1)添加了此命令.
8.
4(1)更改了以下关键字:max-anyconnect-premium-or-essentials-limit取代了max-session-limitmax-other-vpn-limit取代了max-webvpn-session-limit9.
0(1)增加了多情景模式支持.
命令描述vpn-sessiondblogoff注销所有或特定类型的IPsecVPN和WebVPN会话.
vpn-sessiondbmax-webvpn-session-limit设置WebVPN会话最大数.
4-63思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-sessiondblogoff要注销所有或选定VPN会话,请在全局配置模式下使用vpn-sessiondblogoff命令.
vpn-sessiondblogoff{all|anyconnect|email-proxy|indexindex_number|ipaddressIPaddr|l2l|nameusername|protocolprotocol-name|ra-ikev1-ipsec|ra-ikev2-ipsec|tunnel-groupgroupname|vpn-lb|webvpn}[noconfirm]语法说明all注销所有VPN会话.
anyconnect注销所有AnyConnectVPN客户端会话.
email-proxy(已弃用)注销所有电邮代理会话.
indexindex_number按索引编号注销单个会话.
指定会话的索引编号.
您可以使用showvpn-sessiondbdetail命令查看每个会话的索引编号.
ipaddressIPaddr注销您指定的IP地址的会话.
l2l注销所有LAN到LAN会话.
nameusername注销您指定的用户名的会话.
protocolprotocol-name注销您指定的协议的会话.
这些协议包括:ikev1-使用互联网密钥交换版本1(IKEv1)的会话.
ikev2-使用互联网密钥交换版本2(IKEv2)的会话.
ipsec-使用IKEv1或IKEv2的IPsec会话.
ipseclan2lan—IPsecLAN-to-LAN会话.
ipseclan2lanovernatt—IPsecLAN-to-LANoverNAT-T会话.
ipsecovernatt-IPsecoverNAT-T会话.
ipsecovertcp-IPsecoverTCP会话.
ipsecoverudp-IPsecoverUDP会话.
l2tpOverIpSec-L2TPoverIPsec会话.
l2tpOverIpsecOverNatT-L2TPoverIPsecoverNAT-T会话.
webvpn-无客户端SSLVPN会话.
imap4s-IMAP4会话.
pop3s-POP3会话.
smtps-SMTP会话.
anyconnectParent-AnyConnect客户端会话,无论对会话采用哪种协议(终止AnyConnectIPsecIKEv2和SSL会话).
ssltunnel-SSLVPN会话,包括使用SSL和无客户端SSLVPN会话的AnyConnect会话.
dtlstunnel-启用DTLS的AnyConnect客户端会话.
ra-ikev1-ipsec注销所有IPsecIKEv1远程访问会话.
ra-ikev2-ipsec注销所有IPsecIKEv2远程访问会话.
tunnel-groupgroupname注销您指定的隧道组(连接配置文件)会话.
webvpn注销所有无客户端SSLVPN会话.
4-64思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示如何注销所有AnyConnect客户端会话:ciscoasa#vpn-sessiondblogoffanyconnect以下示例展示如何注销所有IPsec会话:ciscoasa#vpn-sessiondblogoffprotocolIPsec命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是是-版本修改7.
0(1)添加了此命令.
8.
4(1)更改或添加了以下协议关键字:remote已更改为ra-ikev1-ipsec.
ike已更改为ikev1.
添加了ikev2.
添加了anyconnectParent.
9.
0(1)增加了多情景模式支持.
9.
3(2)添加了ra-ikev2-ipsec关键字.
9.
8(1)email-proxy选项已弃用.
4-65思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-session-timeout要配置VPN连接允许的最大时间量,请在组策略配置模式或用户名配置模式下使用vpn-session-timeout命令.
此时间段结束时,ASA将终止连接.
您可以选择延长默认为一分钟的超时前警报间隔.
要从运行配置中删除属性,请使用此命令的no形式.
此选项允许从其他组策略继承超时值.
要阻止继承值,请使用vpn-session-timeoutnone命令.
vpn-session-timeout{minutes|none}[alert-intervalminutes]novpn-session-timeoutnovpn-session-timeoutalert-interval语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例显示如何将名为FirstGroup的组策略的VPN会话超时设置为180分钟:ciscoasa(config)#group-policyFirstGroupattributesciscoasa(config-group-policy)#vpn-session-timeout180相关命令minutes指定超时期限的分钟数和超时警报前的分钟数.
使用1和35791394之间的一个整数.
none允许无限会话超时期限.
将会话超时设置为空值,从而禁止使用会话超时.
防止从默认或指定的组策略继承值.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略配置是-是--用户名配置是-是--版本修改7.
0(1)添加了此命令.
9.
7(1)alert-interval应用于AnyConnectVPNgroup-policy创建或编辑组策略.
vpn-idle-timeout配置用户超时期限.
如果在此期间连接上没有通信活动,则ASA将终止此连接.
4-66思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpnsetup要显示ASA上的配置VPN连接的步骤列表,请在全局配置模式下使用vpnsetup命令.
vpnsetup{ipsec-remote-access|l2tp-remote-access|site-to-site|ssl-remote-access}steps语法说明默认值此命令没有默认设置命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示vpnsetupssl-remote-accesssteps命令的输出:ciscoasa(config-t)#vpnsetupssl-remote-accessstepsStepstoconfigurearemoteaccessSSLVPNremoteaccessconnectionandAnyConnectwithexamples:1.
ConfigureandenableinterfaceinterfaceGigabitEthernet0/0ipaddress10.
10.
4.
200255.
255.
255.
0nameifoutsidenoshutdowninterfaceGigabitEthernet0/1ipaddress192.
168.
0.
20255.
255.
255.
0nameifinsidenoshutdownipsec-remote-access显示配置ASA以接受IPsec连接的步骤.
l2tp-remote-access显示配置ASA以接受L2TP连接的步骤.
site-to-site显示配置ASA以接受LAN到LAN连接的步骤.
ssl-remote-access显示配置ASA以接受SSL连接的步骤.
steps指定显示连接类型的步骤.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是是-版本修改8.
0(3)添加了此命令.
9.
0(1)增加了多情景模式支持.
4-67思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章2.
EnableWebVPNontheinterfacewebvpnenableoutside3.
Configuredefaultrouterouteoutside0.
0.
0.
00.
0.
0.
010.
10.
4.
2004.
ConfigureAAAauthenticationandtunnelgrouptunnel-groupDefaultWEBVPNGrouptyperemote-accesstunnel-groupDefaultWEBVPNGroupgeneral-attributesauthentication-server-groupLOCAL5.
IfusingLOCALdatabase,adduserstotheDatabaseusernametestpasswordt3stP@ssw0rdusernametestattributesservice-typeremote-accessProceedtoconfigureAnyConnectVPNclient:6.
PointtheASAtoanAnyConnectimagewebvpnsvcimageanyconnect-win-2.
1.
0148-k9.
pkg7.
enableAnyConnectsvcenable8.
AddanaddresspooltoassignanipaddresstotheAnyConnectclientiplocalpoolclient-pool192.
168.
1.
1-192.
168.
1.
254mask255.
255.
255.
09.
Configuregrouppolicygroup-policyDfltGrpPolicyinternalgroup-policyDfltGrpPolicyattributesvpn-tunnel-protocolsvcwebvpnciscoasa(config-t)#相关命令命令描述showrunning-config显示ASA正在运行的配置.
4-68思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-simultaneous-logins要配置用户允许的同时登录数,请在组策略配置模式或用户名配置模式下使用vpn-simultaneous-logins命令.
要从运行配置中删除属性,请使用此命令的no形式.
此选项允许从其他组策略继承值.
输入0则禁用登录并阻止用户访问.
vpn-simultaneous-logins{integer}novpn-simultaneous-logins语法说明默认值默认值为3个同时登录.
命令模式下表展示可输入命令的模式:命令历史记录使用指南输入0则禁用登录并阻止用户访问.
注尽管同时登录数的上限非常大,但允许多个用户同时登录可能会降低安全性并影响性能.
即使已使用同一用户名建立"新"会话,停滞的AnyConnect会话、IPsec客户端会话或无客户端会话(异常终止的会话)仍然可能保留在会话数据库中.
如果vpn-simultaneous-logins的值为1,并且同一用户在异常终止后再次登录,则会从数据库中删除停滞的会话并建立新会话.
但是,如果现有会话仍然是活动连接并且同一用户再次登录(可能从其他PC),则会注销且从数据库中删除第一个会话并建立新会话.
如果同时登录数的值大于1,则当达到此最大数并尝试再次登录时,会注销空闲时间最长的会话.
如果所有当前会话的空闲时间同样长,则会注销最早的会话.
此操作会释放一个会话并允许新用户登录.
integer0到2147483647之间的数字.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略配置是-是--用户名配置是-是--版本修改7.
0(1)添加了此命令.
4-69思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章示例以下示例显示如何为名为FirstGroup的组策略设置最大同时登录数4:ciscoasa(config)#group-policyFirstGroupattributesciscoasa(config-group-policy)#vpn-simultaneous-logins44-70思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vpn-tunnel-protocol要配置VPN隧道类型(使用IKEv1或IKEv2的IPsec、L2TPoverIPsec、SSL或无客户端SSL),请在组策略配置模式或用户名配置模式下使用vpn-tunnel-protocol命令.
要从运行配置中删除属性,请使用此命令的no形式.
vpn-tunnel-protocol{ikev1ikev2l2tp-ipsecssl-clientssl-clientless}novpn-tunnel-protocol{ikev1ikev2l2tp-ipsecssl-clientssl-clientless}语法说明默认值默认值为IPsec.
命令模式下表展示可输入命令的模式:命令历史记录使用指南使用此命令配置一个或多个隧道模式.
至少必须配置一个隧道模式供用户通过VPN隧道进行连接.
注要支持从IPsec回退到SSL,vpn-tunnel-protocol命令必须配置有svc和ipsec参数.
ikev1在两个对等设备(一个远程访问客户端或另一个安全网关)之间协商使用IKEv1的IPsec隧道.
创建管理身份验证、加密、封装和密钥管理的安全关联.
ikev2在两个对等设备(一个远程访问客户端或另一个安全网关)之间协商使用IKEv2的IPsec隧道.
创建管理身份验证、加密、封装和密钥管理的安全关联.
l2tp-ipsec协商L2TP连接的IPsec隧道.
ssl-client协商使用SSLVPN客户端的SSLVPN隧道.
ssl-clientless通过启用HTTPS的Web浏览器为远程用户提供VPN服务,且不需要客户端.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略配置是-是--用户名配置是-是--版本修改7.
0(1)添加了此命令.
7.
2(1)添加了l2tp-ipsec关键字.
7.
3(1)添加了svc关键字.
8.
4(1)ipsec关键字已被ikev1和ikev2关键字取代.
4-71思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章示例以下示例展示如何为名为"FirstGroup"的组策略配置WebVPN和IPsec隧道模式:ciscoasa(config)#group-policyFirstGroupattributesciscoasa(config-group-policy)#vpn-tunnel-protocolwebvpnciscoasa(config-group-policy)#vpn-tunnel-protocolIPsec相关命令命令描述addresspools指定将地址分配给远程客户端的地址池列表.
showrunning-configgroup-policy显示所有组策略或特定组策略的配置.
4-72思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vtep-nve要将VXLANVNI接口与VTEP源接口相关联,请在接口配置模式下使用vtep-nve命令.
要删除关联,请使用此命令的no形式.
vtep-nve1novtep-nve1语法说明命令默认无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南每个ASA或每个安全情景可以配置一个VTEP源接口.
您可以配置一个用于指定此VTEP源接口的NVE实例.
所有VNI接口都必须与此NVE实例关联.
示例以下示例将GigabitEthernet1/1接口配置为VTEP源接口,并将VNI1接口与之关联:ciscoasa(config)#interfacegigabitethernet1/1ciscoasa(config-if)#nameifoutsideciscoasa(config-if)#ipaddress10.
1.
1.
1255.
255.
255.
0ciscoasa(config)#nve1ciscoasa(cfg-nve)#source-interfaceoutsideciscoasa(config)#interfacevni1ciscoasa(config-if)#segment-id1000ciscoasa(config-if)#vtep-nve1ciscoasa(config-if)#nameifvxlan1000ciscoasa(config-if)#ipaddress10.
1.
1.
1255.
255.
255.
0standby10.
1.
1.
2ciscoasa(config-if)#ipv6address2001:0DB8::BA98:0:3210/48ciscoasa(config-if)#security-level50ciscoasa(config-if)#mcast-group236.
0.
0.
1001指定NVE实例,它始终为1.
命令模式防火墙模式安全情景路由透明一个多个情景系统接口配置是是是是-版本修改9.
4(1)添加了此命令.
4-73思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章相关命令命令描述debugvxlan调试VXLAN流量.
default-mcast-group为与VTEP源接口关联的所有VNI接口指定默认组播组.
encapsulationvxlan将NVE实例设置为VXLAN封装.
inspectvxlan强制遵守标准VXLAN报头格式.
interfacevni创建用于VXLAN标记的VNI接口.
mcast-group为VNI接口设置组播组地址.
nve指定网络虚拟化终端实例.
nve-only将VXLAN源接口指定为仅限NVE.
peerip手动指定对等VTEPIP地址.
segment-id指定VNI接口的VXLAN网段ID.
showarpvtep-mapping显示VNI接口上缓存的与远程网段域中的IP地址和远程VTEPIP地址对应的MAC地址.
showinterfacevni显示VNI接口的参数、状态和统计信息,其桥接接口(如果已配置)的状态,以及与其关联的NVE接口.
showmac-address-tablevtep-mapping使用远程VTEPIP地址在VNI接口上显示第2层转发表(MAC地址表).
shownve显示NVE接口的参数、状态和统计信息,其载频接口(源接口)的状态,承载接口的IP地址,已将此NVE用作VXLANVTEP的VNI,以及与此NVE接口相关联的对等体VTEPIP地址.
showvnivlan-mapping显示透明模式下的VNI网段ID与VLAN接口或物理接口之间的映射.
source-interface指定VTEP源接口.
vxlanport设置VXLANUDP端口.
默认情况下,VTEP源接口接收发往UDP端口4789的VXLAN流量.
4-74思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章vxlanport要设置VXLANUDP端口,请在全局配置模式下使用vxlanport命令.
要删除默认端口,请使用此命令的no形式.
vxlanportudp_portnovxlanportudp_port语法说明命令默认默认端口为4789.
命令模式下表展示可输入命令的模式:命令历史记录使用指南默认情况下,VTEP源接口接收发往UDP端口4789的VXLAN流量.
如果网络使用非标准端口,可以对其进行更改.
示例例如:ciscoasa(config)#vxlanport5678相关命令udp_port设置VXLANUDP端口.
默认值为4789.
命令模式防火墙模式安全情景路由透明一个多个情景系统Nve配置是是是-是版本修改9.
4(1)添加了此命令.
命令描述debugvxlan调试VXLAN流量.
default-mcast-group为与VTEP源接口关联的所有VNI接口指定默认组播组.
encapsulationvxlan将NVE实例设置为VXLAN封装.
inspectvxlan强制遵守标准VXLAN报头格式.
interfacevni创建用于VXLAN标记的VNI接口.
mcast-group为VNI接口设置组播组地址.
nve指定网络虚拟化终端实例.
4-75思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章nve-only将VXLAN源接口指定为仅限NVE.
peerip手动指定对等VTEPIP地址.
segment-id指定VNI接口的VXLAN网段ID.
showarpvtep-mapping显示VNI接口上缓存的与远程网段域中的IP地址和远程VTEPIP地址对应的MAC地址.
showinterfacevni显示VNI接口的参数、状态和统计信息,其桥接接口(如果已配置)的状态,以及与其关联的NVE接口.
showmac-address-tablevtep-mapping使用远程VTEPIP地址在VNI接口上显示第2层转发表(MAC地址表).
shownve显示NVE接口的参数、状态和统计信息,其载频接口(源接口)的状态,承载接口的IP地址,已将此NVE用作VXLANVTEP的VNI,以及与此NVE接口相关联的对等体VTEPIP地址.
showvnivlan-mapping显示透明模式下的VNI网段ID与VLAN接口或物理接口之间的映射.
source-interface指定VTEP源接口.
vtep-nve将VNI接口与VTEP源接口相关联.
命令描述4-76思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第4章章第5-1思科ASA系列命令参考、ASASM的T至Z命令和IOS命令5Wccp至zone-member命令wccp要分配空间并启用指定网络缓存通信协议(WCCP)服务支持以加入服务组,请在全局配置模式下使用wccp命令.
要禁用此服务组并取消分配空间,请使用此命令的no形式.
wccp{web-cache|service-number}[redirect-listaccess-list][group-listaccess-list][passwordpassword]nowccp{web-cache|service-number}[redirect-listaccess-list][group-listaccess-list][passwordpassword[0|7]]语法说明默认值此命令默认禁用.
access-list指定访问列表的名称.
group-list(可选)确定允许哪些网络缓存加入服务组的访问列表.
access-list参数应包括一个用于指定访问列表的字符串(名称或编号,不超过64个字符).
password(可选)指定对从服务组收到的消息进行MessageDigest5(MD5)身份验证.
未获身份验证接受的消息将被丢弃.
password指定用于身份验证的密码.
password参数的最大长度为七个字符.
redirect-list(可选)与用于控制重定向到此服务组的流量的访问列表一起使用.
access-list参数应包括一个用于指定访问列表的字符串(名称或编号,不超过64个字符).
访问列表应只包含网络地址.
不支持端口特定条目service-number动态服务标识符,表示缓存所指定的服务定义.
动态服务编号为0到254,且最高为255.
最多允许256个,其中包括使用web-cache关键字指定的网络缓存服务.
web-cache指定网络缓存服务.
注网络缓存计为一项服务.
最大服务数(包括使用service-number参数分配的服务)为256.
5-2思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示如何让WCCP加入服务组:ciscoasa(config)#wccpweb-cacheredirect-listjeevesgroup-listwoosterpasswordwhatho相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改7.
2(1)添加了此命令.
命令描述showwccp显示WCCP配置.
wccpredirect启用WCCP重定向支持.
5-3思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章wccpredirect要使用Web缓存通信协议(WCCP)在接口入口启用数据包重定向,请使用wccpredirect命令.
要禁用WCCP重定向,请使用此命令的no形式.
wccpinterfaceinterface_nameserviceredirectinnowccpinterfaceinterface_nameserviceredirectin语法说明默认值此命令默认禁用.
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例展示如何在内部接口对网络缓存服务启用WCCP重定向:ciscoasa(config)#wccpinterfaceinsideweb-cacheredirectin相关命令in指定当数据包进入此接口时重定向.
interface_name应在其中重定向数据包的接口的名称.
service指定服务组.
您可以指定web-cache关键字,也可以指定服务的标识号(从0到99).
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改7.
2(1)添加了此命令.
命令描述showwccp显示WCCP配置.
wccp对服务组启用WCCP支持.
5-4思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章web-agent-url(已弃用)注支持此命令的最后一个版本是版本9.
5(1).
要指定ASA向其发出SiteMinder类型SSO身份验证请求的SSO服务器URL,请在config-webvpn-sso-siteminder模式下使用web-agent-url命令.
要删除SSO服务器身份验证URL,请使用此命令的no形式.
web-agent-urlurlnoweb-agent-urlurl注SiteMinder类型SSO身份验证需要执行此命令.
语法说明默认值默认情况下,身份验证URL未配置.
命令模式下表展示可输入命令的模式:命令历史记录使用指南单点登录支持,仅适用于WebVPN,可让用户访问不同服务器上的不同安全服务,而无需重复输入用户名和密码.
SSO服务器具有处理身份验证请求的URL.
此命令仅适用于SiteMinder类型的SSO服务器.
使用web-agent-url命令配置ASA将身份验证发送到此URL.
在配置身份验证URL之前,必须使用sso-server命令创建SSO服务器.
对于安全设备与SSO服务器之间的https通信,请确保两端的SSL加密设置匹配.
在安全设备上,使用sslencryption命令对此进行验证.
url指定SiteMinder类型SSO服务器的身份验证URL.
必须包含http://或https://.
命令模式防火墙模式安全情景路由透明一个多个情景系统Config-webvpn-sso-siteminder是-是--版本修改7.
1(1)添加了此命令.
9.
5(2)为了支持SAML2.
0,此命令已弃用.
5-5思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章示例以下示例在config-webvpn-sso-siteminder模式中输入,用于指定http://www.
example.
com/webvpn的身份验证URL:ciscoasa(config-webvpn)#sso-serverexampletypesiteminderciscoasa(config-webvpn-sso-siteminder)#web-agent-urlhttp://www.
example.
com/webvpnciscoasa(config-webvpn-sso-siteminder)#相关命令命令描述max-retry-attempts配置ASASSO身份验证尝试失败后的重试次数.
policy-server-secret创建密钥用于加密身份验证请求到SiteMinder-typeSSO服务器.
request-timeout指定失败的SSO身份验证尝试超时之前的秒数.
showwebvpnsso-server显示在安全设备上配置的所有SSO服务器的运行统计信息.
sslencryption指定SSL/TLS协议使用的加密算法.
sso-server创建单点登录服务器.
5-6思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章web-applications要定制WebVPN主页上向通过验证的WebVPN用户显示的WebApplication框,请从webvpn定制模式使用web-applications命令:web-applications{title|message|dropdown}{text|style}value[no]web-applications{title|message|dropdown}{text|style}value要从配置中删除该命令并使值得到继承,请使用此命令的no形式.
语法说明默认值默认标题文本为"WebApplication".
默认标题样式为background-color:#99CCCC;color:black;font-weight:bold;text-transform:uppercase默认消息文本为"EnterWebAddress(URL)".
默认消息样式为background-color:#99CCCC;color:maroon;font-size:smaller.
默认下拉列表文本为"WebBookmarks".
默认下拉样式为border:1pxsolidblack;font-weight:bold;color:black;font-size:80%.
命令模式下表展示可输入命令的模式:命令历史记录title指定您要更改标题.
message指定您要更改标题下显示的消息.
dropdown指定您要更改下拉列表框.
text指示您正在更改文本.
style指定您正在更改HTML样式.
value要显示的实际文本(最多256个字符)或层叠样式表(CSS)参数(最多256个字符).
命令模式防火墙模式安全情景路由透明一个多个情景系统WebVPN定制是-是--版本修改7.
1(1)添加了此命令.
5-7思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章使用指南style选项表示为任何有效的层叠样式表(CSS)参数.
描述这些参数已超出本文档的范围.
有关CSS参数的更多信息,请查询位于www.
w3.
org的万维网联盟(W3C)网站上的CSS规范.
CSS2.
1规范的附录F包含CSS参数的便捷列表,且在www.
w3.
org/TR/CSS21/propidx.
html上提供.
以下是对WebVPN页面进行最常见更改(页面颜色)的一些技巧:您可以使用逗号分隔的RGB值、HTML颜色值或颜色的名称(如果已在HTML中标识).
RGB格式是0,0,0,每种颜色(红色、绿色、蓝色)的范围是从0到255的十进制数字;逗号分隔的条目表示每种颜色与其他颜色相结合的强度级别.
HTML格式是#000000,十六进制格式的六位数;第一和第二个数字代表红色,第三和第四个数字代表绿色,第五和第六个数字代表蓝色.
注要轻松定制WebVPN页面,我们建议您使用ASDM,它具有配置样式元素的便捷功能,包括色样和预览功能.
示例以下示例将标题改为"Applications",将文本颜色改为蓝色:ciscoasa(config)#webvpnciscoasa(config-webvpn)#customizationciscociscoasa(config-webvpn-custom)#web-applicationstitletextApplicationsciscoasa(config-webvpn-custom)#web-applicationstitlestylecolor:blue相关命令命令描述application-access定制WebVPN主页的ApplicationAccess框.
browse-networks定制WebVPN主页的BrowseNetworks框.
web-bookmarks定制WebVPN主页上的WebBookmarks标题或链接.
file-bookmarks定制WebVPN主页上的FileBookmarks标题或链接.
5-8思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章web-bookmarks要定制WebVPN主页上向通过验证的WebVPN用户显示的WebBookmarks标题或链接,请从webvpn定制模式使用web-bookmarks命令:web-bookmarks{link{stylevalue}|title{stylevalue|textvalue}}[no]web-bookmarks{link{stylevalue}|title{stylevalue|textvalue}}要从配置中删除该命令并使值得到继承,请使用此命令的no形式.
语法说明默认值默认链接样式为color:#669999;border-bottom:1pxsolid#669999;text-decoration:none.
默认标题样式为color:#669999;background-color:#99CCCC;font-weight:bold.
默认标题文本为"WebBookmarks".
命令模式下表展示可输入命令的模式:命令历史记录使用指南style选项表示为任何有效的层叠样式表(CSS)参数.
描述这些参数已超出本文档的范围.
有关CSS参数的更多信息,请查询位于www.
w3.
org的万维网联盟(W3C)网站上的CSS规范.
CSS2.
1规范的附录F包含CSS参数的便捷列表,且在www.
w3.
org/TR/CSS21/propidx.
html上提供.
以下是对WebVPN页面进行最常见更改(页面颜色)的一些技巧:您可以使用逗号分隔的RGB值、HTML颜色值或颜色的名称(如果已在HTML中标识).
RGB格式是0,0,0,每种颜色(红色、绿色、蓝色)的范围是从0到255的十进制数字;逗号分隔的条目表示每种颜色与其他颜色相结合的强度级别.
HTML格式是#000000,十六进制格式的六位数;第一和第二个数字代表红色,第三和第四个数字代表绿色,第五和第六个数字代表蓝色.
链接指定您要更改链接.
title指定您要更改标题.
style指定您正在更改HTML样式.
text指示您正在更改文本.
value要显示的实际文本(最多256个字符)或层叠样式表(CSS)参数(最多256个字符).
命令模式防火墙模式安全情景路由透明一个多个情景系统WebVPN定制是-是--版本修改7.
1(1)添加了此命令.
5-9思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章注要轻松定制WebVPN页面,我们建议您使用ASDM,它具有配置样式元素的便捷功能,包括色样和预览功能.
示例以下示例将WebBookmarks标题定制为"CorporateWebBookmarks":ciscoasa(config)#webvpnciscoasa(config-webvpn)#customizationciscociscoasa(config-webvpn-custom)#web-bookmarkstitletextCorporateWebBookmarks相关命令命令描述application-access定制WebVPN主页的ApplicationAccess框.
browse-networks定制WebVPN主页的BrowseNetworks框.
file-bookmarks定制WebVPN主页上的FileBookmarks标题或链接.
web-applications定制WebVPN主页的WebApplication框.
5-10思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章webvpn(global)要进入webvpn模式,请在全局配置模式下输入webvpn命令.
要删除使用此命令输入的任何命令,请使用nowebvpn命令.
这些webvpn命令适用于所有WebVPN用户.
通过这些webvpn命令,可配置AAA服务器、默认组策略、默认空闲超时、http和https代理、WebVPN的NBNS服务器,以及最终用户看到的WebVPN屏幕外观.
webvpnnowebvpn语法说明此命令没有任何参数或关键字.
默认值默认情况下禁用WebVPN.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此WebVPN模式可用于配置WebVPN的全局设置.
WebVPN模式(从组策略模式或用户名模式进入)可用于为特定用户或组策略定制WebVPN配置.
ASA无客户端SSLVPN配置仅分别支持一个http-proxy命令和一个https-proxy命令.
注必须启用浏览器缓存,WebVPN才可运行.
示例以下示例展示如何进入WebVPN命令模式:ciscoasa(config)#webvpnciscoasa(config-webvpn)#命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是-版本修改7.
0(1)添加了此命令.
5-11思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章webvpn(group-policyattributes,usernameattributes)要进入此webvpn模式,请在组策略属性配置模式或用户名属性配置模式下使用webvpn命令.
要删除在WebVPN模式中输入的所有命令,请使用此命令的no形式.
这些webvpn命令适用于从中配置它们的用户名或组策略.
组策略和用户名的WebVPN命令定义通过WebVPN对文件、MAPI代理、URL和TCP应用的访问.
它们还标识ACL和要过滤的流量类型.
webvpnnowebvpn语法说明此命令没有任何参数或关键字.
默认值默认情况下禁用WebVPN.
命令模式下表展示可输入命令的模式:命令历史记录使用指南WebVPN模式(从全局配置模式进入)可用于配置WebVPN的全局设置.
组策略属性配置模式或用户名属性配置模式中的webvpn命令将webvpn命令中指定的设置应用到父命令中指定的组或用户.
换句话说,本节介绍的以及您从组策略或用户名模式进入的webvpn模式,可让您为特定用户或组策略定制WebVPN配置.
应用于组策略属性模式中特定组策略的webvpn属性将覆盖在默认组策略中指定的属性.
应用于用户名属性模式中特定用户的WebVPN属性将覆盖默认组策略以及该用户所属组策略中的属性.
实质上,这些命令可以调整从默认组或指定的组策略继承的设置.
有关WebVPN设置的信息,请参阅全局配置模式下的webvpn命令的说明.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略属性配置是-是-用户名属性配置是-是-版本修改7.
0(1)添加了此命令.
5-12思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章下表列出了可在webvpn组策略属性和用户名属性模式中配置的属性.
有关详细信息,请参阅各个命令的说明.
示例以下示例展示如何进入组策略"FirstGroup"的webvpn模式:ciscoasa(config)#group-policyFirstGroupattributesciscoasa(config-group-policy)#webvpnciscoasa(config-webvpn)#以下示例展示如何进入用户名"test"的webvpn模式:ciscoasa(config)#group-policytestattributesciscoasa(config-username)#webvpnciscoasa(config-webvpn)#相关命令属性描述auto-signon配置ASA自动将WebVPN用户登录凭证传递到内部服务器,为WebVPN用户提供单点登录方法.
customization指定要应用的预配置WebVPN定制.
deny-message指定在访问被拒绝时显示给用户的消息.
filter识别要用于WebVPN连接的访问列表.
functions配置文件访问和文件浏览、MAPI代理以及WebVPN上的URL输入.
homepage设置当WebVPN用户登录时显示的网页的URL.
html-content-filter识别要为WebVPN会话过滤的Java、ActiveX、图像、脚本和Cookie.
http-comp指定要使用的HTTP压缩算法.
keep-alive-ignore指定更新会话时要忽略的最大对象大小.
port-forward启用WebVPN应用访问.
port-forward-name配置用于识别转发到最终用户的TCP端口的显示名称.
sso-server配置SSO服务器名称.
svc配置SSLVPN客户端属性.
url-list识别用户可通过WebVPN访问的服务器和URL列表.
clearconfiguregroup-policy删除特定组策略或所有组策略的配置.
group-policyattributes进入config-group-policy模式,在该模式中可以为指定的组策略配置属性和值,或者进入webvpn模式配置组的webvpn属性.
showrunning-configgroup-policy显示特定组策略或所有组策略正在运行的配置.
webvpn进入您可以配置指定组WebVPN属性的config-group-webvpn模式.
5-13思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章白名单对于云网络安全,要对流量类执行白名单操作,请在类配置模式下使用whitelist命令.
您可以先输入policy-maptypeinspectscansafe命令,然后输入parameters命令,进入类配置模式.
要禁用白名单,请使用此命令的no形式.
whitelistnowhitelist语法说明此命令没有任何参数或关键字.
命令默认无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南使用class-maptypeinspectscansafe命令识别要加入白名单的流量.
使用policy-maptypeinspectscansafe命令中的检查类映射,并且为类指定whitelist操作.
调用inspectscansafe命令中的检查策略映射.
示例以下示例将HTTP及HTTPS检测策略映射的相同用户和组加入白名单:ciscoasa(config)#class-maptypeinspectscansafematch-anywhitelist1ciscoasa(config-cmap)#matchuseruser1groupciscociscoasa(config-cmap)#matchuseruser2ciscoasa(config-cmap)#matchgroupgroup1ciscoasa(config-cmap)#matchuseruser3groupgroup3ciscoasa(config)#policy-maptypeinspectscansafecws_inspect_pmap1ciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#httpciscoasa(config-pmap-p)#defaultgroupdefault_groupciscoasa(config-pmap-p)#classwhitelist1ciscoasa(config-pmap-c)#whitelist命令模式防火墙模式安全情景路由透明一个多个情景系统类配置是是是是-版本修改9.
0(1)添加了此命令.
5-14思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章ciscoasa(config)#policy-maptypeinspectscansafecws_inspect_pmap2ciscoasa(config-pmap)#parametersciscoasa(config-pmap-p)#httpsciscoasa(config-pmap-p)#defaultgroup2default_group2ciscoasa(config-pmap-p)#classwhitelist1ciscoasa(config-pmap-c)#whitelist相关命令命令描述class-maptypeinspectscansafe为加入白名单的用户和组创建检查类映射.
defaultusergroup如果ASA无法确定进入ASA的用户的身份,则指定默认用户名和/或组.
http[s](parameters)指定检查策略映射的服务类型:HTTP或HTTPS.
inspectscansafe对类中的流量启用云网络安全检查.
license配置ASA发送到云网络安全代理服务器以指示请求来自哪个组织的身份验证密钥.
matchusergroup匹配白名单的用户或组.
policy-maptypeinspectscansafe创建检查策略映射,以便配置重要的规则参数并选择性地标识白名单.
retry-count输入重试计数器值,即ASA在轮询云网络安全代理服务器以检查其可用性之前所等待的时长.
scansafe在多情景模式下,允许基于情景的云网络安全.
scansafegeneral-options配置常规云网络安全服务器选项.
server{primary|backup}配置主要或备用云网络安全代理服务器的完全限定域名或IP地址.
showconnscansafe显示所有云网络安全连接,标有大写Z标志.
showscansafeserver显示服务器的状态,表示服务为当前活动服务器、备用服务器还是无法访问.
showscansafestatistics显示总计和当前HTTP连接数.
user-identitymonitor从AD代理下载指定的用户或组信息.
5-15思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章who要显示ASA上活动的Telnet管理会话,请在特权EXEC模式下使用who命令.
who[local_ip]语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南who命令可显示当前登录到ASA的每个Telnet客户端的TTY_ID和IP地址.
示例此示例显示当客户端通过Telnet会话登录到ASA时who命令的输出.
ciscoasa#who0:100.
0.
0.
2ciscoasa#who100.
0.
0.
20:100.
0.
0.
2ciscoasa#相关命令local_ip(可选)指定将列表限于一个内部IP地址或网络地址(IPv4或IPv6).
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是是版本修改7.
0(1)添加了此命令.
命令描述kill终止Telnet会话.
telnet添加对ASA控制台的Telnet访问权限并设置空闲超时.
5-16思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章window-variation要断开与窗口大小变化的连接,请在tcp-map配置模式下使用window-variation命令.
要删除此指定,请使用此命令的no形式.
windowvariation{allow-connection|drop-connection}nowindowvariation{allow-connection|drop-connection}语法说明默认值默认操作是允许连接.
命令模式下表展示可输入命令的模式:命令历史记录使用指南将tcp-map命令与模块化策略框架基础设施结合使用.
使用class-map命令定义流量类并使用tcp-map命令定制TCP检查.
应用新TCP映射使用policy-map命令.
使用service-policy命令激活TCP检查.
使用tcp-map命令进入tcp-map配置模式.
在tcp-map配置模式下使用window-variation命令断开与已经缩小的窗口大小的所有连接.
窗口大小机制允许TCP通告一个大窗口,随后通告一个不接受过多数据的较小窗口.
根据TCP规范,强烈反对"缩小窗口".
检测到这种情况时,连接可能会断开.
示例以下示例展示如何断开与各窗口大小的所有连接:ciscoasa(config)#access-listTCPextendedpermittcpanyanyciscoasa(config)#tcp-maptmapciscoasa(config-tcp-map)#window-variationdrop-connectionciscoasa(config)#class-mapcmapciscoasa(config-cmap)#matchaccess-listTCPciscoasa(config)#policy-mappmapciscoasa(config-pmap)#classcmapciscoasa(config-pmap)#setconnectionadvanced-optionstmapciscoasa(config)#service-policypmapglobalallow-connection允许连接.
drop-connection断开连接.
命令模式防火墙模式安全情景路由透明一个多个情景系统Tcp-map配置是是是是-版本修改7.
0(1)添加了此命令.
5-17思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章相关命令命令描述class指定要用于流量分类的类映射.
policy-map配置策略;即流量类与一个或多个操作的关联.
setconnection配置连接值.
tcp-map创建TCP映射,并允许对tcp-map配置模式的访问.
5-18思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章wins-server要设置主要和辅助WINS服务器的IP地址,请在组策略配置模式下使用wins-server命令.
要从运行配置中删除属性,请使用此命令的no形式.
此选项允许从另一个组策略继承WINS服务器.
要禁止继承服务器,请使用wins-servernone命令.
wins-servervalue{ip_address}[ip_address]|nonenowins-server语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南每次发出wins-server命令时,都会覆盖现有设置.
例如,如果配置WINS服务器x.
x.
x.
x,然后配置WINS服务器y.
y.
y.
y,第二条命令会覆盖第一条,并且y.
y.
y.
y会成为唯一WINS服务器.
对于多个服务器也一样.
要添加WINS服务器而不覆盖以前配置的服务器,请在输入此命令时包含所有WINS服务器的IP地址.
示例以下示例展示如何使用IP地址10.
10.
10.
15、10.
10.
10.
30和10.
10.
10.
45为组策略FirstGroup配置WINS服务器:ciscoasa(config)#group-policyFirstGroupattributesciscoasa(config-group-policy)#wins-servervalue10.
10.
10.
1510.
10.
10.
3010.
10.
10.
45none将wins-servers设为空值,从而不允许WINS服务器.
防止从默认或指定的组策略继承值.
valueip_address指定主要和辅助WINS服务器的IP地址.
命令模式防火墙模式安全情景路由透明一个多个情景系统组策略配置是-是--版本修改7.
0(1)添加了此命令.
5-19思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章without-csd要让特定用户在输入group-url表中的一个条目来建立VPN会话时无需对每个连接配置文件运行思科安全桌面的Hostscan应用程序,请在隧道webvpn配置模式下使用without-csd命令.
要从配置中删除此命令,请使用此命令的no形式.
without-csd[anyconnect]nowithout-csd[anyconnect]语法说明默认值没有默认值.
如果已安装,则使用Hostscan.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令可防止当用户输入此连接配置文件(在CLI中称为隧道组)上配置的url-group列表中的URL时,思科安全桌面的Hostscan应用程序在终端上运行.
输入此命令会阻止检测这些会话的终端状况,因此,您可能需要调整动态访问策略(DAP)配置.
示例以下示例中的第一条命令将创建一个group-url,其中"example.
com"是ASA的域,"no-csd"是URL的唯一部分.
当用户输入此URL时,ASA会将此连接配置文件分配到会话.
必须输入group-url命令,without-csd命令才可生效.
without-csd命令让用户无需运行CiscoSecureDesktop.
ciscoasa(config-tunnel-webvpn)#group-urlhttps://example.
com/no-csdenableciscoasa(config-tunnel-webvpn)#without-csdciscoasa(config-tunnel-webvpn)#anyconnect(可选)更改命令只会影响AnyConnect连接.
命令模式防火墙模式安全情景路由透明一个多个情景系统隧道webvpn配置是-是--版本修改8.
2(1)添加了此命令.
9.
2(1)添加了anyconnect关键字.
5-20思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章相关命令命令描述csdenable对没有without-csd命令的所有连接配置文件启用CiscoSecureDesktop.
csdimage将命令中指定的CiscoSecureDesktop映像从路径中指定的闪存驱动器复制到运行配置.
group-url创建此连接配置文件所独有的group-url.
5-21思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章writeerase要清除启动配置,请在特权EXEC模式下使用writeerase命令.
运行配置保持不变.
writeerase语法说明此命令没有任何参数或关键字.
默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令在安全情景中不受支持.
情景启动配置在系统配置中由config-url命令识别.
如果要删除情景配置,您可以从远程服务器手动删除文件(如果已指定)或者在系统执行空间使用delete命令清除闪存中的文件.
对于ASAv,此命令在重新加载之后恢复部署配置(初始虚拟部署设置).
要完全擦除配置,请使用clearconfigureall命令.
要擦除部署配置并应用与ASA设备相同的工厂默认值配置,请参阅configurefactory-default.
注ASAv会启动当前运行的映像,因此,不会恢复到原始启动映像.
在重新加载之前,请不要保存配置.
对于故障切换对中的ASAv,请先关闭备用设备.
为防止备用设备变成主用设备,必须将其关闭.
如果让其处于打开状态,则当清除主用设备配置后,备用设备将变为主用设备.
当原来的主用设备重新加载并且通过故障切换链路重新连接后,旧配置将从新主用设备同步,并且擦除所需要的部署配置.
在主用设备重新加载后,您可以打开备用设备.
然后,部署配置将同步到备用设备.
示例以下示例将清除启动配置:ciscoasa#writeeraseEraseconfigurationinflashmemory[confirm]y命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是-是版本修改7.
0(1)添加了此命令.
5-22思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章相关命令命令描述configurenet将指定的TFTPURL中的配置文件与运行配置合并.
delete从闪存中删除文件.
showrunning-config显示运行配置.
writememory将运行配置保存到启动配置.
5-23思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章writememory要将运行配置保存到启动配置,请在特权EXEC模式下使用writememory命令.
writememory[all[/noconfirm]]语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南运行配置是内存中当前运行配置,包括您在命令行中所做的所有更改.
如果您将更改保存到启动配置(即在启动时加载到运行的内存中的配置),更改只会在两次重新启动之间保留.
您可以使用bootconfig命令,将单情景模式下及多情景模式下系统的启动配置位置从默认位置(隐藏的文件)更改为您选择的位置.
对于多情景模式,情景启动配置位于系统配置中的config-url命令所指定的位置.
在多情景模式下,您可以在每个情景中输入writememory命令来保存当前情景配置.
要保存所有情景配置,请在系统执行空间中输入writememoryall命令.
情景启动配置可驻留在外部服务器上.
在这种情况下,ASA会将配置保存回config-url命令指定的服务器,但HTTP和HTTPSURL除外,这些URL不允许您将配置保存回服务器.
在ASA使用writememoryall命令保存每个情景之后,将会出现以下消息:'Savingcontext'b'.
.
.
(1/3contextssaved)'有时,情景因错误而无法保存.
请参阅以下错误的相关信息:对于因内存不足而未保存的情景,系统将显示以下消息:Thecontext'contexta'couldnotbesavedduetoUnavailabilityofresources对于因无法到达远程目标而未保存的情景,系统将显示以下消息:Thecontext'contexta'couldnotbesavedduetonon-reachabilityofdestination/noconfirm使用all关键字时,将消除确认提示.
all从多情景模式下的系统执行空间,此关键字将保存所有情景配置和系统配置.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是是版本修改7.
2(1)现在,您可以使用all关键字保存所有情景配置.
5-24思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章对于因情景被锁定而无法保存的情景,系统将显示以下消息:Unabletosavetheconfigurationforthefollowingcontextsasthesecontextsarelocked.
context'a',context'x',context'z'.
仅当另一位用户已保存配置或正在删除情景时,情景才会锁定.
对于因启动配置为只读配置而不能保存的情景(例如,在HTTP服务器上),在所有其他消息的末尾将显示以下消息报告:Unabletosavetheconfigurationforthefollowingcontextsasthesecontextshaveread-onlyconfig-urls:context'a',context'b',context'c'.
对于因闪存中有坏扇区而无法保存的情景,会出现以下消息:Thecontext'contexta'couldnotbesavedduetoUnknownerrors由于系统使用管理情景接口来访问情景启动配置,因此writememory命令也使用管理情景接口.
但writenet命令使用情景接口将配置写入TFTP服务器.
writememory命令与copyrunning-configstartup-config命令作用相等.
示例以下示例将运行配置保存到启动配置:ciscoasa#writememoryBuildingconfiguration.
.
.
Cryptochecksum:e43e06219772bebeb685e74f748e445419319bytescopiedin3.
570secs(6439bytes/sec)[OK]ciscoasa#相关命令命令描述admin-context设置管理情景.
configurememory将启动配置与运行配置合并.
config-url指定情景配置的位置.
copyrunning-configstartup-config将运行配置复制到启动配置.
writenet将运行配置复制到TFTP服务器.
5-25思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章writenet要将运行配置保存到TFTP服务器,请在特权EXEC模式下使用writenet命令.
writenet[server:[filename]|:filename]语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南运行配置是内存中当前运行配置,包括您在命令行中所做的所有更改.
在多情景模式下,此命令仅保存当前配置;您不能使用单个命令保存所有情景,而必须单独为系统及每个情景输入此命令.
writenet命令使用情景接口将配置写入TFTP服务器.
但writememory命令使用管理情景接口保存到启动配置,因为系统使用管理情景接口来访问情景启动配置.
writenet命令与copyrunning-configtftp命令作用相等.
:filename指定路径和文件名.
如果已使用tftp-server命令设置文件名,则此参数可选.
如果在此命令以及tftp-server命令中指定文件名,则ASA会将tftp-server命令中的文件名视为目录,而将writenet命令中的文件名添加为该目录下的文件.
要覆盖tftp-server命令值,请在路径和文件名前面输入一个斜杠.
斜杠表示该路径不是tftpboot目录的相对路径,而是绝对路径.
为此文件生成的URL在文件名路径前面有一个双斜杠(//).
如果需要的文件在tftpboot目录中,您可以在文件名路径中包含tftpboot目录的路径.
如果您的TFTP服务器不支持此类URL,则改用copyrunning-configtftp命令.
如果使用tftp-server命令指定了TFTP服务器地址,您可以输入文件名,只在后面加一个冒号(:).
server:设置TFTP服务器的IP地址或名称.
此地址将覆盖您在tftp-server命令中设置的地址(如果有).
默认网关接口是安全性最高的接口;但是,您可以使用tftp-server命令设置不同的接口名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是是版本修改7.
0(1)添加了此命令.
5-26思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章示例以下示例在tftp-server命令中设置TFTP服务器和文件名:ciscoasa#tftp-serverinside10.
1.
1.
1/configs/contextbackup.
cfgciscoasa#writenet以下示例在writenet命令中设置服务器和文件名.
tftp-server命令未填充.
ciscoasa#writenet10.
1.
1.
1:/configs/contextbackup.
cfg以下示例在writenet命令中设置服务器和文件名.
tftp-server命令提供目录名称,服务器地址被覆盖.
ciscoasa#tftp-server10.
1.
1.
1configsciscoasa#writenet10.
1.
2.
1:context.
cfg相关命令命令描述configurenet将指定的TFTPURL中的配置文件与运行配置合并.
copyrunning-configtftp将运行配置复制到TFTP服务器.
showrunning-config显示运行配置.
tftp-server设置用于其他命令的默认TFTP服务器和路径.
writememory将运行配置保存到启动配置.
5-27思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章writestandby要将ASA或情景运行配置复制到故障切换备用设备,请在特权EXEC模式下使用writestandby命令.
writestandby语法说明此命令没有任何参数或关键字.
默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南仅在备用设备或故障切换组的配置与主用设备或故障切换组的配置不同步时,才应使用此命令.
直接在备用设备或故障切换组上输入命令时,通常会发生这种情况.
对于主用/备用故障切换,在主用设备上输入writestandby命令会将主用故障切换设备的运行配置写入备用设备的运行配置.
对于主用/主用故障切换,writestandby命令的行为如下:如果在系统执行空间输入writestandby命令,系统配置以及ASA上所有安全情景的配置都将写入对等设备.
这包括处于备用状态的安全情景的配置信息.
您必须在具有处于主用状态的故障切换组1的系统执行空间中输入命令.
如果您在安全情景中输入writestandby命令,只有安全情景的配置会写入对等设备.
您必须在安全情景为主用状态的设备上的安全情景中输入命令.
writestandby命令会将配置复制到对等设备的运行配置;不会将其保存到启动配置.
要将配置更改保存到启动配置,请在您输入writestandby命令的设备上使用copyrunning-configstartup-config命令.
该命令将复制到对等设备,而且配置保存到启动配置.
启用状态故障切换后,writestandby命令还会在配置复制完成后将状态信息复制到备用设备.
在多情景模式中,在复制状态信息的情景中输入writestandby.
注在输入writestandby命令后,故障切换接口会在配置重新同步后立即关闭.
这也可能导致要检测的故障切换状态接口暂时失效.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是是版本修改7.
0(1)添加了此命令.
5-28思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章示例以下示例将当前运行配置写入备用设备:ciscoasa#writestandbyBuildingconfiguration.
.
.
[OK]ciscoasa#相关命令命令描述failoverreload-standby强制备用设备重新启动.
5-29思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章writeterminal要在终端上显示运行配置,请在特权EXEC模式下使用writeterminal命令.
writeterminal语法说明此命令没有任何参数或关键字.
默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南此命令与showrunning-config命令作用相等.
示例以下示例将运行配置写入终端:ciscoasa#writeterminal:Saved:ASAVersion7.
0(0)61multicast-routingnamesname10.
10.
4.
200outside!
interfaceGigabitEthernet0/0nameifinsidesecurity-level100ipaddress10.
86.
194.
60255.
255.
254.
0webvpnenable.
.
.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是是版本修改7.
0(1)添加了此命令.
5-30思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章相关命令命令描述configurenet将指定的TFTPURL中的配置文件与运行配置合并.
showrunning-config显示运行配置.
writememory将运行配置保存到启动配置.
5-31思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章xlateblock-allocation要为运营商级或大规模PAT配置端口块分配特征,请在全局配置模式下使用xlateblock-allocation命令.
要恢复默认值,请使用此命令的no形式.
xlateblock-allocation{sizevalue|maximum-per-hostnumber}noxlateblock-allocation{sizevalue|maximum-per-hostnumber}语法说明命令默认默认分配大小为512.
默认每主机最大数为4.
命令模式下表展示可输入命令的模式:命令历史记录使用指南对于运营商级或大规模PAT,您可以为每台主机分配端口块,而无需通过NAT一次分配一个端口转换(请参阅RFC6888).
如果分配端口块,来自该主机的后续连接将使用该块中随机选定的新端口.
如果主机将所有端口的活动连接置于基元块中,可根据需要分配更多块.
当使用块中端口的最后一个转换被删除时,系统将释放该块.
只能在1024-65535范围内分配端口块.
因此,如果应用需要较低的端口号(1-1023),它可能不起作用.
例如,请求端口22(SSH)的应用会获得1024-65535范围内和分配到主机的块范围内的映射端口.
xlateblock-allocation命令可配置这些端口块的特征.
在nat命令中使用block-allocation关键字,以便在使用PAT池时根据PAT规则启用端口块分配.
sizevalue块分配大小,即每个块中的端口数.
范围为32-4096.
默认值为512.
如果不使用默认值,请确保64,512能被您所选的大小整除(1024-65535范围中的端口数).
否则,会出现无法分配的端口.
例如,如果指定100,会有12个未使用端口.
maximum-per-hostnumber每个主机可分配的最大块数.
限制是针对每个协议,因此限制为4表示每个主机最多4个UDP块、4个TCP块和4个ICMP块.
范围为1-8,默认值为4.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改9.
5(1)添加了此命令.
5-32思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章示例以下示例更改端口块分配特征,并为对象NAT规则中的PAT池实施端口块分配:xlateblock-allocationsize128xlateblock-allocationmaximum-per-host6objectnetworkmapped-pat-poolrange10.
100.
10.
110.
100.
10.
2objectnetworksrc_hosthost10.
111.
10.
15objectnetworksrc_hostnatdynamicpat-poolmapped-pat-poolblock-allocation相关命令命令描述nat(global)添加一个两倍NAT规则.
nat(object)添加对象NAT规则.
showlocal-host显示已分配给主机的端口块.
showrunning-configxlate显示xlate配置.
5-33思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章xlateper-session要使用多会话PAT,请在全局配置模式下使用xlateper-session命令.
要删除多会话PAT规则,请使用此命令的no形式.
xlateper-session{permit|deny}{tcp|udp}source_ip[operatorsrc_port]destination_ipoperatordest_portnoxlateper-session{permit|deny}{tcp|udp}source_ip[operatorsrc_port]destination_ipoperatordest_port语法说明deny创建拒绝规则.
destination_ip对于目标IP地址,可进行以下配置:hostip_address-指定IPv4主机地址.
ip_addressmask-指定IPv4网络地址和子网掩码.
ipv6-address/prefix-length-指定IPv6主机或网络地址和前缀.
any4和any6-any4指定纯IPv4流量;any6则指定any6流量.
operatordest_portoperator匹配目标使用的端口号.
允许的运算符如下:lt—小于gt—大于eq—等于neq—不等于range—值的包含范围.
使用此运算符时,需指定两个端口号,例如:range100200operatorsrc_port(可选)operator与源使用的端口号匹配.
允许的运算符如下:lt—小于gt—大于eq—等于neq—不等于range—值的包含范围.
使用此运算符时,需指定两个端口号,例如:range100200permit创建允许规则.
source_ip对于源IP地址,可进行以下配置:hostip_address-指定IPv4主机地址.
ip_addressmask-指定IPv4网络地址和子网掩码.
ipv6-address/prefix-length-指定IPv6主机或网络地址和前缀.
any4和any6-any4指定纯IPv4流量;any6则指定any6流量.
tcp指定TCP流量.
udp指定UDP流量.
5-34思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章命令默认默认情况下,所有TCP流量和UDPDNS流量都使用每会话PATxlate.
安装了以下默认规则:xlateper-sessionpermittcpany4any4xlateper-sessionpermittcpany4any6xlateper-sessionpermittcpany6any4xlateper-sessionpermittcpany6any6xlateper-sessionpermitudpany4any4eqdomainxlateper-sessionpermitudpany4any6eqdomainxlateper-sessionpermitudpany6any4eqdomainxlateper-sessionpermitudpany6any6eqdomain注这些规则无法删除,无论手动创建什么规则,它们始终存在.
因为会按顺序评估规则,所以可以忽略默认规则.
例如,要使这些规则完全失效,可以添加以下拒绝规则:xlateper-sessiondenytcpany4any4xlateper-sessiondenytcpany4any6xlateper-sessiondenytcpany6any4xlateper-sessiondenytcpany6any6xlateper-sessiondenyudpany4any4eqdomainxlateper-sessiondenyudpany4any6eqdomainxlateper-sessiondenyudpany6any4eqdomainxlateper-sessiondenyudpany6any6eqdomain命令模式下表展示可输入命令的模式:命令历史记录使用指南每会话PAT功能可以提高PAT的可扩展性,对于集群,允许每个成员单元拥有自己的PAT连接;多会话PAT连接必须转发到主单元并且归主单元所有.
在每会话PAT会话结束时,ASA将发送重置并立即删除xlate.
此重置会使结束节点立即释放连接,避免TIME_WAIT状态.
另一方面,多会话PAT使用PAT超时,默认为30秒.
对于"命中并运行"的数据流,例如HTTP或HTTPS,每会话功能可以显著提高一个地址支持的连接速度.
不使用每会话功能时,一个用于IP协议的地址的最大连接速率约为每秒2000.
在使用每会话功能的情况下,对于IP协议,一个地址的连接速率为65535/average-lifetime.
默认情况下,所有TCP流量和UDPDNS流量都使用每会话PATxlate.
对于可受益于多会话PAT的流量,例如H.
323、SIP或Skinny,您可以创建每会话拒绝规则来禁用每会话PAT.
添加的每会话PAT规则在默认规则上面,但在任何其他手动创建的规则下面.
确保按照所需的应用顺序创建规则.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是是是是-版本修改9.
0(1)添加了此命令.
5-35思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章示例以下示例为H.
323流量创建拒绝规则,以便它使用多会话PAT:ciscoasa(config)#xlateper-sessiondenytcpany4209.
165.
201.
7eq1720ciscoasa(config)#xlateper-sessiondenyudpany4209.
165.
201.
7range17181719相关命令命令描述clearconfigurexlate清除xlate每会话规则.
nat(global)添加一个两倍NAT规则.
nat(object)添加对象NAT规则.
showrunning-configxlate显示xlate每会话规则.
5-36思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章区域要添加流量区域,请在全局配置模式下使用zone命令.
要删除区域,请使用此命令的no形式.
zonenamenozonename语法说明命令默认无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南您可以向流量区域分配多个接口,让现有流中的流量在该区域内的任何接口流出或流入ASA.
此功能允许ASA上的等价多路径(ECMP)路由以及多个接口分担流向ASA的外部流量负载均衡.
区域允许流量进出区域中的任何接口,但安全策略(访问规则、NAT等)本身仍然应用于每个接口,而非每个区域.
如果为区域中的所有接口配置相同的安全策略,则可对该流量成功实施ECMP和负载均衡.
您最多可以创建256个区域.
示例以下示例配置具有4个成员接口的外部区域:zoneoutsideinterfacegigabitethernet0/0zone-memberoutsideinterfacegigabitethernet0/1zone-memberoutsideinterfacegigabitethernet0/2zone-memberoutsideinterfacegigabitethernet0/3zone-memberoutsidename设置最多48个字符的时区名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是是-版本修改9.
3(2)添加了此命令.
5-37思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章相关命令命令描述clearconfigurezone清除区域配置.
clearconnzone清除区域连接.
clearlocal-hostzone清除区域主机.
showasptablerouting显示用于调试的加速安全路径表,并显示与每个路由关联的区域.
showasptablezone显示用于调试的加速安全路径表.
showconnlong显示区域的连接信息.
showlocal-hostzone显示区域内本地主机的网络状态.
shownameifzone显示接口名称和区域名称.
showroutezone显示区域接口的路由.
showrunning-configzone显示区域配置.
showzone显示区域ID、情景、安全级别和成员.
zone-member将接口分配给流量区域.
5-38思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章zonelabs-integrityfail-close要配置ASA,使VPN客户端连接在ASA与ZoneLabsIntegrity防火墙服务器之间的连接失败时关闭,请在全局配置模式下使用zonelabs-integrityfail-close命令.
要恢复默认设置,使VPN连接在ZoneLabs连接失败时保持打开,请使用此命令的no形式.
zonelabs-integrityfail-closenozonelabs-integrityfail-close语法说明描述此命令没有任何参数或关键字.
默认值默认情况下,连接在失败时保持打开.
命令模式下表展示可输入命令的模式:命令历史记录使用指南如果主要ZoneLabsIntegrity防火墙服务器不响应ASA,ASA在默认情况下仍会建立到专用网络的VPN客户端连接.
它也会保持现有打开的连接.
这可确保企业VPN不会因防火墙服务器发生故障而中断.
但是,如果您不希望VPN连接在ZoneLabsIntegrity防火墙服务器失败时保持运行,请使用zonelabs-integrityfail-close命令.
要恢复默认状况,使ASA在ZoneLabsIntegrity防火墙服务器的连接失败时保持客户端VPN连接,请使用zonelabs-integrityfail-open命令.
示例以下示例配置ASA在ZoneLabsIntegrity防火墙服务器未响应或连接中断时关闭VPN客户端连接.
ciscoasa(config)#zonelabs-integrityfail-closeciscoasa(config)#命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
5-39思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章相关命令命令描述zonelabs-integrityfail-open指定到ASA的VPN客户端连接在ASA与ZoneLabsIntegrity防火墙服务器之间的连接失败后保持打开.
zonelabs-integrityfail-timeout指定ASA宣告无响应的ZoneLabsIntegrity防火墙服务器不可达之前所经过的时间(秒).
zonelabs-integrityserver-address将ZoneLabsIntegrity防火墙服务器添加到ASA配置.
5-40思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章zonelabs-integrityfail-open为使ASA的远程VPN客户端连接在ASA与ZoneLabsIntegrity防火墙服务之间的连接失败后保持打开,请在全局配置模式下使用zonelabs-integrityfail-open命令.
要在ZoneLabs服务器连接失败时关闭VPN客户端连接,请使用此命令的no形式.
zonelabs-integrityfail-opennozonelabs-integrityfail-open语法说明此命令没有任何参数或关键字.
默认值默认情况下,如果ASA无法建立或保持与ZoneLabsIntegrity防火墙服务器的连接,远程VPN连接将保持打开.
命令模式下表展示可输入命令的模式:命令历史记录使用指南如果主要ZoneLabsIntegrity防火墙服务器不响应ASA,ASA在默认情况下仍会建立到专用网络的VPN客户端连接.
它还会保持现有打开的连接.
这可确保企业VPN不会因防火墙服务器发生故障而中断.
但是,如果您不希望VPN连接在ZoneLabsIntegrity防火墙服务器失败时保持运行,请使用zonelabs-integrityfail-close命令.
然后要恢复默认状况,使ASA在ZoneLabsIntegrity防火墙服务器的连接失败时保持客户端VPN连接,请使用zonelabs-integrityfail-open命令或nozonelabs-integrityfail-open命令.
示例以下示例恢复默认状况,使VPN客户端连接在ZoneLabsIntegrity防火墙服务器的连接失败时保持打开:ciscoasa(config)#zonelabs-integrityfail-openciscoasa(config)#命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
5-41思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章相关命令命令描述zonelabs-integrityfail-close指定ASA在ASA与ZoneLabsIntegrity防火墙服务器之间的连接失败时关闭VPN客户端连接.
zonelabs-integrityfail-timeout指定ASA宣告无响应的ZoneLabsIntegrity防火墙服务器不可达之前所经过的时间(秒).
5-42思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章zonelabs-integrityfail-timeout要指定ASA在宣告无响应的ZoneLabsIntegrity防火墙服务器不可达之前所经过的时间(秒),请在全局配置模式下使用zonelabs-integrityfail-timeout命令.
要恢复10秒的默认超时值,请使用此命令的no形式,不带任何参数.
zonelabs-integrityfail-timeouttimeoutnozonelabs-integrityfail-timeout语法说明默认值默认超时值为10秒.
命令模式下表展示可输入命令的模式:命令历史记录使用指南如果ASA等待指定的秒数后没有收到ZoneLabs服务器的响应,便宣告该服务器无响应.
VPN客户端连接默认保持打开,或者使用zonelabs-integrityfail-open命令配置为保持打开.
但是,如果已发出zonelabs-integrityfail-close命令,该连接将在ASA宣告Integrity服务器无响应时关闭.
示例以下示例配置ASA在12秒后宣告主用ZoneLabsIntegrity服务器不可达:ciscoasa(config)#zonelabs-integrityfail-timeout12ciscoasa(config)#相关命令timeoutASA宣告无响应的ZoneLabsIntegrity防火墙服务器不可达之前所经过的秒数.
接受的范围从5到20秒.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
命令描述zonelabs-integrityfail-open指定到ASA的VPN客户端连接在ASA与ZoneLabsIntegrity防火墙服务器之间的连接失败后保持打开.
zonelabs-integrityfail-close指定ASA在ASA与ZoneLabsIntegrity防火墙服务器之间的连接失败时关闭VPN客户端连接.
zonelabs-integrityserver-address将ZoneLabsIntegrity防火墙服务器添加到ASA配置.
5-43思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章zonelabs-integrityinterface要指定ASA接口用于与ZoneLabsIntegrity服务器通信,请在全局配置模式下使用zonelabs-integrityinterface命令.
要将ZoneLabsIntegrity防火墙服务器接口重置回默认值none(无),请使用此命令的no形式.
zonelabs-integrityinterfaceinterfacenozonelabs-integrityinterface语法说明默认值默认情况下,ZoneLabsIntegrity防火墙服务器接口设置为none(无).
命令模式下表展示可输入命令的模式:命令历史记录示例以下示例使用10.
0.
0.
5到10.
0.
0.
7范围的IP地址配置三个ZoneLabsIntegrity服务器.
这些命令也配置ASA在端口300以及称为inside的接口上侦听服务器:ciscoasa(config)#zonelabs-integrityserver-address10.
0.
0.
510.
0.
0.
610.
0.
0.
7ciscoasa(config)#zonelabs-integrityport300ciscoasa(config)#zonelabs-integrityinterfaceinsideciscoasa(config)#相关命令Interface指定与ZoneLabsIntegrity防火墙服务器通信的ASA接口.
这通常是使用nameif命令创建的接口名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
命令描述zonelabs-integrityport指定ASA上用于与ZoneLabsIntegrity防火墙服务器通信的端口.
zonelabs-integrityserver-address将ZoneLabsIntegrity防火墙服务器添加到ASA配置.
zonelabs-integrityssl-certificate-port指定ZoneLabsIntegrity防火墙服务器在检索SSL证书时要连接的ASA端口.
zonelabs-integrityssl-client-authentication允许ASA使用ZoneLabsIntegrity防火墙服务器SSL证书进行身份验证.
5-44思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章zonelabs-integrityport要指定ASA用于与ZoneLabsIntegrity防火墙服务器通信的端口,请在全局配置模式下使用zonelabs-integrityport命令.
要为ZoneLabsIntegrity防火墙服务器恢复为默认端口5054,请使用此命令的no形式.
zonelabs-integrityportport_numbernozonelabs-integrityportport_number语法说明默认值默认ZoneLabsIntegrity防火墙服务器端口是5054.
命令模式下表展示可输入命令的模式:命令历史记录使用指南ASA在分别使用zonelabs-integrityport和zonelabs-integrityinterface命令配置的端口和接口上侦听ZoneLabsIntegrity防火墙服务器.
注ASA的当前版本每次只支持一个Integrity服务器,即使用户接口支持多达五个Integrity服务器的配置也一样.
如果主用服务器失败,可在ASA中配置其他IntegrityServer并重建客户端VPN会话.
示例以下示例使用IP地址10.
0.
0.
5配置ZoneLabsIntegrity服务器.
这些命令也配置ASA在端口300(而非默认端口5054)上侦听主用ZoneLabs服务器:ciscoasa(config)#zonelabs-integrityserver-address10.
0.
0.
5ciscoasa(config)#zonelabs-integrityport300ciscoasa(config)#port指定ASA上的ZoneLabsIntegrity防火墙服务器端口.
port_numberZoneLabsIntegrity防火墙服务器的端口号.
范围为10至10000.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
5-45思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章相关命令命令描述zonelabs-integrityinterface指定ASA与主用ZoneLabsIntegrity服务器通信的接口.
zonelabs-integrityserver-address将ZoneLabsIntegrity防火墙服务器添加到ASA配置.
zonelabs-integrityssl-certificate-port指定ZoneLabsIntegrity防火墙服务器在检索SSL证书时要连接的ASA端口.
zonelabs-integrityssl-client-authentication允许ASA使用ZoneLabsIntegrity防火墙服务器SSL证书进行身份验证.
5-46思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章zonelabs-integrityserver-address要将ZoneLabsIntegrity防火墙服务器添加到ASA配置,请在全局配置模式下使用zonelabs-integrityserver-address命令.
通过IP地址或主机名指定ZoneLabs服务器.
要从运行配置删除ZoneLabsIntegrity防火墙服务器,请使用此命令的no形式,并且不含参数.
zonelabs-integrityserver-address{hostname1|ip-address1}nozonelabs-integrityserver-address注尽管用户接口似乎支持多个Integrity服务器的配置,但ASA在当前版本中每次仅支持一部服务器.
语法说明命令默认默认情况下未配置ZoneLabsIntegrity防火墙服务器.
命令模式下表展示可输入命令的模式:命令历史记录使用指南使用此版本时,可以配置一个ZoneLabsIntegrity防火墙服务器.
如果该服务器失败,则先配置另一个Integrity服务器,然后重建客户端VPN会话.
要通过主机名指定服务器,必须先使用name命令配置ZoneLabs服务器名称.
在使用name命令之前,请先使用names命令启用它.
注安全设备的当前版本每次只支持一个IntegrityServer,即使用户接口支持多达五个IntegrityServer的配置也一样.
如果主用服务器失败,可在ASA中配置其他IntegrityServer并重建客户端VPN会话.
hostname指定ZoneLabsIntegrity防火墙服务器的主机名.
有关主机名指导原则,请参阅name命令.
ip-address指定ZoneLabsIntegrity防火墙服务器的IP地址.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
5-47思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章示例以下示例将服务器名称ZL-Integrity-Svr分配到IP地址10.
0.
0.
5,并且使用该名称配置ZoneLabsIntegrity服务器:ciscoasa(config)#namesciscoasa(config)#name10.
0.
0.
5ZL-Integrity-Svrciscoasa(config)#zonelabs-integrityserver-addressZL-Integrity-Svrciscoasa(config)#相关命令命令描述zonelabs-integrityfail-close指定ASA在ASA与ZoneLabsIntegrity防火墙服务器之间的连接失败时关闭VPN客户端连接.
zonelabs-integrityinterface指定ASA与主用ZoneLabsIntegrity服务器通信的接口.
zonelabs-integrityport指定ASA上用于与ZoneLabsIntegrity防火墙服务器通信的端口.
zonelabs-integrityssl-certificate-port指定ZoneLabsIntegrity防火墙服务器在检索SSL证书时要连接的ASA端口.
zonelabs-integrityssl-client-authentication允许ASA使用ZoneLabsIntegrity防火墙服务器SSL证书进行身份验证.
5-48思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章zonelabs-integrityssl-certificate-port要指定ZoneLabsIntegrity防火墙服务器在检索SSL证书时要连接的ASA端口,请在全局配置模式下使用zonelabs-integrityssl-certificate-port命令.
要恢复为默认端口号(80),请使用此命令的no形式且不带参数.
zonelabs-integrityssl-certificate-portcert-port-numbernozonelabs-integrityssl-certificate-port语法说明默认值默认情况下,ASA预期ZoneLabsIntegrity防火墙服务器在端口80上请求SSL证书.
命令模式下表展示可输入命令的模式:命令历史记录使用指南对于ASA与ZoneLabsIntegrity防火墙服务器之间的SSL通信,ASA是SSL服务器,ZoneLabs服务器是SSL客户端.
发起SSL连接时,SSL服务器(ASA)的证书必须由客户端(ZoneLabs服务器)进行身份验证.
zonelabs-integrityssl-certificate-port命令指定ZoneLabs服务器在请求SSL服务器证书时连接的端口.
示例以下示例配置ASA上的端口30接收来自ZoneLabsIntegrity服务器的SSL证书请求:ciscoasa(config)#zonelabs-integrityssl-certificate-port30ciscoasa(config)#相关命令cert-port-number指定ASA预期ZoneLabsIntegrity防火墙服务器在请求SSL证书时要连接的端口号.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
命令描述zonelabs-integrityport指定ASA上用于与ZoneLabsIntegrity防火墙服务器通信的端口.
zonelabs-integrityinterface指定ASA与主用ZoneLabsIntegrity服务器通信的接口.
5-49思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章zonelabs-integrityserver-address将ZoneLabsIntegrity防火墙服务器添加到ASA配置.
zonelabs-integrityssl-client-authentication允许ASA使用ZoneLabsIntegrity防火墙服务器SSL证书进行身份验证.
命令描述5-50思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章zonelabs-integrityssl-client-authentication要启用ASA的ZoneLabsIntegrity防火墙服务器SSL证书身份验证,请在全局配置模式下使用zonelabs-integrityssl-client-authentication命令,并且带enable参数.
要禁用ZoneLabsSSL证书身份验证,请使用disable参数,或者使用此命令的no形式且不带参数.
zonelabs-integrityssl-client-authentication{enable|disable}nozonelabs-integrityssl-client-authentication语法说明默认值默认情况下,禁用ASA的ZoneLabsIntegrity防火墙服务器SSL证书身份验证.
命令模式下表展示可输入命令的模式:命令历史记录使用指南对于ASA与ZoneLabsIntegrity防火墙服务器之间的SSL通信,ASA是SSL服务器,ZoneLabs服务器是SSL客户端.
发起SSL连接时,SSL服务器(ASA)的证书必须由客户端(ZoneLabs服务器)进行身份验证.
但客户端证书的身份验证可选.
可以使用zonelabs-integrityssl-client-authentication命令启用或禁用ASA的ZoneLab服务器(SSL客户端)证书身份验证.
示例以下示例配置ASA对ZoneLabsIntegrity防火墙服务器SSL证书进行身份验证.
ciscoasa(config)#zonelabs-integrityssl-client-authenticationenableciscoasa(config)#相关命令disable指定ZoneLabsIntegrity防火墙服务器的IP地址.
enable指定ASA对ZoneLabsIntegrity防火墙服务器的SSL证书进行身份验证.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是--版本修改7.
2(1)添加了此命令.
命令描述zonelabs-integrityinterface指定ASA与主用ZoneLabsIntegrity服务器通信的接口.
zonelabs-integrityport指定ASA上用于与ZoneLabsIntegrity防火墙服务器通信的端口.
5-51思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章zonelabs-integrityserver-address将ZoneLabsIntegrity防火墙服务器添加到ASA配置.
zonelabs-integrityssl-certificate-port指定ZoneLabsIntegrity防火墙服务器在检索SSL证书时要连接的ASA端口.
命令描述5-52思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章zone-member要将接口添加到流量区域,请在接口配置模式下使用zone-member命令.
要删除接口,可使用此命令的no形式.
zone-membernamenozone-membername语法说明命令默认无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南配置所有接口参数,包括名称、IP地址和安全级别.
添加到区域的第一个接口决定区域的安全级别.
所有其他接口必须具有相同的安全级别.
要更改区域中接口的安全级别,除了一个接口之外,所有其他接口都必须删除,然后更改安全级别,再重新添加接口.
将接口分配到区域时,该接口上的所有连接都会删除.
必须重新建立连接.
如果从区域删除某个接口,以该接口为主接口的连接都会删除.
必须重新建立连接.
如果该接口是当前接口,ASA会将连接移回主接口.
区域路由表也会刷新.
您可以将以下类型的接口添加到区域:物理VLANEtherChannel冗余您不能添加以下类型的接口:管理专用管理访问故障切换或状态链路name标识zone命令设置的区域名称.
命令模式防火墙模式安全情景路由透明一个多个情景系统全局配置是-是是-版本修改9.
3(2)添加了此命令.
5-53思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章集群控制链路EtherChannel或冗余接口中的成员接口接口只能是一个区域的成员.
每个区域最多可包含8个接口.
示例以下示例配置具有4个成员接口的外部区域:zoneoutsideinterfacegigabitethernet0/0zone-memberoutsideinterfacegigabitethernet0/1zone-memberoutsideinterfacegigabitethernet0/2zone-memberoutsideinterfacegigabitethernet0/3zone-memberoutside相关命令命令描述clearconfigurezone清除区域配置.
clearconnzone清除区域连接.
clearlocal-hostzone清除区域主机.
showasptablerouting显示用于调试的加速安全路径表,并显示与每个路由关联的区域.
showasptablezone显示用于调试的加速安全路径表.
showconnlong显示区域的连接信息.
showlocal-hostzone显示区域内本地主机的网络状态.
shownameifzone显示接口名称和区域名称.
showroutezone显示区域接口的路由.
showrunning-configzone显示区域配置.
showzone显示区域ID、情景、安全级别和成员.
zone配置流量区域.
5-54思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第5章第2部分用于ASA服务模块的思科IOS命令章第6-1思科ASA系列命令参考、ASASM的T至Z命令和IOS命令6用于ASASM的思科IOS命令cleardiagnosticsloopback要清除在线诊断测试配置,请在特权EXEC模式下使用cleardiagnosticloopback命令.
cleardiagnosticsloopback语法说明此命令没有任何参数或关键字默认值无默认行为或值.
命令模式特权EXEC使用指南cleardiagnosticsloopback命令用于清除在线诊断测试配置.
示例以下是cleardiagnosticsloopback命令的输出示例:ciscoasa#cleardiagnosticsloopbackPortTestPkts-receivedFailures00001000相关命令命令描述showdiagnosticsloopback显示与PC环回测试、测试运行数、收到的环回数据包数量及检测到的失败次数相关的信息.
6-2思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章firewallautostate要启用自动状态消息,请在全局配置模式下使用firewallautostate命令.
要禁用自动状态,则使用此命令的no形式.
firewallautostatenofirewallautostate语法说明此命令没有任何参数或关键字.
默认值默认情况下,禁用自动状态.
命令模式全局配置使用指南自动状态消息可让ASA快速检测失败或运行的交换机接口.
管理引擎可向ASA发送自动状态消息,说明与ASAVLAN关联的物理接口状态.
例如,当与VLAN关联的所有物理接口关闭时,自动状态消息会告知ASAVLAN已关闭.
此信息可让ASA宣告VLAN已关闭,避免像平常一样需要通过监测接口来确定链路故障端.
自动状态消息大幅缩短了ASA检测链路故障的时间(只需要几毫秒,而没有自动状态支持时则需要长达45秒).
交换机管理引擎在以下情况下会向ASA发送自动状态消息:属于VLAN的最后一个接口关闭.
属于VLAN的第一个接口打开.
示例以下示例启用自动状态消息:Router(config)#firewallautostate相关命令命令描述showfirewallautostate显示自动状态功能的设置.
6-3思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章firewallmodule要向ASA分配防火墙组,请在全局配置模式下输入firewallmodule命令.
要删除防火墙组,则使用此命令的no形式.
firewallmodulemodule_numbervlan-groupfirewall_groupnofirewallmodulemodule_numbervlan-groupfirewall_group语法说明默认值无默认行为或值.
命令模式全局配置使用指南您可以为每个ASASM最多分配16个防火墙VLAN组.
(您可以在思科IOS软件中创建超过16个VLAN组,但每个ASASM只可分配16个组.
)请参阅firewallvlan-group命令以创建一个组.
例如,您可以将所有VLAN分配到一个组;也可以创建内部组和外部组;还可以为每位用户创建一个组.
每个组的VLAN数没有限制,但ASASM只能使用ASASM系统最大限制范围内的VLAN(有关详细信息,请参阅ASASM许可文档).
您不能将同一个VLAN分配到多个防火墙组.
可以将单个防火墙组分配到多个ASASM.
例如,您想要分配到多个ASASM的VLAN可以位于每个ASASM独有的VLAN中的单独组中.
如果在同一交换机机箱内使用ASASM故障切换,请勿将为故障切换和状态通信保留的VLAN分配到交换机端口.
但是,如果在机箱之间使用故障切换,则必须在机箱之间的中继端口中包含VLAN.
如果VLAN在分配到ASASM之前未添加到交换机,VLAN将存储在管理引擎数据库中,并且在添加到交换机时发送到ASASM.
在交换机上分配VLAN之前,您可以在ASASM配置中配置它.
请注意,当交换机将VLAN发送到ASASM时,该VLAN默认在ASASM上管理性打开,而不管您是否在ASASM配置中关闭它们.
这种情况下您需要将其再次关闭.
module_number指定模块编号.
使用showmodule命令查看已安装的模块及其编号.
vlan-groupfirewall_group按照firewallvlan-group命令的定义指定一个或多个组编号.
单一编号(n)范围(n-x)不同的编号或范围用逗号分隔.
例如,输入以下编号:5,7-106-4思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章示例以下示例展示如何创建三个防火墙VLAN组:每个ASA一个,还有一个包含分配到两个ASA的VLAN.
Router(config)#firewallvlan-group5055-57Router(config)#firewallvlan-group5170-85Router(config)#firewallvlan-group52100Router(config)#firewallmodule5vlan-group50,52Router(config)#firewallmodule8vlan-group51,52以下是showfirewallvlan-group命令的输出示例:Router#showfirewallvlan-groupGroupvlans5055-575170-8552100以下是showfirewallmodule命令的输出示例,其中显示所有VLAN组:Router#showfirewallmoduleModuleVlan-groups550,52851,52相关命令命令描述firewallvlan-group将VLAN分配到VLAN组.
showfirewallmodulevlan-group显示VLAN组和分配给它们的VLAN.
showmodule显示所有已安装的模块.
6-5思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章firewallmultiple-vlan-interfaces为了让您将多个SVI添加到ASA,请在全局配置模式下使用firewallmultiple-vlan-interfaces命令.
要禁用此功能,请使用此命令的no形式.
firewallmultiple-vlan-interfacesnofirewallmultiple-vlan-interfaces语法说明此命令没有任何参数或关键字.
默认值默认情况下,不允许多个SVI.
命令模式全局配置使用指南MSFC上定义的VLAN称为交换虚拟接口.
如果将用于SVI的VLAN分配到ASA,则MSFC将在ASA与另一个第3层VLAN之间路由.
出于安全原因,默认情况下MSFC与ASA之间只能存在一个SVI.
例如,如果您使用多个SVI误配置了系统,可能会由于同时将内部和外部VLAN分配到MSFC而意外允许流量通过ASA.
但在某些网络情景中可能需要绕过ASA.
例如,如果在与IP主机相同的以太网网段中有IPX主机,则会需要多个SVI.
由于ASA在路由的防火墙模式下只处理IP流量,而会丢弃其他协议流量,例如IPX(透明防火墙模式可选择性允许非IP流量),您可能希望为IPX流量绕过ASA.
确保使用访问列表配置MSFC,只允许IPX流量通过VLAN.
对于多情景模式下的透明防火墙,您需要使用多个SVI,因为每个情景的外部接口上都需要唯一VLAN.
也可以选择在路由模式下使用多个SVI,这样便无需共享用于外部接口的单一VLAN.
示例以下示例展示典型的多SVI配置:Router(config)#firewallvlan-group5055-57Router(config)#firewallvlan-group5170-85Router(config)#firewallmodule8vlan-group50-51Router(config)#firewallmultiple-vlan-interfacesRouter(config)#interfacevlan55Router(config-if)#ipaddress10.
1.
1.
1255.
255.
255.
0Router(config-if)#noshutdownRouter(config-if)#interfacevlan56Router(config-if)#ipaddress10.
1.
2.
1255.
255.
255.
0Router(config-if)#noshutdownRouter(config-if)#endRouter#以下是showinterface命令的输出示例:Router#showinterfacevlan55Vlan55isup,lineprotocolisupHardwareisEtherSVI,addressis0008.
20de.
45ca(bia0008.
20de.
45ca)Internetaddressis55.
1.
1.
1/24MTU1500bytes,BW1000000Kbit,DLY10usec,reliability255/255,txload1/255,rxload1/2556-6思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章EncapsulationARPA,loopbacknotsetARPtype:ARPA,ARPTimeout04:00:00Lastinputnever,output00:00:08,outputhangneverLastclearingof"showinterface"countersneverInputqueue:0/75/0/0(size/max/drops/flushes);Totaloutputdrops:0Queueingstrategy:fifoOutputqueue:0/40(size/max)5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate0bits/sec,0packets/secL2Switched:ucast:196pkt,13328bytes-mcast:4pkt,256bytesL3inSwitched:ucast:0pkt,0bytes-mcast:0pkt,0bytesmcastL3outSwitched:ucast:0pkt,0bytes0packetsinput,0bytes,0nobufferReceived0broadcasts,0runts,0giants,0throttles0inputerrors,0CRC,0frame,0overrun,0ignored4packetsoutput,256bytes,0underruns0outputerrors,0interfaceresets0outputbufferfailures,0outputbuffersswappedout相关命令命令描述firewallmodule将VLAN组分配到ASA.
firewallvlan-group定义VLAN组.
6-7思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章firewallvlan-group要将VLAN分配到防火墙组,请在全局配置模式输入firewallvlan-group命令.
要删除VLAN,则使用此命令的no形式.
firewall[switch{1|2}]vlan-groupfirewall_groupvlan_rangenofirewall[switch{1|2}]vlan-groupfirewall_groupvlan_range语法说明默认值无默认行为或值.
命令模式全局配置.
使用指南使用firewallmodule命令最多可将16个防火墙VLAN组分配到每个ASASM.
(您可以在思科IOS软件中创建超过16个VLAN组,但每个ASASM只可分配16个组.
)例如,您可以将所有VLAN分配到一个组;也可以创建内部组和外部组;还可以为每位用户创建一个组.
每个组的VLAN数没有限制,但ASASM只能使用ASASM系统最大限制范围内的VLAN(有关详细信息,请参阅ASASM许可文档).
您不能将同一个VLAN分配到多个防火墙组.
可以将单个防火墙组分配到多个ASASM.
例如,您想要分配到多个ASASM的VLAN可以位于每个ASASM独有的VLAN中的单独组中.
使用2-1000和1025-4094的VLANID.
路由端口和WAN端口消耗内部VLAN,因此,1020-1100范围内的VLAN可能已在使用中.
不能使用保留的VLAN.
不能使用VLAN1.
如果在同一交换机机箱内使用ASASM故障切换,请勿将为故障切换和状态通信保留的VLAN分配到交换机端口.
但是,如果在机箱之间使用故障切换,则必须在机箱之间的中继端口中包含VLAN.
firewall_group指定组ID为整数.
vlan_range指定分配到组的VLAN.
vlan_range值可以是通过以下方法之一识别的一个或多个VLAN(2-1000和1025-4094):单一编号(n)范围(n-x)不同的编号或范围用逗号分隔.
例如,输入以下编号:5,7-10,13,45-100注路由端口和WAN端口消耗内部VLAN,因此,1020-1100范围内的VLAN可能已在使用中.
switch{1|2}(可选)对于VSS配置,指定交换机编号.
6-8思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章如果VLAN在分配到ASASM之前未添加到交换机,VLAN将存储在管理引擎数据库中,并且在添加到交换机时发送到ASASM.
在交换机上分配VLAN之前,您可以在ASASM配置中配置它.
请注意,当交换机将VLAN发送到ASASM时,该VLAN默认在ASASM上管理性打开,而不管您是否在ASASM配置中关闭它们.
这种情况下您需要将其再次关闭.
示例以下示例展示如何创建三个防火墙VLAN组:每个ASA一个,还有一个包含分配到两个ASA的VLAN.
Router(config)#firewallvlan-group5055-57Router(config)#firewallvlan-group5170-85Router(config)#firewallvlan-group52100Router(config)#firewallmodule5vlan-group50,52Router(config)#firewallmodule8vlan-group51,52以下是showfirewallvlan-group命令的输出示例:Router#showfirewallvlan-groupGroupvlans5055-575170-8552100以下是showfirewallmodule命令的输出示例,其中显示所有VLAN组:Router#showfirewallmoduleModuleVlan-groups550,52851,52相关命令命令描述firewallmodule将VLAN组分配到ASA.
showfirewallvlan-group显示VLAN组和分配给它们的VLAN.
showmodule显示所有已安装的模块.
6-9思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章service-modulesession要从交换机CLI获得对ASASM的控制台访问,请在特权EXEC模式下输入service-modulesession命令.
service-modulesession[switch{1|2}]slotnumber语法说明默认值无默认行为或值.
命令模式特权EXEC使用指南使用service-modulesession命令,创建ASASM的虚拟控制台连接,此虚拟连接具有实际控制台连接的所有优点和限制.
可以获得以下优势:在重新加载时连接会保持,不会超时.
可以通过ASASM重新加载保持连接并查看启动消息.
如果ASASM无法加载镜像,可以访问ROMMON.
限制包括:连接缓慢(9600波特).
每次只能激活一个控制台连接.
注由于连接的保持性,如果不正常注销ASASM,连接存在时间可能超过预期.
如果其他人希望登录,他们需要先中断现有连接.
有关详细信息,请参阅CLI配置指南.
示例以下示例展示如何获得对插槽3中ASASM的控制台访问:Router#service-modulesessionslot3ciscoasa>相关命令slotnumber指定ASASM的插槽编号.
要查看模块插槽编号,请在交换机提示符下输入showmodule命令.
switch{1|2}(可选)对于VSS配置,指定交换机编号.
命令描述session通过背板Telnet连接ASASM.
6-10思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章session要从交换机CLI通过背板Telnet连接ASASM,请在特权EXEC模式下使用session命令.
session[switch{1|2}]slotnumberprocessor1语法说明默认值无默认行为或值.
命令模式特权EXEC使用指南使用session命令创建到ASASM的Telnet连接.
可以获得以下优势:可以同时拥有多个到ASASM的会话.
Telnet会话是快速连接.
限制包括:Telnet会话在ASASM重新加载时终止,并且可能会超时.
在ASASM完全加载之前无法访问它;不能访问ROMMON.
注其他服务模块支持的sessionslotprocessor0命令在ASASM上不受支持;ASASM没有处理器0.
系统将提示您输入登录密码.
请输入ASASM的登录密码.
默认密码为cisco.
您将进入用户EXEC模式.
示例以下示例通过Telnet连接到处理器1中的ASASM:Router#sessionslotnumberprocessor1ciscoasapasswd:ciscociscoasa>相关命令processor1指定处理器编号,始终为1.
slotnumber指定插槽编号.
要查看模块插槽编号,请在交换机提示符下输入showmodule命令.
switch{1|2}(可选)对于VSS配置,指定交换机编号.
命令描述service-modulesession从交换机CLI获取对ASASM的控制台访问.
6-11思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章showbootdevice要查看默认引导分区,请使用showbootdevice命令.
showbootdevice[mod_num]语法说明默认值默认引导分区是cf:4.
命令模式特权EXEC.
示例以下是showbootdevice命令的输出示例,该命令展示安装在思科IOS软件上的每个ASA的引导分区:Router#showbootdevice[mod:1]:[mod:2]:[mod:3]:[mod:4]:cf:4[mod:5]:cf:4[mod:6]:[mod:7]:cf:4[mod:8]:[mod:9]:相关命令mod_num(可选)指定模块编号.
使用showmodule命令查看已安装的模块及其编号.
命令描述bootdevice(IOS)设置默认引导分区.
showmodule(IOS)显示所有已安装的模块.
6-12思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章showdiagnosticloopback要显示与PC环回测试相关的相关信息,包括测试运行次数、收到的环回数据包数和检测到的失败数,请在特权EXEC模式下使用showdiagnosticsloopback命令.
showdiagnosticsloopback语法说明此命令没有任何参数或关键字默认值无默认行为或值.
命令模式下表展示可输入命令的模式:命令历史记录使用指南showdiagnosticloopback命令提供与PC环回测试相关的信息,包括测试次数、收到的环回数据包数和检测到的失败数.
示例以下是showdiagnosticsloopback命令的输出示例:ciscoasa#showdiagnosticsloopbackPortTestPkts-receivedFailures0447447014474470相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC版本修改12.
2(18)SXF5添加了此命令.
命令描述cleardiagnosticsloopback清除在线诊断测试配置.
firewallautostate启用自动状态功能.
6-13思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章showfirewallautostate要查看自动状态功能的设置,请在特权EXEC模式下使用showfirewallautostate命令.
showfirewallautostate语法说明此命令没有任何参数或关键字.
默认值默认情况下,禁用自动状态.
命令模式下表展示可输入命令的模式:使用指南思科IOS软件中的自动状态消息允许ASA快速检测失败或运行的交换机接口.
交换机管理引擎在以下情况下会向ASA发送自动状态消息:属于VLAN的最后一个接口关闭.
属于VLAN的第一个接口打开.
相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC命令描述cleardiagnosticsloopback清除在线诊断测试配置.
firewallautostate启用自动状态功能.
6-14思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章showfirewallmodule要查看分配到每个ASA的VLAN组,请在特权EXEC模式下输入showfirewallmodule命令.
showfirewall[switch{1|2}]module[module_number]语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:示例以下是showfirewallmodule命令的输出示例,其中显示所有VLAN组:Router#showfirewallmoduleModuleVlan-groups550,52851,52相关命令module_number(可选)指定模块编号.
使用showmodule命令查看已安装的模块及其编号.
switch{1|2}(可选)对于VSS配置,指定交换机编号.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC命令描述firewallmodule将VLAN组分配到ASA.
firewallvlan-group将VLAN分配到VLAN组.
showfirewallmodulevlan-group显示VLAN组和分配给它们的VLAN.
showmodule显示所有已安装的模块.
6-15思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章showfirewallmodulestate要查看每个ASA的状态,请在特权EXEC模式下输入showfirewallmodulestate命令.
showfirewall[switch{1|2}]module[module_number]state语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:示例以下是showfirewallmodulestate命令的输出示例:Router#showfirewallmodule11stateFirewallmodule11:Switchport:EnabledAdministrativeMode:trunkOperationalMode:trunkAdministrativeTrunkingEncapsulation:dot1qOperationalTrunkingEncapsulation:dot1qNegotiationofTrunking:OffAccessModeVLAN:1(default)TrunkingNativeModeVLAN:1(default)TrunkingVLANsEnabled:3,6,7,20-24,40,59,85,87-89,99-115,150,188-191,200,250,501-505,913,972PruningVLANsEnabled:2-1001Vlansallowedontrunk:Vlansallowedandactiveinmanagementdomain:Vlansinspanningtreeforwardingstateandnotpruned:相关命令module_number(可选)指定模块编号.
switch{1|2}(可选)对于VSS配置,指定交换机编号.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC命令描述firewallmodule将VLAN组分配到ASA.
firewallvlan-group将VLAN分配到VLAN组.
showfirewallmodulevlan-group显示VLAN组和分配给它们的VLAN.
showmodule显示所有已安装的模块.
6-16思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章showfirewallmoduletraffic要查看通过每个ASA的流量,请在特权EXEC模式下输入showfirewallmoduletraffic命令.
showfirewall[switch{1|2}]module[module_number]traffic语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:示例以下是showfirewallmoduletraffic命令的输出示例:Router#showfirewallmodule11trafficFirewallmodule11:Specifiedinterfaceisuplineprotocolisup(connected)HardwareisEtherChannel,addressis0014.
1cd5.
bef6(bia0014.
1cd5.
bef6)MTU1500bytes,BW6000000Kbit,DLY10usec,reliability255/255,txload1/255,rxload1/255EncapsulationARPA,loopbacknotsetFull-duplex,1000Mb/s,mediatypeisunknowninputflow-controlison,outputflow-controlisonMembersinthischannel:Gi11/1Gi11/2Gi11/3Gi11/4Gi11/5Gi11/6Lastinputnever,outputnever,outputhangneverLastclearingof"showinterface"countersneverInputqueue:0/2000/0/0(size/max/drops/flushes);Totaloutputdrops:0Queueingstrategy:fifoOutputqueue:0/40(size/max)5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate10000bits/sec,17packets/sec8709packetsinput,845553bytes,0nobufferReceived745broadcasts,0runts,0giants,0throttles0inputerrors,0CRC,0frame,0overrun,0ignored0inputpacketswithdribbleconditiondetected18652077packetsoutput,1480488712bytes,0underruns0outputerrors,0collisions,1interfaceresets0babbles,0latecollision,0deferred0lostcarrier,0nocarrier0outputbufferfailures,0outputbuffersswappedoutmodule_number(可选)指定模块编号.
switch{1|2}(可选)对于VSS配置,指定交换机编号.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC6-17思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章相关命令命令描述firewallmodule将VLAN组分配到ASA.
firewallvlan-group将VLAN分配到VLAN组.
showfirewallmodulevlan-group显示VLAN组和分配给它们的VLAN.
showmodule显示所有已安装的模块.
6-18思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章showfirewallmoduleversion要查看ASA服务模块的软件版本编号,请在特权EXEC模式下输入showfirewallmoduleversion命令.
showfirewall[switch{1|2}]module[module_number]version语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:示例以下是showfirewallmoduleversion命令的输出示例:Router#showfirewallswitch1module2versionASAServiceModule2:SwVersion:100.
7(8)19相关命令module_number(可选)指定模块编号.
switch{1|2}(可选)对于VSS配置,指定交换机编号.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC是是是是是命令描述firewallmodule将VLAN组分配到ASA.
firewallvlan-group创建一组VLAN.
showmodule显示所有已安装的模块.
6-19思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章showfirewallmodulevlan-group要查看可分配到ASA的VLAN组,请在特权EXEC模式下输入showfirewallmodulevlan-group命令.
showfirewall[switch{1|2}]module[module_number]vlan-group[firewall_group]语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:示例以下是showfirewallmodulevlan-group命令的输出示例:Router#showfirewallmodulevlan-groupGroupvlans5055-575170-8552100相关命令firewall_group(可选)指定组ID.
module_number(可选)指定模块编号.
switch{1|2}(可选)对于VSS配置,指定交换机编号.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC命令描述firewallmodule将VLAN组分配到ASA.
firewallvlan-group创建一组VLAN.
showmodule显示所有已安装的模块.
6-20思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章showfirewallmultiple-vlan-interfaces要为ASASM显示多个防火墙VLAN接口的状态,请在特权EXEC模式下输入showfirewallmultiple-vlan-interfaces命令.
showfirewallmultiple-vlan-interfaces语法说明此命令没有任何参数或关键字.
默认值无默认行为或值.
命令模式下表展示可输入命令的模式:示例以下是showfirewallmultiple-vlan-interfaces命令的输出示例:Router#showfirewallmultiple-vlan-interfacesMultiplefirewallvlaninterfacesfeatureisenabled相关命令命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC命令描述firewallmodule将VLAN组分配到ASA.
firewallvlan-group创建一组VLAN.
showmodule显示所有已安装的模块.
6-21思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章showmodule为检查交换机是否确认ASASM并使其上线,请在特权EXEC模式下使用showmodule命令.
showmodule[switch{1|2}][mod-num|all]语法说明默认值无默认行为或值.
命令模式下表展示可输入命令的模式:示例以下是showmodule命令的输出示例:Router#showmoduleModPortsCardTypeModelSerialNo.
23ASAServiceModuleWS-SVC-ASA-SM1SAD143502E843ASAServiceModuleWS-SVC-ASA-SM1SAD135101Z955SupervisorEngine72010GE(Active)VS-S720-10GSAL12426KB1616CEF72016port10GEWS-X6716-10GESAL1442WZD1ModMACaddressesHwFwSwStatus20022.
bdd4.
016fto0022.
bdd4.
017e0.
20112.
2(201008012.
2(2010121Ok40022.
bdd3.
f64eto0022.
bdd3.
f6550.
10912.
2(201008012.
2(2010121PwrDown50019.
e8bb.
7b0cto0019.
e8bb.
7b132.
08.
5(2)12.
2(2010121Ok6f866.
f220.
5760tof866.
f220.
576f1.
012.
2(18r)S112.
2(2010121OkModSub-ModuleModelSerialHwStatus2/0ASAApplicationProcessorSVC-APP-PROC-1SAD1436015D0.
202Other4/0ASAApplicationProcessorSVC-APP-INT-1SAD141002AK0.
106PwrDown5PolicyFeatureCard3VS-F6K-PFC3CSAL12437BM21.
0Ok5MSFC3DaughterboardVS-F6K-MSFC3SAL12426DE31.
0Ok6DistributedForwardingCardWS-F6700-DFC3CSAL1443XRDC1.
4OkBasePID:ModModelSerialNo.
2WS-SVC-APP-HW-1SAD143502E84TRIFECTASAD135101Z9all(可选)指定所有模块.
mod_num(可选)指定模块编号.
switch{1|2}(可选)对于VSS配置,指定交换机编号.
命令模式防火墙模式安全情景路由透明一个多个情景系统特权EXEC6-22思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第6章ModOnlineDiagStatus2Pass2/0NotApplicable4NotApplicable4/0NotApplicable5Pass6Pass相关命令命令描述firewallmodule将VLAN组分配到ASA.
firewallvlan-group创建一组VLAN.
第3部分参考章第7-1思科ASA系列命令参考、ASASM的T至Z命令和IOS命令7使用命令行界面本章介绍如何在ASA中使用CLI,包括以下部分:防火墙模式和安全情景模式,第7-1页命令模式和提示符,第7-2页语法格式,第7-3页缩写命令,第7-3页命令行编辑,第7-3页命令补全,第7-3页命令帮助,第7-4页查看运行配置,第7-4页过滤show和more命令输出,第7-4页重定向和附加show命令输出,第7-5页获取show命令输出的行数,第7-6页命令输出分页,第7-6页添加注释,第7-7页文本配置文件,第7-7页支持的字符集,第7-8页注CLI使用类似于思科IOSCLI的语法和其他约定,但是ASA操作系统不是思科IOS软件版本.
请勿假定思科IOSCLI命令适用于ASA或在其之上具有相同功能.
防火墙模式和安全情景模式ASA在以下模式的组合中运行:透明防火墙或路由防火墙模式防火墙模式确定ASA是作为第2层还是第3层防火墙运行.
多情景模式或单情景模式安全情景模式确定ASA是作为单个设备还是作为多个安全情景(作用类似虚拟设备)运行.
有些命令仅在特定模式下可用.
7-2思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第7章命令模式和提示符命令模式和提示符ASACLI包含各种命令模式.
有些命令只能在特定模式下输入.
例如,要输入显示敏感信息的命令,您需要输入密码并进入具有更多特权的模式.
然后,为确保不会意外输入配置更改,必须进入配置模式.
所有较低的命令均可在较高模式下输入.
例如,可以在全局配置模式下输入特权EXEC命令.
注各种类型的提示全部是默认提示,并且配置后可能会不同.
当处于系统配置模式或单情景模式时,提示以主机名开头:ciscoasa列显提示字符串时,系统会解析提示配置并按照设置prompt命令的顺序列显已配置的关键字值.
关键字参数可以是以下任意项并且可采用任意顺序:主机、域、情景、优先级、状态.
asa(config)#prompthostnamecontextprioritystate如果您在某一情景中,则提示符以主机名开头,后跟情景名称:ciscoasa/context提示根据访问模式而异:用户执行模式通过用户EXEC模式可查看最低ASA设置.
首次访问ASA时,用户EXEC模式提示显示如下:ciscoasa>ciscoasa/context>特权执行模式通过特权EXEC模式可查看特权级别内的所有当前设置.
任何用户EXEC模式命令在特权EXEC模式下都将适用.
在用户EXEC模式下输入enable命令(需要密码)可启动特权EXEC模式.
提示包含数字符号(#):ciscoasa#ciscoasa/context#全局配置模式通过全局配置模式可更改ASA配置.
所有用户EXEC、特权EXEC和全局配置命令在此模式下均可用.
在特权EXEC模式下输入configureterminal命令可启动全局配置模式.
提示将更改为以下形式:ciscoasa(config)#ciscoasa/context(config)#命令特定配置模式从全局配置模式下,某些命令可进入命令特定配置模式.
所有用户EXEC、特权EXEC、全局配置和命令特定配置命令在此模式下均可用.
例如,interface命令会进入接口配置模式.
提示将更改为以下形式:ciscoasa(config-if)#ciscoasa/context(config-if)#7-3思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第7章语法格式语法格式命令语法说明使用表7-1中列出的约定.
缩写命令您可以将大多数命令缩写为最少的命令独有字符;例如,您可以输入wrt(而不是输入完整命令writeterminal)查看配置,也可以输入en启动特权模式以及输入conft启动配置模式.
此外,还可以输入0以表示0.
0.
0.
0.
命令行编辑ASA使用与思科IOS软件相同的命令行编辑约定.
您可以使用showhistory命令查看所有以前输入的命令,或者使用向上箭头或^p命令逐个查看以前输入的命令.
检查以前输入的命令后,您可以使用向下箭头或^n命令在列表中前移.
到达想要重新使用的命令后,您可以编辑该命令或按Enter键启动该命令.
您也可以使用^w删除光标左侧的字词,或使用^u删除该行.
ASA在一条命令中最多允许512个字符;额外字符会被忽略.
命令补全要在输入部分字符串后补全命令或关键字,请按Tab键.
仅当部分字符串仅与一个命令或关键字匹配时,ASA才会补全命令或关键字.
例如,如果输入s并按Tab键,则ASA不会补全命令,因为它与多个命令匹配.
但是,如果输入dis,则Tab键会补全disable命令.
表7-1语法约定约定描述粗体粗体文本指示按字面显示输入的命令和关键字.
斜体斜体文本指示由您提供值的参数.
[x]方括号中包含可选元素(关键字或参数).
|竖线指示可选或必需的关键字或参数集中的选项.
[x|y]将以竖线分隔的关键字或参数括起来的方括号指示可选选项.
{x|y}将以竖线分隔的关键字或参数括起来的大括号指示必需选项.
[x{y|z}]方括号或大括号的嵌套集合指示可选或必需元素中的可选或必需选项.
方括号中的大括号和竖线指示可选元素中的必需选项.
7-4思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第7章命令帮助命令帮助通过输入以下命令,可从命令行获取帮助信息:helpcommand_name显示特定命令的帮助.
command_name显示可用参数列表.
string(无空格)列出以字符串开头的可能命令.
和+列出所有可用命令.
如果输入,则ASA仅显示可用于当前模式的命令.
要显示所有可用命令,包括可用于较低模式的命令,请输入+.
注如果要在命令字符串中包含问号(),则必须在键入问号之前按Ctrl-V,以便避免意外调用CLI帮助.
查看运行配置要查看运行配置,请使用以下命令之一.
要过滤命令输出,请参阅"过滤show和more命令输出"一节,第7-4页.
过滤show和more命令输出您可以将竖线(|)与任何show命令配合使用,并包含过滤器选项和筛选表达式.
与思科IOS软件类似,通过将各输出行与正则表达式匹配来执行筛选.
通过选择不同过滤器选项,可以包含或排除与表达式匹配的所有输出.
您还可以显示以与表达式匹配的行开头的所有输出.
将筛选选项与show命令配合使用的语法如下:ciscoasa#showcommand|{include|exclude|begin|grep[-v]}regexp或ciscoasa#moresystem:running-config|{include|exclude|begin|grep[-v]}regexp命令目的showrunning-config[all][command]显示运行配置.
如果指定all,则还会显示所有默认设置.
如果指定command,则输出仅包含相关命令.
注许多关键字都显示为*****.
要以明文或加密形式查看密码(如果您启用了主口令),请使用下面的more命令.
moresystem:running-config显示运行配置.
如果您启用了主口令,则密码将以明文或加密形式显示.
7-5思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第7章重定向和附加show命令输出注more命令可以查看任何文件(而不仅仅是运行配置)的内容;有关详细信息,请参阅命令参考.
在此命令字符串中,第一根竖线(|)是运算符,并且必须包含在命令中.
此运算符将show命令的输出定向到过滤器.
在语法图中,其他竖线(|)指示备用选项,并且不是命令的一部分.
include选项包含与正则表达式匹配的所有输出行.
不带-v的grep选项具有相同的效果.
exclude选项排除匹配正则表达式的所有输出行.
带-v的grep选项具有相同的效果.
begin选项显示以与正则表达式匹配的行开头的所有输出行.
将regexp替换为任何思科IOS正则表达式.
正则表达式未括在引号或双引号中,所以请注意后面的空格,它们也会被视为正则表达式的一部分.
创建正则表达式时,可以使用要与之匹配的任何字母或数字.
此外,某些关键字字符(称为元字符)在正则表达式中使用时具有特殊含义.
使用Ctrl+V可转义CLI中的所有特殊字符,如问号()或制表符.
例如,键入d[Ctrl+V]g以在配置中输入dg.
重定向和附加show命令输出您可以将show命令的输出内容重定向到设备上或远程位置的文件,而不是将其显示在屏幕上.
当重定向到设备上的文件时,也可以将该命令输出附加到文件.
Showcommand|{append|redirect}urlappendurl将输出内容添加到现有文件.
使用以下方法之一指定文件:–disk0:/[[path/]filename]orflash:/[[path/]filename]-flash和disk0指示内部闪存.
您可以使用任一选项.
–disk1:/[[path/]filename]-指示外部内存.
redirecturl将创建指定的文件.
如果文件已存在,则覆盖它.
–disk0:/[[path/]filename]orflash:/[[path/]filename]-flash和disk0指示内部闪存.
您可以使用任一选项.
–disk1:/[[path/]filename]-指示外部内存.
–Smb:/[[path/]filename]/[[path/]filename]-指示服务器消息阻止,UNIX服务器本地文件系统.
–Ftp://[[user[:password]@]server[:port]/[path/]filename[;type=xx]][[user[:password]@]server[:port]/[path/]filename[;type=xx]]-指示FTP服务器.
type可以是下列关键字之一:ap(ASCII被动模式)、an(ASCII普通模式)、ip(默认-二进制被动模式)、in(二进制普通模式).
–Scp://[[user[:password]@]server[/path]/filename[;int=interface_name]][[user[:password]@]server[/path]/filename[;int=interface_name]]-指示SCP服务器.
;int=interface选项会绕过路由查找,并始终使用指定接口来访问安全复制(SCP)服务器.
–Tftp://[[user[:password]@]server[:port]/[path/]filename[;int=interface_name]][[user[:password]@]server[:port]/[path/]filename[;int=interface_name]]-指示TFTP服务器.
7-6思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第7章获取show命令输出的行数获取show命令输出的行数您可能不想查看实际的show命令输出,而只想查看输出内容的行数,或查看与正则表达式匹配的行数.
然后,您可以轻松将此行数与您上次输入命令时的行数进行比较.
当进行配置更改时,可将此当作一项快速检查.
可以使用count关键字,或在grep关键字中添加-c.
showcommand|count[regular_expression]showcommand|grep-c[regular_expression]将regular_expression替换为任何思科IOS正则表达式.
正则表达式未括在引号或双引号中,所以请注意后面的空格,它们也会被视为正则表达式的一部分.
正则表达式是可选的;如果您不包含正则表达式,则计数将返回未经过滤的输出中的总行数.
创建正则表达式时,可以使用要与之匹配的任何字母或数字.
此外,某些关键字字符(称为元字符)在正则表达式中使用时具有特殊含义.
使用Ctrl+V可转义CLI中的所有特殊字符,如问号()或制表符.
例如,键入d[Ctrl+V]g以在配置中输入dg.
例如,要在showrunning-config输出中显示所有行的总数:ciscoasa#showrunning-config|countNumberoflineswhichmatchregexp=271以下示例显示了如何快速检查有多少个接口在工作.
第一个示例显示如何使用grep关键字与正则表达式仅过滤显示为正常运行状态的行.
下一个示例添加了-c选项,仅会显示计数而非实际输出的行.
ciscoasa#showinterface|grepisupInterfaceGigabitEthernet0/0"outside",isup,lineprotocolisupInterfaceGigabitEthernet0/1"inside",isup,lineprotocolisupciscoasa#showinterface|grep-cisupNumberoflineswhichmatchregexp=2命令输出分页对于如help或、show、showxlate之类的命令或者提供长列表的其他命令,您可以决定是让信息显示一屏后暂停,还是让命令运行到完成为止.
通过pager命令,您可以选择在More提示出现之前要显示的行数.
启用分页后,会出现以下提示:More提示符使用与UNIXmore命令类似的语法:要查看另一屏信息,请按空格键.
要查看下一行,请按Enter键.
要返回到命令行,请按q键.
7-7思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第7章添加注释添加注释您可以在某一行之前前置冒号(:)来创建注释.
但是,该注释仅出现在命令历史记录缓冲区中,而不出现在配置中.
因此,您可以使用showhistory命令或通过按箭头键检索以前的命令来查看注释,但是由于注释不在配置中,writeterminal命令不会显示注释.
文本配置文件本节介绍如何设置可下载至ASA的文本配置文件的格式,包括以下主题:命令如何与文本文件中的行相对应,第7-7页命令特定配置模式命令,第7-7页自动文本条目,第7-7页行顺序,第7-8页文本配置中不包括的命令,第7-8页密码,第7-8页多个安全情景文件,第7-8页命令如何与文本文件中的行相对应文本配置文件包含与本指南中所述命令对应的行.
在示例中,命令之前前置有CLI提示.
以下示例中的提示为"ciscoasa(config)#":ciscoasa(config)#contexta在系统未提示输出命令的文本配置文件中,会因此省略提示:contexta命令特定配置模式命令命令特定配置模式命令在命令行中输入时缩进显示在主命令下.
只要这些命令紧跟在主命令后显示,便无需缩进文本行.
例如,以下未缩进文本的读取与缩进文本相同:interfacegigabitethernet0/0nameifinsideinterfacegigabitethernet0/1nameifoutside自动文本条目将配置下载到ASA时,它会自动插入一些行.
例如,ASA为默认设置或为配置的修改时间插入行.
创建文本文件时,无需输入这些自动条目.
7-8思科ASA系列命令参考、ASASM的T至Z命令和IOS命令第7章支持的字符集行顺序大致上,命令可以依照文件中的任何顺序.
但是,某些行(例如ACE)按其显示顺序进行处理,并且顺序可影响访问列表的功能.
其他命令也可能具有顺序要求.
例如,您必须先为接口输入nameif命令,因为许多后续命令都使用该接口的名称.
此外,命令特定配置模式下的命令必须紧跟在主命令之后.
文本配置中不包括的命令有些命令不会在配置中插入行.
例如,showrunning-config之类的运行时命令在文本文件中没有对应的行.
密码登录、启用和用户密码存储在配置中之前会自动加密.
例如,密码"cisco"的加密形式可能类似于jMorNbK0514fadBh.
您可以将配置密码以其加密形式复制到另一个ASA,但是无法自行解密密码.
如果您在文本文件中输入了未加密的密码,则ASA不会在您将配置复制到ASA时将其自动加密.
仅当使用copyrunning-configstartup-config或writememory命令从命令行保存运行配置时,ASA才会将其加密.
多个安全情景文件对于多个安全情景,整个配置由以下多个部分组成:安全情景配置系统配置,用于确定ASA的基本设置,包括情景列表管理情景,用于为系统配置提供网络接口系统配置不包含其自己的任何接口或网络设置.
相反,当系统需要访问网络资源(例如从服务器下载情景)时,它会使用指定为管理情景的情景.
每个情景都类似于一个单情景模式配置.
系统配置与情景配置的不同之处在于,系统配置仅包含系统命令(例如所有情景的列表),而其他典型命令不存在(例如许多接口参数).
支持的字符集ASACLI当前仅支持UTF-8编码.
UTF-8是Unicode符号的特定编码方案,并已设计为与符号的ASCII子集兼容.
ASCII字符在UTF-8中表示为单字节字符.
所有其他字符在UTF-8中均表示为多字节符号.
完全支持ASCII可打印字符(0x20到0x7e).
可打印的ASCII字符与ISO8859-1相同.
UTF-8是ISO8859-1的超集,因此前256个字符(0-255)与ISO8859-1相同.
ASACLI最多支持255个ISO8859-1字符(多字节字符).