思科 ASA 系列命令参考,A 至 H 命令 更新日期:2014 年 11 月 5 日 Cisco Systems, Inc. www.cisco.com 思科在全球设有 200 多个办事处。 地址、电话号码和传真号码 在思科网站上列出,网址为: www.cisco.
本手册中有关产品的规格和信息如有更改,恕不另行通知。我们相信本手册中的所有声明、信息和建议均准确可靠,但不提供任何明示或暗示的担保。用户应承 担使用产品的全部责任。 产品配套的软件许可和有限担保在随产品一起提供的信息包中提供,且构成本文的一部分。如果您找不到软件许可或有限担保,请与思科代表联系以索取副本。 思科所采用的 TCP 报头压缩是加州大学伯克莱分校 (UCB) 开发的一个程序的改版,是 UCB 的 UNIX 操作系统公共域版本的一部分。版权所有。© 1981,加利福 尼亚州大学董事。 无论在该手册中是否作出了其他担保,来自这些供应商的所有文档文件和软件都按“原样”提供且仍有可能存在缺陷。思科和上述供应商不承诺所有明示或暗示 的担保,包括(但不限于)对特定用途的适销性、适用性、非侵权性以及因交易、使用或商业惯例所衍生的担保。 在任何情况下,对于任何间接、特殊、连带发生或偶发的损坏,包括(但不限于)因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏,思科及其 供应商概不负责,即使思科及其供应商已获知此类损坏的可能性也不例外。 思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商
第 1 部分 A 至 B 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令 思科 ASA 系列命令参考,A 至 H 命令 1-1
第1章 aaa accounting command 至 accounting-server-group 命令 aaa accounting command aaa accounting command 要在 CLI 上输入除 show 命令外的任何命令时将记账消息发送给 TACACS+ 记账服务器,请在全 局配置模式下使用 aaa accounting command 命令。要禁用对命令记账的支持,请使用此命令的 no 形式。 aaa accounting command [privilege level] tacacs+-server-tag no aaa accounting command [privilege level] tacacs+-server-tag 语法说明 privilege level 如果您使用 privilege 命令定制命令特权级别,您可以通过指定最小特权 级别来限制 ASA 包括的命令。ASA 不包括低于最小特权级别的命令。 注 tacacs+-server-tag 如果输入弃用的命令并启用 privilege 关键字,则 ASA 不会为弃用的 命令发送记账信
第1章 aaa accounting command 至 accounting-server-group 命令 aaa accounting command 相关命令 命令 aaa accounting 说明 clear configure aaa 删除或重置配置的 AAA 记账值。 show running-config aaa 显示 AAA 配置。 启用或禁用 TACACS+ 或 RADIUS 用户记账(在 aaa-server 命令指 定的服务器上)。 思科 ASA 系列命令参考,A 至 H 命令 1-3
第1章 aaa accounting command 至 accounting-server-group 命令 aaa accounting console aaa accounting console 要启用对用于管理访问的 AAA 记账的支持,请在全局配置模式下使用 aaa accounting console 命 令。要禁用对用于管理访问的 AAA 记账的支持,请使用此命令的 no 形式。 aaa accounting {serial | telnet | ssh | enable} console server-tag no aaa accounting {serial | telnet | ssh | enable} console server-tag 语法说明 enable 启用记账记录的生成以标记条目并从特权 EXEC 模式退出。 serial 启用记账记录的生成以标记通过串行控制台接口建立的管理会话的建立 和终止。 server-tag 指定向其发送记账记录的服务器组(由 aaa-server protocol 命令定义)。 有效的服务器组协议是 RADIUS 和 TAC
第1章 aaa accounting command 至 accounting-server-group 命令 aaa accounting console 相关命令 命令 aaa accounting match 说明 启用或禁用 TACACS+ 或 RADIUS 用户记账(在 aaa-server 命令指 定的服务器上)。 aaa accounting command 指定记录管理员 / 用户输入的具有指定特权级别或更高级别的每个 命令或一组命令,并将其发送给记账服务器或服务器组。 clear configure aaa 删除或重置配置的 AAA 记账值。 show running-config aaa 显示 AAA 配置。 思科 ASA 系列命令参考,A 至 H 命令 1-5
第1章 aaa accounting command 至 accounting-server-group 命令 aaa accounting include, exclude aaa accounting include, exclude 要启用对通过 ASA 的 TCP 或 UDP 连接的记账,请在全局配置模式下使用 aaa accounting include 命令。要将地址从记账中排除,请使用 aaa accounting exclude 命令。要禁用记账,请使用此命 令的 no 形式。 aaa accounting {include | exclude} service interface_name inside_ip inside_mask [outside_ip outside_mask] server_tag no aaa accounting {include | exclude} service interface_name inside_ip inside_mask [outside_ip outside_mask] server_tag 语法说明 默认值 exclude 将
第1章 aaa accounting command 至 accounting-server-group 命令 aaa accounting include, exclude 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 aaa accounting match aaa accounting match 要启用对通过 ASA 的 TCP 和 UDP 连接的记账,请在全局配置模式下使用 aaa accounting match 命令。要禁用对流量的记账,请使用此命令的 no 形式。 aaa accounting match acl_name interface_name server_tag no aaa accounting match acl_name interface_name server_tag 语法说明 acl_name 通过与 ACL 名称匹配来指定需要记账的流量。对 ACL 中的 permit 条 目记账,但对 deny 条目免予记账。仅对 TCP 和 UDP 流量支持此命 令。如果输入此命令,且它引用允许其他协议的 ACL,则会显示警告 消息。 interface_name 指定用户需要从中记账的接口名称。 server_tag 指定 aaa-server 命令定义的 AAA 服
第1章 aaa accounting command 至 accounting-server-group 命令 aaa accounting match 示例 以下示例对与特定 ACL acl2 匹配的流量启用记账: ciscoasa(config)# access-list acl12 extended permit tcp any any ciscoasa(config)# aaa accounting match acl2 outside radserver1 相关命令 命令 aaa accounting include, exclude 通过在命令中直接指定 IP 地址来启用记账。 说明 access-list extended 创建 ACL。 clear configure aaa 删除 AAA 配置。 show running-config aaa 显示 AAA 配置。 思科 ASA 系列命令参考,A 至 H 命令 1-9
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication console aaa authentication console 要对通过串行、SSH、HTTPS (ASDM) 或 Telnet 连接访问 ASA CLI 的用户或使用 enable 命令进 入特权 EXEC 模式的用户进行身份验证,请在全局配置模式下使用 aaa authentication console 命 令。要禁用身份验证,请使用此命令的 no 形式。 aaa authentication {serial | enable | telnet | ssh | http} console {LOCAL | server_group [LOCAL]} no aaa authentication {serial | enable | telnet | ssh | http} console {LOCAL | server_group [LOCAL]} 语法说明 enable 对使用 enable 命令进入特权 EXEC 模式的用户进行身份验证
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication console 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication console 允许的登录尝试次数 如下表所示,对经过身份验证访问 ASA CLI 的提示的操作有所不同,具体取决于您使用 aaa authentication console 命令选择的选项。 选项 允许的登录尝试次数 enable 三次尝试失败后会拒绝访问 serial 可持续尝试,直到成功为止 ssh 三次尝试失败后会拒绝访问 telnet 可持续尝试,直到成功为止 http 可持续尝试,直到成功为止 限制用户 CLI 和 ASDM 访问 您可以使用 aaa authorization exec 命令配置管理授权以限制本地用户、RADIUS、TACACS+ 或 LDAP 用户(如果将 LDAP 属性映射到 RADIUS 属性)访问 CLI、ASDM 或 enable 命令。 注 管理授权中不包括串行访问,因此,如果配置 aaa authentication serial console,则进行身份验证 的任何用户都可以访
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication console 示例 以下示例展示使用 aaa authentication console 命令与带有服务器标记 “radius” 的 RADIUS 服务 器进行 Telnet 连接。 ciscoasa(config)# aaa authentication telnet console radius 以下示例识别用于启用身份验证的服务器组 “AuthIn”: ciscoasa(config)# aaa authentication enable console AuthIn 以下示例展示当 “svrgrp1” 组中的所有服务器都失败时,aaa authentication console 命令与回退 至 LOCAL 用户数据库的结合使用: ciscoasa(config)# aaa-server svrgrp1 protocol tacacs ciscoasa(config)# aaa authentication ssh console svrg
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication include, exclude aaa authentication include, exclude 要启用对通过 ASA 的连接的身份验证,请在全局配置模式下使用 aaa authentication include 命 令。要禁用身份验证,请使用此命令的 no 形式。要将地址从身份验证中排除,请使用 aaa authentication exclude 命令。要不将地址从身份验证中排除,请使用此命令的 no 形式。 aaa authentication {include | exclude} service interface_name inside_ip inside_mask [outside_ip outside_mask] {server_tag | LOCAL} no aaa authentication {include | exclude} service interface_name inside_ip inside_mask [o
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication include, exclude 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication include, exclude ASA 身份验证提示 对于 Telnet 和 FTP,ASA 生成身份验证提示。 对于 HTTP,ASA 默认情况下使用基本 HTTP 身份验证,并提供身份验证提示。您可以选择将 ASA 配置为将用户重定向到他们可以输入自己的用户名和密码的内部网页(使用 aaa authentication listener 命令配置)。 对于 HTTPS,ASA 生成定制登录屏幕。您可以选择将 ASA 配置为将用户重定向到他们可以输入 自己的用户名和密码的内部网页(使用 aaa authentication listener 命令配置)。 重定向是在基本方法上进行的改进,因为它提供进行身份验证时的改进用户体验,以及在 Easy VPN 和防火墙模式下对 HTTP 和 HTTPS 的相同用户体验。它还支持直接通过 ASA 进行身份验证。 在下列情况下,您可能希望继续使用基本 HTTP 身份验证:不想 ASA 打开侦听端口;在路由器上 使
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication include, exclude 如果本地端口与端口 80 不同,如以下示例中所示: static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 111 netmask 255.255.255.255 用户将无法看到身份验证页面。相反,ASA 将一条错误消息发送给 Web 浏览器,指示在使用请 求的服务前必须对用户进行身份验证。 直接通过 ASA 进行身份验证 如果不想允许 HTTP、HTTPS、Telnet 或 FTP 通过 ASA,但要对其他类型的流量进行身份验证, 则您可以通过配置 aaa authentication listener 命令来使用 HTTP 或 HTTPS 直接通过 ASA 进行身 份验证。 当为接口启用 AAA 时,您可以直接通过位于以下 URL 的 ASA 进行身份验证: http://interface_ip[:port]/netaccess/connstatus.
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication include, exclude 相关命令 命令 aaa authentication console 为管理访问启用身份验证。 aaa authentication match 为通过流量启用用户身份验证。 aaa authentication secure-http-client 提供在允许 HTTP 请求穿越 ASA 前向 ASA 进行用户身份验证的安全 方法。 aaa-server 配置与组相关的服务器属性。 aaa-server host 配置与主机相关的属性。 思科 ASA 系列命令参考,A 至 H 命令 1-18 说明
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication listener aaa authentication listener 要启用 HTTP(S) 侦听端口以对网络用户进行身份验证,请在全局配置模式下使用 aaa authentication listener 命令。在启用侦听端口时,ASA 提供用于直接连接和通过流量(可选)的 身份验证页面。要禁用侦听程序,请使用此命令的 no 形式。 aaa authentication listener http[s] interface_name [port portnum] [redirect] no aaa authentication listener http[s] interface_name [port portnum] [redirect] 语法说明 默认值 http[s] 指定要侦听的协议,即 HTTP 或 HTTPS。分别为每个协议输入此命令。 interface_name 指定要启用侦听程序的接口。 port portnum 指定
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication listener 在下列情况下,您可能希望继续使用基本 HTTP 身份验证:不想 ASA 打开侦听端口;在路由器上 使用 NAT,且不想为 ASA 提供的网页创建转换规则;基本 HTTP 身份验证更适用于您的网络。 例如,非浏览器应用(例如,当将 URL 嵌入到邮件中时)可能更适合基本身份验证。 如果输入不带 redirect 选项的 aaa authentication listener 命令,则仅启用通过 ASA 的直接身份验 证,同时允许通过流量使用基本 HTTP 身份验证。redirect 选项同时启用直接身份验证和通过流 量身份验证。当要对不支持身份验证质询的流量类型进行身份验证时,直接身份验证是有用的; 您可以在使用任何其他服务前直接通过 ASA 对每个用户进行身份验证。 注 如果启用 redirect 选项,则您无法也为用于转换接口 IP 地址的同一接口和用于侦听程序的同一端 口配置静态 PAT ; NAT 会成功,但身份验证会失败。例如,
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication match aaa authentication match 要启用对通过 ASA 的连接的身份验证,请在全局配置模式下使用 aaa authentication match 命 令。要禁用身份验证,请使用此命令的 no 形式。 aaa authentication match acl_name interface_name {server_tag | LOCAL} user-identity no aaa authentication match acl_name interface_name {server_tag | LOCAL} user-identity 语法说明 acl_name 指定扩展的 ACL 名称。 interface_name 指定从中对用户进行身份验证的接口名称。 LOCAL 指定本地用户数据库。 server_tag 指定 aaa-server 命令定义的 AAA 服务器组标记。 user-identity 指
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication match 接收身份验证质询所需的应用 虽然您可以将 ASA 配置为需要针对对任何协议或服务的网络访问进行身份验证,但用户可以直 接使用 HTTP、HTTPS、Telnet 或仅使用 FTP 进行身份验证。用户必须首先使用上述服务之一进 行身份验证,ASA 才允许其他需要身份验证的流量。 ASA 支持 AAA 的身份验证端口是固定的: • 端口 21 用于 FTP • 端口 23 用于 Telnet • 端口 80 用于 HTTP • 端口 443 用于 HTTPS(需要 aaa authentication listener 命令) ASA 身份验证提示 对于 Telnet 和 FTP,ASA 生成身份验证提示。 对于 HTTP,ASA 默认情况下使用基本 HTTP 身份验证,并提供身份验证提示。您可以选择将 ASA 配置为将用户重定向到他们可以输入自己的用户名和密码的内部网页(使用 aaa authentication listen
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication match 静态 PAT 和 HTTP 对于 HTTP 身份验证,ASA 在配置静态 PAT 时检查实际端口。如果它检测到以实际端口 80 为目 标的流量,则不论映射的端口如何,ASA 都会拦截 HTTP 连接并实施身份验证。 例如,假设将外部 TCP 端口 889 转换为端口 80 (www) 且任何相关的 ACL 均允许流量: static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 www netmask 255.255.255.255 当用户尝试访问端口 889 上的 10.48.66.155 时,ASA 拦截流量并实施 HTTP 身份验证。在 ASA 允 许 HTTP 连接完成前,用户会在其 Web 浏览器中看到 HTTP 身份验证页面。 如果本地端口与端口 80 不同,如以下示例中所示: static (inside,outside) tcp 10.48.66.
第1章 aaa authentication match 相关命令 命令 aaa authorization 说明 启用用户授权服务。 access-list extended 创建 ACL。 clear configure aaa 删除配置的 AAA 配置。 show running-config 显示 AAA 配置。 aaa 思科 ASA 系列命令参考,A 至 H 命令 1-24 aaa accounting command 至 accounting-server-group 命令
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication secure-http-client aaa authentication secure-http-client 要启用 SSL 并保护 HTTP 客户端与 ASA 之间用户名和密码交换的安全,请在全局配置模式下使 用 aaa authentication secure-http-client 命令。要禁用此功能,请使用此命令的 no 形式。 aaa authentication secure-http-client no aaa authentication secure-http-client 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authentication secure-http-client 示例 以下示例配置要对其安全地进行身份验证的 HTTP 流量: ciscoasa(config)# aaa authentication secure-http-client ciscoasa(config)# aaa authentication include http... 其中 “...” 代表您的 authen_service if_name local_ip local_mask [foreign_ip foreign_mask] server_tag 的值。 以下命令配置要对其安全地进行身份验证的 HTTPS 流量: ciscoasa (config)# aaa authentication include https... 其中 “...
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authorization command aaa authorization command 要启用命令授权,请在全局配置模式下使用 aaa authorization command 命令。要禁用命令授 权,请使用此命令的 no 形式。 aaa authorization command {LOCAL | tacacs+ server_tag [LOCAL]} no aaa authorization command {LOCAL | tacacs+ server_tag [LOCAL]} 语法说明 LOCAL 启用 privilege 命令设置的本地命令特权级别。当本地、RADIUS 或 LDAP(如果将 LDAP 属性映射到 RADIUS 属性)用户对 CLI 访问进 行身份验证时,ASA 将该用户置于本地数据库、RADIUS 或 LDAP 服 务器定义的特权级别中。用户可以访问用户特权级别及该级别以下的 命令。 如果您在 TACACS+ 服务器组标记后指定 LOCAL,则
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authorization command 支持的命令授权方法 您可以使用两个命令授权方法之一: 本地特权级别 - 在 ASA 上配置命令特权级别。当本地、RADIUS 或 LDAP(如果将 LDAP 属 性映射到 RADIUS 属性)用户对 CLI 访问进行身份验证时,ASA 将该用户置于本地数据库、 RADIUS 或 LDAP 服务器定义的特权级别中。用户可以访问用户特权级别及该级别以下的命 令。请注意,所有用户首次登录时(命令级别为 0 或 1)都进入用户 EXEC 模式。用户需要 使用 enable 命令再次进行身份验证才能进入特权 EXEC 模式(命令级别为 2 或更高),或使 用 login 命令登录(仅限本地数据库)。 • 您可以使用本地命令授权,其中本地数据库中没有任何用户,也不具有 CLI 或启用身份验 证。相反,输入 enable 命令时,输入系统启用密码,然后 ASA 将您置于级别 15。您可以 为每个级别创建启用密码,以便当您输入 enable n(2 到
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authorization command 本地命令授权前提条件 • 使用 aaa authentication enable console 命令为本地、RADIUS 或 LDAP 身份验证配置启用身 份验证。 启用身份验证对于在用户访问 enable 命令后维护用户名十分重要。 或者,您可以使用 login 命令(与具有身份验证的 enable 命令相同),该命令不需要配置。 我们不建议使用此选项,因为它不像启用身份验证那样安全。 您也可以使用 CLI 身份验证 (aaa authentication {ssh | telnet | serial} console),但是这不是必 需的。 • 如果将 RADIUS 用于身份验证,则您可以使用 aaa authorization exec 命令从 RADIUS 中启用 管理用户特权级别的支持(但是这不是必需的)。此命令也启用对本地、RADIUS、LDAP (映射的)和 TACACS+ 用户的管理授权。 • 请参阅以下每个用户类
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authorization command 相关命令 命令 aaa authentication console 说明 启用 CLI、ASDM 和启用身份验证。 aaa authorization exec 从 RADIUS 中启用管理用户特权级别的支持。 aaa-server host 配置与主机相关的属性。 aaa-server 配置与组相关的服务器属性。 enable 进入特权 EXEC 模式。 ldap map-attributes 将 LDAP 属性映射到 ASA 可使用的 RADIUS 属性。 login 使用用于身份验证的本地数据库进入特权 EXEC 模式。 service-type 限制本地数据库用户 CLI、ASDM 和启用访问。 show running-config aaa 显示 AAA 配置。 思科 ASA 系列命令参考,A 至 H 命令 1-30
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authorization exec aaa authorization exec 要启用管理授权,请在全局配置模式下使用 aaa authorization exec 命令。要禁用管理授权,请使 用这些命令的 no 形式。 aaa authorization exec {authentication-server | LOCAL} [auto-enable] no aaa authorization exec {authentication-server | LOCAL} [auto-enable] 语法说明 authentication-server 指示将从用于对用户进行身份验证的服务器中检索授权属性。 auto-enable 使具有足够授权特权的管理员能够通过输入一次自己的身份验证凭证进 入特权 EXEC 模式。 LOCAL 指示将从 ASA 的本地用户数据库中检索授权属性,无论身份验证如何 完成。 默认值 默认情况下,此命令已禁用。 命令模式 下表展示可输
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authorization exec 要为管理授权配置用户,请了解对每个 AAA 服务器类型或本地用户的以下要求: • LDAP 映射的用户 - 要映射 LDAP 属性,请参阅 ldap attribute-map 命令。 • RADIUS 用户 - 使用 IETF RADIUS 数字 service-type 属性,该属性映射到以下值之一: – Service-Type 5(出站)拒绝管理访问。用户无法使用 aaa authentication console 命令指 定的任何服务(serial 关键字除外;允许串行访问)。远程访问(IPsec 和 SSL)用户仍 可对其远程访问会话进行身份验证并终止会话。 – Service-Type 6(管理)允许对 aaa authentication console 命令指定的任何服务进行完全 访问。 – 在配置 aaa authentication {telnet | ssh} console 命令时,Service-Type 7
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authorization include, exclude aaa authorization include, exclude 要启用对通过 ASA 的连接的授权,请在全局配置模式下使用 aaa authorization include 命令。要 禁用授权,请使用此命令的 no 形式。要将地址从授权中排除,请使用 aaa authorization exclude 命令。要不将地址从授权中排除,请使用此命令的 no 形式。 aaa authorization {include | exclude} service interface_name inside_ip inside_mask [outside_ip outside_mask] server_tag no aaa authorization {include | exclude} service interface_name inside_ip inside_mask [outside_ip outside_mask] s
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authorization include, exclude 默认值 IP 地址为 0 表示 “all hosts(所有主机)”。将本地 IP 地址设置为 0 将允许授权服务器决定对哪 些主机进行授权。 默认情况下禁用回退至本地数据库用以授权。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authorization include, exclude ciscoasa(config)# aaa authorization include any inside 0 0 0 0 ciscoasa(config)# aaa accounting include any inside 0 0 0 0 tplus1 ciscoasa(config)# aaa authentication ssh console tplus1 在此示例中,第一条命令语句创建名为 tplus1 的服务器组并指定与此组结合使用 TACACS+ 协 议。第二条命令指定具有 IP 地址 10.1.1.
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authorization match aaa authorization match 要启用对通过 ASA 的连接的授权,请在全局配置模式下使用 aaa authorization match 命令。要 禁用授权,请使用此命令的 no 形式。 aaa authorization match acl_name interface_name server_tag no aaa authorization match acl_name interface_name server_tag 语法说明 acl_name 指定扩展的 ACL 名称。请参阅 access-list extended 命令。permit ACE 将匹配的流量标记为要进行授权,而 deny 条目将匹配的流量从授权中 排除。 interface_name 指定用户需要从中进行身份验证的接口名称。 server_tag 指定 aaa-server 命令定义的 AAA 服务器组标记。 默认值 没有默认行为或值
第1章 aaa accounting command 至 accounting-server-group 命令 aaa authorization match 注 示例 指定端口范围可能在授权服务器上生成意外结果。ASA 将端口范围作为字符串发送到服务器,期 望服务器将其解析成特定端口。并非所有服务器都执行此操作。此外,您可能想就特定服务对用 户进行授权,如果接受范围,则这种情况不会发生。 以下示例将 tplus1 服务器组与 aaa 命令结合使用: ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# aaa-server tplus1 protocol tacacs+ aaa-server tplus1 (inside) host 10.1.1.
第1章 aaa accounting command 至 accounting-server-group 命令 aaa local authentication attempts max-fail aaa local authentication attempts max-fail 要限制 ASA 允许任何给定用户帐户的连续失败的本地登录尝试次数(具有特权级别 15 的用户除 外;此功能不影响级别 15 的用户),请在全局配置模式下使用 aaa local authentication attempts max-fail 命令。要禁用此功能并允许无限数量的连续失败的本地登录尝试次数,请使用此命令的 no 形式。 aaa local authentication attempts max-fail number 语法说明 number 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 在锁定前用户可输入错误密码的最大次数。此数字可以在 1 到 16 的范 围内。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 aaa local authentication attempts max-fail 相关命令 命令 clear aaa local user lockout 说明 清除指定用户的锁定状态并将其失败尝试次数计数器设置为 0。 clear aaa local user fail-attempts 将失败的用户身份验证尝试次数重置为零,而无需修改用户锁定状态。 show aaa local user 显示当前锁定的用户名的列表。 思科 ASA 系列命令参考,A 至 H 命令 1-39
第1章 aaa accounting command 至 accounting-server-group 命令 aaa mac-exempt aaa mac-exempt 要指定使用要免除身份验证和授权的 MAC 地址的预定义列表,请在全局配置模式下使用 aaa mac-exempt 命令。要禁止使用 MAC 地址的列表,请使用此命令的 no 形式。 aaa mac-exempt match id no aaa mac-exempt match id 语法说明 id 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定使用 mac-list 命令配置的 MAC 列表编号。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示例 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 aaa mac-exempt 相关命令 命令 aaa authentication 说明 启用用户身份验证。 aaa authorization 启用用户授权服务。 aaa mac-exempt 免除 MAC 地址列表中地址的身份验证和授权。 show running-config 显示之前在 mac-list 命令中指定的 MAC 地址列表。 mac-list mac-list 指定一个 MAC 地址列表,用于使 MAC 地址免除身份验证和 / 或授权。 思科 ASA 系列命令参考,A 至 H 命令 1-41
第1章 aaa accounting command 至 accounting-server-group 命令 aaa proxy-limit aaa proxy-limit 要为给定 IP 地址限制并发身份验证尝试次数(同时),请在全局配置模式下使用 aaa proxy-limit 命令。要恢复为默认代理限制值,请使用此命令的 no 形式。 aaa proxy-limit proxy_limit aaa proxy-limit disable no aaa proxy-limit 语法说明 disable 指定不允许任何代理。 proxy_limit 指定每个用户允许的并发代理连接数,其范围为 1 到 128。 默认值 默认代理限制值为 16。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 aaa proxy-limit 相关命令 命令 aaa authentication 说明 启用、禁用或查看 LOCAL、TACACS+ 或 RADIUS 用户身份验证(在 aaa-server 命令指定的服务器上)或 ASDM 用户身份验证。 aaa authorization 启用或禁用 LOCAL 或 TACACS+ 用户授权服务。 aaa-server host 指定 AAA 服务器。 删除或重置配置的 AAA 记账值。 show running-config 显示 AAA 配置。 aaa clear configure aaa 思科 ASA 系列命令参考,A 至 H 命令 1-43
第1章 aaa accounting command 至 accounting-server-group 命令 aaa-server aaa-server 要创建 AAA 服务器组并配置特定于组且为所有组主机共有的 AAA 服务器参数,请在全局配置模 式下使用 aaa-server 命令。要删除指定的组,请使用此命令的 no 形式。 aaa-server server-tag protocol server-protocol no aaa-server server-tag protocol server-protocol 语法说明 protocol server-protocol server-tag 指定组中服务器支持的 AAA 协议: • http-form • kerberos • ldap • nt(请注意,此选项自 9.
第1章 aaa accounting command 至 accounting-server-group 命令 aaa-server 通过使用 aaa-server 命令定义 AAA 服务器组协议来控制 AAA 服务器配置,然后使用 aaa-server host 命令将服务器添加到组中。输入 aaa-server protocol 命令时,会进入 AAA 服务器组配置模式。 如果使用 RADIUS 协议且在 AAA 服务器组配置模式下,请注意以下方面: 注 示例 • 要为无客户端 SSL 和 AnyConnect 会话启用多会话记账,请输入 interim-accounting-update 选项。如果选择此选项,则除开始和停止记录外还将临时记账记录发送到 RADIUS 服务器。 • 要指定 ASA 和 AD 代理之间的共享密钥,并指示 RADIUS 服务器组包括并非具有完整功能的 RADIUS 服务器的 AD 代理,请输入 ad-agent-mode 选项。仅可将使用此选项配置的 RADIUS 服务器组与用户身份关联。因此,当指定未使用 ad-agent-mode 选项配置的 RADIUS
第1章 aaa accounting command 至 accounting-server-group 命令 aaa-server active, fail aaa-server active, fail 要重新激活标记为发生故障的 AAA 服务器,请在特权 EXEC 模式下使用 aaa-server active 命令。 要停用活动服务器,请在特权 EXEC 模式下使用 aaa-server fail 命令。 aaa-server server_tag [active | fail] host {server_ip | name} 语法说明 active 将服务器设置为活动状态。 fail 将服务器设置为故障状态。 host 指定主机 IP 地址名称或 IP 地址。 name 用使用 name 命令在本地分配的名称或 DNS 名称指定服务器的名称。 DNS 名称的最大字符数为 128,使用 name 命令分配的名称的最大字符数 为 63。 server_ip 指定 AAA 服务器的 IP 地址。 server_tag 指定与 aaa-server 命令指定的名称匹配的服务器
第1章 aaa accounting command 至 accounting-server-group 命令 aaa-server active, fail Server Server Server Server ... 相关命令 Protocol: RADIUS Address: 192.68.125.60 port: 1645 status: ACTIVE (admin initiated).
第1章 aaa accounting command 至 accounting-server-group 命令 aaa-server host aaa-server host 要将 AAA 服务器配置为 AAA 服务器组的一部分并配置特定于主机的 AAA 服务器参数,请在全 局配置模式下使用 aaa-server host 命令。要删除主机配置,请使用此命令的 no 形式。 aaa-server server-tag [(interface-name)] host {server-ip | name} [key] [timeout seconds] no aaa-server server-tag [(interface-name)] host {server-ip | name} [key] [timeout seconds] 语法说明 默认值 (interface-name) (可选)指定身份验证服务器所在的网络接口。此参数中的括号是必需 的。如果不指定接口,则默认为 inside(如果可用)。 key (可选)指定最多 127 个字符的区分大小写的字母数字关键字,它与 RADIUS 或
第1章 aaa accounting command 至 accounting-server-group 命令 aaa-server host 使用指南 通过使用 aaa-server 命令定义 AAA 服务器组来控制 AAA 服务器配置,然后使用 aaa-server host 命令将服务器添加到组中。使用 aaa-server host 命令时,进入 AAA 服务器主机配置模式,您可 以从该模式中指定并管理特定于主机的 AAA 服务器连接数据。 在单模式下您可以具有最多 15 个服务器组,在多模式下每个情景具有 4 个服务器组。在单模式下 每个组可以具有最多 16 个服务器,在多模式下具有 4 个服务器。用户登录时,从您在配置中指定 的第一个服务器开始一次访问一个服务器,直到有服务器响应为止。 示例 以下示例配置名为 “watchdogs” 的 Kerberos AAA 服务器组,将一个 AAA 服务器添加到该组 中,并为该服务器定义 Kerberos 领域: 注 Kerberos 领域名称仅使用数字和大写字母。虽然 ASA 接受小写字母的领域名称,但它不会将小写 字母转换为大写字母。请确保仅
第1章 aaa accounting command 至 accounting-server-group 命令 aaa-server host 相关命令 命令 aaa-server 说明 clear configure aaa-server 删除所有 AAA 服务器配置。 show running-config aaa-server 显示所有 AAA 服务器、特定服务器组、特定组内特定服务器或特定 协议的 AAA 服务器统计信息。 思科 ASA 系列命令参考,A 至 H 命令 1-50 创建并修改 AAA 服务器组。
第1章 aaa accounting command 至 accounting-server-group 命令 absolute absolute 要在时间范围生效时定义绝对时间,请在时间范围配置模式下使用 absolute 命令。要不为时间范 围指定时间,请使用此命令的 no 形式。 absolute [end time date] [start time date] no absolute 语法说明 date (可选)以年月日的格式指定日期;例如,2006 年 1 月 1 日。年份的有效范围为 1993 年到 2035 年。 end (可选)指定时间范围的结束。 start (可选)指定时间范围的开始。 time (可选)以小时分钟的格式指定时间。例如,8:00 是上午 8:00, 20:00 是下午 8:00。 默认值 如果未指定任何开始时间和日期,则 permit 或 deny 语句立即生效且始终有效。同样,最大结束 时间是 2035 年 12 月 31 日 23:59。如果未指定任何结束时间和日期,则关联的 permit 或 deny 语 句无限期有效。 命令模式 下表
第1章 aaa accounting command 至 accounting-server-group 命令 absolute 相关命令 命令 access-list extended 说明 default 恢复 time-range 命令 absolute 和 periodic 关键字的默认设置。 periodic 指定支持 time-range 功能的各功能的重复(每周)时间范围。 time-range 定义对 ASA 基于时间的访问控制。 思科 ASA 系列命令参考,A 至 H 命令 1-52 配置允许或拒绝 IP 流量通过 ASA 的策略。
第1章 aaa accounting command 至 accounting-server-group 命令 accept-subordinates accept-subordinates 要在以前未在设备上安装下级 CA 证书时将 ASA 配置为接受这些证书(如果在第一阶段 IKE 交换 期间交付),请在 crypto ca trustpoint 配置模式下使用 accept-subordinates 命令。要恢复默认设 置,请使用此命令的 no 形式。 accept-subordinates no accept-subordinates 语法说明 此命令没有任何参数或关键字。 默认值 默认设置为 ON(接受下级证书)。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Crypto ca trustpoint 配置 命令历史 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 access-group access-group 要将扩展的 ACL 与单个接口绑定,请在全局配置模式下使用 access-group 命令。要从接口取消 绑定 ACL,请使用此命令的 no 形式。 access-group access_list {in | out} interface interface_name [per-user-override | control-plane] no access-group access_list {in | out} interface interface_name 要使用单个命令将一组全局规则应用于所有接口,请在全局配置模式下使用 access-group global 命令。要从所有配置的接口中删除全局规则,请使用此命令的 no 形式。 access-group access_list [global] no access-group access_list [global] 语法说明 access_list 扩展的 ACL id。
第1章 aaa accounting command 至 accounting-server-group 命令 access-group 使用指南 特定于接口的访问组规则的优先级高于全局规则,因此在数据包分类时,先处理特定于接口的规 则,再处理全局规则。 特定于接口的规则的使用指南 access-group 命令将扩展的 ACL 与接口绑定。您必须首先使用 access-list extended 命令创建 ACL。 您可以将 ACL 应用于向接口传入或从接口传出的流量。如果在 access-list 命令语句中输入 permit 选项,则 ASA 继续处理数据包。如果在 access-list 命令语句中输入 deny 选项,则 ASA 丢弃数据 包并生成系统日志消息 106023 或 106100(对于使用非默认日志记录的 ACE)。 对于入站 ACL,per-user-override 选项允许下载的 ACL 覆盖应用于接口的 ACL。如果 per-user-override 选项不存在,则 ASA 保持现有过滤行为。当存在 per-user-override 时,ASA 允许与用户关联的每用户
第1章 aaa accounting command 至 accounting-server-group 命令 access-group 以上访问组配置在分类表中添加以下规则(从 show asp table classify 命令中输出): in in in in id=0xb1f90068, priority=13, domain=permit, deny=false hits=0, user_data=0xaece1ac0, cs_id=0x0, flags=0x0, protocol=0 src ip=10.1.2.2, mask=255.255.255.255, port=0 dst ip=10.2.2.2, mask=255.255.255.
第1章 aaa accounting command 至 accounting-server-group 命令 access-group ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# 相关命令 access-list global_acl permit ip object 10.1.1.1 object 172.16.0.0 access-list global_acl permit ip host 209.165.200.225 object 172.16.0.0 access-list global_acl deny ip any 172.16.0.
第1章 aaa accounting command 至 accounting-server-group 命令 access-list alert-interval access-list alert-interval 要指定各拒绝流最大值消息之间的时间间隔,请在全局配置模式下使用 access-list alert-interval 命令。要恢复默认设置,请使用此命令的 no 形式。 access-list alert-interval secs no access-list alert-interval 语法说明 secs 默认值 默认值为 300 秒。 命令模式 下表展示可输入此命令的模式: 各拒绝流最大值消息生成之间的时间间隔;有效值为从 1 到 3600 秒。 默认值为 300 秒。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 access-list alert-interval 相关命令 命令 access-list deny-flow-max 说明 指定可创建的并发拒绝流的最大数量。 access-list extended 将 ACL 添加到配置中并将其用于为通过 ASA 的 IP 流量配置策略。 clear access-group 清除 ACL 计数器。 clear configure access-list 从正在运行的配置中清除 ACL。 show access-list 按编号显示 ACL 条目。 思科 ASA 系列命令参考,A 至 H 命令 1-59
第1章 aaa accounting command 至 accounting-server-group 命令 access-list deny-flow-max access-list deny-flow-max 要指定可缓存的并发拒绝流的最大数量以计算消息 106100 的统计信息,请在全局配置模式下使 用 access-list deny-flow-max 命令。要恢复默认设置,请使用此命令的 no 形式。 access-list deny-flow-max number no access-list deny-flow-max number 语法说明 number 默认值 默认值为 4096。 命令模式 下表展示可输入此命令的模式: 应缓存以计算系统日志消息 106100 的统计信息的拒绝流的最大数量, 在 1 和 4096 之间。默认值为 4096。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 access-list ethertype access-list ethertype 要配置控制基于其 EtherType 的流量的 ACL,请在全局配置模式下使用 access-list ethertype 命 令。要删除 ACL,请使用此命令的 no 形式。 access-list id ethertype {deny | permit} {ipx | isis | bpdu | mpls-unicast | mpls-multicast | any | hex_number} no access-list id ethertype {deny | permit} {ipx | isis | bpdu | mpls-unicast | mpls-multicast | any | hex_number} 语法说明 any 允许或拒绝所有流量。 bpdu 允许或拒绝桥接协议数据单元。 deny 拒绝流量。 hex_number 允许或拒绝具有特定 EtherType(指定为
第1章 aaa accounting command 至 accounting-server-group 命令 access-list ethertype 注 对于 EtherType ACL,在 ACL 末尾的隐式拒绝不影响 IP 流量或 ARP ;例如,如果允许 EtherType 8037,则在 ACL 末尾的隐式拒绝当前不拦截之前使用扩展的 ACL 允许的任何 IP 流量(或从较高 安全接口到较低安全接口隐式允许的 IP 流量)。但是,如果明确拒绝具有 EtherType ACE 的所有 流量,则拒绝 IP 和 ARP 流量;仍仅允许物理协议流量,例如自动协商。 支持的 EtherType 和其他流量 EtherType 规则控制以下方面: • 一个 16 位十六进制数字标识的 EtherType,包括常见类型 IPX 和 MPLS 单播或组播。 • 以太网 V2 帧。 • 默认情况下允许的 BPDU。BPDU 为 SNAP 封装,且 ASA 专为处理 BPDU 而设计。 • 中继端口(思科专有)BPDU。中继 BPDU 在负载内包含 VLAN 信息,因此如果允许 BPDU,则
第1章 aaa accounting command 至 accounting-server-group 命令 access-list extended access-list extended 要将访问控制项 (ACE) 添加到扩展的 ACL,请在全局配置模式下使用 access-list extended 命令。 要删除 ACE,请使用此命令的 no 形式。 对于任何类型的流量,不具有端口: access-list access_list_name [line line_number] extended {deny | permit} protocol_argument [user_argument] [security_group_argument] source_address_argument [security_group_argument] dest_address_argument [log [[level] [interval secs] | disable | default]] [time-range time_range_name] [inactive] no access-li
第1章 aaa accounting command 至 accounting-server-group 命令 access-list extended dest_address_argument icmp_argument 指定数据包要发往的 IP 地址或 FQDN。可用参数包括: • host ip_address - 指定 IPv4 主机地址。 • ip_address mask - 指定 IPv4 网络地址和子网掩码。指定网络掩码 时,方法与思科 IOS 软件 access-list 命令不同。ASA 使用网络掩 码(例如,对于 C 类掩码为 255.255.255.0)。思科 IOS 掩码使用 通配符位(例如 0.0.0.
第1章 aaa accounting command 至 accounting-server-group 命令 access-list extended port_argument (可选)如果将协议设置为 TCP 或 UDP,则指定源或目标端口。如 果不指定端口,则与所有端口匹配。可用参数包括: • operator port - operator 可以是以下项之一: – lt - 小于 – gt - 大于 – eq - 等于 – neq - 不等于 – range - 值的范围(含两端)。使用此运算符时,需指定两个 端口号,例如: range 100 200 port 可以是表示 TCP 或 UDP 端口号的整数或端口名称。DNS、 Discard、Echo、Ident、NTP、RPC、SUNRPC 和 Talk 都需要一 个对 TCP 的定义和一个对 UDP 的定义。TACACS+ 需要一个对 TCP 上的端口 49 的定义。 protocol_argument security_group_argument • object service_obj_id - 指定使用 object
第1章 aaa accounting command 至 accounting-server-group 命令 access-list extended user_argument 默认值 命令模式 为与身份防火墙功能结合使用,除源地址外还指定要将流量与其匹 配的用户或组。可用参数包括: • object-group-user user_obj_grp_id - 指定使用 object-group user 命令创建的用户对象组。 • user {[domain_nickname\]name | any | none} - 指定用户名。指定 any 以将所有用户与用户凭证匹配,或指定 none 以匹配未映射 到用户名的地址。这些选项对于将 access-group 与 aaa authentication match 策略结合特别有用。 • user-group [domain_nickname\\]user_group_name - 指定用户组名 称。请注意双反斜线 \\ 将域名与组名称隔开。 • 用于拒绝 ACE 的默认日志记录仅为拒绝的数据包生成系统日志消息 106023。
第1章 aaa accounting command 至 accounting-server-group 命令 access-list extended 使用指南 ACL 由一个或多个具有相同 ACL ID 的 ACE 组成。将 ACL 用于控制网络访问或指定供许多功能 操作的流量。除非在 ACE 中指定行号,否则将您为给定 ACL 名称输入的每个 ACE 附加到 ACL 的末尾。要删除整个 ACL,请使用 clear configure access-list 命令。 ACE 的顺序 ACE 的顺序非常重要。当 ASA 决定是转发还是丢弃数据包时,ASA 按条目的列出顺序使用每个 ACE 测试数据包。找到匹配项后,不再检查更多 ACE。例如,如果您在 ACL 的开头创建一个明 确允许所有流量的 ACE,则不进一步检查其他语句。 使用实际 IP 地址的功能 以下命令和功能在 ACL 中使用实际 IP 地址: • access-group 命令 • 模块化策略框架 match access-list 命令 • 僵尸网络流量过滤器 dynamic-filter enable classify-
第1章 aaa accounting command 至 accounting-server-group 命令 access-list extended 如果要限制为仅可访问某些主机,请输入受限的 permit ACE。默认情况下,除非明确允许,否 则拒绝所有其他流量。 ciscoasa(config)# access-list ACL_IN extended permit ip 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224 以下 ACL 限制所有主机(在应用 ACL 的接口上)访问位于 209.165.201.29 地址的网站。允许所 有其他流量。 ciscoasa(config)# access-list ACL_IN extended deny tcp any host 209.165.201.
第1章 aaa accounting command 至 accounting-server-group 命令 access-list remark access-list remark 要在扩展的 EtherType 或标准访问控制条目前后指定要添加的注释的文本,请在全局配置模式下 使用 access-list remark 命令。要删除注释,请使用此命令的 no 形式。 access-list id [line line-num] remark text no access-list id [line line-num] remark text 语法说明 id ACL 的名称。 line line-num (可选)要插入注释的行号。 remark text 注释的文本 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 access-list remark 相关命令 命令 access-list extended 说明 clear access-group 清除 ACL 计数器。 clear configure access-list 从正在运行的配置中清除 ACL。 show access-list 按编号显示 ACL 条目。 show running-config access-list 显示当前正在运行的访问列表配置。 思科 ASA 系列命令参考,A 至 H 命令 1-70 将 ACL 添加到配置中并将其用于为通过 ASA 的 IP 流量配置策略。
第1章 aaa accounting command 至 accounting-server-group 命令 access-list rename access-list rename 要重命名 ACL,请在全局配置模式下使用 access-list rename 命令。 access-list id rename new_acl_id 语法说明 id 现有 ACL 的名称。 rename new_acl_id 将新的 ACL ID 指定为长度最多 241 个字符的字符串或整数。ID 是区 分大小写的。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 8.
第1章 aaa accounting command 至 accounting-server-group 命令 access-list standard access-list standard 要将访问控制项 (ACE) 添加到标准 ACL 中,请在全局配置模式下使用 access-list standard 命令。 要删除 ACE,请使用此命令的 no 形式。 access-list id standard {deny | permit} {any4 | host ip_address | ip_address subnet_mask} no access-list id standard {deny | permit} {any4 | host ip_address | ip_address subnet_mask} 语法说明 any4 与任何 IPv4 地址匹配。 deny 如果条件匹配,则拒绝或免除数据包。 host ip_address 指定 IPv4 主机地址(即子网掩码为 255.255.255.
第1章 aaa accounting command 至 accounting-server-group 命令 access-list standard 相关命令 命令 clear configure access-list 说明 从正在运行的配置中清除 ACL。 show access-list 按编号显示 ACL 条目。 show running-config access-list 显示当前正在运行的访问列表配置。 思科 ASA 系列命令参考,A 至 H 命令 1-73
第1章 aaa accounting command 至 accounting-server-group 命令 access-list webtype access-list webtype 要将访问控制项 (ACE) 添加到过滤无客户端 SSL VPN 连接的 webtype ACL 中,请在全局配置模 式下使用 access-list webtype 命令。要删除 ACE,请使用此命令的 no 形式。 access-list id webtype {deny | permit} url {url_string | any} [log [[level] [interval secs] | disable | default]] [time_range name] [inactive] no access-list id webtype {deny | permit} url {url_string | any} [log [[level] [interval secs] | disable | default]] [time_range name] [inactive] access-list id
第1章 aaa accounting command 至 accounting-server-group 命令 access-list webtype operator port (可选)如果指定 tcp,则为目标端口。如果不指定端口,则与所有端 口匹配。operator 可以是以下项之一: • lt - 小于 • gt - 大于 • eq - 等于 • neq - 不等于 • range - 值的范围(含两端)。使用此运算符时,需指定两个端口 号,例如: range 100 200 port 可以是表示 TCP 端口号的整数或端口名称。 默认值 命令模式 permit 匹配条件时允许访问。 time_range name (可选)指定时间范围对象,用于确定一天中 ACE 处于活动状态的时 间和一周中保持此状态的天数。如果不包括时间范围,则 ACE 始终为 活动状态。请参阅 time-range 命令,了解有关定义时间范围的信息。 url {url_string | any} 指定要匹配的 URL。使用 url any 与所有基于 URL 的流量匹配。否则, 请输入
第1章 aaa accounting command 至 accounting-server-group 命令 access-list webtype 示例 • 具有 “permit url any” 的 ACL 不影响智能隧道和 ICA 插件,因为它们仅与 smart-tunnel:// 和 ica:// 类型匹配。 • 您可以使用这些协议:cifs://、citrix://、citrixs://、ftp://、http://、https://、imap4://、nfs://、 pop3://、smart-tunnel:// 和 smtp://。您也可以在协议中使用通配符;例如,htt* 与 http 和 https 匹配,星号 * 与所有协议匹配。例如,*://*.example.com 与传输到 example.com 网络的基于 URL 的任何类型的流量匹配。 • 如果指定 smart-tunnel:// URL,则您可以仅包括服务器名称。URL 无法包含路径。例如, smart-tunnel://www.example.
第1章 aaa accounting command 至 accounting-server-group 命令 accounting-mode accounting-mode 要指示是将记账消息发送给单个服务器(单一模式),还是发送给组中的所有服务器(同时模 式),请在 AAA 服务器配置模式下使用 accounting-mode 命令。要删除记账模式指定,请使用 此命令的 no 形式。 accounting-mode {simultaneous | single} 语法说明 simultaneous 将记账消息发送给组中的所有服务器。 single 将记账消息发送给单个服务器。 默认值 默认值为单一模式。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 aaa 服务器配置 命令历史 使用指南 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 accounting-port accounting-port 要为此主机指定用于 RADIUS 记账的端口号,请在 AAA 服务器主机配置模式下使用 accounting-port 命令。要删除身份验证端口指定,请使用此命令的 no 形式。 accounting-port port no accounting-port 语法说明 port 默认值 默认情况下,设备侦听端口 1646 上的 RADIUS 以进行记账(符合 RFC 2058)。如果没有指定端 口,则使用 RADIUS 记账默认端口号 (1646)。 命令模式 下表展示可输入此命令的模式: 用于 RADIUS 记账的端口号;有效值范围为 1 到 65535。 防火墙模式 安全情景 多个 命令模式 路由 Aaa-server host configuration 命令历史 使用指南 版本 7.
第1章 aaa accounting command 至 accounting-server-group 命令 accounting-port 相关命令 命令 aaa accounting 说明 保留用户访问哪些网络服务的记录。 aaa-server host 进入 AAA 服务器主机配置模式,因此您可以配置特 定于主机的 AAA 服务器参数。 clear configure aaa-server 从配置中删除所有 AAA 命令语句。 show running-config aaa-server 显示所有 AAA 服务器、特定服务器组、特定组内特 定服务器或特定协议的 AAA 服务器统计信息。 思科 ASA 系列命令参考,A 至 H 命令 1-79
第1章 aaa accounting command 至 accounting-server-group 命令 accounting-server-group accounting-server-group 要指定用于发送记账记录的 AAA 服务器组,请在各种模式下使用 accounting-server-group 命 令。要从配置中删除记账服务器,请使用此命令的 no 形式。 accounting-server-group group_tag no accounting-server-group [group_tag] 语法说明 group_tag 默认值 默认情况下不配置任何记账服务器。 命令模式 下表展示可输入此命令的模式: 识别之前配置的记账服务器或服务器组。使用 aaa-server 命令配置记 账服务器。 防火墙模式 安全情景 多个 命令模式 命令历史 路由 透明 单个 情景 系统 Imap4s 配置 • 是 — • 是 — — Pop3s 配置 • 是 — • 是 — — SMTPS 配置 • 是 — • 是
第1章 aaa accounting command 至 accounting-server-group 命令 accounting-server-group 以下示例展示如何配置 POP3S 邮件代理以使用名为 POP3SSVRS 的记账服务器组: ciscoasa(config)# pop3s ciscoasa(config-pop3s)# accounting-server-group POP3SSVRS 以下示例展示如何配置 MDM 代理记账服务器组: ciscoasa(config)# mdm-proxy ciscoasa(config-mdm-proxy)# accounting-server-group MDMSVRGRP 相关命令 命令 aaa-server 说明 配置身份验证、授权和记账服务器。 思科 ASA 系列命令参考,A 至 H 命令 1-81
第1章 accounting-server-group 思科 ASA 系列命令参考,A 至 H 命令 1-82 aaa accounting command 至 accounting-server-group 命令
第 2 章 acl-netmask-convert 至 application-access hide-details 命令 思科 ASA 系列命令参考,A 至 H 命令 2-1
第2章 acl-netmask-convert 至 application-access hide-details 命令 acl-netmask-convert acl-netmask-convert 要指定 ASA 如何处理在来自使用 aaa-server host 命令访问的 RADIUS 服务器的可下载 ACL 中接 收的网络掩码,请在 aaa-server 主机配置模式下使用 acl-netmask-convert 命令。要删除 ASA 的指 定行为,请使用此命令的 no 形式。 acl-netmask-convert {auto-detect | standard | wildcard} no acl-netmask-convert 语法说明 auto-detect 指定 ASA 应尝试确定所使用的网络掩码表达式的类型。如果 ASA 检 测到通配符网络掩码表达式,则将其转换为标准的网络掩码表达式。 有关此关键字的详细信息,请参阅 “ 使用指南 ”。 standard 指定 ASA 假设从 RADIUS 服务器收到的可下载 ACL 仅包含标准网络 掩码表达式。不执行从通配符网络掩码表达
第2章 acl-netmask-convert 至 application-access hide-details 命令 acl-netmask-convert 示例 以下示例在 “192.168.3.4” 主机上配置名为 “srvgrp1” 的 RADIUS AAA 服务器、支持可下载 ACL 网络掩码的转换、设置超时值为 9 秒、设置重试间隔为 7 秒,并且配置身份验证端口 1650: ciscoasa(config)# aaa-server svrgrp1 protocol radius ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.
第2章 acl-netmask-convert 至 application-access hide-details 命令 action action 要将访问策略应用到会话或终止会话,请在动态访问策略记录配置模式下使用 action 命令。要重 置会话以将访问策略应用到会话,请使用此命令的 no 形式。 action {continue | terminate} no action {continue | terminate} 语法说明 continue 将访问策略应用到会话。 terminate 终止连接。 默认值 默认值为 continue。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 动态访问策略记录配置 命令历史 版本 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 action cli command action cli command 要在事件管理器小应用上配置操作,请在事件管理器小应用配置模式下使用 action cli command 命令。要删除配置的操作,请输入 no action n 命令。 action n cli command “command” no action n 语法说明 “command” 指定命令的名称。command 选项的值必须位于引号中;否则,如果命令由多个 单词组成,则会发生错误。命令在全局配置模式下作为权限级别为 15(最高) 的用户来运行。因为已禁用,此命令不接受任何输入。如果命令使 noconfirm 选项可用,请使用此选项。 n 指定操作 ID。有效 ID 在 0 到 42947295 之间。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 事件管理器小应用配置 命令历史 版本 9.
第2章 acl-netmask-convert 至 application-access hide-details 命令 action-uri action-uri 要指定 Web 服务器 URI 以为单点登录 (SSO) 身份验证接收用户名和密码,请在 aaa-server-host 配 置模式下使用 action-uri 命令。要重置 URI 参数值,请使用此命令的 no 形式。 action-uri string no action-uri 注 要正确配置带有 HTTP 协议的 SSO,您必须透彻地了解身份验证和 HTTP 协议交换的工作原理。 语法说明 string 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 身份验证计划的 URI。您可以在多行中输入此参数。每行的最大字符数为 255。完整 URI 的最大字符数是 2048。 防火墙模式 安全情景 多个 命令模式 路由 Aaa-server-host 配置 命令历史 版本 7.
第2章 acl-netmask-convert 至 application-access hide-details 命令 action-uri 示例 以下示例指定 www.example.com 上的 URI: http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REA LMOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD =GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2P xkHqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com ciscoasa(config)# aaa-server testgrp1 host www.example.com ciscoasa(config-aaa-server-host)# action-uri http://www.
第2章 acl-netmask-convert 至 application-access hide-details 命令 activation-key activation-key 要在 ASA 上输入一个许可激活密钥,请在特权 EXEC 模式下使用 activation-key 命令。 activation-key [noconfirm] activation_key [activate | deactivate] 语法说明 activate 激活基于时间的激活密钥。activate 为默认值。您为给定功能激活 的最后一个基于时间的密钥是活动密钥。 activation_key 将激活密钥应用于 ASA。activation_key 是一个五元素十六进制字 符串,各个元素之间都有一个空格。前导 0x 说明符是可选的;假 设任何值均采用十六进制。 您可以安装一个永久密钥和多个基于时间的密钥。如果输入一个 新的永久密钥,它会覆盖已安装的永久密钥。 deactivate 停用基于时间的激活密钥。停用的激活密钥仍然安装在 ASA 中, 以后您可以使用 activate 关键字来激活该密钥。如果是
第2章 acl-netmask-convert 至 application-access hide-details 命令 activation-key 版本 7.2(2) 7.2(3) 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 activation-key 版本 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 activation-key • 对于 ASA 5505 和 5510,两个设备都需要 Security Plus 许可证;基础许可证不支持故障切 换,因此,您无法在只有基础许可证的备用设备上启用故障切换。 升级和降级指南 如果从任何之前版本升级到最新版本,您的激活密钥仍保持兼容。但如果要维护降级功能,您可 能会遇到问题: • 降级到版本 8.1 或更早版本 - 在升级后,若您激活在 8.2 之前引入的其他功能许可证,则您执 行降级后激活密钥会继续与早期版本兼容。但是,如果激活在 8.2 或更高版本中引入的功能 许可证,则激活密钥不会向后兼容。如果您有不兼容的许可证密钥,请参阅以下指导原则: – 如果您之前输入过早期版本的激活密钥,则 ASA 会使用该密钥(没有您在版本 8.2 或更 高版本中激活的任何新许可证)。 – 如果您有新系统且没有早期的激活密钥,则需要请求与早期版本兼容的新激活密钥。 • 降级到版本 8.2 或更早的版本 - 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 activation-key 以下是 activation-key 命令的示例输出,其中展示在新激活密钥不同于旧激活密钥时故障切换的 输出: ciscoasa# activation-key 0xyadayada 0xyadayada 0xyadayada 0xyadayada 0xyadayada Validating activation key.This may take a few minutes... The following features available in the running permanent activation key are NOT available in the new activation key: Failover is different.
第2章 acl-netmask-convert 至 application-access hide-details 命令 activex-relay activex-relay 要将需要 ActiveX 的应用集成到无客户端门户,请在组策略 webvpn 配置模式或用户名 webvpn 模 式下使用 activex-relay 命令。要从默认组策略继承 activex-relay 命令,请使用此命令的 no 形式。 activex-relay {enable | disable} no activex-relay 语法说明 enable 在 WebVPN 会话上启用 ActiveX。 disable 在 WebVPN 会话上禁用 ActiveX。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 单个 情景 系统 组策略 webvpn 配置 • 是 — • 是 — — 用户名 webvpn 配置 • 是 — • 是 — — 版本 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 ad-agent-mode ad-agent-mode 要启用 AD 代理模式以便为思科身份防火墙实例配置 Active Directory 代理,请在全局配置模式下 使用 ad-agent-mode 命令。 ad-agent-mode 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 ad-agent-mode 相关命令 命令 aaa-server clear configure user-identity 说明 创建 AAA 服务器组并配置组特定和所有组主机通用的 AAA 服务器 参数。 清除身份防火墙功能的配置。 思科 ASA 系列命令参考,A 至 H 命令 2-15
第2章 acl-netmask-convert 至 application-access hide-details 命令 address(动态过滤器黑名单或白名单) address(动态过滤器黑名单或白名单) 要将 IP 地址添加到僵尸网络流量过滤器黑名单或白名单,请在动态过滤器黑名单或白名单配置模 式下使用 address 命令。要删除地址,请使用此命令的 no 形式。 address ip_address mask no address ip_address mask 语法说明 ip_address 将 IP 地址添加到黑名单。 mask 定义 IP 地址的子网掩码。掩码可用于单个主机或者子网。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 动态过滤器黑名单或白名单 配置 命令历史 使用指南 版本 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 address(动态过滤器黑名单或白名单) 相关命令 命令 clear configure dynamic-filter 说明 清除正在运行的僵尸网络流量过滤器配置。 clear dynamic-filter dns-snoop 清除僵尸网络流量过滤器 DNS 监听数据。 clear dynamic-filter reports 清除僵尸网络流量过滤器报告数据。 clear dynamic-filter statistics 清除僵尸网络流量过滤器统计信息。 dns domain-lookup 启用 ASA 将 DNS 请求发送到 DNS 服务器以执行所支持命令的 名称查找。 dns server-group 标识 ASA 的 DNS 服务器。 dynamic-filter blacklist 编辑僵尸网络流量过滤器黑名单。 dynamic-filter database fetch 手动检索僵尸网络流量过滤器动态数据库。 dynamic-filter
第2章 acl-netmask-convert 至 application-access hide-details 命令 address(媒体终端) address(媒体终端) 要指定媒体终端实例的地址以用于到电话代理功能的媒体连接,请在媒体终端配置模式下使用 address 命令。要从媒体终端配置删除地址,请使用此命令的 no 形式。 address ip_address [interface intf_name] no address ip_address [interface intf_name] 语法说明 interface intf_name 指定使用媒体终端地址的接口名称。每个接口只能配置一个媒体终端地址。 ip_address 指定 IP 地址以用于媒体终端实例。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 媒体终端配置 命令历史 使用指南 版本 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 address(媒体终端) 相关命令 命令 phone-proxy 说明 media-termination 配置媒体终端实例以用于电话代理实例。 配置电话代理实例。 思科 ASA 系列命令参考,A 至 H 命令 2-19
第2章 acl-netmask-convert 至 application-access hide-details 命令 address-family ipv4 address-family ipv4 要输入地址系列以配置使用标准 IP 版本 4 (IPv4) 地址前缀的路由会话,请在路由器配置模式下使 用 address-family ipv4 命令。要退出地址系列配置模式并从运行配置中删除 IPv4 地址系列配置, 请使用此命令的 no 形式。 address-family ipv4 no address-family ipv4 默认值 IPv4 地址前缀未启用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 路由器模式配置 命令历史 版本 9.
第2章 acl-netmask-convert 至 application-access hide-details 命令 address-pool(隧道组常规属性模式) address-pool(隧道组常规属性模式) 要指定地址池列表以将地址分配给远程客户端,请在隧道组常规属性配置模式下使用 address-pool 命令。要消除地址池,请使用此命令的 no 形式。 address-pool [(interface name)] address_pool1 [...address_pool6] no address-pool [(interface name)] address_pool1 [...
第2章 acl-netmask-convert 至 application-access hide-details 命令 address-pool(隧道组常规属性模式) 相关命令 命令 ip local pool 配置将用于 VPN 远程访问隧道的 IP 地址池。 clear configure tunnel-group 清除所有配置的隧道组。 show running-config tunnel-group 显示所有隧道组或特定隧道组的隧道组配置。 tunnel-group-map default-group 将使用 crypto ca certificate map 命令创建的证书映射条目与隧 道组关联起来。 思科 ASA 系列命令参考,A 至 H 命令 2-22 说明
第2章 acl-netmask-convert 至 application-access hide-details 命令 address-pool(组策略属性配置模式) address-pool(组策略属性配置模式) 要指定地址池列表以将地址分配给远程客户端,请在组策略属性配置模式下使用 address-pool 命 令。要从组策略中删除属性并允许从组策略的其他来源继承,请使用此命令的 no 形式。 address-pools value address_pool1 [...address_pool6] no address-pools value address_pool1 [...
第2章 acl-netmask-convert 至 application-access hide-details 命令 address-pool(组策略属性配置模式) 相关命令 命令 ip local pool 配置将用于 VPN 组策略的 IP 地址池。 clear configure group-policy 清除所有已配置的组策略。 show running-config group-policy 显示所有组策略的配置或特定组策略的配置。 思科 ASA 系列命令参考,A 至 H 命令 2-24 说明
第2章 acl-netmask-convert 至 application-access hide-details 命令 admin-context admin-context 要设置系统配置的管理情景,请在全局配置模式下使用 admin-context 命令。 admin-context name 语法说明 name 将名称设置为最多包含 32 个字符的字符串。如果尚未定义任何情景,则 首先使用此命令指定管理情景名称。然后,您使用 context 命令添加的第 一个情景必须是指定的管理情景名称。 此名称区分大小写,这样,您可以使用名称分别为 “customerA” 和 “CustomerA” 的两个情景。您可以使用字母、数字或连字符,但名称 的开头或结尾不能使用连字符。 “System” 或 “Null”(采用大写或小写字母)是保留名称,不得使用。 默认值 对于多情景模式下的新 ASA,管理情景名为 “admin”。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第2章 acl-netmask-convert 至 application-access hide-details 命令 aggregate-address aggregate-address 要在边界网关协议 (BGP) 数据库中创建聚合条目,请在地址系列配置模式下使用 aggregate-address 命令。要禁用此功能,请使用此命令的 no 形式。 aggregate-address address mask [as-set] [summary-only] [suppress-map map-name][advertise-map map-name] [attribute-map map-name] no aggregate-address address mask [as-set] [summary-only] [suppress-map map-name][advertise-map map-name] [attribute-map map-name] 语法说明 address 聚合地址。 mask 聚合掩码。 as-set (可选)生成自主系统设置路径信息。 summary
第2章 acl-netmask-convert 至 application-access hide-details 命令 aggregate-address 使用 as-set 关键字会按照该命令在无此关键字时的规则创建一个聚合条目,但为此路由通告的路 径将是一个 AS_SET,其中包含正在进行摘要处理的所有路径中的所有元素。在聚合多条路径 时,请勿使用 aggregate-address 命令的此形式,因为随着摘要路由的自主系统路径抵达能力信息 的变化,必须不断提取和更新此路由。 使用 summary-only 关键字不仅会创建聚合路由(例如 192.*.*.
第2章 acl-netmask-convert 至 application-access hide-details 命令 allocate-interface allocate-interface 要将接口分配到安全情景,请在情景配置模式下使用 allocate-interface 命令。要从情景删除接 口,请使用此命令的 no 形式。 allocate-interface physical_interface [map_name] [visible | invisible] no allocate-interface physical_interface allocate-interface physical_interface.subinterface[-physical_interface.subinterface] [map_name[-map_name]] [visible | invisible] no allocate-interface physical_interface.subinterface[-physical_interface.
第2章 acl-netmask-convert 至 application-access hide-details 命令 allocate-interface 命令历史 版本 7.
第2章 acl-netmask-convert 至 application-access hide-details 命令 allocate-ips allocate-ips 如果您已安装 AIP SSM,要将 IPS 虚拟传感器分配到安全情景,请在情景配置模式下使用 allocate-ips 命令。要从情景删除虚拟传感器,请使用此命令的 no 形式。 allocate-ips sensor_name [mapped_name] [default] no allocate-ips sensor_name [mapped_name] [default] 语法说明 default (可选)为每个情景设置一个传感器作为默认传感器;如果情景配置没 有指定传感器名称,则情景使用此默认传感器。您只能为每个情景配置 一个默认传感器。如果要更改默认传感器,在分配新的默认传感器之 前,请输入 no allocate-ips 命令以删除当前默认传感器。如果不指定默 认传感器且情景配置不包括传感器名称,则流量使用 AIP SSM 上的默 认传感器。 mapped_name (可选)设置一个映射命名而不是实际传感器名称
第2章 acl-netmask-convert 至 application-access hide-details 命令 allocate-ips 使用指南 您可以将一个或多个 IPS 虚拟传感器分配到每个情景。然后,在使用 ips 命令配置情景以将流量 发送给 AIP SSM 时,您可以指定一个分配给情景的传感器;您不能指定未分配给情景的传感器。 如果不将任何传感器分配给情景,则使用 AIP SSM 上配置的默认传感器。您可以将同一个传感器 分配给多个情景。 注 示例 相关命令 您不需要为使用虚拟传感器而进入多情景模式;您可以在单一模式下为不同的流量流使用不同的 传感器。 以下示例将 sensor1 和 sensor2 分配给情景 A,将 sensor1 和 sensor3 分配给情景 B。这两个情景将 传感器名称映射到 “ips1” 和 “ips2”。在情景 A 中,sensor1 被设置为默认传感器,但在情景 B 中没有设置默认传感器,因此使用在 AIP SSM 上配置的默认值。 ciscoasa(config-ctx)# ciscoasa(config-ctx)# ciscoasa(c
第2章 acl-netmask-convert 至 application-access hide-details 命令 allow-ssc-mgmt allow-ssc-mgmt 要将 ASA 5505 上的接口设置为 SSC 管理接口,请在接口配置模式下使用 allow-ssc-mgmt 命令。 要取消分配接口,使用此命令的 no 形式。 allow-ssc-mgmt no allow-ssc-mgmt 语法说明 此命令没有任何参数或关键字。 命令默认值 此命令在 VLAN 1 的出厂默认配置中已启用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 使用指南 版本 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 allow-ssc-mgmt 命令 security-level 说明 设置接口安全级别。 hw-module module ip 配置 SSC 的管理 IP 地址。 hw-module module allow-ip 设置获准访问管理 IP 地址的主机。 思科 ASA 系列命令参考,A 至 H 命令 2-33
第2章 acl-netmask-convert 至 application-access hide-details 命令 always-on-vpn always-on-vpn 要配置 AnyConnect Always-On-VPN 的行为,请在组策略配置模式下使用 always-on-vpn 命令。 always-on-vpn [profile-setting | disable] 语法说明 disable 关闭 Always-On-VPN 功能。 profile-setting 使用在 AnyConnect 配置文件中配置的 always-on-vpn 设置。 命令默认值 默认情况下关闭 Always-On-VPN 功能。 命令历史 版本 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect ask anyconnect ask 要启用 ASA 以提示远程 SSL VPN 客户端用户下载客户端,请在组策略 webvpn 或用户名 webvpn 配置模式下使用 anyconnect ask 命令。要从配置中删除命令,请使用此命令的 no 形式。 anyconnect ask {none | enable [default {webvpn | anyconnect} timeout value]} no anyconnect ask none [default {webvpn | anyconnect}] 语法说明 default anyconnect timeout value 提示远程用户下载客户端,或转到无客户端连接的门户页面,并 在采取默认操作(下载客户端)之前等待 value 时间。 default webvpn timeout value 提示远程用户下载客户端,或转到无客户端连接的门户页面,并 在采取默认操作(显示 WebVPN 门户
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect ask 示例 以下示例配置 ASA 以提示远程用户下载客户端或转到门户页面,并在下载客户端之前等待 10 秒 以便用户响应。 ciscoasa(config-group-webvpn)# anyconnect ask enable default svc timeout 10 相关命令 命令 show webvpn anyconnect 显示关于已安装 SSL VPN 客户端的信息。 anyconnect 为特定组或用户启用或要求 SSL VPN 客户端。 anyconnect image 指定 ASA 在缓存内存中扩展用于下载到远程 PC 的客户端软件包文件。 思科 ASA 系列命令参考,A 至 H 命令 2-36 说明
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect df-bit-ignore anyconnect df-bit-ignore 要忽略需要分段的数据包中的 DF 位,请在组策略 webvpn 配置模式下使用 anyconnect-df-bit-ignore 命令。要确认需要分段的 DF 位,请使用此命令的 no 形式。 anyconnect df-bit-ignore {enable | none} no anyconnect df-bit-ignore {enable | none} 语法说明 enable 启用 AnyConnect 客户端的 DF 位忽略。 none 禁用 AnyConnect 客户端的 DF 位。 默认值 默认情况下不启用此选项。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 组策略 webvpn 配置 命令历史 示例 • 是 透明 — 单个 • 是 情景 系统 — — 版本 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect dpd-interval anyconnect dpd-interval 要对 ASA 启用失效对等检测 (DPD) 并设置远程客户端或 ASA 对 SSL VPN 连接执行 DPD 的频 率,请在组策略 webvpn 或用户名 webvpn 配置模式下使用 anyconnect dpd-interval 命令。要从配 置中删除该命令并使值得到继承,请使用此命令的 no 形式。 anyconnect dpd-interval {[gateway {seconds | none}] | [client {seconds | none}]} no anyconnect dpd-interval {[gateway {seconds | none}] | [client {seconds | none}]} 语法说明 client none 禁用客户端执行的 DPD。 client seconds 指定客户端执行 DPD 的频率,从 30 秒到 3600 秒
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect dtls compression anyconnect dtls compression 要在低带宽链路上为特定组或用户启用压缩,请在组策略 webvpn 或用户名 webvpn 配置模式下使 用 anyconnect dtls compression 命令。要从组中删除配置,请使用此命令的 no 形式。 anyconnect dtls compression {lzs | none} no anyconnect dtls compression {lzs | none} 语法说明 lzs 启用无状态压缩算法。 none 禁用压缩。 默认值 默认情况下不启用 AnyConnect 压缩。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 示例 路由 透明 组策略 webvpn 配置 • 是 — 用户名 webvpn 配置 • 是 — 版本 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect enable anyconnect enable 要启用 ASA 以将 AnyConnect 客户端下载到远程计算机或连接到使用 AnyConnect 客户端的 ASA (通过 SSL 或 IKEv2),请在 webvpn 配置模式下使用 anyconnect enable 命令。要从配置中删除 命令,请使用此命令的 no 形式。 anyconnect enable no anyconnect enable 默认值 此命令的默认设置为禁用。ASA 不下载客户端。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 使用指南 • 是 透明 — 单个 • 是 版本 7.1(1) 修改 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect enable 相关命令 命令 anyconnect image 说明 指定 ASA 在缓存内存中扩展以用于下载到远程 PC 的 AnyConnect SSL VPN 客户端软件包文件。 anyconnect modules 指定 AnyConnect SSL VPN 客户端为可选功能要求的模块的名称。 anyconnect profiles 指定用来存储 ASA 下载到 Cisco AnyConnect SSL VPN 客户端的 配置文件的文件的名称。 show webvpn anyconnect 显示关于在 ASA 上安装并加载到缓存内存以供下载到远程 PC 的 SSL VPN 客户端的信息。 anyconnect localization 指定用于存储下载到 Cisco AnyConnect VPN 客户端的本地化文件 的软件包文件。 思科 ASA 系列命令参考,A 至 H 命令 2-41
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect firewall-rule anyconnect firewall-rule 要建立公共 ACL 防火墙或提供 ACL 防火墙,请在组策略 webvpn 或用户名 webvpn 配置模式下使 用 anyconnect firewall-rule 命令。 anyconnect firewall-rule client interface {public | private} ACL 语法说明 ACL 指定访问控制列表 client interface 指定客户端接口 private 配置专用接口规则 public 配置公共接口规则 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 单个 情景 系统 组策略 webvpn 配置 • 是 — • 是 — — 用户名 webvpn 配置 • 是 — • 是 —
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect firewall-rule 请注意每个操作系统的以下行为差异: • 对于 Windows 计算机,拒绝规则在 Windows 防火墙中优先于允许规则。如果 ASA 将一条允许 规则下推到 AnyConnect 客户端,但用户创建了一条自定义拒绝规则,则不会实施 AnyConnect 规则。 • 在 Windows Vista 中,在创建防火墙规则时,Vista 获取采用逗号分隔字符串形式的端口号范 围(例如 1-300 或者 5000-5300)。允许的最大端口数量是 300。如果您指定的数量大于 300 个端口,则防火墙规则仅应用于前 300 个端口。 • 防火墙服务必须由 AnyConnect 客户端启动(不能由系统自动启动)的 Windows 用户在建立 VPN 连接时所花的时间可能会显著增加。 • 在 Mac 计算机上,AnyConnect 客户端以 ASA 应用规则的顺序来依次应用规则。全局规则始 终都在最后。 • 对于第三方防火墙,只
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect image anyconnect image 要安装或升级 AnyConnect 分发软件包并将其添加到运行配置中,请在 webvpn 配置模式下使用 anyconnect image 命令。要从运行配置删除 AnyConnect 分发软件包,请使用此命令的 no 形式。 anyconnect image path order [regex expression] no anyconnect image path order [regex expression] 语法说明 order 对于多个客户端软件包文件,指定软件包文件的顺序,从 1 到 65535。 ASA 按照您指定的顺序将每个客户端的各个部分下载到远程 PC,直至它 实现与操作系统的匹配。 path 指定 AnyConnect 软件包的路径和文件名,最多为 255 个字符。 regex expression 指定 ASA 用来匹配浏览器传递的用户代理字符串的字符串。 默认值 没有默认
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect image 注 在使用独立客户端时,忽略 regex 命令。它仅用于网络浏览器以实现性能改进,regex 字 符串不匹配由独立客户端提供的任何用户或代理。 ASA 扩展缓存内存中的 AnyConnect 客户端和思科安全桌面 (CSD) 软件包文件。为使 ASA 成功扩 展软件包文件,必须有足够的缓存内存来存储软件包文件的映像和文件。 如果 ASA 检测到没有足够的缓存内存来扩展软件包,则会向控制台显示一条错误消息。以下示 例展示在尝试使用 svc image 命令安装软件包文件后报告的错误消息: ciscoasa(config-webvpn)# anyconnect image disk0:/anyconnect-win-3.0.0520-k9.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect image 相关命令 命令 anyconnect modules 指定 AnyConnect SSL VPN 客户端为可选功能要求的模块的名称。 anyconnect profiles 指定用来存储 ASA 下载到 Cisco AnyConnect SSL VPN 客户端的 配置文件的文件的名称。 show webvpn anyconnect 显示关于在 ASA 上安装并加载到缓存内存以供下载到远程 PC 的 SSL VPN 客户端的信息。 anyconnect localization 指定用于存储下载到 Cisco AnyConnect VPN 客户端的本地化文 件的软件包文件。 思科 ASA 系列命令参考,A 至 H 命令 2-46 说明
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect keep-installer anyconnect keep-installer 注 此命令不适用于 AnyConnect 2.5 之后的版本,但是,为保持向后兼容性,仍提供了此命令。配置 anyconnect keep-installer 命令不会影响 AnyConnect 3.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect keep-installer 相关命令 命令 show webvpn anyconnect 显示关于安装到 ASA 上并加载到缓存内存中以供下载到远程 PC 的 AnyConnect 客户端的信息。 anyconnect 为特定组或用户启用或要求 SSL VPN 客户端。 anyconnect enable 启用 ASA 以将 AnyConnect 客户端文件下载到远程 PC。 anyconnect image 指定 ASA 在缓存内存中扩展以供下载到远程 PC 中的 AnyConnect 客户端软件包文件。 思科 ASA 系列命令参考,A 至 H 命令 2-48 说明
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect modules anyconnect modules 要指定 AnyConnect SSL VPN 客户端为可选功能而要求的模块的名称,请在组策略 webvpn 或用 户名 webvpn 配置模式下使用 anyconnect modules 命令。要从配置中删除命令,请使用此命令的 no 形式。 anyconnect modules {none | value string} no anyconnect modules {none | value string} 语法说明 string 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 可选模块的名称,名称最多可包含 256 个字符。使用逗号分隔多个字 符串。 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 单个 情景 系统 组策略 webvpn 配置 • 是 — • 是 — — 用户名 webvpn 配置 • 是 —
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect modules 示例 在以下示例中,用户进入组策略 PostureModuleGroup 的组策略属性模式和 webvpn 配置模式,指 定字符串 posture 和 telemetry,以便在终端连接到 ASA 时将 AnyConnect Posture 模块和 AnyConnect Telemetry 模块下载到终端。 ciscoasa> en Password: ciscoasa# config t ciscoasa(config)# group-policy PostureModuleGroup attributes ciscoasa(config-group-policy)# webvpn ciscoasa(config-group-webvpn)# anyconnect modules value posture,telemetry ciscoasa(config-group-webvpn)# write mem Building configur
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect mtu anyconnect mtu 要调整由 Cisco AnyConnect VPN 客户端建立的 SSL VPN 连接的 MTU 大小,请在组策略 webvpn 或用户名 webvpn 配置模式下使用 anyconnect mtu 命令。要从配置中删除命令,请使用此命令的 no 形式。 anyconnect mtu size no anyconnect mtu size 语法说明 size 默认值 默认大小为 1406 字节。 命令模式 下表展示可输入此命令的模式: MTU 大小以字节为单位,从 256 字节到 1406 字节。 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 单个 情景 系统 组策略 webvpn 配置 • 是 — • 是 — — 用户名 webvpn 配置 • 是 — • 是 — — 版本 8.0(2) 修改 引入了此命令。 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect mtu 相关命令 命令 说明 anyconnect keep-ins 禁用客户端的自动卸载功能。初始下载后,客户端在连接终止后仍保留 taller 在远程 PC 上。 anyconnect ssl dtls 启用 DTLS 以支持 CVC 建立 SSL VPN 连接。 show run webvpn 思科 ASA 系列命令参考,A 至 H 命令 2-52 显示有关 WebVPN 的配置信息,包括 anyconnect 命令。
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect profiles(组策略或用户名属性) anyconnect profiles(组策略或用户名属性) 要指定下载到 Cisco AnyConnect VPN 客户端 (CVC) 用户的 CVC 配置文件包,请在组策略 webvpn 或用户名属性 webvpn 配置模式下使用 anyconnect profiles 命令。要从配置中删除命令并使值得 到继承,请使用此命令的 no 形式。 anyconnect profiles {value profile | none} no anyconnect profiles {value profile | none } [type type] 语法说明 value profile 配置文件的名称。 none ASA 不下载配置文件。 type type 对应于标准 AnyConnect 配置文件或任何字母数字值的用户。 默认值 默认值为 none。ASA 不下载配置文件。 命令模式 下表展示可输入此命
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect profiles(组策略或用户名属性) 示例 在以下示例中,用户输入 anyconnect profiles value 命令,以显示可用的配置文件: ciscoasa(config-group-webvpn)# anyconnect profiles value ? config-group-webvpn mode commands/options: Available configured profile packages: engineerin sales 然后用户配置组策略以使用 CVC 配置文件 sales: ciscoasa(config-group-webvpn)# anyconnect profiles sales 相关命令 命令 show webvpn anyconnect 说明 anyconnect 为特定组或用户启用或要求 SSL VPN 客户端。 anyconnect image 指定 ASA 在缓存内存中扩展以供下载到
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect profiles (webvpn) anyconnect profiles (webvpn) 要指定一个文件作为 ASA 在缓存内存中加载的配置文件包并使其可供 Cisco AnyConnect VPN 客 户端 (CVC) 用户的组策略和用户名属性使用,请在 webvpn 配置模式下使用 anyconnect profiles 命令。要从配置中删除命令并使 ASA 从缓存内存卸载软件包文件,请使用此命令的 no 形式。 anyconnect profiles {profile path} no anyconnect profiles {profile path} 语法说明 path ASA 的闪存中的配置文件的路径和文件名。 profile 要在缓存内存中创建的配置文件的名称。 默认值 默认值为 none。ASA 不将配置文件包加载到缓存内存中。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 we
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect profiles (webvpn) 输入 dir cache:stc/profiles 命令会展示已上传到缓存内存中的配置文件: ciscoasa(config-webvpn)# dir cache:stc/profiles Directory of cache:stc/profiles/ 0 0 ------- 774 774 11:54:41 Nov 22 2006 11:54:29 Nov 22 2006 engineering.pkg sales.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect ssl compression anyconnect ssl compression 要为特定组或用户对 SSL VPN 连接上的 http 数据启用压缩,请在组策略 webvpn 或用户名 webvpn 配置模式下使用 anyconnect ssl compression 命令。要从配置中删除该命令并使值得到继 承,请使用此命令的 no 形式。 anyconnect ssl compression {deflate | lzs | none} no anyconnect ssl compression {deflate | lzs | none} 语法说明 deflate 启用 deflate 压缩算法。 lzs 启用无状态压缩算法。 none 禁用压缩。 默认值 默认情况下,压缩设置为 none(禁用)。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 示例 路由 透明
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect ssl compression 相关命令 命令 anyconnect 说明 anyconnect keepalive 指定远程计算机的客户端通过 SSL VPN 连接将 keepalive 消息发送到 ASA 的频率。 anyconnect keep-installer 禁用客户端的自动卸载功能。客户端仍然安装在远程 PC 上以供将来连接。 为特定组或用户启用或要求 SSL VPN 客户端。 anyconnect rekey 支持客户端对 SSL VPN 连接执行密钥更新。 compression 为所有 SSL、WebVPN 和 IPsec VPN 连接启用压缩。 show webvpn anyconnect 显示关于已安装 SSL VPN 客户端的信息。 思科 ASA 系列命令参考,A 至 H 命令 2-58
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect ssl df-bit-ignore anyconnect ssl df-bit-ignore 要为特定组或用户对 SSL VPN 连接上的数据包启用强制性分段(允许它们通过隧道),请在组 策略 webvpn 或用户名 webvpn 配置模式下使用 anyconnect ssl df-bit-ignore 命令。要从配置中删 除该命令并使值得到继承,请使用此命令的 no 形式。 anyconnect ssl df-bit-ignore {enable | disable} no anyconnect ssl df-bit-ignore 语法说明 enable 为使用 SSL 的 AnyConnect 启用 DF 位忽略。 disable 为使用 SSL 的 AnyConnect 禁用 DF 位忽略。 默认值 DF 位忽略设置为禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 示例
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect ssl df-bit-ignore 相关命令 命令 anyconnect 说明 anyconnect keepalive 指定远程计算机的客户端通过 SSL VPN 连接将 keepalive 消息发送到 ASA 的频率。 anyconnect keep-installer 禁用客户端的自动卸载功能。客户端仍然安装在远程 PC 上以供将来连接。 为特定组或用户启用或要求 SSL VPN 客户端。 anyconnect rekey 支持客户端对 SSL VPN 连接执行密钥更新。 思科 ASA 系列命令参考,A 至 H 命令 2-60
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect ssl dtls enable anyconnect ssl dtls enable 要在接口上为与 Cisco AnyConnect VPN 客户端建立 SSL VPN 连接的特定组或用户启用数据报传 输层安全 (DTLS) 连接,请在组策略 webvpn 或用户名属性 webvpn 配置模式下使用 anyconnect ssl dtls enable 命令。要从配置中删除该命令并使值得到继承,请使用此命令的 no 形式。 anyconnect ssl dtls enable interface no anyconnect ssl dtls enable interface 语法说明 interface 默认值 默认设置为启用。 命令模式 下表展示可输入此命令的模式: 接口的名称。 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 单个 情景 系统 组策略 webvpn 配置 • 是 — • 是
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect ssl dtls enable 相关命令 命令 dtls port 指定 DTLS 的 UDP 端口。 anyconnect dtls 为建立 SSL VPN 连接的组或用户启用 DTLS。 vpn-tunnel-protocol 指定 ASA 允许用于远程访问(包括 SSL)的 VPN 协议。 思科 ASA 系列命令参考,A 至 H 命令 2-62 说明
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect ssl keepalive anyconnect ssl keepalive 要配置远程客户端通过 SSL VPN 连接向 ASA 发送 keepalive 消息的频率,请在组策略 webvpn 或 用户名 webvpn 配置模式下使用 anyconnect ssl keepalive 命令。使用此命令的 no 形式可从配置中 删除命令并使值得到继承。 anyconnect ssl keepalive {none | seconds} no anyconnect ssl keepalive {none | seconds} 语法说明 none 禁用 keepalive 消息。 seconds 启用 keepalive 消息并指定消息的频率,从 15 秒到 600 秒。 默认值 默认值为 20 秒。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 组策略 webvpn 配
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect ssl keepalive 示例 在以下示例中,用户将 ASA 配置为使客户端为名为 sales 的现有组策略发送 keepalive 消息,频率 为 300 秒(5 分钟): ciscoasa(config)# group-policy sales attributes ciscoasa(config-group-policy)# webvpn ciscoasa(config-group-webvpn)# anyconnect ssl keepalive 300 相关命令 命令 anyconnect 为特定组或用户启用或要求 SSL VPN 客户端。 anyconnect dpd-interval 在 ASA 上启用失效对等检测 (DPD),并设置客户端或 ASA 执行 DPD 的 频率。 anyconnect keep-installer 禁用客户端的自动卸载功能。客户端仍然安装在远程 PC 上以供将来连接。 anyconnect ssl
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect ssl rekey anyconnect ssl rekey 要使远程客户端对 SSL VPN 连接执行密钥更新,请在组策略 webvpn 或用户名 webvpn 配置模式 下使用 anyconnect ssl rekey 命令。要从配置中删除该命令并使值得到继承,请使用此命令的 no 形式。 anyconnect ssl rekey {method {ssl | new-tunnel} | time minutes | none} no anyconnect ssl rekey {method {ssl | new-tunnel} | time minutes | none} 语法说明 method ssl method new-tunnel method none time minutes 指定客户端在密钥更新期间建立一个新隧道。 指定客户端在密钥更新期间建立一个新隧道。 禁用密钥更新。 指定从会话开始到密钥更新所经历的分钟数,从 4 分钟到 10080
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect ssl rekey 相关命令 命令 anyconnect enable 说明 为特定组或用户启用或要求 AnyConnect 安全移动客户端。 anyconnect dpd-interval 在 ASA 上启用失效对等检测 (DPD),并设置 AnyConnect 安全移动客 户端或 ASA 执行 DPD 的频率。 anyconnect keepalive 指定远程计算机上的 AnyConnect 安全移动客户端向 ASA 发送 keepalive 消息的频率。 anyconnect 支持将 AnyConnect 安全移动客户端永久安装到远程计算机上。 keep-installer 思科 ASA 系列命令参考,A 至 H 命令 2-66
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect-custom(版本 9.0 到 9.2) anyconnect-custom(版本 9.0 到 9.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect-custom(版本 9.0 到 9.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect-custom(版本 9.3 和更高版本) anyconnect-custom(版本 9.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect-custom(版本 9.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect-custom-attr(版本 9.0 到 9.2) anyconnect-custom-attr(版本 9.0 到 9.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect-custom-attr(版本 9.0 到 9.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect-custom-attr(版本 9.3 和更高版本) anyconnect-custom-attr(版本 9.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect-custom-attr(版本 9.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect-custom-data anyconnect-custom-data 要创建自定义属性指定的值,请在全局配置模式下使用 anyconnect-custom-data 命令。要删除自 定义属性,请使用此命令的 no 形式。 anyconnect-custom-data attr-type attr-name attr-value no anyconnect-custom-data attr-type attr-name 语法说明 attr-type 以前使用 anyconnect-custom-attr 定义的属性的类型。 attr-name 具有指定值的属性的名称。在组策略和动态访问策略记录配置 模式中可以引用它。 attr-value 一个包含属性值的字符串。 最大长度为 420 个字符。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局 命令历史 使用指南 版本 9.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect-custom-data 相关命令 命令 show run webvpn show run group-policy 说明 显示有关 WebVPN 的配置信息,包括 anyconnect 命令。 显示关于当前组策略的配置信息。 show running-config 显示在 DAP 策略中使用的自定义属性。 dynamic-access-poli cy-record show run anyconnect-customdata 显示所有定义的自定义属性的指定值。 anyconnect-custom 将自定义属性类型和值与组策略或 DAP 关联起来。 anyconnect-customattr 创建自定义属性。 思科 ASA 系列命令参考,A 至 H 命令 2-76
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect-essentials anyconnect-essentials 要在 ASA 上启用 AnyConnect Essentials,请在组策略 webvpn 配置模式下使用 anyconnect-essentials 命令。要禁用使用 AnyConnect Essentials 并启用 premium AnyConnect 客户端,请使用此命令的 no 形式。 anyconnect-essentials no anyconnect-essentials 默认值 默认情况下启用 AnyConnect Essentials。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 版本 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 anyconnect-essentials 注 ASAv 上不支持此命令。有关详细信息,请参阅许可文档。 如果有活动的无客户端 SSL VPN 连接,并且您启用 AnyConnect Essentials 许可证,则所有连接会 注销并需要重新建立。 示例 在以下示例中,用户进入 webvpn 配置模式并启用 AnyConnect Essentials VPN 客户端: ciscoasa(config)# webvpn ciscoasa(config-webvpn)# anyconnect-essentials 思科 ASA 系列命令参考,A 至 H 命令 2-78
第2章 acl-netmask-convert 至 application-access hide-details 命令 apcf apcf 要启用应用配置文件定制框架配置文件,请在 webvpn 配置模式下使用 apcf 命令。要禁用特定 APCF 脚本,请使用此命令的 no 形式。要禁用所有 APCF 脚本,请使用此命令的 no 形式,不带 参数。 apcf URL/filename.ext no apcf [URL/filename.ext] 语法说明 filename.extension 指定 APCF 定制脚本的名称。这些脚本始终采用 XML 格式。扩展名可能是 .xml、.txt、.
第2章 acl-netmask-convert 至 application-access hide-details 命令 apcf 以下示例展示如何启用名为 apcf2.xml 的 APCF,此 APCF 位于名为 myserver 的 HTTPS 服务器 上,端口为 1440,路径为 /apcf: ciscoasa(config)# webvpn ciscoasa(config-webvpn)# apcf https://myserver:1440/apcf/apcf2.
第2章 acl-netmask-convert 至 application-access hide-details 命令 appl-acl appl-acl 要标识之前配置的 webtype ACL 以应用于会话,请在 dap webvpn 配置模式下使用 appl-acl 命令。 要从配置中删除该属性,请使用该命令的 no 形式。要删除所有 webtype ACL,请使用此命令的 no 形式,不带参数。 appl-acl [identifier] no appl-acl [identifier] 语法说明 identifier 默认值 没有默认值或行为。 命令模式 下表展示可输入此命令的模式: 以前配置的 webtype ACL 的名称。最大长度是 240 个字符。 防火墙模式 安全情景 多个 命令模式 路由 Dap webvpn configuration 命令历史 使用指南 版本 8.
第2章 acl-netmask-convert 至 application-access hide-details 命令 application-access application-access 要定制向经过身份验证的 WebVPN 用户显示的 WebVPN 主页的 “Application Access”(应用访 问)字段和当用户选择应用时启动的 “Application Access”(应用访问)窗口,请在定制配置模 式下使用 application-access 命令。要从配置中删除该命令并使值得到继承,请使用此命令的 no 形式。 application-access {title | message | window} {text | style} value no application-access {title | message | window} {text | style} value 语法说明 默认值 message 更改在 “Application Access”(应用访问)字段的标题下显示的消息。 style 更改 “Application Access”(应用
第2章 acl-netmask-convert 至 application-access hide-details 命令 application-access 使用指南 使用 webvpn 命令或者 tunnel-group webvpn-attributes 命令可访问此命令。 style 选项以任何有效的级联样式表 (CSS) 参数来表示。描述这些参数已超出本文档的范围。有关 CSS 参数的更多信息,请查询位于 www.w3.org 的万维网联盟 (W3C) 网站上的 CSS 规范。CSS 2.1 规范的附录 F 包含 CSS 参数的便捷列表,且在 www.w3.org/TR/CSS21/propidx.
第2章 acl-netmask-convert 至 application-access hide-details 命令 application-access hide-details application-access hide-details 要隐藏在 “WebVPN Applications Access”(WebVPN 应用访问)窗口中显示的应用详细信息, 请在定制配置模式下使用 application-access hide-details 命令,使用 webvpn 命令或 tunnel-group webvpn-attributes 命令可进入定制配置模式。要从配置中删除该命令并使值得到继承,请使用此 命令的 no 形式。 application-access hide-details {enable | disable} no application-access [hide-details {enable | disable}] 语法说明 disable 不在 “Application Access”(应用访问)窗口中隐藏应用详细信息。 enable 在 “Applicati
第 3 章 area 至 auto-update timeout 命令 思科 ASA 系列命令参考,A 至 H 命令 3-1
第3章 area 至 auto-update timeout 命令 area area 要创建 OSPF v2 或 OSPFv3 区域,请在路由器配置模式下使用 area 命令。要删除区域,请使用此 命令的 no 形式。 area area_id no area area_id 语法说明 area_id 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 所创建的区域 ID。您可以将标识符指定为十进制数字或 IP 地址。有效 十进制值范围为 0 到 4294967295。 防火墙模式 安全情景 多个 命令模式 命令历史 路由 透明 单个 情景 系统 路由器配置 • 是 — • 是 — — IPv6 路由器配置 • 是 — • 是 — — 版本 7.0(1) 修改 我们引入了此命令。 9.
第3章 area 至 auto-update timeout 命令 area authentication area authentication 要启用 OSPFv2 区域的身份验证,请在路由器配置模式下使用 area authentication 命令。要禁用 区域身份验证,请使用此命令的 no 形式。 area area_id authentication [message-digest] no area area_id authentication [message-digest] 语法说明 area_id 将要启用身份验证的区域的标识符。您可以将标识符指定为十进制数 字或 IP 地址。有效十进制值范围为 0 到 4294967295。 message-digest (可选)启用由 area_id 指定的区域的消息摘要 5 (MD5) 身份验证。 默认值 禁用区域身份验证。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 • 是 版本 7.0(1) 修改 9.
第3章 area 至 auto-update timeout 命令 area default-cost area default-cost 要指定发送到存根或 NSSA 的默认汇总路由的成本,请在路由器配置模式或 IPv6 路由器配置模式 下使用 area default-cost 命令。要恢复默认成本值,请使用此命令的 no 形式。 area area_id default-cost cost no area area_id default-cost cost 语法说明 area_id 更改其默认成本的存根或 NSSA 的标识符。您可以将标识符指定为十 进制数字或 IP 地址。有效十进制值范围为 0 到 4294967295。 cost 指定用于存根或 NSSA 的默认汇总路由的成本。有效值范围为 0 到 65535 默认值 cost 的默认值为 1。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 示例 路由 透明 情景 系统 路由器配置 • 是 — • 是 • 是 — IPv6 路由器配置
第3章 area 至 auto-update timeout 命令 area default-cost 相关命令 命令 area nssa 说明 将区域定义为末节区域。 area stub 将区域定义为存根区域。 router ospf 进入路由器配置模式。 show running-config router 在全局路由器配置中显示的命令。 思科 ASA 系列命令参考,A 至 H 命令 3-5
第3章 area 至 auto-update timeout 命令 area filter-list prefix area filter-list prefix 要过滤在 ABR 的各 OSPFv2 区域之间的类型 3 LSA 中通告的前缀,请在路由器配置模式下使用 area filter-list prefix 命令。要更改或取消过滤器,请使用此命令的 no 形式。 area area_id filter-list prefix list_name {in | out} no area area_id filter-list prefix list_name {in | out} 语法说明 area_id 标识配置过滤的区域。您可以将标识符指定为十进制数字或 IP 地址。 有效十进制值范围为 0 到 4294967295。 in 将配置的前缀列表应用到通告入站到指定区域的前缀。 list_name 指定前缀列表的名称。 out 将配置的前缀列表应用到通告从指定区域出站的前缀。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个
第3章 area 至 auto-update timeout 命令 area filter-list prefix 相关命令 命令 router ospf show running-config router 说明 进入路由器配置模式。 在全局路由器配置中显示的命令。 思科 ASA 系列命令参考,A 至 H 命令 3-7
第3章 area 至 auto-update timeout 命令 area nssa area nssa 要将区域配置为 NSSA,请在路由器配置模式或 IPv6 路由器配置模式下使用 area nssa 命令。要 从区域删除 NSSA 指定,请使用此命令的 no 形式。 area area_id nssa [no-redistribution] [default-information-originate [metric-type {1 | 2}] [metric value]] [no-summary] no area area_id nssa [no-redistribution] [default-information-originate [metric-type {1 | 2}] [metric value]] [no-summary] 语法说明 area_id 标识指定为 NSSA 的区域。您可以将标识符指定为十进制数字或 IP 地址。 有效十进制值范围为 0 到 4294967295。 default-information- 用于生成默认至 NSSA 区域的类型 7。此关键字
第3章 area 至 auto-update timeout 命令 area nssa 使用指南 如果之前尚未使用 area 命令定义指定的区域,则此命令会通过指定的参数创建区域。 如果为区域配置一个选项,稍后又指定另一个选项,则这两个选项都会设置。例如,单独输入以 下两个命令会在配置中产生设置两个选项的单个命令: ciscoasa(config-rtr)# area 1 nssa no-redistribution ciscoasa(config-rtr)# area area_id nssa default-information-originate 示例 以下示例展示如何单独设置两个选项以在配置中产生单一命令: ciscoasa(config-rtr)# area 1 nssa no-redistribution ciscoasa(config-rtr)# area 1 nssa default-information-originate ciscoasa(config-rtr)# exit ciscoasa(config-rtr)# show running-config router os
第3章 area 至 auto-update timeout 命令 area range (OSPFv2) area range (OSPFv2) 为了在区域边界上整合并汇总路由,请在路由器配置模式中使用 area range 命令。要禁用此功 能,请使用此命令的 no 形式。 area area_id range address mask [advertise | not-advertise] no area area_id range address mask [advertise | not-advertise] 语法说明 address 子网范围的 IP 地址。 advertise (可选)设置地址范围状态以通告并生成类型 3 汇总链路状态通告 (LSA)。 area_id 标识配置范围的区域。您可以将标识符指定为十进制数字或 IP 地址。 有效十进制值范围为 0 到 4294967295。 mask IP 地址子网掩码。 not-advertise (可选)地址范围状态设置为 DoNotAdvertise。抑制类型 3 汇总 LSA,并保持向其他网络隐藏组件网络。 默认
第3章 area 至 auto-update timeout 命令 area range (OSPFv2) 示例 以下示例针对网络 10.0.0.0 上的所有子网和网络 192.168.110.0 上的所有主机,指定通过 ABR 通 告一个到其他区域的汇总路由: ciscoasa(config-router)# area 10.0.0.0 range 10.0.0.0 255.0.0.0 ciscoasa(config-router)# area 0 range 192.168.110.0 255.255.255.
第3章 area 至 auto-update timeout 命令 area range (OSPFv3) area range (OSPFv3) 要在区域边界合并和汇总 OSPFv3 路由,请在 IPv6 路由器配置模式下使用 area range 命令。要禁 用此功能,请使用此命令的 no 形式。 area area_id range ipv6-prefix/prefix-length [advertise | not-advertise] [cost cost] no area area_id range ipv6-prefix/prefix-length [advertise | not-advertise] [cost cost] 语法说明 advertise (可选)设置范围状态以通告并生成类型 3 汇总链路状态通告 (LSA)。 area_id 指定要汇总路由的区域的标识符。您可以将标识符指定为十进制数字或 IPv6 前缀。 cost cost (可选)指定此汇总路由的指标或成本,用于在 OSPF SPF 计算期间确 定到目的地的最短路径。有效值范围为 0 到 1677721
第3章 area 至 auto-update timeout 命令 area range (OSPFv3) 相关命令 命令 ipv6 router ospf show running-config ipv6 router 说明 进入 OSPFv3 的 IPv6 路由器配置模式。 显示全局路由器配置中的 IPv6 命令。 思科 ASA 系列命令参考,A 至 H 命令 3-13
第3章 area 至 auto-update timeout 命令 area stub area stub 要将区域定义为存根区域,请在路由器配置模式或 IPv6 路由器配置模式下使用 area stub 命令。 要删除存根区域,请使用此命令的 no 形式。 area area_id stub [no-summary] no area area_id stub [no-summary] 语法说明 默认值 命令模式 area_id 标识存根区域。您可以将标识符指定为十进制数字或 IP 地址。有效十 进制值范围为 0 到 4294967295。 no-summary 防止 ABR 发送汇总链路通告到存根区域。 默认行为如下所示: • 未定义存根区域。 • 将汇总链路通告发送到存根区域。 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 单个 情景 系统 路由器配置 • 是 — • 是 — — IPv6 路由器配置 • 是 — • 是 — — 版本 7.
第3章 area 至 auto-update timeout 命令 area stub 相关命令 命令 area default-cost 说明 指定发送到存根或 NSSA 的默认汇总路由的成本。 area nssa 将区域定义为末节区域。 router ospf 进入路由器配置模式。 show running-config router 在全局路由器配置中显示的命令。 思科 ASA 系列命令参考,A 至 H 命令 3-15
第3章 area 至 auto-update timeout 命令 area virtual-link (OSPFv2) area virtual-link (OSPFv2) 要定义 OSPF 虚拟链路,请在路由器配置模式下使用 area virtual-link 命令。要重置选项或删除虚 拟链路,请使用此命令的 no 形式。 area area_id virtual-link router_id [authentication [message-digest | null]] [hello-interval seconds] [retransmit-interval seconds] [transmit-delay seconds] [dead-interval seconds [[[[authentication-key[0 | 8] key ] | [message-digest-key key_id md5 [0 | 8] key ]]]] no area area_id virtual-link router_id [authentication [message-digest | null]
第3章 area 至 auto-update timeout 命令 area virtual-link (OSPFv2) 命令模式 • retransmit-interval seconds:5 秒。 • transmit-delay seconds:1 秒。 • dead-interval seconds:40 秒。 • authentication-key [0 | 8] key:没有预定义密钥。 • message-digest-key key_id md5 [0 | 8] key:没有预定义密钥。 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 版本 7.
第3章 area virtual-link (OSPFv2) 相关命令 命令 router ospf 说明 show ospf 显示有关 OSPF 路由进程的一般信息。 show running-config router 在全局路由器配置中显示的命令。 思科 ASA 系列命令参考,A 至 H 命令 3-18 进入路由器配置模式。 area 至 auto-update timeout 命令
第3章 area 至 auto-update timeout 命令 area virtual-link (OSPFv3) area virtual-link (OSPFv3) 要定义 OSPFv3 虚拟链路,请在 IPv6 路由器配置模式下使用 area virtual-link 命令。要重置选项 或删除虚拟链路,请使用此命令的 no 形式。 area area_id virtual-link router_id [hello-interval seconds] [retransmit-interval seconds] [transmit-delay seconds] [dead-interval seconds [ttl-security hops hop-count] no area area_id virtual-link router_id [hello-interval seconds] [retransmit-interval seconds] [transmit-delay seconds] [dead-interval seconds] [ttl-security hops hop-co
第3章 area 至 auto-update timeout 命令 area virtual-link (OSPFv3) 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 IPv6 路由器配置 命令历史 版本 9.
第3章 area 至 auto-update timeout 命令 arp arp 要向 ARP 表添加静态 ARP 条目,请在全局配置模式下使用 arp 命令。要删除静态条目,请使用 此命令的 no 形式。 arp interface_name ip_address mac_address [alias] no arp interface_name ip_address mac_address 语法说明 alias (可选)启用此映射的代理 ARP。如果 ASA 接收到指定 IP 地址的 ARP 请求,则会使用 ASA MAC 地址进行响应。当 ASA 接收到属于 IP 地址 的主机的流量时,ASA 会将流量转发到在此命令中指定的主机 MAC 地 址。例如,此关键字在您有不执行 ARP 的设备时非常有用。 在透明防火墙模式下,会忽略此关键字; ASA 不执行代理 ARP。 interface_name 连接到主机网络的接口。 ip_address 主机 IP 地址。 mac_address 主机 MAC 地址。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式:
第3章 area 至 auto-update timeout 命令 arp 示例 以下示例在 outside 接口上对 MAC 地址为 0009.7cbe.2100 的 10.1.1.1 创建静态 ARP 条目: ciscoasa(config)# arp outside 10.1.1.1 0009.7cbe.
第3章 area 至 auto-update timeout 命令 arp permit-nonconnected arp permit-nonconnected 要使 ARP 缓存还包括非直接连接的子网,请在全局配置模式下使用 arp permit-nonconnected 命 令。要禁用未连接的子网,请使用此命令的 no 形式。 arp permit-nonconnected no arp permit-nonconnected 语法说明 此命令没有任何参数或关键字。 命令默认值 此命令默认禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 透明 是 版本 修改 8.4 (5)、9.
第3章 area 至 auto-update timeout 命令 arp-inspection arp-inspection 要为透明防火墙模式弃用 ARP 检查,请在全局配置模式下使用 arp-inspection 命令。要禁用 ARP 检查,请使用此命令的 no 形式。 arp-inspection interface_name enable [flood | no-flood] no arp-inspection interface_name enable 语法说明 enable 启用 ARP 检查。 flood (默认)指定将与静态 ARP 条目的任何元素都不匹配的数据包泛洪到 除原始接口之外的所有接口。如果 MAC 地址、IP 地址或接口之间不匹 配,则 ASA 丢弃数据包。 注 如果有管理特定接口,即使此参数设置为 flood,它也从不会泛洪 数据包。 interface_name 要启用 ARP 检查的接口。 no-flood (可选)指定丢弃没有完全匹配静态 ARP 条目的数据包。 默认值 默认情况下,所有接口上禁用 ARP 检查;所有 ARP 数据包允许通过
第3章 area 至 auto-update timeout 命令 arp-inspection 注 如果有专用管理接口,即使此参数设置为 flood,它也从不会泛洪数据包。 ARP 检查防止恶意用户冒充其他主机或路由器(称为 ARP 欺骗)。ARP 欺骗能够启用 “ 中间人 ” 攻击。例如,主机发送 ARP 请求到网关路由器;网关路由器使用网关路由器 MAC 地址响应。但 是,攻击者使用攻击者 MAC 地址(而不是路由器 MAC 地址)将其他 ARP 响应发送到主机。然 后,攻击者可以在主机流量转发到路由器之前拦截所有主机流量。 如果正确的 MAC 地址和关联的 IP 地址在静态 ARP 表中,则 ARP 检查可确保攻击者无法使用攻 击者 MAC 地址发送 ARP 响应。 注 示例 在透明防火墙模式下,动态 ARP 条目用于 ASA 中进出的流量,如管理流量。 以下示例在 outside 接口上启用 ARP 检查,并将 ASA 设置为丢弃与静态 ARP 条目不匹配的所有 ARP 数据包。 ciscoasa(config)# arp outside 209.165.200.225 0009.
第3章 area 至 auto-update timeout 命令 arp timeout arp timeout 要设置 ASA 重建 ARP 表之前的时间,请在全局配置模式下使用 arp timeout 命令。要恢复默认超 时,请使用此命令的 no 形式。 arp timeout seconds no arp timeout seconds 语法说明 seconds 默认值 默认值为 14,400 秒(4 小时)。 命令模式 下表展示可输入此命令的模式: ARP 表重建之间的秒数,从 60 到 4294967。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示例 版本 7.
第3章 area 至 auto-update timeout 命令 as-path access-list as-path access-list 要通过正则表达式配置自主系统路径过滤器,请在全局配置模式下使用 as-path access-list 命 令。要删除自主系统路径过滤器并从运行配置文件将其删除,请使用此命令的 no 形式。 as-path access-list acl-name {permit | deny} regexp no as-path access-list acl-name 语法说明 acl-name 指定自主系统路径访问列表的名称。 permit 根据匹配条件允许通告。 deny 根据匹配条件拒绝通告。 regexp 定义自主系统路径过滤器的正则表达式。自主系统编号的表示范围为 1 到 65535。 要获取有关自主系统编号格式的更多详细信息,请参阅 router bgp 命令。 注 有关配置正则表达式的信息,请参阅思科 IOS 终端服务配置指南 中的 “ 正则表达式 ” 附录。 默认值 没有创建自主系统路径过滤器。 命令模式 下表展示可输入此命令的
第3章 area 至 auto-update timeout 命令 as-path access-list 示例 在以下示例中,定义自主系统路径访问列表(编号 500),以配置 ASA 不将通过或从自主系统 65535 的任何路径通告到 10.20.2.2 邻居: ciscoasa(config)# as-path access-list as-path-acl deny _65535_ ciscoasa(config)# as-path access-list as-path-acl deny ^65535$ ciscoasa(config)# router bgp 5000 ciscoasa(config-router)# address-fmaily ipv4 ciscoasa(config-router-af)# neighbor 192.168.1.1 remote-as 65535 ciscoasa(config-router-af)# neighbor 10.20.2.2 remote-as 40000 ciscoasa(config-router-af)# neighbor 10.
第3章 area 至 auto-update timeout 命令 asdm disconnect asdm disconnect 要终止活动 ASDM 会话,请在特权 EXEC 模式下使用 asdm disconnect 命令。 asdm disconnect session 语法说明 session 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 要终止的活动 ASDM 会话的会话 ID。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 7.
第3章 area 至 auto-update timeout 命令 asdm disconnect log_session asdm disconnect log_session 要终止活动 ASDM 日志记录会话,请在特权 EXEC 模式下使用 asdm disconnect log_session 命令。 asdm disconnect log_session session 语法说明 session 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 要终止的活动 ASDM 日志记录会话的会话 ID。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第3章 area 至 auto-update timeout 命令 asdm disconnect log_session ciscoasa# asdm disconnect 0 ciscoasa# show asdm log_sessions 1 192.168.1.
第3章 area 至 auto-update timeout 命令 asdm history enable asdm history enable 要启用 ASDM 历史记录跟踪,请在全局配置模式下使用 asdm history enable 命令。要禁用 ASDM 历史记录跟踪,请使用此命令的 no 形式。 asdm history enable no asdm history enable 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第3章 area 至 auto-update timeout 命令 asdm image asdm image 要指定闪存中 ASDM 软件映像的位置,请在全局配置模式下使用 asdm image 命令。要删除映像 位置,请使用此命令的 no 形式。 asdm image url no asdm image [url] 语法说明 url 设置闪存中 ASDM 映像的位置。参阅以下 URL 语法: • disk0:/[path/]filename 对于 ASA 5500 系列,此 URL 指示内部闪存。您还可以使用 flash 代替 disk0 ;它们互为别名。 • disk1:/[path/]filename 对于 ASA 5500 系列,此 URL 指示外部闪存卡。 • flash:/[path/]filename 此 URL 指示内部闪存。 默认值 如果在启动配置中不包括此命令,ASA 会在启动时使用它发现的第一个 ASDM 映像。它先后搜索 内部闪存和外部闪存的根目录。然后,ASA 在发现映像时将 asdm image 命令插入到运行配置中。 命令模式 下表展示可输入此命令的
第3章 asdm image 示例 以下示例将 ASDM 映像设置为 asdm.bin: ciscoasa(config)# asdm image flash:/asdm.
第3章 area 至 auto-update timeout 命令 asdm location asdm location 注意事项 请勿手动配置此命令。ASDM 将 asdm location 命令添加到运行配置并用于内部通信。此命令包 含在文档中仅供参考。 asdm location ip_addr netmask if_name asdm location ipv6_addr/prefix if_name 语法说明 if_name 安全性最高的接口的名称。如果您有多个接口处于最高安全性,则随机 选择接口名称。不使用此接口名称,但它是必要参数。 ip_addr 供 ASDM 内部使用以定义网络拓扑的 IP 地址。 ipv6_addr/prefix 供 ASDM 内部使用以定义网络拓扑的 IPv6 地址和前缀。 netmask ip_addr 的子网掩码。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第3章 area 至 auto-update timeout 命令 asp load-balance per-packet asp load-balance per-packet 对于多核 ASA,要更改负载平衡行为,请在全局配置模式下使用 asp load-balance per-packet 命 令。要恢复默认负载平衡机制,请使用此命令的 no 形式。 asp load-balance per-packet [auto] no asp load-balance per-packet 语法说明 auto 命令默认值 对于 asp load-balance per-packet 命令,默认情况下负载平衡机制支持多个接口。对于 asp load-balance per-packet auto 命令,默认行为是一次只允许一个核心从接口接收环接收数据包。 命令模式 下表展示可输入此命令的模式: 自动开启和关闭每个接口接收环上的每数据包 ASP 负载平衡。默认设 置为禁用。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 是 透明 • 是 单个
第3章 area 至 auto-update timeout 命令 asp load-balance per-packet 注 在自动模式下,只在高负载接口接收环(而非所有接口接收环)上启用每数据包 ASP 负载平衡。 在升级期间,当启用或禁用每数据包 ASP 负载平衡时,您应保持正在运行的当前模式。您必须明 确配置自动模式。 在自动模式下,每个接口接收环保持等待时间。若接口接收环视为处于忙碌状态,而每数据包 ASP 负载平衡因为大流量而自动启用,则接口接收环会保持自动为等待时间(默认为 200 毫秒) 启用每数据包 ASP 负载平衡。如果接口接收环负载下降,但在 200 毫秒内由于大流量而重新获得 负载,接口接收环会视为处于忙碌状态,等待时间会加倍,直到达到最多 6400 毫秒。如果接口 接收环没有遇到连续大流量,则等待时间保持在 200 毫秒。此机制可降低在启用和禁用状态之间 的每数据包 ASP 负载平衡摇摆,从而有助于在不同时间长度内避免溢出。 启用 auto 选项时,负载不高的环上会保持一对一锁定,因为这些环不需要多个核心的关注。此 外,高负载环上不会保留一对一锁定,因为它们需要多个核心的关注以
第3章 area 至 auto-update timeout 命令 asp rule-engine transactional-commit asp rule-engine transactional-commit 使用 asp rule-engine transactional-commit 命令启用或禁用规则引擎的交易执行模式。 asp rule-engine transactional-commit option no asp rule-engine transactional-commit option 语法说明 对选定策略启用规则引擎的交易执行模式。选项包括: option • access-group - 访问全局应用或应用到接口的规则。 • nat - 网络地址转换规则。 命令默认值 默认情况下,禁用交易执行模式。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 透明 是 • 版本 9.1(5) 我们引入了此命令。 9.
第3章 area 至 auto-update timeout 命令 asp rule-engine transactional-commit 交易模式的另一个优势是,当替换接口上的 ACL 时,在删除旧的 ACL 和应用新的 ACL 之间没有 间隙。这将减少在操作期间丢失可接受连接的可能性。 提示 示例 如果启用规则类型的交易模式,则会出现标记编译开始和结束的系统日志消息。这些消息从 780001 开始并往后编号。 以下示例为访问组启用交易执行模式: ciscoasa(config)# asp rule-engine transactional-commit access-group 相关命令 命令 clear conf asp rule-engine transactional-commit show run asp rule-engine transactional-commit 说明 清除规则引擎的交易执行配置。 显示规则引擎的运行配置。 思科 ASA 系列命令参考,A 至 H 命令 3-39
第3章 area 至 auto-update timeout 命令 asr-group asr-group 要指定非对称路由接口组 ID,请在接口配置模式下使用 asr-group 命令。要删除 ID,请使用此命 令的 no 形式。 asr-group group_id no asr-group group_id 语法说明 group_id 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 非对称路由组 ID。有效值为从 1 到 32。 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 版本 7.
第3章 area 至 auto-update timeout 命令 asr-group 情景 ctx2 配置: ciscoasa/ctx2(config)# interface Ethernet3 ciscoasa/ctx2(config-if)# nameif outside ciscoasa/ctx2(config-if)# ip address 192.168.1.31 255.255.255.0 standby 192.168.1.
第3章 area 至 auto-update timeout 命令 assertion-consumer-url assertion-consumer-url 要标识安全设备用来联系 Assertion Consumer Service 所访问的 URL,请在 webvpn 配置模式下为 该特定 SAML 类型 SSO 服务器使用 assertion-consumer-url 命令。要从声明删除 URL,请使用此 命令的 no 形式。 assertion-consumer-url url no assertion-consumer-url [url] 语法说明 url 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定 SAML 类型 SSO 服务器使用的 Assertion Consumer Service 的 URL。URL 必须以 http:// 或 https:// 开始,且必须小于 255 个字母数字 字符。 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 使用指南 版本 8.
第3章 area 至 auto-update timeout 命令 assertion-consumer-url 相关命令 命令 issuer 说明 指定 SAML 类型 SSO 服务器安全设备名称。 request-timeout 指定失败的 SSO 身份验证尝试超时之前的秒数。 show webvpn sso-server 显示在安全设备上配置的所有 SSO 服务器的运行统计信息。 sso-server 创建 WebVPN SSO 服务器。 trustpoint 指定信任点名称,其中包含用于签署 SAML 类型浏览器断言的证书。 思科 ASA 系列命令参考,A 至 H 命令 3-43
第3章 area 至 auto-update timeout 命令 attribute attribute 要指定 ASA 写入 DAP 属性数据库的属性值对,请在 dap 测试属性模式下输入 attribute 命令。 attribute name value 语法说明 name 指定已知属性名称或包含 “ 标签 ” 标记的属性。标签标记对应于 您配置给 DAP 记录中文件、注册、进程、防病毒、防间谍软件和个 人防火墙终端属性的终端 ID。 value 分配给 AAA 属性的值。 命令默认值 没有默认值或行为。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 DAP 属性配置 命令历史 使用指南 版本 8.
第3章 area 至 auto-update timeout 命令 attribute ciscoasa # test dynamic-access-policy attributes ciscoasa(config-dap-test-attr)# attribute aaa.ldap.memberof SAP ciscoasa(config-dap-test-attr)# attribute endpoint.av.nav.
第3章 area 至 auto-update timeout 命令 auth-cookie-name auth-cookie-name 要指定身份验证 Cookie 的名称,请在 aaa-server 主机配置模式下使用 auth-cookie-name 命令。这 是带有 HTTP Forms 命令的 SSO。 auth-cookie-name 语法说明 name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 身份验证 Cookie 的名称。最大名称大小为 128 个字符。 防火墙模式 安全情景 多个 命令模式 路由 Aaa-server host configuration 命令历史 使用指南 版本 7.
第3章 area 至 auto-update timeout 命令 auth-cookie-name 相关命令 命令 action-uri 说明 hidden-parameter 创建用于与身份验证 Web 服务器交换的隐藏参数。 password-parameter 指定 HTTP POST 请求参数(其中必须提交用户密码以供 SSO 身份验证)的名称。 start-url 指定用于提取登录前 Cookie 的 URL。 user-parameter 指定用户名参数必须提交为用于 SSO 身份验证的 HTTP POST 请求的一部分。 指定要接收用于单点登录身份验证的用户名和密码的 Web 服务器 URI。 思科 ASA 系列命令参考,A 至 H 命令 3-47
第3章 area 至 auto-update timeout 命令 authenticated-session-username authenticated-session-username 要指定当启用双重身份验证时与会话关联的身份验证用户名,请在 tunnel-group general-attributes 模 式下使用 authenticated-session-username 命令。要从配置中删除属性,请使用此命令的 no 形式。 authenticated-session-username {primary | secondary} no authenticated-session-username 语法说明 primary 使用来自主身份验证服务器的用户名。 secondary 使用来自辅助身份验证服务器的用户名。 默认值 默认值为 primary。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 隧道组常规属性配置 命令历史 版本 8.
第3章 area 至 auto-update timeout 命令 authenticated-session-username 相关命令 命令 pre-fill-username 说明 show running-config tunnel-group 显示指示的隧道组配置。 tunnel-group general-attributes 指定命名的隧道组的常规属性。 username-from-certificate 在证书中指定要用作用于授权的用户名的字段。 启用预先填写用户名功能。 思科 ASA 系列命令参考,A 至 H 命令 3-49
第3章 area 至 auto-update timeout 命令 authentication-attr-from-server authentication-attr-from-server 要指定当启用双重身份验证时将哪些身份验证服务器授权属性应用于连接,请在 tunnel-group general-attributes 模式下使用 authentication-attr-from-server 命令。要从配置中删除属性,请使 用此命令的 no 形式。 authentication-attr-from-server {primary | secondary} no authentication-attr-from-server 语法说明 primary 使用主身份验证服务器。 secondary 使用辅助身份验证服务器。 默认值 默认值为 primary。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 隧道组常规属性配置 命令历史 版本 8.
第3章 area 至 auto-update timeout 命令 authentication-attr-from-server 相关命令 命令 pre-fill-username 说明 show running-config tunnel-group 显示指示的隧道组配置。 tunnel-group general-attributes 指定命名的隧道组的常规属性。 username-from-certificate 在证书中指定要用作用于授权的用户名的字段。 启用预先填写用户名功能。 思科 ASA 系列命令参考,A 至 H 命令 3-51
第3章 area 至 auto-update timeout 命令 authentication-certificate authentication-certificate 要从建立连接的 WebVPN 客户端要求证书,请在 webvpn 配置模式下使用 authentication-certificate 命令。要取消对客户端证书的要求,请使用此命令的 no 形式。 authentication-certificate interface-name no authentication-certificate [interface-name] 语法说明 interface-name 用于建立连接的接口名称。可用接口名称如下: • inside GigabitEthernet0/1 接口名称 • outside GigabitEthernet0/0 接口名称 默认值 如果省略 authentication-certificate 命令,则禁用客户端证书身份验证。如果不使用 authentication-certificate 命令指定接口名称,则默认接口名称为 inside。 命令模式
第3章 area 至 auto-update timeout 命令 authentication-certificate 示例 以下示例配置 outside 接口上用于 WebVPN 用户连接的证书身份验证: ciscoasa(config)# webvpn ciscoasa(config-webvpn)# authentication-certificate outside ciscoasa(config-webvpn)# 相关命令 命令 authentication (tunnel-group webvpn configuration mode) 说明 指定隧道组的成员必须使用数字证书进行身份验证。 http authentication-certificate 指定通过与 ASA 的 ASDM 管理连接的证书进行身份验证。 interface 配置用于建立连接的接口。 show running-config ssl 显示当前配置的 SSL 命令集。 ssl trust-point 配置 SSL 证书信任点。 思科 ASA 系列命令参考,A 至 H 命令 3-53
第3章 area 至 auto-update timeout 命令 authentication-exclude authentication-exclude 要使最终用户浏览到配置的链接,且无需登录到无客户端 SSL VPN,请在 webvpn 配置模式下输 入 authentication-exclude 命令。多次使用此命令可允许访问多个站点。 authentication-exclude url-fnmatch 语法说明 url-fnmatch 命令默认值 已禁用。 命令模式 下表展示可输入此命令的模式: 标识链接,通过这些链接可无需登录即连接到无客户端 SSL VPN。 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 使用指南 版本 8.
第3章 area 至 auto-update timeout 命令 authentication authentication 要配置 WebVPN 和邮件代理的身份验证方法,请在多种模式下使用 authentication 命令。若要恢 复默认方法,请使用此命令的 no 形式。ASA 对用户进行身份验证以验证其身份。 authentication {[aaa] [certificate] [mailhost] [piggyback]} no authentication [aaa] [certificate] [mailhost] [piggyback] 语法说明 默认值 命令模式 aaa 提供用户名和密码,ASA 使用它们与先前配置的 AAA 服务器进行核查。 certificate 提供 SSL 协商期间的证书。 mailhost 通过远程邮件服务器进行身份验证(仅适用于 SMTPS)。对于 IMAP4S 和 POP3S,mailhost 身份验证是必需的且不会显示为可配置选项。 piggyback 要求 HTTPS WebVPN 会话已存在。Piggyback 身份验证仅适用
第3章 area 至 auto-update timeout 命令 authentication 使用指南 至少需要一个身份验证方法。例如,对于 WebVPN,您可以指定 AAA 身份验证和 / 或证书身份 验证。您可以按任意顺序输入这些命令。 WebVPN 证书身份验证要求 HTTPS 用户证书对于各接口是必要的。就是说,要使此选择可以操 作,您必须在 authentication-certificate 命令中指定接口,才能指定证书身份验证。 如果在 webvpn 配置模式下输入此命令,它会转换为 tunnel-group webvpn-attributes 配置模式下的 同一命令。 对于 WebVPN,您可能需要 AAA 和证书身份验证。在这种情况下,用户必须提供证书和用户名与 密码。对于邮件代理身份验证,您可能需要多个身份验证方法。重新指定命令将覆盖当前配置。 示例 以下示例展示如何要求 WebVPN 用户提供证书进行身份验证。 ciscoasa(config)# webvpn ciscoasa(config-webvpn)# authentication certificate 相关命
第3章 area 至 auto-update timeout 命令 authentication eap-proxy authentication eap-proxy 对于 L2TP over IPsec 连接,要启用 EAP 并允许 ASA 将 PPP 身份验证过程代理至外部 RADIUS 身 份验证服务器,请在 tunnel-group ppp-attributes 配置模式下使用 authentication eap-proxy 命令。 要将命令恢复其默认设置(允许 CHAP 和 MS-CHAP),请使用此命令的 no 形式。 authentication eap-proxy no authentication eap-proxy 语法说明 此命令没有关键字或参数。 默认值 默认情况下,EAP 不是允许的身份验证协议。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Tunnel-group ppp-attributes 配置 命令历史 版本 7.
第3章 area 至 auto-update timeout 命令 authentication key eigrp authentication key eigrp 要启用 EIGRP 数据包的身份验证并指定身份验证密钥,请在接口配置模式下使用 authentication key eigrp 命令。要禁用 EIGRP 身份验证,请使用此命令的 no 形式。 authentication key eigrp as-number key key-id key-id no authentication key eigrp as-number 语法说明 as-number 经身份验证的 EIGRP 进程的自主系统编号。此值必须与为 EIGRP 路由进程 配置的值相同。 key 用于对 EIGRP 更新进行身份验证的密钥。密钥可包含最多 16 个字符。 key-id key-id 密钥识别值;有效值范围为 1 到 255。 默认值 EIGRP 身份验证禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 • 是 版
第3章 area 至 auto-update timeout 命令 authentication mode eigrp authentication mode eigrp 要指定用于 EIGRP 身份验证的身份验证类型,请在接口配置模式下使用 authentication mode eigrp 命令。要恢复默认身份验证方式,请使用此命令的 no 形式。 authentication mode eigrp as-num md5 no authentication mode eigrp as-num md5 语法说明 as-num EIGRP 路由进程的自主系统编号。 md5 EIGRP 消息身份验证使用 MD5。 默认值 默认为不提供身份验证。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 • 是 版本 8.0(2) 修改 9.
第3章 area 至 auto-update timeout 命令 authentication ms-chap-v1 authentication ms-chap-v1 对于 L2TP over IPsec 连接,要启用 PPP 的 Microsoft CHAP 版本 1 身份验证,请在 tunnel-group ppp-attributes 配置模式下使用 authentication ms-chap-v1 命令。要将命令恢复为默认设置(允许 CHAP 和 MS-CHAP),请使用此命令的 no 形式。要禁用 Microsoft CHAP 版本 1,请使用此命令 的 no 形式。 authentication ms-chap-v1 no authentication ms-chap-v1 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Tunnel-group ppp-attributes 配置 命令历史 版本 7.
第3章 area 至 auto-update timeout 命令 authentication ms-chap-v2 authentication ms-chap-v2 对于 L2TP over IPsec 连接,要启用 PPP 的 Microsoft CHAP 版本 2 身份验证,请在 tunnel-group ppp-attributes 配置模式下使用 authentication ms-chap-v1 命令。要将命令恢复其默认设置(允许 CHAP 和 MS-CHAP),请使用此命令的 no 形式。 authentication ms-chap-v2 no authentication ms-chap-v2 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Tunnel-group ppp-attributes 配置 命令历史 使用指南 版本 7.
第3章 area 至 auto-update timeout 命令 authentication pap authentication pap 对于 L2TP over IPsec 连接,要允许 PPP 的 PAP 身份验证,请在 tunnel-group ppp-attributes 配置模 式下使用 authentication pap 命令。要将命令恢复其默认设置(允许 CHAP 和 MS-CHAP),请使 用此命令的 no 形式。 authentication pap no authentication pap 语法说明 此命令没有关键字或参数。 默认值 默认情况下,PAP 不是允许的身份验证协议。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Tunnel-group ppp-attributes 配置 命令历史 使用指南 版本 7.
第3章 area 至 auto-update timeout 命令 authentication-certificate authentication-certificate 要从建立连接的 WebVPN 客户端要求证书,请在 webvpn 配置模式下使用 authentication-certificate 命令。要取消对客户端证书的要求,请使用此命令的 no 形式。 authentication-certificate interface-name no authentication-certificate [interface-name] 语法说明 interface-name 用于建立连接的接口名称。可用接口名称如下: • inside GigabitEthernet0/1 接口名称 • outside GigabitEthernet0/0 接口名称 默认值 如果省略 authentication-certificate 命令,则禁用客户端证书身份验证。如果不使用 authentication-certificate 命令指定接口名称,则默认接口名称为 inside。 命令模式
第3章 area 至 auto-update timeout 命令 authentication-certificate 示例 以下示例配置 outside 接口上用于 WebVPN 用户连接的证书身份验证: ciscoasa(config)# webvpn ciscoasa(config-webvpn)# authentication-certificate outside ciscoasa(config-webvpn)# 相关命令 命令 authentication (tunnel-group webvpn configuration mode) 说明 指定隧道组的成员必须使用数字证书进行身份验证。 http authentication-certificate 指定通过与 ASA 的 ASDM 管理连接的证书进行身份验证。 interface 配置用于建立连接的接口。 show running-config ssl 显示当前配置的 SSL 命令集。 ssl trust-point 配置 SSL 证书信任点。 思科 ASA 系列命令参考,A 至 H 命令 3-64
第3章 area 至 auto-update timeout 命令 authentication-port authentication-port 要对此主机指定用于 RADIUS 身份验证的端口号,请在 aaa-server 配置主机配置模式下使用 authentication-port 命令。要删除身份验证端口指定,请使用此命令的 no 形式。 authentication-port port no authentication-port 语法说明 port 默认值 默认情况下,设备在端口 1645 上侦听 RADIUS(与 RFC 2058 一致)。如果没有指定端口,使用 RADIUS 身份验证默认端口号 1645。 命令模式 下表展示可输入此命令的模式: RADIUS 身份验证的端口号,范围为 1 到 65535。 防火墙模式 安全情景 多个 命令模式 路由 Aaa-server host configuration 命令历史 使用指南 版本 7.
第3章 area 至 auto-update timeout 命令 authentication-port 相关命令 命令 aaa authentication 说明 aaa-server host 进入 AAA 服务器主机配置模式,在此模式下可以配置特定于主 机的 AAA 服务器参数。 clear configure aaa-server 从配置中删除所有 AAA 命令语句。 show running-config aaa-server 显示所有 AAA 服务器、特定服务器组、特定组内特定服务器或 特定协议的 AAA 服务器统计信息。 思科 ASA 系列命令参考,A 至 H 命令 3-66 在通过 aaa-server 命令或 ASDM 用户身份验证指定的服务器上启 用或禁用 LOCAL、TACACS+ 或 RADIUS 用户身份验证。
第3章 area 至 auto-update timeout 命令 authentication-server-group (imap4s, pop3s, smtps, config-mdm-proxy) authentication-server-group (imap4s, pop3s, smtps, config-mdm-proxy) 要指定一组身份验证服务器用于邮件代理和 MDM 代理,请在各种模式下使用 authentication-server-group 命令。要从配置中删除身份验证服务器,请使用此命令的 no 形式。 authentication-server-group group_tag no authentication-server-group 语法说明 group_tag 默认值 默认情况下没有配置任何身份验证服务器。 命令模式 下表展示可输入此命令的模式: 标识先前配置的身份验证服务器或服务器组。 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 单个 情景 系统 Imap4s 配置 • 是 — • 是 —
第3章 authentication-server-group (imap4s, pop3s, smtps, config-mdm-proxy) 相关命令 命令 aaa-server host 思科 ASA 系列命令参考,A 至 H 命令 3-68 说明 配置身份验证、授权和记账服务器。 area 至 auto-update timeout 命令
第3章 area 至 auto-update timeout 命令 authentication-server-group (tunnel-group general-attributes) authentication-server-group (tunnel-group general-attributes) 要指定 AAA 服务器组用于隧道组的用户身份验证,请在 tunnel-group general-attributes 配置模式 下使用 authentication-server-group 命令。要恢复此属性的默认值,请使用此命令的 no 形式。 authentication-server-group [(interface_name)] server_group [LOCAL] no authentication-server-group [(interface_name)] server_group 语法说明 interface_name (可选)指定 IPsec 隧道终止所在的接口。 LOCAL (可选)如果服务器组中的所有服务器由于通信故障而停用,则需要 使用本地用户数据库
第3章 area 至 auto-update timeout 命令 authentication-server-group (tunnel-group general-attributes) 相关命令 命令 aaa-server 创建 AAA 服务器组并配置组特定和所有组主机通用的 AAA 服 务器参数。 aaa-server host 将服务器添加到先前配置的 AAA 服务器组并配置特定主机的 AAA 服务器参数。 clear configure tunnel-group 清除所有配置的隧道组。 show running-config tunnel-group 显示所有隧道组或特定隧道组的隧道组配置。 思科 ASA 系列命令参考,A 至 H 命令 3-70 说明
第3章 area 至 auto-update timeout 命令 authorization-required authorization-required 如果需要用户在连接之前成功授权,请在各种模式下使用 authorization-required 命令。要从配 置中删除属性,请使用此命令的 no 形式。 authorization-required no authorization-required 语法说明 此命令没有任何参数或关键字。 默认值 此命令默认禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 示例 路由 透明 单个 情景 系统 是 — — Imap4s 配置 • 是 — Pop3s 配置 • 是 — • 是 — — SMTPS 配置 • 是 — • 是 — — 隧道组常规属性配置 • 是 — • 是 — — • 版本 7.0(1) 修改 7.
第3章 area 至 auto-update timeout 命令 authorization-required 相关命令 命令 authorization-dn-attributes 指定主要和辅助主题 DN 字段用作授权的用户名。 clear configure tunnel-group 清除所有配置的隧道组。 show running-config tunnel-group 显示指定的证书映射条目。 tunnel-group general-attributes 指定命名的隧道组的常规属性。 思科 ASA 系列命令参考,A 至 H 命令 3-72 说明
第3章 area 至 auto-update timeout 命令 authorization-server-group authorization-server-group 要指定一组授权服务器以使用 WebVPN 和邮件代理,请在各种模式下使用 authorization-server-group 命令。要从配置中删除授权服务器,请使用此命令的 no 形式。 authorization-server-group group_tag no authorization-server-group 语法说明 group_tag 默认值 默认情况下没有配置任何授权服务器。 命令模式 下表展示可输入此命令的模式: 标识先前配置的授权服务器或服务器组。使用 aaa-server 命令配置授 权服务器。 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 单个 情景 系统 Imap4s 配置 • 是 — • 是 — — Pop3s 配置 • 是 — • 是 — — SMTPS 配置 • 是 — • 是 — — 隧道组
第3章 area 至 auto-update timeout 命令 authorization-server-group 以下示例在 tunnel-general 配置模式下输入,它将名称为 “aaa-server78” 的授权服务器组配置给 名称为 “remotegrp” 的 IPsec 远程访问隧道组: ciscoasa(config)# tunnel-group remotegrp type ipsec-ra ciscoasa(config)# tunnel-group remotegrp general-attributes ciscoasa(config-tunnel-general)# authorization-server-group aaa-server78 ciscoasa(config-tunnel-general)# 相关命令 命令 aaa-server host 说明 clear configure tunnel-group 清除所有配置的隧道组。 show running-config tunnel-group 显示所有隧道组或特定隧道组的隧道组配置。 tun
第3章 area 至 auto-update timeout 命令 auth-prompt auth-prompt 要指定或更改 “ 通过 ASA” 用户会话的 AAA 质询文本,请在全局配置模式下使用 auth-prompt 命令。要删除身份验证质询文本,请使用此命令的 no 形式。 auth-prompt prompt [prompt | accept | reject] string no auth-prompt prompt [ prompt | accept | reject] 语法说明 默认值 命令模式 accept 如果接受通过 Telnet 的用户身份验证,则显示提示 string。 prompt AAA 质询提示字符串跟随在此关键字后面。 reject 如果拒绝通过 Telnet 的用户身份验证,则显示提示 string。 string 一个字符串,最多包含 235 个字母数字字符或 31 个单词,以两个最大值限制中 先到达者为准。允许特殊字符、空格和标点符号。输入问号或按 Enter 键结束字 符串。(问号出现在字符串中。) 如果不指定身份验证提示: • FT
第3章 area 至 auto-update timeout 命令 auth-prompt 注 示例 Microsoft Internet Explorer 在身份验证提示中最多显示 37 个字符。Telnet 和 FTP 在身份验证提示 中最多显示 235 个字符。 以下示例将身份验证提示设置为字符串 “Please enter your username and password”: ciscoasa(config)# auth-prompt prompt Please enter your username and password 在此字符串添加到配置后,用户将看到以下内容: Please enter your username and password User Name: Password: 对于 Telnet 用户,当 ASA 接受或拒绝身份验证尝试时,您也可以提供要显示的单独消息;例如: ciscoasa(config)# auth-prompt reject Authentication failed.Try again.
第3章 area 至 auto-update timeout 命令 auto-signon auto-signon 要配置 ASA 将无客户端 SSL VPN 连接的用户登录凭证自动传递给内部服务器,请在以下三种模 式中的任一模式下使用 auto-signon 命令:webvpn 配置、webvpn 组配置或 webvpn 用户名配置模 式。要禁用自动登录到特定服务器,请使用此命令的 no 形式并搭配原始 ip、uri 和 auth-type 参 数。要禁止自动登录到所有服务器,请使用此命令的 no 形式并不带参数。 auto-signon allow {ip ip-address ip-mask | uri resource-mask} auth-type {basic | ftp | ntlm | all} no auto-signon [allow {ip ip-address ip-mask | uri resource-mask} auth-type {basic | ftp | ntlm | all}] 语法说明 all 指定 NTLM 和 HTTP 基本身份验证方法。 allow
第3章 area 至 auto-update timeout 命令 auto-signon 使用指南 auto-signon 命令是无客户端 SSL VPN 用户的单点登录方法。它将登录凭证(用户名和密码)传 递给内部服务器,以使用 NTLM 身份验证和 / 或 HTTP 基本身份验证进行身份验证。可输入多个 自动登录命令并根据输入顺序进行处理(较早的命令优先处理)。 您可以在以下三种模式下使用自动登录功能:webvpn 配置组策略、webvpn 配置或 webvpn 用户 名配置模式。应用典型的优先行为,其中用户名优先于组,组优先于全局。您选择的模式取决于 所需的身份验证范围: 示例 模式 适用范围 WebVPN 配置 所有 WebVPN 用户(全局) Webvpn 组配置 组策略定义的 WebVPN 用户子集 Webvpn 用户名配置 个别 WebVPN 用户 以下示例配置所有无客户端用户使用 NTLM 身份验证,自动登录到 IP 地址范围为 10.1.1.0 到 10.1.1.
第3章 area 至 auto-update timeout 命令 auto-summary auto-summary 要启用将子网路由自动汇总到网络级路由,请在路由器配置模式下使用 auto-summary 命令。要 禁用路由汇总,请使用此命令的 no 形式。 auto-summary no auto-summary 语法说明 此命令没有任何参数或关键字。 默认值 为 RIP 版本 1、RIP 版本 2 和 EIGRP 启用路由汇总。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 使用指南 • 是 透明 — 版本 7.2(1) 修改 8.0(2) 增加了对 EIGRP 的支持。 9.
第3章 area 至 auto-update timeout 命令 auto-summary 以下示例禁用自动 EIGRP 路由汇总: ciscoasa(config)# router eigrp 100 ciscoasa(config-router)# network 10.0.0.
第3章 area 至 auto-update timeout 命令 auto-update device-id auto-update device-id 要配置 ASA 设备 ID 用于自动更新服务器,请在全局配置模式下使用 auto-update device-id 命 令。要删除设备 ID,请使用此命令的 no 形式。 auto-update device-id [hardware-serial | hostname | ipaddress [if_name] | mac-address [if_name] | string text] no auto-update device-id [hardware-serial | hostname | ipaddress [if_name] | mac-address [if_name] | string text] 语法说明 hardware-serial 使用 ASA 的硬件序列号唯一标识设备。 hostname 使用 ASA 的主机名唯一标识设备。 ipaddress [if_name] 使用 ASA 的 IP 地址唯一标识 ASA。默
第3章 area 至 auto-update timeout 命令 auto-update device-id 相关命令 auto-update poll-period 设置 ASA 从自动更新服务器检查更新的频率。 标识自动更新服务器。 auto-update timeout 如果未在超时时间内连接到自动更新服务器,则阻止流量通过 ASA。 clear configure 清除自动更新服务器配置。 auto-update auto-update server show running-config 显示自动更新服务器配置。 auto-update 思科 ASA 系列命令参考,A 至 H 命令 3-82
第3章 area 至 auto-update timeout 命令 auto-update poll-at auto-update poll-at 要安排特定时间以供 ASA 轮询自动更新服务器,请在全局配置模式下使用 auto-update poll-at 命 令。要删除安排给 ASA 轮询自动更新服务器的所有指定时间,请使用此命令的 no 形式。 auto-update poll-at days-of-the-week time [randomize minutes] [retry_count [retry_period]] no auto-update poll-at days-of-the-week time [randomize minutes] [retry_count [retry_period]] 语法说明 days-of-the-week 任何一天或周内某些日的组合:周一、周二、周三、周四、周五、周六和周 日。其他可能的值为每天(周一到周日)、工作日(周一到周五)和周末 (周六和周日)。 randomize minutes 指定从指定开始时间之后的期间以随机化轮询时间。从 1 到
第3章 area 至 auto-update timeout 命令 auto-update poll-at 相关命令 auto-update device-id 设置 ASA 设备 ID 用于自动更新服务器。 auto-update poll-period 设置 ASA 从自动更新服务器检查更新的频率。 auto-update timeout 如果未在超时时间内连接到自动更新服务器,则阻止流量通过 ASA。 clear configure 清除自动更新服务器配置。 auto-update management-access 启用对 ASA 上内部管理接口的访问。 show running-config 显示自动更新服务器配置。 auto-update 思科 ASA 系列命令参考,A 至 H 命令 3-84
第3章 area 至 auto-update timeout 命令 auto-update poll-period auto-update poll-period 要配置 ASA 从自动更新服务器检查更新的频率,请在全局配置模式下使用 auto-update poll-period 命令。要将参数重置为默认值,请使用此命令的 no 形式。 auto-update poll-period poll_period [retry_count [retry_period]] no auto-update poll-period poll_period [retry_count [retry_period]] 语法说明 默认值 poll_period 指定轮询自动更新服务器的频率,以分钟为单位且在 1 和 35791 之间。默 认值为 720 分钟(12 小时)。 retry_count 指定第一次尝试失败后将尝试重新连接到自动更新服务器的次数。默认值 为 0。 retry_period 指定连接尝试之间等待的时长,以分钟为单位且在 1 和 35791 之间。默认 值为 5 分钟。 默认轮询周期是
第3章 area 至 auto-update timeout 命令 auto-update poll-period 相关命令 auto-update device-id 设置 ASA 设备 ID 用于自动更新服务器。 标识自动更新服务器。 auto-update timeout 如果未在超时时间内连接到自动更新服务器,则阻止流量通过 ASA。 clear configure 清除自动更新服务器配置。 auto-update auto-update server show running-config 显示自动更新服务器配置。 auto-update 思科 ASA 系列命令参考,A 至 H 命令 3-86
第3章 area 至 auto-update timeout 命令 auto-update server auto-update server 要标识自动更新服务器,请在全局配置模式下使用 auto-update server 命令。要删除服务器,请 使用此命令的 no 形式。 auto-update server url [source interface] {verify-certificate | no-verification} no auto-update server url [source interface] {verify-certificate | no-verification} 语法说明 默认值 no-verification 不验证自动更新服务器证书。 source interface 指定将请求发送到自动更新服务器时要使用的接口。如果指定 management-access 命令所指定的同一接口,自动更新请求将通过用于管理 访问的相同 IPsec VPN 隧道。 url 使用以下语法指定自动更新服务器的位置: http[s]:[[user:password@]l
第3章 area 至 auto-update timeout 命令 auto-update server 9.2(1) 及更高版本:默认情况下已启用自动更新服务器证书验证;对于新的配置,您必须明确禁用 证书验证。如果您从较早版本升级并且没有启用证书验证,则证书验证不启用并且出现以下警告: WARNING: The certificate provided by the auto-update servers will not be verified.In order to verify this certificate please use the verify-certificate option. 将迁移配置以明确配置不验证: auto-update server no-verification 示例 以下示例设置自动更新服务器 URL 并将接口指定为 outside: ciscoasa(config)# auto-update server http://10.1.1.
第3章 area 至 auto-update timeout 命令 auto-update timeout auto-update timeout 要设置连接自动更新服务器的超时时间,请在全局配置模式下使用 auto-update timeout 命令。要 删除超时,请使用此命令的 no 形式。 auto-update timeout [period] no auto-update timeout [period] 语法说明 period 默认值 默认超时值为 0,表示 ASA 设置为永不超时。 命令模式 下表展示可输入此命令的模式: 指定超时时间,以分钟为单位且在 1 和 35791 之间。默认值为 0,表示没有 超时。您不能将超时设置为 0 ;使用该命令的 no 形式可将其重置为 0。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 • 是 命令历史 版本 7.
第3章 auto-update timeout 思科 ASA 系列命令参考,A 至 H 命令 3-90 area 至 auto-update timeout 命令
第 4 章 backup 至 browse-networks 命令 思科 ASA 系列命令参考,A 至 H 命令 4-1
第4章 backup 至 browse-networks 命令 备份 备份 要备份 ASA 配置、证书、密钥和映像,请在特权 EXEC 模式下使用 backup 命令。 backup [/noconfirm] [context name] [cert-passphrase value] [location path] 语法说明 cert-passphrase value 在备份 VPN 证书和预共享密钥时,需要由 cert-passphrase 关键字标识 的密钥才可对证书进行编码。必须提供要用于编码和解码 PKCS12 格式 证书的口令。备份仅包括绑定至证书的 RSA 密钥对,不包括任何独立 证书。 context ctx-name 在系统执行空间的多情景模式下,输入 context 关键字以备份指定的情 景文件。 location path 备份位置可以是本地磁盘或远程 URL。如果您未提供位置,则使用以 下默认名称: /noconfirm • 单模 - disk0:hostname.backup.timestamp.tar.
第4章 backup 至 browse-networks 命令 备份 • 如果您使用集群,则只能备份启动配置、运行配置和身份证书。您必须创建和恢复备份单独 为每个单元。 • 如果您使用故障切换,您必须创建和恢复备份单独的主用和备用设备。 • 如果您针对 ASA 设置主密码,则您需要该主密码短语恢复您使用此过程创建的备份配置。如果 您不知道针对 ASA 的主密码时,请参阅 CLI 配置指南要了解如何重置密码才能继续与备份。 • 如果您导入 PKCS12 数据(使用 crypto ca trustpoint 命令)和信任点使用 RSA 密钥,导入的 密钥对分配信任点相同的名称。由于此限制,如果您指定不同名称信任点和其密钥对,在恢 复 ASDM 配置后,启动配置将能与原始配置相同,但运行配置将包括不同密钥对的名称。这 意味着,如果您使用不同密钥对和信任点的名称,您无法恢复原始配置。要解决此问题,请 确保您使用相同的名称为信任点和其密钥对。 • 无法使用 CLI 备份和恢复使用 ASDM,反之亦然。 • 每个备份文件包括以下内容: – 运行配置 – 启动配置 – 所有安全映像 Cisco
第4章 backup 至 browse-networks 命令 备份 Enter a passphrase to encrypt identity certificates.The default is cisco.You will be required to enter the same passphrase while doing a restore: cisco Backing up [Identity Certificates] … Done! IMPORTANT: This device uses master passphrase encryption.If this backup file is used to restore to a device with a different master passphrase, you will need to provide the current master passphrase during restore.
第4章 backup 至 browse-networks 命令 backup interface backup interface 对于具有内置交换机的型号(如 ASA 5505),请在接口配置模式下使用 backup interface 命令将 VLAN 接口标识为例如到 ISP 的备用接口。要恢复正常运行,请使用此命令的 no 形式。 backup interface vlan number no backup interface vlan number 语法说明 vlan number 默认值 默认情况下,backup interface 命令已禁用。 命令模式 下表展示可输入此命令的模式: 指定备用接口的 VLAN ID。 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 使用指南 • 是 透明 — 单个 • 是 情景 系统 — — 版本 7.2(1) 修改 7.
第4章 backup 至 browse-networks 命令 backup interface 示例 以下示例配置四个 VLAN 接口。backup-isp 接口仅当主要接口关闭时允许通过流量。route 命令 创建主要和备用接口的默认路由,备用路由管理距离较短。 ciscoasa(config)# interface vlan 100 ciscoasa(config-if)# nameif outside ciscoasa(config-if)# security-level 0 ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.
第4章 backup 至 browse-networks 命令 backup-servers backup-servers 要配置备用服务器,请在 group-policy 配置模式下使用 backup-servers 命令。要删除备用服务 器,请使用此命令的 no 形式。 backup-servers {server1 server2. . . . server10 | clear-client-config | keep-client-config} no backup-servers [server1 server2. . . . server10 | clear-client-config | keep-client-config] 语法说明 clear-client-config 指定客户端不使用备用服务器。ASA 将推送空服务器列表。 keep-client-config 指定 ASA 不将备用服务器信息发送到客户端。客户端使用 自己的备用服务器列表(如果已配置)。 server1 server 2....
第4章 backup 至 browse-networks 命令 backup-servers 示例 以下示例展示如何使用 IP 地址 10.10.10.1 和 192.168.10.14 为名为 “FirstGroup” 的组策略配置备 用服务器: ciscoasa(config)# group-policy FirstGroup attributes ciscoasa(config-group-policy)# backup-servers 10.10.10.1 192.168.10.
第4章 backup 至 browse-networks 命令 banner banner 要配置 ASDM、会话、登录或 message-of-the-day 标语,请在全局配置模式下使用 banner 命令。 要从指定的标语关键字(exec、login 或 motd)删除所有行,请使用此命令的 no 形式。 banner {asdm | exec | login | motd text} [no] banner {asdm | exec | login | motd [text]} 语法说明 asdm 将系统配置为在成功登录到 ASDM 后显示标语。系统将提示用户继续完成登 录,或断开连接。此选项允许您要求用户在连接之前接受书面策略的条款。 exec 将系统配置为在显示 enable 提示符之前显示标语。 login 将系统配置为使用 Telnet 或串行控制台访问 ASA 时,在密码登录提示符之前 显示标语。 motd 将系统配置为当您初次连接时显示 message-of-the-day 标语。 text 要显示的消息文本行。 默认值 默认值为无标语。 命令模式 下表展
第4章 backup 至 browse-networks 命令 banner 注 标语授权提示符的最大长度为 235 个字符或 31 个单词,以首先达到的限制为准。 通过 Telnet 或 SSH 访问 ASA 时,如果没有足够的系统内存可用于处理标语消息,或如果发生 TCP 写入错误,则会话将关闭。只有 exec 和 motd 标语支持通过 SSH 访问 ASA。登录标语不支 持 SSHv1 客户端或 SSH 客户端,这些客户端不会将用户名作为初始连接的一部分传递。 要更换标语,请在添加新行之前使用 no banner 命令。 使用 no banner {exec | login | motd} 命令删除指定标语关键字的所有行。 no banner 命令不会选择性删除文本字符串,因此您在 no banner 命令结尾输入的任何文本都将 被忽略。 示例 以下示例展示如何配置 asdm、exec、login 和 motd 标语: ciscoasa(config)# banner asdm You successfully logged in to ASDM ciscoasa(config)# ban
第4章 backup 至 browse-networks 命令 banner (group-policy) banner (group-policy) 要在远程客户端连接时在其上显示标语或欢迎文本,请在 group-policy 配置模式下使用 banner 命 令。要删除标语,请使用此命令的 no 形式。 banner {value banner_string | none} no banner 注 语法说明 如果根据 VPN 组策略配置了多个标语,并且删除了任一标语,则所有标语都将被删除。 none 使用空值设置标语,从而禁止标语。阻止从默认或指定的组策略继承标语。 value banner_string 构成标语文本。最大字符串大小为 500 个字符。使用 “\n” 序列插入回车。 默认值 没有默认标语。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 组策略配置 命令历史 使用指南 版本 7.
第4章 backup 至 browse-networks 命令 bgp aggregate-timer bgp aggregate-timer 要设置 BGP 路由将汇聚的间隔或禁用基于计时器的路由汇聚,请在地址系列配置模式下使用 bgp aggregate-timer 命令。要恢复默认值,请使用此命令的 no 形式。 bgp aggregate-timer seconds no bgp aggregate-timer 语法说明 seconds 系统将汇聚 BGP 路由的间隔(以秒为单位)。 有效值位于从 6 到 60 的范围,否则为 0(零)。 默认值为 30。 值为 0(零)将禁用基于计时器的汇聚并立即开始汇聚。 默认值 bgp 汇聚计时器的默认值为 30 秒。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 地址系列配置、地址系列 IPv6 子模式 命令历史 使用指南 • 是 透明 — 单个 • 是 情景 • 版本 9.2(1) 引入了此命令。 9.
第4章 backup 至 browse-networks 命令 bgp aggregate-timer 以下示例立即开始 BGP 路由汇聚: ciscoasa(config)# router bgp 50 ciscoasa(config-router)# address-family ipv4 ciscoasa(config-router-af)# aggregate-address 10.0.0.0 255.0.0.
第4章 backup 至 browse-networks 命令 bgp always-compare-med bgp always-compare-med 要允许比较不同自主系统中邻居路径的多出口标识符 (MED),请在路由器配置模式下使用 bgp always-compare-med 命令。要禁止比较,请使用此命令的 no 形式。 bgp always-compare-med no bgp always-compare-med 语法说明 此命令没有任何参数或关键字。 默认值 如果此命令未启用或输入了此命令的 no 形式,则 ASA 路由软件不会比较不同自主系统中邻居路 径的 MED。 MED 仅当所比较路由的自主系统路径相同时进行比较。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 使用指南 版本 9.
第4章 backup 至 browse-networks 命令 bgp always-compare-med 相关命令 命令 说明 bgp deterministic-med 在从同一自主系统内接收的所有路径之间实施多出口标识符 (MED) 值 的确定性比较。 思科 ASA 系列命令参考,A 至 H 命令 4-15
第4章 backup 至 browse-networks 命令 bgp asnotation dot bgp asnotation dot 要将边界网关协议 (BGP) 4 字节自主系统编号的默认显示和正则表达式匹配格式从 asplain(十进 制值)更改为点表示法,请在路由器配置模式下使用 bgp asnotation dot 命令。要将默认的 4 字节 自主系统编号显示和正则表达式匹配格式重置为 asplain,请使用此命令的 no 形式。 bgp asnotation dot no bgp asnotation dot 语法说明 此命令没有任何参数或关键字。 默认值 BGP 自主系统编号在屏幕输出中使用 asplain(十进制值)格式显示,且正则表达式中匹配 4 字节 自主系统编号的默认格式为 asplain。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 使用指南 版本 9.
第4章 backup 至 browse-networks 命令 bgp asnotation dot 要以 asdot 格式在 show 命令输出中显示 4 字节自主系统编号和控制正则表达式的匹配,您必须配 置 bgp asnotation dot 命令。启用 bgp asnotation dot 命令后,必须通过输入 clearbgp * 命令对所 有 BGP 会话启动硬重置。 表 4-1 格式 配置格式 Show 命令输出和正则表达式 匹配格式 asplain 2 字节:1 至 6553 4 字节:65536 至 4294967295 2 字节:1 至 6553 4 字节:65536 至 4294967295 asdot 2 字节:1 至 6553 4 字节:1.0 至 65535.
第4章 backup 至 browse-networks 命令 bgp asnotation dot 配置 bgp asnotation dot 命令后,4 字节自主系统路径的正则表达式匹配格式更改为 asdot 表示法 格式。尽管 4 字节自主系统编号可在正则表达式中使用 asplain 格式或 asdot 格式进行配置,但只 有使用当前默认格式配置的 4 字节自主系统编号匹配。在第一个示例中,show bgp regexp 命令 采用 asplain 格式的 4 字节自主系统编号进行配置。匹配失败是因为默认格式当前为 asdot 格式且 没有输出。在使用 asdot 格式的第二个示例中,匹配通过并且关于 4 字节自主系统路径的信息使 用 asdot 表示法展示。 ciscoasa(config-router)# show bgp regexp ^65536$ ciscoasa(config-router)# show bgp regexp ^1\.0$ BGP table version is 2, local router ID is 172.17.1.
第4章 backup 至 browse-networks 命令 bgp bestpath compare-routerid bgp bestpath compare-routerid 要配置边界网关协议 (BGP) 路由进程以在最佳路径选择过程中比较从不同外部对等设备接收的相 同路由并选择具有最低路由器 ID 的路由作为最佳路径,请在路由器配置模式下使用 bgp bestpath compare-routerid 命令。 要将 BGP 路由进程恢复为默认操作,请使用此命令的 no 形式。 bgp bestpath compare-routerid no bgp bestpath compare-routerid 语法说明 此命令没有任何参数或关键字。 默认值 此命令的行为在默认情况下已禁用; BGP 在具有相同属性的两个路由接收时选择先收到的路由。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 版本 9.
第4章 backup 至 browse-networks 命令 bgp bestpath med missing-as-worst bgp bestpath med missing-as-worst 要将边界网关协议 (BGP) 路由进程配置为分配无限大值到缺少多出口标识符 (MED) 属性的路由 (使不带 MED 值的路径成为最不理想的路径),请在路由器配置模式下使用 bgp bestpath med missing-as-worst 命令。要使路由器恢复默认行为(将值 0 分配给缺少的 MED),请使用此命令 的 no 形式。 bgp bestpath med missing-as-worst no bgp bestpath med missing-as-worst 语法说明 此命令没有任何参数或关键字。 默认值 ASA 软件将值 0 分配给缺少 MED 属性的路由,导致缺少 MED 属性的路由被视为最佳路径。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 示例 版本 9.
第4章 backup 至 browse-networks 命令 bgp default local-preference bgp default local-preference 要更改默认本地优先级值,请在路由器配置模式下使用 bgp default local-preference 命令。要将 本地优先级值恢复为默认设置,请使用此命令的 no 形式。 bgp default local-preference number no bgp default local-preference number 语法说明 number 默认值 如果此命令未启用或输入了此命令的 no 形式,则 ASA 软件应用本地优先级值 100。 命令模式 下表展示可输入此命令的模式: 从 0 到 4294967295 的本地优先级值。 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 版本 9.
第4章 backup 至 browse-networks 命令 bgp deterministic-med bgp deterministic-med 要在从同一自主系统内接收的所有路径之间实施多出口标识符 (MED) 值的确定性比较,请在路由 器配置模式下使用 bgp deterministic-med 命令。要禁用所需的 MED 比较,请使用此命令的 no 形式。 bgp deterministic-med no bgp deterministic-med 语法说明 此命令没有任何参数或关键字。 默认值 ASA 软件不会在从同一自主系统内接收的所有路径之间实施 MED 变量的确定性比较。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 使用指南 版本 9.
第4章 backup 至 browse-networks 命令 bgp deterministic-med 以下示例 show bgp 命令输出展示如何通过配置 bgp deterministic-med 命令影响路由选择。如果 未启用 bgp deterministic-med 命令,则路由接收顺序将影响最佳路径选择的路由选择方式。show bgp 命令的以下示例输出展示收到相同前缀 (10.100.0.0) 的三条路径,并且 bgp deterministic-med 命令未启用: ciscoasa(router)# show bgp 10.100.0.0 BGP routing table entry for 10.100.0.0/16, version 40 Paths: (3 available, best #3, advertised over IBGP, EBGP) 109 192.168.43.10 from 192.168.43.10 (192.168.43.1) Origin IGP, metric 0, localpref 100, valid, internal 2051 192.
第4章 backup 至 browse-networks 命令 bgp deterministic-med 相关命令 命令 bgp always compare-med 说明 clear bgp 使用软或硬重新配置重置 BGP 连接。 show bgp 显示边界网关协议 (BGP) 路由表中的条目。 思科 ASA 系列命令参考,A 至 H 命令 4-24 允许对不同自主系统中邻居路径的多出口标识符 (MED) 比较。
第4章 backup 至 browse-networks 命令 bgp enforce-first-as bgp enforce-first-as 要将 ASA 配置为拒绝从传入更新中 AS_PATH 开头未列出其自主系统编号的外部 BGP (eBGP) 对 等设备接收的更新,请在路由器配置模式下使用 bgp enforce-first-as 命令。要禁用此行为,请 使用此命令的 no 形式。 bgp enforce-first-as no bgp enforce-first-as 语法说明 此命令没有任何参数或关键字。 默认值 此命令的行为在默认情况下已启用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 路由器配置 命令历史 版本 9.
第4章 backup 至 browse-networks 命令 bgp fast-external-fallover bgp fast-external-fallover 要将边界网关协议 (BGP) 路由进程配置为在用于访问这些对等设备的链路断开时立即重置外部 BGP 对等会话,请在路由器配置模式下使用 bgp fast-external-fallover 命令。要禁用 BGP 快速外 部故障切换,请使用此命令的 no 形式。 bgp fast-external-fallover no bgp fast-external-fallover 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下,BGP 快速外部故障切换已启用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 路由器配置 命令历史 版本 9.
第4章 backup 至 browse-networks 命令 bgp inject-map bgp inject-map 要配置条件路由注入以将更多特定路由注入到边界网关协议 (BGP) 路由表中,请在地址系列配置 模式下使用 bgp inject-map 命令。要禁用条件路由注入配置,请使用此命令的 no 形式。 bgp inject-map inject-map exist-map exist-map [copy-attributes] no bgp inject-map inject-map exist-map exist-map 语法说明 inject-map 指定要注入本地 BGP 路由表中的前缀的路由映射名称。 exist-map exist-map 指定包含 BGP 发言方将跟踪的前缀的路由映射名称。 copy-attributes (可选)配置注入路由以继承汇聚路由的属性。 默认值 没有特定路由注入到 BGP 路由表中。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 地址系列配置、地址系列 IPv6 子模式 命令历史
第4章 backup 至 browse-networks 命令 bgp inject-map 示例 在以下示例中,将配置条件路由注入。注入的前缀将继承汇聚(父)路由的属性。 ciscoasa(config)# ip prefix-list ROUTE permit 10.1.1.0/24 ciscoasa(config)# ip prefix-list ROUTE_SOURCE permit 10.2.1.1/32 ciscoasa(config)# ip prefix-list ORIGINATED_ROUTES permit 10.1.1.0/25 ciscoasa(config)# ip prefix-list ORIGINATED_ROUTES permit 10.1.1.
第4章 backup 至 browse-networks 命令 bgp log-neighbor-changes bgp log-neighbor-changes 要允许记录 BGP 邻居重置,请在路由器配置模式下使用 bgp log-neighbor-changes 命令。要禁 止记录 BGP 邻居邻接关系更改,请使用此命令的 no 形式。 bgp log-neighbor-changes no bgp log-neighbor-changes 语法说明 此命令没有任何参数或关键字。 默认值 BGP 邻居的记录已启用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 使用指南 版本 9.
第4章 backup 至 browse-networks 命令 bgp maxas-limit bgp maxas-limit 要将边界网关协议 (BGP) 配置为丢弃 AS-path 中自主系统编号数量超过指定值的路由,请在路由器 配置模式下使用 bgp maxas-limit 命令。要将路由器恢复为默认操作,请使用此命令的 no 形式。 bgp max-as limit number no bgp max-as limit 语法说明 number 默认值 不丢弃任何路由。 命令模式 下表展示可输入此命令的模式: BGP 更新消息 AS-path 属性中的最大自主系统编号数量,范围从 1 到 254。除了在 AS-path 段内设置自主系统编号数量限制以外,该命令还将 AS-path 的段数限制为 10。允许 10 个 AS-path 段的行为将内置到 bgp maxas-limit 命令中。 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 版本 9.
第4章 backup 至 browse-networks 命令 bgp nexthop bgp nexthop 要配置边界网关协议 (BGP) 下一跳地址跟踪,请在地址系列或路由器配置模式下使用 bgp nexthop 命令。要禁用 BGP 下一跳地址跟踪,请使用此命令的 no 形式。 bgp nexthop {trigger {delay seconds | enable} | route-map map-name} no bgp nexthop {trigger {delay seconds | enable} | route-map map-name} 语法说明 trigger 指定使用 BGP 下一跳地址跟踪。将此关键字与 delay 关键字一起使用 以更改下一跳跟踪延迟。将此关键字与 enable 关键字一起使用以启用 下一跳地址跟踪。 delay 更改两次检查路由表中安装的更新下一跳路由之间的延迟间隔。 seconds 为延迟指定的秒数。有效值为从 0 到 100。默认值为 5。 enable 启用 BGP 下一跳地址跟踪。 route-map 指定使用适用于路由表中路由
第4章 backup 至 browse-networks 命令 bgp nexthop 将 trigger 关键字与 delay 关键字和 seconds 参数一起使用可更改两次 BGP 下一跳地址跟踪路 由表遍历之间的延迟间隔。通过将两次完整路由表走查之间的延迟间隔调整为匹配 IGP 的调整参 数,可提高 BGP 下一跳地址跟踪的性能。默认延迟间隔为 5 秒,即快速调整 IGP 的最佳值。如果 IGP 融合更缓慢,您可将延迟间隔更改为 20 秒或更长时间,具体取决于 IGP 融合时间。 将 trigger 关键字与 enable 关键字一起使用以启用 BGP 下一跳地址跟踪。默认情况下,BGP 下一跳地址跟踪已启用。 将 route-map 关键字与 map-name 参数一起使用以允许使用路由映射。路由映射在 BGP 最佳路 径计算过程中使用,适用于覆盖 BGP 前缀 Next_Hop 属性的路由表中路由。如果下一跳路由未通 过路由映射评估,则下一跳路由标记为不可访问。此命令基于地址系列,因此可对不同地址系列 中的下一跳路由应用不同的路由映射。 注 示例 路由映射中仅支持 match ip a
第4章 backup 至 browse-networks 命令 bgp redistribute-internal bgp redistribute-internal 要将 iBGP 配置为重分布到内部网关协议 (IGP)(例如 EIGRP 或 OSPF)中,请在地址系列配置模 式下使用 bgp redistribute-internal 命令。要将路由器恢复为默认行为并停止将 iBGP 重分布到 IGP 中,请使用此命令的 no 形式。 bgp redistribute-internal no bgp redistribute-internal 语法说明 此命令没有任何参数或关键字。 默认值 IBGP 路由重分布到 IGP 中。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 地址系列配置 • 是 透明 单个 — • 是 情景 • 是 系统 — 地址系列 IPv6 子模式 命令历史 使用指南 版本 9.2(1) 修改 9.
第4章 backup 至 browse-networks 命令 bgp router-id bgp router-id 要配置本地边界网关协议 (BGP) 路由进程的固定路由器 ID,请在地址系列路由器配置模式下使用 bgp router-id 命令。要从运行的配置文件中删除固定路由器 ID 并恢复默认路由器 ID 选择,请 使用此命令的 no 形式。 bgp router-id ip-address no bgp router-id 语法说明 ip-address 默认值 此命令未启用时,路由器 ID 设置为物理接口上的最高 IP 地址。 命令模式 下表展示可输入此命令的模式: IP 地址形式的路由器标识符。 防火墙模式 安全情景 多个 命令模式 路由 地址系列配置路由器配置模式 命令历史 使用指南 示例 • 是 版本 9.2(1) 引入了此命令。 9.
第4章 backup 至 browse-networks 命令 bgp scan-time bgp scan-time 要配置下一跳验证的边界网关协议 (BGP) 路由器扫描间隔,请在地址系列配置模式下使用 bgp scan-time 命令。要将路由器的扫描间隔恢复为其默认扫描间隔 60 秒,请使用此命令的 no 形式。 bgp scan-time scanner-interval no bgp scan-time scanner-interval 语法说明 scanner-interval BGP 路由信息的扫描间隔。 有效值为从 15 到 60 秒。默认值为 60 秒 默认值 默认扫描间隔为 60 秒。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 地址系列配置 命令历史 使用指南 版本 9.
第4章 backup 至 browse-networks 命令 bgp suppress-inactive bgp suppress-inactive 要抑制未安装在路由信息库 (RIB) 中的路由的通告,请在地址系列或路由器配置模式下使用 bgp suppress-inactive 命令。 bgp suppress-inactive no bgp suppress-inactive 语法说明 此命令没有任何参数或关键字。 默认值 不抑制任何路由。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 地址系列配置地址系列 IPv6 子 模式 命令历史 使用指南 是 — 单个 • 是 情景 • 版本 9.2(1) 引入了此命令。 9.
第4章 backup 至 browse-networks 命令 bgp transport bgp transport 要全局启用所有边界网关协议 (BGP) 会话的 TCP 传输会话参数,请在路由器配置模式下使用 bgp transport 命令。要全局禁用所有 BGP 会话的 TCP 传输会话参数,请使用此命令的 no 形式。 bgp transport path-mtu-discovery no bgp transport path-mtu-discovery 语法说明 path-mtu-discovery 默认值 默认情况下,TCP 路径 MTU 发现对所有 BGP 会话均已启用。 命令模式 下表展示可输入此命令的模式: 启用传输路径最大传输单位 (MTU) 发现。 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 使用指南 示例 版本 9.
第4章 backup 至 browse-networks 命令 bgp-community new format bgp-community new format 要将 BGP 配置为以格式 AA:NN(自主系统 : 社区编号 /4 字节编号)显示社区,请在全局配置模 式下使用 bgp-community new-format 命令。要将 BGP 配置为以 32 位编号显示社区,请使用此 命令的 no 形式。 bgp-community new-format no bgp-community new-format 语法说明 此命令没有任何参数或关键字。 默认值 如果此命令未启用,或如果输入了 no 形式,则 BGP 社区(也以 AA:NN 格式输入时)也显示为 32 位编号。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 9.
第4章 backup 至 browse-networks 命令 bgp-community new format Advertised to non peer-group peers: 10.0.33.35 35 10.0.33.35 from 10.0.33.35 (192.168.3.3) Origin incomplete, metric 10, localpref 100, valid, external Community: 1:1 Local 0.0.0.0 from 0.0.0.0 (10.0.33.
第4章 backup 至 browse-networks 命令 blocks blocks 要将附加内存分配给块诊断程序(通过 show blocks 命令显示),请在特权 EXEC 模式下使用 blocks 命令。要将此值恢复为默认值,请使用此命令的 no 形式。 blocks queue history enable [memory_size] no blocks queue history enable [memory_size] 语法说明 memory_sizes 默认值 分配给跟踪块诊断程序的默认内存为 2136 字节。 命令模式 下表展示可输入此命令的模式: (可选)设置块诊断程序的内存大小(以字节为单位),而不是应用动 态值。如果该值大于可用内存,将显示错误消息且不接受该值。如果该 值大于 50% 的可用内存,将显示警告消息,但接受该值。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 7.
第4章 backup 至 browse-networks 命令 blocks 以下示例将内存大小增加到 3000 字节,但该值已超出 50% 的可用内存: ciscoasa# blocks queue history enable 3000 WARNING: memory size exceeds 50% of current free memory 相关命令 命令 clear blocks 说明 清除系统缓冲区统计信息。 show blocks 显示系统缓冲区使用情况。 思科 ASA 系列命令参考,A 至 H 命令 4-41
第4章 backup 至 browse-networks 命令 boot boot 要指定下次加载时系统使用哪个映像以及启动时系统使用哪个配置文件,请在全局配置模式下使 用 boot 命令。要恢复默认值,请使用此命令的 no 形式。 boot {config | system} url no boot {config | system} url 语法说明 config 指定系统加载时使用哪个配置文件。 system 指定系统加载时使用哪个映像文件。 url 设置映像或配置的位置。在多情景模式下,所有远程 URL 均必须从管 理情景可访问。参阅以下 URL 语法: • disk0:/[path/]filename 对于 ASA,此 URL 表示内部闪存。您还可以使用 flash 代替 disk0 ; 它们互为别名。 • disk1:/[path/]filename 对于 ASA,此 URL 表示外部闪存卡。此选项对 ASA 服务模块不 可用。 • flash:/[path/]filename 此 URL 指示内部闪存。 • tftp://[user[:password]@]se
第4章 backup 至 browse-networks 命令 boot 命令历史 版本 7.0(1) 使用指南 修改 引入了此命令。 使用 write memory 命令将此命令保存到启动配置后,您还可以将设置保存到 BOOT 和 CONFIG_FILE 环境变量; ASA 在重新启动后使用这些变量来确定启动配置和要引导的软件映像。 您可以输入最多四个 boot system 命令条目,按顺序指定不同的引导映像,而 ASA 将引导其找到 的第一个有效的映像。 如果要在与当前运行配置不同的新位置使用启动配置文件,则保存运行的配置后,确保将启动配 置文件复制到新位置。否则,保存运行的配置时将覆盖新的启动配置。 提示 示例 ASDM 映像文件通过 asdm image 命令指定。 以下示例指定启动时 ASA 应加载名为 configuration.txt 的配置文件: ciscoasa(config)# boot config disk0:/configuration.
第4章 backup 至 browse-networks 命令 border style border style 要定制向经过身份验证的 WebVPN 用户显示的 WebVPN 主页边框,请在定制配置模式下使用 border style 命令。要从配置中删除该命令并使值得到继承,请使用此命令的 no 形式。 border style value no border style value 语法说明 value 默认值 边框的默认样式为 background-color:#669999;color:white。 命令模式 下表展示可输入此命令的模式: 指定要使用的层叠样式表 (CSS) 参数。允许的最大字符数为 256。 防火墙模式 安全情景 多个 命令模式 路由 定制配置 命令历史 版本 7.1(1) 使用指南 • 是 透明 — 单个 • 是 情景 系统 — — 修改 引入了此命令。 style 选项表示为任何有效的级联样式表 (CSS) 参数。描述这些参数已超出本文档的范围。有关 CSS 参数的更多信息,请查询位于 www.w3.
第4章 backup 至 browse-networks 命令 border style 相关命令 命令 application-access 说明 定制 WebVPN 主页的 Application Access 框。 browse-networks 定制 WebVPN 主页的 Browse Networks 框。 web-bookmarks 定制 WebVPN 主页上的 Web Bookmarks 标题或链接。 file-bookmarks 定制 WebVPN 主页上的 File Bookmarks 标题或链接。 思科 ASA 系列命令参考,A 至 H 命令 4-45
第4章 backup 至 browse-networks 命令 bridge-group bridge-group 要在透明防火墙模式下将接口分配到桥组,请在接口配置模式下使用 bridge-group 命令。要取消 分配接口,使用此命令的 no 形式。透明防火墙在其接口上连接相同的网络。最多四个接口可属 于一个桥组。 bridge-group number no bridge-group number 语法说明 number 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定一个介于 1 和 100 之间的整数。对于 9.3(1) 和更高版本,该范围增 加至 1 到 250 之间。 防火墙模式 安全情景 多个 命令历史 命令模式 路由 接口配置 — 版本 8.4(1) 9.3(1) 使用指南 透明 • 是 单个 • 是 情景 • 是 系统 — 修改 我们引入了此命令。 我们将编号范围增加至 1 和 250 之间以支持 250 个 BVI(网桥虚拟 接口)。 对于 9.
第4章 backup 至 browse-networks 命令 bridge-group 示例 以下示例将 GigabitEthernet 1/1 分配给桥组 1: ciscoasa(config)# interface gigabitethernet 1/1 ciscoasa(config-if)# bridge-group 1 相关命令 命令 interface 配置一个接口。 说明 interface bvi 进入桥组的接口配置模式,以便能够设置管理 IP 地址。 ip address 设置一个桥组的管理 IP 地址。 nameif 设置接口名称。 security-level 设置接口安全级别。 思科 ASA 系列命令参考,A 至 H 命令 4-47
第4章 backup 至 browse-networks 命令 browse-networks browse-networks 要定制向经过身份验证的 WebVPN 用户显示的 WebVPN 主页的 Browse Networks(浏览网络) 框,请在 webvpn 定制配置模式下使用 browse-networks 命令。要从配置中删除该命令并使值得 到继承,请使用此命令的 no 形式。 browse-networks {title | message | dropdown} {text | style} value no browse-networks [{title | message | dropdown} {text | style} value] 语法说明 默认值 dropdown 指定对下拉列表的更改。 message 指定更改标题下显示的消息。 style 指定对样式的更改。 text 指定对文本的更改。 title 指定对标题的更改。 value 指示要显示的实际文本。允许的最大字符数为 256。该值也适用于层叠样 式表 (CSS) 参数。 默认标题文本为
第4章 backup 至 browse-networks 命令 browse-networks 使用指南 style 选项表示为任何有效的级联样式表 (CSS) 参数。描述这些参数已超出本文档的范围。有关 CSS 参数的更多信息,请查询位于 www.w3.org 的万维网联盟 (W3C) 网站上的 CSS 规范。CSS 2.1 规范的附录 F 包含 CSS 参数的便捷列表,且在 www.w3.org/TR/CSS21/propidx.
第4章 browse-networks 思科 ASA 系列命令参考,A 至 H 命令 4-50 backup 至 browse-networks 命令
第 2 C 命令 部分
第 5 章 cache 至 clear compression 命令 思科 ASA 系列命令参考,A 至 H 命令 5-1
第5章 cache 至 clear compression 命令 cache cache 要进入缓存模式并设置缓存属性的值,请在 webvpn 配置模式下输入 cache 命令。要从配置中删 除所有与缓存相关的命令并将它们重置为默认值,请输入此命令的 no 形式。 cache no cache 默认值 启用每个缓存属性的默认设置。 命令模式 下表显示可输入命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 WebVPN 配置 命令历史 使用指南 示例 版本 7.
第5章 cache 至 clear compression 命令 cache-time cache-time 要指定允许 CRL 在缓存中保留的分钟数(之后即认为其过期),请在 ca-crl 配置模式下使用 cache-time 命令,可以从 crypto ca 信任点配置模式访问该命令。要恢复默认值,请使用此命令的 no 形式。 cache-time refresh-time no cache-time 语法说明 refresh-time 默认值 默认设置为 60 分钟。 命令模式 下表展示可输入此命令的模式: 指定允许 CRL 在缓存中保留的分钟数。范围为 1 - 1440 分钟。如果 CRL 中不存在 NextUpdate 字段,则不缓存 CRL。 防火墙模式 安全情景 多个 命令模式 路由 Ca-crl 配置 命令历史 示例 版本 7.
第5章 cache 至 clear compression 命令 call-agent call-agent 要指定一组呼叫代理,请在 mgcp 映射配置模式下使用 call-agent 命令。要删除配置,请使用此命 令的 no 形式。 call-agent ip_address group_id no call-agent ip_address group_id 语法说明 group_id 呼叫代理组 ID,从 0 到 2147483647。 ip_address 网关的 IP 地址。 默认值 此命令默认禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Mgcp 映射配置 命令历史 版本 7.
第5章 cache 至 clear compression 命令 call-agent 相关命令 命令 debug mgcp 说明 启用 MGCP 的调试信息的显示。 mgcp-map 定义 MGCP 映射并启用 mgcp 映射配置模式。 show mgcp 显示 MGCP 配置和会话信息。 思科 ASA 系列命令参考,A 至 H 命令 5-5
第5章 cache 至 clear compression 命令 call-duration-limit call-duration-limit 要配置 H.323 呼叫的呼叫持续时间,请在参数配置模式下使用 call-duration-limit 命令。要禁用 此功能,请使用此命令的 no 形式。 call-duration-limit hh:mm:ss no call-duration-limit hh:mm:ss 语法说明 hh:mm:ss 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定以小时、分钟和秒表示的持续时间。 防火墙模式 安全情景 多个 命令模式 路由 参数配置 命令历史 示例 版本 7.2(1) • 是 透明 • 单个 是 • 是 修改 引入了此命令。 以下示例展示如何配置 H.
第5章 cache 至 clear compression 命令 call-party-numbers call-party-numbers 要在 H.323 呼叫设置过程中强制发送呼叫方号码,请在参数配置模式下使用 call-party-numbers 命令。要禁用此功能,请使用此命令的 no 形式。 call-party-numbers no call-party-numbers 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 参数配置 命令历史 示例 版本 7.2(1) • 是 透明 • 单个 是 • 是 情景 • 是 系统 — 修改 引入了此命令。 以下示例展示如何在 H.
第5章 cache 至 clear compression 命令 call-home call-home 要进入 call home 配置模式,请在全局配置模式下使用 call-home 命令。 call-home 语法说明 此命令没有任何参数或关键字。 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 8.
第5章 cache 至 clear compression 命令 call-home • [no] mail-server ip-address | name priority 1-100 all - 指定 SMTP 邮件服务器。客户可以指定 最多五个邮件服务器。要对 Smart Call Home 消息使用邮件传输,至少需要一个邮件服务器。 ip-address:邮件服务器的 IPv4 或 IPv6 地址。 name:邮件服务器的主机名。 1-100:邮件服务器的优先级。数值越低,优先级越高。 • [no] phone-number phone-number-string - 指定客户的电话号码。此字段为可选字段。 phone-number-string:电话号码。 • [no] rate-limit msg-count - 指定 Smart Call Home 每分钟可发送的消息数。 msg-count:每分钟消息数。默认值为 10。 • [no] sender {from e-mail-address | reply-to e-mail-address} - 指定邮件消息的发件人 /
第5章 cache 至 clear compression 命令 call-home 注意 示例 • [no] subscribe-to-alert-group inventory [periodic {daily | monthly day_of_month | weekly day_of_week [hh:mm]] - 订阅资产事件。 day_of_month:月份中的天,1-31。 day_of_week:周内某日(周日、周一、周二、周三、周四、周五、周六)。 hh, mm:一天中的小时和分钟,24 小时格式。 • [no] subscribe-to-alert-group configuration [export full | minimum] [periodic {daily | monthly day_of_month | weekly day_of_week [hh:mm]] - 订阅配置事件。 full:导出运行配置、启动配置、功能列表、访问列表中的元素数量以及多模式中的情景名称 的配置。 minimum:仅导出功能列表、访问列表中的元素数量以及多模式中的情景名称的配置。 d
第5章 cache 至 clear compression 命令 call-home 以下示例展示如何配置常规邮件参数(包括主要和辅助邮件服务器): hostname(config)# call-home hostname(cfg-call-home)# mail-server smtp.example.com priority 1 hostname(cfg-call-home)# mail-server 192.168.0.1 priority 2 hostname(cfg-call-home)# sender from username@example.com hostname(cfg-call-home)# sender reply-to username@example.
第5章 cache 至 clear compression 命令 call-home send call-home send 要执行 CLI 命令并将命令输出通过邮件发送到指定地址,请在特权 EXEC 模式下使用 call-home send 命令。 call-home send cli command [email email] [service-number service number] 语法说明 cli-command 指定要执行的 CLI 命令。命令输出通过邮件发送。 email email 指定将 CLI 命令输出发送到的邮件地址。如果未指定邮件地址,命令输出将 发送到思科 TAC (attach@cisco.
第5章 cache 至 clear compression 命令 call-home send alert-group call-home send alert-group 要发送特定警报组消息,请在特权 EXEC 模式下使用 call-home send alert-group 命令。 call-home send alert-group {configuration | telemetry | inventory | group snapshot} [profile profile-name] 语法说明 configuration 将配置警报组消息发送到目标配置文件。 group snapshot 发送快照组。 inventory 发送资产 call-home 消息。 profile profile-name (可选)指定目标配置文件的名称。 telemetry 将诊断警报组消息发送到特定模块、插槽 / 子插槽 / 或插槽 / 托架编号 的目标配置文件。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由
第5章 cache 至 clear compression 命令 call-home send alert-group 以下示例展示如何发送资产 call-home 消息: hostname# call-home send alert-group inventory 相关命令 call-home 进入 call home 配置模式。 call-home test 发送您定义的 Call Home 测试消息。 service call-home 启用或禁用 Call Home。 show call-home 显示 call-home 配置信息。 思科 ASA 系列命令参考,A 至 H 命令 5-14
第5章 cache 至 clear compression 命令 call-home test call-home test 要使用配置文件的配置手动发送 Call Home 测试消息,请在特权 EXEC 模式下使用 call-home test 命令。 call-home test [“test-message”] profile profile-name 语法说明 profile profile-name 指定目标配置文件的名称。 “test-message” (可选)测试消息文本。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 示例 版本 8.
第5章 cache 至 clear compression 命令 capability lls capability lls 默认情况下启用 LLS 功能。要在原始 OSPF 数据包中显式启用链路本地信令 (LLS) 数据块并重新 启用 OSPF NSF 感知,请在路由器配置模式下使用 lls command 功能。要禁用 LLS 和 OSPF NSF 感知,请使用此命令的 no 形式。 capability lls no capability lls 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下启用 LLS 功能。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 使用指南 版本 9.
第5章 cache 至 clear compression 命令 capability opaque capability opaque 要使多协议标签交换流量工程 (MPLS TE) 拓扑信息通过不透明 LSA 泛洪网络,请在路由器配置 模式下使用 capability opaque 命令。要禁止 MPLS TE 拓扑信息通过不透明 LSA 泛洪网络,请使 用此命令的 no 形式。 capability opaque no capability opaque 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下启用不透明 LSA。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 使用指南 版本 9.
第5章 cache 至 clear compression 命令 capture capture 要启用数据包捕获功能以进行数据包嗅探和网络故障隔离,请在特权 EXEC 模式下使用 capture 命令。要禁用数据包捕获功能,请使用此命令的 no 形式。 [cluster exec] capture capture_name [type {asp-drop all [drop-code] | tls-proxy | raw-data | lacp | isakmp [ikev1 | ikev2] | inline-tag [tag] | webvpn user webvpn-user}] [access-list access_list_name] [interface asa_dataplane] [buffer buf_size] [ethernet-type type] [interface interface_name] [reinject-hide] [packet-length bytes] [circular-buffer] [trace trace_count] [real-time]
第5章 cache 至 clear compression 命令 capture interface interface_name 设置将用于数据包捕获的接口的名称。必须为任何要捕获的数据包都配置接 口。可以使用多个具有相同名称的 capture 命令配置多个接口。要在 ASA 的 数据层面上捕获数据包,可以使用 interface 关键字并将 “asa_dataplane” 作 为接口名称。可以指定 “cluster” 作为接口名称以捕获集群控制链路接口上 的流量。接口名称 “cluster” 和 “asa-dataplane” 是固定名称,不可配置。 如果配置了 lacp 类型的捕获,则接口名称为物理名称。 ikev1/ikev2 仅捕获 IKEv1 或 IKEv2 协议信息。 isakmp (可选)捕获 VPN 连接的 ISAKMP 流量。ISAKMP 子系统无权访问上层协 议。捕获是伪捕获,并将物理层、IP 层和 UDP 层结合在一起来满足 PCAP 解 析器。对等设备地址通过 SA 交换获得,存储在 IP 层中。 lacp (可选)捕获 LACP 流量。如果已配置,则接口名称为物理
第5章 cache 至 clear compression 命令 capture 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 • 是 透明 • 是 单个 • 是 情景 • 是 系统 • 是 版本 6.2(1) 修改 7.0(1) 此命令修改为包括以下关键字:type asp-drop、type isakmp、type raw-data 和 type webvpn。 7.0(8) 增加了 all 选项以捕获 ASA 丢弃的所有数据包。 7.2(1) 此命令修改为包括以下选项:trace trace_count、match prot、real-time、host ip、any、 mask 和 operator。 8.0(2) 此命令修改为更新捕获内容的路径。 8.4(1) 增加了新的 type 关键字 ikev1 和 ikev2。 8.4(2) 为 IDS 的输出增加了附加详细信息。 8.4(4.
第5章 cache 至 clear compression 命令 capture 注意 在故障切换期间,capture 命令不会保存到运行配置,也不会复制到备用设备。 ASA 能跟踪所有流经它的 IP 流量,并能捕获所有以它为目标的 IP 流量,包括所有管理流量(如 SSH 和 Telnet 流量)。 ASA 架构包括三组不同的处理器进行数据包处理;这种架构对捕获功能具有某些限制。通常 ASA 中的大部分数据包转发功能由两个前端网络处理器处理,数据包仅在需要应用检查时才发送 到控制平面通用处理器。仅当加速路径处理器中缺少会话时,数据包才发送到会话管理路径网络 处理器。 由于 ASA 转发或丢弃的所有数据包都会到达两个前端网络处理器,因此在这两个网络处理器中 实施数据包捕获功能。所以如果为流量接口配置合适的捕获,到达 ASA 的所有数据包都会被这 两个前端处理器捕获。在入口端,在数据包到达 ASA 接口时捕获数据包,而在出口端,先捕获 数据包,再在线发出。 当执行集群范围的捕获后,要同时将相同捕获文件从集群中的所有设备复制到 TFTP 服务器,请 在主设备上输入以下命令: ciscoasa# cluste
第5章 cache 至 clear compression 命令 capture 示例 • 配置捕获通常包括配置与需要捕获的流量匹配的访问列表。在配置与流量模式匹配的访问列 表之后,您需要定义一个捕获并将此访问列表与该捕获以及需要配置的捕获所在的接口相关 联。请注意,仅当访问列表和接口与捕获关联来捕获 IPv4 流量时,捕获才会工作。对于 IPv6 流量,不需要访问列表。 • 对于 ASA CX 模块流量,捕获的数据包包含一个附加的 AFBP 标头,您的 PCAP 查看器可能 不了解该标头;请确保使用合适的插件以查看这些数据包。 • 对于内联 SGT 标记数据包,捕获的数据包包含一个附加的 CMD 标头,您的 PCAP 查看器可 能不了解该标头。 • 如果没有入口接口并因而没有全局接口,则在背板上发送的数据包将被视为系统情景中的控 制数据包。这些数据包将绕过访问列表检查并始终被捕获。此行为适用于单情景模式和多情 景模式。 要捕获数据包,请输入以下命令: ciscoasa# capture captest interface inside ciscoasa# capture captes
第5章 cache 至 clear compression 命令 capture 默认情况下,配置捕获会创建一个 512 KB 大小的线性捕获缓冲区。您也可以配置一个循环缓冲 区。默认情况下,仅将 68 个字节的数据包捕获到缓冲区中。您可以更改此值。 以下示例使用之前配置的适用于外部接口的捕获访问列表创建一个名为 “ip-capture” 的捕获: ciscoasa (config)# capture ip-capture access-list capture interface outside 以下示例展示如何查看捕获: ciscoasa (config)# show capture name 以下示例展示如何结束捕获,但保留缓冲区: ciscoasa (config)# no capture name access-list acl_name interface interface_name 以下示例展示如何结束捕获并删除缓冲区: ciscoasa (config)# no capture name 以下示例展示如何在单情景模式下过滤在背板上捕获的流量: ciscoasa# capture
第5章 cache 至 clear compression 命令 capture 以下示例展示如何捕获真实源与真实目标匹配的流的逻辑更新消息,以及如何捕获通过 CCL 转 发的真实源与真实目标匹配的数据包: ciscoasa (config)# access-list dp permit real src real dst 以下示例展示如何捕获特定类型的数据层面消息(如 icmp 回应请求响应),该消息通过 match 关键字或该消息类型的访问列表从一个 ASA 转发到另一个 ASA: ciscoasa (config)# capture capture_name interface cluster access-list match icmp any any 以下示例展示如何在集群环境中通过在集群控制链路上使用访问列表 103 来创建捕获。 ciscoasa (config)# access-list 103 permit ip A B ciscoasa (config)# capture example1 interface cluster 在前一个示例中,如果 A 和 B 是 CCL 接口的
第5章 cache 至 clear compression 命令 cd cd 要将当前工作目录切换到指定目录,请在特权 EXEC 模式下使用 cd 命令。 cd [disk0: | disk1: | flash:] [path] 语法说明 disk0: 指定 内部闪存,后跟冒号。 disk1: 指定可拆卸的外部闪存卡,后跟冒号。 flash: 指定 内部闪存,后跟冒号。在 ASA 5500 系列中,flash 关键字是 disk0 的别名。 path (可选)目录要切换到的绝对路径。 默认值 如果不指定目录,目录将切换到根目录。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第5章 cache 至 clear compression 命令 cdp-url cdp-url 要指定将包含在本地 CA 颁发的证书中的 CDP,请在 CA 服务器配置模式下使用 cdp-url 命令。 要恢复为默认 CDP,请使用此命令的 no 形式。 [no] cdp-url url 语法说明 url 默认值 默认 CDP URL 是 ASA 的包括本地 CA 的 URL。默认 URL 的格式为: http://hostname.domain/+CSCOCA+/asa_ca.crl 。 命令模式 下表展示可输入此命令的模式: 指定验证方用来获得本地 CA 颁发的证书的撤销状态的 URL。URL 必 须少于 500 个字母数字字符。 防火墙模式 安全情景 多个 命令模式 路由 CA 服务器配置 命令历史 版本 8.
第5章 cache 至 clear compression 命令 certificate certificate 要添加指定的证书,请在加密 ca 证书链配置模式下使用 certificate 命令。要删除证书,请使用此 命令的 no 形式。 certificate [ca | ra-encrypt | ra-sign | ra-general] certificate-serial-number no certificate certificate-serial-number 语法说明 ca 指示证书是 CA 颁发的证书。 certificate-serial-number 指定十六进制格式的证书序列号,以 “quit” 一词结尾。 ra-encrypt 指示证书是用于 SCEP 的 RA 密钥加密证书。 ra-general 指示证书是用于 SCEP 消息中的数字签名和密钥加密的 RA 证书。 ra-sign 指示证书是用于 SCEP 消息的 RA 数字签名证书。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式
第5章 cache 至 clear compression 命令 certificate 30818F31 03550406 3111300F 73636F31 732D726F 01050003 181643ED 1E14219C 04030201 14E0D412 3081C230 2F436572 63726C30 2F436572 63726C30 72765C43 312E6372 0D010105 DF9EB96C BEA3C1FE quit 相关命令 16301406 13025553 06035504 0F300D06 6F742D73 4B003048 CF7E75EE 847D19F4 C6300F06 3ACC96C2 3EA03CA0 74456E72 3EA03CA0 74456E72 40A03EA0 65727445 6C301006 05000341 BB1873B2 5EE2AB6D 86F70D01 06035504 72616E6B 1306726F 362D3230 3EB9859B 26E51876 03010001 0101FF04 3F66C0CE 6
第5章 cache 至 clear compression 命令 certificate-group-map certificate-group-map 要将证书映射中的规则条目与隧道组关联,请在 webvpn 配置模式下使用 certificate-group-map 命令。要清除当前的隧道组映射关联,请使用此命令的 no 形式。 certificate-group-map certificate_map_name index tunnel_group_name no certificate-group-map 语法说明 certificate_map_name 证书映射的名称。 index 证书映射中映射条目的数字标识符。索引值可在 1-65535 的范围内。 tunnel_group_name 映射条目与证书匹配时所选隧道组的名称。隧道组名称必须已存在。 默认值 此命令默认禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 使用指南 版本 8.
第5章 cache 至 clear compression 命令 chain chain 要允许发送证书链,请在隧道组 IPsec 属性配置模式下使用 chain 命令。要将此命令恢复为默认 值,请使用此命令的 no 形式。 chain no chain 语法说明 此命令没有任何参数或关键字。 默认值 此命令的默认设置禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Tunnel-group ipsec-attributes configuration 命令历史 使用指南 版本 7.0(1) • 透明 是 单个 — • 是 情景 系统 — — 修改 引入了此命令。 您可以将此属性应用于所有 IPsec 隧道组类型。 输入此命令将在传输中包括根证书以及任何下级 CA 证书。 示例 在隧道组 IPsec 属性配置模式下输入以下示例,将允许为 IP 地址为 209.165.200.
第5章 cache 至 clear compression 命令 change-password change-password 要使用户更改其帐户密码,请在特权 EXEC 模式下使用 change-password 命令。 change-password [/silent] [old-password old-password [new-password new-password]] 语法说明 new-password new-password 指定新密码。 old-password old-password 对用户重新执行身份验证。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 路由 透明 单个 情景 — • 是 — • 是 特权 EXEC • 是 • 是 — 全局配置 • 是 • 是 • 版本 8.4(4.
第5章 cache 至 clear compression 命令 changeto changeto 要在安全情景和系统之间切换,请在特权 EXEC 模式下使用 changeto 命令。 changeto {system | context name} 语法说明 context name 切换到具有指定名称的情景。 system 切换到系统执行空间。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第5章 cache 至 clear compression 命令 channel-group channel-group 要为 EtherChannel 分配物理接口,请在接口配置模式下使用 channel-group 命令。要取消分配接 口,请使用此命令的 no 形式。 channel-group channel_id mode {active | passive | on} [vss-id {1 | 2}] no channel-group channel_id 语法说明 channel_id 指定要将此接口分配到的 EtherChannel,在 1 和 48 之间。 vss-id {1 | 2} (可选)对于集群,如果要将 ASA 连接到 VSS 或 vPC 中的两个交换机, 则配置 vss-id 关键字以标识此接口连接到的交换机(1 或 2)。还必须对 端口通道接口使用 port-channel span-cluster vss-load-balance 命令。 mode {active | passive | 可以将 EtherChannel 中的每个物理接口配置为: on} • A
第5章 cache 至 clear compression 命令 channel-group 如果此通道 ID 的端口通道接口尚未存在于配置中,则添加一个端口通道接口: interface port-channel channel_id 链路聚合控制协议 (LACP) 将在两个网络设备之间交换链路聚合控制协议数据单元 (LACPDU),进 而聚合接口。LACP 将协调自动添加和删除指向 EtherChannel 的链接,而无需用户干预。它还将处 理配置错误,并检查成员接口的两端是否连接到正确的信道组。当接口出现故障时,“ 开启 ” 模 式不能使用通道组中的备用接口,并且不会检查连接和配置。 ASA 集群 可以将每 ASA 的多个接口包括在跨区 EtherChannel 中。每 ASA 有多个接口专用于连接到 VSS 或 vPC 中的两个交换机。如果将 ASA 连接到 VSS 或 vPC 中的两个交换机,则应该使用 vss-load-balance 关键字启用 VSS 负载平衡。此功能可确保 ASA 与 VSS(或 vPC )对之间的物理 链路连接实现均衡。启用负载平衡前,您必须在 channel-g
第5章 cache 至 clear compression 命令 character-encoding character-encoding 要指定 WebVPN 入口页面中的全局字符编码,请在 webvpn 配置模式下使用 character-encoding 命令。要删除字符编码属性的值,请使用此命令的 no 形式。 character-encoding charset no character-encoding charset 语法说明 charset 字符串包含最多 40 个字符,并且其值与在 http://www.iana.org/assignments/character-sets 中标识的有效字符集之一 相等。您可以使用在此页面上列出的字符集的名称或别名。示例包括 iso-8859-1、shift_jis 和 ibm850。 字符串不区分大小写。命令解释程序在 ASA 配置中将大写字母转换为 小写字母。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 使用指南 版本 7.
第5章 cache 至 clear compression 命令 character-encoding 如果正确呈现文件名或目录路径以及页面是一个问题,则 CIFS 服务器到相应字符编码的映射(全 局使用 webvpn 字符编码属性,个别使用文件编码覆盖)会提供 CIFS 页面的准确处理和显示。 注意 字符编码和文件编码值未排除浏览器将使用的字体系列。如以下示例所示,如果使用日文 Shift_JIS 字符编码,则用户需要在 webvpn 定制命令模式下使用 page style 命令补充其中一个值的设置,或者 在 webvpn 定制命令模式下输入 no page style 命令删除字体系列。 当 WebVPN 入口页面的字符集属性没有值时,远程浏览器上设置的编码类型决定了此属性。 示例 以下示例将字符编码属性设置为支持日文 Shift_JIS 字符,删除字体系列,并保留默认背景颜色: ciscoasa(config)# webvpn ciscoasa(config-webvpn)# character-encoding shift_jis ciscoasa(config-webvpn)# cus
第5章 cache 至 clear compression 命令 checkheaps checkheaps 要配置 checkheaps 验证间隔,请在全局配置模式下使用 checkheaps 命令。要将此值设置为默认 值,请使用此命令的 no 形式。 checkheaps {check-interval | validate-checksum} seconds no checkheaps {check-interval | validate-checksum} [seconds] 语法说明 check-interval 设置缓冲区验证间隔。缓冲区验证过程会检查堆(已分配和已释放的内 存缓冲区)的健全性。每次调用该过程时,ASA 都会检查整个堆,验证 每个内存缓冲区。如果存在差异,ASA 将发出 “allocated buffer error” (分配的缓冲区错误)或 “free buffer error”(空闲缓冲区错误)。如 果存在错误,ASA 将在可能的情况下转储回溯信息并重新加载。 seconds 设置间隔(以秒为单位,在 1 到 2147483 之间)。 validate-chec
第5章 checkheaps 相关命令 命令 show checkheaps 思科 ASA 系列命令参考,A 至 H 命令 5-38 说明 显示 checkheaps 统计信息。 cache 至 clear compression 命令
第5章 cache 至 clear compression 命令 check-retransmission check-retransmission 为防止 TCP 重传式攻击,请在 tcp 映射配置模式下使用 check-retransmission 命令。要删除此指 定,请使用此命令的 no 形式。 check-retransmission no check-retransmission 语法说明 此命令没有任何参数或关键字。 默认值 默认设置为禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 TCP 映射配置 命令历史 使用指南 版本 7.
第5章 cache 至 clear compression 命令 check-retransmission 相关命令 命令 class 说明 help 显示 policy-map、class 和 description 命令的语法帮助。 policy-map 配置策略;即流量类与一个或多个操作的关联。 set connection 配置连接值。 tcp-map 创建 TCP 映射,并允许对 TCP 映射配置模式的访问。 思科 ASA 系列命令参考,A 至 H 命令 5-40 指定要用于流量分类的类映射。
第5章 cache 至 clear compression 命令 checksum-verification checksum-verification 要启用或禁用 TCP 校验和验证,请在 tcp 映射配置模式下使用 checksum-verification 命令。要删 除此指定,请使用此命令的 no 形式。 checksum-verification no checksum-verification 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下禁用校验和验证。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 TCP 映射配置 命令历史 使用指南 版本 7.
第5章 cache 至 clear compression 命令 checksum-verification 相关命令 命令 class 说明 help 显示 policy-map、class 和 description 命令的语法帮助。 policy-map 配置策略;即流量类与一个或多个操作的关联。 set connection 配置连接值。 tcp-map 创建 TCP 映射,并允许对 TCP 映射配置模式的访问。 思科 ASA 系列命令参考,A 至 H 命令 5-42 指定要用于流量分类的类映射。
第5章 cache 至 clear compression 命令 cipc security-mode authenticated cipc security-mode authenticated 要使 Cisco IP Communicator (CIPC) 软电话在语音和数据 VLAN 场景中部署后工作在已验证模 式,请在电话代理配置模式下使用 cipc security-mode authenticated 命令。要在 CIPC 软电话支 持加密时关闭此命令,请使用此命令的 no 形式。 cipc security-mode authenticated no cipc security-mode authenticated 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下,通过此命令的 no 形式禁用此命令。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 电话代理配置 命令历史 版本 8.
第5章 cache 至 clear compression 命令 cipc security-mode authenticated 示例 以下示例展示当在语音和数据 VLAN 场景中部署 Cisco IP Communicator (CIPC) 软电话时,如何 使用 cipc security-mode authenticated 命令强制 CIPC 软电话工作在已验证模式。 ciscoasa(config)# phone-proxy asa_phone_proxy ciscoasa(config-phone-proxy)#cipc security-mode authenticated 相关命令 命令 phone-proxy 思科 ASA 系列命令参考,A 至 H 命令 5-44 说明 配置电话代理实例。
第5章 cache 至 clear compression 命令 clacp static-port-priority clacp static-port-priority 要禁用集群跨区 EtherChannel(活动的 EtherChannel 成员超过 8 个时需要)的 LACP 中的动态端 口优先级,请在全局配置模式下使用 clacp static-port-priority 命令。要启用动态端口优先级,请 使用此命令的 no 形式。 clacp static-port-priority no clacp static-port-priority 语法说明 此命令没有任何参数或关键字。 命令默认值 默认情况下禁用此命令;启用动态端口优先级。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 9.
第5章 clacp static-port-priority 相关命令 命令 clacp system-mac 思科 ASA 系列命令参考,A 至 H 命令 5-46 说明 设置 cLACP 系统 ID。 cache 至 clear compression 命令
第5章 cache 至 clear compression 命令 clacp system-mac clacp system-mac 要手动配置 ASA 集群中主设备上的 cLACP 系统 ID,请在集群组配置模式下使用 clacp system-mac 命令。要恢复默认设置,请使用此命令的 no 形式。 clacp system-mac {mac_address | auto} [system-priority number] no clacp system-mac {mac_address | auto} [system-priority number] 语法说明 命令默认值 mac_address 手动设置 H.H.H 形式的系统 ID,其中 H 是 16 位十六进制数。例如, MAC 地址 00-0A-00-00-AA-AA 输入为 000A.0000.
第5章 clacp system-mac 示例 以下示例手动配置系统 ID: cluster group pod1 local-unit unit1 cluster-interface port-channel1 ip 192.168.1.1 255.255.255.0 priority 1 key chuntheunavoidable health-check clacp system-mac 000a.0000.
第5章 cache 至 clear compression 命令 class (global) class (global) 要创建将安全情景分配到的资源类,请在全局配置模式下使用 class 命令。要删除类,请使用此 命令的 no 形式。 class name no class name 语法说明 name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定字符串形式的名称,最长 20 个字符。要设置默认类的限制,请输 入 default 作为名称。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第5章 class (global) 示例 以下示例将 conns 的默认类限制设置为 10%,而非无限制: ciscoasa(config)# class default ciscoasa(config-class)# limit-resource conns 10% 所有其他资源仍然不受限制。 要添加名为 gold 的类,请输入以下命令: ciscoasa(config)# class ciscoasa(config-class)# ciscoasa(config-class)# ciscoasa(config-class)# ciscoasa(config-class)# ciscoasa(config-class)# ciscoasa(config-class)# ciscoasa(config-class)# ciscoasa(config-class)# ciscoasa(config-class)# ciscoasa(config-class)# ciscoasa(config-class)# 相关命令 mac-addresses 10000 conns 15% rate conns
第5章 cache 至 clear compression 命令 class (policy-map) class (policy-map) 要为用于向类映射流量分配操作的策略映射分配类映射,请在策略映射配置模式下使用 class 命 令。要从策略映射中删除类映射,请使用此命令的 no 形式。 class classmap_name no class classmap_name 语法说明 classmap_name 指定类映射的名称。对于第 3/4 层策略映射(policy-map 命令),必须指定第 3/4 层类映射名称(class-map 或 class-map type management 命令)。对于检 查策略映射(policy-map type inspect 命令),必须指定检查类映射名称 (class-map type inspect 命令)。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 策略映射配置 命令历史 使用指南 版本 7.
第5章 cache 至 clear compression 命令 class (policy-map) b. 应用类型的命令 - 请参阅 CLI 配置指南了解每种应用类型可使用的命令。检查策略映射的 类配置模式支持的操作包括: – 丢弃数据包 – 丢弃连接 – 重置连接 – 记录 – 对消息进行速率限制 – 屏蔽内容 c. parameters - 配置影响检查引擎的参数。CLI 进入参数配置模式。请参阅 CLI 配置指南了 解可用命令。 3. class-map - 标识要对其执行操作的流量。 4. policy-map - 标识与每个类映射关联的操作。 a. class - 标识要对其执行操作的第 3/4 层类映射。 b. inspect application inspect_policy_map - 启用应用检查,并调用检查策略映射以执行特殊 操作。 5.
第5章 cache 至 clear compression 命令 class (policy-map) 以下示例展示了流量如何与第一个可用的类映射进行匹配,以及将不会与在同一功能域中指定操 作的任何后续类映射进行匹配: ciscoasa(config)# class-map telnet_traffic ciscoasa(config-cmap)# match port tcp eq 23 ciscoasa(config)# class-map ftp_traffic ciscoasa(config-cmap)# match port tcp eq 21 ciscoasa(config)# class-map tcp_traffic ciscoasa(config-cmap)# match port tcp range 1 65535 ciscoasa(config)# class-map udp_traffic ciscoasa(config-cmap)# match port udp range 0 65535 ciscoasa(config)# policy-map global_policy ci
第5章 cache 至 clear compression 命令 class-map class-map 使用 模块化策略框架 时,通过在全局配置模式下使用 class-map 命令(不带 type 关键字)来标 识您想要对其应用操作的第 3 层或第 4 层流量。要删除类映射,请使用此命令的 no 形式。 class-map class_map_name no class-map class_map_name 语法说明 class_map_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定类映射名称,最长 40 个字符。名称 “class-default” 和任何以 “_internal” 或 “_default” 开头的名称均已保留。所有类型的类映射 均使用同一名称空间,因此无法重复使用已被其他类型的类映射使用的 名称。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第5章 cache 至 clear compression 命令 class-map 最大类映射数量 在单模式或多模式的每个情景中,所有类型的类映射的最大数量为 255。类映射包括下列类型: • class-map • class-map type management • class-map type inspection • class-map type regex • 策略映射类型检查配置模式中的 match 命令 此限制还包括所有类型的默认类映射。 配置概述 配置模块化策略框架包含四项任务: 1. 使用 class-map 或 class-map type management 命令标识您要对其应用操作的第 3 层和第 4 层 流量。 2. (仅适用于应用检查)使用 policy-map type inspect 命令定义应用检查流量的特殊操作。 3. 使用 policy-map 命令将操作应用到第 3 层和第 4 层流量。 4.
第5章 cache 至 clear compression 命令 class-map type inspect class-map type inspect 使用 模块化策略框架 时,通过在全局配置模式下使用 class-map type inspect 命令来匹配特定于 检查应用的条件。要删除检查类映射,请使用此命令的 no 形式。 class-map type inspect application [match-all | match-any] class_map_name no class-map [type inspect application [match-all | match-any]] class_map_name 语法说明 application 指定要匹配的应用流量的类型。可用类型包括: • dns • ftp • h323 • http • im • scansafe • sip class_map_name 指定类映射名称,最长 40 个字符。名称 “class-default” 和任何以 “_internal” 或 “_default”
第5章 cache 至 clear compression 命令 class-map type inspect 使用指南 模块化策略框架 让您可以配置用于许多应用检查的特殊操作。在第 3/4 层策略映射中启用检查引 擎时,还可以启用在检查策略映射中定义的操作(请参阅 policy-map type inspect 命令)。 在检查策略映射中,可以通过创建检查类映射来标识要对其执行操作的流量。类映射包含一个或 多个 match 命令。(如果要将单个条件与操作配对,还可以直接在检查策略映射中使用 match 命 令)。可以匹配特定于应用的条件。例如,对于 DNS 流量,可以在 DNS 查询中匹配域名。 类映射将多个流量匹配分组(在 match-all 类映射中),或让您匹配一系列匹配中的任意一个(在 match-any 类映射中)。创建类映射与直接在检查策略映射中定义流量匹配的差异是,类映射可 让您将多个匹配命令分组,并且您可以重复使用类映射。对于在此类映射中标识的流量,可以指 定丢弃、重置和 / 或在检查策略映射中记录连接等操作。 在单模式或多模式的每个情景中,所有类型的类映射的最大数量为 255。类映射
第5章 cache 至 clear compression 命令 class-map type management class-map type management 使用 模块化策略框架 时,通过在全局配置模式下使用 class-map type management 命令来标识以 您想要对其应用操作的 ASA 为目标的第 3 层或第 4 层管理流量。要删除类映射,请使用此命令的 no 形式。 class-map type management class_map_name no class-map type management class_map_name 语法说明 class_map_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定类映射名称,最长 40 个字符。名称 “class-default” 和任何以 “_internal” 或 “_default” 开头的名称均已保留。所有类型的类映射 均使用同一名称空间,因此无法重复使用已被其他类型的类映射使用的 名称。 防火墙模式 安全情景 多个 命令模式 全局配置 路由 • 是 透明
第5章 cache 至 clear compression 命令 class-map type management 使用 class-map type management 命令进入类映射配置模式。从类映射配置模式,可以使用 match 命令定义要包含在类中的流量。您可以指定可与访问列表或者 TCP 或 UDP 端口匹配的管 理类映射。一个第 3/4 层类映射最多可包含一个用于标识类映射中包括的流量的 match 命令。 在单模式或多模式的每个情景中,所有类型的类映射的最大数量为 255。类映射包括下列类型: • class-map • class-map type management • class-map type inspection • class-map type regex • 策略映射类型检查配置模式中的 match 命令 此限制还包括所有类型的默认类映射。请参阅 class-map 命令以了解详细信息。 示例 以下示例创建第 3/4 层管理类映射: ciscoasa(config)# class-map type management radius_acct c
第5章 cache 至 clear compression 命令 class-map type regex class-map type regex 使用 模块化策略框架 时,通过在全局配置模式下使用 class-map type regex 命令来分组与匹配文 本一起使用的正则表达式。要删除正则表达式类映射,请使用此命令的 no 形式。 class-map type regex match-any class_map_name no class-map [type regex match-any] class_map_name 语法说明 class_map_name 指定类映射名称,最长 40 个字符。名称 “class-default” 和任何以 “_internal” 或 “_default” 开头的名称均已保留。所有类型的类映射 均使用同一名称空间,因此无法重复使用已被其他类型的类映射使用的 名称。 match-any 指定如果流量仅匹配其中一个正则表达式,则其匹配类映射。 match-any 是唯一选项。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式:
第5章 cache 至 clear compression 命令 class-map type regex • class-map type regex • 策略映射类型检查配置模式中的 match 命令 此限制还包括所有类型的默认类映射。请参阅 class-map 命令以了解详细信息。 示例 以下示例创建两个正则表达式,并将它们添加到正则表达式类映射。如果流量包含字符串 “example.com” 或 “example2.com”,则其匹配该类映射。 ciscoasa(config)# regex url_example example\.com ciscoasa(config)# regex url_example2 example2\.
第5章 cache 至 clear compression 命令 clear aaa kerberos clear aaa kerberos 要清除有关 ASA 的所有 Kerberos 票证信息,请在 webvpn 配置模式下使用 clear aaa kerberos 命令。 [cluster exec] clear aaa kerberos [username user | host ip | hostname] 语法说明 cluster exec (可选)在集群环境中,让您在一个设备中发出 clear aaa kerberos 命 令,同时在所有其他设备中运行该命令。 host 指定要从 Kerberos 票证清除的特定主机。 hostname 指定主机名。 ip 指定主机的 IP 地址。 username 指定要从 Kerberos 票证清除的特定用户。 默认值 此命令不存在默认值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 • 是 透明 — 版本 8.
第5章 cache 至 clear compression 命令 clear aaa local user fail-attempts clear aaa local user fail-attempts 要将失败的用户身份验证尝试次数重置为零,并且不修改用户锁定状态,请在特权 EXEC 模式下 使用 clear aaa local user fail-attempts 命令。 [cluster exec] clear aaa local user authentication fail-attempts {username name | all} 语法说明 all 将所有用户的失败尝试计数器重置为 0。 cluster exec (可选)在集群环境中,让您在一个设备中发出 clear aaa local user authentication fail-attempts 命令,同时在所有其他设备中运行该命令。 name 指定特定用户名,其失败尝试计数器将重置为 0。 username 指示以下参数是用户名,其失败尝试计数器将重置为 0。 默认值 没有默认行为或值。 命令模式 下
第5章 cache 至 clear compression 命令 clear aaa local user fail-attempts 以下示例展示如何使用 clear aaa local user authentication fail-attempts 命令将所有用户的失败尝 试计数器重置为 0: ciscoasa(config)# clear aaa local user authentication fail-attempts all ciscoasa(config)# 相关命令 命令 aaa local authentication attempts max-fail 配置允许的用户身份验证失败尝试次数限制。 clear aaa local user lockout 将用户身份验证失败尝试次数重置为零,并且不修改用户的锁 定状态。 show aaa local user [locked] 显示当前锁定的用户名的列表。 思科 ASA 系列命令参考,A 至 H 命令 5-64 说明
第5章 cache 至 clear compression 命令 clear aaa local user lockout clear aaa local user lockout 要清除指定用户的锁定状态并将其失败尝试计数器设置为 0,请在特权 EXEC 模式下使用 clear aaa local user lockout 命令。 [cluster exec] clear aaa local user lockout {username name | all} 语法说明 all 将所有用户的失败尝试计数器重置为 0。 cluster exec (可选)在集群环境中,让您在一个设备中发出 clear aaa local user lockout 命令,同时在所有其他设备中运行该命令。 name 指定特定用户名,其失败尝试计数器将重置为 0。 username 指示以下参数是用户名,其失败尝试计数器将重置为 0。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 • 是
第5章 cache 至 clear compression 命令 clear aaa local user lockout 相关命令 命令 aaa local authentication attempts max-fail 说明 clear aaa local user fail-attempts 将用户身份验证失败尝试次数重置为零,并且不修改用户的 锁定状态。 show aaa local user [locked] 显示当前锁定的用户名的列表。 思科 ASA 系列命令参考,A 至 H 命令 5-66 配置允许的用户身份验证失败尝试次数限制。
第5章 cache 至 clear compression 命令 clear aaa-server statistics clear aaa-server statistics 要重置 AAA 服务器的统计信息,请在特权 EXEC 模式下使用 clear aaa-server statistics 命令。 clear aaa-server statistics [LOCAL | groupname [host hostname] | protocol protocol] 语法说明 groupname (可选)清除组中服务器的统计信息。 host hostname (可选)清除组中特定服务器的统计信息。 LOCAL (可选)清除 LOCAL 用户数据库的统计信息。 protocol protocol (可选)清除指定协议的服务器的统计信息: • kerberos • ldap • nt • radius • sdi • tacacs+ 默认值 删除所有组内的所有 AAA 服务器统计信息。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个
第5章 cache 至 clear compression 命令 clear aaa-server statistics 以下示例展示如何重置所有服务器组的 AAA 统计信息: ciscoasa(config)# clear aaa-server statistics 以下示例展示如何重置特定协议(此例中为 TACACS+)的 AAA 统计信息: ciscoasa(config)# clear aaa-server statistics protocol tacacs+ 相关命令 命令 aaa-server protocol 说明 clear configure aaa-server 删除所有非默认 AAA 服务器组或清除指定组。 show aaa-server 显示 AAA 服务器统计信息。 show running-config aaa-server 显示当前 AAA 服务器配置值。 思科 ASA 系列命令参考,A 至 H 命令 5-68 指定并管理 AAA 服务器连接数据的分组。
第5章 cache 至 clear compression 命令 clear access-list clear access-list 要清除访问列表计数器,请在全局配置模式下使用 clear access-list 命令。 clear access-list id counters 语法说明 counters 清除访问列表计数器。 id 访问列表的名称或编号。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第5章 cache 至 clear compression 命令 clear arp clear arp 要清除动态 ARP 条目或 ARP 统计信息,请在特权 EXEC 模式下使用 clear arp 命令。 clear arp [statistics] 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第5章 cache 至 clear compression 命令 clear asp drop clear asp drop 要清除加速安全路径 (ASP) 丢弃统计信息,请在特权 EXEC 模式下使用 clear asp drop 命令。 clear asp drop [flow type | frame type] 语法说明 flow (可选)清除已丢弃的流统计信息。 frame (可选)清除已丢弃的数据包统计信息。 type (可选)清除特定过程的已丢弃的流或数据包统计信息。 默认值 默认情况下,此命令清除所有丢弃统计信息。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 7.
第5章 clear asp drop out-of-memory parent-closed pinhole-timeout recurse reinject-punt reset-by-ips reset-in reset-oout shunned syn-timeout tcp-fins tcp-intecept-no-response tcp-intercept-kill tcp-intercept-unexpected tcpnorm-invalid-syn tcpnorm-rexmit-bad tcpnorm-win-variation timeout tunnel-pending tunnel-torn-down xlate-removed 示例 以下示例清除所有丢弃统计信息: ciscoasa# clear asp drop 相关命令 命令 show asp drop 思科 ASA 系列命令参考,A 至 H 命令 5-72 说明 显示已丢弃数据包的加速安全路径计数器。 cache 至 clear compression 命令
第5章 cache 至 clear compression 命令 clear asp load-balance history clear asp load-balance history 要清除每个数据包的 ASP 负载平衡历史记录并重置发生自动切换的次数,请在特权 EXEC 模式下 使用 clear asp load-balance history 命令。 clear asp load-balance history 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 特权 EXEC 命令历史 使用指南 示例 版本 9.
第5章 cache 至 clear compression 命令 clear asp table clear asp table 要清除 ASP ARP 表、ASP 分类表或两者中的命中计数器,请在特权 EXEC 模式下使用 clear asp table 命令。 clear asp table [arp | classify] 语法说明 arp 仅清除 ASP ARP 表中的命中计数器。 classify 仅清除 ASP 分类表中的命中计数器。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第5章 cache 至 clear compression 命令 clear asp table 相关命令 命令 show asp table arp 说明 显示加速安全路径的内容,这可帮助您排查问题。 思科 ASA 系列命令参考,A 至 H 命令 5-75
第5章 cache 至 clear compression 命令 clear asp table filter clear asp table filter 要清除 ASP 过滤表的命中计数器,请在特权 EXEC 模式下使用 clear asp table filter 命令。 clear asp table filter [access-list acl-name] 语法说明 acl-name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 仅清除指定访问列表的命中计数器。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 示例 版本 8.
第5章 cache 至 clear compression 命令 clear bgp clear bgp 要使用硬 / 软重新配置来重置边界网关协议 (BGP) 连接,请在特权 EXEC 模式下使用 clear bgp 命令。 多模式 - 系统情景 clear bgp * 多模式 - 用户情景 / 单模式 clear bgp {* [ipv4 {unicast} [in | out | soft [in | out]] |autonomous-system-number | neighbor-address } [in | out | soft [in | out]] 语法说明 指定将重置所有当前 BGP 会话。 autonomous-system-num 将重置所有 BGP 对等会话的自主系统的编号。在从 1 到 65535 范围内 ber 的数量。支持的 4 字节自主系统编号的范围为 65536 到 4294967295 (asplain 记数法)以及 1.0 到 65535.
第5章 cache 至 clear compression 命令 clear bgp 使用指南 clear bgp 命令可用于启动硬重置或软重新配置。硬重置会断开并重建指定的对等会话并重建 BGP 路由表。软重新配置使用存储的前缀信息来重新配置并激活 BGP 路由表,无需断开现有对等会 话。软重新配置使用存储的更新信息(以使用额外内存存储更新为代价),允许您应用新 BGP 策略而无需中断网络。软重新配置可针对入站或出站会话进行配置。 1. 多模式 - 系统情景: ciscoasa(config)# clear bgp * This command will reset BGP in all contexts. Are you sure you want to continue ?[no]: 2. 单模式 / 多模式 - 用户情景: ciscoasa/c1(config)# clear bgp ? exec 模式命令 / 选项: * <1-4294967295> <1.0-XX.YY> A.B.C.D external ipv4 table-map 示例 1.
第5章 cache 至 clear compression 命令 clear bgp 相关命令 命令 clear bgp external 说明 使用硬 / 软重新配置来重置外部边界网关协议 (eBGP) 对等会话。 clear bgp ipv4 使用硬 / 软重新配置来重置 IPv4 地址系列会话的边界网关协议 (BGP) 连接。 clear bgp table-map 在边界网关协议 (BGP) 路由表中刷新表映射配置信息。 思科 ASA 系列命令参考,A 至 H 命令 5-79
第5章 cache 至 clear compression 命令 clear bgp external clear bgp external 要使用硬 / 软重新配置来重置外部边界网关协议 (eBGP) 对等会话,请在特权 EXEC 模式下使用 clear bgp external 命令。 clear bgp external [in |out | soft [in|out] | ipv4 {unicast} [in | out | soft [in | out] ] 语法说明 in (可选)启动入站重新配置。如果未指定 in 和 out 关键字,入站和出站 会话都会重置。 out (可选)启动入站或出站重新配置。如果未指定 in 和 out 关键字,入站 和出站会话都会重置。 soft (可选)以强制方式清除慢速对等设备状态,并将其移至原始更新组。 ipv4 使用硬 / 软重新配置来重置 IPv4 地址系列会话的 BGP 连接。 unicast (可选)指定单播地址系列会话。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多
第5章 cache 至 clear compression 命令 clear bgp external 相关命令 命令 clear bgp 说明 使用硬 / 软重新配置来重置边界网关协议 (eBGP) 对等会话。 clear bgp ipv4 使用硬 / 软重新配置来重置 IPv4 地址系列会话的边界网关协议 (BGP) 连接。 clear bgp table-map 在边界网关协议 (BGP) 路由表中刷新表映射配置信息。 思科 ASA 系列命令参考,A 至 H 命令 5-81
第5章 cache 至 clear compression 命令 clear bgp ipv4 clear bgp ipv4 要使用硬 / 软重新配置来重置 IPv4 地址系列会话的边界网关协议 (eBGP) 对等会话,请在特权 EXEC 模式下使用 clear bgp ipv4 命令。 clear bgp ipv4 unicast {autonomous-system-number [in |out | soft [in|out]} 语法说明 autonomous-system-num 将重置所有 BGP 对等会话的自主系统的编号。在从 1 到 65535 范围内 ber 的数量。支持的 4 字节自主系统编号的范围为 65536 到 4294967295 (asplain 记数法)以及 1.0 到 65535.
第5章 cache 至 clear compression 命令 clear bgp ipv4 2. 在以下示例中,针对编号为 65538(asplain 记数法)的 4 字节自主系统的 IPv4 单播地址系列 会话中的 BGP 邻居启动硬重置。 ciscoasa(config)# clear bgp ipv4 unicast 65538 (Single mode) ciscoasa/c1(config)# clear bgp ipv4 unicast 65538 (Multiple mode user context) 3. 在以下示例中,针对编号为 1.2(asdot 记数法)的 4 字节自主系统的 IPv4 单播地址系列会话 中的 BGP 邻居启动硬重置。 ciscoasa(config)# clear bgp ipv4 unicast 1.2 (Single mode) ciscoasa/c1(config)# clear bgp ipv4 unicast 1.
第5章 cache 至 clear compression 命令 clear bgp table-map clear bgp table-map 要刷新边界网关协议 (BGP) 路由表中的表映射配置信息,请在特权 EXEC 模式下使用 clear bgp table-map 命令。 clear bgp [ipv4 unicast] table-map 语法说明 ipv4 (可选)刷新 IPv4 地址系列会话的表映射配置信息。 unicast (可选)刷新单播地址系列会话的表映射配置信息。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 9.2(1) • 是 透明 • 是 单个 • 是 情景 • 是 系统 — 修改 引入了此命令。 clear bgp table-map 命令用于清除或刷新 BGP 路由表中的表映射配置信息。此命令可用于清除配 置了 BGP 策略记账功能的流量索引信息。 该命令在系统情景中无效。 示例 1.
第5章 cache 至 clear compression 命令 clear bgp table-map 相关命令 命令 clear bgp 说明 使用硬 / 软重新配置来重置边界网关协议 (eBGP) 对等会话。 clear bgp external 使用硬 / 软重新配置来重置外部边界网关协议 (BGP) 连接。 clear bgp ipv4 使用硬 / 软重新配置来重置 IPv4 地址系列会话的边界网关协议 (BGP) 对等会话。 思科 ASA 系列命令参考,A 至 H 命令 5-85
第5章 cache 至 clear compression 命令 clear blocks clear blocks 要重置数据包缓冲区计数器(如低水印和历史记录信息),请在特权 EXEC 模式下使用 clear blocks 命令。 clear blocks [snapshot | history] 语法说明 history 清除所有快照的历史记录。 snapshot 清除所有快照。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 示例 • 是 透明 • 是 版本 7.0(1) 引入了此命令。 9.
第5章 cache 至 clear compression 命令 clear-button clear-button 要定制显示给连接到 ASA 的 WebVPN 用户的 WebVPN 页面登录字段的 Clear(清除)按钮,请在 定制配置模式下使用 clear-button 命令。要从配置中删除该命令并使值得到继承,请使用此命令 的 no 形式。 clear-button {text | style} value no clear-button [{text | style}] value 语法说明 默认值 style 指示您正在更改样式。 text 指示您正在更改文本。 value 要显示的实际文本或层叠样式表 (CSS) 参数,每项最多允许 256 个字符。 默认文本为 “Clear”。 默认样式为 border:1px solid black;background-color:white;font-weight:bold;font-size:80%。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 定制配置 命令历史 版本 7.
第5章 cache 至 clear compression 命令 clear-button 示例 以下示例将 Clear(清除)按钮的默认背景颜色从黑色更改为蓝色: ciscoasa(config)# webvpn ciscoasa(config-webvpn)# customization cisco ciscoasa(config-webvpn-custom)# clear-button style background-color:blue 相关命令 命令 group-prompt 定制 WebVPN 页面登录字段的组提示。 login-button 定制 WebVPN 页面登录字段的登录按钮。 login-title 定制 WebVPN 页面登录字段的标题。 password-prompt 定制 WebVPN 页面登录字段的密码提示。 username-prompt 定制 WebVPN 页面登录字段的用户名提示。 思科 ASA 系列命令参考,A 至 H 命令 5-88 说明
第5章 cache 至 clear compression 命令 clear capture clear capture 要清除捕获缓冲区,请在特权 EXEC 模式下使用 clear capture capture_name 命令。 clear capture capture_name 语法说明 capture_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 数据包捕获的名称。 防火墙模式 安全情景 多个 命令历史 命令模式 路由 透明 单个 情景 系统 特权 EXEC • • • • • 版本 7.
第5章 cache 至 clear compression 命令 clear cluster info clear cluster info 要清除集群统计信息,请在特权 EXEC 模式下使用 clear cluster info 命令。 clear cluster info {trace | transport} 语法说明 trace 清除集群事件跟踪信息。 transport 清除集群传输统计信息。 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 9.
第5章 cache 至 clear compression 命令 clear compression clear compression 要清除所有 SVC 和 WebVPN 连接的压缩统计信息,请在特权 EXEC 模式下使用 clear compression 命令。 clear compression {all | svc | http-comp} 语法说明 all 清除所有压缩统计信息。 http-comp 清除 HTTP-COMP 统计数据。 svc 清除 SVC 压缩统计信息。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第5章 clear compression 思科 ASA 系列命令参考,A 至 H 命令 5-92 cache 至 clear compression 命令
第 6 章 clear configure 至 clear isakmp sa 命令 思科 ASA 系列命令参考,A 至 H 命令 6-1
第6章 clear configure 至 clear isakmp sa 命令 clear configuration session clear configuration session 要删除配置会话,请在全局配置模式下使用 clear configuration session 命令。 clear configuration session [session_name] 语法说明 session_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 现有配置会话的名称。可对当前会话列表使用 show configuration session 命令。如果省略此参数,将删除所有现有会话。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 9.
第6章 clear configure 至 clear isakmp sa 命令 clear configure clear configure 要清除运行配置,请在全局配置模式下使用 clear configure 命令。 clear configure {primary | secondary | all | command} 语法说明 all 清除整个运行配置。 command 清除指定命令的配置。对于可用的命令,请使用 clear configure ? 命令 查看 CLI 帮助。 primary 对于故障切换对,清除主要设备配置。 secondary 对于故障切换对,清除辅助设备配置。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第6章 clear configure 相关命令 命令 show running-config 思科 ASA 系列命令参考,A 至 H 命令 6-4 说明 显示运行的配置。 clear configure 至 clear isakmp sa 命令
第6章 clear configure 至 clear isakmp sa 命令 clear conn clear conn 要清除特定连接或多个连接,请在特权 EXEC 模式下使用 clear conn 命令。 clear conn [all] [protocol {tcp | udp}] [address src_ip[-src_ip] [netmask mask]] [port src_port[-src_port]] [address dest_ip[-dest_ip] [netmask mask]] [port dest_port[-dest_port] [user [domain_nickname\]user_name | user-group [domain_nickname\\]user_group_name] | zone [zone_name]] 语法说明 address (可选)清除具有指定的源 IP 地址或目标 IP 地址的连接。 all (可选)清除所有连接(包括到设备的连接)。如果没有 all 关键字, 则仅清除通过设备的连接。 dest_ip (可选)指定目标
第6章 clear configure 至 clear isakmp sa 命令 clear conn 命令历史 使用指南 版本 7.0(8)/7.2(4)/8.0(4) 修改 8.4(2) 添加了 user 和 user-group 关键字,用于支持身份防火墙。 9.3(2) 添加了 zone 关键字。 引入了此命令。 此命令支持 IPv4 和 IPv6 地址。 如果对配置更改安全策略,所有新连接都将使用新的安全策略。现有连接将继续使用在连接建立 时配置的策略。要确保所有连接都使用新策略,需要使用 clear conn 命令断开当前连接;断开的 连接重新连接后即会使用新策略。可以使用 clear local-host 命令清除每台主机的连接,或者使用 clear xlate 命令清除使用动态 NAT 的连接。 当 ASA 创建用于允许辅助连接的针孔时,将在 show conn 命令输出中显示为不完整的连接。要清 除此不完整的连接,请使用 clear conn 命令。 示例 以下示例展示如何删除所有连接,然后清除 10.10.10.108:4168 与 10.0.8.
第6章 clear configure 至 clear isakmp sa 命令 clear console-output clear console-output 要删除当前捕获的控制台输出,请在特权 EXEC 模式下使用 clear console-output 命令。 clear console-output 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear coredump clear coredump 要清除核心转储日志,请在全局配置模式下使用 clear coredump 命令。 clear coredump 语法说明 此命令没有参数或关键字。 默认值 默认情况下,核心转储未启用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 全局配置 命令历史 使用指南 示例 版本 8.
第6章 clear configure 至 clear isakmp sa 命令 clear counters clear counters 要清除口令计数器,请在全局配置模式下使用 clear counters 命令。 clear counters [all | context context-name | summary | top N ] [detail] [protocol protocol_name [:counter_name]] [ threshold N] 语法说明 all (可选)清除所有过滤器详细信息。 context context-name (可选)指定情景名称。 :counter_name (可选)按名称指定计数器。 detail (可选)清除计数器详细信息。 protocol protocol_name (可选)清除指定协议的计数器。 summary (可选)清除计数器摘要。 threshold N (可选)清除达到或超过指定阈值的计数器。范围为 1 到 4294967295。 top N (可选)清除达到或超过指定阈值的计数器。范围为 1 到
第6章 clear configure 至 clear isakmp sa 命令 clear crashinfo clear crashinfo 要删除闪存中的故障文件的内容,请在特权 EXEC 模式下使用 clear crashinfo 命令。 clear crashinfo 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear crypto accelerator statistics clear crypto accelerator statistics 要从加密加速器 MIB 中清除全局统计信息和加速器特定统计信息,请在特权 EXEC 模式下使用 clear crypto accelerator statistics 命令。 clear crypto accelerator statistics 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示了可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 特权 EXEC 命令历史 示例 • 是 透明 • 单个 是 版本 7.0(1) 修改 9.
第6章 clear configure 至 clear isakmp sa 命令 clear crypto ca crls clear crypto ca crls 要清空与指定信任点关联的所有 CRL 的 CRL 缓存要从缓存中清空与信任池关联的所有 CRL,或 者要清空所有 CRL 的 CRL 缓存,请在特权 EXEC 模式下使用 clear crypto ca crls 命令。 clear crypto ca crls [trustpool | trustpoint trustpointname] 语法说明 trustpointname 信任点的名称。如果不指定名称,此命令将清除系统上所有缓存 CRL。如果提供没有信任点名称的信任点关键字,此命令将失败。 trustpool 表示操作应仅应用于与信任池中证书关联的 CRL。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 9.
第6章 clear configure 至 clear isakmp sa 命令 clear crypto ca trustpool clear crypto ca trustpool 要从信任池中删除所有证书,请在全局配置模式下使用 clear crypto ca trustpool 命令。 clear crypto ca trustpool [noconfirm] 语法说明 noconfirm 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 禁止用户确认提示,此命令将根据请求进行处理。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 9.0(1) • 是 透明 • 单个 是 • 情景 是 系统 — 修改 引入了此命令。 使用指南 用户在执行此操作之前,需要先确认操作。 示例 ciscoasa# clear crypto ca trustpool You are about to clear the trusted certificate pool.
第6章 clear configure 至 clear isakmp sa 命令 clear crypto ikev1 clear crypto ikev1 要删除 IPsec IKEv1 SA 或统计信息,请在特权 EXEC 模式下使用 clear crypto ikev1 命令。要清除 所有 IKEv1 SA,请使用此命令的不带参数形式。 clear crypto ikev1 {sa IP_address_hostname | stats} 语法说明 sa IP_address_hostname 清除 SA。 IP 地址或主机名。 stats 清除 IKEv1 统计信息。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC • 是 透明 — 单个 • 是 命令历史 版本 8.4(1) 9.
第6章 clear configure 至 clear isakmp sa 命令 clear crypto ikev2 clear crypto ikev2 要删除 IPsec IKEv2 SA 或统计信息,请在特权 EXEC 模式下使用 clear crypto ikev2 命令。要清除 所有 IKEv2 SA,请使用此命令的不带参数形式。 clear crypto ikev2 {sa IP_address_hostname | stats} 语法说明 sa 清除 SA。 IP_address_hostname IP 地址或主机名。 stats 清除 IKEv2 统计信息。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 • 是 透明 — 版本 8.4(1) 修改 9.
第6章 clear configure 至 clear isakmp sa 命令 clear crypto ikev2 相关命令 命令 clear configure crypto map 从配置中清除所有或指定的加密映射。 clear configure isakmp 清除所有 ISAKMP 策略配置。 show ipsec sa 显示有关 IPsec SA 的信息,包括计数器、条目、映射名称、对等 IP 地址和主机名。 show running-config crypto 显示整个加密配置,包括 IPsec、加密映射、动态加密映射和 ISAKMP。 思科 ASA 系列命令参考,A 至 H 命令 6-16 说明
第6章 clear configure 至 clear isakmp sa 命令 clear crypto ipsec sa clear crypto ipsec sa 要删除 IPsec SA 计数器、条目、加密映射或对等连接,请在特权 EXEC 模式下使用 clear crypto ipsec sa 命令。要清除所有 IPsec SA,请使用此命令的不带参数形式。 clear [crypto] ipsec sa [counters | entry {hostname | ip_address} {esp | ah} spi | map map name | peer {hostname | ip_address}] 语法说明 ah 身份验证报头。 counters 清除每个 SA 的所有 IPsec 统计信息。 entry 删除与指定 IP 地址 / 主机名、协议和 SPI 值匹配的隧道。 esp 加密安全协议。 hostname 识别分配给 IP 地址的主机名。 ip_address 识别 IP 地址。 map 删除与指定加密映射(通过映射名称识别)关联的所有隧道。
第6章 clear configure 至 clear isakmp sa 命令 clear crypto ipsec sa 以下示例在全局配置模式下删除具有与 10.86.1.1 对等的 IP 地址的 SA: ciscoasa# clear crypto ipsec peer 10.86.1.
第6章 clear configure 至 clear isakmp sa 命令 clear crypto protocol statistics clear crypto protocol statistics 要清除加密加速器 MIB 中的协议特定统计信息,请在特权 EXEC 模式下使用 clear crypto protocol statistics 命令。 clear crypto protocol statistics protocol 语法说明 protocol 指定要清除统计信息的协议的名称。协议选项如下所示: • all- 当前支持的所有协议。 • ikev1- 互联网密钥交换 (IKE) 版本 1。 • ikev2- 互联网密钥交换 (IKE) 版本 2。 • ipsec-client - IP 安全 (IPsec) 阶段 2 协议。 • other - 保留以用于新协议。 • srtp - 安全 RTP (SRTP) 协议 • ssh - 安全外壳 (SSH) 协议 • ssl-client - 安全套接字层 (SSL) 协议。 默认值 没有默认
第6章 clear configure 至 clear isakmp sa 命令 clear crypto protocol statistics 相关命令 命令 clear crypto accelerator statistics 清除加密加速器 MIB 中的全局统计信息和加速器特定统计信息。 show crypto accelerator statistics 显示来自加密加速器 MIB 的全局统计信息和加速器特定统计信息。 show crypto protocol statistics 显示加密加速器 MIB 中的协议特定统计信息。 思科 ASA 系列命令参考,A 至 H 命令 6-20 说明
第6章 clear configure 至 clear isakmp sa 命令 clear cts clear cts 要清除 ASA 在与 Cisco TrustSec 集成时使用的数据,请在全局配置模式下使用 clear cts 命令。 clear cts {environment-data | pac} 语法说明 environment-data 清除所有 CTS 环境数据。 pac 清除存储的 CTS PAC。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 9.
第6章 clear configure 至 clear isakmp sa 命令 clear cts 示例 以下示例展示如何从 ASA 清除用于将 ASA 与 Cisco TrustSec 集成的数据: ciscoasa# clear cts pac Are you sure you want to delete the cts PAC?(y/n) ciscoasa# clear cts environment-data Are you sure you want to delete the cts environment data?(y/n) 相关命令 命令 clear configure all 清除 ASA 中的整个运行配置。 clear configure cts 清除用于将 ASA 与 Cisco TrustSec 集成的配置。 cts sxp enable 在 ASA 中启用 SXP 协议。 思科 ASA 系列命令参考,A 至 H 命令 6-22 说明
第6章 clear configure 至 clear isakmp sa 命令 clear dhcpd clear dhcpd 要清除 DHCP 服务器绑定和统计信息,请在特权 EXEC 模式下使用 clear dhcp 命令。 clear dhcpd {binding [ip_address] | statistics} 语法说明 binding 清除所有客户端地址绑定。 ip_address (可选)清除指定 IP 地址的绑定。 statistics 清除统计信息计数器。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear dhcprelay statistics clear dhcprelay statistics 要清除 DHCP 中继统计信息计数器,请在特权 EXEC 模式下使用 clear dhcprelay statistics 命令。 clear dhcprelay statistics 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 特权 EXEC 命令历史 使用指南 示例 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear dns clear dns 要清除与指定的完全限定域名 (FQDN) 主机关联的所有 IP 地址,请在特权 EXEC 模式下使用 clear dns 命令。 clear dns [host fqdn_name] 语法说明 fqdn_name (可选)指定所选主机的完全限定域名。 host (可选)指示指定主机的 IP 地址。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.4(2) 示例 • 是 透明 • 是 单个 • 是 情景 • 是 系统 — 修改 引入了此命令。 以下示例清除与指定 FQDN 主机关联的 IP 地址: ciscoasa# clear dns 10.1.1.2 www.example.
第6章 clear configure 至 clear isakmp sa 命令 clear dns-hosts cache clear dns-hosts cache 要清除 DNS 缓存,请在特权 EXEC 模式下使用 clear dns-hosts cache 命令。 clear dns-hosts cache 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear dynamic-filter dns-snoop clear dynamic-filter dns-snoop 要清除僵尸网络流量过滤器 DNS 监听数据,请在特权 EXEC 模式下使用 clear dynamic-filter dns-snoop 命令。 clear dynamic-filter dns-snoop 语法说明 此命令没有任何参数或关键字。 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 8.
第6章 clear configure 至 clear isakmp sa 命令 clear dynamic-filter dns-snoop 命令 dynamic-filter drop blacklist 说明 自动丢弃黑名单流量。 dynamic-filter enable 对某类流量或所有流量(如果没有指定访问列表)启用僵尸网络 流量过滤器。 dynamic-filter updater-client enable 允许下载动态数据库。 dynamic-filter use-database 允许使用动态数据库。 dynamic-filter whitelist 编辑僵尸网络流量过滤器白名单。 inspect dns dynamic-filter-snoop 启用具有僵尸网络流量过滤器监听的 DNS 检查。 name 将名称添加到白名单或黑名单。 show asp table dynamic-filter 显示加速安全路径中安装的僵尸网络流量过滤器规则。 show dynamic-filter data 显示关于动态数据库的信息,包括动态数据库上次下载时间、数 据库版
第6章 clear configure 至 clear isakmp sa 命令 clear dynamic-filter reports clear dynamic-filter reports 要清除僵尸网络流量过滤器的报告数据,请在特权 EXEC 模式下使用 clear dynamic-filter reports 命令。 clear dynamic-filter reports {top [malware-sites | malware-ports | infected-hosts] | infected-hosts} 语法说明 malware-ports (可选)清除前 10 个恶意软件端口的报告数据。 malware-sites (可选)清除前 10 个恶意软件站点的报告数据。 infected-hosts (top) (可选)清除前 10 个受感染主机的报告数据。 top 清除前 10 个恶意软件站点、端口和受感染主机的报告数据。 infected-hosts 清除受感染主机的报告数据。 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式:
第6章 clear configure 至 clear isakmp sa 命令 clear dynamic-filter reports 相关命令 命令 address 说明 clear dynamic-filter statistics 清除僵尸网络流量过滤器统计信息。 dns domain-lookup 启用 ASA 将 DNS 请求发送到 DNS 服务器以执行所支持命令的 名称查找。 dns server-group 标识 ASA 的 DNS 服务器。 dynamic-filter ambiguous-is-black 将灰名单流量视为要操作的黑名单流量。 dynamic-filter blacklist 编辑僵尸网络流量过滤器黑名单。 将 IP 地址添加到黑名单或白名单。 clear configure dynamic-filter 清除正在运行的僵尸网络流量过滤器配置。 clear dynamic-filter 清除僵尸网络流量过滤器 DNS 监听数据。 dns-snoop dynamic-filter database fetch 手动检索僵尸网络流量过滤器动态
第6章 clear configure 至 clear isakmp sa 命令 clear dynamic-filter statistics clear dynamic-filter statistics 要清除僵尸网络流量过滤器统计信息,请在特权 EXEC 模式下使用 clear dynamic-filter statistics 命令。 clear dynamic-filter statistics [interface name] 语法说明 interface name 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: (可选)清除特定接口的统计信息。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 8.
第6章 clear configure 至 clear isakmp sa 命令 clear dynamic-filter statistics 命令 dynamic-filter database find 说明 搜索动态数据库来查找某域名或 IP 地址。 dynamic-filter database purge 手动删除僵尸网络流量过滤器动态数据库。 dynamic-filter enable 对某类流量或所有流量(如果没有指定访问列表)启用僵尸网络 流量过滤器。 dynamic-filter updater-client 允许下载动态数据库。 enable dynamic-filter use-database 允许使用动态数据库。 dynamic-filter whitelist 编辑僵尸网络流量过滤器白名单。 inspect dns dynamic-filter-snoop 启用具有僵尸网络流量过滤器监听的 DNS 检查。 将名称添加到白名单或黑名单。 show asp table dynamic-filter 显示加速安全路径中安装的僵尸网络流量过滤器规则。 show dy
第6章 clear configure 至 clear isakmp sa 命令 clear eigrp events clear eigrp events 要清除 EIGRP 事件日志,请在特权 EXEC 模式下使用 clear eigrp events 命令。 clear eigrp [as-number] events 语法说明 as-number 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: (可选)指定要清除事件日志的 EIGRP 进程的自主系统编号。由于 ASA 仅支持一个 EIGRP 路由进程,因此,无需指定自主系统编号(进 程 ID)。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 • 是 版本 8.0(2) 修改 9.
第6章 clear configure 至 clear isakmp sa 命令 clear eigrp neighbors clear eigrp neighbors 要从 EIGRP 邻居表清除条目,请在特权 EXEC 模式下使用 clear eigrp neighbors 命令。 clear eigrp [as-number] neighbors [ip-addr | if-name] [soft] 语法说明 as-number (可选)指定要删除邻居条目的 EIGRP 进程的自主系统编号。由于 ASA 仅支持一个 EIGRP 路由进程,因此,无需指定自主系统编号 (AS) (即进程 ID)。 if-name (可选)通过 nameif 命令指定的接口的名称。指定接口名称将删除通 过该接口获悉的所有邻居表条目。 ip-addr (可选)要从邻居表删除的邻居的 IP 地址。 soft 导致 ASA 与邻居重新同步但不重置邻接。 默认值 如果不指定邻居 IP 地址或接口名称,将从邻居表删除所有动态条目。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个
第6章 clear configure 至 clear isakmp sa 命令 clear eigrp neighbors 相关命令 命令 说明 debug eigrp neighbors 显示 EIGRP 邻居的调试信息。 debug ip eigrp 显示 EIGRP 协议数据包的调试信息。 show eigrp neighbors 显示 EIGRP 邻居表。 思科 ASA 系列命令参考,A 至 H 命令 6-35
第6章 clear configure 至 clear isakmp sa 命令 clear eigrp topology clear eigrp topology 要从 EIGRP 拓扑表删除条目,请在特权 EXEC 模式下使用 clear eigrp topology 命令。 clear eigrp [as-number] topology ip-addr [mask] 语法说明 as-number (可选)指定 EIGRP 进程的自主系统编号。由于 ASA 仅支持一个 EIGRP 路由进程,因此,无需指定自主系统编号 (AS)(即进程 ID)。 ip-addr 要从拓扑表清除的 IP 地址。 mask (可选)要应用于 ip-addr 参数的网络掩码。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 示例 • 是 版本 8.0(2) 引入了此命令。 9.
第6章 clear configure 至 clear isakmp sa 命令 clear failover statistics clear failover statistics 要清除故障切换统计信息计数器,请在特权 EXEC 模式下使用 clear failover statistics 命令。 clear failover statistics 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 特权 EXEC 命令历史 使用指南 示例 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear flow-export counters clear flow-export counters 要将与 NetFlow 数据关联的运行时间计数器重置为 0,请在特权 EXEC 模式下使用 clear flow-export counters 命令。 clear flow-export counters 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.
第6章 clear configure 至 clear isakmp sa 命令 clear fragment clear fragment 要清除 IP 分段重组模块的运行数据,请在特权 EXEC 模式下使用 clear fragment 命令。 clear fragment {queue | statistics} [interface] 语法说明 interface (可选)指定 ASA 接口。 queue 清除 IP 分段重组队列。 statistics 清除 IP 分段重组统计信息。 默认值 如果未指定接口,此命令将应用于所有接口。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 示例 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear gc clear gc 要删除垃圾收集 (GC) 进程统计信息,请在特权 EXEC 模式下使用 clear gc 命令。 clear gc 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear igmp counters clear igmp counters 要清除所有 IGMP 计数器,请在特权 EXEC 模式下使用 clear igmp counters 命令。 clear igmp counters [if_name] 语法说明 if_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 通过 nameif 命令指定的接口名称。如果在此命令中包含接口名称,则 仅会清除指定接口的计数器。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear igmp group clear igmp group 要从 IGMP 组缓存清除发现的组,请在特权 EXEC 模式下使用 clear igmp 命令。 clear igmp group [group | interface name] 语法说明 group IGMP 组地址。指定特定组将从缓存删除指定的组。 interface name 通过 namif 命令指定的接口名称。如果指定接口名称,将删除与该接 口关联的所有组。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear igmp traffic clear igmp traffic 要清除 IGMP 流量计数器,请在特权 EXEC 模式下使用 clear igmp traffic 命令。 clear igmp traffic 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear interface clear interface 要清除接口统计信息,请在特权 EXEC 模式下使用 clear interface 命令。 clear interface [physical_interface[.
第6章 clear configure 至 clear isakmp sa 命令 clear ip audit count clear ip audit count 要清除审核策略的签名匹配项数,请在特权 EXEC 模式下使用 clear ip audit count 命令。 clear ip audit count [global | interface interface_name] 语法说明 global (默认)清除所有接口的匹配项数。 interface interface_name (可选)清除指定接口的匹配项数。 默认值 如果未指定关键字,此命令将清除所有接口的匹配项 (global)。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear ip verify statistics clear ip verify statistics 要清除单播 RPF 统计信息,请在特权 EXEC 模式下使用 clear ip verify statistics 命令。 clear ip verify statistics [interface interface_name] 语法说明 interface interface_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 设置要清除单播 RPF 统计信息的接口。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 示例 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear ipsec sa clear ipsec sa 要完全或根据指定参数清除 IPsec SA,请在特权 EXEC 模式下使用 clear ipsec sa 命令。 clear ipsec sa [counters | entry peer-addr protocol spi | peer peer-addr | map map-name] 语法说明 counters (可选)清除所有计数器。 entry (可选)清除指定 IPsec 对等设备、协议和 SPI 的 IPsec SA。 inactive (可选)清除无法传递流量的 IPsec SA。 map map-name (可选)清除指定加密映射的 IPsec SA。 peer (可选)清除指定对等设备的 IPsec SA。 peer-addr 指定 IPsec 对等设备的 IP 地址。 protocol 指定 IPsec 协议:esp 或 ah。 spi 指定 IPsec SPI。 默认值 没有默认行为或值。 命令模式
第6章 clear configure 至 clear isakmp sa 命令 clear ipv6 access-list counters clear ipv6 access-list counters 要清除 IPv6 访问列表统计信息计数器,请在特权 EXEC 模式下使用 clear ipv6 access-list counters 命令。 clear ipv6 access-list id counters 语法说明 id 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: IPv6 访问列表标识符。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear ipv6 dhcprelay binding clear ipv6 dhcprelay binding 要清除 IPv6 DHCP 中继绑定条目,请在特权 EXEC 模式下使用 clear ipv6 dhcprelay binding 命令。 clear ipv6 dhcprelay binding [ip] 语法说明 ip 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: (可选)指定 DHCP 中继绑定的 IPv6 地址。如果指定 IP 地址,将仅清 除与指定 IP 地址关联的中继绑定条目。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 9.
第6章 clear configure 至 clear isakmp sa 命令 clear ipv6 dhcprelay statistics clear ipv6 dhcprelay statistics 要清除 IPv6 DHCP 中继代理统计信息,请在特权 EXEC 模式下使用 clear ipv6 dhcprelay statistics 命令。 clear ipv6 dhcprelay statistics 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 9.
第6章 clear configure 至 clear isakmp sa 命令 clear ipv6 mld traffic clear ipv6 mld traffic 要清除 IPv6 组播侦听程序发现 (MLD) 流量计数器,请在特权 EXEC 模式下使用 clear ipv6 mld traffic 命令。 clear ipv6 mld traffic 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 示例 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear ipv6 neighbors clear ipv6 neighbors 要清除 IPv6 邻居发现缓存,请在特权 EXEC 模式下使用 clear ipv6 neighbors 命令。 clear ipv6 neighbors 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear ipv6 ospf clear ipv6 ospf 要清除 OSPFv3 路由参数,请在特权 EXEC 模式下使用 clear ipv6 ospf 命令。 clear ipv6 [process_id] [counters] [events] [force-spf] [process] [redistribution] [traffic] 语法说明 counters 重置 OSPF 进程计数器。 events 清除 OSPF 事件日志。 force-ospf 清除 OSPF 进程的 SPF。 process 重置 OSPFv3 进程。 process_id 清除进程 ID 号。有效值范围为 1 到 65535。 redistribution 清除 OSPFv3 路由重分布。 traffic 清除与流量相关的统计信息。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南
第6章 clear configure 至 clear isakmp sa 命令 clear ipv6 traffic clear ipv6 traffic 要重置 IPv6 流量计数器,请在特权 EXEC 模式下使用 clear ipv6 traffic 命令。 clear ipv6 traffic 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第6章 clear configure 至 clear isakmp sa 命令 clear ipv6 traffic 0 group query, 0 group report, 0 group reduce 0 router solicit, 0 router advert, 0 redirects 0 neighbor solicit, 1 neighbor advert Sent: 1 output unreach: 0 routing, 0 admin, 0 neighbor, 0 address, 0 port parameter: 0 error, 0 header, 0 option 0 hopcount expired, 0 reassembly timeout,0 too big 0 echo request, 0 echo reply 0 group query, 0 group report, 0 group reduce 0 router solicit, 0 router advert, 0 redirects 0 neighbor solicit, 1 neighbor ad
第6章 clear configure 至 clear isakmp sa 命令 clear isakmp sa clear isakmp sa 要删除所有 IKE 运行时间 SA 数据库,请在全局配置模式或特权 EXEC 模式下使用 clear isakmp sa 命令。 clear isakmp sa 语法说明 此命令没有关键字或参数。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 命令历史 示例 透明 单个 情景 系统 特权 EXEC • 是 — • 是 • 是 — 全局配置 • 是 — • 是 • 是 — 版本 7.0(1) 修改 引入了此命令。 7.2(1) clear isakmp sa 命令更改为 clear crypto isakmp sa。 9.
第 7 章 clear local-host 至 clear xlate 命令 思科 ASA 系列命令参考,A 至 H 命令 7-1
第7章 clear local-host 至 clear xlate 命令 clear local-host clear local-host 要重新初始化每个客户端的运行时状态(例如,连接限制和半开限制),请在特权 EXEC 模式下 使用 clear local-host 命令。 clear local-host [ip_address] [all] 语法说明 all (可选)清除所有连接,包括流向设备的流量。如果没有 all 关键字,则 只会清除通过设备的流量。 ip_address (可选)指定本地主机 IP 地址。 默认值 清除所有通过设备的流量的运行时状态。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear logging asdm clear logging asdm 要清除 ASDM 日志记录缓冲区,请在特权 EXEC 模式下使用 clear logging asdm 命令。 clear logging asdm 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 特权 EXEC 命令历史 使用指南 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear logging buffer clear logging buffer 要清除日志缓冲区,请在特权 EXEC 模式下使用 clear logging buffer 命令。 clear logging buffer 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear logging queue bufferwrap clear logging queue bufferwrap 要清除保存的日志缓冲区(ASDM、内部缓冲区、FTP 和闪存),请在特权 EXEC 模式下使用 clear logging queue bufferwrap 命令。 clear logging queue bufferwrap 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear mac-address-table clear mac-address-table 要清除动态 MAC 地址表条目,请在特权 EXEC 模式下使用 clear mac-address-table 命令。 clear mac-address-table [interface_name] 语法说明 interface_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: (可选)清除选定接口的 MAC 地址表条目。 防火墙模式 安全情景 多个 命令历史 示例 命令模式 路由 特权 EXEC — 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear mdm-proxy statistics clear mdm-proxy statistics 要清除 MDM 代理服务计数器,请将这些计数器设置为 0。 clear mdm-proxy statistics 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 9.
第7章 clear local-host 至 clear xlate 命令 clear memory delayed-free-poisoner clear memory delayed-free-poisoner 要清除 delayed free-memory poisoner 工具队列和统计信息,请在特权 EXEC 模式下使用 clear memory delayed-free-poisoner 命令。 clear memory delayed-free-poisoner 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 特权 EXEC 命令历史 使用指南 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear memory profile clear memory profile 要清除内存分析功能保留的内存缓冲区,请在特权 EXEC 模式下使用 clear memory profile 命令。 clear memory profile [peak] 语法说明 peak 默认值 默认清除当前 “ 使用中 ” 的配置文件缓冲区。 命令模式 下表展示可输入此命令的模式: (可选)清除峰值内存缓冲区的内容。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear mfib counters clear mfib counters 要清除 MFIB 路由器数据包计数器,请在特权 EXEC 模式下使用 clear mfib counters 命令。 clear mfib counters [group [source]] 语法说明 group (可选)组播组的 IP 地址。 source (可选)组播路由源的 IP 地址。这是采用四点分十进制记数法的单播 IP 地址。 默认值 当此命令不带参数时,将清除所有路由的路由计数器。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear module clear module 要清除有关 ASA 上 SSM 的信息、有关 ASA 5505 上 SSC 的信息、有关安装在 ASA 5585-X 上的 SSP 的信息、有关安装在 ASA 5585-X 上的 IPS SSP 的信息、有关 ASA 服务模块的信息以及系统 信息,请在特权 EXEC 模式下使用 clear module 命令。 clear module [mod_id | slot] [all | [details | recover | log [console]]] 语法说明 all (默认)清除所有 SSM 信息。 console (可选)清除模块的控制台日志信息。 details (可选)清除其他信息,包括 SSM 的远程管理配置(例如 ASA-SSM-x0)。 log (可选)清除模块的日志信息。 mod_id 清除用于软件模块的模块名称(例如 IPS)。 recover (可选)对于 SSM,清除 hw-module module recover 命令的设置
第7章 clear local-host 至 clear xlate 命令 clear module 使用指南 示例 此命令清除有关 SSC、SSM、ASASM、IPS SSP、设备接口和内置接口的信息。 以下示例清除 SSM 的恢复设置: ciscoasa# clear module 1 recover 相关命令 命令 hw-module module recover 通过从 TFTP 服务器加载恢复映像来恢复 SSM。 hw-module module reset 关闭 SSM 并执行硬件重置。 hw-module module reload 重新加载 SSM 软件。 hw-module module shutdown 关闭 SSM 软件,以便在关闭电源时不会丢失配置数据。 show module 显示 SSM 信息。 思科 ASA 系列命令参考,A 至 H 命令 7-12 说明
第7章 clear local-host 至 clear xlate 命令 clear nac-policy clear nac-policy 要重置 NAC 策略使用统计信息,请在全局配置模式下使用 clear nac-policy 命令。 clear nac-policy [nac-policy-name] 语法说明 nac-policy-name 默认值 如果不指定名称,CLI 将重置所有 NAC 策略的使用统计信息。 命令模式 下表展示可输入此命令的模式: (可选)要重置使用统计信息的 NAC 策略的名称。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 示例 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear nat counters clear nat counters 要清除 NAT 策略计数器,请在全局配置模式下使用 clear nat counters 命令。 clear nat counters [src_ifc [src_ip [src_mask]] [dst_ifc [dst_ip [dst_mask]]]] 语法说明 dst_ifc (可选)指定要过滤的目标接口。 dst_ip (可选)指定要过滤的目标 IP 地址。 dst_mask (可选)指定目标 IP 地址的掩码。 src_ifc (可选)指定要过滤的源接口。 src_ip (可选)指定要过滤的源 IP 地址。 src_mask (可选)指定源 IP 地址的掩码。 默认值 此命令没有默认设置。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear object-group clear object-group 要清除网络对象组中对象的命中数,请在特权 EXEC 模式下使用 show object-group 命令。 clear object-group obj-name counters 语法说明 counters 识别网络对象组中的计数器。 obj-name 识别现有网络对象组。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear ospf clear ospf 要清除 OSPF 进程信息,请在特权 EXEC 模式下使用 clear ospf 命令。 clear ospf [pid] {process | counters} 语法说明 counters 清除 OSPF 计数器。 pid (可选)OSPF 路由进程内部使用的识别参数;有效值为 1 到 65535。 process 重新启动 OSPF 路由进程。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 是 版本 7.0(1) 引入了此命令。 9.
第7章 clear local-host 至 clear xlate 命令 clear pclu clear pclu 要清除 PC 逻辑更新统计信息,请在特权 EXEC 模式下使用 clear pclu 命令。 clear pclu 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear phone-proxy secure-phones clear phone-proxy secure-phones 要清除电话代理数据库中的安全电话条目,请在特权 EXEC 模式下使用 clear phone-proxy secure-phones 命令。 clear phone-proxy secure-phones [mac_address | noconfirm] 语法说明 mac_address 从电话代理数据库中删除带有指定 MAC 地址的 IP 电话。 noconfirm 在不提示确认的情况下删除电话代理数据库中的所有安全电话条目。如果 不指定 noconfirm 关键字,系统会提示您确认是否删除所有安全电话条目。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear pim counters clear pim counters 要清除 PIM 流量计数器,请在特权 EXEC 模式下使用 clear pim counters 命令。 clear pim counters 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear pim reset clear pim reset 要通过重置强制 MRIB 同步,请在特权 EXEC 模式下使用 clear pim reset 命令。 clear pim reset 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear pim topology clear pim topology 要清除 PIM 拓扑表,请在特权 EXEC 模式下使用 clear pim topology 命令。 clear pim topology [group] 语法说明 group 默认值 如果不指定可选的 group 参数,将从拓扑表中清除所有条目。 命令模式 下表展示可输入此命令的模式: (可选)指定要从拓扑表中删除的组播组地址或名称。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear priority-queue statistics clear priority-queue statistics 要清除某个接口或所有配置的接口的优先级队列统计信息计数器,请在全局配置模式或特权 EXEC 模式下使用 clear priority-queue statistics 命令。 clear priority-queue statistics [interface-name] 语法说明 interface-name 默认值 如果省略接口名称,此命令将清除所有配置的接口的优先级队列统计信息。 命令模式 下表展示可输入此命令的模式: (可选)指定要显示尽力而为队列和低延迟队列详细信息的接口的名称。 防火墙模式 安全情景 多个 命令模式 命令历史 示例 路由 透明 单个 情景 特权 EXEC • 是 • 是 • 是 • 是 — 全局配置 • 是 • 是 • 是 • 是 — 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear process clear process 要清除正在 ASA 上运行的指定进程的统计信息,请在特权 EXEC 模式下使用 clear process 命令。 clear process [cpu-hog | internals] 语法说明 cpu-hog 清除 CPU 占用统计信息。 internals 清除进程内部统计信息。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear resource usage clear resource usage 要清除资源使用统计信息,请在特权 EXEC 模式下使用 clear resource usage 命令。 clear resource usage [context context_name | all | summary | system] [resource {[rate] resource_name | all}] 语法说明 context context_name (仅限多模式)指定要清除统计信息的情景名称。为所有情景指定 all (默认值)。 resource [rate] resource_name 清除特定资源的使用统计信息。为所有资源指定 all(默认值)。指定 rate 将清除资源的使用率。按使用率测量的资源包括 conns、inspects 和 syslogs。对于这些资源类型,必须指定 rate 关键字。conns 资源也可 以按并发连接数来测量;要查看每秒连接数,必须使用 rate 关键字。 资源包括以下类型:
第7章 clear local-host 至 clear xlate 命令 clear resource usage 命令历史 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear route all clear route all 要从配置中删除动态获知的路由,请在特权 EXEC 模式下使用 clear route all 命令。 clear route all 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 9.
第7章 clear local-host 至 clear xlate 命令 clear route network clear route network 要删除指定的目标路由,请在特权 EXEC 模式下使用 clear route network 命令。 clear route [ip_address ip_mask] 语法说明 ip_address ip_mask 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定要删除的目标 IP 地址和子网掩码。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 9.2(1) • 是 透明 • 单个 是 • 是 情景 • 是 系统 — 修改 引入了此命令。 以下示例展示如何删除动态获知的路由: ciscoasa# clear route 10.118.86.
第7章 clear local-host 至 clear xlate 命令 clear service-policy clear service-policy 要清除已启用策略的运行数据或统计信息(如果有),请在特权 EXEC 模式下使用 clear service-policy 命令。 clear service-policy [global | interface intf ] [user-statistics] 语法说明 global (可选)清除全局服务策略的统计信息。 interface intf (可选)清除特定接口的服务策略统计信息。 user-statistics (可选)清除用户统计信息的全局计数器,但不清除每个用户的统计 信息。使用 show user-identity statistics 命令仍可以查看每个用户或每 个用户组的统计信息。 如果为 user-statistics 命令指定 accounting 关键字,将清除发送的数据 包、接收的数据包以及发送并丢弃的数据包的所有全局计数器。如果 为 user-statistics 命令指定 scanning 关键字,
第7章 clear local-host 至 clear xlate 命令 clear service-policy 相关命令 命令 clear service-policy inspect gtp 说明 清除 GTP 检测引擎的服务策略统计信息。 clear service-policy inspect radius-accounting 清除 RADIUS 计费检测引擎的服务策略统计信息。 show service-policy 显示服务策略。 show running-config service-policy 显示在运行配置中配置的服务策略。 clear configure service-policy 清除服务策略配置。 service-policy 配置服务策略。 思科 ASA 系列命令参考,A 至 H 命令 7-29
第7章 clear local-host 至 clear xlate 命令 clear service-policy inspect gtp clear service-policy inspect gtp 要清除全局 GTP 统计信息,请在特权 EXEC 模式下使用 clear service-policy inspect gtp 命令。 clear service-policy inspect gtp {pdp-context [all | apn ap_name | imsi IMSI_value | ms-addr IP_address | tid tunnel_ID | version version_num ] | requests | statistics [gsn IP_address] } 语法说明 all 清除所有 GTP PDP 情景。 apn (可选)根据指定的 APN 清除 PDP 情景。 ap_name 识别特定接入点名称。 gsn (可选)识别 GPRS 支持节点(该节点是 GPRS 无线数据网络和其他 网络之间的接口)。 gtp (可选)清除 GTP
第7章 clear local-host 至 clear xlate 命令 clear service-policy inspect gtp 使用指南 示例 数据包数据协议情景通过隧道 ID 识别(隧道 ID 是 IMSI 与 NSAPI 的组合)。GTP 隧道由不同 GSN 节点中的两个关联的 PDP 情景定义,并通过隧道 ID 识别。在外部数据包数据网络和移动站 (MS) 用户之间转发数据包需要 GTP 隧道。 以下示例清除 GTP 统计信息: ciscoasa# clear service-policy inspect gtp statistics 相关命令 命令 debug gtp 说明 显示有关 GTP 检查的详细信息。 gtp-map 定义 GTP 映射并启用 GTP 映射配置模式。 inspect gtp 应用要用于应用检查的 GTP 映射。 show service-policy inspect gtp 显示 GTP 配置。 show running-config gtp-map 显示配置的 GTP 映射。 思科 ASA 系列命令参考,A 至 H 命令 7-
第7章 clear local-host 至 clear xlate 命令 clear service-policy inspect radius-accounting clear service-policy inspect radius-accounting 要清除 RADIUS 计费用户,请在特权 EXEC 模式下使用 clear service-policy inspect radius-accounting 命令。 clear service-policy inspect radius-accounting users {all | ip_address | policy_map} 语法说明 all 清除所有用户。 ip_address 清除使用此 IP 地址的用户。 policy_map 清除与指定策略映射关联的用户。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear shared license clear shared license 要将共享许可证统计信息、共享许可证客户端统计信息和共享许可证备份服务器统计信息重置 为 0,请在特权 EXEC 模式下使用 clear shared license 命令。 clear shared license [all | backup | client [hostname]] 语法说明 all (可选)清除所有统计信息。这是默认设置。 backup (可选)清除备份服务器的统计信息。 client (可选)清除所有参与者的统计信息。 hostname (可选)清除特定参与者的统计信息。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear shared license 命令 license-server backup enable 说明 license-server enable 启用设备作为共享许可服务器。 license-server port 设置服务器侦听来自参与者的 SSL 连接的端口。 license-server refresh-interval 设置提供给参与者的刷新间隔,从而设置其与服务器通信的 频率。 license-server secret 设置共享许可服务器上的共享密钥。 show activation-key 显示当前安装的许可证。 show running-config license-server 显示共享许可服务器配置。 show shared license 显示共享许可证统计信息。 show vpn-sessiondb 显示有关 VPN 会话的许可证信息。 思科 ASA 系列命令参考,A 至 H 命令 7-34 启用设备作为共享许可备用服务器。
第7章 clear local-host 至 clear xlate 命令 clear shun clear shun 要禁用当前已启用的所有规避功能并清除规避统计信息,请在特权 EXEC 模式下使用 clear shun 命令。 clear shun [statistics] 语法说明 statistics 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: (可选)仅清除接口计数器。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear snmp-server statistics clear snmp-server statistics 要清除 SNMP 服务器统计信息(SNMP 数据包输入和输入计数器),请在特权 EXEC 模式下使用 clear snmp-server statistics 命令。 clear snmp-server statistics 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear ssl clear ssl 要清除 SSL 信息以便进行调试,请在特权 EXEC 模式下使用 clear ssl 命令。 clear ssl {cache [all] | errors | mib | objects} 语法说明 all 清除 SSL 会话缓存中的所有会话和统计信息。 cache 清除 SSL 会话缓存中已过期的会话。 errors 清除 SSL 错误。 mib 清除 SSL MIB 统计信息。 objects 清除 SSL 对象统计信息。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear startup-config errors clear startup-config errors 要从内存中清除配置错误消息,请在特权 EXEC 模式下使用 clear startup-config errors 命令。 clear startup-config errors 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第7章 clear local-host 至 clear xlate 命令 清除 sunrpc 服务器活动 清除 sunrpc 服务器活动 要清除通过 Sun RPC 应用检查打开的针孔,请在特权 EXEC 模式下使用 clear sunrpc-server active 命令。 clear sunrpc-server active 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear threat-detection rate clear threat-detection rate 要在使用 threat-detection basic-threat 命令启用基本威胁检测时清除统计信息,请在特权 EXEC 模式下使用 clear threat detection rate 命令。 clear threat-detection rate 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear threat-detection scanning-threat clear threat-detection scanning-threat 要在使用 threat-detection scanning-threat 命令启用扫描威胁检测后清除攻击者和目标,请在特 权 EXEC 模式下使用 clear threat-detection scanning-threat 命令。 clear threat-detection scanning-threat [attacker [ip_address [mask]] | target [ip_address [mask]] 语法说明 attacker (可选)仅清除攻击者。 ip_address (可选)清除特定 IP 地址。 mask (可选)设置子网掩码。 target (可选)仅清除目标。 默认值 如果不指定 IP 地址,将释放所有主机。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EX
第7章 clear threat-detection scanning-threat 相关命令 命令 show threat-detection shun 说明 show threat-detection statistics host 显示主机统计信息。 显示当前规避的主机。 show threat-detection statistics protocol 显示协议统计信息。 show threat-detection statistics top 显示前 10 个统计信息。 threat-detection scanning-threat 思科 ASA 系列命令参考,A 至 H 命令 7-42 启用扫描威胁检测。 clear local-host 至 clear xlate 命令
第7章 clear local-host 至 clear xlate 命令 clear threat-detection shun clear threat-detection shun 要在使用 threat-detection scanning-threat 命令启用扫描威胁检测并自动规避攻击主机后释放当 前规避的主机,请在特权 EXEC 模式下使用 clear threat-detection shun 命令。 clear threat-detection shun [ip_address [mask]] 语法说明 ip_address (可选)解除对特定 IP 地址的规避。 mask (可选)设置规避的主机 IP 地址的子网掩码。 默认值 如果不指定 IP 地址,将释放所有主机。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear threat-detection statistics clear threat-detection statistics 要在使用 threat-detection statistics tcp-intercept 命令启用 TCP 拦截统计信息后清除统计信息, 请在特权 EXEC 模式下使用 clear threat-detection scanning-threat 命令。 clear threat-detection statistics [tcp-intercept] 语法说明 tcp-intercept 默认值 消除 TCP 拦截统计信息。 命令模式 下表展示可输入此命令的模式: (可选)清除 TCP 拦截统计信息。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear threat-detection statistics 相关命令 命令 show threat-detection statistics top 说明 显示前 10 个统计信息。 threat-detection statistics 启用威胁检测统计信息。 思科 ASA 系列命令参考,A 至 H 命令 7-45
第7章 clear local-host 至 clear xlate 命令 clear traffic clear traffic 要重置传输和接收活动的计数器,请在特权 EXEC 模式下使用 clear traffic 命令。 clear traffic 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 特权 EXEC 命令历史 使用指南 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear uauth clear uauth 要删除某个用户或所有用户的所有身份验证和授权缓存信息,请在特权 EXEC 模式下使用 clear uauth 命令。 clear uauth [username] 语法说明 username 默认值 省略 username 参数将删除所有用户的身份验证和授权信息。 命令模式 下表展示可输入此命令的模式: (可选)通过用户名指定要删除的用户身份验证信息。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear uauth 示例 以下示例展示如何促使用户重新进行身份验证: ciscoasa(config)# clear uauth user 相关命令 命令 aaa authentication 启用、禁用或查看 LOCAL、TACACS+ 或 RADIUS 用户身份验证(在使 用 aaa-server 命令指定的服务器上)。 aaa authorization 启用、禁用或查看 TACACS+ 或 RADIUS 用户授权(在使用 aaa-server 命令指定的服务器上)。 show uauth 显示当前的用户身份验证和授权信息。 timeout 设置最长空闲持续时间。 思科 ASA 系列命令参考,A 至 H 命令 7-48 说明
第7章 clear local-host 至 clear xlate 命令 clear uc-ime clear uc-ime 要清除用于显示有关思科公司间媒体引擎代理的统计信息的计数器,请在特权 EXEC 模式下使用 clear uc-ime 命令。 clear uc-ime [[mapping-service-sessions | signaling-sessions | fallback-notification] statistics] 语法说明 fallback-notification (可选)清除回退通知统计信息的计数器。 mapping-service-sessions (可选)清除映射服务会话统计信息的计数器。 signaling-sessions (可选)清除信令会话统计信息的计数器。 statistics (可选)用于配置要为思科公司间媒体引擎代理清除哪些计数器的 关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear url-block block statistics clear url-block block statistics 要清除数据块缓冲区使用计数器,请在特权 EXEC 模式下使用 clear url-block block statistics 命令。 clear url-block block statistics 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear url-block block statistics 相关命令 命令 filter url 说明 将流量引导至 URL 过滤服务器。 show url-block 显示关于 URL 缓存的信息,该缓存在等待来自 N2H2 或 Websense 过 滤服务器的响应时用于缓冲 URL。 url-block 管理用于网络服务器响应的 URL 缓冲区。 url-cache 在来自 N2H2 或 Websense 服务器的响应挂起时,启用 URL 缓存并设 置缓存的大小。 url-server 标识与 filter 命令一起使用的 N2H2 或 Websense 服务器。 思科 ASA 系列命令参考,A 至 H 命令 7-51
第7章 clear local-host 至 clear xlate 命令 clear url-cache statistics clear url-cache statistics 要从配置中删除 url-cache 命令语句,请在特权 EXEC 模式下使用 clear url-cache 命令。 clear url-cache statistics 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear url-server clear url-server 要清除 URL 过滤服务器统计信息,请在特权 EXEC 模式下使用 clear url-server 命令。 clear url-server statistics 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear user-identity active-user-database clear user-identity active-user-database 要将身份防火墙将指定用户的状态设置为 “ 注销 ”,请在特权 EXEC 模式下使用 clear user-identity active-user-database 命令。 clear user-identity active-user-database [user [domain_nickname\]use_rname] | user-group [domain_nickname\\]user_group_name] 语法说明 domain_nickname\\user_group_ 指定要清除统计信息的用户组。 name group_name 可包含任何字符,包括 [a-z]、[A-Z]、[0-9]、 [!@#$%^&()-_{}。]。如果 domain_NetBIOS_name\group_name 包含空格,必须用引号将域名和用户名引起来。 domain_
第7章 clear local-host 至 clear xlate 命令 clear user-identity active-user-database 示例 以下示例将 SAMPLE 域中用户组 users1 的所有用户的状态设置为 “ 注销 ”。 ciscoasa# clear user-identity active-user-database user-group SAMPLE\users1 相关命令 命令 clear configure user-identity show user-identity user active 说明 清除身份防火墙功能的配置。 显示身份防火墙的活动用户。 思科 ASA 系列命令参考,A 至 H 命令 7-55
第7章 clear local-host 至 clear xlate 命令 clear user-identity ad-agent statistics clear user-identity ad-agent statistics 要清除身份防火墙的 AD 代理统计信息,请在特权 EXEC 模式下使用 clear user-identity ad-agent statistics 命令。 clear user-identity ad-agent statistics 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear user-identity ad-agent statistics Secondary AD Agent ------------------------Input packets: Output packets: Send updates: Recv updates: Keepalive failed: Send update failed: Query failed: 相关命令 命令 clear configure user-identity show user-identity ad-agent [statistics] Total ---------0 0 0 0 0 0 0 Last Activity -----------------------N/A N/A N/A N/A N/A N/A N/A 说明 清除身份防火墙功能的配置。 显示身份防火墙的 AD 代理统计信息。 思科 ASA 系列命令参考,A 至 H 命令 7-57
第7章 clear local-host 至 clear xlate 命令 clear user-identity statistics clear user-identity statistics 要清除用于显示有关身份防火墙的统计信息的计数器,请在特权 EXEC 模式下使用 clear user-identity statistics 命令。 clear user-identity statistics [user [domain_nickname\]use_rname] | user-group [domain_nickname\\]user_group_name] 语法说明 domain_nickname\\user_group_ 指定要清除统计信息的用户组。 name group_name 可包含任何字符,包括 [a-z]、[A-Z]、[0-9]、 [!@#$%^&()-_{}。]。如果 domain_NetBIOS_name\group_name 包含空格,必须用引号将域名和用户名引起来。 domain_nickname\use_rname 指定要清除统计信息的用户。 user_name
第7章 clear local-host 至 clear xlate 命令 clear user-identity statistics 相关命令 命令 clear configure user-identity 说明 清除身份防火墙功能的配置。 show user-identity statistics 显示身份防火墙的用户或用户组统计信息。 思科 ASA 系列命令参考,A 至 H 命令 7-59
第7章 clear local-host 至 clear xlate 命令 clear user-identity user-not-found clear user-identity user-not-found 要清除身份防火墙的 ASA“ 找不到的用户 ” 本地数据库,请在特权 EXEC 模式下使用 clear user-identity user-not-found 命令。 clear user-identity user-not-found 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear user-identity user-not-found 相关命令 命令 clear configure user-identity 说明 清除身份防火墙功能的配置。 show user-identity user-not-found 显示未能在 ASA“ 找不到的用户 ” 数据库中找到的 Active Directory 用户的 IP 地址。 思科 ASA 系列命令参考,A 至 H 命令 7-61
第7章 clear local-host 至 clear xlate 命令 clear user-identity user no-policy-activated clear user-identity user no-policy-activated 要清除 ASA 上未激活的身份防火墙用户的本地记录,请在特权 EXEC 模式下使用 clear user-identity user no-policy-activated 命令。 clear user-identity user no-policy-activated 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear vpn-sessiondb statistics clear vpn-sessiondb statistics 要清除有关 VPN 会话的信息(包括所有统计信息或者特定会话或协议),请在特权 EXEC 模式 下使用 clear vpn-sessiondb statistics 命令。 clear vpn-sessiondb {all | anyconnect | email-proxy | global | index index_number | ipaddress IPaddr | l2l | name username | protocol protocol | ra-ikev1-ipsec | tunnel-group name | vpn-lb | webvpn} 语法说明 all 清除所有会话的统计信息。 anyconnect 清除 AnyConnect VPN 客户端会话的统计信息。 email-proxy 清除邮件代理会话的统计信息。 global 清除全局会话数据的统计信息。 in
第7章 clear local-host 至 clear xlate 命令 clear vpn-sessiondb statistics ra-ikev1-ipsec 清除 IPsec IKEv1 和 L2TP 会话的统计信息。 tunnel-group groupname 清除指定的隧道组(连接配置文件)的会话的统计信息。 vpn-lb 清除 VPN 负载平衡管理会话的统计信息。 webvpn 清除无客户端 SSL VPN 会话的统计信息。 默认值 没有默认行为和默认值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear wccp clear wccp 要重置 WCCP 信息,请在特权 EXEC 模式下使用 clear wccp 命令。 clear wccp [web-cache | service_number] 语法说明 web-cache 指定网络缓存服务。 service-number 动态服务标识符,表示缓存所指定的服务定义。动态服务编号可以是 0 至 255。最多允许 256 个,其中包括使用 web-cache 关键字指定的网络 缓存服务。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 示例 版本 7.
第7章 clear local-host 至 clear xlate 命令 clear webvpn sso-server statistics clear webvpn sso-server statistics 要重置来自 WebVPN 单点登录 (SSO) 服务器的统计信息,请在特权 EXEC 模式下使用 clear webvpn sso-server statistics 命令。 clear webvpn sso-server statistics servername 语法说明 servername 默认值 没有默认行为或值。 命令模式 下表展示了可输入此命令的模式: 指定要重置的 SSO 服务器的名称。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.
第7章 clear local-host 至 clear xlate 命令 clear xlate clear xlate 要清除当前的动态转换和连接信息,请在特权 EXEC 模式下使用 clear xlate 命令。 clear xlate [global ip1[-ip2] [netmask mask]] [local ip1[-ip2] [netmask mask]] [gport port1[-port2]] [lport port1[-port2]] [interface if_name] [state state] 语法说明 global ip1[-ip2] (可选)按全局 IP 地址或地址范围清除活动转换。 gport port1[-port2] (可选)按全局端口或端口范围清除活动转换。 interface if_name (可选)按接口显示活动转换。 local ip1[-ip2] (可选)按本地 IP 地址或地址范围清除活动转换。 lport port1[-port2] (可选)按本地端口或端口范围清除活动转换。 netmask mask (可选)指定用于限定
第7章 clear local-host 至 clear xlate 命令 clear xlate 静态转换是使用 static 命令创建的持久转换。clear xlate 命令不会清除静态条目中主机的转换。 只能通过从配置中删除 static 命令来删除静态转换; clear xlate 命令不会删除静态转换规则。如 果从配置中删除某个静态命令,使用该静态规则的先前存在的连接仍可转发流量。使用 clear local-host 或 clear conn 命令可停用这些连接。 动态转换是根据流量处理的需求创建的转换(通过使用 nat 或全局命令)。clear xlate 命令删除 动态转换以及与这些转换关联的连接。也可以使用 clear local-host 或 clear conn 命令清除转换及 关联的连接。如果从配置中删除 nat 或全局命令,动态转换及关联的连接仍可保持活动状态。使 用 clear xlate 命令可删除这些连接。 示例 以下示例展示如何清除当前的转换和连接槽信息: ciscoasa# clear xlate global 相关命令 命令 clear local-host
第 8 章 client-access-rule 至 crl enforcenextupdate 命令 思科 ASA 系列命令参考,A 至 H 命令 8-1
第8章 client-access-rule 至 crl enforcenextupdate 命令 client-access-rule client-access-rule 要配置规则以限制可通过 ASA 的 IPsec 连接的远程访问客户端的类型和版本,请在组策略配置模 式下使用 client-access-rule 命令。要删除规则,请使用此命令的 no 形式。 client-access-rule priority {permit | deny} type type version version | none no client-access-rule priority [{permit | deny} type type version version] 语法说明 deny 拒绝特定类型和 / 或版本设备的连接。 none 允许无客户端访问规则。将 client-access-rule 设置为一个空值,从而 允许不加限制。防止从默认或指定的组策略继承值。 permit 允许特定类型和 / 或版本设备的连接。 priority 确定规则的优先级。具有最小整数的规则具有最高优先
第8章 client-access-rule 至 crl enforcenextupdate 命令 client-access-rule 根据以下附加说明构建规则: 示例 • 如果不定义任何规则,ASA 将允许所有连接类型。 • 如果一个客户端与所有规则均不匹配,ASA 将拒绝此连接。这意味着如果定义一个拒绝规 则,还必须至少定义一个允许规则,否则 ASA 将拒绝所有连接。 • 对于软件和硬件客户端,类型和版本必须与 show vpn-sessiondb remote 命令输出中的类型与 版本完全匹配。 • * 字符是通配符,可以在每个规则中多次使用。例如,client-access-rule 3 deny type * version 3.* 创建一个优先级为 3 的客户端访问规则,该规则拒绝运行软件发布版本 3.
第8章 client-access-rule 至 crl enforcenextupdate 命令 client-bypass-proxy client-bypass-proxy 要在 ASA 仅希望管理 IPv6 流量时配置其如何管理 IPv4 流量,或者要在 ASA 仅希望管理 IPv4 流 量时配置其如何管理 IPv6 流量,请在组策略配置模式下使用 client-bypass-proxy 命令。要清除客 户端旁路协议设置,请使用此命令的 no 形式。 client-bypass-protocol {enable | disable} no client-bypass-protocol {enable | disable} 语法说明 enable 如果 Client Bypass Protocol(客户端旁路协议)已启用,则从客户端以 明文发送尚未分配 IP 地址类型的 ASA 的 IP 流量。 disable 如果 Client Bypass Protocol(客户端旁路协议)已禁用,则丢弃尚未分 配 IP 地址类型的 ASA 的 IPv6 流量。 默认值 默认情况下,在 Dflt
第8章 client-access-rule 至 crl enforcenextupdate 命令 client-bypass-proxy 以下示例禁用客户端旁路协议: hostname(config-group-policy)# client-bypass-protocol disable hostname(config-group-policy)# 以下示例清除客户端旁路协议设置: hostname(config-group-policy)# no client-bypass-protocol enable hostname(config-group-policy)# 思科 ASA 系列命令参考,A 至 H 命令 8-5
第8章 client-access-rule 至 crl enforcenextupdate 命令 client(CTL 提供程序) client(CTL 提供程序) 要指定允许连接至证书信任列表提供程序的客户端,或要指定客户端身份验证的用户名和密码, 请在 CTL 提供程序配置模式下使用 client 命令。要删除配置,请使用此命令的 no 形式。 client [[interface if_name] ipv4_addr] | [username user_name password password [encrypted]] no client [[interface if_name] ipv4_addr] | [username user_name password password [encrypted]] 语法说明 encrypted 指定密码加密。 interface if_name 指定允许连接的接口。 ipv4_addr 指定客户端的 IP 地址。 password password 指定用于客户端身份验证的密码。 username user_name 指定用于客
第8章 client-access-rule 至 crl enforcenextupdate 命令 client(CTL 提供程序) 相关命令 命令 ctl 说明 解析来自 CTL 客户端的 CTL 文件并安装信任点。 ctl-provider 在 CTL 提供程序配置模式下配置 CTL 提供程序实例。 export 指定要导出至客户端的证书 service 指定 CTL 提供程序侦听的端口。 tls-proxy 定义 TLS 代理实例,然后设置最大会话数。 思科 ASA 系列命令参考,A 至 H 命令 8-7
第8章 client-access-rule 至 crl enforcenextupdate 命令 client(TLS 代理) client(TLS 代理) 要配置信任点、密钥对和密码套件,请在 TLS 代理配置模式下使用 client 命令。要删除配置,请 使用此命令的 no 形式。 client [cipher-suite cipher_suite] | [ldc [issuer ca_tp_name | key-pair key_label]] no client [cipher-suite cipher_suite] | [ldc [issuer ca_tp_name | key-pair key_label] 语法说明 cipher-suite cipher_suite 指定密码套件。选项包括 des-sha1、3des-sha1、aes128-sha1、 aes256-sha1 或 null-sha1。 issuer ca_tp_name 指定颁发客户端动态证书的本地 CA 信任点。 keypair key_label 指定由客户端动态证书使用的 RSA 密钥对。 ldc
第8章 client-access-rule 至 crl enforcenextupdate 命令 client(TLS 代理) 相关命令 命令 ctl-provider 说明 定义 CTL 提供程序实例,然后进入 CTL 提供程序配置模式。 server trust-point 指定要在 TLS 握手期间提供的代理信任点证书。 show tls-proxy 显示 TLS 代理。 tls-proxy 定义 TLS 代理实例并设置会话的最大数。 思科 ASA 系列命令参考,A 至 H 命令 8-9
第8章 client-access-rule 至 crl enforcenextupdate 命令 client-firewall client-firewall 要在 IKE 隧道协商过程中设置 ASA 推送 VPN 客户端的个人防火墙策略,请在组策略配置模式下 使用 client-firewall 命令。要删除防火墙策略,请使用此命令的 no 形式。 client-firewall none no client-firewall {opt | req} custom vendor-id num product-id num policy {AYT | CPP acl-in acl acl-out acl} [description string] client-firewall {opt | req} zonelabs-integrity 注意 当防火墙类型为 zonelabs-integrity 时,请不要包含参数。Zone Labs Integrity 服务器确定策略。 client-firewall {opt | req} zonelabs-zonealarm policy {AYT |
第8章 client-access-rule 至 crl enforcenextupdate 命令 client-firewall sygate-personal 指定 Sygate Personal 防火墙类型。 sygate-personal-pro 指定 Sygate Personal Pro 防火墙类型。 sygate-security-agent 指定 Sygate Security Agent 防火墙类型。 vendor-id 标识防火墙供应商。 zonelabs-integrity 指定 Zone Labs Integrity Server 防火墙类型。 zonelabs-zonealarm 指定 Zone Labs Zone Alarm 防火墙类型。 zonelabs-zonealarmorpro policy 指定 Zone Labs Zone Alarm 或 Pro 防火墙类型。 zonelabs-zonealarmpro policy 指定 Zone Labs Zone Alarm Pro 防火墙类型。 默认值 没有默认行为或值。 命令模式 下表
第8章 client-access-rule 至 crl enforcenextupdate 命令 client trust-point client trust-point 要指定为思科统一存在服务器 (CUPS) 配置 TLS 代理时,在 TLS 握手期间显示的代理信任点证 书,请在 TLS 代理配置模式下使用 client trust-point 命令。要删除代理信任点证书,请使用此命 令的 no 形式。 client trust-point proxy_trustpoint no client trust-point [proxy_trustpoint] 语法说明 proxy_trustpoint 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定 crypto ca trustpoint 命令定义的信任点。 防火墙模式 安全情景 多个 命令模式 路由 TLS 代理配置 命令历史 使用指南 版本 8.
第8章 client-access-rule 至 crl enforcenextupdate 命令 client trust-point 示例 以下示例进入中心信任点的 crypto ca trustpoint 配置模式,并将其指定为 SSL 信任点: ciscoasa(config)# crypto ca trustpoint central ciscoasa(config-ca-trustpoint)# client-types ssl ciscoasa(config-ca-trustpoint)# 以下示例进入 checkin1 信任点的 crypto ca trustpoint 配置模式,并将其指定为 IPsec 信任点: ciscoasa(config)# crypto ca trustpoint checkin1 ciscoasa(config-ca-trustpoint)# client-types ipsec ciscoasa(config-ca-trustpoint)# 相关命令 命令 crypto ca trustpoint 说明 id-usage 指定可以如何使用信任点
第8章 client-access-rule 至 crl enforcenextupdate 命令 client-update client-update 要在所有隧道组上或对特定隧道组上为所有活动的远程 VPN 软件和硬件客户端以及配置为 Auto Update(自动更新)客户端的 ASA 发布客户端更新,请在特权 EXEC 模式下使用 client-update 命令。 要在全局范围内配置并更改客户端更新参数,包括 VPN 软件和硬件客户端以及配置为 Auto Update(自动更新)客户端的 ASA,请在全局配置模式下使用 client-update 命令。 要配置和更改 VPN 软件和硬件客户端的客户端更新隧道组 IPSec 属性参数,请在隧道组 IPSec 属 性配置模式下使用 client-update 命令。 要禁用客户端更新,请使用此命令的 no 形式。 全局配置模式命令: client-update {enable | component {asdm | image} | device-id dev_string | family family_name | type type} ur
第8章 client-access-rule 至 crl enforcenextupdate 命令 client-update type type url url-string (在特权 EXEC 模式下不可用。)指定远程 PC 的操作系统或 ASA(配 置为 Auto Update(自动更新)客户端)的类型以通知客户端更新。该 列表如下: • asa5505:思科 5505 自适应安全设备 • asa5510:思科 5510 自适应安全设备 • asa5520:思科 5520 自适应安全设备 • asa5540:思科 5540 自适应安全设备 • linux:Linux 客户端 • mac:MAC OS X 客户端 • pix-515:思科 PIX 515 防火墙 • pix-515E:思科 PIX 515E 防火墙 • pix-525:思科 PIX 525 防火墙 • pix-535:思科 PIX 535 防火墙 • Windows:所有基于 Windows 的平台 • WIN9X:Windows 95、Windows 98 和 Windows ME
第8章 client-access-rule 至 crl enforcenextupdate 命令 client-update 使用指南 在隧道组 IPsec 属性配置模式下,您只能将此属性应用到 IPsec 远程访问隧道组类型。 client-update 命令使您可启用更新;指定要应用更新的客户端类型和修订号;提供获取更新的 URL 或 IP 地址;以及对于 Windows 客户端,可以选择通知应更新其 VPN 客户端版本的用户。如 果客户端已经运行了修订号列表中包含的软件版本,则无需更新其软件。如果客户端未运行列表 中包含的软件版本,则应进行更新。 对于 Windows 客户端,您可以为用户提供一种完成该更新的机制。对于 VPN 3002 硬件客户端用 户,将在没有通知的情况下自动进行更新。当客户端类型为另一 ASA 时,此 ASA 将作为自动更 新服务器。 注意 对于所有 Windows 客户端和 Auto Update(自动更新)客户端,您必须使用协议 “http://” 或 “https://” 作为 URL 的前缀。而对于 VPN 3002 硬件客户端,您必须指定协议 “tftp:/
第8章 client-access-rule 至 crl enforcenextupdate 命令 client-update 以下示例仅适用于 VPN 3002 硬件客户端。进入隧道组 IPSec 属性配置模式,为 IPSec 远程访问隧 道组 “salesgrp” 配置客户端更新参数。指定修订号 4.7 并使用 TFTP 协议从 IP 地址为 192.168.1.1 的网站获取更新的软件: ciscoasa(config)# tunnel-group salesgrp type ipsec-ra ciscoasa(config)# tunnel-group salesgrp ipsec-attributes ciscoasa(config-tunnel-ipsec)# client-update type vpn3002 url tftp:192.168.1.1 rev-nums 4.
第8章 client-access-rule 至 crl enforcenextupdate 命令 clock set clock set 要在 ASA 上手动设置时钟,请在特权 EXEC 模式下使用 clock set 命令。 clock set hh:mm:ss {month day | day month} year 语法说明 day 设置月的日期,从 1 至 31。例如,根据标准日期格式,可以输入日和月 为 april 1 或 1 april。 hh:mm:ss 以 24 小时时间格式设置小时、分钟和秒。例如,将 20:54:00 设置为下 午 8:54。 month 设置月。根据标准日期格式,可以输入日和月为 april 1 或 1 april。 year 使用四位数字设置年,例如 2004。年范围为 1993 至 2035。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 clock set 以下示例将时钟设置为 UTC 时区中 2004 年 7 月 27 日 8:15,然后将时区设置为 MST 及美国的默 认夏令时期间。结束时间(MDT 中的 1:15)与前一个示例的时间相同。 ciscoasa# clock set 20:15:0 jul 27 2004 ciscoasa# configure terminal ciscoasa(config)# clock timezone MST -7 ciscoasa(config)# clock summer-time MDT recurring ciscoasa# show clock 13:15:00.
第8章 client-access-rule 至 crl enforcenextupdate 命令 clock summer-time clock summer-time 要设置 ASA 时间的显示夏令时的日期范围,请在全局配置模式下使用 clock summer-time 命令。 要禁用夏令时日期,请使用此命令的 no 形式。 clock summer-time zone recurring [week weekday month hh:mm week weekday month hh:mm] [offset] no clock summer-time [zone recurring [week weekday month hh:mm week weekday month hh:mm] [offset]] clock summer-time zone date {day month | month day} year hh:mm {day month | month day} year hh:mm [offset] no clock summer-time [zone date {day month
第8章 client-access-rule 至 crl enforcenextupdate 命令 clock summer-time 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 全局配置 命令历史 版本 8.
第8章 client-access-rule 至 crl enforcenextupdate 命令 clock timezone clock timezone 要设置 ASA 时钟的时区,请在全局配置模式下使用 clock timezone 命令。要将时区设置为返回 UTC 的默认值,请使用此命令的 no 形式。 clock timezone zone [-]hours [minutes] no clock timezone [zone [-]hours [minutes]] 语法说明 [-]hours 设置与 UTC 的偏移的小时数。例如,PST 为 -8 小时。 minutes (可选)设置与 UTC 偏移的分钟数。 zone 将时区指定为字符串,例如,PST 表示太平洋标准时间。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster-ctl-file cluster-ctl-file 要使用存储在闪存中的从现有 CTL 文件创建的信任点,请在 CTL 文件配置模式下使用 cluster-ctl-file 命令。要删除 CTL 文件配置,以便创建新的 CTL 文件,请使用此命令的 no 形式。 cluster-ctl-file filename_path no cluster-ctl-file filename_path 语法说明 filename_path 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定存储在磁盘或闪存中的 CTL 文件的路径和文件名。 防火墙模式 安全情景 多个 命令模式 路由 CTL 文件配置 命令历史 版本 8.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster encryption cluster encryption 要为在虚拟负载平衡集群上交换的消息启用加密,请在 VPN 负载平衡配置模式下使用 cluster encryption 命令。要禁用加密,请用使此命令的 no 形式。 cluster encryption no cluster encryption 注意 VPN 负载平衡需要具有一个有效的 3DES/AES 许可。ASA 在启用负载平衡前检查是否存在此加 密许可证。如果未检测到有效的 3DES 或 AES 许可证,ASA 将阻止启用负载平衡,并通过负载平 衡系统阻止 3DES 的内部配置,除非许可证允许此应用。 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下禁用加密。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 VPN 负载平衡配置 命令历史 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster encryption ciscoasa(config)# interface GigabitEthernet 0/2 ciscoasa(config-if)# ip address 209.165.201.30 255.255.255.0 ciscoasa(config)# nameif foo ciscoasa(config)# vpn load-balancing ciscoasa(config-load-balancing)# interface lbpublic test ciscoasa(config-load-balancing)# interface lbprivate foo ciscoasa(config-load-balancing)# cluster ip address 209.165.202.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster exec cluster exec 要对集群内的所有设备或特定成员执行一个命令,请在特权 EXEC 模式下使用 cluster exec 命令。 cluster exec [unit unit_name] command 语法说明 unit unit_name (可选)对特定设备执行此命令。要查看成员名称,请输入 cluster exec unit ?(可查阅除当前设备之外的所有名称),或输入 show cluster info 命令。 command 指定要执行的命令。 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 9.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster exec Group Port-channel Protocol Span-cluster Ports ------+-------------+-----------+----------------------------------------------1 Po1 LACP Yes Gi0/0(P) 2 Po2 LACP Yes Gi0/1(P) 相关命令 命令 cluster group 说明 输入集群组配置模式。 show cluster info 显示集群信息。 思科 ASA 系列命令参考,A 至 H 命令 8-27
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster group cluster group 要配置集群引导程序参数和其他集群设置,请在全局配置模式下使用 cluster group 命令。要清除 集群配置,请使用此命令的 no 形式。 cluster group name no cluster group name 语法说明 name 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定集群名称为 1 到 38 个字符之间的 ASCII 字符串。您只能为每个设 备配置一个集群组。集群的所有成员必须使用同一名称。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 9.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster group interface tengigabitethernet 0/6 channel-group 1 mode active no shutdown interface tengigabitethernet 0/7 channel-group 1 mode active no shutdown cluster group pod1 local-unit unit1 cluster-interface port-channel1 ip 192.168.1.1 255.255.255.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster ip address cluster ip address 要为虚拟负载平衡集群设置 IP 地址,请在 VPN 负载平衡配置模式下使用 cluster ip address 命 令。要删除 IP 地址指定,请使用此命令的 no 形式。 cluster ip address ip-address no cluster ip address [ip-address] 语法说明 ip-address 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 要分配到虚拟负载平衡集群的 IP 地址。 防火墙模式 安全情景 多个 命令模式 路由 VPN 负载平衡配置 命令历史 使用指南 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster ip address 相关命令 命令 interface 说明 设置设备的接口。 nameif 将名称分配到接口。 vpn load-balancing 进入 vpn 负载平衡配置模式。 思科 ASA 系列命令参考,A 至 H 命令 8-31
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster key cluster key 要对虚拟负载平衡集群设置 IPSec 站点间隧道交换的共享密钥,请在 VPN 负载平衡配置模式下使 用 cluster key 命令。要删除此指定,请使用此命令的 no 形式。 cluster key shared-secret no cluster key [shared-secret] 语法说明 shared-secret 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 用来定义 VPN 负载平衡集群的共享密钥的一个包含 3 到 17 个字符的 字符串。字符串中可以包含特殊字符串,但不能包含空格。 防火墙模式 安全情景 多个 命令模式 路由 VPN 负载平衡配置 命令历史 使用指南 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster key ciscoasa(config-load-balancing)# cluster key 123456789 ciscoasa(config-load-balancing)# cluster encryption ciscoasa(config-load-balancing)# participate 相关命令 命令 vpn load-balancing 说明 进入 vpn 负载平衡配置模式。 思科 ASA 系列命令参考,A 至 H 命令 8-33
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster master unit cluster master unit 要将新的设备设置为 ASA 集群的主设备,请在特权 EXEC 模式下使用 cluster master unit 命令。 cluster master unit unit_name 注意事项 更改主设备的最佳方法是在主设备上禁用集群(请参阅 no cluster enable 命令),等待新的主设 备选择,然后重新启用集群。如果必须指定要其成为主设备的确切的设备,请使用 cluster master unit 命令。但请注意,对于集中功能,如果您使用此命令强制更改主控设备,则所有连接 都将被丢弃,您必须在新主控设备上重新建立连接。 语法说明 unit_name 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定要成为新的主设备的本地设备的名称。要查看成员名称,请输入 cluster master unit ?(可查阅除当前设备之外的所有名称),或输入 show cluster inf
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster remove unit cluster remove unit 要从 ASA 集群中删除设备,请在特权 EXEC 模式下使用 cluster remove unit 命令。 cluster remove unit unit_name 语法说明 unit_name 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定要从集群中删除的本地设备的名称。要查看成员名称,请输入 cluster remove unit ? 或输入 show cluster info 命令。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 9.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster-interface cluster-interface 要指定集群控制链路物理接口和 IP 地址,请在集群组配置模式下使用 cluster-interface 命令。要 删除集群接口,请使用此命令的 no 形式。 cluster-interface interface_id ip ip_address mask no cluster-interface [interface_id ip ip_address mask] 语法说明 interface_id 指定物理接口、EtherChannel 或冗余接口。不允许子接口和管理接口。 此接口不能配置 nameif。对于具有 IPS 模块 的 ASA 5585-X,无法为集 群控制链路使用 IPS 模块接口。 ip ip_address mask 指定 IP 地址的 IPv4 地址;此接口不支持 IPv6。对于每个设备,请在同 一网络指定不同的 IP 地址。 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster-interface interface tengigabitethernet 0/7 channel-group 2 mode on no shutdown cluster group cluster1 cluster-interface port-channel2 ip 10.1.1.1 255.255.255.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster-mode cluster-mode 要指定集群的安全模式,请在电话代理配置模式下使用 cluster-mode 命令。要将集群的安全模式 设置为默认模式,请使用此命令的 no 形式。 cluster-mode [mixed | nonsecure] no cluster-mode [mixed | nonsecure] 语法说明 mixed 配置电话代理功能时,将集群模式指定为混合模式。 nonsecure 配置电话代理功能时,将集群模式指定为非安全模式。 默认值 默认集群模式为非安全模式。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 电话代理配置 命令历史 使用指南 版本 8.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cluster port cluster port 要为虚拟负载平衡集群设置 UDP 端口,请在 VPN 负载平衡配置模式下使用 cluster port 命令。要 删除端口指定,请使用此命令的 no 形式。 cluster port port no cluster port [port] 语法说明 port 默认值 默认集群端口为 9023。 命令模式 下表展示可输入此命令的模式: 要分配到虚拟负载平衡集群的 UDP 端口。 防火墙模式 安全情景 多个 命令模式 路由 VPN 负载平衡配置 命令历史 使用指南 版本 7.
第8章 cluster port 相关命令 命令 vpn load-balancing 思科 ASA 系列命令参考,A 至 H 命令 8-40 说明 进入 vpn 负载平衡配置模式。 client-access-rule 至 crl enforcenextupdate 命令
第8章 client-access-rule 至 crl enforcenextupdate 命令 command-alias command-alias 要为命令创建别名,请在全局配置模式下使用 command-alias 命令。要删除别名,请使用此命令 的 no 形式。 command-alias mode command_alias original_command no command-alias mode command_alias original_command 语法说明 默认值 命令模式 command_alias 为现有命令指定新名称。 mode 指定要在其中创建命令别名的命令模式,例如,exec(表示用户和特权 EXEC 模式)、configure 或 interface。 original_command 指定要为其创建命令别名的现有命令或带关键字的命令。 默认情况下,将配置以下用户 EXEC 模式别名: • h 表示 help • lo 表示 logout • p 表示 ping • s 表示 show 下表展示可输入此命令的模式: 防火墙模式
第8章 client-access-rule 至 crl enforcenextupdate 命令 command-alias 您可以在不同的模式下使用同一别名。例如,可在特权 EXEC 模式和配置模式下对不同的命令使 用 “happy” 作为别名,如下所示: ciscoasa(config)# happy? configure mode commands/options: *happy="username employee1 password test" exec 模式命令 / 选项: *happy=enable 要仅列出命令而忽略别名,则以空格开始您的输入行。另外,要忽略命令别名,请在输入命令前 使用空格。在以下示例中,因为 happy? 前有一个空格,所以不显示别名 “happy”。命令创建虚 拟接口。 ciscoasa(config)# alias exec test enable ciscoasa(config)# exit ciscoasa# happy? ERROR: % Unrecognized command 如同命令一样,您可使用 CLI 帮助显示命令别名后可跟随的参数和关键字。
第8章 client-access-rule 至 crl enforcenextupdate 命令 command-queue command-queue 要指定等待响应时排队的 MGCP 命令的最大数量,请在 MGCP 映射配置模式下使用 command-queue 命令。要删除配置,请使用此命令的 no 形式。 command-queue limit no command-queue limit 语法说明 limit 默认值 此命令默认禁用。 指定可排队的命令的最大数,从 1 到 2147483647。 MGCP 命令队列的默认值为 200。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令历史 使用指南 示例 命令模式 路由 透明 单个 情景 系统 MGCP 映射配置 • • • • — 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 community-list community-list 要创建或配置边界网关协议 (BGP) 社区列表并控制对它的访问,请在全局配置命令中使用 community-list 命令。要删除社区列表,请使用此命令的 no 形式 Standard Community Lists community-list {standard | standard list-name} {deny | permit} [community-number] [AA:NN] [internet] [local-AS] [no-advertise] [no-export] no community-list {standard | standard list-name} Expanded Community Lists community-list {expanded | expanded list-name} {deny | permit} regexp no community-list {expanded | expand
第8章 client-access-rule 至 crl enforcenextupdate 命令 community-list 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 9.
第8章 client-access-rule 至 crl enforcenextupdate 命令 community-list 在以下示例中,配置标准社区列表拒绝路由,即从自主系统 65534 中的网络 40 和自主系统 65412 中的网络 60 承载社区。此示例展示逻辑 AND 条件;所有社区值必须匹配才能处理列表。 ciscoasa(config)# community-list 2 deny 65534:40 65412:60 在以下示例中,配置指定的标准社区列表,允许本地自主系统内的所有路由或允许从自主系统 40000 中的网络 20 路由。此示例展示逻辑 OR 条件;处理第一个匹配。 ciscoasa(config)# ciscoasa(config)# community-list standard RED permit local-AS community-list standard RED permit 40000:20 在以下示例中,配置扩展的社区列表将拒绝从任何专用自主系统承载社区的路由: ciscoasa(config)# community-list 500 den
第8章 client-access-rule 至 crl enforcenextupdate 命令 compatible rfc1583 compatible rfc1583 要恢复用于根据 RFC 1583 计算汇总路由成本的方法,请在路由器配置模式下使用 compatible rfc1583 命令。要禁用 RFC 1583 的兼容性,请使用此命令的 no 形式。 compatible rfc1583 no compatible rfc1583 语法说明 此命令没有任何参数或关键字。 默认值 此命令默认已启用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 使用指南 示例 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 compression compression 要启用用于 SVC 连接和 WebVPN 连接的压缩,请在全局配置模式下使用 compression 命令。要 从配置中删除命令,请使用此命令的 no 形式。 compression {all | svc | http-comp} no compression {all | svc | http-comp} 语法说明 all 指定启用所有可用的压缩技术。 http-comp 指定用于 WebVPN 连接的压缩。 svc 指定用于 SVC 连接的压缩。 默认值 默认为 all(全部)。启用所有可用的压缩技术。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 compression 相关命令 命令 show webvpn svc 说明 显示有关 SVC 安装的信息。 svc 为特定组或用户启用或要求 SVC。 svc compression 为特定组或用户通过 SVC 连接启用 HTTP 数据的压缩。 思科 ASA 系列命令参考,A 至 H 命令 8-49
第8章 client-access-rule 至 crl enforcenextupdate 命令 config-register config-register 要设置下次重新加载 ASA 所用的配置注册值,请在全局配置模式下使用 config-register 命令。要 将此值恢复为默认值,请使用此命令的 no 形式。 config-register hex_value no config-register 语法说明 hex_value 将配置注册值设置为 0x0 和 0xFFFFFFFF 之间的一个十六进制数。此数 显示为 32 位,且每个十六进制字符显示为 4 位。每个位控制不同的特 征。但 32 至 20 位,既可留作将来使用,用户不能对其进行设置,当前 也不能由 ASA 使用;因此,您可以忽略代表这些为的三个字符,因为 始终将它们设置为 0。由 5 个十六进制字符代表相关的位:0xnnnnn。 无需包括前面的 0。需要包括后面的 0。例如,0x2001 等同于 0x02001 ;但 0x10000 需要所有零。有关相关位的可用值的详细信息,请参阅表 8-1。 默认值 默认值为 0x
第8章 client-access-rule 至 crl enforcenextupdate 命令 config-register 表 8-1 列出与每个十六进制字符关联的操作;为每个字符选择一个值: 表 8-1 配置寄存器的值 前缀 十六进制字符数 4、3、2、1 和 0 0x 0 0 1 2 1 1 在启动期间,禁 用 10 秒 ROMMON 倒计 时。通常,您可 在倒计时过程中 按 Escape 进入 ROMMON。 如果设置 ASA 从 TFTP 服务器引导, 而此引导失败,则 此值直接引导进入 ROMMON。 按照 ROMMON 引导 参数(如果存在,与 boot system tftp 命令 一样)中的指定,从 TFTP 服务器映像进 行引导。此值优先于 为字符 1 设置的值。 通过第一个 boot system local_flash 命令引 导指定的映像。如果该映像未加载,ASA 尝试通过随后的 boot system 命令引导每 个指定的映像,直到其引导成功。 01 02 0 2、4、6、8 通过特定的 boot system local_flash 命
第8章 client-access-rule 至 crl enforcenextupdate 命令 config-register 相关命令 命令 boot 设置引导映像并启动配置。 service password-recovery 启用或禁用密码恢复。 思科 ASA 系列命令参考,A 至 H 命令 8-52 说明
第8章 client-access-rule 至 crl enforcenextupdate 命令 配置出厂默认设置 配置出厂默认设置 要将配置恢复为出厂默认设置,请在全局配置模式下使用 configure factory-default 命令。 configure factory-default [ip_address [mask]] 语法说明 ip_address 设置管理或内部接口的 IP 地址,而不是使用默认地址 192.168.1.1。有 关您的型号配置何种接口的详细信息,请参阅 “ 使用指南 ” 部分。 mask 设置接口的子网掩码。如果未设置掩码,ASA 将使用适用于 IP 地址类 的掩码。 默认值 默认 IP 地址和掩码为 192.168.1.1 和 255.255.255.0。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 配置出厂默认设置 注意 此命令还将清除 boot system 命令(如果存在)和其他配置。boot system 命令允许从特定映像引 导,包括 外部闪存卡 上的映像。下次恢复出厂配置后重新加载 ASA,将从 内部闪存 中的第一个 映像引导;如果 内部闪存 中没有映像,ASA 将不引导。 要配置用于完整配置的其他设置,请参阅 setup 命令。 ASA 5505 配置 ASA 5505 的默认出厂配置如下: • 一个包括以太网 0/1 至 0/7 交换机端口的内部 VLAN 1 接口。如果在 configure factory-default 命令中未设置 IP 地址,则 VLAN 1 IP 地址和掩码为 192.168.1.1 和 255.255.255.
第8章 client-access-rule 至 crl enforcenextupdate 命令 配置出厂默认设置 http server enable http 192.168.1.0 255.255.255.0 inside dhcpd address 192.168.1.2-192.168.1.254 inside dhcpd auto_config outside dhcpd enable inside logging asdm informational ASA 5510 及更高配置 ASA 5510 及更高配置的默认出厂配置如下: • 管理 Management 0/0 接口。如果在 configure factory-default 命令中未设置 IP 地址,则 IP 地 址和掩码为 192.168.1.1 和 255.255.255.0。 • 在 ASA 上启用 DHCP 服务器,所以连接到该接口的 PC 接收一个 192.168.1.2 和 192.168.1.254 之间的地址。 • 为 ASDM 启用 HTTP 服务器,而且 192.168.1.
第8章 client-access-rule 至 crl enforcenextupdate 命令 配置出厂默认设置 示例 以下示例将配置重置为出厂默认配置,将 IP 地址 10.1.1.1 分配到接口,然后将新配置另存为启动 配置: ciscoasa(config)# configure factory-default 10.1.1.1 255.255.255.0 Based on the inside IP address and mask, the DHCP address pool size is reduced to 253 from the platform limit 256 WARNING: The boot system configuration will be cleared. The first image found in disk0:/ will be used to boot the system on the next reload.
第8章 client-access-rule 至 crl enforcenextupdate 命令 configure http configure http 要将 HTTP(S) 服务器的配置文件与运行配置合并,请在全局配置模式下使用 configure http 命令。 configure http[s]://[user[:password]@]server[:port]/[path/]filename 语法说明 :password (可选)对于 HTTP(S) 身份验证,指定密码。 :port (可选)指定端口。对于 HTTP,默认端口为 80。对于 HTTPS,默认 端口为 443。 @ (可选)如果输入名称和 / 或密码,在服务器 IP 地址前使用符号 (@)。 filename 指定配置文件名。 http[s] 指定 HTTP 或 HTTPS。 path (可选)指定文件名的路径。 server 指定服务器的 IP 地址或名称。对于 IPv6 服务器地址,如果指定端口, 则必须将 IP 地址括在括号内,以便 IP 地址中的冒号不会被误认为端口 号前的冒号。例如,输
第8章 client-access-rule 至 crl enforcenextupdate 命令 configure http 相关命令 命令 clear configure 说明 configure memory 将启动配置与运行配置合并。 configure net 将指定的 TFTP URL 中的配置文件与运行配置合并。 configure factory-default 将在 CLI 中输入的命令添加到运行配置中。 show running-config 显示运行的配置。 思科 ASA 系列命令参考,A 至 H 命令 8-58 清除运行配置。
第8章 client-access-rule 至 crl enforcenextupdate 命令 configure memory configure memory 要将启动配置与运行配置合并,请在全局配置模式下使用 configure memory 命令。 configure memory 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 全局配置 命令历史 使用指南 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 configure net configure net 要将来自 TFTP 服务器的配置文件与运行配置合并,请在全局配置模式下使用 configure net 命令。 configure net [server:[filename] | :filename] 语法说明 :filename 指定路径和文件名。如果已使用 tftp - server 命令设置文件名,则此参 数可选。 如果在此命令中指定文件名,并在 tftp-server 命令中指定一个名称,则 ASA 将 tftp-server 命令的文件名视为目录,并将 configure net 命令的 文件名作为文件添加该到目录下。 要覆盖 tftp-server 命令值,请在路径和文件名前面输入一个斜杠。斜杠 表示该路径不是 tftpboot 目录的相对路径,而是绝对路径。为此文件生 成的 URL 在文件名路径前面有一个双斜杠 (//)。如果需要的文件在 tftpboot 目录中,您可以在文件名路径中包含 tftpboot 目录的路径。 如果使
第8章 client-access-rule 至 crl enforcenextupdate 命令 configure net 此命令等同于 copy tftp running-config 命令。对于多情景模式,该命令只能在系统执行空间中使 用,因此,configure net 命令是另一个在情景内使用的命令。 示例 以下示例在 tftp-server 命令中设置服务器和文件名,然后用 configure net 命令覆盖服务器。使用 同一文件名。 ciscoasa(config)# tftp-server inside 10.1.1.1 configs/config1 ciscoasa(config)# configure net 10.2.2.
第8章 client-access-rule 至 crl enforcenextupdate 命令 configure terminal configure terminal 要在命令行配置运行配置,请在特权 EXEC 模式下使用 configure terminal 命令。 configure terminal 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 config-url config-url 要标识系统可从中下载情景配置的 URL,请在情景配置模式下使用 config-url 命令。 config-url url 语法说明 url 设置情景配置的 URL。所有远程 URL 必须可从管理情景中访问。参阅以下 URL 语法: • disk0:/[path/]filename 对于 ASA 5500 系列,此 URL 指示内部闪存。您还可用 flash 命令代替 disk0 命令;它们是别名。 • disk1:/[path/]filename 对于 ASA 5500 系列,此 URL 指示外部闪存卡。 • flash:/[path/]filename 此 URL 指示内部闪存。 • ftp://[user[:password]@]server[:port]/[path/]filename[;type=xx] type 可以是以下关键字之一: – ap - ASCII 被动模式 – an - ASCII 正常模式 – ip -(默认)二进制
第8章 client-access-rule 至 crl enforcenextupdate 命令 config-url 使用指南 当您添加情景 URL 时,系统立即加载情景以便运行。 注意 输入 allocate-interface 命令,然后输入 config-url 命令。ASA 加载情景配置前必须向情景分配接 口;情景配置可能包括引用接口的命令(interface、nat、global)。如果先输入 config-url 命 令,ASA 立即加载情景配置。如果情景包括任何引用接口的命令,这些命令将失败。 文件名不需要文件扩展名,但建议您使用 “.
第8章 client-access-rule 至 crl enforcenextupdate 命令 conn-rebalance conn-rebalance 要在集群成员之间启用连接再平衡,请在集群组配置模式下使用 conn-rebalance 命令。要禁用连 接再平衡,请使用此命令的 no 形式。 conn-rebalance [frequency seconds] no conn-rebalance [frequency seconds] 语法说明 frequency seconds 命令默认值 默认情况下,禁用连接再平衡。 (可选)指定加载信息交换频率,介于 1 至 360 秒之间。默认值为 5 秒。 如果启用,默认频率为 5 秒 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 集群组配置 命令历史 使用指南 版本 9.
第8章 client-access-rule 至 crl enforcenextupdate 命令 conn-rebalance 命令 说明 cluster interface-mode 设置集群接口模式。 console-replicate 启用从从属设备到主控设备的控制台复制。 enable(集群组) health-check 启用集群。 key 设置用于在集群控制链路上控制流量的身份验证密钥。 local-unit 为集群成员命名。 mtu cluster-interface 为集群控制链路接口指定最大传输单位。 priority(集群组) 设置此设备的优先级以用于主控设备选定。 思科 ASA 系列命令参考,A 至 H 命令 8-66 启用集群运行状况检查功能,其中包括设备运行状况监控和接口运行状 况监控。
第8章 client-access-rule 至 crl enforcenextupdate 命令 console timeout console timeout 要对已经过身份验证的串行控制台会话(AAA 身份验证串行控制台)设置非活动超时,以便用 户超时后注销登录控制台,或对已经过身份验证的启用会话(AAA 身份验证启用控制台)设置 非活动超时,以便用户超时后退出特权 EXEC 模式并恢复为用户 EXEC 模式,请在全局配置模式 下使用 console timeout 命令。要对已经身份验证的串行控制台会话禁用非活动超时,请使用此命 令的 no 形式。 console timeout [number] no console timeout [number] 语法说明 number 默认值 默认超时值为 0,表示控制台会话将不会超时。 命令模式 下表展示可输入此命令的模式: 指定空闲时间在几分钟(0 至 60)后,控制台会话结束。0 表示控制台永不超时。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 console-replicate console-replicate 要启用从 ASA 集群中的从属设备到主设备的控制台复制,请在集群组配置模式下使用 console-replicate 命令。要禁用控制台复制,请使用此命令的 no 形式。 console-replicate no console-replicate 语法说明 此命令没有任何参数或关键字。 命令默认值 默认情况下,禁用控制台复制。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 集群组配置 命令历史 使用指南 版本 9.
第8章 client-access-rule 至 crl enforcenextupdate 命令 console-replicate 命令 说明 enable(集群组) health-check 启用集群。 key 设置用于在集群控制链路上控制流量的身份验证密钥。 local-unit 为集群成员命名。 mtu cluster-interface 为集群控制链路接口指定最大传输单位。 priority(集群组) 设置此设备的优先级以用于主控设备选定。 启用集群运行状况检查功能,其中包括设备运行状况监控和接口运行状 况监控。 思科 ASA 系列命令参考,A 至 H 命令 8-69
第8章 client-access-rule 至 crl enforcenextupdate 命令 content-length content-length 要限制基于 HTTP 消息主体长度的 HTTP 流量,请在 HTTP 映射配置模式下使用 content-length 命令。要删除此命令,请使用此命令的 no 形式。 content-length { min bytes [max bytes] | max bytes] } action {allow | reset | drop} [log] no content-length { min bytes [max bytes] | max bytes] } action {allow | reset | drop} [log] 语法说明 action 指定此检查消息失败时执行的操作。 allow 允许消息。 bytes 指定字节数。对于 min 选项,允许的范围为 1 至 65535,且对于 max 选项,允许的范围为 1 至 50000000。 drop 关闭连接。 log (可选)生成系统日志。 max (可选)指
第8章 client-access-rule 至 crl enforcenextupdate 命令 content-length 相关命令 命令 class-map 说明 定义要应用安全操作的流量类。 http-map 为配置增强型 HTTP 检查定义 HTTP 映射。 debug appfw 显示与增强型 HTTP 检查关联的流量详细信息。 inspect http 应用要用于应用检查的特定 HTTP 映射。 policy-map 将类映射与特定安全操作关联。 思科 ASA 系列命令参考,A 至 H 命令 8-71
第8章 client-access-rule 至 crl enforcenextupdate 命令 context context 要在系统配置中创建安全情景并进入情景配置模式,请在全局配置模式下使用 context 命令。要 删除情景,请使用此命令的 no 形式。 context name no context name [noconfirm] 语法说明 name 将名称设置为最多包含 32 个字符的字符串。此名称区分大小写,这样, 您可以使用名称分别为 “customerA” 和 “CustomerA” 的两个情景。 您可以使用字母、数字或连字符,但名称的开头或结尾不能使用连字符。 “System” 或 “Null”(大写或小写字母)是保留名称,不能使用。 noconfirm (可选)删除情景而不提示进行确认。此选项对于自动化脚本非常有用。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 context 相关命令 ciscoasa(config-ctx)# ciscoasa(config-ctx)# ciscoasa(config-ctx)# ciscoasa(config-ctx)# int3-int8 ciscoasa(config-ctx)# context test allocate-interface gigabitethernet0/0.100 int1 allocate-interface gigabitethernet0/0.102 int2 allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.
第8章 client-access-rule 至 crl enforcenextupdate 命令 copy copy 要复制文件到 ASA 闪存中或从中复制文件,请在特权 EXEC 模式下使用 copy 命令。 copy [/noconfirm] [/pcap] [/noverify] {url | running-config | startup-config} {running-config | startup-config | url} 语法说明 /noconfirm (可选)复制文件而不提示确认。 /pcap (可选)指定 capture 命令的原始数据包捕获转储。 /noverify (可选)复制开发密钥签名的映像时使用跳过签名验证。 running-config 指定存储在系统内存中的运行配置。 startup-config 指定存储在闪存中的启动配置。单模式的启动配置或多情景模式中系统的启 动配置均为闪存中的隐藏文件。在情景中,config-url 命令指定启动配置的位 置。例如,如果为 config-url 命令指定 HTTP 服务器,然后输入 copy star
第8章 client-access-rule 至 crl enforcenextupdate 命令 copy 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC • 透明 是 • 单个 是 • 是 情景 • 是 系统 1 • 是 1. 在情景中,只能将 running-config 或 startup-config 复制到外部 URL。 命令历史 使用指南 版本 7.0(1) 修改 7.2(1) 以增加对 DNS 名称的支持。 8.0(2) 增加了 smb 选项。 9.1(5) 增加了 scp 选项。 9.
第8章 client-access-rule 至 crl enforcenextupdate 命令 copy 以下示例展示如何将 ASDM 文件从 TFTP 服务器复制到内部闪存: ciscoasa(config)# copy tftp://10.7.0.80/asdm700.bin disk0:asdm700.bin 以下示例展示如何将情景中的运行配置复制到 TFTP 服务器: ciscoasa(config)# copy running-config tftp://10.7.0.80/my_context/my_context.cfg copy 命令支持此版本前面示例中所示的 DNS 名称及 IP 地址: ciscoasa(config)# copy running-config tftp://www.example.com/my_context/my_context.
第8章 client-access-rule 至 crl enforcenextupdate 命令 cpu hog granular-detection cpu hog granular-detection 要在短期内提供实时占用检测并设置 CPU 占用阈值,请在特权 EXEC 模式下使用 CPU HOG granular-detection 命令。 cpu hog granular-detection [count number] [threshold value] 语法说明 count number 指定已执行的代码执行中断的数量。有效值为 1 到 10000000。默认值 和建议值均为 1000。 threshold value 范围为 1 至 100。如果未设置,则使用默认值,平台之间有所不同。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 9.
第8章 cpu hog granular-detection 相关命令 命令 show process cpu-hog 说明 clear process cpu-hog 清除占用 CPU 的进程。 思科 ASA 系列命令参考,A 至 H 命令 8-78 显示占用 CPU 的进程。 client-access-rule 至 crl enforcenextupdate 命令
第8章 client-access-rule 至 crl enforcenextupdate 命令 cpu profile activate cpu profile activate 要启动 CPU 配置文件,请在特权 EXEC 模式下使用 cpu profile activate 命令。 cpu profile activate n-samples [sample-process process-name] [trigger cpu-usage cpu % [process-name]] 语法说明 n-samples 分配用于存储 n 采样号的内存。有效值为从 1 到 100,000。 sample-process process-name 仅对特定进程采样。 trigger cpu-usage cpu % 在全局 CPU 百分比大于 5 秒之前防止分析器启动,并且在 CPU 百分比 低于此值时,停止分析器。 trigger cpu-usage cpu % 使用进程 5 秒 CPU 百分比作为触发器。 process-name 默认值 n-samples 默认值为 1000。 cpu %
第8章 client-access-rule 至 crl enforcenextupdate 命令 cpu profile activate Core 2: 0 out of 10 samples collected. Core 3: 0 out of 10 samples collected. CP 0 out of 10 samples collected. 示例 以下示例激活分析器并指示其存储 1000 份采样。 hostname# Activated Use "show profiling cpu CPU cpu and profile activate profiling for 1000 samples. profile" to display the progress or "show cpu profile dump" to interrupt display the incomplete results. 以下示例展示分析的状态(正在进行和已完成): hostname# show cpu profile CPU profiling started: 13:45:10.
第8章 client-access-rule 至 crl enforcenextupdate 命令 coredump enable coredump enable 要启用核心转储功能,请输入 coredump enable 命令。要禁用此命令,请使用此命令的 no 形式。 coredump enable [filesystem [disk0: | disk1: | flash:] [size [default | size_in_MB]] [no] coredump enable [filesystem [disk0: | disk1: | flash:] [size [default | size_in_MB]] 语法说明 default 将默认值指定为建议使用的值,因为 ASA 会计算出此值。 filesystem disk0: | disk1: | flash: 指定要保存核心转储文件的磁盘。 size 定义在 ASA 闪存中为核心转储文件系统映像分配的总大 小。在配置核心转储时,如果没有足够的空间,将会出现 错误消息。将 size 选项视为容器非常有用,这意味着不允 许生成的核心转储
第8章 client-access-rule 至 crl enforcenextupdate 命令 coredump enable 思科 TAC 可能要求您启用核心转储功能来故障排除 ASA 的应用或系统崩溃。 注意 确保您存档了核心转储文件,因为后续核心转储可能导致删除以前的核心转储来适应当前的核心 转储。核心转储文件位于已配置的文件系统中(例如,“disk0:/coredumpfsys” 或 “disk1:/coredumpfsys”),并可从 ASA 中删除。 要启用核心转储,请执行下列操作: 1. 确保处于 /root 目录中。要验证目录所处控制台的位置,请输入 pwd 命令。 2. 如果需要,通过输入 cd disk0:/、cd disk1:/ 或 cd flash:/ 命令更改目录。 3.
第8章 client-access-rule 至 crl enforcenextupdate 命令 coredump enable The exact time depends on the size of the coredump generated.
第8章 client-access-rule 至 crl enforcenextupdate 命令 crashinfo console disable crashinfo console disable 要抑制崩溃信息输出到控制台,请在全局配置模式下使用 crashinfo console disable 命令。 crashinfo console disable no crashinfo console disable 语法说明 disable 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 在崩溃事件中抑制控制台输出。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 crashinfo force crashinfo force 要强制 ASA 崩溃,请在特权 EXEC 模式下使用 crashinfo force 命令。 crashinfo force [page-fault | watchdog] 语法说明 page-fault (可选)在页面出错时强制 ASA 崩溃。 watchdog (可选)在出现某种监视结果时强制 ASA 崩溃。 默认值 ASA 默认情况下将崩溃信息文件保存到闪存。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 crashinfo force 相关命令 clear crashinfo 清除崩溃信息文件的内容。 crashinfo save disable 禁止故障信息写入到闪存。 crashinfo test 测试 ASA 将故障信息保存到闪存中文件的能力。 show crashinfo 显示崩溃信息文件的内容。 思科 ASA 系列命令参考,A 至 H 命令 8-86
第8章 client-access-rule 至 crl enforcenextupdate 命令 crashinfo save disable crashinfo save disable 要禁止崩溃信息写入闪存,请在全局配置模式下使用 crashinfo save 命令。要允许崩溃信息写入 闪存并返回默认行为,请使用此命令的 no 形式。 crashinfo save disable no crashinfo save disable 语法说明 此命令没有任何参数或关键字。 默认值 ASA 默认情况下将崩溃信息文件保存到闪存。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 crashinfo test crashinfo test 要测试 ASA 将崩溃信息保存到闪存中的文件的功能,请在特权 EXEC 模式下使用 crashinfo test 命令。 crashinfo test 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 crl crl 要指定 CRL 配置选项,请在 crypto ca trustpoint 配置模式下使用 crl 命令。 crl {required | optional | nocheck} 语法说明 nocheck 指示 ASA 不执行 CRL 检查。 optional ASA 仍可接受对等证书(如果所需的 CRL 不可用)。 required 所需的 CRL 必须可用于对等证书才能验证。 默认值 默认值为 nocheck。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Crypto ca trustpoint 配置 命令历史 示例 • 透明 是 单个 — • 是 情景 系统 — — 版本 7.0(1) 修改 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 crl cache-time crl cache-time 要配置信任池 CRL 在 ASA 刷新前可在 CRL 缓存中保留的时间(分钟),请在 ca-trustpool 配置 模式下使用 crl cache-time 命令。要接受默认值 60 分钟,请使用此命令的 no 形式。 crl cache-time no crl cache-time 语法说明 cache-time 默认值 默认值为 60 分钟。 命令模式 下表展示可输入此命令的模式: 以分钟为单位的值(1 至 1440 分钟)。 防火墙模式 安全情景 多个 命令模式 路由 CA 信任池配置 命令历史 版本 9.
第8章 client-access-rule 至 crl enforcenextupdate 命令 crl configure crl configure 要进入 CRL 配置模式,请在 crypto ca trustpoint 配置模式下使用 crl configure 命令。 crl configure 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Crypto ca trustpoint 配置 命令历史 示例 版本 7.
第8章 client-access-rule 至 crl enforcenextupdate 命令 crl enforcenextupdate crl enforcenextupdate 要指定如何处理 NextUpdate CRL 字段,请在 ca-trustpool 配置模式下使用 crl enforcenextupdate 命令。如果已启用,则 CRL 需要有尚未失效的 NextUpdate 字段。若不执行此限制,请使用此命 令的 no 形式: crl enforcenextupdate no crl enforcenextupdate 语法说明 此命令没有任何参数或关键字。 默认值 默认设置为启用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 CA 信任池配置 命令历史 版本 9.
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 思科 ASA 系列命令参考,A 至 H 命令 9-1
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto am-disable crypto am-disable 要禁用 IPsec IKEv1 入站积极模式连接,请在全局配置模式下使用 crypto ikev1 am-disable 命令。 要启用入站挑战模式连接,请使用此命令的 no 形式。 crypto ikev1 am-disable no crypto ikev1 am-disable 语法说明 此命令没有任何参数或关键字。 默认值 默认值为启用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 示例 • 是 透明 — 是 系统 — — 修改 引入了 isakmp am-disable 命令。 7.2.(1) crypto isakmp am-disable 命令取代了 isakmp am-disable 命令。 8.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca authenticate crypto ca authenticate 要安装与信任点关联的 CA 证书并对其进行身份验证,请在全局配置模式下使用 crypto ca authenticate 命令。要删除 CA 证书,请使用此命令的 no 形式。 crypto ca authenticate trustpoint [fingerprint hexvalue] [nointeractive] no crypto ca authenticate trustpoint 语法说明 fingerprint 指定包含 ASA 用来对 CA 证书进行身份验证的字母数字字符的哈希 值。如果提供了指纹,则 ASA 将该指纹与 CA 证书的计算指纹进行比 较,并且仅当这两个值匹配时才接受该证书。如果没有指纹,ASA 将 显示计算指纹并且询问是否接受该证书。 hexvalue 标识指纹的十六进制值。 nointeractive 使用 noint
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca authenticate 以下示例展示为基于终端的注册(手动)配置的信任点 tp9。ASA 提示管理员将 CA 证书粘贴到 终端。在显示证书的指纹后,ASA 会提示管理员确认保留证书。 ciscoasa(config)# crypto ca authenticate tp9 Enter the base 64 encoded CA certificate.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca certificate chain crypto ca certificate chain 要进入指定信任点的证书链配置模式,请在全局配置模式下使用 crypto ca certificate chain 命令。 crypto ca certificate chain trustpoint 语法说明 trustpoint 默认值 无默认值或行为。 命令模式 下表展示可输入此命令的模式: 指定用于配置证书链的信任点。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 示例 版本 7.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca certificate map crypto ca certificate map 要维护证书映射规则的优先级列表,请在全局配置模式下使用 crypto ca certificate map 命令。要 删除加密 CA 配置映射规则,请使用此命令的 no 形式。 crypto ca certificate map {sequence-number | map-name sequence-number} no crypto ca certificate map {sequence-number | map-name [sequence-number]} 语法说明 map-name 指定证书到组映射的名称。 sequence-number 为您正创建的证书映射规则指定编号。范围为 1 到 65535。您可以在创 建隧道组映射时使用此编号,从而将一个隧道组映射到一个证书映射 规则。 默认值 map-name 的默认值为 Defau
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca certificate map 示例 以下示例使用名为 example-map 的映射和序列号 1(规则 # 1)进入 CA 证书映射模式,并且指定 subject-name 的公用名称 (CN) 属性必须与示例 1 匹配: ciscoasa(config)# crypto ca certificate map example-map 1 ciscoasa(ca-certificate-map)# subject-name attr cn eq Example1 ciscoasa(ca-certificate-map)# 以下示例使用名为 example-map 的映射和序列号 1 进入 CA 证书映射模式,并且指定其中任何位 置的 subject-name 包含值 cisco: ciscoasa(config)# crypto ca certificate map example-map 1 ciscoasa(ca-certific
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca crl request crypto ca crl request 要根据指定信任点的配置参数请求 CRL,请在加密 CA 信任点配置模式下使用 crypto ca crl request 命令。 crypto ca crl request trustpoint 语法说明 trustpoint 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定信任点。允许的最大字符数为 128。 防火墙模式 安全情景 多个 命令模式 路由 Crypto ca trustpoint 配置 命令历史 版本 7.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca enroll crypto ca enroll 要开始向 CA 进行注册的流程,请在全局配置模式下使用 crypto ca enroll 命令。 crypto ca enroll trustpoint [noconfirm] 语法说明 noconfirm (可选)抑制所有提示。可能会提示的注册选项必须在信任点中预先 配置。此选项可用在脚本、ASDM 中,或用于其他非交互性需求。 trustpoint 指定要注册的信任点的名称。允许的最大字符数为 128。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca enroll % Certificate request sent to Certificate authority. % The certificate request fingerprint will be displayed. % The ‘show crypto ca certificate’ command will also show the fingerprint. ciscoasa(config)# 以下示例展示 CA 证书的手动注册: ciscoasa(config)# crypto ca enroll tp1 % Start certificate enrollment .. % The fully-qualified domain name in the certificate will be: xyz.example.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca export crypto ca export 要以 PKCS12 格式导出 ASA 信任点配置及所有相关密钥和证书,或以 PEM 格式导出设备身份证 书,请在全局配置模式下使用 crypto ca export 命令。 crypto ca export trustpoint identity-certificate 语法说明 identity-certificate 指定与指定的信任点关联的已注册证书将显示在控制台上。 trustpoint 指定将显示其证书的信任点的名称。信任点名称所允许的最大字符数为 128。 默认值 无默认值或行为。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 是 透明 • 是 单个 • 是 版本 7.0(1) 引入了此命令。 8.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca export czEZMBcGA1UECxMQRnJhbmtsaW4gRGV2VGVzdDEaMBgGA1UEAxMRbXMtcm9vdC1j YS01LTIwMDQwHhcNMDYxMTAyMjIyNjU3WhcNMjQwNTIwMTMzNDUyWjA2MRQwEgYD VQQFEwtKTVgwOTQwSzA0TDEeMBwGCSqGSIb3DQEJAhMPQnJpYW4uY2lzY28uY29t MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCvxxIYKcrb7cJpsiFKwwsQUph5 4M5Y3CDVKEVF+98HrD6rhd0n/d6R8VYSfu76aeJC5j9Bbn3xOCx2aY5K2enf3SBW Y66S3JeZBV88etFmyYJ7rebjUVVQZaFcq79EjoP99IeJ3a89Y7dKvYqq8I3hmYRe uipm1G6wfKHOrpLZnwIDAQABo4I
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca import crypto ca import 要安装从 CA 接收的证书以响应手动注册请求或导入使用 PKCS12 数据的信任点的证书和密钥 对,请在全局配置模式下使用 crypto ca import 命令。 crypto ca import trustpoint certificate [ nointeractive ] crypto ca import trustpoint pkcs12 passphrase [ nointeractive ] 语法说明 certificate 告知 ASA 从信任点表示的 CA 导入证书。 nointeractive (可选)使用 nointeractive 模式导入证书,这会抑制所有提示。此选 项可用在脚本、ASDM 中,或用于其他非交互性需求。 passphrase 指定用于解密 PKCS12 数据的口令。 pkcs12 告知 ASA 使用 PKCS12 格式导入信任点的证
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca import 以下示例将 PKCS12 数据手动导入到信任点 central: ciscoasa (config)# crypto ca import central pkcs12 Enter the base 64 encoded pkcs12.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server crypto ca server 要设置和管理 ASA 上的本地 CA 服务器,请在全局配置模式下使用 crypto ca server 命令。要从 ASA 删除已配置的本地 CA 服务器,请使用此命令的 no 形式。 crypto ca server no crypto ca server 语法说明 此命令没有任何参数或关键字。 默认值 在 ASA 上未启用证书颁发机构服务器。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 8.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server enrollment-retrieval exit help issuer-name keysize lifetime no otp renewal-reminder shutdown smtp subject-name-default Enrollment-retrieval timeout configuration Exit from Certificate Server entry mode Help for crypto ca server configuration commands Issuer name Size of keypair in bits to generate for certificate enrollments Lifetime parameters Negate a command or set its defaults One-Time Password configuration
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server crl issue crypto ca server crl issue 要强制签发证书撤销列表 (CRL),请在特权 EXEC 模式下使用 crypto ca server crl issue 命令。 crypto ca server crl issue 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 示例 路由 透明 单个 情景 系统 CA 服务器配置 • 是 — • 是 — — 全局配置 • 是 — • 是 — — 特权 EXEC • 是 — • 是 — — 版本 8.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server revoke crypto ca server revoke 要将本地证书颁发机构 (CA) 服务器颁发的证书标记为在证书数据库和 CRL 中撤销,请在特权 EXEC 模式下使用 crypto ca server revoke 命令。 crypto ca server revoke cert-serial-no 语法说明 cert-serial-no 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定要撤销的证书的序列号,必须采用十六进制格式。 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 单个 情景 系统 CA 服务器配置 • 是 — • 是 — — 全局配置 • 是 — • 是 — — 特权 EXEC • 是 — • 是 — — 版本 8.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server revoke 命令 说明 show crypto ca server crl 显示本地 CA 的当前 CRL。 show crypto ca server 显示包括在 CA 服务器用户数据库中的用户。 user-db 思科 ASA 系列命令参考,A 至 H 命令 9-19
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server unrevoke crypto ca server unrevoke 要解除撤销本地 CA 服务器颁发的已撤销证书,请在特权 EXEC 模式下使用 crypto ca server unrevoke 命令。 crypto ca server unrevoke cert-serial-no 语法说明 cert-serial-no 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定要解除撤销的证书的序列号,该序列号必须采用十六进制格式。 防火墙模式 安全情景 多个 命令模式 路由 CA 服务器配置 命令历史 使用指南 透明 单个 情景 系统 — • 是 — • 是 — 全局配置 • 是 — • 是 — — 特权 EXEC • 是 — • 是 — — 版本 8.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server unrevoke 命令 crypto ca server revoke 说明 crypto ca server user-db add 将用户添加到 CA 服务器用户数据库。 将本地 CA 服务器颁发的证书标记为在证书数据库和 CRL 中 撤销。 show crypto ca server cert-db 显示本地 CA 服务器证书。 show crypto ca server user-db 显示包括在 CA 服务器用户数据库中的用户。 思科 ASA 系列命令参考,A 至 H 命令 9-21
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server user-db add crypto ca server user-db add 要将新用户插入到 CA 服务器用户数据库,请在特权 EXEC 模式下使用 crypto ca server user-db add 命令。 crypto ca server user-db add user [dn dn] [email e-mail-address] 语法说明 dn dn 为向已添加用户颁发的证书指定 subject-name 可分辨名称。如果 DN 字 符串包含空格,请用双引号将值括起来。您只能使用逗号分隔 DN 属性 (例如,"OU=Service, O=Company, Inc.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server user-db add 包括邮件地址可确保有任何问题时可以联系到用户并在注册时向用户通知所需的一次性密码。 如果没有为用户指定可选 DN,主题名称 DN 采用 username 的形式,并且主题名称默认 DN 设置 为 cn=username、subject-name-default。 示例 以下示例以 user1@example.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server user-db allow crypto ca server user-db allow 要允许某个用户或一组用户在本地 CA 服务器数据库中注册,请在特权 EXEC 模式下使用 crypto ca server user-db allow 命令。此命令还包括生成并显示一次性密码或通过邮件将其发送给用户的 选项。 crypto ca server user-db allow {username | all-unenrolled | all-certholders} [display-otp] [email-otp] [replace-otp] 语法说明 all-certholders 指定将注册权限授予数据库中已颁发证书(不论证书是否有效)的所有 用户。这与授予续订权限类似。 all-unenrolled 指定将注册权限授予数据库中尚未颁发证书的所有用户。 email-otp (可选)将一次性密码通过邮件发送
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server user-db allow 示例 以下示例将注册权限授予数据库中尚未注册的所有用户: ciscoasa(config-ca-server)# crypto ca server user-db allow all-unenrolled ciscoasa(config-ca-server)# 以下示例将注册权限授予名为 user1 的用户: ciscoasa(config-ca-server)# crypto ca server user-db allow user1 ciscoasa(config-ca-server)# 相关命令 命令 crypto ca server 说明 提供对 CA 服务器配置模式命令集的访问,从而允许您配置和管理本 地 CA。 crypto ca server user-db add 将用户添加到 CA 服务器用户数据库。 crypto ca server user-db write
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server user-db email-otp crypto ca server user-db email-otp 要将 OTP 通过邮件发送给本地 CA 服务器数据库中特定的用户或用户子集,请在特权 EXEC 模式 下使用 crypto ca server user-db email-otp 命令。 crypto ca server user-db email-otp {username | all-unenrolled | all-certholders} 语法说明 all-certholders 指定 OTP 通过邮件发送给数据库中已颁发证书(无论该证书是否有效)的 所有用户。 all-unenrolled 指定 OTP 通过邮件发送给数据库中从未颁发证书或者只持有过期或已撤销 证书的所有用户。 username 指定单个用户的 OTP 通过邮件发送给该用户。username 可以是用户名或邮 件地址。 默认值
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server user-db email-otp 相关命令 命令 crypto ca server user-db show-otp 说明 显示 CA 服务器数据库中特定的用户或用户子集的一次性密码。 show crypto ca server cert-db 显示本地 CA 颁发的所有证书。 show crypto ca server user-db 显示包括在 CA 服务器用户数据库中的用户。 思科 ASA 系列命令参考,A 至 H 命令 9-27
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server user-db remove crypto ca server user-db remove 要从本地 CA 服务器用户数据库删除用户,请在特权 EXEC 模式下使用 crypto ca server user-db remove 命令。 crypto ca server user-db remove username 语法说明 username 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 以用户名或邮件地址的形式指定要删除的用户的用户名。 防火墙模式 安全情景 多个 命令模式 路由 CA 服务器配置 命令历史 透明 单个 情景 系统 — • 是 — • 是 — 全局配置 • 是 — • 是 — — 特权 EXEC • 是 — • 是 — — 版本 8.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server user-db show-otp crypto ca server user-db show-otp 要显示本地 CA 服务器数据库中特定的用户或用户子集的 OTP,请在特权 EXEC 模式下使用 crypto ca server user-db show-otp 命令。 crypto ca server user-db show-otp {username | all-certholders | all-unenrolled} 语法说明 all-certholders 显示数据库中已颁发证书(无论该证书当前是否有效)的所有用户的 OTP。 all-unenrolled 显示数据库中从未颁发证书或者只持有过期或已撤销证书的所有用户的 OTP。 username 指定显示单个用户的 OTP。username 可以是用户名或邮件地址。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server user-db show-otp 相关命令 命令 crypto ca server user-db add 说明 crypto ca server user-db allow 允许 CA 服务器数据库中特定的用户或用户子集向本地 CA 注册。 crypto ca server user-db email-otp 通过邮件将一次性密码发送给 CA 服务器数据库中特定的用户或用户 子集。 show crypto ca server cert-db 显示本地 CA 颁发的所有证书。 思科 ASA 系列命令参考,A 至 H 命令 9-30 将用户添加到 CA 服务器用户数据库。
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server user-db write crypto ca server user-db write 要配置一个目录位置存储所有本地 CA 数据库文件,请在特权 EXEC 模式下使用 crypto ca server user-db write 命令。 crypto ca server user-db write 语法说明 此命令没有关键字或参数。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 命令历史 使用指南 示例 透明 单个 情景 系统 CA 服务器配置 • 是 — • 是 — — 全局配置 • 是 — • 是 — — 特权 EXEC • 是 — • 是 — — 版本 8.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca server user-db write 命令 show crypto ca server cert-db 说明 show crypto ca server user-db 显示包括在 CA 服务器用户数据库中的用户。 思科 ASA 系列命令参考,A 至 H 命令 9-32 显示本地 CA 颁发的所有证书。
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca trustpoint crypto ca trustpoint 要进入指定信任点的加密 CA 信任点配置模式,请在全局配置模式下使用 crypto ca trustpoint 命 令。要删除指定的信任点,请使用此命令的 no 形式。 crypto ca trustpoint trustpoint-name no crypto ca trustpoint trustpoint-name [noconfirm] 语法说明 noconfirm 抑制所有交互式提示 ipsec 表示可使用此信任点验证 IPsec 客户端连接。 ssl-client 表示可使用此信任点验证 SSL 客户端连接。 trustpoint-name 标识要管理的信任点的名称。允许的最大名称长度为 128 个字符。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca trustpoint 注意 示例 • crl configure - 进入 CRL 配置模式(请参阅 crl 命令)。 • default enrollment - 将所有注册参数恢复为系统默认值。此命令的调用不会成为活动配置的 一部分。 • email address - 在注册过程中,要求 CA 在证书的主题备用扩展名中包括指定的邮件地址。 • enrollment retry period - 指定 SCEP 注册的重试时间段(以分钟为单位)。 • enrollment retry count - 指定 SCEP 注册允许的最大重试次数。 • enrollment terminal - 指定使用此信任点进行剪切和粘贴注册。 • enrollment self - 指定生成自签证书的注册。 • enrollment url url - 指定 SCEP 注册使用此信任点进行注册并配置注册 URL (u
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca trustpoint 相关命令 命令 说明 clear configure crypto 删除所有信任点。 ca trustpoint crypto ca authenticate 获取此信任点的 CA 证书。 crypto ca certificate 进入 crypto ca certificate map 配置模式。定义基于证书的 ACL。 map crypto ca crl request 基于指定信任点的配置参数请求 CRL。 crypto ca import 安装从 CA 收到的证书以响应手动注册请求。 思科 ASA 系列命令参考,A 至 H 命令 9-35
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca trustpool export crypto ca trustpool export 要导出建立 PKI 信任池的证书,请在特权 EXEC 模式下使用 crypto ca trustpool export 命令。 crypto ca trustpool export filename 语法说明 filename 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 要在其中存储已导出信任池证书的文件。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 配置 命令历史 版本 9.0(1) • 是 透明 • 是 单个 • 是 情景 系统 — — 修改 引入了此命令。 使用指南 此命令将活动信任池的全部内容复制到 PEM 编码格式的指定文件路径。 示例 ciscoasa# crypto ca trustpool export disk0:/exportfile.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca trustpool import crypto ca trustpool import 要导入建立 PKI 信任池的证书,请在全局配置模式下使用 crypto ca trustpool import 命令。 crypto ca trustpool import [clean] url url [noconfirm [signature-required]] crypto ca trustpool import [clean] default [noconfirm] 语法说明 clean 在导入之前删除所有下载的信任池证书。 default 还原 ASA 的默认受信任 CA 列表。 noconfirm 抑制所有交互式提示。 signature-required 指示仅接受经过签署的文件。 url 要导入的信任池文件的位置。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca trustpool import 以下示例展示抑制交互式提示和要求签名时 crypto ca trustpool 导入命令的行为: ciscoasa(config)# crypto ca trustpool import url ? configure mode commands/options: disk0: Import from disk0: file system disk1: Import from disk1: file system flash: Import from flash: file system ftp: Import from ftp: file system http: Import from http: file system https: Import from https: file system smb: Import from smb: file system system: Import fro
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca trustpool policy crypto ca trustpool policy 要进入提供定义信任池策略的命令的子模式,请在全局配置模式下使用 crypto ca trustpool policy 命令。 crypto ca trustpool policy 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 全局配置 命令历史 示例 版本 9.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ca trustpool remove crypto ca trustpool remove 要从 PKI 信任池删除一个指定的证书,请在特权 EXEC 模式下使用 crypto ca trustpool remove 命令。 crypto ca trustpool remove cert fingerprint [noconfirm] 语法说明 cert fingerprint 十六进制数据。 noconfirm 指定此关键字以抑制所有交互式提示。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 配置 命令历史 版本 9.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map match address crypto dynamic-map match address 要匹配动态加密映射条目的访问列表地址,请在全局配置模式下使用 crypto dynamic-map match address 命令。要禁用地址匹配,请使用此命令的 no 形式。 crypto dynamic-map dynamic-map-name dynamic-seq-num match address acl_name no crypto dynamic-map dynamic-map-name dynamic-seq-num match address acl_name 语法说明 acl-name 标识要匹配动态加密映射条目的访问列表。 dynamic-map-name 指定动态加密映射集的名称。 dynamic-seq-num 指定动态加密映射条目对应的序列号。 默认值 没有默认行为或值。 命令模
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set df-bit crypto dynamic-map set df-bit 要设置每个签名算法 (SA) 的不分段 (DF) 策略,请在全局配置模式下使用 crypto dynamic-map set df-bit 命令。要禁用 DF 策略,请使用此命令的 no 形式。 crypto dynamic-map name priority set df-bit [clear-df | copy-df | set-df] no crypto dynamic-map name priority set df-bit [clear-df | copy-df | set-df] 语法说明 name 指定加密动态映射集的名称。 priority 指定分配给动态加密映射条目的优先级。 默认值 默认设置为关闭。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set nat-t-disable crypto dynamic-map set nat-t-disable 要根据此加密映射条目对连接禁用 NAT-T,请在全局配置模式下使用 crypto dynamic-map set nat-t-disable 命令。要对此加密映射条目启用 NAT-T,请使用此命令的 no 形式。 crypto dynamic-map dynamic-map-name dynamic-seq-num set nat-t-disable no crypto dynamic-map dynamic-map-name dynamic-seq-num set nat-t-disable 语法说明 dynamic-map-name 指定加密动态映射集的名称。 dynamic-seq-num 指定分配给动态加密映射条目的编号。 默认值 默认设置为关闭。 命令模式 下表展示可输入此命令的模式:
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set peer crypto dynamic-map set peer 请参阅 crypto map set peer 命令了解有关此命令的更多信息。 crypto dynamic-map dynamic-map-name dynamic-seq-num set peer ip_address | hostname no crypto dynamic-map dynamic-map-name dynamic-seq-num set peer ip_address | hostname 语法说明 dynamic-map-name 指定动态加密映射集的名称。 dynamic-seq-num 指定动态加密映射条目对应的序列号。 hostname 通过主机名识别动态加密映射条目中的对等设备,如 name 命令所定义。 ip_address 通过 IP 地址识别动态加密映射条目中的对等设备,如 name 命令
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set pfs crypto dynamic-map set pfs 要指定动态加密映射集,请在全局配置模式下使用 crypto map dynamic-map set pfs 命令。要删 除指定的动态映射加密映射集,请使用此命令的 no 形式。 请参阅 crypto map set pfs 命令了解有关此命令的更多信息。 crypto dynamic-map dynamic-map-name dynamic-seq-num set pfs [group1 | group2 | group5] no crypto dynamic-map dynamic-map-name dynamic-seq-num set pfs [group1 | group2 | group5] 语法说明 dynamic-map-name 指定动态加密映射集的名称。 dynamic-seq-num 指定动态加密映射条目对应的序列号。
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set pfs 示例 以下示例指定在为加密动态映射 mymap 10 协商新安全关联时应使用 PFS。指定的组是组 2: ciscoasa(config)# crypto dynamic-map mymap 10 set pfs group2 ciscoasa(config)# 相关命令 命令 clear configure crypto dynamic-map 说明 show running-config crypto dynamic-map 显示所有动态加密映射的所有配置。 思科 ASA 系列命令参考,A 至 H 命令 9-46 清除所有动态加密映射的所有配置。
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set reverse route crypto dynamic-map set reverse route 请参阅 crypto map set reverse-route 命令了解有关此命令的更多信息。 crypto dynamic-map dynamic-map-name dynamic-seq-num set reverse route no crypto dynamic-map dynamic-map-name dynamic-seq-num set reverse route 语法说明 dynamic-map-name 指定加密映射集的名称。 dynamic-seq-num 指定分配给加密映射条目的编号。 默认值 此命令的默认值是 off。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 示例 • 是 透明 — 版本
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set ikev1 transform-set crypto dynamic-map set ikev1 transform-set 要指定在动态加密映射条目中使用的 IKEv1 转换集,请在全局配置模式下使用 crypto dynamic-map set ikev1 transform-set 命令。 crypto dynamic-map dynamic-map-name dynamic-seq-num set ikev1 transform-set transform-set-name1 [… transform-set-name11] 要从动态加密映射条目删除转换集,请指定此命令的 no 形式: no crypto dynamic-map dynamic-map-name dynamic-seq-num set ikev1 transform-set transform-set-name1 [… transfor
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set ikev1 transform-set • 具有动态分配的专用 IP 地址的对等设备。 请求远程访问隧道的对等设备通常具有头端分配的专用 IP 地址。通常情况下,LAN-to-LAN 隧道有一组预先确定的专用网络,用于配置静态映射,进而用于建立 IPsec SA。 作为配置静态加密映射的管理员,您可能不知道动态分配的 IP 地址(通过 DHCP 或其他方法), 而且您可能不知道其他客户端的专用 IP 地址(无论它们如何分配)。VPN 客户端通常没有静态 IP 地址;这些客户端需要动态加密映射来支持 IPsec 协商。例如,头端在 IKE 协商期间向思科 VPN 客户端分配 IP 地址,该客户端则用分配的 IP 地址协商 IPsec SA。 动态加密映射可以简化 IPsec 配置,我们建议将其用于并不总是预先确定对等设备的网络。使用 思科 VPN 客户端(如移动用户)的动态加密映射和获取动态分配的 IP 地址的
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set ikev2 ipsec-proposal crypto dynamic-map set ikev2 ipsec-proposal 要指定在动态加密映射条目中使用的 IKEv2 的 IPsec 建议,请在全局配置模式下使用 crypto dynamic-map set ikev2 ipsec-proposal 命令。要从动态加密映射条目删除转换集的名称,请使用 此命令的 no 形式。 crypto dynamic-map dynamic-map-name set ipsec-proposal transform-set-name1 [… transform-set-name11] no crypto dynamic-map dynamic-map-name set ipsec-proposal transform-set-name1 [… transform-set-name11] 语法说明 dynamic-
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set ikev2 ipsec-proposal crypto dynamic-map set ikev2 ipsec-proposal 要指定在动态加密映射条目中使用的 IKEv2 的 IPsec 建议,请在全局配置模式下使用 crypto dynamic-map set ikev2 ipsec-proposal 命令。要从动态加密映射条目删除转换集的名称,请使用 此命令的 no 形式。 crypto dynamic-map dynamic-map-name set ipsec-proposal transform-set-name1 [… transform-set-name11] no crypto dynamic-map dynamic-map-name set ipsec-proposal transform-set-name1 [… transform-set-name11] 语法说明 dynamic-m
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set pfs crypto dynamic-map set pfs 要设置 IPsec 在为此动态加密映射条目要求新的安全关联时要求 PFS 或在接收新安全关联请求时 要求 PFS,请在全局配置模式下使用 crypto dynamic-map set pfs 命令。要指定 IPsec 不应要求 PFS,请使用此命令的 no 形式。 crypto dynamic-map map-name map-index set pfs [group1 | group2 | group5 | group14 | group19 | group20 | group21 | group24] no crypto dynamic-map map-name map-index set pfs[group1 | group2 | group5 | group14 | group19 | group20 | group21 | group24]
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set tfc-packets crypto dynamic-map set tfc-packets 要对 IPsec SA 启用虚拟通信业务流保密性 (TFC) 数据包,请在全局配置模式下使用 crypto dynamic-map set tfc-packets 命令。要在 IPsec SA 上禁用 TFC 数据包,请使用此命令的 no 形式。 crypto dynamic-map name priority set tfc-packets [burst length | auto] [payload-size bytes | auto] [timeout second | auto] no crypto dynamic-map name priority set tfc-packets [burst length | auto] [payload-size bytes | auto] [timeout second
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto dynamic-map set validate-icmp-errors crypto dynamic-map set validate-icmp-errors 要指定是否验证通过 IPsec 隧道接收的传入 ICMP 错误消息(它们预定前往专用网络的内部主 机),请在全局配置模式下使用 crypto dynamic-map set validate-icmp-errors 命令。要取消对来 自加密动态映射条目的传入 ICMP 错误消息的验证,请使用此命令的 no 形式。 crypto dynamic-map name priority set validate-icmp-errors no crypto dynamic-map name priority set validate-icmp-errors 语法说明 name 指定加密动态映射集的名称。 priority 指定分配给动态加密映射条目的优先级。 默认值 没有默认行为
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto engine accelerator-bias crypto engine accelerator-bias 要更改对称多处理技术 (SMP) 平台上加密核心的分配,请在全局配置模式下使用 crypto engine accelerator-bias 命令。要从配置中删除命令,请使用此命令的 no 形式。 crypto engine accelerator-bias [balanced | ipsec | ssl] no crypto engine accelerator-bias [balanced | ipsec | ssl] 语法说明 命令模式 balanced 均匀分配加密硬件资源(Admin/SSL 和 IPsec 核心) ipsec -client 分配加密硬件资源以支持 IPsec 核心(包括 SRTP 加密语音流量)。 ssl-client 分配加密硬件资源以支持 Admin/SSL 核心。 下表展示可输入此命
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto engine large-mod-accel crypto engine large-mod-accel 要将 ASA 5510、5520、5540 或 5550 上的大模数运算从软件切换到硬件,请在全局配置模式下使 用 crypto engine large-mod-accel 命令。要从配置中删除命令,请使用此命令的 no 形式。 crypto engine large-mod-accel no crypto engine large-mod-accel 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下,ASA 在软件中执行大模数运算。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 是 透明 • 是 版本 8.3(2) 引入了此命令。 9.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto engine large-mod-accel 示例 以下示例将大模数运算从软件切换到硬件: ciscoasa(config)# crypto engine large-mod-accel 以下示例从配置删除之前的命令并将大模数运算切换回软件: ciscoasa(config)# no crypto engine large-mod-accel 相关命令 命令 show running-config crypto engine 说明 显示大模数运算是否切换到硬件。 clear configure crypto 将大模数运算切换回软件。此命令等同于 no crypto engine engine large-mod-accel 命令。 思科 ASA 系列命令参考,A 至 H 命令 9-57
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev1 enable crypto ikev1 enable 要在 IPsec 对等设备与 ASA 通信的接口上启用 ISAKMP IKEv1 协商,请在全局配置模式下使用 crypto ikev1 enable 命令。要在接口上禁用 ISAKMP IKEv1,请使用此命令的 no 形式。 crypto ikev1 enable interface-name no crypto ikev1 enable interface-name 语法说明 interface-name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定要在其上启用或禁用 ISAKMP IKEv1 协商的接口的名称。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 示例 • 是 透明 — 是 • 是 系统 — 修改 引入了此 isakmp enable 命令。 7.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev1 ipsec-over-tcp crypto ikev1 ipsec-over-tcp 要启用 IPsec over TCP,请在全局配置模式下使用 crypto ikev1 ipsec-over-tcp 命令。要禁用 IPsec over TCP,请使用此命令的 no 形式。 crypto ikev1 ipsec-over-tcp [port port1...port10] no crypto ikev1 ipsec-over-tcp [port port1...port10] 语法说明 port port1...
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev1 limit max-in-negotiation-sa crypto ikev1 limit max-in-negotiation-sa 要限制 ASA 上的 IKEv2 协商中的(开放)SA 数量,请在全局配置模式下使用 crypto ikev1 limit max-in-negotiation-sa 命令。要禁用对开放 SA 数量的限制,请使用此命令的 no 形式: crypto ikev1 limit max-in-negotiation-sa threshold percentage no crypto ikev1 limit max-in-negotiation-sa threshold percentage 语法说明 threshold percentage 默认值 默认设置为禁用。ASA 不限制开放 SA 的数量。 使用指南 crypto ikev1 limit-max-in-negotiation-sa
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev1 limit max-in-negotiation-sa 命令 说明 clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 9-61
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev1 policy crypto ikev1 policy 要创建 IPsec 连接的 IKEv1 安全关联 (SA),请在全局配置模式下使用 crypto ikev2 policy 命令。 要删除该策略,请使用此命令的 no 形式。 crypto ikev1 policy priority no crypto ikev1 policy priority 语法说明 priority 默认值 没有默认行为和默认值。 使用指南 该命令进入 IKEv1 策略配置模式,在该模式下可指定其他 IKEv1 SA 设置。IKEv1 SA 是在第 1 阶 段中使用的密钥,用于启用 IKEv1 对等设备以在第 2 阶段中进行安全通信。在输入 crypto ikev1 policy 命令后,您可以使用其他命令设置 SA 加密算法、DH 组、完整性算法、生命 期和散列算法。 命令模式 下表展示可输入此命令的模式: 策略包优先级。范围是 1-
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev1 policy 命令 说明 clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 9-63
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev2 enable crypto ikev2 enable 要在 IPsec 对等设备与 ASA 通信的接口上启用 ISAKMP IKEv2 协商,请在全局配置模式下使用 crypto ikev2 enable 命令。要在接口上禁用 ISAKMP IKEv2,请使用此命令的 no 形式。 crypto ikev2 enable interface-name [client-services [port port]] no crypto ikev2 enable interface-name [client-services [port port]] 语法说明 interface-name 指定要在其上启用或禁用 ISAKMP IKEv2 协商的接口的名称。 client-services 为接口上的 IKEv2 连接启用客户端服务。客户端服务包括增强的 AnyConnect 安全移动客户端功能,其中包括软件更新、客户端配置文
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev2 enable 相关命令 命令 说明 clear configure crypto 清除所有 ISAKMP 配置。 isakmp clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 9-65
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev2 cookie-challenge crypto ikev2 cookie-challenge 要使 ASA 能够将 Cookie 质询发送到对等设备以响应 SA 启动数据包,请在全局配置模式下使用 crypto ikev2 cookie-challenge 命令。要禁用 Cookie 质询,请使用此命令的 no 形式: crypto ikev2 cookie-challenge threshold percentage | always | never no crypto ikev2 cookie-challenge threshold percentage | always | never 语法说明 threshold percentage 对于 ASA 允许的 SA 总数相对于协商中总数的百分比,该百分比会触 发所有将来的 SA 协商的 Cookie 质询。范围为 0 到 99%。默认为 50%。 always 始终
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev2 cookie-challenge 相关命令 命令 crypto ikev2 limit max-sa crypto ikev2 limit max-in-negotiation-sa 说明 限制 ASA 上的 IKEv2 连接数。 限制 ASA 上 IKEv2 协商中 SA 的数量。 clear configure crypto 清除所有 ISAKMP 配置。 isakmp clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 9-67
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev2 limit max-in-negotiation-sa crypto ikev2 limit max-in-negotiation-sa 要限制 ASA 上 IKEv2 协商中(开放)SA 的数量,请在全局配置模式下使用 crypto ikev2 limit max in-negotiation-sa 命令。要禁用对开放 SA 数量的限制,请使用此命令的 no 形式: crypto ikev2 limit max in-negotiation-sa threshold percentage no crypto ikev2 limit max in-negotiation-sa threshold percentage 语法说明 threshold percentage 默认值 默认设置为禁用。ASA 不限制开放 SA 的数量。 使用指南 crypto ikev2 limit-max-in-negotiation-sa
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev2 limit max-in-negotiation-sa 相关命令 命令 crypto ikev2 limit max-sa crypto ikev2 cookie-challenge 说明 限制 ASA 上的 IKEv2 连接数。 启用 ASA 将 Cookie 质询到对等设备以响应 SA 启动的数据包。 clear configure crypto 清除所有 ISAKMP 配置。 isakmp clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 9-69
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev2 limit max-sa crypto ikev2 limit max-sa 要限制 ASA 上的 IKEv2 连接数,请在全局配置模式下使用 crypto ikev2 limit max-sa 命令。要禁 用连接数的限制,请使用此命令的 no 形式: crypto ikev2 limit max-sa number no crypto ikev2 limit max-sa number 语法说明 number 默认值 默认设置为禁用。ASA 不限制 IKEv2 连接数。允许的最大 IKEv2 连接数等于许可证指定的最大 连接数。 使用指南 crypto ikev2 limit max-sa 命令限制 ASA 上的最大 SA 数量。 ASA 上允许的 IKEv2 连接数。在达到限制后,其他连接均会遭到拒 绝。范围是 1 到 10000。 如果与 crypto ikev2 cookie-challenge 命令一起使
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev2 limit max-sa 命令 说明 clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 9-71
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev2 policy crypto ikev2 policy 要创建 AnyConnect IPsec 连接的 IKEv2 安全关联 (SA),请在全局配置模式下使用 crypto ikev2 policy 命令。要删除该策略,请使用此命令的 no 形式。 crypto ikev2 policy priority policy_index no crypto ikev2 policy priority policy_index 语法说明 policy index 访问 IKEv2 策略配置模式。 priority 策略包优先级。范围是 1-65535,1 代表最高优先级,65535 代表最低 优先级。组 [1] [2] [5] 成为组 [1] [2] [5] [14] [24] 以支持 Diffie-Hellman 组 14 和 24 作为 IKEv2 密钥派生的一部分。 默认值 没有默认行为或值。 使用指南 IKEv2
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev2 policy 相关命令 命令 crypto ikev2 cookie-challenge 说明 启用 ASA 将 Cookie 质询到对等设备以响应 SA 启动的数据包。 clear configure crypto 清除所有 ISAKMP 配置。 isakmp clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 9-73
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev2 redirect crypto ikev2 redirect 要指定从主控设备到集群成员发生负载平衡重新定向的 IKEv2 阶段,请在全局配置模式下使用 crypto ikev2 redirect 命令。要删除命令,请使用此命令的 no 形式。 crypto ikev2 redirect {during-init | during-auth} no crypto ikev2 redirect {during-init | during-auth} 语法说明 during-auth 在 IKEv2 身份验证交换过程中,启用负载平衡重新定向到集群成员。 during-init 在 IKEv2 SA 启动的交换期间,启用负载平衡重新定向到集群成员。 默认值 默认为负载平衡重新定向到集群成员,此行为在 IKEv2 身份验证交换过程中发生。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ikev2 remote-access trust-point crypto ikev2 remote-access trust-point 要指定作为 AnyConnect IKEv2 连接的 ASA 的身份证书信任点引用和使用的全局信任点,请在隧 道组配置模式下使用 crypto ikev2 remote-access trust-point 命令。要从配置中删除命令,请使用 该此命令的 no 形式: crypto ikev2 remote-access trust-point name [line number] no crypto ikev2 remote-access trust-point name [line number] 语法说明 name 信任点的名称,最多 65 个字符。 line number 指定要在其中插入信任点的行编号。通常,此选项用于在顶部插入信 任点,而不删除并重新添加另一行。如果未指定行,ASA 将
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec df-bit crypto ipsec df-bit 要配置 IPsec 数据包的 DF 位策略,请在全局配置模式下使用 crypto ipsec df-bit 命令。 crypto ipsec df-bit [clear-df | copy-df | set-df] interface 语法说明 clear-df (可选)指定外部 IP 报头将清除 DF 位,并且 ASA 可能将数据包分段以 添加 IPsec 封装。 copy-df (可选)指定 ASA 在原始数据包中查找外部 DF 位设置。 set-df (可选)指定外部 IP 报头将设置 DF 位;但如果原始数据包已清除 DF 位,ASA 可能将数据包分段。 interface 指定接口名称。 默认值 此命令默认禁用。如果启用此命令但没有指定的设置,则 ASA 将 copy-df 设置用作默认设置。 命令模式 下表展示可输入此命令的模式: 防火墙
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec df-bit 相关命令 命令 crypto ipsec fragmentation 说明 show crypto ipsec df-bit 显示指定接口的 DF 位策略。 show crypto ipsec fragmentation 显示指定接口的分段策略。 配置 IPsec 数据包的分段策略。 思科 ASA 系列命令参考,A 至 H 命令 9-77
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec fragmentation crypto ipsec fragmentation 要配置 IPsec 数据包的分段策略,请在全局配置模式下使用 crypto ipsec fragmentation 命令。 crypto ipsec fragmentation {after-encryption | before-encryption} interface 语法说明 after-encryption 指定 ASA 将加密后接近最大 MTU 大小的 IPsec 数据包分段(禁用预分段)。 before-encryption 指定 ASA 将加密前接近最大 MTU 大小的 IPsec 数据包分段(启用预分段)。 interface 指定接口名称。 默认值 默认情况下启用预加密。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 是
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec fragmentation 以下示例在全局配置模式下输入,禁止对接口上 IPsec 数据包进行预分段: ciscoasa(config)# crypto ipsec fragmentation after-encryption inside ciscoasa(config)# 相关命令 命令 crypto ipsec df-bit 说明 配置 IPsec 数据包的 DF 位策略。 show crypto ipsec fragmentation 显示 IPsec 数据包的分段策略。 show crypto ipsec df-bit 显示指定接口的 DF 位策略。 思科 ASA 系列命令参考,A 至 H 命令 9-79
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec security-association pmtu-aging crypto ipsec security-association pmtu-aging 要启用路径最大传输单位 (PMTU) 时效,请在全局配置模式下使用 crypto ipsec security-association pmtu-aging 命令。要禁用 PMTU 老化,请使用该命令的 no 形式: crypto ipsec security-association pmtu-aging reset-interval [no] crypto ipsec security-association pmtu-aging reset-interval 语法说明 reset-interval 默认值 默认情况下启用此功能。 命令模式 下表展示可输入此命令的模式: 设置 PMTU 值重置的间隔。 防火墙模式 安全情景 多个 命令模式 路由 全局配置
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec ikev2 ipsec-proposal crypto ipsec ikev2 ipsec-proposal 要创建 IKEv2 建议,请在全局配置模式下使用 crypto ipsec ikev2 ipsec-proposal 命令。要删除建 议,请使用此命令的 no 形式。 crypto ipsec ikev2 ipsec-proposal proposal tag proposal_name no crypto ipsec ikev2 ipsec-proposal proposal tag proposal_name 语法说明 proposal name 访问 IPsec ESP 建议子模式。 proposal tag IKEv2 IPsec 建议的名称(从 1 到 64 个字符的字符串)。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec ikev2 sa-strength-enforcement crypto ipsec ikev2 sa-strength-enforcement 确保 IKEv2 加密密码的强度高于其子 IPsec SA 的加密密码强度。要禁用此功能,请使用此命令的 no 形式。 crypto ipsec ikev2 sa-strength-enforcement no crypto ipsec ikev2 sa-strength-enforcement 默认值 默认情况下启用实施。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 9.
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec security-association lifetime crypto ipsec security-association lifetime 要配置全局生命期值,请在全局配置模式下使用 crypto ipsec security-association lifetime 命令。 要将全局生命期值重置为默认值,请使用此命令的 no 形式。 crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes | unlimited} no crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes | unlimited} 语法说明 kilobytes 指定使用特定安全关联的对等设备之间在该安全关联到期前可通过的流 量(以千字节为
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec security-association lifetime 要更改全局定时生命期,请使用 crypto ipsec security-association lifetime seconds 命令。定时生 命期导致安全关联在经过指定的秒数后超时。 要更改全局流量生命期,请使用 crypto ipsec security-association lifetime kilobytes 命令。使用流 量生命期时,在安全关联密钥保护指定量的流量(以千字节为单位)后,安全关联会超时。 较短的生命期增加了成功恢复密钥攻击的难度,因为攻击者在同一密钥下对较少的数据加密。然 而,较短的生命期需要更多的 CPU 处理时间来建立新的安全关联。 安全关联(和相应的密钥)在经过一定秒数后或一定量的流量(以千字节为单位)后过期,以两 者中较早发生者为准。 示例 以下示例指定安全关联的全局定时生命期: ciscoasa(config)# crypto i
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec security-association replay crypto ipsec security-association replay 要配置 IPsec 反重播窗口大小,请在全局配置模式下使用 crypto ipsec security-association replay 命令。要将窗口大小重置为默认值,请使用此命令的 no 形式。 crypto ipsec security-association replay {window-size n | disable} no crypto ipsec security-association replay {window-size n | disable} 语法说明 n 设置窗口大小。值可以是 64、128、256、512 或者 1024。默认值为 64。 disable 禁用反重播检查。 默认值 默认窗口大小是 64。 命令模式 下表展示可输入此命令的模式:
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec security-association replay 相关命令 命令 clear configure crypto map 说明 清除所有 IPsec 配置(即全局生命期和转换集)。 shape 启用流量整形。 priority 启用优先级队列。 show running-config crypto map 显示所有加密映射的所有配置。 思科 ASA 系列命令参考,A 至 H 命令 9-86
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec ikev1 transform-set crypto ipsec ikev1 transform-set 要创建或删除 IKEv1 转换集,请在全局配置模式下使用 crypto ipsec ikev1 transform-set 命令。 要删除转换集,请使用此命令的 no 形式。 crypto ipsec ikev1 transform-set transform-set-name encryption [authentication] no crypto ipsec ikev1 transform-set transform-set-name encryption [authentication] 语法说明 authentication (可选)指定以下身份验证方法之一以确保 IPsec 数据流的完整性: esp-md5-hmac 使用 MD5/HMAC-128 作为散列算法。 esp-sha-hmac 使用 SHA/HMA
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec ikev1 transform-set 使用指南 此命令标识转换集要使用的 IPsec 加密和散列算法。 配置转换集后,将其分配到加密映射。您可以将最多六个转换集分配到一个加密映射。当对等设 备尝试建立 IPsec 会话时,ASA 使用每个加密映射的访问列表评估对等设备,直到找到匹配项。 然后,ASA 使用转换集中分配到加密映射的设置评估所有协议、算法和对等设备协商的其他设 置,直到找到匹配项。如果 ASA 将对等设备的 IPsec 协商与转换集中的设置匹配,它会将这些设 置作为其 IPsec 安全关联的一部分应用于受保护的流量。如果 ASA 无法将对等设备与访问列表匹 配且找不到对等设备与分配到加密映射的转换集中设置的确切匹配,则它会终止 IPsec 会话。 您可以先指定加密或身份验证。您可以指定加密而不指定身份验证。如果您在正创建的转换集中 指定身份验证,必须为其指定加密。如果您在正修改的转换集中仅指定身份验证,则转换集保留
第9章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令 crypto ipsec ikev1 transform-set mode transport crypto ipsec ikev1 transform-set mode transport 要为 IPsec IKEv1 连接指定传输模式,请在全局配置模式下使用 crypto ipsec ikev1 transform-set mode transport 命令。要删除命令,请使用此命令的 no 形式。 crypto ipsec ikev1 transform-set transform-set-name mode {transport} no crypto ipsec ikev1 transform-set transform-set-name mode {transport} 语法说明 transform-set-name 默认值 传输模式的默认设置为禁用。IPsec 使用网络隧道模式。 命令模式 下表展示可输入此命令的模式: 正修改的转换
第9章 crypto ipsec ikev1 transform-set mode transport 思科 ASA 系列命令参考,A 至 H 命令 9-90 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 思科 ASA 系列命令参考,A 至 H 命令 10-1
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp disconnect-notify crypto isakmp disconnect-notify 要启用面向对等设备的断开连接通知,请在全局配置模式下使用 crypto isakmp disconnect-notify 命令。要禁用断开连接通知,请使用此命令的 no 形式。 crypto isakmp disconnect-notify no crypto isakmp disconnect-notify 语法说明 此命令没有任何参数或关键字。 默认值 默认值为禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.0(1) 是 — 单个 • 是 情景 • 是 系统 — 修改 引入了 isakmp disconnect-notify 命令。 7.2.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp disconnect-notify 示例 • IKE_DELETE_SERVER_IN_FLAMES = 6 服务器存在一些严重问题。默认文本是 “Peer is having heat problems”(对等设备有问题)。 • IKE_DELETE_MAX_CONNECT_TIME = 7 活动隧道允许的最长时间已到。此原因与 EXPIRED_LIFETIME 不同,它表示 IKE 协商 / 控 制的整个隧道将会断开,而不只是这一个 SA。默认文本是 “Maximum Configured Connection Time Exceeded”(已超过配置的最长连接时间)。 • IKE_DELETE_IDLE_TIMEOUT = 8 隧道的空闲时间已达到允许的最长时间;因此 IKE 协商的整个隧道已断开,而不只是这一个 SA。默认文本是 “Maximum Idle Time for Session Exceeded”(已超过会话的最长空闲
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp identity crypto isakmp identity 要设置将发送到对等设备的第 1 阶段 ID,请在全局配置模式下使用 crypto isakmp identity 命令。 要恢复默认设置,请使用此命令的 no 形式。 crypto isakmp identity {address | hostname | key-id key-id-string | auto} no crypto isakmp identity {address | hostname | key-id key-id-string | auto} 语法说明 address 使用交换 ISAKMP 身份信息的主机的 IP 地址。 auto 按连接类型确定 ISAKMP 协商;用于预共享密钥的 IP 地址或用于证书 身份验证的证书 DN。 hostname 使用交换 ISAKMP 身份信息的主机的完全限定域名(默认)。此名称 包含主机名和域名。 key-i
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp identity 相关命令 命令 说明 clear configure crypto 清除所有 ISAKMP 配置。 isakmp clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 10-5
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp nat-traversal crypto isakmp nat-traversal 要全局启用 NAT 穿越,请确认已在全局配置模式下启用 ISAKMP(可使用 crypto isakmp enable 命令启用)。要禁用 NAT 穿越,请使用此命令的 no 形式。 crypto isakmp nat-traversal natkeepalive no crypto isakmp nat-traversal natkeepalive 语法说明 natkeepalive 默认值 默认启用 NAT 穿越。 命令模式 下表展示可输入此命令的模式: 设置 NAT 保持连接的间隔时间:10-3600 秒。默认值为 20 秒。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 是 透明 — 单个 • 是 情景 • 是 系统 — 版本 7.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp nat-traversal 相关命令 命令 说明 clear configure crypto 清除所有 ISAKMP 配置。 isakmp clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 10-7
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp policy authentication crypto isakmp policy authentication 要在 IKE 策略中指定身份验证方法,请在全局配置模式下使用 crypto isakmp policy authentication 命令。要删除 ISAKMP 身份验证方法,请使用相关的 clear configure 命令。 crypto isakmp policy priority authentication {crack | pre-share | rsa-sig} 语法说明 crack 指定 IKE CRACK 作为身份验证方法。 pre-share 指定预共享密钥为身份验证方法。 priority 唯一标识 IKE 策略并为该策略分配优先级。请使用一个介于 1 到 65,534 之 间的整数,1 表示最高优先级,65534 表示最低优先级。 rsa-sig 指定 RSA 签名为身份验证方法。 RSA 签
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp policy authentication 相关命令 命令 说明 clear configure crypto 清除所有 ISAKMP 配置。 isakmp clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 10-9
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp policy encryption crypto isakmp policy encryption 要指定 IKE 策略中使用的加密算法,请在全局配置模式下使用 crypto isakmp policy encryption 命令。要将加密算法重置为默认值 des,请使用此命令的 no 形式。 crypto isakmp policy priority encryption {aes | aes-192 | aes-256 | des | 3des} no crypto isakmp policy priority encryption {aes | aes-192 | aes-256 | des | 3des} 语法说明 3des 指定在 IKE 策略中使用三重 DES 加密算法。 aes 指定将在 IKE 策略中使用的加密算法为带 128 位密钥的 AES。 aes-192 指定将在 IKE 策略中使用的加密算法为带 192 位密
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp policy encryption 相关命令 命令 说明 clear configure crypto 清除所有 ISAKMP 配置。 isakmp clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 10-11
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp policy group crypto isakmp policy group 要为 IKE 策略指定 Diffie-Hellman 组,请在全局配置模式下使用 crypto isakmp policy group 命 令。要将 Diffie-Hellman 组标识符重置为默认值,请使用此命令的 no 形式。 crypto isakmp policy priority group {1 | 2 | 5} no crypto isakmp policy priority group 语法说明 group 1 指定在 IKE 策略中使用 768 位 Diffie-Hellman 组。此值为默认值。 group 2 指定在 IKE 策略中使用 1024 位 Diffie-Hellman 组 2。 group 5 指定在 IKE 策略中使用 1536 位 Diffie-Hellman 组 5。 priority 唯一标识 IIKE 策略并
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp policy group 示例 以下示例在全局配置模式下输入,它展示如何使用 crypto isakmp policy group 命令。本示例设置 组 2(1024 位 Diffie Hellman)以用于优先级编号为 40 的 IKE 策略。 ciscoasa(config)# crypto isakmp policy 40 group 2 相关命令 命令 说明 clear configure crypto 清除所有 ISAKMP 配置。 isakmp clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 10-13
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp policy hash crypto isakmp policy hash 要为 IKE 策略指定哈希算法,请在全局配置模式下使用 crypto isakmp policy hash 命令。要将哈 希算法重置为默认值 SHA-1,请使用此命令的 no 形式。 crypto isakmp policy priority hash {md5 | sha} no crypto isakmp policy priority hash 语法说明 md5 指定 MD5(HMAC 变体)作为 IKE 策略的哈希算法。 priority 唯一标识优先级并将其分配到策略。请使用一个介于 1 到 65,534 之间的整 数,1 表示最高优先级,65534 表示最低优先级。 sha 指定 SHA-1(HMAC 变体)作为 IKE 策略的哈希算法。 默认值 默认哈希算法是 SHA-1(HMAC 变体)。 命令模式 下表展示可输入此命令的模式: 防火
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp policy hash 相关命令 命令 说明 clear configure crypto 清除所有 ISAKMP 配置。 isakmp clear configure crypto 清除所有 ISAKMP 策略配置。 isakmp policy clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config 显示所有活动的配置。 crypto isakmp 思科 ASA 系列命令参考,A 至 H 命令 10-15
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp policy lifetime crypto isakmp policy lifetime 要指定 IKE 安全关联到期之前的生命期,请在全局配置模式下使用 crypto isakmp policy lifetime 命令。要将安全关联生命期重置为默认值 86,400 秒(一天),请使用此命令的 no 形式。 crypto isakmp policy priority lifetime seconds no crypto isakmp policy priority lifetime 语法说明 priority 唯一标识 IKE 策略并为该策略分配优先级。请使用一个介于 1 到 65,534 之 间的整数,1 表示最高优先级,65534 表示最低优先级。 seconds 指定每个安全关联在到期之前应存在多少秒。要提出有限生命期,请使用介 于 120 到 2147483647 之间的整数秒。要提出无限生命期,请使用 0 秒。 默认值 默
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp policy lifetime 以下示例在全局配置模式下输入,将 IKE 安全关联设置为无限生命期: ciscoasa(config)# crypto isakmp policy 40 lifetime 0 相关命令 clear configure crypto isakmp 清除所有 ISAKMP 配置。 clear configure crypto isakmp policy 清除所有 ISAKMP 策略配置。 clear crypto isakmp sa 清除 IKE 运行时 SA 数据库。 show running-config crypto isakmp 显示所有活动的配置。 思科 ASA 系列命令参考,A 至 H 命令 10-17
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto isakmp reload-wait crypto isakmp reload-wait 要允许在重新启动 ASA 之前等待所有活动会话自行终止,请在全局配置模式下使用 crypto isakmp reload-wait 命令。要禁止等待活动会话终止并继续重新启动 ASA,请使用此命令的 no 形式。 crypto isakmp reload-wait no crypto isakmp reload-wait 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 示例 • 是 透明 — 是 • 是 系统 — 修改 引入了 isakmp reload-wait 命令。 7.2.(1) crypto isakmp reload-wait 命令取代了 isakmp reload-wait 命令。 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto key generate rsa crypto key generate rsa 要生成身份证书的 RSA 密钥对,请在全局配置模式下使用 crypto key generate rsa 命令。 crypto key generate rsa [usage-keys | general-keys] [label key-pair-label] [modulus size] [noconfirm] dsa [label name | elliptic-curve [256 | 384 | 521] 语法说明 dsa [label name] 生成密钥对时使用 Suite B EDCSA 算法。 elliptic-curve [256 | 384 | 521] 生成密钥对时使用 Suite B EDCSA 算法。 general-keys 生成一对通用密钥。这是默认密钥对类型。 label key-pair-label 指定要与密钥对关联的名称。此密
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto key generate rsa 注 注意事项 示例 仅 ASA 5580、5585 或更新平台才支持 4096 位 RSA 密钥。 许多使用其 RSA 密钥对超过 1024 位的身份证书的 SSL 连接,可能导致 ASA 耗用过多 CPU,从 而拒绝无客户端登录。 以下示例在全局配置模式下输入,生成带标签 mypubkey 的 RSA 密钥对: ciscoasa(config)# crypto key generate rsa label mypubkey INFO: The name for the keys will be: mypubkey Keypair generation process ciscoasa(config)# 以下示例在全局配置模式下输入,它会无意中尝试生成带标签 mypubkey 的重复 RSA 密钥对: ciscoasa(config)# crypto key generate rsa label mypubkey W
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto key zeroize crypto key zeroize 要删除指定类型(rsa 或 dsa)的密钥对,请在全局配置模式下使用 crypto key zeroize 命令。 crypto key zeroize {rsa | dsa} [label key-pair-label] [default] [noconfirm] 语法说明 default 删除不带标签的 RSA 密钥对。此关键字仅适用于 RSA 密钥对。 dsa 指定 DSA 为密钥类型。 label key-pair-label 删除指定类型(rsa 或 dsa)的密钥对。如果不提供标签,ASA 将删除 指定类型的所有密钥对。 noconfirm 抑制所有交互式提示。 rsa 指定 RSA 为密钥类型。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 示例 版本 7.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto large-cert-acceleration enable crypto large-cert-acceleration enable 要允许 ASA 在硬件中执行 2048 位 RSA 密钥操作,请在全局配置模式下使用 crypto large-cert-acceleration enable 命令。要在软件中执行 2048 位 RSA 密钥操作,请使用 no crypto large-cert-acceleration enable 命令。 crypto large-cert-acceleration enable no crypto large-cert-acceleration enable 语法说明 此命令没有关键字或参数。 默认值 默认在软件中执行 2048 位 RSA 密钥操作。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 8.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map interface crypto map interface 要将以前定义的加密映射集应用到接口,请在全局配置模式下使用 crypto map interface 命令。 要从接口删除加密映射集,请使用此命令的 no 形式。 crypto map map-name interface interface-name [ipv6-local-address ipv6-address] no crypto map map-name interface interface-name [ipv6-local-address ipv6-address] 语法说明 interface-name 指定要用于与 VPN 对等设备建立隧道的 ASA 接口。如果启 用 ISAKMP,并且您使用 CA 获取证书,此接口应使用 CA 证书中指定的地址。 map-name 指定加密映射集的名称。 ipv6-local-address ipv6-address 指定 IP
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map interface 注意 ASA 可让您即时更改加密映射、动态映射和 IPsec 设置。如果您更改,ASA 只减少受更改影响的 连接。如果更改与加密映射关联的现有访问列表,特别是通过删除访问列表中的条目进行更改, 则只会减少关联的连接。基于访问列表中其他条目的连接不受影响。 每个静态加密映射必须定义三部分:访问列表、转换集和 IPsec 对等设备。如果缺少其中一部 分,加密映射就不完整,并且 ASA 会移至下一个条目。但是,如果加密映射与访问列表匹配, 但不符合另外一个或两个要求,此 ASA 会丢弃流量。 请使用 show running-config crypto map 命令确保每个加密映射完整。要修复某个不完整的加密 映射,请删除该加密映射,添加缺少的条目,然后重新应用它。 示例 以下示例在全局配置模式下输入,将名为 mymap 的加密映射集分配到外部接口。当流量通过外 部接口时,ASA 将使用 mymap 集中的所有加密映射条目评估它。当出
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map ipsec-isakmp dynamic crypto map ipsec-isakmp dynamic 若需要指定的加密映射条目引用现有动态加密映射,请在全局配置模式下使用 crypto map ipsec-isakmp dynamic 命令。要删除交叉引用,请使用此命令的 no 形式。 使用 crypto dynamic-map 命令创建动态加密映射条目。在创建动态加密映射集后,使用 crypto map ipsec-isakmp dynamic 命令将动态加密映射集添加到静态加密映射。 crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name no crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name 语法说明 dynamic-map-name 指定引用现有动态加密映射的加密映射条目名称。 i
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map ipsec-isakmp dynamic 加密映射集是加密映射条目的集合,每个条目的序列号 (seq-num) 不同,但映射名称相同。因 此,对于指定的接口,您可以对转发到一个对等设备的特定流量应用指定的安全保护,对转发到 同一或不同对等设备的其他流量应用 IPsec 安全保护。为实现此目的,需创建两个加密映射条 目,它们的映射名称相同,但序列号不同。 不能随便用一个数字作为 seq-num 参数的编号。此编号会对加密映射集中的多个加密映射条目进 行排名。序列号较低的加密映射条目先于序列号较高的映射条目进行评估;也就是说,序列号低 的映射条目优先级更高。 注意 示例 将加密映射链接到动态加密映射时,必须指定动态加密映射。这会将加密映射链接到之前使用 crypto dynamic-map 命令定义的现有动态加密映射。现在,您在加密映射条目转换后对其执行的 任何更改都不会生效。例如,对映射集对等设置的更改不会生效。但 ASA 在运行时会存储更 改。当动
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map match address crypto map match address 要将访问列表分配到加密映射条目,请在全局配置模式下使用 crypto map match address 命令。 要从加密映射条目删除访问列表,请使用此命令的 no 形式。 crypto map map-name seq-num match address acl_name no crypto map map-name seq-num match address acl_name 语法说明 acl_name 指定加密访问列表的名称。此名称应匹配所匹配的指定加密访问列表的 name 参数。 map-name 指定加密映射集的名称。 seq-num 指定分配给加密映射条目的编号。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 是 透明 • 是
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map match address 注意 加密访问列表无法决定是允许还是拒绝流量通过接口。使用 access-group 命令直接应用到接口的 访问列表做出该决定。 在透明模式下,目标地址应为 ASA 的 IP 地址 - 管理地址。透明模式下只允许到 ASA 的隧道。 相关命令 命令 clear configure crypto map 说明 show running-config crypto map 显示加密映射配置。 思科 ASA 系列命令参考,A 至 H 命令 10-28 清除所有加密映射的所有配置。
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set connection-type crypto map set connection-type 要为此加密映射条目指定备用站点到站点功能的连接类型,请在全局配置模式下使用 crypto map set connection-type 命令。要恢复默认设置,请使用此命令的 no 形式。 crypto map map-name seq-num set connection-type {answer-only | originate-only | bidirectional} no crypto map map-name seq-num set connection-type {answer-only | originate-only | bidirectional} 语法说明 answer-only 指定此对等设备在初始属性交换时只响应入站 IKE 连接,以确定要连接 的适当对等设备。 bidirectional 指定此对等设备可根据此加密映射
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set connection-type 要配置备用局域网至局域网连接,建议使用 originate-only 关键字将连接的一端配置为只发起, 使用 answer - only 关键字将具有多个备用设备的一端配置为只应答。在只发送端,使用 crypto map set peer 命令排列对等设备的优先级。只发送 ASA 会尝试与列表中的第一个对等设备协商。 如果该对等设备未响应,ASA 将在列表中下移,尝试与其他对等设备协商,直到有对等设备响应 或者列表结束。 以这种方式配置时,只发起对等设备最初会尝试建立专用隧道并与对等设备协商。然后,任一对 等设备都可建立正常的局域网至局域网连接,并且来自任一端的数据都可以发起隧道连接。 在透明防火墙模式下,您可以看到此命令,但对属于已附加到接口的加密映射中的加密映射条 目,连接类型值不能设置为只应答以外的任何值。 表 10-1 列出了所有支持的配置。其他组合可能导致不可预测的路由问题。 表 10-1 示例 支持
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set df-bit crypto map set df-bit 要设置每签名算法 (SA) 不分段 (DF) 策略,请在全局配置模式下使用 crypto map set df-bit 命令。 要禁用 DF 策略,请使用此命令的 no 形式。 crypto map name priority set df-bit [clear-df | copy-df | set-df] no crypto map name priority set df-bit [clear-df | copy-df | set-df] 语法说明 name 指定加密映射集的名称。 priority 指定分配给加密映射条目的优先级。 默认值 默认设置为关闭。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set ikev2 pre-shared-key crypto map set ikev2 pre-shared-key 要指定 AnyConnect IKEv2 连接的预共享密钥,请在全局配置模式下使用 crypto map set ikev2 pre-shared-key 命令。要恢复默认设置,请使用此命令的 no 形式。 crypto map map-name seq-num set ikev2 pre-shared-key key no crypto map map-name seq-num set ikev2 pre-shared-key key 语法说明 key 1 到 128 个字符的字母数字字符串。 map-name 指定加密映射集的名称。 seq-num 指定分配到加密映射条目的编号。 默认值 没有默认值或行为。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set inheritance crypto map set inheritance 要设置为此加密映射条目生成的安全关联粒度(单粒度或多粒度),请在全局配置模式下使用 set inheritance 命令。要删除此加密映射条目的继承设置,请使用此命令的 no 形式。 crypto map map-name seq-num set inheritance {data | rule} no crypto map map-name seq-num set inheritance {data | rule} 语法说明 data 为规则中指定的地址范围内的每个地址对指定一个隧道。 map-name 指定加密映射集的名称。 rule 为此加密映射关联的每个 ACL 条目指定一个隧道。此为默认值。 seq-num 指定分配到加密映射条目的编号。 set inheritance 指定继承的类型:数据或规则。继承允许为每个安全策略数据库 (SPD)
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set nat-t-disable crypto map set nat-t-disable 要对基于此加密映射条目的连接禁用 NAT-T,请在全局配置模式下使用 crypto map set nat-t-disable 命令。要对此加密映射条目启用 NAT-T,请使用此命令的 no 形式。 crypto map map-name seq-num set nat-t-disable no crypto map map-name seq-num set nat-t-disable 语法说明 map-name 指定加密映射集的名称。 seq-num 指定分配给加密映射条目的编号。 默认值 此命令的默认设置不是打开(因此默认启用 NAT-T)。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 • 是 透明 • 单个 是 版本 7.0(1) 引入了此命令。 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set peer crypto map set peer 要在加密映射条目中指定 IPsec 对等设备,请在全局配置模式下使用 crypto map set peer 命令。 使用此命令的 no 形式会从加密映射条目中删除 IPsec 对等设备。 crypto map map-name seq-num set peer {ip_address | hostname}{...ip_address10 | hostname10} no crypto map map-name seq-num set peer {ip_address | hostname}{...
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set peer 示例 以下示例在全局配置模式下输入,它展示使用 IKE 建立安全关联的加密映射配置。在此示例中, 您可以与 10.0.0.1 上的对等设备或 10.0.0.2 上的对等设备建立安全关联: ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# 相关命令 crypto crypto crypto crypto mymap mymap mymap mymap 10 10 10 10 ipsec-isakmp match address 101 set transform-set my_t_set1 set peer 10.0.0.1 10.0.0.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set pfs crypto map set pfs 在全局配置模式下,使用 crypto map set pfs 命令设置 IPsec 在请求为此加密映射条目建立新安全 关联时要求 PFS,或者设置 IPsec 在收到建立新安全关联的请求时要求 PFS。要指定 IPsec 不应要 求 PFS,请使用此命令的 no 形式。 crypto map map-name seq-num set pfs [group1 | group2 | group5 | group14 | group19 | group20 | group21 | group24] no crypto map map-name seq-num set pfs [group1 | group2 | group5 | group14 | group19 | group20 | group21 | group24] 语法说明 group1 指定 IPsec 在执行新的 Diffie-Hellm
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set pfs 如果对等设备发起协商,并且本地配置指定 PFS,则对等设备必须执行 PFS 交换,否则协商会失 败。如果本地配置不指定组,ASA 将使用默认值(组 2)。如果本地配置指定组 2 或组 5,该组 必须是对等设备内容的一部分,否则协商会失败。 为使协商成功,必须在局域网至局域网隧道的两端都设置 PFS(无论是否有 Diffie-Hellman 组)。如有设置,这些组必须完全匹配。ASA 不接受对等设备的 PFS 提供的任何内容。 1536 位 Diffie-Hellman 主模数组(组 5)的安全性高于组 1 或组 2,但需要的处理时间比其他组长。 与思科 VPN 客户端交互时,ASA 不使用 PFS 值,而使用在第 1 阶段协商的值。 示例 以下示例在全局配置模式下输入,指定只要是为加密映射 mymap 10 协商新的安全关联,就应使 用 PFS: ciscoasa(config)# crypto map mymap 10 ipsec-
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set ikev1 phase1-mode crypto map set ikev1 phase1-mode 要指定在发起主要或积极连接时第 1 阶段使用的 IKEv1 模式,请在全局配置模式下使用 crypto map set ikev1 phase1-mode 命令。要删除第 1 阶段 IKEv1 协商的设置,请使用此命令的 no 形式。 crypto map map-name seq-num set ikev1 phase1-mode {main | aggressive [group1 | group2 | group5]} no crypto map map-name seq-num set ikev1 phase1-mode {main | aggressive [group1 | group2 | group5]} 语法说明 aggressive 指定第 1 阶段 IKEv1 协商的积极模式。 group1 指定 IPsec 在执行
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set ikev1 phase1-mode 示例 以下示例在全局配置模式下输入,配置加密映射 mymap,并且将第 1 阶段模式设为积极,使用 组 2: ciscoasa(config)# crypto map mymap 10 set ikev1 phase1mode aggressive group2 ciscoasa(config)# 相关命令 命令 clear isakmp sa 说明 clear configure crypto map 清除所有加密映射的所有配置。 show running-config crypto map 显示加密映射配置。 思科 ASA 系列命令参考,A 至 H 命令 10-40 删除活动的 IKE 安全关联。
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set ikev2 phase1-mode crypto map set ikev2 phase1-mode 要指定在发起主要或积极连接时第 1 阶段使用的 IKEv2 模式,请在全局配置模式下使用 crypto map set ikev2 phase1-mode 命令。要删除第 1 阶段 IKEv2 协商的设置,请使用此命令的 no 形式。 crypto map map-name seq-num set ikev2 phase1-mode {main | aggressive [group1 | group2 | group5]} no crypto map map-name seq-num set ikev2 phase1-mode {main | aggressive [group1 | group2 | group5]} 语法说明 aggressive 指定第 1 阶段 IKEv2 协商的积极模式。 group1 指定 IPsec 在执行
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set ikev2 phase1-mode 示例 以下示例在全局配置模式下输入,配置加密映射 mymap,并且将第 1 阶段模式设为积极,使用 组 2: ciscoasa(config)# crypto map mymap 10 set ikev2 phase1mode aggressive group2 ciscoasa(config)# 相关命令 命令 clear isakmp sa 说明 clear configure crypto map 清除所有加密映射的所有配置。 show running-config crypto map 显示加密映射配置。 思科 ASA 系列命令参考,A 至 H 命令 10-42 删除活动的 IKE 安全关联。
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set reverse-route crypto map set reverse-route 要对基于此加密映射条目的所有连接启用反向路由注入,请在全局配置模式下使用 crypto map set reverse-route 命令。要对基于此加密映射条目的任何连接禁用反向路由注入,请使用此命令 的 no 形式。 crypto map map-name seq-num set reverse-route no crypto map map-name seq-num set reverse-route 语法说明 map-name 指定加密映射集的名称。 seq-num 指定分配到加密映射条目的编号。 默认值 此命令的默认设置为关闭。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 • 是 透明 • 单个 是 版本 7.0(1) 引入了此命令。 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set security-association lifetime crypto map set security-association lifetime 要覆盖(对于特定加密映射条目)在协商 IPsec 安全关联时使用的全局生命期值,请在全局配置 模式下使用 crypto map set security-association lifetime 命令。要将加密映射条目的生命期值设为 全局值,请使用此命令的 no 形式。 crypto map map-name seq-num set security-association lifetime {seconds seconds | kilobytes kilobytes | unlimited} no crypto map map-name seq-num set security-association lifetime {seconds seconds | kilobytes kilobytes
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set security-association lifetime 注意 ASA 可让您即时更改加密映射、动态映射和 IPsec 设置。如果您更改,ASA 只减少受更改影响的 连接。如果更改与加密映射关联的现有访问列表,尤其是通过删除访问列表中的条目进行更改, 结果只会减少关联的连接。基于访问列表中其他条目的连接不受影响。 要更改定时生命期,请使用 crypto map set security-association lifetime seconds 命令。定时生命 期会使密钥和安全关联在经过指定的秒数后超时。 示例 以下命令在全局配置模式下输入,以秒和千字节指定加密映射 mymap 的安全关联生命期: ciscoasa(config)# crypto map mymap 10 set security-association lifetime seconds 1400 kilobytes 3000000 ciscoasa(config)# 相关
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set ikev1 transform-set crypto map set ikev1 transform-set 要指定在加密映射条目中使用的 IKEv1 转换集,请在全局配置模式下使用 crypto map set transform-set 命令。要从加密映射条目中删除转换集的名称,请使用此命令的 no 形式并在命令 中包含指定的转换集名称。要指定所有转换集或不指定任何转换集并且删除加密映射条目,请使 用此命令的 no 形式。 crypto map map-name seq-num set transform-set transform-set-name1 [… transform-set-name11] no crypto map map-name seq-num set transform-set transform-set-name1 [… transform-set-name11] no crypto map map-name seq-n
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set ikev1 transform-set 如果使用此命令修改加密映射,ASA 只修改具有您指定的序列号的加密映射条目。例如,如果您 输入以下命令,ASA 将在最后位置插入名为 56des-sha 的转换集: ciscoasa(config)# crypto map map1 1 set transform-set 128aes-md5 128aes-sha 192aes-md5 ciscoasa(config)# crypto map map1 1 transform-set 56des-sha ciscoasa(config)# 对以下命令的响应显示了前两个命令的累积效应: ciscoasa(config)# show running-config crypto map crypto map map1 1 set transform-set 128aes-md5 128aes-sha 192aes-md5 56des-sha ciscoasa(c
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set ikev2 ipsec-proposal crypto map set ikev2 ipsec-proposal 要指定在加密映射条目中使用的 IKEv2 提议,请在全局配置模式下使用 crypto map set ikev2 ipsec-proposal 命令。要从加密映射条目中删除提议的名称,请使用此命令的 no 形式并在命令中 包含指定的提议名称。要指定所有提议或不指定任何提议并且删除加密映射条目,请使用此命令 的 no 形式。 crypto map map-name seq-num set ikev2 ipsec-proposal propsal-name1 [… proposal-name11] no crypto map map-name seq-num set ikev2 ipsec-proposal propsal-name1 [… proposal-name11] no crypto map map-name seq-num s
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set ikev2 ipsec-proposal 如果使用此命令修改加密映射,ASA 只修改具有您指定的序列号的加密映射条目。例如,如果您 输入以下命令,ASA 将在最后位置插入名为 56des-sha 的提议: ciscoasa(config)# crypto map map1 1 set ikev2 ipsec-proposal 128aes-md5 128aes-sha 192aes-md5 ciscoasa(config)# crypto map map1 1 set ikev2 ipsec-proposal 56des-sha ciscoasa(config)# 对以下命令的响应显示了前两个命令的累积效应: ciscoasa(config)# show running-config crypto map crypto map map1 1 set ipsec-proposal 128aes-md5 128aes-sha 192aes-md5 5
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set tfc-packets crypto map set tfc-packets 要在 IPsec SA 上启用虚拟 Traffic Flow Confidentiality (TFC) 数据包,请在全局配置模式下使用 crypto map set tfc-packets 命令。要在 IPsec SA 上禁用 TFC 数据包,请使用此命令的 no 形式。 crypto map name priority set tfc-packets [burst length | auto] [payload-size bytes | auto] [timeout second | auto] no crypto map name priority set tfc-packets [burst length | auto] [payload-size bytes | auto] [timeout second | auto] 语法说明 name 指定加密映射
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set trustpoint crypto map set trustpoint 要指定信任点(用于标识要发送以在加密映射条目的第 1 阶段协商期间进行身份验证的证书), 请在全局配置模式下使用 crypto map set trustpoint 命令。要从加密映射条目删除信任点,请使 用此命令的 no 形式。 crypto map map-name seq-num set trustpoint trustpoint-name [chain] no crypto map map-name seq-num set trustpoint trustpoint-name [chain] 语法说明 chain (可选)发送证书链。CA 证书链包括从根证书到身份证书的证书层次结 构中的所有 CA 证书。默认值为禁用(无链)。 map-name 指定加密映射集的名称。 seq-num 指定分配到加密映射条目的编号。 trustpoint-name 标
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 crypto map set validate-icmp-errors crypto map set validate-icmp-errors 要指定是否验证通过 IPsec 隧道收到的发往专用网络上外部主机的传入 ICMP 错误消息,请在全 局配置模式下使用 crypto map set validate-icmp-errors 命令。要从加密映射条目删除信任点,请 使用此命令的 no 形式。 crypto map name priority set validate-icmp-errors no crypto map name priority set validate-icmp-errors 语法说明 name 指定加密映射集的名称。 priority 指定分配给加密映射条目的优先级。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 csc csc 要让 ASA 向 CSC SSM 发送网络流量,请在类配置模式下使用 csc 命令。要删除配置,请使用此 命令的 no 形式。 csc {fail-open | fail-close} no csc 语法说明 fail-close 指定自适应 ASA 应在 CSC SSM 失败时阻止流量。这仅适用于类映射 所选择的流量。其他未发送到 CSC SSM 的流量不受 CSC SSM 失败的 影响。 fail-open 指定自适应 ASA 应在 CSC SSM 失败时允许流量。这仅适用于类映射 所选择的流量。其他未发送到 CSC SSM 的流量不受 CSC SSM 失败的 影响。 默认值 此命令默认禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 类配置 命令历史 使用指南 版本 7.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 csc 如果使用 csc 命令的策略选择对其他协议误用这些端口的连接,ASA 将数据包传送到 CSC SSM ; 而 CSC SSM 不扫描数据包就传送它们。 为了最大限度地提高 CSC SSM 的效率,请如下实施 csc 命令,配置策略使用的类映射: • 只选择您希望 CSC SSM 扫描的支持协议。例如,如果您不希望扫描 HTTP 流量,请确保服务 策略不会将 HTTP 流量转移至 CSC SSM。 • 只选择受 ASA 保护的风险可信主机的连接。这些连接从外部或不受信任的网络到内部网络。 我们建议扫描以下连接: – 出站 HTTP 连接 – 从 ASA 内部客户端到 ASA 外部服务器的 FTP 连接 – 从 ASA 内部客户端到 ASA 外部服务器的 POP3 连接 – 前往内部邮件服务器的传入 SMTP 连接 FTP 扫描 CSC SSM 仅当 FTP 会话的主要通道使用标准端口(即 TCP 端口 21)时才支持 FTP 文件传输扫描。 对于您希望被 CS
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 csc ciscoasa(config)# class-map csc_inbound_class ciscoasa(config-cmap)# match access-list csc_in ciscoasa(config)# policy-map csc_in_policy ciscoasa(config-pmap)# class csc_inbound_class ciscoasa(config-pmap-c)# csc fail-close ciscoasa(config)# service-policy csc_in_policy interface outside 注意 相关命令 必须启用 FTP 检查,使 CSC SSM 扫描 FTP 传输的文件。默认情况下启用 FTP 检测。 命令 class (policy-map) 说明 class-map 创建用于策略映射的流量类映射。 match port 使用目标端口匹配流量。 policy-ma
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 csd enable csd enable 要对无客户端 SSL VPN 远程访问或使用 AnyConnect 客户端的远程访问启用思科安全桌面 (CSD),请在 webvpn 配置模式下使用 csd enable 命令。要禁用 CSD,请使用此命令的 no 形式。 csd enable no csd enable 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置模式 命令历史 版本 7.1(1) 使用指南 • 是 透明 — 单个 • 是 情景 系统 — — 修改 引入了此命令。 对于向 ASA 发起的所有远程访问连接尝试,CSD 会全局启用或禁用,只有一个例外。 csd enable 命令执行以下操作: 注 1. 提供有效性检查,以补充之前的 csd image path 命令所执行的检查。 2.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 csd enable 例外:可对无客户端 SSL VPN 连接的连接配置文件进行配置,使得当计算机尝试使用组 URL 连接 ASA 并且 CSD 已全局启用时,CSD 不会在客户端计算机上运行。例如: ciscoasa(config)# tunnel-group group-name webvpn-attributes ciscoasa(config-tunnel-webvpn)# group-url https://www.url-string.com ciscoasa(config-tunnel-webvpn)# without-csd 示例 以下命令显示如何查看 CSD 映像的状态并启用该映像: ciscoasa(config-webvpn)# show webvpn csd Secure Desktop is not enabled.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 csd hostscan image csd hostscan image 要安装或升级思科主机扫描分发软件包并将其添加到运行配置,请在 webvpn 配置模式下使用 csd hostscan image 命令。要从运行配置删除主机扫描分发软件包,请使用此命令的 no 形式: csd hostscan image path no csd hostscan image path 语法说明 path 指定思科主机扫描软件包的路径和文件名,最多 255 个字符。 主机扫描软件包可能是单机版,文件名约定为 hostscan-version.pkg ;或 者是完整的 AnyConnect 安全移动客户端软件包,可从 Cisco.com 下载, 文件名约定为 anyconnect-win-version-k9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 csd hostscan image ciscoasa(config-webvpn)# csd hostscan image disk0:/hostscan_3.0.0333-k9.pkg ciscoasa(config-webvpn)# csd enable ciscoasa(config-webvpn)# show webvpn csd hostscan Hostscan version 3.0.0333 is currently installed and enabled ciscoasa(config-webvpn)# write memory Building configuration... Cryptochecksum: 2e7126f7 71214c6b 6f3b28c5 72fa0a1e 22067 bytes copied in 3.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 csd image csd image 要验证思科安全桌面 (CSD) 分发软件包并将其添加到运行配置,请在 webvpn 配置模式下使用 csd image 命令有效地安装 CSD。要从运行配置删除 CSD 分发软件包,请使用此命令的 no 形式: csd image path no csd image path 语法说明 path 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定 CSD 软件包的路径和文件名,最多 255 个字符。 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 版本 7.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 csd image 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 4096 4096 21601 9367 6594064 21601 21601 9625 16984 319662 0 5352 369182 1836210 1836392 Sep Sep Nov Nov Nov Dec Dec May Oct Jul Oct Oct Oct Oct Oct 21 21 23 01 04 17 17 03 19 29 07 28 10 12 26 2004 2004 2004 2004 2005 2004 2004 2005 2005 2005 2005 2005 2005 2005 2005 10:55:02 10:55:02 15:51:46 17:15:34 09:48:14 14:20:40 14:23:02 11:06:14 03:48:46 09:51:28 17:33:48 15:09:20 05:27:58
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 ctl ctl 为使证书信任列表 (CTL) 提供程序解析来自 CTL 客户端的 CTL 文件并安装信任点,请在 CTL 提 供程序配置模式下使用 ctl 命令。要删除配置,请使用此命令的 no 形式。 ctl install no ctl install 语法说明 此命令没有任何参数或关键字。 默认值 此命令默认已启用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 CTL 提供程序配置 命令历史 使用指南 版本 8.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 ctl-file (global) ctl-file (global) 要指定 CTL 实例为电话代理创建或解析存储在闪存中的 CTL 文件,请在全局配置模式下使用 ctl-file 命令。要删除 CTL 实例,请使用此命令的 no 形式。 ctl-file ctl_name noconfirm no ctl-file ctl_name noconfirm 语法说明 ctl_name 指定 CTL 实例的名称。 noconfirm (可选)与 no 命令一起使用,可在取消将 CTL 文件打印到 ASA 控制台 时停止关于删除信任点的警告。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 8.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 ctl-file (global) 相关命令 命令 ctl-file (phone-proxy) 指定在配置电话代理实例时使用的 CTL 文件。 cluster-ctl-file 解析存储在闪存中、用以安装信任点的 CTL 文件。 phone-proxy 配置电话代理实例。 record-entry 指定要用于创建 CTL 文件的信任点。 sast 指定要在 CTL 记录中创建的 SAST 证书数。 思科 ASA 系列命令参考,A 至 H 命令 10-64 说明
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 ctl-file (phone-proxy) ctl-file (phone-proxy) 要指定在配置电话代理时使用的 CTL 实例,请在电话代理配置模式下使用 ctl-file 命令。要删除 CTL 实例,请使用此命令的 no 形式。 ctl-file ctl_name no ctl-file ctl_name 语法说明 ctl_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定 CTL 实例的名称。 防火墙模式 安全情景 多个 命令模式 路由 电话代理配置 命令历史 示例 版本 8.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 ctl-provider ctl-provider 要在 CTL 提供程序模式下配置 CTL 提供程序实例,请在全局配置模式下使用 ctl-provider 命令。 要删除配置,请使用此命令的 no 形式。 ctl-provider ctl_name no ctl-provider ctl_name 语法说明 ctl_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定 CTL 提供程序实例的名称。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 8.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts import-pac cts import-pac 要从思科 ISE 导入 Protected Access Credential (PAC) 文件,请在全局配置模式下使用 cts import-pac 命令: cts import-pac filepath password value 语法说明 filepath 指定以下 exec 模式命令和选项之一: 单模式 • disk0:disk0 上的路径和文件名 • disk1:disk1 上的路径和文件名 • flash:闪存上的路径和文件名 • ftp:FTP 上的路径和文件名 • http:HTTP 上的路径和文件名 • https:HTTPS 上的路径和文件名 • smb:SMB 上的路径和文件名 • tftp:TFTP 上的路径和文件名 多模式 password value • http:HTTP 上的路径和文件名 • https:HTTPS 上的路径和文件名 •
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts import-pac 命令历史 版本 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts manual cts manual 要启用 SGT plus Ethernet Tagging(也称为 Layer 2 SGT Imposition)并进入 cts 手动接口配置模 式,请在接口配置模式下使用 cts manual 命令。要禁用 SGT plus Ethernet Tagging,请使用此命令 的 no 形式。 cts manual no cts manual 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 使用指南 版本 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts refresh environment-data cts refresh environment-data 要刷新来自 ISE 的思科 TrustSec 环境数据并且将协调计时器重置为配置的默认值,请在全局配置 模式下使用 cts refresh environment-data 命令。 cts refresh environment-data 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts refresh environment-data 示例 以下示例从 ISE 下载思科 TrustSec 环境数据: ciscoasa(config)# cts refresh environment-data 相关命令 命令 cts import-pac cts sxp enable 说明 当 ASA 与思科 TrustSec 集成时,从思科 ISE 导入 Protected Access Credential (PAC) 文件。 在 ASA 中启用 SXP 协议。 思科 ASA 系列命令参考,A 至 H 命令 10-71
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts role-based sgt-map cts role-based sgt-map 要手动配置 IP-SGT 绑定,请在全局配置模式下使用 cts role-based sgt-map 命令。要删除配置, 请使用此命令的 no 形式。 cts role-based sgt-map [IPv4_addr | IPv6_addr] sgt sgt_value no cts role-based sgt-map [IPv4_addr | IPv6_addr] sgt sgt_value 语法说明 IPv4_addr 指定要使用的 IPv4 地址。 IPv6_addr 指定要使用的 IPv6 地址。 sgt sgt_value 指定 IP 地址映射到的 SGT 编号。有效值为 2 到 65519。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts server-group cts server-group 要识别 ASA 用于与思科 TrustSec 集成以检索环境数据的 AAA 服务器组,请在全局配置模式下使 用 cts server-group 命令。要禁用此命令的支持,请使用此命令的 no 形式。 cts server-group aaa-server-group-name no cts server-group [aaa-server-group-name] 语法说明 aaa-server-group-name 指定本地配置的现有 AAA 服务器组的名称。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts server-group 相关命令 命令 aaa-server server-tag protocol radius 说明 aaa-server server-tag (interface-name) host server-ip 将 AAA 服务器配置为 AAA 服务器组的一部分,并且设置主机特定 连接数据;其中 (interface-name) 指定 ISE 服务器所在的网络接口, server-tag 为思科 TrustSec 集成的 AAA 服务器组名称,server-ip 指 定 ISE 服务器的 IP 地址。 cts sxp enable 在 ASA 中启用 SXP 协议。 思科 ASA 系列命令参考,A 至 H 命令 10-74 创建 AAA 服务器组并配置 AAA 服务器参数,使 ASA 与 ISE 服务 器通信;其中 server-tag 指定服务器组名称。
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts sxp connection peer cts sxp connection peer 要将 SXP 设置为 SXP 对等设备,请在全局配置模式下使用 cts sxp connection peer 命令。要禁用 此命令的支持,请使用此命令的 no 形式。 cts sxp connection peer peer_ip_address [source source_ip_address] password {default | mode} [mode {local | peer}] {speaker | listener} no cts sxp connection peer peer_ip_address [source source_ip_address] [password {default | none}] [mode {local | peer}] [speaker | listener] 语法说明 default 与 password 关键字一起使用。
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts sxp connection peer 使用指南 对等设备之间的 SXP 连接是点对点连接,并且使用 TCP 作为基础传输协议。SXP 连接按 IP 地址 设置;一个设备对可以服务于多个 SXP 连接。 限制 • ASA 不支持 SXP 连接的每连接密码。 • 使用 cts sxp default password 配置默认 SXP 密码时,您应该将 SXP 连接配置为使用默认密码; 相反,若未配置默认密码,也不应为 SXP 连接配置默认密码。如果不遵从这两个准则,SXP 连接可能失败。 • 使用默认密码配置 SXP 连接但 ASA 未配置默认密码时,SXP 连接将会失败。 • 配置 SXP 连接的源 IP 地址时,必须指定与 ASA 出站接口相同的地址。如果源 IP 地址与出站 接口的地址不匹配,SXP 连接将会失败。 当 SXP 连接的源 IP 地址未配置时,ASA 将执行路由 /ARP 查找来确定 SXP 连接的出站接 口。建议不要为 SXP 连
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts sxp default password cts sxp default password 要配置使用 SXP 对等设备进行 TCP MD5 身份验证时的默认密码,请在全局配置模式下使用 cts sxp default password 命令。要禁用此命令的支持,请使用此命令的 no 形式。 cts sxp default password [0 | 8] password no cts sxp default password [0 | 8] [password] 语法说明 0 (可选)指定默认密码对加密级别使用未加密明文。您只能为默认密码 设置一个加密级别。 8 (可选)指定默认密码对加密级别使用加密文本。 password 指定最长 162 个字符的加密字符串或最长 80 个字符的 ASCII 密钥字 符串。 默认值 默认情况下,SXP 连接未设置密码。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts sxp default password 相关命令 命令 cts sxp connection peer cts sxp enable 思科 ASA 系列命令参考,A 至 H 命令 10-78 说明 将 ASA 的 SXP 连接配置到 SXP 对等设备。使用此命令指定 password default 关键字会允许对该 SXP 连接使用默认密码。 在 ASA 中启用 SXP 协议。
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts sxp default source-ip cts sxp default source-ip 要为 SXP 连接配置默认本地 IP 地址,请在全局配置模式下使用 cts sxp default source-ip 命令。 要禁用此命令的支持,请使用此命令的 no 形式。 cts sxp default source-ip ipaddress no cts sxp default source-ip [ipaddress] 语法说明 ipaddress 默认值 默认情况下,SXP 连接未设置默认源 IP 地址。 命令模式 下表展示可输入此命令的模式: 指定源 IP 地址的 IPv4 或 IPv6 地址。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 版本 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts sxp enable cts sxp enable 要在 ASA 上启用 SXP 协议,请在全局配置模式下使用 cts sxp enable 命令。要禁用此命令的支 持,请使用此命令的 no 形式。 cts sxp enable no cts sxp enable 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下,ASA 上禁用 SXP 协议。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 全局配置 命令历史 示例 版本 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts sxp reconciliation period cts sxp reconciliation period 要 …,请在全局配置模式下使用 cts sxp reconciliation period 命令。要禁用此命令的支持,请使 用此命令的 no 形式。 cts sxp reconciliation period timervalue no cts sxp reconciliation period [timervalue] 语法说明 timervalue 默认值 默认情况下,timervalue 为 120 秒。 命令模式 下表展示可输入此命令的模式: 指定协调计时器的默认值。输入在 1-64000 秒范围内的秒数。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 • 是 透明 • 是 单个 • 情景 是 • 是 系统 — 命令历史 版本 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts sxp retry period cts sxp retry period 要指定 ASA 尝试在 SXP 对等设备之间设置新 SXP 连接的默认时间间隔,请在全局配置模式下使 用 cts sxp retry period 命令。要禁用此命令的支持,请使用此命令的 no 形式。 cts sxp retry period timervalue no cts sxp retry period [timervalue] 语法说明 timervalue 默认值 默认情况下,timervalue 为 120 秒。 命令模式 下表展示可输入此命令的模式: 指定重试计时器的默认值。输入在 0-64000 秒范围内的秒数。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 版本 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cts sxp retry period 相关命令 命令 cts sxp connection peer 说明 将 ASA 的 SXP 连接配置到 SXP 对等设备。 cts sxp enable 在 ASA 中启用 SXP 协议。 思科 ASA 系列命令参考,A 至 H 命令 10-83
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 customization customization 要指定用于隧道组、组或用户的定制,请在隧道组 webvpn 属性配置模式或 webvpn 配置模式下使 用 customization 命令。若不指定定制,请使用此命令的 no 形式。 customization name no customization name customization {none | value name} no customization {none | value name} 语法说明 name 指定要应用到组或用户的 WebVPN 定制的名称。 none 对组或用户禁用定制,并防止继承定制。 value name 指定要应用到组策略或用户的定制的名称。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 单个 情景 系统 隧道组 WebVPN 属性配置 •
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 customization 示例 以下示例所示的命令序列先建立名为 “123” 的 WebVPN 定制来定义密码提示。然后定义名为 “test” 的 WebVPN 隧道组,并使用 customization 命令指定使用名为 “123” 的 WebVPN 定制: ciscoasa(config)# webvpn ciscoasa(config-webvpn)# customization 123 ciscoasa(config-webvpn-custom)# password-prompt Enter password ciscoasa(config-webvpn)# exit ciscoasa(config)# tunnel-group test type webvpn ciscoasa(config)# tunnel-group test webvpn-attributes ciscoasa(config-tunnel-webvpn)# customization 123
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cxsc cxsc 要将流量重定向到 ASA CX 模块,请在类配置模式下使用 cxsc 命令。要删除 ASA CX 操作,请使 用此命令的 no 形式。 cxsc {fail-close | fail-open} [auth-proxy | monitor-only] no cxsc {fail-close | fail-open} [auth-proxy | monitor-only] 语法说明 auth-proxy (可选)启用活动的身份验证需要的身份验证代理。 fail-close 设置 ASA 在 ASA CX 模块不可用时阻止所有流量。 fail-open 设置 ASA 在 ASA CX 模块不可用时允许所有流量通过且不进行检查。 monitor-only (仅用于演示)指定 monitor-only 以将流量的只读副本发送到 ASA CX 模块。配置此选项后,您将看到如下所示的警告消息: WARNING: Monitor-only mode s
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cxsc 2. 流入 VPN 流量被解密。 3. 应用防火墙策略。 4. 流量通过背板发送到 ASA CX 模块。 5. ASA CX 模块将其安全策略应用到流量并采取适当的措施。 6. 有效的流量通过背板发送回 ASA ; ASA CX 模块根据其安全策略可能会阻止某些流量,而该 流量不再传递。 7. 流出 VPN 流量被加密。 8.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cxsc 示例 在以下示例中,如果 ASA CX 模块卡因任何原因而失败,所有 HTTP 流量都会转移至 ASA CX 模 块,并且阻止所有 HTTP 流量: ciscoasa(config)# access-list ASACX permit tcp any any eq port 80 ciscoasa(config)# class-map my-cx-class ciscoasa(config-cmap)# match access-list ASACX ciscoasa(config-cmap)# policy-map my-cx-policy ciscoasa(config-pmap)# class my-cx-class ciscoasa(config-pmap-c)# cxsc fail-close auth-proxy ciscoasa(config-pmap-c)# service-policy my-cx-policy global 在以下示例中,如果
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cxsc auth-proxy port cxsc auth-proxy port 要设置 ASA CX 模块流量的身份验证代理端口,请在全局配置模式下使用 cxsc auth-proxy port 命令。要将端口设置为默认值,请使用此命令的 no 形式。 cxsc auth-proxy port port no cxsc auth-proxy port [port] 语法说明 port port 命令默认值 默认端口为 885。 命令模式 下表展示可输入此命令的模式: 将身份验证代理端口设置为大于 1024 的值。默认值为 885。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 是 透明 • 是 单个 • 情景 是 版本 8.4(4.1) 修改 9.
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令 cxsc auth-proxy port 相关命令 命令 class 说明 class-map 识别策略映射中使用的流量。 cxsc 将流量重定向到 ASA CX 模块。 debug cxsc 启用 ASA CX 调试消息。 hw-module module password-reset 将模块密码重置为默认值。 hw-module module reload 重新加载模块。 hw-module module reset 执行重置,然后重新加载模块。 hw-module module shutdown 关闭模块。 policy-map 配置策略;即流量类与一个或多个操作的关联。 session do get-config 获取模块配置。 session do password-reset 将模块密码重置为默认值。 session do setup host ip 配置模块管理地址。 指定要用于流量分类的类映射。 show a
第 3 D 命令 部分
第 11 章 database path 至 dhcp-server 命令 思科 ASA 系列命令参考,A 至 H 命令 11-1
第 11 章 database path 至 dhcp-server 命令 database path database path 要指定本地 CA 服务器数据库的路径或位置,请在 CA 服务器配置模式下使用 database 命令。要 重置闪存的路径,请使用此命令的 no 形式。 [no] database path mount-name directory-path 语法说明 directory-path 指定用于存储 CA 文件的安装点上目录的路径。 mount-name 指定安装名称。 默认值 默认情况下,CA 服务器数据库存储在闪存中。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 CA 服务器配置 命令历史 版本 8.
第 11 章 database path 至 dhcp-server 命令 database path 命令 debug crypto ca server 说明 mount 使 ASA 可访问通用互联网文件系统 (CIFS) 和 / 或文件传输协议文 件系统 (FTPFS)。 show crypto ca server 在 ASA 上显示 CA 配置的特征。 show crypto ca server cert-db 显示 CA 服务器颁发的证书。 在用户配置本地 CA 服务器时显示调试消息。 思科 ASA 系列命令参考,A 至 H 命令 11-3
第 11 章 database path 至 dhcp-server 命令 ddns ddns 要指定动态 DNS (DDNS) 更新方法类型,请在 ddns-update-method 模式下使用 ddns 命令。要从运 行配置中删除更新方法类型,请使用此命令的 no 形式。 ddns [both] no ddns [both] 语法说明 both 默认值 只更新 DNS A RR。 命令模式 下表展示可输入此命令的模式: (可选)指定更新 DNS A 和 PTR 资源记录 (RR)。 防火墙模式 安全情景 多个 命令模式 路由 Ddns-update-method 命令历史 使用指南 版本 7.
第 11 章 database path 至 dhcp-server 命令 ddns 相关命令 命令 ddns update 说明 将 DDNS 更新方法与 ASA 接口或一个 DDNS 更新主机名关联。 ddns update method 创建一个用于动态更新 DNS 资源记录的方法。 dhcp-client update dns 配置 DHCP 客户端要向 DHCP 服务器传送的更新参数。 dhcpd update dns 启用 DHCP 服务器以执行 DDNS 更新。 interval maximum 配置 DDNS 更新方法的更新尝试之间的最大间隔。 思科 ASA 系列命令参考,A 至 H 命令 11-5
第 11 章 database path 至 dhcp-server 命令 ddns update ddns update 要将动态 DNS (DDNS) 更新方法与 ASA 接口或更新主机名关联,请在接口配置模式下使用 ddns update 命令。要从运行配置删除 DDNS 更新方法与接口或主机名之间的关联,请使用此命令的 no 形式。 ddns update [method-name | hostname hostname] no ddns update [method-name | hostname hostname] 语法说明 hostname 指定命令字符串中的下一项是主机名。 hostname 指定要用于更新的主机名。 method-name 指定要与所配置的接口关联的方法名称。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 使用指南 版本 7.
第 11 章 database path 至 dhcp-server 命令 ddns update 命令 说明 dhcp-client update dns 配置 DHCP 客户端要向 DHCP 服务器传送的更新参数。 dhcpd update dns 启用 DHCP 服务器以执行 DDNS 更新。 interval maximum 配置 DDNS 更新方法的更新尝试之间的最大间隔。 思科 ASA 系列命令参考,A 至 H 命令 11-7
第 11 章 database path 至 dhcp-server 命令 ddns update method ddns update method 要创建动态更新 DNS 资源记录 (RR) 的方法,请在全局配置模式下使用 ddns update method 命 令。要从运行配置删除动态 DNS (DDNS) 更新方法,请使用此命令的 no 形式。 ddns update method name no ddns update method name 语法说明 name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定动态更新 DNS 记录的方法的名称。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第 11 章 database path 至 dhcp-server 命令 ddns update method 相关命令 命令 ddns 说明 为已创建的 DDNS 方法指定 DDNS 更新方法类型。 ddns update 将 DDNS 更新方法与 ASA 接口或一个 DDNS 更新主机名关联。 dhcp-client update dns 配置 DHCP 客户端要向 DHCP 服务器传送的更新参数。 dhcpd update dns 启用 DHCP 服务器以执行动态 DNS 更新。 interval maximum 配置 DDNS 更新方法的更新尝试之间的最大间隔。 思科 ASA 系列命令参考,A 至 H 命令 11-9
第 11 章 database path 至 dhcp-server 命令 debug debug 要显示给定功能的调试消息,请在特权 EXEC 模式下使用 debug 命令。要禁用调试消息的显示, 请使用此命令的 no 形式。 debug feature [subfeature] [level] no debug feature [subfeature] 语法说明 level (可选)指定调试级别。该级别可能并非对所有功能都适用。 feature 指定要为其启用调试的功能。要查看可用的功能,请使用 debug? 命令 查看 CLI 帮助。 subfeature (可选)根据功能,您可以为一项或多项子功能启用调试消息。 默认值 默认调试级别为 1。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第 11 章 database path 至 dhcp-server 命令 default (crl configure) default (crl configure) 要将所有 CRL 参数恢复为系统默认值,请在 crl configure 配置模式下使用 default 命令。 default 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Crl 配置配置 命令历史 使用指南 示例 版本 7.
第 11 章 database path 至 dhcp-server 命令 default(接口) default(接口) 要将接口命令恢复为系统默认值,请在接口配置模式下使用 default 命令。 default command 语法说明 command 指定要设置为默认值的命令。例如: default activation key 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 版本 7.
第 11 章 database path 至 dhcp-server 命令 default (OSPFv3) default (OSPFv3) 要将 OSPFv3 参数恢复为默认值,请在路由器配置模式下使用 default 命令。 default [area | auto-cost | default-information | default-metric | discard-route | distance | distribute-list | ignore | log-adjacency-changes | maximum-paths | passive-interface | redistribute | router-id | summary-prefix | timers] 语法说明 area (可选)指定 OSPFv3 区域参数。 auto-cost (可选)根据带宽指定 OSPFv3 接口成本。 default-information (可选)分配默认信息。 default-metric (可选)指定重分布路由的指标。 discard-route (可选)启用或禁用
第 11 章 database path 至 dhcp-server 命令 default (OSPFv3) 示例 以下示例将 OSPFv3 计时器参数重置为默认值: ciscoasa(config-router)# default timers spf 相关命令 命令 distance 说明 default-information originate 将默认外部路由生成到 OSPFv3 路由域。 指定 OSPFv3 路由进程的管理距离。 log-adjacency-changes 配置路由器在 OSPFv3 邻居启动或关闭时发送系统日志消息。 思科 ASA 系列命令参考,A 至 H 命令 11-14
第 11 章 database path 至 dhcp-server 命令 default (time-range) default (time-range) 要恢复 absolute 和 periodic 命令的默认设置,请在 time-range 配置模式下使用 default 命令。 default {absolute | periodic days-of-the-week time to [days-of-the-week] time} 语法说明 定义时间范围生效的绝对时间。 days-of-the-week 此参数首次出现的时间是关联的时间范围生效的开始时间或周内某日。第二 次出现在周的结束日或关联的语句生效的周内某日。 absolute 此参数是任何一天或周内某些日的组合:周一、周二、周三、周四、周五、 周六和周日。其他可能的值是: • 每日 - 周一至周日 • 工作日 - 周一至周五 • 周末 - 周六和周日 如果周的结束日与周的开始日相同,则您可以忽略它们。 periodic 指定支持时间范围功能的各功能的重复(每周)时间范围。 time 以 HH:MM 格式指定时
第 11 章 database path 至 dhcp-server 命令 default (time-range) 相关命令 命令 absolute 说明 periodic 指定支持时间范围功能的各功能的重复(每周)时间范围。 time-range 定义对 ASA 基于时间的访问控制。 思科 ASA 系列命令参考,A 至 H 命令 11-16 定义时间范围生效的绝对时间。
第 11 章 database path 至 dhcp-server 命令 default user group default user group 对于云网络安全,要指定当 ASA 无法确定进入 ASA 的用户身份时的默认用户名和 / 或组,请在 参数配置模式下使用 default user group 命令。要删除默认用户或组,请使用此命令的 no 形式。 您可以先输入 policy-map type inspect scansafe 命令来访问参数配置模式。 default {[user username] [group groupname]} no default [user username] [group groupname] 语法说明 username 指定默认用户名。 groupname 指定默认组名称。 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 参数配置 命令历史 版本 9.
第 11 章 database path 至 dhcp-server 命令 default user group 命令 license 说明 match user group 匹配白名单的用户或组。 policy-map type inspect scansafe 创建检查策略映射,以便配置重要的规则参数并选择性地标识白名单。 retry-count 输入重试计数器值,即 ASA 在轮询云网络安全代理服务器以检查其可 用性之前所等待的时长。 scansafe 在多情景模式下,允许基于情景的云网络安全。 scansafe general-options 配置一般云网络安全服务器选项。 server {primary | backup} 配置主要或备用云网络安全代理服务器的完全限定域名或 IP 地址。 show conn scansafe 显示所有云网络安全连接,标有大写 Z 标志。 show scansafe server 显示服务器的状态,表示服务为当前活动服务器、备用服务器还是不可 达。 show scansafe statistics 显示总计和当前 HTTP
第 11 章 database path 至 dhcp-server 命令 default-acl default-acl 要指定将 ACL 用作安全状态验证失败时 NAC 框架会话的默认 ACL,请在 nac-policy-nac-framework 配置模式下使用 default-acl 命令。要从 NAC 策略中删除此命令,请使用此命令的 no 形式。 [no] default-acl acl-name 语法说明 acl-name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 命名要应用到会话的访问控制列表。 防火墙模式 安全情景 多个 命令模式 路由 Nac-policy-nac-framework 配置 命令历史 使用指南 • 是 透明 — 单个 • 是 情景 系统 — — 版本 7.2(1) 修改 8.
第 11 章 database path 至 dhcp-server 命令 default-acl 相关命令 命令 nac-policy 创建和访问 Cisco NAC 策略,并指定其类型。 nac-settings 将 NAC 策略分配到组策略。 debug nac 启用日志记录的 NAC 框架事件。 show vpn-session_summary.db 显示 IPsec、WebVPN 和 NAC 会话数。 show vpn-session.
第 11 章 database path 至 dhcp-server 命令 default enrollment default enrollment 要将所有注册参数恢复为系统默认值,请在 crypto ca trustpoint 配置模式下使用 default enrollment 命令。 default enrollment 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令历史 命令模式 路由 透明 单个 情景 系统 Crypto ca trustpoint 配置 • • • • • 版本 7.
第 11 章 database path 至 dhcp-server 命令 default-domain default-domain 要设置组策略用户的默认域名,请在 group-policy 配置模式下使用 default-domain 命令。要删除 域名,请使用此命令的 no 形式。 default-domain {value domain-name | none} no default-domain [domain-name] 语法说明 none value domain-name 表示没有默认域名。使用 null 值设置默认域名,从而禁止使用默认域 名。防止从默认或指定的组策略继承默认域名。 标识组的默认域名。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 组策略配置 命令历史 使用指南 版本 7.
第 11 章 database path 至 dhcp-server 命令 default-group-policy default-group-policy 要指定用户默认继承的属性集,请在隧道组常规属性配置模式下使用 default-group-policy 命 令。要消除默认组策略名称,请使用此命令的 no 形式。 default-group-policy group-name no default-group-policy group-name 语法说明 group-name 默认值 默认组名称是 DfltGrpPolicy。 命令模式 下表展示可输入此命令的模式: 指定默认组的名称。 防火墙模式 安全情景 多个 命令模式 路由 隧道组常规属性配置 命令历史 使用指南 • 是 透明 — 单个 • 是 情景 系统 — — 版本 7.0(1) 修改 7.
第 11 章 database path 至 dhcp-server 命令 default-group-policy 相关命令 命令 clear-configure tunnel-group 说明 group-policy 创建或编辑组策略 show running-config tunnel group 显示所有隧道组或特定隧道组的隧道组配置。 tunnel-group general-attributes 指定命名的隧道组的常规属性。 思科 ASA 系列命令参考,A 至 H 命令 11-24 清除所有配置的隧道组。
第 11 章 database path 至 dhcp-server 命令 default-group-policy (webvpn) default-group-policy (webvpn) 要指定当 WebVPN 或邮件代理配置未指定组策略时使用的组策略名称,请在各配置模式下使用 default-group-policy 命令。要从配置中删除属性,请使用此命令的 no 形式。 default-group-policy groupname no default-group-policy 语法说明 groupname 默认值 名为 DfltGrpPolicy 的默认组策略在 ASA 上始终存在。此 default-group-policy 命令可用于替换为 WebVPN 和邮件代理会话创建的默认组策略。另一种方式是编辑 DfltGrpPolicy。 命令模式 下表展示可输入此命令的模式: 标识先前配置的组策略以用作默认组策略。使用 group-policy 命令配 置组策略。 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 单个 情景 系统 We
第 11 章 database path 至 dhcp-server 命令 default-group-policy (webvpn) 属性 vpn-access-hours 默认值 unrestricted vpn-simultaneous-logins 3 vpn-idle-timeout 30 minutes vpn-session-timeout none vpn-filter none vpn-tunnel-protocol WebVPN ip-comp disable re-xauth disable group-lock none pfs disable client-access-rules none banner none password-storage disabled ipsec-udp disabled ipsec-udp-port 0 backup-servers keep-client-config split-tunnel-policy tunnelall split-tunnel-network-lis
第 11 章 database path 至 dhcp-server 命令 default-idle-timeout default-idle-timeout 要为 WebVPN 用户设置默认空闲超时时间值,请在 webvpn 配置模式下使用 default-idle-timeout 命令。要从配置删除默认空闲超时值并重置默认值,请使用此命令的 no 形式。 default-idle-timeout seconds no default-idle-timeout 语法说明 seconds 默认值 1800 秒(30 分钟)。 命令模式 下表展示可输入此命令的模式: 指定空闲超时的秒数。最小值为 60 秒,最大值为 1 天(86400 秒)。 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 使用指南 版本 7.
第 11 章 database path 至 dhcp-server 命令 default-information (EIGRP) default-information (EIGRP) 要控制 EIGRP 路由进程的候选默认路由信息,请在路由器配置模式下使用 default-information 命 令。要抑制入站或出站更新中的 EIGRP 候选默认路由信息,请使用此命令的 no 形式。 default-information {in | out} [acl-name] no default-information {in | out} 语法说明 acl-name (可选)指定命名的标准访问列表。 in 配置 EIGRP 接受外部默认路由信息。 out 配置 EIGRP 通告外部路由信息。 默认值 接受并发送外部路由。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 • 是 版本 8.0(2) 引入了此命令。 9.
第 11 章 database path 至 dhcp-server 命令 default-information originate (BGP) default-information originate (BGP) 要配置边界网关协议 (BGP) 路由进程以分配默认路由(网络 0.0.0.0),请在地址系列配置模式下 使用 default-information originate 命令。要禁用默认路由通告,请使用此命令的 no 形式。 default-information originate no default-information originate 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 地址系列配置 命令历史 版本 9.2(1) 使用指南 • 是 透明 — 单个 • 是 情景 • 是 系统 — 修改 引入了此命令。 default-information originate 命令用于配置 BGP 路由进程以通告默认路由(网络 0.
第 11 章 database path 至 dhcp-server 命令 default-information originate (BGP) 相关命令 命令 network 说明 neighbor default-originate 允许 BGP 发言方(本地路由器)将默认路由 0.0.0.
第 11 章 database path 至 dhcp-server 命令 default-information originate(OSPFv2 和 OSPFv3) default-information originate(OSPFv2 和 OSPFv3) 要生成到 OSPFv2 和 OSPFv3 路由域的默认外部路由,请在路由器配置模式或 IPv6 路由器配置模 式下使用 default-information originate 命令。要禁用此功能,请使用此命令的 no 形式。 default-information originate [always] [metric value] [metric-type {1 | 2}] [route-map map-name] no default-information originate [[always] [metric value] [metric-type {1 | 2}] [route-map map-name]] 语法说明 always (可选)无论软件是否有默认路由,始终通告默认路由。 metric value (可选)指定从
第 11 章 database path 至 dhcp-server 命令 default-information originate(OSPFv2 和 OSPFv3) 示例 以下示例展示如何使用带可选指标和指标类型的 default-information originate 命令: ciscoasa(config-rtr)# default-information originate always metric 3 metric-type 2 ciscoasa(config-rtr)# 相关命令 命令 router ospf 说明 show running-config router 显示全局路由器配置中的 OSPFv2 命令。 ipv6 router ospf 进入 IPv6 路由器配置模式。 show running-config ipv6 router 显示全局路由器配置中的 OSPFv3 命令。 思科 ASA 系列命令参考,A 至 H 命令 11-32 进入路由器配置模式。
第 11 章 database path 至 dhcp-server 命令 default-information originate (RIP) default-information originate (RIP) 要生成到 RIP 的默认路由,请在路由器配置模式下使用 default-information originate 命令。要禁 用此功能,请使用此命令的 no 形式。 default-information originate [route-map name] no default-information originate [route-map name]] 语法说明 route-map name 默认值 此命令默认禁用。 命令模式 下表展示可输入此命令的模式: (可选)要应用的路由映射的名称。如果满足路由映射,路由进程将 生成默认路由。 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 使用指南 示例 版本 7.
第 11 章 database path 至 dhcp-server 命令 default-language default-language 要设置无客户端 SSL VPN 页面上显示的默认语言,请在 webvpn 配置模式下使用 default-language 命令。 default-language language 语法说明 language 默认值 默认语言是 en-us(美国英语)。 命令模式 下表展示可输入此命令的模式: 指定以前导入的转换表的名称。 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 使用指南 版本 8.
第 11 章 database path 至 dhcp-server 命令 default-metric default-metric 要指定重分布路由的 EIGRP 指标,请在路由器配置模式下使用 default-metric 命令。要恢复默认 值,请使用此命令的 no 形式。 default-metric bandwidth delay reliability loading mtu no default-metric bandwidth delay reliability loading mtu 语法说明 bandwidth 路由的最小带宽(以每秒千字节为单位)。有效值为从 1 到 4294967295。 delay 路由延迟(以十微秒为单位)。有效值为 1 到 4294967295。 loading 路由的有效带宽(以 1 到 255 的数字表示,255 是 100% 负载)。 mtu 允许的 MTU 最小值,以字节表示。有效值为从 1 到 65535。 reliability 数据包成功传输的可能性(以 0 到 255 的数字表示)。255 表示 100% 可靠; 0 表示
第 11 章 database path 至 dhcp-server 命令 default-metric ciscoasa(config-router)# redistribute rip ciscoasa(config-router)# default-metric 1000 100 250 100 1500 相关命令 命令 router eigrp 说明 redistribute (EIGRP) 将路由重分布到 EIGRP 路由进程。 思科 ASA 系列命令参考,A 至 H 命令 11-36 创建 EIGRP 路由进程并进入该进程的路由器配置模式。
第 11 章 database path 至 dhcp-server 命令 delay delay 要设置接口的延迟值,请在接口配置模式下使用 delay 命令。要恢复默认延迟值,请使用此命令 的 no 形式。 delay delay-time no delay 语法说明 delay-time 默认值 默认延迟取决于接口类型。使用 show interface 命令查看接口的延迟值。 命令模式 下表展示可输入此命令的模式: 延迟时间(以十微秒为单位)。有效值为从 1 到 16777215。 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 • 是 版本 8.0(2) 修改 9.
第 11 章 delay ciscoasa(config-if)# delay 200 ciscoasa(config-if)# show interface Ethernet0/0 Interface Ethernet0/0 "outside", is up, line protocol is up Hardware is i82546GB rev03, BW 100 Mbps, DLY 2000 usec Auto-Duplex(Half-duplex), Auto-Speed(100 Mbps) MAC address 0013.c480.7e16, MTU 1500 IP address 10.86.194.224, subnet mask 255.255.254.
第 11 章 database path 至 dhcp-server 命令 delete delete 要从闪存中删除文件,请在特权 EXEC 模式下使用 delete 命令。 delete [/noconfirm] [/recursive] [/replicate] [disk0: | disk1: | flash:] [path/] filename 语法说明 /noconfirm (可选)不提示确认。 /recursive (可选)循环删除所有子目录中指定的文件。 /replicate (可选)删除备用设备上指定的文件。 disk0: (可选)指定内部闪存。 disk1: (可选)指定外部闪存卡。 filename 指定要删除的文件的名称。 flash: (可选)指定内部闪存。此关键字与 disk0 相同。 path/ (可选)指定文件的路径。 默认值 如果不指定目录,则默认为当前工作目录。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第 11 章 database path 至 dhcp-server 命令 deny-message deny-message 要更改传送到已成功登录 WebVPN 的远程用户的消息,但又没有 VPN 权限,请在 group-webvpn 配置模式下使用 deny-message value 命令。要删除字符串而不让远程用户收到消息,请使用此命 令的 no 形式。 deny-message value string no deny-message value 语法说明 string 默认值 默认拒绝消息为:“Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features.Contact your IT administrator for more information.
第 11 章 database path 至 dhcp-server 命令 deny-message 相关命令 命令 clear configure group-policy 说明 删除所有组策略配置。 group-policy 创建组策略。 group-policy attributes 进入组策略属性配置模式。 show running-config group-policy 显示指定策略的运行组策略配置。 webvpn 进入组策略 webvpn 配置模式。 思科 ASA 系列命令参考,A 至 H 命令 11-41
第 11 章 database path 至 dhcp-server 命令 deny version deny version 要拒绝特定版本的 SNMP 流量,请在 snmp-map 配置模式下使用 deny version 命令。要禁用此命 令,请使用此命令的 no 形式。 deny version version no deny version version 语法说明 version 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定 ASA 丢弃的 SNMP 流量的版本。允许的值是 1、2、2c 和 3。 防火墙模式 安全情景 多个 命令模式 路由 Snmp-map 配置 命令历史 版本 7.
第 11 章 database path 至 dhcp-server 命令 deny version 相关命令 命令 class-map 说明 定义要应用安全操作的流量类。 inspect snmp 启用 SNMP 应用检查。 policy-map 将类映射与特定安全操作关联。 snmp-map 定义 SNMP 地图并启用 SNMP 映射配置模式。 service-policy 将策略映射应用于一个或多个接口。 思科 ASA 系列命令参考,A 至 H 命令 11-43
第 11 章 database path 至 dhcp-server 命令 description description 要对指定的配置单元(例如,对情景或对象组,或者对 DAP 记录)添加说明,请在各种配置模 式下使用 description 命令。要删除说明,请使用此命令的 no 形式。 description text no description 语法说明 text 将说明设置为最多 200 个字符的文本字符串。说明在配置中添加有用的 注释。对于 dynamic-access-policy-record 模式,最大长度为 80 个字符。 对于事件管理器小应用,最大长度为 256 个字符。 如果要在字符串中包含问号 (?),必须在键入问号之前键入 Ctrl-V,以 免无意中调用 CLI 帮助。 默认值 没有默认行为或值。 命令模式 此命令可用于各种配置模式。 命令历史 版本 7.0(1) 修改 8.0(2) 增加了对 dynamic-access-policy-record 配置模式的支持。 9.
第 11 章 database path 至 dhcp-server 命令 dhcp client route distance dhcp client route distance 要为通过 DHCP 获知的路由配置管理距离,请在接口配置模式下使用 dhcp client route distance 命令。要恢复默认设置,请使用此命令的 no 形式。 dhcp client route distance distance no dhcp client route distance distance 语法说明 distance 默认值 默认情况下,为通过 DHCP 获知的路由提供的管理距离为 1。 命令模式 下表展示可输入此命令的模式: 应用于通过 DHCP 获知的路由的管理距离。有效值为从 1 到 255。 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 使用指南 版本 7.
第 11 章 database path 至 dhcp-server 命令 dhcp client route distance ciscoasa(config)# interface GigabitEthernet0/3 ciscoasa(config-if)# dhcp client route track 1 ciscoasa(config-if)# dhcp client route distance 254 ciscoasa(config-if)# ip address dhcp setroute 相关命令 命令 说明 dhcp client route track 将通过 DHCP 获知的路由与跟踪条目对象关联。 ip address dhcp 使用通过 DHCP 获得的 IP 地址配置指定接口。 sla monitor 定义 SLA 监控操作。 track rtr 创建用于轮询 SLA 的跟踪条目。 思科 ASA 系列命令参考,A 至 H 命令 11-46
第 11 章 database path 至 dhcp-server 命令 dhcp client route track dhcp client route track 要配置 DHCP 客户端以将已添加的路由与指定的跟踪对象编号关联,请在接口配置模式下使用 dhcp client route track 命令。要禁用 DHCP 客户端路由跟踪,请使用此命令的 no 形式。 dhcp client route track number no dhcp client route track 语法说明 number 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 跟踪条目对象 ID。有效值为从 1 到 500。 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 使用指南 版本 7.
第 11 章 database path 至 dhcp-server 命令 dhcp client route track ciscoasa(config-if)# dhcp client route track 1 ciscoasa(config-if)# ip address dhcp setroute ciscoasa(config)# interface GigabitEthernet0/3 ciscoasa(config-if)# dhcp client route distance 254 ciscoasa(config-if)# ip address dhcp setroute 相关命令 命令 dhcp client route distance 说明 ip address dhcp 使用通过 DHCP 获得的 IP 地址配置指定接口。 sla monitor 定义 SLA 监控操作。 track rtr 创建用于轮询 SLA 的跟踪条目。 思科 ASA 系列命令参考,A 至 H 命令 11-48 将管理距离分配给通过 DHCP 获知的路由。
第 11 章 database path 至 dhcp-server 命令 dhcp-client broadcast-flag dhcp-client broadcast-flag 要允许 ASA 在 DHCP 客户端数据包中设置广播标志,请在全局配置模式下使用 dhcp-client broadcast-flag 命令。要禁止广播标志,请使用此命令的 no 形式。 dhcp-client broadcast-flag no dhcp-client broadcast-flag 语法说明 此命令没有任何参数或关键字。 默认值 默认禁用广播标志。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 全局配置 命令历史 使用指南 版本 8.
第 11 章 database path 至 dhcp-server 命令 dhcp-client client-id dhcp-client client-id 要强制 MAC 地址存储在选项 61 的 DHCP 请求数据包内而不是默认内部生成的字符串内,请在全 局配置模式下使用 dhcp-client client-id 命令。要禁止 MAC 地址,请使用此命令的 no 形式。 dhcp-client client-id interface interface_name no dhcp-client client-id interface interface_name 语法说明 interface interface_name 默认值 默认情况下,内部生成的 ASCII 字符串用于选项 61。 命令模式 下表展示可输入此命令的模式: 指定要为选项 61 启用 MAC 地址的接口。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示例 版本 8.
第 11 章 database path 至 dhcp-server 命令 dhcp-client update dns dhcp-client update dns 要配置 DHCP 客户端传递到 DHCP 服务器的更新参数,请在全局配置模式下使用 dhcp-client update dns 命令。要删除 DHCP 客户端传递到 DHCP 服务器的参数,请使用此命令的 no 形式。 dhcp-client update dns [server {both | none}] no dhcp-client update dns [server {both | none}] 语法说明 both DHCP 服务器更新 DNS A 和 PTR 资源记录的客户端请求。 none DHCP 服务器不执行 DDNS 更新的客户端请求。 server 指定 DHCP 服务器接收客户端请求。 默认值 默认情况下,ASA 请求 DHCP 服务器只执行 PTR RR 更新。客户端不将 FQDN 选项发送到服务器。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由
第 11 章 database path 至 dhcp-server 命令 dhcp-client update dns 命令 dhcpd update dns 说明 interval maximum 配置 DDNS 更新方法的更新尝试之间的最大间隔。 思科 ASA 系列命令参考,A 至 H 命令 11-52 启用 DHCP 服务器以执行 DDNS 更新。
第 11 章 database path 至 dhcp-server 命令 dhcp-network-scope dhcp-network-scope 要指定 ASA DHCP 服务器用来向此组策略的用户分配地址的 IP 地址范围,请在 group-policy 配置 模式下使用 dhcp-network-scope 命令。要从运行配置中删除属性,请使用此命令的 no 形式。 dhcp-network-scope {ip_address} | none no dhcp-network-scope 语法说明 ip_address 指定 DHCP 服务器用来向此组策略的用户分配 IP 地址的 IP 子网。 none 将 DHCP 子网设置为 null 值,从而不允许 IP 地址。防止从默认或指定的组 策略继承值。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Group-policy 命令历史 版本 7.
第 11 章 database path 至 dhcp-server 命令 dhcp-server dhcp-server 要配置支持 DHCP 服务器在 VPN 隧道建立时向客户端分配地址,请在隧道组常规属性配置模式 下使用 dhcp-server 命令。要将此命令恢复为默认值,请使用此命令的 no 形式。 dhcp-server [link-selection | subnet-selection] ip1 [ip2-ip10] [no] dhcp-server [link-selection | subnet-selection] ip1 [ip2-ip10] 语法说明 ip1 DHCP 服务器的地址 ip2-ip10 (可选)额外 DHCP 服务器的地址。最多可以指定 10 个地址,可在一 个命令中指定,也可分布于多个命令中。 link-selection (可选)指定 ASA 应发送 DHCP 子选项 5 - 中继信息选项 82 的链路选 择子选项,由 RFC 3527 定义。这只能用于支持此 RFC 的服务器。 subnet-selection (可选)指定 ASA 应发送
第 11 章 database path 至 dhcp-server 命令 dhcp-server 相关命令 命令 clear-configure tunnel-group 说明 清除所有配置的隧道组。 show running-config tunnel group 显示所有隧道组或特定隧道组的隧道组配置。 tunnel-group general-attributes 指定命名的隧道组的常规属性。 思科 ASA 系列命令参考,A 至 H 命令 11-55
第 11 章 dhcp-server 思科 ASA 系列命令参考,A 至 H 命令 11-56 database path 至 dhcp-server 命令
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 思科 ASA 系列命令参考,A 至 H 命令 12-1
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd address dhcpd address 要定义 DHCP 服务器使用的 IP 地址池,请在全局配置模式下使用 dhcpd address 命令。要删除现 有 DHCP 地址池,请使用此命令的 no 形式。 dhcpd address IP_address1[-IP_address2] interface_name no dhcpd address interface_name 语法说明 interface_name 向其分配地址池的接口。 IP_address1 DHCP 地址池的开始地址。 IP_address2 DHCP 地址池的结束地址。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd address 以下示例展示如何在内部接口上配置 DHCP 服务器。dhcpd address 命令在该接口上向 DHCP 服 务器分配一个包含 10 个 IP 地址的池。 ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# 相关命令 dhcpd dhcpd dhcpd dhcpd dhcpd dhcpd dhcpd address 10.0.1.101-10.0.1.110 inside dns 198.162.1.2 198.162.1.3 wins 198.162.1.4 lease 3000 ping_timeout 1000 domain example.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd auto_config dhcpd auto_config 要使 ASA 能够自动根据从运行 DHCP 或 PPPoE 客户端的接口或从 VPN 服务器获取的值为 DHCP 服务器配置 DNS、WINS 和域名值,请在全局配置模式下使用 dhcpd auto_config 命令。要终止 DHCP 参数的自动配置,请使用此命令的 no 形式。 dhcpd auto_config client_if_name [[vpnclient-wins-override] interface if_name] no dhcpd auto_config client_if_name [[vpnclient-wins-override] interface if_name] 语法说明 client_if_name 指定运行提供 DNS、WINS 和域名参数的 DHCP 客户端的接口。 指定要应用操作的接口。 vpnclient-wins-override 使用 VPN 客户端参数覆盖接口 DHCP
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd auto_config 相关命令 命令 clear configure dhcpd 说明 删除所有 DHCP 服务器设置。 dhcpd enable 在指定接口上启用 DHCP 服务器。 show ip address dhcp server 显示有关 DHCP 服务器为充当 DHCP 客户端的接口提供的 DHCP 选项 的详细信息。 show running-config dhcpd 显示当前 DHCP 服务器配置。 思科 ASA 系列命令参考,A 至 H 命令 12-5
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd dns dhcpd dns 要定义 DHCP 客户端的 DNS 服务器,请在全局配置模式下使用 dhcpd dns 命令。要清除定义的服 务器,请使用此命令的 no 形式。 dhcpd dns dnsip1 [dnsip2] [interface if_name] no dhcpd dns dnsip1 [dnsip2] [interface if_name] 语法说明 dnsip1 指定 DHCP 客户端的主 DNS 服务器的 IP 地址。 dnsip2 (可选)指定 DHCP 客户端的备用 DNS 服务器的 IP 地址。 interface if_name 指定要应用输入到服务器的值的接口。如果未指定接口,则将值应用 于所有服务器。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd dns 命令 dhcpd wins show running-config dhcpd 说明 定义 DHCP 客户端的 WINS 服务器。 显示当前 DHCP 服务器配置。 思科 ASA 系列命令参考,A 至 H 命令 12-7
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd domain dhcpd domain 要定义 DHCP 客户端的 DNS 域名,请在全局配置模式下使用 dhcpd domain 命令。要清除 DNS 域名,请使用此命令的 no 形式。 dhcpd domain domain_name [interface if_name] no dhcpd domain [domain_name] [interface if_name] 语法说明 domain_name 指定 DNS 域名 (example.com)。 interface if_name 指定要应用输入到服务器的值的接口。如果未指定接口,则将值应用 于所有服务器。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示例 版本 7.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd enable dhcpd enable 要启用 DHCP 服务器,请在全局配置模式下使用 dhcpd enable 命令。要禁用 DHCP 服务器,请使 用此命令的 no 形式。 dhcpd enable interface no dhcpd enable interface 语法说明 interface 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定要启用 DHCP 服务器的接口。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd enable 示例 以下示例展示如何在内部接口上启用 DHCP 服务器: ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# ciscoasa(config)# 相关命令 dhcpd dhcpd dhcpd dhcpd dhcpd dhcpd dhcpd 命令 debug dhcpd 说明 dhcpd address 在指定接口上指定 DHCP 服务器使用的地址池。 show dhcpd 显示 DHCP 绑定、统计或状态信息。 show running-config dhcpd 显示当前 DHCP 服务器配置。 思科 ASA 系列命令参考,A 至 H 命令 12-10 address 10.0.1.101-10.0.1.110 inside dns 198.162.1.2 198.162.1.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd lease dhcpd lease 要指定 DHCP 租赁长度,请在全局配置模式下使用 dhcpd lease 命令。要恢复租赁的默认值,请 使用此命令的 no 形式。 dhcpd lease lease_length [interface if_name] no dhcpd lease [lease_length] [interface if_name] 语法说明 interface if_name 指定要应用输入到服务器的值的接口。如果未指定接口,则将值应用 于所有服务器。 lease_length 指定 DHCP 服务器向 DHCP 客户端授予的 IP 地址租赁的长度(以秒为 单位)。有效值为从 300 到 1048575 秒。 默认值 默认 lease_length 为 3600 秒。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第 12 章 dhcpd lease 相关命令 命令 clear configure dhcpd 说明 show running-config dhcpd 显示当前 DHCP 服务器配置。 思科 ASA 系列命令参考,A 至 H 命令 12-12 删除所有 DHCP 服务器设置。 dhcpd address 至 distribute-list out (BGP) 命令
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd option dhcpd option 要配置 DHCP 选项,请在全局配置模式下使用 dhcpd option 命令。要清除该选项,请使用此命令 的 no 形式。 dhcpd option code {ascii string} | {ip IP_address [IP_address]} | {hex hex_string} [interface if_name] no dhcpd option code [interface if_name] 语法说明 ascii string 指定选项参数是不带有空格的 ASCII 字符字符串。 code 指定一个代表正在设置的 DHCP 选项的数字。有效值为 0 到 255,其中 存在几个例外。请参阅 “ 使用指南 ” 部分,了解不支持的 DHCP 选 项代码的列表。 hex hex_string 指定选项参数是十六进制字符串,其中包含偶数个数字,且没有空 格。您无需使用 0x 前缀。 interface if_name 指定要应
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd option 注意 dhcpd option 66 命令仅采用一个 ascii 参数,且 dhcpd option 150 仅采用一个 ip 参数。 在为 dhcpd option 66 | 150 命令指定 IP 地址时,请使用以下指南: • 如果 TFTP 服务器位于 DHCP 服务器接口上,请使用 TFTP 服务器的本地 IP 地址。 • 如果 TFTP 服务器所在接口的安全性低于 DHCP 服务器接口,则应用通用出站规则。为 DHCP 客户端创建一组 NAT 全局访问列表条目,并使用 TFTP 服务器的实际 IP 地址。 • 如果 TFTP 服务器位于更安全的接口上,则应用通用入站规则。为 TFTP 服务器创建一组静态 访问列表语句,并使用 TFTP 服务器的全局 IP 地址。 有关其他 DHCP 选项的信息,请参阅 RFC 2132。 注意 ASA 不验证您提供的选项类型和值是否与 RFC 2132 中定义的选项代码的预期类型和值匹配。例 如,您可以输入 dhcp
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd ping_timeout dhcpd ping_timeout 要更改 DHCP ping 的默认超时,请在全局配置模式下使用 dhcpd ping_timeout 命令。要恢复默认 值,请使用此命令的 no 形式。 dhcpd ping_timeout number [interface if_name] no dhcpd ping_timeout [interface if_name] 语法说明 interface if_name 指定要应用输入到服务器的值的接口。如果未指定接口,则将值应用 于所有服务器。 number ping 的超时值,以毫秒为单位。最小值为 10,最大值为 10000。默认 值为 50。 默认值 number 的默认毫秒数是 50。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第 12 章 dhcpd ping_timeout 相关命令 命令 clear configure dhcpd 说明 show running-config dhcpd 显示当前 DHCP 服务器配置。 思科 ASA 系列命令参考,A 至 H 命令 12-16 删除所有 DHCP 服务器设置。 dhcpd address 至 distribute-list out (BGP) 命令
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd update dns dhcpd update dns 要使 DHCP 服务器能够执行 DDNS 更新,请在全局配置模式下使用 dhcpd update dns 命令。要通 过 DHCP 服务器禁用 DDNS,请使用此命令的 no 形式。 dhcpd update dns [both] [override] [interface srv_ifc_name] no dhcpd update dns [both] [override] [interface srv_ifc_name] 语法说明 both 指定 DHCP 服务器更新 A 和 PTR DNS RR。 interface 指定要应用 DDNS 更新的 ASA 接口。 override 指定 DHCP 服务器覆盖 DHCP 客户端请求。 srv_ifc_name 指定要应用此选项的接口。 默认值 默认情况下,DHCP 服务器仅执行 PTR RR 更新。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd update dns 相关命令 命令 ddns 说明 ddns update 将 DDNS 更新方法与 ASA 接口或一个 DDNS 更新主机名关联。 ddns update method 创建一个用于动态更新 DNS 资源记录的方法。 为已创建的 DDNS 方法指定 DDNS 更新方法类型。 dhcp-client update dns 配置 DHCP 客户端要向 DHCP 服务器传送的更新参数。 interval maximum 配置 DDNS 更新方法的更新尝试之间的最大间隔。 思科 ASA 系列命令参考,A 至 H 命令 12-18
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd wins dhcpd wins 要定义 DHCP 客户端的 WINS 服务器 IP 地址,请在全局配置模式下使用 dhcpd wins 命令。要从 配置中删除 WINS 服务器 IP 地址,请使用此命令的 no 形式。 dhcpd wins server1 [server2] [interface if_name] no dhcpd wins [server1 [server2]] [interface if_name] 语法说明 interface if_name 指定要应用输入到服务器的值的接口。如果未指定接口,则将值应用 于所有服务器。 server1 指定主 Microsoft NetBIOS 名称服务器(WINS 服务器)的 IP 地址。 server2 (可选)指定备用 Microsoft NetBIOS 名称服务器(WINS 服务器) 的 IP 地址。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcpd wins 相关命令 命令 clear configure dhcpd 说明 dhcpd address 在指定接口上指定 DHCP 服务器使用的地址池。 dhcpd dns 定义 DHCP 客户端的 DNS 服务器。 show dhcpd 显示 DHCP 绑定、统计或状态信息。 show running-config dhcpd 显示当前 DHCP 服务器配置。 思科 ASA 系列命令参考,A 至 H 命令 12-20 删除所有 DHCP 服务器设置。
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay enable dhcprelay enable 要启用 DHCP 中继代理,请在全局配置模式下使用 dhcprelay enable 命令。要禁用 DHCP 中继代 理,请使用此命令的 no 形式。 dhcprelay enable interface_name no dhcprelay enable interface_name 语法说明 interface_name 默认值 禁用 DHCP 中继代理。 命令模式 下表展示可输入此命令的模式: DHCP 中继代理用来接受客户端请求的接口的名称。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay enable 示例 以下示例展示如何使用以下信息为 DHCP 服务器配置 DHCP 中继代理:ASA 的外部接口上具有 IP 地址 10.1.1.1、ASA 的内部接口上具有客户端请求,以及超时值最多 90 秒: ciscoasa(config)# dhcprelay server 10.1.1.1 outside ciscoasa(config)# dhcprelay timeout 90 ciscoasa(config)# dhcprelay enable inside ciscoasa(config)# show running-config dhcprelay dhcprelay server 10.1.1.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay information trust-all dhcprelay information trust-all 要将指定接口配置为受信任接口,请在全局配置模式下使用 dhcprelay information trust-all 命令。 dhcprelay information trust-all 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 9.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay information trusted dhcprelay information trusted 要将指定接口配置为受信任接口,请在接口配置模式下使用 dhcprelay information trusted 命令。 dhcprelay information trusted 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 版本 9.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay information trusted 命令 dhcprelay timeout 说明 show running-config dhcprelay 显示当前 DHCP 中继代理配置。 指定 DHCP 中继代理的超时值。 思科 ASA 系列命令参考,A 至 H 命令 12-25
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay server (global) dhcprelay server (global) 要指定向其转发 DHCP 请求的 DHCP 服务器,请在全局配置模式下使用 dhcpreplay server 命 令。要从 DHCP 中继配置中删除 DHCP 服务器,请使用此命令的 no 形式。 dhcprelay server [interface_name] no dhcprelay server [interface_name] 语法说明 interface_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定 DHCP 服务器所驻留的 ASA 接口的名称。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay server (global) 相关命令 命令 clear configure dhcprelay 说明 删除所有 DHCP 中继代理设置。 dhcprelay enable 在指定接口上启用 DHCP 中继代理。 dhcprelay setroute 定义用作 DHCP 应答中的默认路由器地址的 DHCP 中继代理的 IP 地址。 dhcprelay timeout 指定 DHCP 中继代理的超时值。 show running-config dhcprelay 显示当前 DHCP 中继代理配置。 思科 ASA 系列命令参考,A 至 H 命令 12-27
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay server(接口)(9.1(2) 及更高版本) dhcprelay server(接口) (9.1(2) 及更高版本) 要指定向其转发 DHCP 请求的 DHCP 中继接口服务器,请在接口配置模式下使用 dhcpreplay server 命令。要从 DHCP 中继配置中删除 DHCP 中继接口服务器,请使用此命令的 no 形式。 dhcprelay server ip_address no dhcprelay server ip_address 语法说明 ip_address 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定 DHCP 中继代理要向其转发客户端 DHCP 请求的 DHCP 中继接口 服务器的 IP 地址。 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 使用指南 版本 9.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay server(接口)(9.1(2) 及更高版本) 示例 以下示例展示如何使用以下信息为 DHCP 中继接口服务器配置 DHCP 中继代理:ASA 的外部接 口上具有 IP 地址 10.1.1.1、ASA 的内部接口上具有客户端请求,以及超时值最多 90 秒: ciscoasa(config)# interface vlan 10 ciscoasa(config-if)# nameif inside ciscoasa(config-if)# dhcprelay server 10.1.1.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay setroute dhcprelay setroute 要在 DHCP 应答中设置默认网关地址,请在全局配置模式下使用 dhcprelay setroute 命令。要删 除默认路由器,请使用此命令的 no 形式。 dhcprelay setroute interface no dhcprelay setroute interface 语法说明 interface 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 配置 DHCP 中继代理以将第一个默认 IP 地址(在从 DHCP 服务器发送 的数据包中)更改为 interface 的地址。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 版本 7.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay setroute 相关命令 命令 clear configure dhcprelay 说明 删除所有 DHCP 中继代理设置。 dhcprelay enable 在指定接口上启用 DHCP 中继代理。 dhcprelay server 指定 DHCP 中继代理要向其转发 DHCP 请求的 DHCP 服务器。 dhcprelay timeout 指定 DHCP 中继代理的超时值。 show running-config dhcprelay 显示当前 DHCP 中继代理配置。 思科 ASA 系列命令参考,A 至 H 命令 12-31
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay timeout dhcprelay timeout 要设置 DHCP 中继代理超时值,请在全局配置模式下使用 dhcprelay timeout 命令。要将超时值 恢复为其默认值,请使用此命令的 no 形式。 dhcprelay timeout seconds no dhcprelay timeout 语法说明 seconds 默认值 DHCP 中继超时的默认值为 60 秒。 命令模式 下表展示可输入此命令的模式: 指定 DHCP 中继地址协商所允许的秒数。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dhcprelay timeout 命令 dhcprelay server 说明 指定 DHCP 中继代理要向其转发 DHCP 请求的 DHCP 服务器。 dhcprelay setroute 定义用作 DHCP 应答中的默认路由器地址的 DHCP 中继代理的 IP 地址。 show running-config dhcprelay 显示当前 DHCP 中继代理配置。 思科 ASA 系列命令参考,A 至 H 命令 12-33
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dialog dialog 要定制向 WebVPN 用户显示的对话框消息,请在 WebVPN 定制配置模式下使用 dialog 命令。要 从配置中删除该命令并使值得到继承,请使用此命令的 no 形式。 dialog {title | message | border} style value no dialog {title | message | border} style value 语法说明 默认值 border 指定对边界的更改。 message 指定对消息的更改。 style 指定对样式的更改。 title 指定对标题的更改。 value 要显示的实际文本或 CSS 参数(最大值是 256 个字符)。 默认标题样式是 background-color:#669999;color:white。 默认消息样式是 background-color:#99CCCC;color:black。 默认边界样式是 border:1px solid black;border-coll
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dialog 注意 示例 要轻松定制 WebVPN 页面,我们建议您使用 ASDM,它具有配置样式元素的便捷功能,包括色样 和预览功能。 以下示例定制对话框消息,其中将前景色更改为蓝色: ciscoasa(config)# webvpn ciscoasa(config-webvpn)# customization cisco ciscoasa(config-webvpn-custom)# dialog message style color:blue 相关命令 命令 application-access 说明 定制 WebVPN 主页的 Application Access 框。 browse-networks 定制 WebVPN 主页的 Browse Networks 框。 web-bookmarks 定制 WebVPN 主页上的 Web Bookmarks 标题或链接。 file-bookmarks 定制 WebVPN 主页上的 File Bookmarks 标题或链接。
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dir dir 要显示目录内容,请在特权 EXEC 模式下使用 dir 命令。 dir [/all] [all-filesystems] [/recursive] [ disk0: | disk1: | flash: | system:] [path] 语法说明 /all (可选)显示所有文件。 /recursive (可选)递归显示目录内容。 all-filesystems (可选)显示所有文件系统的文件。 disk0: (可选)指定内部闪存后 , 跟冒号。 disk1: (可选)指定外部闪存卡后 , 跟冒号。 flash: (可选)显示默认闪存分区的目录内容。 path (可选)指定特定路径。 system: (可选)显示文件系统的目录内容。 默认值 如果不指定目录,则默认为当前工作目录。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 dir 以下示例展示如何递归显示整个文件系统的内容: ciscoasa# dir /recursive disk0: Directory of disk0:/* 1 -rw- 1519 10:03:50 Jul 14 2003 2 -rw- 1516 10:04:02 Jul 14 2003 3 -rw- 1516 10:01:34 Jul 14 2003 60985344 bytes total (60973056 bytes free) my_context.cfg my_context.cfg admin.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 disable disable 要退出特权 EXEC 模式并返回到无特权 EXEC 模式,请在特权 EXEC 模式下使用 disable 命令。 disable 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 特权 EXEC 命令历史 版本 7.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 disable(缓存) disable(缓存) 要禁用对 WebVPN 的缓存,请在缓存配置模式下使用 disable 命令。要重新启用缓存,请使用此 命令的 no 版本。 disable no disable 默认值 使用每个缓存属性的默认设置启用缓存。 命令模式 下表显示可输入命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 缓存配置 命令历史 使用指南 示例 版本 7.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 disable service-settings disable service-settings 要在使用电话代理功能时禁用 IP 电话上的服务设置,请在电话代理配置模式下使用 disable service-settings 命令。要保留 IP 电话上的设置,请使用此命令的 no 形式。 disable service-settings no disable service-settings 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下禁用服务设置。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 电话代理配置 命令历史 使用指南 版本 8.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 display display 要显示 ASA 写入 DAP 属性数据库的属性值对,请在 DAP 测试属性模式下输入 display 命令。 display 命令默认值 没有默认值或行为。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 DAP 测试属性 命令历史 版本 8.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distance bgp distance bgp 要配置 BGP 路由的管理距离,请在地址系列配置模式下使用 distance bgp 命令。要将管理距离 恢复为默认值,请使用此命令的 no 形式。 distance bgp external-distance internal-distance local-distance no distance bgp 语法说明 默认值 external-distance 外部 BGP 路由的管理距离。从外部自主系统获知的路由是外部路由。此 参数的值的范围为从 1 到 255。 internal-distance 内部 BGP 路由的管理距离。从本地自主系统中的对等设备获知的路由是 内部路由。此参数的值的范围为从 1 到 255。 local-distance 本地 BGP 路由的管理距离。本地路由是使用 network 路由器配置命令 为正在从另一进程重分布的路由器或网络列出的网络(通常作为后 门)。此参数的值的范围为从 1 到 255。 如
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distance bgp 注意事项 更改内部 BGP 路由的管理距离存在风险,不推荐这样做。配置不正确会导致路由表不一致和路 由中断。 distance bgp 命令取代了 distance mbgp 命令 示例 在以下示例中,外部距离设置为 10,内部距离设置为 50,且本地距离设置为 100: ciscoasa(config)# router bgp 50000 ciscoasa(config-router)# address family ipv4 ciscoasa(config-router-af)# network 10.108.0.0 ciscoasa(config-router-af)# neighbor 192.168.6.6 remote-as 123 ciscoasa(config-router-af)# neighbor 172.16.1.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distance eigrp distance eigrp 要配置内部和外部 EIGRP 路由的管理距离,请在路由器配置模式下使用 distance eigrp 命令。要 恢复默认值,请使用此命令的 no 形式。 distance eigrp internal-distance external-distance no distance eigrp 语法说明 默认值 命令模式 external-distance EIGRP 外部路由的管理距离。外部路由是为其从自主系统外部的邻居 获知最佳路径的路由。有效值为从 1 到 255。 internal-distance EIGRP 内部路由的管理距离。内部路由是从同一自主系统中的另一个 实体获知的路由。有效值为从 1 到 255。 默认值如下所示: • external-distance 是 170 • internal-distance 是 90 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distance eigrp 表 12-1 默认管理距离 路由来源 默认管理距离 已连接的接口 0 静态路由 1 EIGRP 总结路由 5 内部 EIGRP 90 OSPF 110 RIP 120 EIGRP 外部路由 170 未知 255 该命令的 no 形式不采用任何关键字或参数。使用该命令的 no 形式恢复内部和外部 EIGRP 路由的 默认管理距离。 示例 以下示例使用 distance eigrp 命令将所有 EIGRP 内部路由的管理距离设置为 80,将所有 EIGRP 外 部路由的管理距离设置为 115。将 EIGRP 外部路由管理距离设置为 115 会让 EIGRP 发现的到某特 定目标的路由优先于 RIP(而非 OSPF)发现的同一路由。 ciscoasa(config)# router ciscoasa(config-router)# ciscoasa(config-router)# ciscoasa(config-router)# 相关
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distance (OSPFv3) distance (OSPFv3) 要定义基于路由类型的 OSPFv3 路由管理距离,请在 IPv6 路由器配置模式下使用 distance 命令。 要恢复默认值,请使用此命令的 no 形式。 distance [ospf {external | intra-area | inter-area}] distance no distance [ospf {external | intra-area | inter-area}] distance 语法说明 distance 指定管理距离。有效值范围为 10 到 254。 external (可选)指定 OSPFv3 路由的外部类型 5 和类型 7 路由。 inter-area (可选)指定 OSPFv3 路由的区域间路由。 intra-area (可选)指定 OSPFv3 路由的区域内路由。 ospf (可选)指定 OSPFv3 路由的管理距离。 默认值 没有默认行为或值。 命令模式 下表
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distance ospf (OSPFv2) distance ospf (OSPFv2) 要定义基于路由类型的 OSPFv2 路由管理距离,请在路由器配置模式下使用 distance ospf 命令。 要恢复默认值,请使用此命令的 no 形式。 distance ospf [intra-area d1] [inter-area d2] [external d3] no distance ospf 语法说明 d1、d2 和 d3 external 指定每个路由类型的距离。有效值范围为 1 到 255。 inter-area (可选)设置从一个区域到另一个区域的所有路由的距离。 intra-area (可选)设置一个区域内所有路由的距离。 (可选)设置来自通过重分布获知的其他路由域的路由的距离。 默认值 d1、d2 和 d3 的默认值是 110。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 使用指南 版本
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distance ospf (OSPFv2) 以下示例展示分别为每个路由类型输入命令如何在路由器配置中显示为单个命令: ciscoasa(config-rtr)# distance ospf intra-area 105 inter-area 105 ciscoasa(config-rtr)# distance ospf intra-area 105 ciscoasa(config-rtr)# distance ospf external 105 ciscoasa(config-rtr)# exit ciscoasa(config)# show running-config router ospf 1 ! router ospf 1 distance ospf intra-area 105 inter-area 105 external 105 ! ciscoasa(config)# 以下示例展示如何将每个管理距离设置为 105,然后仅将外部管理距离更改为 150。show running-conf
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distribute-list distribute-list 要过滤在开放最短路径优先 (OSPF) 更新中接收或传输的网络,请在路由器配置模式下使用 distribute-list 命令。要更改或取消过滤,请使用此命令的 no 形式。 distribute-list access-list name [in |out] [interface if_name] no distribute-list access-list name [in |out] 语法说明 access-list name 标准 IP 访问列表名称。列表定义在路由更新中要接收和抑制哪些网络。 in 将访问列表或路由策略应用于传入的路由更新。 out 将访问列表或路由策略应用于传出的路由更新。out 关键字仅在路由器配置 模式下可用。 interface if_name (可选)要应用路由更新的接口。指定接口会导致仅将访问列表应用于在 该接口上收到的路由更新。 默认值 不过滤网络。 命令模式 下表展示可输入
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distribute-list 相关命令 命令 distribute-list in 说明 router ospf 进入 OSPF 路由进程的路由器配置模式。 show running-config router 在全局路由器配置中显示的命令。 思科 ASA 系列命令参考,A 至 H 命令 12-50 过滤传入的路由更新。
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distribute-list in distribute-list in 要过滤传入的路由更新,请在路由器配置模式下使用 distribute-list in 命令。要删除过滤,请使 用此命令的 no 形式。 distribute-list acl in [interface if_name] no distribute-list acl in [interface if_name] 语法说明 acl 标准访问列表的名称。 interface if_name (可选)要应用传入的路由更新的接口。指定接口会导致仅将访问列表应 用于在该接口上收到的路由更新。 默认值 在传入的更新中不过滤网络。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 • 是 版本 7.2(1) 修改 9.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distribute-list in 相关命令 命令 distribute-list out 说明 router eigrp 进入 EIGRP 路由进程的路由器配置模式。 router rip 进入 RIP 路由进程的路由器配置模式。 show running-config router 在全局路由器配置中显示的命令。 思科 ASA 系列命令参考,A 至 H 命令 12-52 过滤传出的路由更新。
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distribute-list in (BGP) distribute-list in (BGP) 要过滤在传入的边界网关协议 (BGP) 更新中接收的路由或网络,请在地址系列配置模式下使用 distribute-list in 命令。要删除分发列表并将其从正在运行的配置文件中删除,请使用此命令的 no 形式。 distribute-list {acl-name | prefix list-name} in no distribute-list {acl-name | prefix list-name} in 语法说明 acl-name IP 访问列表名称。访问列表定义在路由更新中要接收和抑制哪些网络。 prefix list-name 前缀列表的名称。前缀列表根据匹配的前缀定义在路由更新中要接收和 抑制哪些网络。 默认值 如果配置此命令时未使用预定义的访问列表或前缀列表,则分发列表将默认为允许所有流量。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distribute-list in (BGP) 示例 在以下示例中,定义前缀列表和分发列表以将 BGP 路由进程配置为仅接受来自网络 10.1.1.0/24、 网络 192.168.1.0 和网络 10.108.0.0 的流量。发起入站路由更新以激活分发列表。 ciscoasa(config)# ip prefix-list RED permit 10.1.1.0/24 ciscoasa(config)# ip prefix-1ist RED permit 10.108.0.0/16 ciscoasa(config)# ip prefix-list RED permit 192.168.1.0/24 ciscoasa(config)# router bgp 50000 ciscoasa(config-router)# address-family ipv4 ciscoasa(config-router-af)# network 10.108.0.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distribute-list out distribute-list out 要过滤传出的路由更新,请在路由器配置模式下使用 distribute-list out 命令。要删除过滤,请使 用此命令的 no 形式。 distribute-list acl out [interface if_name] [eigrp as_number | rip | ospf pid | static | connected] no distribute-list acl out [interface if_name] [eigrp as_number | rip | ospf pid | static | connected] 语法说明 acl 标准访问列表的名称。 connected (可选)仅过滤连接的路由。 eigrp as_number (可选)仅从指定的自主系统编号过滤 EIGRP 路由。as_number 参数是 ASA 上的 EIGRP 路由进程的自主系统编号。 interface i
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distribute-list out 以下示例阻止 EIGRP 路由进程在外部接口上通告 10.0.0.0 网络: ciscoasa(config)# access-list eigrp_filter deny 10.0.0.0 ciscoasa(config)# access-list eigrp_filter permit any ciscoasa(config)# router eigrp 100 ciscoasa(config-router)# network 10.0.0.
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distribute-list out (BGP) distribute-list out (BGP) 要抑制在出站边界网关协议 (BGP) 更新中通告网络,请在路由器配置模式下使用 distribute-list out 命令。要删除分发列表并将其从正在运行的配置文件中删除,请使用此命令的 no 形式。 distribute-list {acl-name | prefix list-name} out [protocol process-number | connected | static] no distribute-list {acl-name | prefix list-name} out [protocol process-number | connected | static] 语法说明 acl-name IP 访问列表名称。访问列表定义在路由更新中要接收和抑制哪些网络。 prefix list-name 前缀列表的名称。前缀列表根据匹配的前缀定义在路由更新中要接收和 抑制哪些网
第 12 章 dhcpd address 至 distribute-list out (BGP) 命令 distribute-list out (BGP) 输入 protocol 和 / 或 process-number 参数会导致仅将分发列表应用于源自指定路由进程的路 由。配置分发列表后,不会在传出的路由更新中通告未在分发列表命令中指定的地址。 要抑制在入站更新中接收网络或路由,请使用 distribute-list in 命令。 示例 在以下示例中,定义前缀列表和分发列表以将 BGP 路由进程配置为仅通告网络 192.168.0.0。发 起出站路由更新以激活分发列表。 ciscoasa(config)# ip prefix-list BLUE permit 192.168.0.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 思科 ASA 系列命令参考,A 至 H 命令 13-1
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dns domain-lookup dns domain-lookup 要使 ASA 能够将 DNS 请求发送给 DNS 服务器以执行对支持的命令的名称查找,请在全局配置模 式下使用 dns domain-lookup 命令。要禁用 DNS 请求,请使用此命令的 no 形式。 dns domain-lookup interface_name no dns domain-lookup interface_name 语法说明 interface_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定配置的接口的名称。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dns expire-entry-timer dns expire-entry-timer 要在解析的 FQDN 的 TTL 到期后删除其 IP 地址,请在全局配置模式下使用 dns expire-entry-timer 命令。要删除该计时器,请使用此命令的 no 形式。 dns expire-entry-timer minutes minutes no dns expire-entry-timer minutes minutes 语法说明 minutes minutes 默认值 默认情况下,DNS 到期条目计时器值为 1 分钟。 命令模式 下表展示可输入此命令的模式: 指定计时器时间(以分钟为单位)。有效值的范围为从 1 到 65535 分钟。 防火墙模式 安全情景 多个 命令模式 路由 全局配置模式 命令历史 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dns expire-entry-timer 相关命令 命令 clear configure dns 消除所有 DNS 命令。 dns server-group 进入 DNS 服务器组模式,您可以在其中配置 DNS 服务器组。 show running-config dns-server group 显示一个或所有现有 DNS 服务器组配置。 思科 ASA 系列命令参考,A 至 H 命令 13-4 说明
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dns name-server dns name-server 要为 ASA 配置 DNS 服务器,请在全局配置模式下使用 dns name-server 命令。要删除配置,请 使用此命令的 no 形式。 dns name-server ipv4_addr | ipv6_addr no dns name-server ipv4_addr | ipv6_addr 语法说明 ipv4_addr 指定 DNS 服务器的 IPv4 地址。 ipv6_addr 指定 DNS 服务器的 IPv6 地址。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示例 是 — 版本 8.4(2) 修改 9.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dns poll-timer dns poll-timer 要指定在 ASA 查询 DNS 服务器以解析在网络对象组中定义的完全限定域名 (FQDN) 期间的计时 器,请在全局配置模式下使用 dns poll-timer 命令。要删除该计时器,请使用此命令的 no 形式。 dns poll-timer minutes minutes no dns poll-timer minutes minutes 语法说明 minutes minutes 默认值 默认情况下,DNS 计时器为 240 分钟(即 4 小时)。 命令模式 下表展示可输入此命令的模式: 指定计时器(以分钟为单位)。有效值为 1 到 65535 分钟。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dns update dns update 要不等待 DNS 轮询计时器到期即启动 DNS 查找以解析指定的主机名,请在特权 EXEC 模式下使 用 dns update 命令。 dns update [host fqdn_name] [timeout seconds seconds] 语法说明 host fqdn_name 指定要运行 DNS 更新的主机的完全限定域名。 timeout seconds seconds 指定超时(以秒为单位)。 默认值 默认情况下,超时为 30 秒。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 模式 命令历史 使用指南 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dns-group dns-group 要指定将 DNS 服务器用于 WebVPN 隧道组,请在隧道组 WebVPN 配置模式下使用 dns-group 命 令。要恢复默认 DNS 组,请使用此命令的 no 形式。 dns-group name no dns-group 语法说明 name 默认值 默认值为 DefaultDNS。 命令模式 下表展示可输入此命令的模式: 指定用于隧道组的 DNS 服务器组配置的名称。 防火墙模式 安全情景 多个 命令模式 路由 隧道组 WebVPN 属性配置 命令历史 使用指南 版本 7.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dns-guard dns-guard 要启用 DNS 防护功能,即对每个查询实施一次 DNS 响应,请在参数配置模式下使用 dns-guard 命令。要禁用此功能,请使用此命令的 no 形式。 dns-guard no dns-guard 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下启用 DNS 防护。配置 inspect dns 命令时可以启用此功能,即使未定义 policy-map type inspect dns 命令。要禁用,必须在策略映射配置中明确声明 no dns-guard 命令。如果未配置 inspect dns 命令,则行为由 global dns-guard 命令确定。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 参数配置 命令历史 版本 7.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dns-server dns-server 要设置主 DNS 服务器和辅助 DNS 服务器的 IP 地址,请在组策略配置模式下使用 dns-server 命 令。要从运行配置中删除属性,请使用此命令的 no 形式。 dns-server {value ip_address [ip_address] | none} no dns-server 语法说明 none 将 dns-server 命令设置为空值以允许无 DNS 服务器。防止从默认或指定的 组策略继承值。 value ip_address 指定主要和辅助 DNS 服务器的 IP 地址。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 组策略配置 命令历史 使用指南 版本 7.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dns server-group dns server-group 要指定用于隧道组的 DNS 服务器的域名、名称服务器、重试次数和超时值,请在全局配置模式 下使用 dns server-group 命令。要删除特定 DNS 服务器组,请使用此命令的 no 形式。 dns server -group name no dns server-group 语法说明 name 默认值 默认值为 DefaultDNS。 命令模式 下表展示可输入此命令的模式: 指定用于隧道组的 DNS 服务器组配置的名称。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 domain-name domain-name 要设置默认域名,请在全局配置模式下使用 domain-name 命令。要删除域名,请使用此命令的 no 形式。 domain-name name no domain-name [name] 语法说明 name 默认值 默认域名为 default.domain.invalid。 命令模式 下表展示可输入此命令的模式: 设置域名,最多 63 个字符。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示例 版本 7.0(1) • 是 透明 • 是 是 • 是 系统 • 是 引入了此命令。 ASA 将域名作为后缀附加到非限定名称。例如,如果您将域名设置为 “example.com” 并通过非 限定名称 “jupiter” 指定系统日志服务器,则 ASA 将该名称限定为 “jupiter.example.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 domain-name (dns server-group) domain-name (dns server-group) 要设置默认域名,请在 DNS 服务器组配置模式下使用 domain-name 命令。要删除域名,请使用 此命令的 no 形式。 domain-name name no domain-name [name] 语法说明 name 默认值 默认域名为 default.domain.invalid。 命令模式 下表展示可输入此命令的模式: 设置域名,最多 63 个字符。 防火墙模式 安全情景 多个 命令模式 路由 DNS 服务器组配置 命令历史 使用指南 示例 版本 7.1(1) • 透明 是 • 单个 是 • 是 情景 • 是 系统 • 是 修改 此命令取代了已弃用的 dns domain-lookup 命令。 ASA 将域名作为后缀附加到非限定名称。例如,如果您将域名设置为 “example.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 downgrade downgrade 要降级您的软件版本,请在全局配置模式下使用 downgrade 命令。 downgrade [/noconfirm] old_image_url old_config_url [activation-key old_key] 语法说明 activation-key old_key (可选)如果需要复原激活密钥,则您可以输入旧的激活密钥。 old_config_url 指定保存的迁移之前的配置的路径(默认情况下此配置已保存在 disk0 上)。 old_image_url 指定 disk0、disk1、tftp、ftp 或 smb 上的旧映像的路径。 /noconfirm (可选)在不给出提示的情况下降级。 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示例 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 downgrade 相关命令 命令 activation-key 说明 输入激活密钥。 boot system 设置要从中引导的映像。 clear configure boot 清除引导映像配置。 copy startup-config 将配置复制到启动配置。 思科 ASA 系列命令参考,A 至 H 命令 13-15
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 download-max-size download-max-size 要指定允许对象下载的最大大小,请在组策略 WebVPN 配置模式下使用 download-max-size 命 令。要从配置中删除此对象,请使用此命令的 no 版本。 download-max-size size no download-max-size 语法说明 size 默认值 默认大小为 2147483647。 命令模式 下表展示可输入此命令的模式: 指定下载的对象所允许的最大大小。范围为 0 到 2147483647。 防火墙模式 安全情景 多个 命令模式 路由 组策略 WebVPN 配置模式 命令历史 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 drop drop 要丢弃所有与 match 命令或 class 命令匹配的数据包,请在匹配或类配置模式下使用 drop 命令。 要禁用此操作,请使用此命令的 no 形式。 drop [send-protocol-error] [log] no drop [send-protocol-error] [log] 语法说明 log 日志匹配。系统日志消息数取决于应用。 send-protocol-error 发送协议错误消息。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 匹配和类配置 命令历史 使用指南 版本 7.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 drop 示例 以下示例丢弃与 HTTP 流量类映射匹配的数据包并发送日志。如果同数据包还与匹配第二个匹配 的命令,它不会处理因为它已删除。 ciscoasa(config-cmap)# policy-map type inspect http http-map1 ciscoasa(config-pmap)# class http-traffic ciscoasa(config-pmap-c)# drop log ciscoasa(config-pmap-c)# match req-resp content-type mismatch ciscoasa(config-pmap-c)# reset log 相关命令 命令 class 说明 policy-map type inspect 定义特殊的应用检查操作。 show running-config policy-map 显示所有当前的策略映射配置。 在策略映射中标识类映射名称。 class-map type inspect 创
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 drop-connection drop-connection 使用 模块化策略框架 时,通过在匹配或类配置模式下使用 drop-connection 命令,丢弃数据包并 关闭用于与 match 命令或类映射匹配的流量的连接。要禁用此操作,请使用此命令的 no 形式。 drop-connection [send-protocol-error] [log] no drop-connection [send-protocol-error] [log] 语法说明 send-protocol-error 发送协议错误消息。 log 日志匹配。系统日志消息数量取决于应用。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 匹配和类配置 命令历史 使用指南 版本 7.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 drop-connection 示例 以下示例丢弃与 HTTP 流量类映射匹配的数据包,关闭连接并发送日志。如果同数据包还与匹配 第二个匹配的命令,它不会处理因为它已删除。 ciscoasa(config-cmap)# policy-map type inspect http http-map1 ciscoasa(config-pmap)# class http-traffic ciscoasa(config-pmap-c)# drop-connection log ciscoasa(config-pmap-c)# match req-resp content-type mismatch ciscoasa(config-pmap-c)# reset log 相关命令 命令 class 说明 policy-map type inspect 定义特殊的应用检查操作。 show running-config policy-map 显示所有当前的策略映射配置。 在策略映射中标识类映射名
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dtls port dtls port 要指定用于 DTLS 连接的端口,请从 WebVPN 配置模式中使用 dtls port 命令。要从配置中删除命 令,请使用此命令的 no 形式: dtls port number no dtls port number 语法说明 number 默认值 默认端口号为 443。 命令模式 下表展示可输入此命令的模式: UDP 端口号,从 1 到 65535。 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 使用指南 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 duplex duplex 要设置铜缆 (RJ-45) 以太网接口的双工,请在接口配置模式下使用 duplex 命令。要将双工设置恢 复为默认值,请使用此命令的 no 形式。 duplex {auto | full | half} no duplex 语法说明 auto 自动检测双工模式。 full 将双工模式设置为全双工。 half 将双工模式设置为半双工。 默认值 默认值为自动检测。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 使用指南 版本 7.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 duplex ciscoasa(config-if)# security-level 100 ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-access-policy-config dynamic-access-policy-config 要配置 DAP 记录和与之关联的访问策略属性,请在全局配置模式下使用 dynamic-access-policy-config 命令。要删除现有 DAP 配置,请使用此命令的 no 形式。 dynamic-access-policy-config name | activate no dynamic-access-policy-config 语法说明 activate 激活 DAP 选择配置文件。 name 指定 DAP 记录的名称。名称的长度最多可以为 64 个字符,且不能包 含空格。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 路由 透明 单个 情景 系统 全局配置(名称) • 是 • 是 • 是 • 是 — 特权 EXEC(激活) •
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-access-policy-config 示例 以下示例展示如何配置名为 user1 的 DAP 记录: ciscoasa(config)# dynamic-access-policy-config user1 ciscoasa(config-dynamic-access-policy-record)# 相关命令 命令 dynamic-access-policy-record show running-config dynamic-access-policy-record 说明 使用访问策略属性填充 DAP 记录。 显示所有 DAP 记录或指定 DAP 记录正在运行的配置。 思科 ASA 系列命令参考,A 至 H 命令 13-25
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-access-policy-record dynamic-access-policy-record 要创建 DAP 记录并为其填充访问策略属性,请在全局配置模式下使用 dynamic-access-policy-record 命令。要删除现有 DAP 记录,请使用此命令的 no 形式。 dynamic-access-policy-record name no dynamic-access-policy-record name 语法说明 name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定 DAP 记录的名称。名称的长度最多可以为 64 个字符,且不能包 含空格。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示例 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-access-policy-record 相关命令 命令 clear config dynamic-access-policy-record 说明 删除所有 DAP 记录或指定的 DAP 记录。 dynamic-access-policy-config url 配置 DAP 选择配置文件。 show running-config dynamic-access-policy-record 显示所有 DAP 记录或指定 DAP 记录正在运行的配置。 思科 ASA 系列命令参考,A 至 H 命令 13-27
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-authorization dynamic-authorization 要为 AAA 服务器组启用 RADIUS 动态授权(授权更改)服务,请在 AAA 服务器主机配置模式下 使用 dynamic-authorization 命令。要禁用动态授权,请使用此命令的 no 形式。 dynamic-authorization port number no dynamic-authorization port number 语法说明 port port_number 默认值 默认 RADIUS 端口为 1645。默认情况下未启用动态授权。 命令模式 下表展示可输入此命令的模式: (可选)指定 ASA 上的动态授权端口。范围为 1 至 65535。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 9.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-authorization 以下示例展示如何使用 ISE 为密码身份验证配置隧道组: ciscoasa(config)# tunnel-group aaa-coa general-attributes ciscoasa(config-tunnel-general)# address-pool vpn ciscoasa(config-tunnel-general)# authentication-server-group ise ciscoasa(config-tunnel-general)# accounting-server-group ise ciscoasa(config-tunnel-general)# exit 以下示例展示如何使用 ISE 为本地证书验证和授权配置隧道组: ciscoasa(config)# tunnel-group aaa-coa general-attributes ciscoasa(config-tunnel-general)# address-
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter ambiguous-is-black dynamic-filter ambiguous-is-black 要将列入僵尸网络流量过滤器灰名单的流量视为要丢弃的黑名单流量,请在全局配置模式下使用 dynamic-filter ambiguous-is-black 命令。要允许灰名单流量,请使用此命令的 no 形式。 dynamic-filter ambiguous-is-black no dynamic-filter ambiguous-is-black 语法说明 此命令没有任何参数或关键字。 默认值 此命令默认禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter ambiguous-is-black 命令 clear dynamic-filter reports 说明 清除僵尸网络流量过滤器报告数据。 clear dynamic-filter statistics 清除僵尸网络流量过滤器统计信息。 dns domain-lookup 启用 ASA 将 DNS 请求发送到 DNS 服务器以执行所支持命令的 名称查找。 dns server-group 标识 ASA 的 DNS 服务器。 dynamic-filter blacklist 编辑僵尸网络流量过滤器黑名单。 dynamic-filter database fetch 手动检索僵尸网络流量过滤器动态数据库。 dynamic-filter database find 搜索动态数据库来查找某域名或 IP 地址。 dynamic-filter database purge 手动删除僵尸网络流量过滤器动态数据库。 dynamic-filter dr
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter blacklist dynamic-filter blacklist 要编辑僵尸网络流量过滤器黑名单,请在全局配置模式下使用 dynamic-filter blacklist 命令。要 删除黑名单,请使用此命令的 no 形式。 dynamic-filter blacklist no dynamic-filter blacklist 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter blacklist 注意 示例 此命令需要 ASA 使用 DNS 服务器;请参阅 dns domain-lookup 和 dns server-group 命令。 以下示例创建黑名单和白名单的条目: ciscoasa(config)# dynamic-filter blacklist ciscoasa(config-llist)# name bad1.example.com ciscoasa(config-llist)# name bad2.example.com ciscoasa(config-llist)# address 10.1.1.1 255.255.255.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter blacklist 命令 show dynamic-filter reports 生成前 10 个僵尸网络站点、端口和受感染主机的报告。 show dynamic-filter statistics 显示有多少连接通过僵尸网络流量过滤器进行监测;以及其中 有多少连接匹配白名单、黑名单和灰名单。 show dynamic-filter updater-client 显示关于更新程序服务器的信息,包括服务器 IP 地址、下次 ASA 与服务器连接的时间以及上次安装的数据库版本。 show running-config dynamic-filter 显示僵尸网络流量过滤器正在运行的配置。 思科 ASA 系列命令参考,A 至 H 命令 13-34 说明
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter database fetch dynamic-filter database fetch 要为僵尸网络流量过滤器测试动态数据库的下载,请在特权 EXEC 模式下使用 dynamic-filter database fetch 命令。 dynamic-filter database fetch 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter database fetch 命令 dynamic-filter blacklist 编辑僵尸网络流量过滤器黑名单。 dynamic-filter database find 搜索动态数据库来查找某域名或 IP 地址。 dynamic-filter database purge 手动删除僵尸网络流量过滤器动态数据库。 dynamic-filter drop blacklist 自动丢弃黑名单流量。 dynamic-filter enable 对某类流量或所有流量(如果没有指定访问列表)启用僵尸网 络流量过滤器。 dynamic-filter updater-client enable 允许下载动态数据库。 dynamic-filter use-database 允许使用动态数据库。 dynamic-filter whitelist 编辑僵尸网络流量过滤器白名单。 inspect dns dynamic-filter-snoop 启用
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter database find dynamic-filter database find 要检查域名或 IP 地址是否已包括在僵尸网络流量过滤器的动态数据库中,请在特权 EXEC 模式下 使用 dynamic-filter database find 命令。 dynamic-filter database find string 语法说明 string 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: string 可以是完整的域名或 IP 地址,或您可以输入名称或地址的一部 分,其中搜索字符串最小为 3 个字符。数据库搜索不支持正则表达式。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter database find 相关命令 命令 dynamic-filter ambiguous-is-black 将灰名单流量视为要操作的黑名单流量。 dynamic-filter drop blacklist 自动丢弃黑名单流量。 address 将 IP 地址添加到黑名单或白名单。 clear configure dynamic-filter 清除正在运行的僵尸网络流量过滤器配置。 clear dynamic-filter dns-snoop 清除僵尸网络流量过滤器 DNS 监听数据。 clear dynamic-filter reports 清除僵尸网络流量过滤器报告数据。 clear dynamic-filter statistics 清除僵尸网络流量过滤器统计信息。 dns domain-lookup 启用 ASA 将 DNS 请求发送到 DNS 服务器以执行所支持命令的 名称查找。 dns server-group 标识
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter database purge dynamic-filter database purge 要从正在运行的内存中手动删除僵尸网络流量过滤器动态数据库,请在特权 EXEC 模式下使用 dynamic-filter database purge 命令。 dynamic-filter database purge 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 特权 EXEC 命令历史 使用指南 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter database purge 命令 dns server-group 标识 ASA 的 DNS 服务器。 dynamic-filter ambiguous-is-black 将灰名单流量视为要操作的黑名单流量。 dynamic-filter blacklist 编辑僵尸网络流量过滤器黑名单。 dynamic-filter database fetch 手动检索僵尸网络流量过滤器动态数据库。 dynamic-filter database find 搜索动态数据库来查找某域名或 IP 地址。 dynamic-filter drop blacklist 自动丢弃黑名单流量。 dynamic-filter enable 对某类流量或所有流量(如果没有指定访问列表)启用僵尸网 络流量过滤器。 dynamic-filter updater-client enable 允许下载动态数据库。 dynamic-filter use-database
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter drop blacklist dynamic-filter drop blacklist 要使用僵尸网络流量过滤器自动丢弃黑名单流量,请在全局配置模式下使用 dynamic-filter drop blacklist 命令。要禁用自动丢弃,请使用此命令的 no 形式。 dynamic-filter drop blacklist [interface name] [action-classify-list subset_access_list] [threat-level {eq level | range min max}] no dynamic-filter drop blacklist [interface name] [action-classify-list subset_access_list] [threat-level {eq level | range min max}] 语法说明 action-classify-list sub_access_l
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter drop blacklist 命令历史 使用指南 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter drop blacklist 命令 show asp table dynamic-filter 说明 显示加速安全路径中安装的僵尸网络流量过滤器规则。 show dynamic-filter data 显示关于动态数据库的信息,包括动态数据库上次下载时间、 数据库版本、数据库包含多少条目以及 10 个示例条目。 show dynamic-filter dns-snoop 显示僵尸网络流量过滤器 DNS 监听摘要;或通过 detail 关键字 显示实际 IP 地址和名称。 show dynamic-filter reports 生成前 10 个僵尸网络站点、端口和受感染主机的报告。 show dynamic-filter statistics 显示有多少连接通过僵尸网络流量过滤器进行监测;以及其中 有多少连接匹配白名单、黑名单和灰名单。 show dynamic-filter updater-client 显示关于更新程序服务器的信息,包括服务器
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter enable dynamic-filter enable 要启用僵尸网络流量过滤器,请在全局配置模式下使用 dynamic-filter enable 命令。要禁用僵尸 网络流量过滤器,请使用此命令的 no 形式。 dynamic-filter enable [interface name] [classify-list access_list] no dynamic-filter enable [interface name] [classify-list access_list] 语法说明 classify-list access_list 识别要使用扩展的访问列表监控的流量(请参阅 access-list extended 命 令)。如果不创建访问列表,则默认情况下监控所有流量。 interface name 将监控范围限制到特定接口。 默认值 默认情况下禁用僵尸网络流量过滤器。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter enable • 不明确的地址 - 这些地址与多个域名关联,但并非所有这些域名都在黑名单上。这些地址在 “greylist” 上。 • 未列出的地址 - 这些地址是未知的且不包括在任何列表上。 用于已知地址的僵尸网络流量过滤器操作 您可以使用 dynamic-filter enable 命令配置僵尸网络流量过滤器以记录可疑活动,也可以选择性 地使用 dynamic-filter drop blacklist 命令将其配置为自动拦截可疑流量。 未列出的地址不生成任何系统日志消息,但黑名单、白名单和灰名单上的地址生成按类型区分的 系统日志消息。僵尸网络流量过滤器生成编号为 338nnn 的详细系统日志消息。消息会按照传入 和传出连接、黑名单、白名单或灰名单地址和许多其他变量等进行区分。(灰名单包括与多个域 名关联的地址,但并非所有这些域名都在黑名单上。) 请参阅 系统日志消息指南,了解有关系统日志消息的详细信息。 示例 以下示例监控外部接口上的所有端口 80
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter enable 命令 show dynamic-filter data 显示关于动态数据库的信息,包括动态数据库上次下载时间、 数据库版本、数据库包含多少条目以及 10 个示例条目。 show dynamic-filter dns-snoop 显示僵尸网络流量过滤器 DNS 监听摘要;或通过 detail 关键字 显示实际 IP 地址和名称。 show dynamic-filter reports 生成前 10 个僵尸网络站点、端口和受感染主机的报告。 show dynamic-filter statistics 显示有多少连接通过僵尸网络流量过滤器进行监测;以及其中 有多少连接匹配白名单、黑名单和灰名单。 show dynamic-filter updater-client 显示关于更新程序服务器的信息,包括服务器 IP 地址、下次 ASA 与服务器连接的时间以及上次安装的数据库版本。 show running-config dynamic-fi
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter updater-client enable dynamic-filter updater-client enable 要启用为僵尸网络流量过滤器从思科更新服务器下载动态数据库,请在全局配置模式下使用 dynamic-filter updater-client enable 命令。要禁用下载动态数据库,请使用此命令的 no 形式。 dynamic-filter updater-client enable no dynamic-filter updater-client enable 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下禁用下载。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 全局配置 命令历史 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter updater-client enable 示例 以下多模式示例启用动态数据库的下载,并启用在 context1 和 context2 中使用该数据库: ciscoasa(config)# dynamic-filter updater-client enable ciscoasa(config)# changeto context context1 ciscoasa/context1(config)# dynamic-filter use-database ciscoasa/context1(config)# changeto context context2 ciscoasa/context2(config)# dynamic-filter use-database 以下单模式示例启用动态数据库的下载,并启用该数据库的使用: ciscoasa(config)# dynamic-filter updater-client enable ciscoasa(conf
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter updater-client enable 命令 show dynamic-filter updater-client show running-config dynamic-filter 说明 显示关于更新程序服务器的信息,包括服务器 IP 地址、下次 ASA 与服务器连接的时间以及上次安装的数据库版本。 显示僵尸网络流量过滤器正在运行的配置。 思科 ASA 系列命令参考,A 至 H 命令 13-49
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter use-database dynamic-filter use-database 要启用将动态数据库用于僵尸网络流量过滤器,请在全局配置模式下使用 dynamic-filter use-database 命令。要禁用动态数据库的使用,请使用此命令的 no 形式。 dynamic-filter use-database no dynamic-filter use-database 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下禁用数据库的使用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter use-database 相关命令 命令 address 说明 将 IP 地址添加到黑名单或白名单。 clear configure dynamic-filter 清除正在运行的僵尸网络流量过滤器配置。 clear dynamic-filter dns-snoop 清除僵尸网络流量过滤器 DNS 监听数据。 clear dynamic-filter reports 清除僵尸网络流量过滤器报告数据。 clear dynamic-filter statistics 清除僵尸网络流量过滤器统计信息。 dns domain-lookup 启用 ASA 将 DNS 请求发送到 DNS 服务器以执行所支持命令的 名称查找。 dns server-group 标识 ASA 的 DNS 服务器。 dynamic-filter ambiguous-is-black 将灰名单流量视为要操作的黑名单流量。 dynamic-filter blacklist
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter whitelist dynamic-filter whitelist 要编辑僵尸网络流量过滤器白名单,请在全局配置模式下使用 dynamic-filter whitelist 命令。要 删除白名单,请使用此命令的 no 形式。 dynamic-filter whitelist no dynamic-filter whitelist 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 8.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter whitelist 示例 以下示例创建黑名单和白名单的条目: ciscoasa(config)# dynamic-filter blacklist ciscoasa(config-llist)# name bad1.example.com ciscoasa(config-llist)# name bad2.example.com ciscoasa(config-llist)# address 10.1.1.1 255.255.255.0 ciscoasa(config-llist)# ciscoasa(config-llist)# ciscoasa(config-llist)# ciscoasa(config-llist)# ciscoasa(config-llist)# 相关命令 dynamic-filter whitelist name good.example.com name great.example.com name awesome.example.
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令 dynamic-filter whitelist 命令 show dynamic-filter updater-client show running-config dynamic-filter 思科 ASA 系列命令参考,A 至 H 命令 13-54 说明 显示关于更新程序服务器的信息,包括服务器 IP 地址、下次 ASA 与服务器连接的时间以及上次安装的数据库版本。 显示僵尸网络流量过滤器正在运行的配置。
第 4 部分 E 至 H 命令
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 思科 ASA 系列命令参考,A 至 H 命令 14-1
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eigrp log-neighbor-changes eigrp log-neighbor-changes 要启用记录 EIGRP 相邻关系更改,请在路由器配置模式下使用 eigrp log-neighbor-changes 命 令。要关闭此功能,请使用此命令的 no 形式。 eigrp log-neighbor-changes no eigrp log-neighbor-changes 语法说明 此命令没有任何参数或关键字。 默认值 此命令默认已启用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 • 是 版本 8.0(2) 引入了此命令。 9.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eigrp log-neighbor-warnings eigrp log-neighbor-warnings 要启用 EIGRP 邻居警告消息记录,请在路由器配置模式下使用 eigrp log-neighbor-warnings 命 令。要关闭此功能,请使用此命令的 no 形式。 eigrp log-neighbor-warnings [seconds] no eigrp log-neighbor-warnings 语法说明 seconds 默认值 此命令默认已启用。将记录所有邻居警告消息。 命令模式 下表展示可输入此命令的模式: (可选)重复的邻居警告消息之间的时间间隔(以秒为单位)。有效 值为从 1 到 65535。不会记录在此间隔期间重复出现的警告。 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 • 是 版本 8.0(2) 修改 9.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eigrp router-id eigrp router-id 要指定 EIGRP 路由进程使用的路由器 ID,请在路由器配置模式下使用 eigrp router-id 命令。要 恢复默认值,请使用此命令的 no 形式。 eigrp router-id ip-addr no eigrp router-id [ip-addr] 语法说明 ip-addr 默认值 如果未指定的最高级别的 IP 地址上的 ASA 用作路由器 ID。 命令模式 下表展示可输入此命令的模式: IP 地址(点分十进制)格式中的路由器 ID。不能将 0.0.0.0 或 255.255.255.255 用作路由器 ID。 防火墙模式 安全情景 多个 命令模式 路由 路由器配置 命令历史 使用指南 • 是 版本 8.0(2) 引入了此命令。 9.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eigrp stub eigrp stub 要将 EIGRP 路由进程配置为末节路由进程,请在路由器配置模式下使用 eigrp stub 命令。要删除 EIGRP 末节路由,请使用此命令的 no 形式。 eigrp stub [receive-only] | {[connected] [redistributed] [static] [summary]} no eigrp stub [receive-only] | {[connected] [redistributed] [static] [summary]} 语法说明 connected (可选)通告连接的路由。 receive-only (可选)将 ASA 设置为接收专用邻居。 redistributed (可选)从其他路由协议通告重分布的路由。 static (可选)通告静态路由。 summary (可选)通告摘要路由。 默认值 末节路由未启用。 命令模式 下表展示可输入此命令的模式: 防火
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eigrp stub summary 关键字允许 EIGRP 末节路由进程发送摘要路由。可以使用 summary-address eigrp 命 令手动创建摘要路由,或者通过启用 auto-summary 命令自动创建摘要路由(默认情况下启用此 命令)。 redistributed 关键字允许 EIGRP 末节路由进程从其他路由协议将重分布的路由发送到 EIGRP 路 由进程。如果不配置此选项,EIGRP 不会通告重分布的路由。 示例 以下示例使用 eigrp stub 命令将 ASA 配置为会通告连接的路由和摘要路由的 EIGRP 末节: ciscoasa(config)# router eigrp 100 ciscoasa(config-router)# network 10.0.0.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eject eject 要支持移除 ASA 外部紧凑型闪存设备,请在用户 EXEC 模式下使用 eject 命令。 eject [/noconfirm] disk1: 语法说明 disk1: 指定要弹出的设备。 /noconfirm 指定在从 ASA 实际移除外部闪存设备之前不需要确认设备移除。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 用户 EXEC 命令历史 使用指南 版本 8.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 email email 要在注册过程中将指示的邮件地址包含在使用者备用名称扩展名中,请在 crypto ca-trustpoint 配 置模式下使用 email 命令。要恢复默认设置,请使用此命令的 no 形式。 email address no email 语法说明 address 默认值 未设置默认设置。 命令模式 下表展示可输入此命令的模式: 指定邮件地址。最大长度是 64 个字符。 防火墙模式 安全情景 多个 命令模式 路由 Crypto ca-trustpoint 配置 命令历史 示例 版本 7.0(1) • 是 透明 • 是 单个 • — — 引入了此命令。 以下示例进入中心信任点的 crypto ca-trustpoint 配置模式,并将邮件地址 user1@user.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enable enable 要进入特权 EXEC 模式,请在用户 EXEC 模式下使用 enable 命令。 enable [level] 语法说明 level 默认值 输入权限级别 15,除非要使用 “ 启用身份验证 ” 功能(使用 aaa authentication enable console 命令);在后一种情况下,默认级别取决于为用户名配置的级别。 命令模式 下表展示可输入此命令的模式: (可选)权限级别(0 到 15)。不与 “ 启用身份验证 ” 功能(aaa authentication enable console 命令)结合使用。 防火墙模式 安全情景 多个 命令模式 路由 用户 EXEC 命令历史 使用指南 版本 7.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enable 相关命令 命令 enable password 说明 disable 退出特权 EXEC 模式。 aaa authorization command 配置命令授权。 privilege 设置本地命令授权的命令权限级别。 show curpriv 显示当前登录的用户名和用户特权级别。 思科 ASA 系列命令参考,A 至 H 命令 14-10 设置启用密码。
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enable (webvpn, e-mail proxy, config-mdm-proxy) enable (webvpn, e-mail proxy, config-mdm-proxy) 要在之前配置的接口上启用 WebVPN、MDM 代理或邮件代理访问,请使用 enable 命令。对于 WebVPN,请在 webvpn 配置模式下使用此命令。对于邮件代理(IMAP4S、 POP3S 和 SMTPS), 请在适用的邮件代理配置模式下使用此命令。对于 MDM 代理,请在 config-mdm-proxy 模式下使 用此命令。要在接口上禁用 WebVPN,请使用此命令的 no 形式。 enable ifname no enable 语法说明 ifname 默认值 默认情况下禁用 WebVPN。默认情况下禁用 MDM 代理。 命令模式 下表展示可输入此命令的模式: 标识之前配置的接口。使用 nameif 命令可配置接口。 防火墙模式 安全情景 多个 命令模式
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enable(集群组) enable(集群组) 要启用集群,请在集群组配置模式下使用 enable 命令。要禁用集群,请使用此命令的 no 形式。 enable [as-slave | noconfirm] no enable 语法说明 as-slave (可选)启用集群而不检查不兼容命令的运行配置,并确保从设备会加 入到集群但不会在任何当前选定中成为主设备。从设备的配置将被同步 自主设备的配置覆盖。 noconfirm (可选)如果输入 enable 命令,ASA 会扫描不兼容命令的运行配置, 以确定集群不支持的功能(包括默认配置中可能存在的命令)。系统会 提示您删除不兼容命令。如果您选择 No,将不会启用集群。使用 noconfirm 关键字可绕过确认步骤并自动删除不兼容命令。 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 集群组配置 命令历史 使用指南 版本 9.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enable(集群组) class inspection_default inspect skinny policy-map global_policy class inspection_default inspect sip Would you like to remove these commands?[Y]es/[N]o:Y INFO: Removing incompatible commands from running configuration...
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enable gprs enable gprs 要启用具有 RADIUS 计费功能的 GPRS,请在 radius-accounting 参数配置模式下使用 enable gprs 命令。要禁用此命令,请使用此命令的 no 形式。 enable gprs no enable gprs 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Radius-accounting 参数配置 命令历史 版本 7.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enable password enable password 要设置特权 EXEC 模式的启用密码,请在全局配置模式下使用 enable password 命令。要删除级 别的密码(级别 15 除外),请使用此命令的 no 形式。 enable password password [level level] [encrypted] no enable password level level 语法说明 encrypted (可选)指定密码采用加密形式。密码以加密形式保存在配置中,因此 您在输入原始密码后无法查看原始密码。如果出于某种原因需要将密码 复制到另一个 ASA,但却不知道原始密码,则您可以输入带有加密密 码和此关键字的 enable password 命令。一般情况下,仅当输入 show running-config enable 命令时才会看到此关键字。 level level (可选)为权限级别(0 到 15)设置密码。 password 将密码设置为
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enable password 示例 以下示例将启用密码设置为 Pa$$w0rd: ciscoasa(config)# enable password Pa$$w0rd 以下示例将级别 10 的启用密码设置为 Pa$$w0rd10: ciscoasa(config)# enable password Pa$$w0rd10 level 10 以下示例将启用密码设置为从另一个 ASA 复制的加密密码: ciscoasa(config)# enable password jMorNbK0514fadBh encrypted 相关命令 命令 aaa authorization command 说明 enable 进入特权 EXEC 模式。 privilege 设置本地命令授权的命令权限级别。 show curpriv 显示当前登录的用户名和用户特权级别。 show running-config enable 以加密形式显示启用密码。 思科 ASA 系列命令
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 encryption encryption 要在 IKEv2 安全关联 (SA) 中为 AnyConnect IPsec 连接指定加密算法,请在 ikev2 策略配置模式下 使用 encryption 命令。要删除命令并使用默认设置,请使用此命令的 no 形式: encryption [des | 3des | aes | aes-192 | aes-256 | aes-gcm | aes-gcm-192 | aes-gcm-256 | null] no encryption [des | 3des | aes | aes-192 | aes-256 | aes-gcm | aes-gcm-192 | aes-gcm-256 | null] 语法说明 des 为 ESP 指定 56 位 DES-CBC 加密。 3des (默认)为 ESP 指定三重 DES 加密算法。 aes 为 ESP 指定带有 128 位密钥加密的 AES。 aes-192 为 ESP 指定
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 encryption 示例 以下示例进入 ikev2-policy 配置模式并将加密设置为 AES-256: ciscoasa(config)# crypto ikev2 policy 1 ciscoasa(config-ikev2-policy)# encryption aes-256 相关命令 命令 group 说明 integrity 在用于 AnyConnect IPsec 连接的 IKEv2 SA 中指定 ESP 完整性算法。 prf 指定用于 AnyConnect IPsec 连接的 IKEv2 SA 中的伪随机函数。 lifetime 在用于 AnyConnect IPsec 连接的 IKEv2 SA 中指定 SA 生命期。 思科 ASA 系列命令参考,A 至 H 命令 14-18 在用于 AnyConnect IPsec 连接的 IKEv2 SA 中指定 Diffie-Hellman 组。
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 endpoint endpoint 要向 HSI 组添加终端以进行 H.323 协议检查,请在 HSI 组配置模式下使用 endpoint 命令。要禁用 此功能,请使用此命令的 no 形式。 endpoint ip_address if_name no endpoint ip_address if_name 语法说明 if_name 终端连接到 ASA 所经过的接口。 ip_address 要添加的终端的 IP 地址。每个 HSI 组最多可有 10 个终端。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 HSI 组配置 命令历史 示例 版本 7.2(1) • 是 透明 • 是 单个 • 是 情景 • 是 系统 — 修改 引入了此命令。 以下示例展示如何向 H.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 endpoint-mapper endpoint-mapper 要配置用于 DCERPC 检查的终端映射程序选项,请在参数配置模式下使用 endpoint-mapper 命 令。要禁用此功能,请使用此命令的 no 形式。 endpoint-mapper [epm-service-only] [lookup-operation [timeout value]] no endpoint-mapper [epm-service-only] [lookup-operation [timeout value]] 语法说明 epm-service-only 指定要在绑定过程中强制执行终端映射程序服务。 lookup-operation 指定要对终端映射程序服务启用查找操作。 timeout value 指定查找操作中的针孔超时。范围是 0:0:1 到 1193:0:0。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enforcenextupdate enforcenextupdate 要指定如何处理 NextUpdate CRL 字段,请在 ca-crl 配置模式下使用 enforcenextupdate 命令。要 允许使用失效或缺少的 NextUpdate 字段,请使用此命令的 no 形式。 enforcenextupdate no enforcenextupdate 语法说明 此命令没有任何参数或关键字。 默认值 强制使用默认设置(已启用)。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 Ca-crl 配置 命令历史 版本 7.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enrollment-retrieval enrollment-retrieval 要指定注册用户可以检索 PKCS12 注册文件的时间(以小时为单位),请在本地 crypto ca-server 配置模式下使用 enrollment-retrieval 命令。要将时间重置为默认小时数 (24),请使用此命令的 no 形式。 enrollment-retrieval timeout no enrollment-retrieval 语法说明 timeout 默认值 默认情况下,将存储 PKCS12 注册文件,可供 24 小时检索。 命令模式 下表展示可输入此命令的模式: 指定用户必须从本地 CA 注册网页检索已签发证书的小时数。有效的超 时值范围是 1 到 720 小时。 防火墙模式 安全情景 多个 命令模式 路由 Crypto ca-server 配置 命令历史 版本 8.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enrollment-retrieval 以下示例将检索时间重置为默认值(24 小时): ciscoasa(config)# crypto ca server ciscoasa(config-ca-server)# no enrollment-retrieval ciscoasa(config-ca-server)# 相关命令 命令 crypto ca server 说明 提供对 CA 服务器配置模式命令的访问,从而允许您配置和管理本地 CA。 OTP expiration 指定发出的一次性密码对 CA 注册页面有效的持续时间(以小时为单 位)。 smtp from-address 指定要在 CA 服务器生成的所有邮件的 E-mail From:(发件人)字段中 使用的邮件地址。 smtp subject 指定要在本地 CA 服务器生成的所有邮件的主题字段中显示的文本。 subject-name-default 指定要在 CA 服务器签发的所有用户证书中与用
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enrollment retry count enrollment retry count 要指定重试次数,请在 crypto ca-trustpoint 配置模式下使用 enrollment retry count 命令。要恢复 重试次数的默认设置,请使用此命令的 no 形式。 enrollment retry count number no enrollment retry count 语法说明 number 默认值 number 参数的默认设置为 0(无限)。 命令模式 下表展示可输入此命令的模式: 尝试发送注册请求的最大次数。有效值为 0 到 100。 防火墙模式 安全情景 多个 命令模式 路由 Crypto ca-trustpoint 配置 命令历史 版本 7.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enrollment retry period enrollment retry period 要指定重试时间段,请在 crypto ca trustpoint 配置模式下使用 enrollment retry period 命令。要恢 复重试时间段的默认设置,请使用此命令的 no 形式。 enrollment retry period minutes no enrollment retry period 语法说明 minutes 默认值 默认设置为 1 分钟。 命令模式 下表展示可输入此命令的模式: 注册请求发送尝试之间相隔的分钟数。有效范围是 1 到 60 分钟。 防火墙模式 安全情景 多个 命令模式 路由 Crypto ca-trustpoint 配置 命令历史 版本 7.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enrollment terminal enrollment terminal 要指定使用此信任点进行剪切粘贴注册(又称为手动注册),请在 crypto ca-trustpoint 配置模式 下使用 enrollment terminal 命令。要恢复此命令的默认设置,请使用此命令的 no 形式。 enrollment terminal no enrollment terminal 语法说明 此命令没有任何参数或关键字。 默认值 默认设置为关闭。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Crypto ca-trustpoint 配置 命令历史 示例 版本 7.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enrollment url enrollment url 要指定使用信任点进行自动注册 (SCEP) 并配置注册 URL,请在 crypto ca-trustpoint 配置模式下使 用 enrollment url 命令。要恢复此命令的默认设置,请使用此命令的 no 形式。 enrollment url url no enrollment url 语法说明 url 默认值 默认设置为关闭。 命令模式 下表展示可输入此命令的模式: 指定用于自动注册的 URL 的名称。最大长度为 1K 个字符(实际上不 会达到此限制)。 防火墙模式 安全情景 多个 命令模式 路由 Crypto ca-trustpoint 配置 命令历史 示例 版本 7.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enrollment-retrieval enrollment-retrieval 要指定注册用户可以检索 PKCS12 注册文件的时间(以小时为单位),请在本地 ca-server 配置模 式下使用 enrollment-retrieval 命令。要将时间重置为默认小时数 (24),请使用此命令的 no 形式。 enrollment-retrieval timeout no enrollment-retrieval 语法说明 timeout 默认值 默认情况下,将存储 PKCS12 注册文件,可供 24 小时检索。 命令模式 下表展示可输入此命令的模式: 指定用户必须从本地 CA 注册网页检索已签发证书的小时数。有效的超 时值范围是 1 到 720 小时。 防火墙模式 安全情景 多个 命令模式 路由 CA 服务器配置 命令历史 版本 8.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 enrollment-retrieval 相关命令 命令 crypto ca server 说明 提供对 CA 服务器配置模式命令的访问,从而允许您配置和管理本地 CA。 OTP expiration 指定发出的一次性密码对 CA 注册页面有效的持续时间(以小时为单 位)。 smtp from-address 指定要在 CA 服务器生成的所有邮件的 E-mail From:(发件人)字段中 使用的邮件地址。 smtp subject 指定要在本地 CA 服务器生成的所有邮件的主题字段中显示的文本。 subject-name-default 指定要在 CA 服务器签发的所有用户证书中与用户名一起使用的通用使 用者名称 DN。 思科 ASA 系列命令参考,A 至 H 命令 14-29
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eool eool 要定义具有 IP 选项检查的数据包中出现 End of Options List(选项列表末端)(EOOL) 选项时的操 作,请在参数配置模式下使用 eool 命令。要禁用此功能,请使用此命令的 no 形式。 eool action {allow | clear} no eool action {allow | clear} 语法说明 allow 指示 ASA 允许包含 End of Options List(选项列表末端)IP 选项的数据 包通过。 clear 指示 ASA 从数据包清除 End of Options List(选项列表末端)IP 选项, 然后允许数据包通过。 默认值 默认情况下,IP 选项检查会丢弃包含 End of Options List(选项列表末端)IP 选项的数据包。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 参数配置 命令历史 使用指南 版本 8.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eool 相关命令 命令 class 说明 在策略映射中标识类映射名称。 class-map type inspect 创建检查类映射以匹配特定于应用的流量。 policy-map 创建第 3/4 层策略映射。 show running-config 显示所有当前的策略映射配置。 policy-map 思科 ASA 系列命令参考,A 至 H 命令 14-31
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou allow eou allow 要在 NAC 框架配置中启用无客户端身份验证,请在全局配置模式下使用 eou allow 命令。要从配 置中删除此命令,请使用此命令的 no 形式。 eou allow {audit | clientless | none} no eou allow {audit | clientless | none} 语法说明 audit 执行无客户端身份验证。 clientless 执行无客户端身份验证。 none 禁用无客户端身份验证。 默认值 默认配置包含 eou allow clientless 配置。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示例 • 是 透明 — 版本 7.2(1) 引入了此命令。 8.0(2) 添加了 audit(审核)选项。 9.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou allow 相关命令 命令 debug eou eou clientless 说明 启用 EAP over UDP 事件的日志记录以调试 NAC 框架消息。 在 NAC 框架配置中更改要发送到 ACS 以进行无客户端身份验证的用户名 和密码。 show vpn-session.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou clientless eou clientless 要在 NAC 框架配置中更改要发送到访问控制服务器以进行无客户端身份验证的用户名和密码, 请在全局配置模式下使用 eou clientless 命令。要使用默认值,则使用此命令的 no 形式。 eou clientless username username password password no eou clientless username username password password 语法说明 password 输入以更改发送到访问控制服务器的密码,以获取对没有响应 EAPoUDP 请求的远 程主机的无客户端身份验证。 password 输入在访问控制服务器上配置的密码以支持无客户端主机。输入 4 到 32 个 ASCII 字符。 username 输入以更改发送到访问控制服务器的用户名,以获取对没有响应 EAPoUDP 请求的 远程主机的无客户端身份验证。 username 输入在访问控制服务器上
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou clientless 示例 以下示例将无客户端身份验证的用户名更改为 sherlock: ciscoasa(config)# eou clientless username sherlock ciscoasa(config)# 以下示例将无客户端身份验证的用户名更改为默认值 clientless: ciscoasa(config)# no eou clientless username ciscoasa(config)# 以下示例将无客户端身份验证的密码更改为 secret: ciscoasa(config)# eou clientless password secret ciscoasa(config)# 以下示例将无客户端身份验证的密码更改为默认值 clientless: ciscoasa(config)# no eou clientless password ciscoasa(config)# 相关命令 命令 eou allow 说明 在 NAC 框架
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou initialize eou initialize 要清除分配给一个或多个 NAC 框架会话的资源并对每个这些会话发起无条件、全新的安全状态 验证,请在特权 EXEC 模式下使用 eou initialize 命令。 eou initialize {all | group tunnel-group | ip ip-address} 语法说明 all 重新验证 ASA 上的所有 NAC 框架会话。 group 重新验证分配给隧道组的所有 NAC 框架会话。 ip 重新验证单个 NAC 框架会话。 ip-address 隧道的远程对等端的 IP 地址。 tunnel-group 用于协商参数以设置隧道的隧道组名称。 默认值 没有默认行为或值。 命令历史 版本 7.2(1) 引入了此命令。 9.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou initialize 相关命令 命令 eou revalidate 说明 强制立即状况一个或多个 NAC 框架会话的重新验证。 reval-period 指定 NAC 框架会话中每次成功安全状态验证之间的时间间隔。 sq-period 指定主机状态中的 NAC 框架会话中的每个成功安全状态验证和下一步的 查询的更改的时间间隔。 show vpn-session.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou max-retry eou max-retry 要更改 ASA 向远程计算机重新发送 EAP over UDP 消息的次数,请在全局配置模式下使用 eou max-retry 命令。要使用默认值,则使用此命令的 no 形式。 eou max-retry retries no eou max-retry 语法说明 retries 默认值 默认值为 3。 命令模式 下表展示可输入此命令的模式: 限制为响应重传计时器过期而连续重试发送消息的次数。可输入 1 到 3 之间的值。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 是 版本 7.2(1) 引入了此命令。 9.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou max-retry 相关命令 eou timeout 更改将 EAP 通过 UDP 消息发送到 NAC 框架配置中的远程主机后等待秒 的数。 sq-period 指定主机状态中的 NAC 框架会话中的每个成功安全状态验证和下一步的 查询的更改的时间间隔。 debug eou 启用 EAP over UDP 事件的日志记录以调试 NAC 框架消息。 debug nac 启用日志记录的 NAC 框架事件。 show vpn-session.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou port eou port 要更改 NAC 框架配置中用于与 Cisco Trust Agent 进行 EAP over UDP 通信的端口号,请在全局配 置模式下使用 eou port 命令。要使用默认值,则使用此命令的 no 形式。 eou port port_number no eou port 语法说明 port_number 默认值 默认值为 21862。 命令模式 下表展示可输入此命令的模式: 客户端终端上将被指定用于 EAP over UDP 通信的端口号。此端口号是 在 Cisco Trust Agent 上配置的端口号。可输入 1024 到 65535 之间的值。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示例 • 是 版本 7.2(1) 引入了此命令。 9.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou port 相关命令 命令 debug eou 说明 启用 EAP over UDP 事件的日志记录以调试 NAC 框架消息。 eou initialize 清除分配给一个或多个 NAC 框架会话的资源,并对每个会话发 起无条件、全新的安全状态验证。 eou revalidate 强制立即状况一个或多个 NAC 框架会话的重新验证。 show vpn-session.db 显示有关 VPN 会话的信息,包括 VLAN 映射和 NAC 结果。 show vpn-session_summary.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou revalidate eou revalidate 要强制立即重新验证一个或多个 NAC 框架会话的安全状态,请在特权 EXEC 模式下使用 eou revalidate 命令。 eou revalidate {all | group tunnel-group | ip ip-address} 语法说明 默认值 all 重新验证 ASA 上的所有 NAC 框架会话。 group 重新验证分配给隧道组的所有 NAC 框架会话。 ip 重新验证单个 NAC 框架会话。 ip-address 隧道的远程对等端的 IP 地址。 tunnel-group 用于协商参数以设置隧道的隧道组名称。 没有默认行为或值。 命令模式 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 • 是 版本 7.2(1) 引入了此命令。 9.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou revalidate 以下示例重新验证 IP 地址为 209.165.200.225 的终端的 NAC 框架会话: ciscoasa# eou revalidate ip 209.165.200.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou timeout eou timeout 要更改将 EAP over UDP 消息发送到 NAC 框架配置中的远程主机后等待的秒数,请在全局配置模 式下使用 eou timeout 命令。要使用默认值,则使用此命令的 no 形式。 eou timeout {hold-period | retransmit} seconds no eou timeout {hold-period | retransmit} 语法说明 默认值 hold-period 发送 EAPoUDP 消息后等待的最长时间等于 EAPoUDP 尝试次数。eou initialize 或 eou revalidate 命令也可清除此计时器。如果此计时器过 期,ASA 会发起与远程主机之间的新的 EAP over UDP 关联。 retransmit 发送 EAPoUDP 消息后等待的最长时间。来自远程主机的响应将清除此 计时器。eou initialize 或 eou revalidate 命令
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 eou timeout 以下示例将重传计时器更改为 6 秒: ciscoasa(config)# eou timeout retransmit 6 ciscoasa(config)# 以下示例将重传计时器更改为默认值: ciscoasa(config)# no eou timeout retransmit ciscoasa(config)# 相关命令 命令 debug eou 说明 启用 EAP over UDP 事件的日志记录以调试 NAC 框架消息。 eou max-retry 更改 ASA 向远程计算机重新发送 EAP over UDP 消息的次数。 思科 ASA 系列命令参考,A 至 H 命令 14-45
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 erase erase 要擦除并重新格式化文件系统,请在特权 EXEC 模式下使用 erase 命令。此命令覆盖所有文件并 擦除文件系统(包括隐藏的系统文件),然后重新安装文件系统。 erase [disk0: | disk1: | flash:] 语法说明 disk0: (可选)指定 f,后跟冒号。 disk1: (可选)指定外部紧凑式闪存卡,后跟冒号。 flash: (可选)指定内部闪存后 , 跟冒号。 注意事项 擦除闪存还会删除许可信息(这些信息存储在闪存中)。请在 擦除闪存之前保存许可信息。 在 ASA 5500 系列上,flash 关键字是 disk0: 的别名。 默认值 没有默认行为或默认值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 erase 相关命令 命令 delete 说明 删除所有可见的文件,但不删除隐藏的系统文件。 format 擦除所有文件(包括隐藏的系统文件)并格式化文件系统。 思科 ASA 系列命令参考,A 至 H 命令 14-47
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 esp esp 要指定 ESP 隧道和 AH 隧道的参数以进行 IPsec 传递检查,请在参数配置模式下使用 esp 命令。 要禁用此功能,请使用此命令的 no 形式。 {esp | ah} [per-client-max num] [timeout time] no {esp | ah} [per-client-max num] [timeout time] 语法说明 esp 指定 ESP 隧道的参数。 ah 指定 AH 隧道的参数。 per-client-max num 指定一个客户端的最大隧道数。 timeout time 指定 ESP 隧道的空闲超时。 默认值 此命令默认禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 参数配置 命令历史 示例 版本 7.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 esp 相关命令 命令 class 说明 在策略映射中标识类映射名称。 class-map type inspect 创建检查类映射以匹配特定于应用的流量。 policy-map 创建第 3/4 层策略映射。 show running-config 显示所有当前的策略映射配置。 policy-map 思科 ASA 系列命令参考,A 至 H 命令 14-49
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 established established 要允许基于已建立连接的端口上存在返回连接,请在全局配置模式下使用 established 命令。要禁 用 established 功能,请使用此命令的 no 形式。 established est_protocol dest_port [source_port] [permitto protocol port [-port]] [permitfrom protocol port[-port]] no established est_protocol dest_port [source_port] [permitto protocol port [-port]] [permitfrom protocol port[-port]] 语法说明 默认值 命令模式 est_protocol 指定要用于已建立的连接查找的 IP 协议(UDP 或 TCP)。 dest_port 指定要用于已建立的连接查找的目标端口。 permi
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 established 注意事项 示例 我们建议始终为 established 命令指定 permitto 和 permitfrom 关键字。不将这两个关键字与 established 命令结合使用将造成安全风险,因为连接到外部系统时,外部系统可能会与涉及连接 的内部主机进行不受限制的连接。攻击者可能会利用这种情况来攻击您的内部系统。 以下一组示例展示如果不正确使用 established 命令可能会发生的潜在安全违规情况。 此示例展示如果内部系统与端口 4000 上的一个外部主机进行 TCP 连接,则该外部主机可使用任 何协议通过任何端口返回: ciscoasa(config)# established tcp 4000 0 如果协议未指定使用了哪些端口,您可以将源端口和目标端口指定为 0。应仅在必要时使用通配 符端口 (0)。 ciscoasa(config)# established tcp 0 0 注意 要使 established 命令能够正常工作,客户端必
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 established 以下示例展示内部主机如何使用 UDP 目标端口 6060 和任何源端口向外部主机发起连接。ASA 允 许这两台主机之间的返回流量通过 TCP 目标端口 6061 以及 1024 到 65535 之间的 TCP 源端口。 ciscoasa(config)# established udp 6060 0 permitto tcp 6061 permitfrom tcp 1024-65535 以下示例展示本地主机如何在端口 9999 上向外部主机发起 TCP 连接。此示例允许来自端口 4242 上外部主机的数据包返回到端口 5454 上的本地主机。 ciscoasa(config)# established tcp 9999 permitto tcp 5454 permitfrom tcp 4242 相关命令 命令 clear configure established 说明 show running-config established 显示根据
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 event crashinfo event crashinfo 要在 ASA 上出现故障时触发事件管理器小程序,请在事件管理器小程序配置模式下使用 event crashinfo 命令。要删除故障事件,请使用此命令的 no 形式。 event crashinfo no event crashinfo 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 事件管理器小应用配置 命令历史 版本 9.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 event manager applet event manager applet 要创建或编辑会将事件与操作和输出关联起来的事件管理器小程序,请在全局配置模式下使用事 件管理器小程序命令。要删除事件管理器小程序,请使用此命令的 no 形式。 event manager applet name no event manager applet name 语法说明 name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定事件管理器小程序的名称。此名称最多可包含 32 个字符。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 9.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 event none event none 要手动调用事件管理器小程序,请在事件管理器小程序配置模式下使用 event none 命令。要删除 手动调用,请使用此命令的 no 形式。 event none no event none 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 事件管理器小应用配置 命令历史 使用指南 示例 版本 9.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 event syslog id event syslog id 要向事件管理器小程序添加系统日志事件,请在事件管理器小程序配置模式下使用 event syslog id 命令。要从事件管理器小程序删除系统日志事件,请使用此命令的 no 形式。 event syslog id nnnnnn[-nnnnnn] [occurs n] [period seconds] no event syslog id nnnnnn[-nnnnnn] [occurs n] [period seconds] 语法说明 nnnnnn 标识系统日志消息 ID。 occurs n 指明调用小程序之前系统日志消息必须出现的次数。默认值为 1。有效 值为 1 到 4294967295。 period seconds 指明事件必须发生的时间段(以秒为单位),并将小程序调用频率限 制为在配置的时间段内最多调用一次。有效值为 0 到 604800。值 0 表 示未定义时间段。 默认值 没有默认行为或
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 event timer event timer 要配置计时器事件,请在事件管理器小程序配置模式下使用 event timer 命令。要删除计时器事 件,请使用此命令的 no 形式。 event timer {watchdog time seconds | countdown time seconds | absolute time hh:mm:ss} no event timer {watchdog time seconds | countdown time seconds | absolute time hh:mm:ss} 语法说明 absolute time 指定事件每天在指定的时间发生一次并自动重新启动。 countdown time 指定事件发生一次,且在删除并重新添加后才会重新启动。 hh:mm:ss 指定时间格式。时间范围是 00:00:00(午夜)到 23:59:59。 seconds 指定秒数。有效值范围是 0 到 604800。值 0 会禁用计
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 event timer 相关命令 命令 event crashinfo 在 ASA 上出现故障时触发事件管理器小应用。 event none 手动调用事件管理器小应用。 event syslog id 向事件管理器小应用添加系统日志事件。 event timer countdown time 配置倒计时计时器事件。 event timer watchdog time 配置监视器计时器事件。 思科 ASA 系列命令参考,A 至 H 命令 14-58 说明
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 exceed-mss exceed-mss 要允许或丢弃数据长度超过对等设备在三次握手期间设置的 TCP 最大分段大小 (MSS) 的数据 包,请在 tcp-map 配置模式下使用 exceed-mss 命令。要删除此指定,请使用此命令的 no 形式。 exceed-mss {allow | drop} no exceed-mss {allow | drop} 语法说明 allow 允许长度超过 MSS 的数据包。此为默认设置。 drop 丢弃长度超过 MSS 的数据包。 默认值 默认情况下允许此类数据包。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 TCP 映射配置 命令历史 使用指南 • 是 透明 • 单个 是 • 版本 7.0(1) 修改 7.2(4)/8.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 exceed-mss 相关命令 命令 class 说明 policy-map 配置策略;即流量类与一个或多个操作的关联。 set connection advanced-options 配置高级连接功能(包括 TCP 规范化)。 tcp-map 创建 TCP 映射,并允许对 TCP 映射配置模式的访问。 思科 ASA 系列命令参考,A 至 H 命令 14-60 指定要用于流量分类的类映射。
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 exempt-list exempt-list 要向免于接受安全状态验证的远程计算机类型的列表添加条目,请在 nac-policy-nac-framework 配 置模式下使用 exempt-list 命令。要从免除列表删除条目,请使用此命令的 no 形式,并指定要删 除的条目中的操作系统和 ACL。 exempt-list os "os-name" [disable | filter acl-name [disable ]] no exempt-list os "os-name" [disable | filter acl-name [disable ]] 语法说明 acl-name 指定 ASA 配置中 ACL 的名称。如果指定了该名称,它必须跟在 filter 关键字后面。 disable 执行两种功能之一,具体如下: • 如果在 “os-name” 后面输入此部分,ASA 会忽略免除项,并将 NAC 安全状态验证应用于运行该操作系统的远程主机。 • 如果在
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 exempt-list 示例 以下示例将运行 Windows XP 的所有主机添加到免于接受安全状态验证的计算机列表: ciscoasa(config-group-policy)# exempt-list os "Windows XP" ciscoasa(config-group-policy) 以下示例免除运行 Windows XP 的所有主机,并将 ACL acl-1 应用于来自这些主机的流量: ciscoasa(config-nac-policy-nac-framework)# exempt-list os "Windows XP" filter acl-1 ciscoasa(config-nac-policy-nac-framework) 以下示例从免除列表删除同一个条目: ciscoasa(config-nac-policy-nac-framework)# no exempt-list os "Windows XP" filter acl-1 ciscoasa(
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 exit exit 要退出当前配置模式或者从特权或用户 EXEC 模式中注销,请使用 exit 命令。 exit 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 用户 EXEC 命令历史 使用指南 版本 7.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 expiry-time expiry-time 要配置不需要重新验证即缓存对象的到期时间,请在缓存配置模式下使用 expiry-time 命令。要 从配置中删除到期时间并将到期时间重置为默认值,请使用此命令的 no 形式。 expiry-time time no expiry-time 语法说明 time 默认值 默认值为 1 分钟。 命令模式 下表显示可输入命令的模式: ASA 在不重新验证对象的情况下缓存对象的时间长度(以分钟为单位)。 防火墙模式 安全情景 多个 命令模式 路由 缓存配置 命令历史 使用指南 示例 版本 7.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export export 要指定要导出到客户端的证书,请在 ctl-provider 配置模式下使用 export 命令。要删除配置,请 使用此命令的 no 形式。 export certificate trustpoint_name no export certificate [trustpoint_name] 语法说明 certificate trustpoint_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定要导出到客户端的证书。 防火墙模式 安全情景 多个 命令模式 路由 Ctl-provider 配置 命令历史 使用指南 示例 版本 8.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export webvpn AnyConnect-customization export webvpn AnyConnect-customization 要导出可定制 AnyConnect 客户端 GUI 的定制对象,请在特权 EXEC 模式下使用 export webvpn AnyConnect-customization 命令: export webvpn AnyConnect-customization type type platform platform name name 语法说明 name type url 用于标识定制对象的名称。最多 64 个字符。 定制类型: • 二进制 - 取代 AnyConnect GUI 的可执行文件。 • 转型 - 自定义 MSI 的转换。 用于导出 XML 定制对象的远程路径和文件名,以 URL/filename 的形式表示(最多 可包含 255 个字符)。 默认值 没有默认行为或值。 命令模式 下表展示可
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export webvpn AnyConnect-customization 相关命令 命令 import webvpn customization 说明 revert webvpn customization 从缓存内存中删除定制对象。 show import webvpn customization 显示有关位于缓存内存中的定制对象的信息。 将 XML 文件作为定制对象导入到缓存内存。 思科 ASA 系列命令参考,A 至 H 命令 14-67
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export webvpn customization export webvpn customization 要导出可定制对无客户端 SSL VPN 用户可见的屏幕的定制对象,请在特权 EXEC 模式下使用 export webvpn customization 命令。 export webvpn customization name url 语法说明 name 用于标识定制对象的名称。最多 64 个字符。 url 用于导出 XML 定制对象的远程路径和文件名,以 URL/filename 的形式 表示(最多可包含 255 个字符)。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 8.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export webvpn customization 相关命令 命令 import webvpn customization 说明 revert webvpn customization 从缓存内存中删除定制对象。 show import webvpn customization 显示有关位于缓存内存中的定制对象的信息。 将 XML 文件作为定制对象导入到缓存内存。 思科 ASA 系列命令参考,A 至 H 命令 14-69
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export webvpn plug-in export webvpn plug-in 要从 ASA 的闪存设备导出插件,请在特权 EXEC 模式下输入 export webvpn plug-in 命令。 import webvpn plug-in protocol protocol URL 语法说明 protocol • rdp 插件的远程桌面协议可以使远程用户连接到计算机运行 Microsoft 终端服务。思科会原样重分布此插件。包含原件的网站是 http://properjavardp.sourceforge.net/ 。 • ssh,telnet Secure Shell 插件可以使远程用户建立远程计算机的安全信道或可以 使远程用户使用 Telnet 连接到远程计算机。思科会原样重分布此插 件。包含原件的网站是 http://javassh.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export webvpn plug-in 示例 以下命令导出 RDP 插件: ciscoasa# export webvpn plug-in protocol rdp tftp://209.165.201.22/plugins/rdp-plugin.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export webvpn mst-translation export webvpn mst-translation 要导出转换 AnyConnect 安装程序的 Microsoft 转换文件 (MST),请在特权 EXEC 模式下使用 export webvpn mst-translation 命令: export webvpn mst-translation component language language URL 语法说明 component 应用此 MST 的组件。唯一有效的选项是 AnyConnect。 language 导出的 MST 的语言代码。应以浏览器要求的格式使用语言代码。 URL 用于导出转换文件的远程路径和文件名,以 URL/filename 的形式表示(最多可包含 255 个字符)。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export webvpn mst-translation 相关命令 命令 import webvpn customization 说明 revert webvpn customization 从缓存内存中删除定制对象。 show import webvpn customization 显示有关位于缓存内存中的定制对象的信息。 将 XML 文件作为定制对象导入到缓存内存。 思科 ASA 系列命令参考,A 至 H 命令 14-73
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export webvpn translation-table export webvpn translation-table 要导出转换表(用于转换显示给建立 SSL VPN 连接的远程用户的术语),请在特权 EXEC 模式 下使用 export webvpn translation-table 命令。 export webvpn translation-table translation_domain {language language | template} url 语法说明 language 指定以前导入的转换表的名称。以浏览器语言选项指示的方式输入值。 translation_domain 功能区和相关消息。表 14-1 列出了可用的转换域。 url 指定对象的 URL。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 8.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export webvpn translation-table 转换域 转换的功能区 PortForwarder 显示给端口转发用户的消息。 url-list 用户为门户页面上的 URL 书签指定的文本。 webvpn 所有不可定制的第 7 层、AAA 和门户消息。 转换模板是与转换表格式相同的 XML 文件,但所有转换为空。ASA 的软件映像包包括属于标准 功能的每个域的模板。插件模板随附于插件,用于定义其自己的转换域。因为您可以定制无客户 端用户的登录和注销页面、门户页面以及 URL 书签,所以 ASA 会动态生成 customization 和 url-list 转换域模板,并且模板会自动反映您对这些功能区的更改。 导出之前导入的转换表会在 URL 位置创建该转换表的 XML 文件。可以使用 show import webvpn translation-table 命令以列表形式查看可用模板和之前导入的表。 可以使用 export webvpn transl
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export webvpn url-list export webvpn url-list 要将 URL 列表导出到远程位置,请在特权 EXEC 模式下使用 export webvpn url-list 命令。 export webvpn url-list name url 语法说明 name 用于标识 URL 列表的名称。最多可包含 64 个字符。 url URL 列表来源的远程路径。最多 255 个字符。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 8.
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令 export webvpn webcontent export webvpn webcontent 要导出远程无客户端 SSL VPN 用户可见的闪存中之前导入的内容,请在特权 EXEC 模式下使用 export webvpn webcontent 命令。 export webvpn webcontent source url destination url 语法说明 destination url 要导出到的 URL。最多 255 个字符。 source url ASA 闪存中内容所在的 URL。最多 64 个字符。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 8.
第 14 章 export webvpn webcontent 思科 ASA 系列命令参考,A 至 H 命令 14-78 eigrp log-neighbor-changes 至 export webvpn webcontent 命令
第 15 章 failover 至 fallback 命令 思科 ASA 系列命令参考,A 至 H 命令 15-1
第 15 章 failover 至 fallback 命令 failover failover 要启用故障切换,请在全局配置模式下使用 failover 命令。要禁用故障切换,请使用此命令的 no 形式。 failover no failover 语法说明 此命令没有任何参数或关键字。 默认值 禁用故障切换。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第 15 章 failover 至 fallback 命令 failover 相关命令 命令 clear configure failover 说明 从运行配置中清除 failover 命令并恢复故障切换默认值。 failover active 将备用设备切换到主用状态。 show failover 显示设备的故障切换状态的信息。 show running-config failover 显示运行配置中的 failover 命令。 思科 ASA 系列命令参考,A 至 H 命令 15-3
第 15 章 failover 至 fallback 命令 failover active failover active 要将备用 ASA 或故障切换组切换到主用状态,请在特权 EXEC 模式下使用 failover active 命令。 要将主用 ASA 或故障切换组切换到备用状态,请使用此命令的 no 形式。 failover active [group group_id] no failover active [group group_id] 语法说明 group group_id 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: (可选)指定要变为主用状态的故障切换组。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 7.
第 15 章 failover 至 fallback 命令 failover exec failover exec 要在故障切换对中的特定设备上执行命令,请在特权 EXEC 模式或全局配置模式下使用 failover exec 命令。 failover exec {active | standby | mate} cmd_string 语法说明 active 指定在故障切换对中的主用设备或故障切换组上执行命令。在主用设备或故 障切换组上输入的配置命令将复制到备用设备或故障切换组。 cmd_string 要执行的命令。支持 Show、configuration 和 EXEC 命令。 mate 指定在故障切换对等设备上执行命令。 standby 指定在故障切换对中的备用设备或故障切换组上执行命令。在备用设备或故 障切换组上执行的配置命令不会复制到主用设备或故障切换组。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 8.
第 15 章 failover 至 fallback 命令 failover exec 更改指定设备的 failover exec 命令模式不会更改用于访问设备的会话的命令模式。例如,如果您 登录到故障切换对的主用设备并且在全局配置模式下发出以下命令,您将保持在全局配置模式 下,但使用 failover exec 命令发送的任何命令都将在接口配置模式下执行: ciscoasa(config)# failover exec interface GigabitEthernet0/1 ciscoasa(config)# 更改设备当前会话的命令模式不会影响 failover exec 命令使用的命令模式。例如,如果您处于主 用设备上的接口配置模式,并且未更改 failover exec 命令模式,则以下命令将在全局配置模式下 执行: ciscoasa(config-if)# failover exec active router ospf 100 ciscoasa(config-if)# 使用 show failover exec 命令可显示指定设备上的命令模式,通过 failover exec 命令发送的
第 15 章 failover 至 fallback 命令 failover exec Monitored Interfaces 2 of 250 maximum Version: Ours 8.0(2), Mate 8.0(2) Last Failover at: 09:31:50 jst May 2 2004 This host: Primary - Active Active time: 2483 (sec) slot 0: ASA5520 hw/sw rev (1.0/8.0(2)) status (Up Sys) admin Interface outside (192.168.5.101): Normal admin Interface inside (192.168.0.1): Normal slot 1: ASA-SSM-20 hw/sw rev (1.0/) status (Up/Up) Other host: Secondary - Standby Ready Active time: 0 (sec) slot 0: ASA5520 hw/sw rev (1.0/8.
第 15 章 failover 至 fallback 命令 failover exec Stateful Failover Logical Update Statistics Link : failover GigabitEthernet0/3 (up) Stateful Obj xmit xerr rcv General 344 0 344 sys cmd 344 0 344 up time 0 0 0 RPC services 0 0 0 TCP conn 0 0 0 UDP conn 0 0 0 ARP tbl 0 0 0 Xlate_Timeout 0 0 0 rerr 0 0 0 0 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 1 344 Xmit Q: 0 1 344 以下示例使用 failover exec 命令显示故障切换对等设备的故障切换配置。命令在主要设备(主用 设备)上执行,因此所显示的信息来自辅助设备(备用设备)。 ciscoasa(config)# failover exec mate
第 15 章 failover 至 fallback 命令 failover exec 以下示例展示使用 failover exec 命令向处于备用状态的故障切换对等设备发送配置命令时返回的 警告: ciscoasa# failover exec mate static (inside,outside) 192.168.5.241 192.168.0.241 **** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit. Configurations are no longer synchronized.
第 15 章 failover 至 fallback 命令 failover exec Interface GigabitEthernet0/2 "failover", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) Description: LAN/STATE Failover Interface MAC address 000b.fcf8.c293, MTU 1500 IP address 10.0.5.2, subnet mask 255.255.255.
第 15 章 failover 至 fallback 命令 failover group failover group 要配置 Active/Active(主用 / 主用)故障切换组,请在全局配置模式下使用 failover group 命令。 要删除故障切换组,请使用此命令的 no 形式。 failover group num no failover group num 语法说明 num 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 故障切换组编号。有效值为 1 或 2。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第 15 章 failover 至 fallback 命令 failover group 示例 以下部分示例显示两个故障切换组的可能配置: ciscoasa(config)# failover group 1 ciscoasa(config-fover-group)# primary ciscoasa(config-fover-group)# preempt 100 ciscoasa(config-fover-group)# exit ciscoasa(config)# failover group 2 ciscoasa(config-fover-group)# secondary ciscoasa(config-fover-group)# preempt 100 ciscoasa(config-fover-group)# exit ciscoasa(config)# 相关命令 命令 asr-group 说明 interface-policy 指定当监控检测接口故障时的故障切换策略。 join-failover-group 为故障切换组分配情景。 mac address 为故障切换组
第 15 章 failover 至 fallback 命令 failover interface ip failover interface ip 要指定故障切换接口和状态故障切换接口的 IPv4 地址和掩码或 IPv6 地址和前缀,请在全局配置 模式下使用 failover interface ip 命令。要删除该 IP 地址,请使用此命令的 no 形式。 failover interface ip if_name [ip_address mask standby ip_address | ipv6_address/prefix standbyipv6_address] no failover interface ip if_name [ip_address mask standby ip_address | ipv6_address/prefix standbyipv6_address] 语法说明 if_name 故障切换或状态故障切换接口的接口名称。 ip_address mask 指定主要设备上的故障切换或状态故障切换接口的 IP 地址和掩码。 ipv6_address 指定主要设备
第 15 章 failover 至 fallback 命令 failover interface ip 示例 以下示例展示如何为故障切换接口指定 IPv4 地址和掩码: ciscoasa(config)# failover interface ip lanlink 172.27.48.1 255.255.255.0 standby 172.27.48.
第 15 章 failover 至 fallback 命令 failover interface-policy failover interface-policy 要指定当监控检测接口故障时的故障切换策略,请在全局配置模式下使用 failover interface-policy 命令。要恢复默认设置,请使用此命令的 no 形式。 failover interface-policy num[%] no failover interface-policy num[%] 语法说明 默认值 num 用作百分比时,指定一个介于 1 至 100 之间的数字;用作数字时,指 定最大接口数为 1。 % (可选)指定数字 num 为受监控接口的百分比。 默认值如下: 命令模式 • num 为 1。 • 默认情况下启用物理接口监控,禁用逻辑接口监控。 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 7.
第 15 章 failover interface-policy 相关命令 命令 failover polltime 说明 failover reset 将故障设备恢复为无故障状态。 monitor-interface 指定用作故障切换的监控接口。 show failover 显示有关设备的故障切换状态的信息。 思科 ASA 系列命令参考,A 至 H 命令 15-16 指定设备和接口轮询时间。 failover 至 fallback 命令
第 15 章 failover 至 fallback 命令 failover ipsec pre-shared-key failover ipsec pre-shared-key 要在设备间的故障切换和状态链路上建立 IPsec LAN 到 LAN 隧道以加密所有故障切换通信,请在 全局配置模式下使用 failover ipsec pre-shared-key 命令。要删除密钥,请使用此命令的 no 形式。 failover ipsec pre-shared-key key no failover ipsec pre-shared-key 语法说明 0 指定未加密的密码。此为默认值。 8 指定加密的密码。如果使用主口令(请参阅 password encryption aes 和 key config-key password-encryption 命令),则在配置中加密密钥。如 果从配置复制(例如,从 more system:running-config 输出复制),则 指定使用 8 关键字加密密钥。 注 key failover ipsec pre-shared-key 在 show ru
第 15 章 failover 至 fallback 命令 failover ipsec pre-shared-key 示例 以下示例配置 IPsec 预共享密钥: ciscoasa(config)# failover ipsec pre-shared-key a3rynsun 相关命令 命令 show running-config failover 说明 show vpn-sessiondb 显示有关 VPN 隧道的信息,包括故障切换 IPsec 隧道。 思科 ASA 系列命令参考,A 至 H 命令 15-18 显示运行配置中的故障切换命令。
第 15 章 failover 至 fallback 命令 failover key failover key 要指定故障切换对中的设备间的加密和经过身份验证的通信(在故障切换和状态链路上)的密 钥,请在全局配置模式下使用 failover key 命令。要删除密钥,请使用此命令的 no 形式。 failover key [0 | 8] {hex key | shared_secret} no failover key 语法说明 0 指定未加密的密码。此为默认值。 8 指定加密的密码。如果使用主口令(请参阅 password encryption aes 和 key config-key password-encryption 命令),则在配置中加密共享 密钥。如果从配置复制(例如,从 more system:running-config 输出复 制),则指定使用 8 关键字加密共享密钥。 注 failover key 在 show running-config 输出中显示为 **** ;这种遮 掩密钥无法复制。 hex key 为加密密钥指定十六进制值。密钥必须是 32 个十六进制字符(
第 15 章 failover 至 fallback 命令 failover key 不能同时使用 IPsec 加密(failover ipsec pre-shared-key 命令)和传统 failover key 加密。如果同 时配置两种方法,将使用 IPsec。但是,如果使用主口令(请参阅 password encryption aes 和 key config-key password-encryption 命令),必须先使用 no failover key 命令删除故障切换密钥,然 后再配置 IPsec 加密。 示例 以下示例展示如何指定共享密钥来加密故障切换对中的设备间的故障切换通信: ciscoasa(config)# failover key abcdefg 以下示例展示如何指定十六进制密钥来加密故障切换对中两个设备间的故障切换通信: ciscoasa(config)# failover key hex 6a1ed228381cf5c68557cb0c32e614dc 以下示例展示从 more system:running-config 输出复制并粘贴的加密密码: ciscoas
第 15 章 failover 至 fallback 命令 failover lan interface failover lan interface 要指定用于故障切换通信的接口,请在全局配置模式下使用 failover lan interface 命令。要删除 故障切换接口,请使用此命令的 no 形式。 failover lan interface if_name {phy_if[.sub_if] | vlan_if]} no failover lan interface [if_name {phy_if[.sub_if] | vlan_if]}] 语法说明 if_name 指定专用于故障切换的 ASA 接口的名称。 phy_if 指定物理接口。 sub_if (可选)指定子接口号。 vlan_if 在 ASA 5505 上用于指定 VLAN 接口作为故障切换链路。 默认值 未配置。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 是 透明 • 单个 是 • 版本 7.
第 15 章 failover 至 fallback 命令 failover lan interface 在多情景模式下运行的系统上,故障切换链路位于系统情景中。此接口和状态链路(如果使用的 话)是仅有的可以在系统情景中配置的接口。所有其他接口均分配到安全情景内部并从其中配置。 注意 在发生故障切换时,故障切换链路的 IP 地址和 MAC 地址不会更改。 此命令的 no 形式也会清除故障切换接口 IP 地址配置。 当引导 ASA 进行 LAN 故障切换时,此命令必须是配置的一部分。 注意事项 示例 通过故障切换和状态故障切换链路发送的所有信息均以明文发送,除非您使用故障切换密钥加密 通信。如果使用 ASA 端接 VPN 隧道,则此信息包括用于建立隧道的任何用户名、密码和预共享 密钥。以明文发送此敏感数据可能会带来严重的安全风险。如果要使用 ASA 端接 VPN 隧道,建 议通过故障切换密钥来加密故障切换通信。 以下示例使用 ASA 5500 系列(ASA 5505 除外)上的子接口配置故障切换 LAN 接口: ciscoasa(config)# failover lan interface
第 15 章 failover 至 fallback 命令 failover lan unit failover lan unit 要将 ASA 配置为 LAN 故障切换配置中的主要或辅助设备,请在全局配置模式下使用 failover lan unit 命令。要恢复默认设置,请使用此命令的 no 形式。 failover lan unit {primary | secondary} no failover lan unit {primary | secondary} 语法说明 primary 指定 ASA 为主要设备。 secondary 指定 ASA 为辅助设备。 默认值 辅助。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第 15 章 failover lan unit 相关命令 命令 failover lan interface 思科 ASA 系列命令参考,A 至 H 命令 15-24 说明 指定用于故障切换通信的接口。 failover 至 fallback 命令
第 15 章 failover 至 fallback 命令 failover link failover link 要指定 Stateful Failover(状态故障切换)接口,请在全局配置模式下使用 failover link 命令。要 删除 Stateful Failover(状态故障切换)接口,请使用此命令的 no 形式。 failover link if_name [phy_if] no failover link 语法说明 if_name 指定专用于 Stateful Failover(状态故障切换)的 ASA 接口的名称。 phy_if (可选)指定物理或逻辑接口端口。如果 Stateful Failover(状态故障 切换)接口与分配到故障切换通信的接口共用,或者共用标准防火墙 接口,则不需要此参数。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 是 透明 • 单个 是 • 版本 7.0(1) 修改 7.
第 15 章 failover 至 fallback 命令 failover link 注意 在直接连接到 ASA 的思科交换机端口上启用 PortFast 选项。 如果使用故障切换链路作为 Stateful Failover(状态故障切换)链路,则应该使用可用的最快以太 网接口。如果在该接口上遇到性能问题,请考虑将一个独立接口专用于 Stateful Failover(状态故 障切换)接口。 如果使用数据接口作为 Stateful Failover(状态故障切换)链路,则在您指定该接口作为 Stateful Failover(状态故障切换)链路时,会收到以下警告: ******* WARNING ***** WARNING ******* WARNING ****** WARNING ********* Sharing Stateful failover interface with regular data interface is not a recommended configuration due to performance and security concerns.
第 15 章 failover 至 fallback 命令 failover mac address failover mac address 要指定物理接口的故障切换虚拟 MAC 地址,请在全局配置模式下使用 failover mac address 命 令。要删除虚拟 MAC 地址,请使用此命令的 no 形式。 failover mac address phy_if active_mac standby_mac no failover mac address phy_if active_mac standby_mac 语法说明 active_mac 分配到主用 ASA 的指定接口的 MAC 地址。必须以 h.h.h 格式输入 MAC 地址,其中 h 是一个 16 位的十六进制数字。 phy_if 将设置 MAC 地址的接口的物理名称。 standby_mac 分配到备用 ASA 的指定接口的 MAC 地址。必须以 h.h.
第 15 章 failover 至 fallback 命令 failover mac address 注意 此命令仅适用于 Active/Standby(主用 / 备用)故障切换。在 Active/Active(主用 / 主用)故障切 换中,在故障切换组配置模式下使用 mac address 命令为故障切换组中的每个接口配置虚拟 MAC 地址。 您也可以使用其他命令或方法设置 MAC 地址,但是我们建议只使用一种方法。如果使用多种方 法设置 MAC 地址,那么使用的 MAC 地址会取决于许多变量,因而可能成为不可预测的。 示例 以下示例为名为 intf2 的接口配置主用和备用 MAC 地址: ciscoasa(config)# failover mac address Ethernet0/2 00a0.c969.87c8 00a0.c918.
第 15 章 failover 至 fallback 命令 failover polltime failover polltime 要指定故障切换设备轮询和保持时间,请在全局配置模式下使用 failover polltime 命令。要恢复 默认轮询和保持时间,请使用此命令的 no 形式。 failover polltime [unit] [msec] poll_time [holdtime [msec] time] no failover polltime [unit] [msec] poll_time [holdtime [msec] time] 语法说明 holdtime time (可选)设置设备在故障切换链路上必须收到问候消息的时间,在此时间过 后,对等设备将被声明为故障。 有效值介于 3 至 45 秒之间或 800 至 999 毫秒之间(如果使用可选的 msec 关 键字)。 msec (可选)指定给定的时间以毫秒为单位。 poll_time 设置问候消息之间的时间量。 有效值介于 1 至 15 秒之间或 200 至 999 毫秒之间(如果使用可选的 msec 关 键字)。 un
第 15 章 failover 至 fallback 命令 failover polltime 使用指南 输入的 holdtime 值不能小于设备轮询时间的三倍。轮询时间越短,ASA 便可以更快地检测故障 并触发故障切换。但是,当网络临时堵塞时,更快的检测会导致不必要的切换。 如果设备在一个轮询周期内没有在故障切换通信接口或电缆上收听到问候消息,则通过其余接口 进行额外测试。如果在保持时间内仍没有来自对等设备的响应,该设备将被视为出故障;如果故 障设备为主用设备,备用设备将接管主用设备。 您可以将 failover polltime [unit] 和 failover polltime interface 命令都包含在配置中。 注意 示例 当 CTIQBE 流量通过故障切换配置中的 ASA 时,应该将 ASA 上的故障切换保持时间减至低于 30 秒。CTIQBE 保持连接超时为 30 秒,而且可能会在故障切换发生在故障切换情况中前超时。如果 CTIQBE 超时,则会丢弃 Cisco IP SoftPhone 到 Cisco CallManager 的连接,IP SoftPhone 客户端需 要重新
第 15 章 failover 至 fallback 命令 failover polltime interface failover polltime interface 要指定 Active/Standby(主用 / 备用)故障切换配置中的数据接口轮询和保持时间,请在全局配置 模式下使用 failover polltime interface 命令。要恢复默认轮询和保持时间,请使用此命令的 no 形 式。 failover polltime interface [msec] time [holdtime time] no failover polltime interface [msec] time [holdtime time] 语法说明 默认值 命令模式 holdtime time (可选)设置数据接口必须收到问候消息的时间,在该时间后,对等设备被 声明发生故障。有效值为从 5 到 75 秒。 interface time 指定接口监控的轮询时间。有效值范围为 1 到 15 秒。如果使用可选 msec 关 键字,则有效值为 500 到 999 毫秒。 msec (可选)指定给定的时
第 15 章 failover 至 fallback 命令 failover polltime interface 注意 示例 当 CTIQBE 流量通过故障切换配置中的 ASA 时,应该将 ASA 上的故障切换保持时间减至低于 30 秒。CTIQBE 保持连接超时为 30 秒,而且可能会在故障切换发生在故障切换情况中前超时。如果 CTIQBE 超时,则会丢弃 Cisco IP SoftPhone 到 Cisco CallManager 的连接,IP SoftPhone 客户端需 要重新向 CallManager 注册。 以下示例将接口轮询时间频率设置为 15 秒: ciscoasa(config)# failover polltime interface 15 以下示例将接口轮询时间频率设置为 500 毫秒,将保持时间设置为 5 秒: ciscoasa(config)# failover polltime interface msec 500 holdtime 5 相关命令 命令 failover polltime 说明 polltime interface 指定 Active/Ac
第 15 章 failover 至 fallback 命令 failover reload-standby failover reload-standby 要强制备用设备重新启动,请在特权 EXEC 模式下使用 failover reload-standby 命令。 failover reload-standby 语法说明 此命令没有任何参数或关键字。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第 15 章 failover 至 fallback 命令 failover replication http failover replication http 要启用 HTTP(端口 80)连接复制,请在全局配置模式下使用 failover replication http 命令。要 禁用 HTTP 连接复制,请使用此命令的 no 形式。 failover replication http no failover replication http 语法说明 此命令没有任何参数或关键字。 默认值 已禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第 15 章 failover 至 fallback 命令 failover replication rate failover replication rate 要配置批量同步连接复制速率,请在全局配置模式下使用 failover replication rate 命令。要恢复 默认设置,请使用此命令的 no 形式。 failover replication rate rate no failover replication rate 语法说明 rate 命令默认值 根据您的型号而有所不同。 命令模式 下表展示可输入此命令的模式: 设置每秒连接数。值和默认设置取决于您的型号的每秒最大连接数。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示例 版本 8.4(4.1)/8.5(1.
第 15 章 failover 至 fallback 命令 failover reset failover reset 要将出现故障的 ASA 恢复为无故障状态,请在特权 EXEC 模式下使用 failover reset 命令。 failover reset [group group_id] 语法说明 group (可选)指定故障切换组。group 关键字仅适用于 Active/Active(主用 / 主用)故障切换。 group_id 故障切换组编号。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 7.
第 15 章 failover 至 fallback 命令 failover standby config-lock failover standby config-lock 要锁定故障切换对中的备用设备或备用情景的配置更改,请在全局配置模式下使用 failover standby config-lock 命令。要允许备用设备上的配置,请使用此命令的 no 形式。 failover standby config-lock no failover standby config-lock 语法说明 此命令没有任何参数或关键字。 命令默认值 默认情况下,允许备用设备 / 情景上的配置,但会显示一条警告消息。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 9.
第 15 章 failover 至 fallback 命令 failover timeout failover timeout 要指定不对称路由会话的故障切换重新连接超时值,请在全局配置模式下使用 failover timeout 命 令。要恢复默认超时值,请使用此命令的 no 形式。 failover timeout hh[:mm:[:ss] no failover timeout [hh[:mm:[:ss]] 语法说明 hh 指定超时值中的小时数。有效值范围为 -1 到 1193。默认情况下,此值 设置为 0。 将该值设置为 -1 将禁用超时,从而允许连接在任意时间量后重新连接。 将此值设置为 0 而不指定任何其他超时值,会将命令设置回默认值, 这可防止连接重新连接。输入 no failover timeout 命令也会将此值设置 为默认值 (0)。 注 设置为默认值时,此命令不会出现在运行配置中。 mm (可选)指定超时值中的分钟数。有效值范围为 0 到 59。默认情况 下,此值设置为 0。 ss (可选)指定超时值中的秒数。有效值范围为 0 到 59。默认情况下, 此值设置为 0
第 15 章 failover 至 fallback 命令 failover timeout 示例 以下示例将备用组 1 切换到主用状态: ciscoasa(config)# failover timeout 12:30 ciscoasa(config)# show running-config failover no failover failover timeout 12:30:00 相关命令 命令 static 说明 通过将本地 IP 地址映射到全局 IP 地址来配置永久性一对一地址转换 规则。 思科 ASA 系列命令参考,A 至 H 命令 15-39
第 15 章 failover 至 fallback 命令 fallback fallback 要配置 Cisco Intercompany Media Engine 用来在连接完整性降低时从 VoIP 回退到 PSTN 的回退计 时器,请在 uc-ime 配置模式下使用 fallback 命令。要删除回退设置,请使用此命令的 no 形式。 fallback {sensitivity-file filename | monitoring timer timer_millisec hold-down timer timer_sec} no fallback fallback {sensitivity-file filename | monitoring timer timer_millisec hold-down timer timer_sec} 语法说明 默认值 filename 指定敏感文件的文件名。输入包括 .fbs 文件扩展名的磁盘文件名。要指定 文件名,可以包括本地磁盘上的路径,例如 disk0:/file001.
第 15 章 failover 至 fallback 命令 fallback 执行呼叫中回退需要 ASA 监控来自互联网的 RTP 数据包,并将信息发送到 RTP 监控算法 (RMA) API,该 API 将向 ASA 发出指示是否需要回退。如果需要回退,ASA 会向 Cisco UCM 发送 REFER 消息,告知其需要将呼叫回退到 PSTN。 注意 示例 当为 SIP 检查启用 Cisco Intercompany Media Engine 代理时,无法更改回退计时器。先从 SIP 检查 中删除 Cisco Intercompany Media Engine 代理,再更改回退计时器。 以下示例展示如何在指定回退计时器时配置 Cisco Intercompany Media Engine: ciscoasa(config)# uc-ime ciscoasa(config-uc-ime)# ciscoasa(config-uc-ime)# ciscoasa(config-uc-ime)# ciscoasa(config-uc-ime)# ciscoasa(config-uc-ime)# local
第 15 章 fallback 思科 ASA 系列命令参考,A 至 H 命令 15-42 failover 至 fallback 命令
第 16 章 file-bookmarks 至 functions 命令 思科 ASA 系列命令参考,A 至 H 命令 16-1
第 16 章 file-bookmarks 至 functions 命令 file-bookmarks file-bookmarks 要定制 WebVPN 主页上向已通过身份验证的 WebVPN 用户显示的文件书签标题或文件书签链 接,请在 webvpn 定制配置模式下使用 file-bookmarks 命令。要从配置中删除该命令并使值得到 继承,请使用此命令的 no 形式。 file-bookmarks {link {style value} | title {style value | text value}} no file-bookmarks {link {style value} | title {style value | text value}} 语法说明 默认值 link 指定对链接的更改。 title 指定对标题的更改。 style 指定对 HTML 样式的更改。 text 指定对文本的更改。 value 要显示的实际文本或 CSS 参数(最多为 256 个字符)。 默认链接样式为 color:#669999;border-bottom: 1px solid
第 16 章 file-bookmarks 至 functions 命令 file-bookmarks 注意 示例 要轻松定制 WebVPN 页面,我们建议您使用 ASDM,它具有配置样式元素的便捷功能,包括色样 和预览功能。 以下示例将文件书签标题定制为 “Corporate File Bookmarks”: ciscoasa(config)# webvpn ciscoasa(config-webvpn)# customization cisco ciscoasa(config-webvpn-custom)# file-bookmarks title text Corporate File Bookmarks 相关命令 命令 application-access 说明 定制 WebVPN 主页的 Application Access 框。 browse-networks 定制 WebVPN 主页的 Browse Networks 框。 web-applications 定制 WebVPN 主页的 Web Application 框。 web-bookmarks 定制 WebVPN
第 16 章 file-bookmarks 至 functions 命令 file-browsing file-browsing 要为文件服务器或共享启用或禁用 CIFS/FTP 文件浏览,请在 dap webvpn 配置模式下使用 file-browsing 命令。 file-browsing enable | disable 语法说明 enable | disable 默认值 没有默认值或行为。 命令模式 下表展示可输入此命令的模式: 启用或禁用浏览文件服务器或共享的功能。 防火墙模式 安全情景 多个 命令模式 路由 Dap webvpn 配置 命令历史 使用指南 版本 8.0(2) • 是 透明 • 是 单个 • 是 情景 系统 — — 修改 引入了此命令。 以下使用说明适用于文件浏览: • 文件浏览不支持国际化。 • 浏览要求使用 NBNS(主浏览器或 WINS)。如果 NBNS 发生故障或未配置,则使用 DNS。 ASA 可应用来自各种来源的属性值。它根据以下层次结构应用这些属性值: 1. DAP 记录 2. 用户名 3.
第 16 章 file-bookmarks 至 functions 命令 file-browsing 示例 以下示例展示如何为名为 Finance 的 DAP 记录启用文件浏览: ciscoasa (config)# config-dynamic-access-policy-record Finance ciscoasa(config-dynamic-access-policy-record)# webvpn ciscoasa(config-dap-webvpn)# file-browsing enable ciscoasa(config-dap-webvpn)# 相关命令 命令 dynamic-access-policy-record 说明 创建 DAP 记录。 file-entry 启用或禁用输入要访问的文件服务器名称的功能。 思科 ASA 系列命令参考,A 至 H 命令 16-5
第 16 章 file-bookmarks 至 functions 命令 file-encoding file-encoding 要为来自通用互联网文件系统服务器的页面指定字符编码,请在 webvpn 配置模式下使用 file-encoding 命令。要删除文件编码属性的值,请使用此命令的 no 形式。 file-encoding {server-name | server-ip-addr} charset no file-encoding {server-name | server-ip-addr} 语法说明 charset 字符串包含最多 40 个字符,并且其值与在 http://www.iana.
第 16 章 file-bookmarks 至 functions 命令 file-encoding 当文件名或目录路径以及页面无法正确呈现时,CIFS 服务器到适当字符编码的映射(在全局映射 时使用 WebVPN 字符编码属性,在单独映射时使用文件编码覆盖)可正确处理和显示 CIFS 页面。 注意 示例 字符编码值和文件编码值不排除浏览器将使用的字体系列。如果您正在使用日文 Shift_JIS 字符编 码(如下例所示),您需要在 webvpn 定制命令模式下使用 page style 命令补充这些值的设置来替 换字体系列,或在 webvpn 定制命令模式下输入 no page style 命令来删除该字体系列。 以下示例设置名为 “CISCO-server-jp” 的 CIFS 服务器的文件编码属性以支持日文 Shift_JIS 字 符、删除此字体系列,并保留默认背景颜色: ciscoasa(config)# webvpn ciscoasa(config-webvpn)# file-encoding CISCO-server-jp shift_jis ciscoasa(config-webvpn)
第 16 章 file-bookmarks 至 functions 命令 file-entry file-entry 要启用或禁用用户输入文件服务器名称来访问服务器的功能,请在 dap webvpn 配置模式下使用 file-entry 命令。 file-entry enable | disable 语法说明 enable | disable 默认值 没有默认值或行为。 命令模式 下表展示可输入此命令的模式: 启用或禁用输入要访问的文件服务器名称的功能。 防火墙模式 安全情景 多个 命令模式 路由 Dap webvpn 配置 命令历史 使用指南 版本 8.0(2) • 是 透明 • 是 单个 • 是 情景 系统 — — 修改 引入了此命令。 ASA 可根据以下层次结构应用来自各种来源的属性值。 1. DAP 记录 2. 用户名 3. 组策略 4. 连接配置文件(隧道组)的组策略 5.
第 16 章 file-bookmarks 至 functions 命令 file-entry 相关命令 命令 dynamic-access-policy-record 说明 创建 DAP 记录。 file-browsing 启用或禁用浏览文件服务器或共享的功能。 思科 ASA 系列命令参考,A 至 H 命令 16-9
第 16 章 file-bookmarks 至 functions 命令 filter filter 要指定访问列表的名称以用于此组策略或用户名的 WebVPN 连接,请在 webvpn 配置模式下使用 filter 命令。要删除访问列表,请使用此命令的 no 形式。 filter {value ACLname | none} no filter 语法说明 none 指示没有 WebVPN 类型访问列表。设置一个空值,从而禁止访问列 表。防止从其他组策略继承访问列表。 value ACLname 提供先前配置的访问列表的名称。 默认值 WebVPN 访问列表不适用,直到您使用 filter 命令指定它们。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 使用指南 版本 7.
第 16 章 file-bookmarks 至 functions 命令 filter activex filter activex 要删除经过 ASA 的 HTTP 流量中的 ActiveX 对象,请在全局配置模式下使用 filter activex 命令。 要删除配置,请使用此命令的 no 形式。 filter activex port [-port] | except local_ip mask foreign_ip foreign_mask no filter activex port [-port] | except local_ip mask foreign_ip foreign_mask 语法说明 except 创建之前的过滤器条件的例外。 foreign_ip 要求访问的最低安全级别接口的 IP 地址。您可以使用 0.0.0.0(或缩短 形式 0)指定所有主机。 foreign_mask foreign_ip 参数的网络掩码。始终指定特定掩码值。您可以使用 0.0.0.
第 16 章 file-bookmarks 至 functions 命令 filter activex filter activex 命令通过在 HTML 网页中注释掉 HTML object 命令来阻止这些命令。通过有选择性 地用注释来替换 以及 标记,执行 HTML 文件的 ActiveX 过滤。通过将顶级标记转换为注释来支持嵌套标记的过滤。 注意事项
第 16 章 file-bookmarks 至 functions 命令 filter ftp filter ftp 要标识将由 Websense 或 N2H2 服务器过滤的 FTP 流量,请在全局配置模式下使用 filter ftp 命 令。要删除配置,请使用此命令的 no 形式。 filter ftp port [-port] | except local_ip mask foreign_ip foreign_mask [allow] [interact-block] no filter ftp port [-port] | except local_ip mask foreign_ip foreign_mask [allow] [interact-block] 语法说明 allow (可选)当服务器不可用时,允许出站连接经过 ASA 而不过滤。如果 省略此选项且 N2H2 或 Websense 服务器变为离线状态,则 ASA 停止 出站端口 80 (Web) 流量,直到 N2H2 或者 Websense 服务器重新上线。 except 创建之前的过滤器条件的例外。 foreign_ip
第 16 章 file-bookmarks 至 functions 命令 filter ftp 如果 Websense 或者 N2H2 服务器拒绝连接,则 ASA 更改 FTP 返回码以显示连接被拒绝。例如, ASA 将代码 250 修改为 “550 Requested file is prohibited by URL filtering policy”。Websense 仅 过滤 FTP GET 命令而不过滤 PUT 命令。 使用 interactive-block 选项来阻止不提供整个目录路径的交互式 FTP 会话。交互式 FTP 客户端允 许用户更改目录,而无需键入整个路径。例如,用户可能会输入 cd ./files 而不是 cd /public/files。您必须在使用这些命令之前标识并启用 URL 过滤服务器。 示例 以下示例展示如何启用 FTP 过滤: ciscoasa(config)# url-server (perimeter) host 10.0.1.
第 16 章 file-bookmarks 至 functions 命令 filter https filter https 要标识将由 N2H2 或 Websense 服务器过滤的 HTTPS 流量,请在全局配置模式下使用 filter https 命令。要删除配置,请使用此命令的 no 形式。 filter https port [-port] | except local_ip mask foreign_ip foreign_mask [allow] no filter https port [-port] | except local_ip mask foreign_ip foreign_mask [allow] 语法说明 allow (可选)当服务器不可用时,允许出站连接经过 ASA 而不过滤。如果 省略此选项且 N2H2 或 Websense 服务器变为离线状态,则 ASA 停止 出站端口 443 流量,直到 N2H2 或者 Websense 服务器重新上线。 except (可选)创建之前的过滤器条件的例外。 foreign_ip 要求访问的最低安全级别接口的 IP 地址。您可
第 16 章 file-bookmarks 至 functions 命令 filter https 示例 以下示例过滤所有出站 HTTPS 连接,但来自 10.0.2.54 主机的出站 HTTPS 连接除外。 ciscoasa(config)# url-server (perimeter) host 10.0.1.1 ciscoasa(config)# filter https 443 0 0 0 0 ciscoasa(config)# filter https except 10.0.2.54 255.255.255.
第 16 章 file-bookmarks 至 functions 命令 filter java filter java 要从流经 ASA 的 HTTP 流量中删除 Java 小应用,请在全局配置模式下使用 filter java 命令。要删 除配置,请使用此命令的 no 形式。 filter java {[port[-port] | except } local_ip local_mask foreign_ip foreign_mask] no filter java {[port[-port] | except } local_ip local_mask foreign_ip foreign_mask] 语法说明 except (可选)创建之前的过滤器条件的例外。 foreign_ip 访问所请求的最低安全级别的接口的 IP 地址。您可以使用 0.0.0.0(或 缩短形式 0)指定所有主机。 foreign_mask foreign_ip 参数的网络掩码。始终指定特定掩码值。您可以使用 0.0.0.
第 16 章 file-bookmarks 至 functions 命令 filter java 示例 以下示例指定在所有出站连接上阻止 Java 小应用: ciscoasa(config)# filter java 80 0 0 0 0 以下示例指定 Java 小应用阻止应用于端口 80 上来自任何本地主机和用于任何外部主机连接的网 络流量。 以下示例阻止将 Java 小应用下载到位于受保护网络上的主机: ciscoasa(config)# filter java http 192.168.3.3 255.255.255.
第 16 章 file-bookmarks 至 functions 命令 filter url filter url 要将流量转到 URL 过滤服务器,请在全局配置模式下使用 filter url 命令。要删除配置,请使用 此命令的 no 形式。 filter url port [-port] | except local_ip local_mask foreign_ip foreign_mask [allow] [cgi-truncate] [longurl-truncate | longurl-deny] [proxy-block] no filter url port [-port] | except local_ip mask foreign_ip foreign_mask [allow] [cgi-truncate] [longurl-truncate | longurl-deny] [proxy-block] 语法说明 allow 当服务器不可用时,允许出站连接流经 ASA 而不过滤。如果省略此选 项且 N2H2 或 Websense 服务器变为离线状态,则 ASA 停止出站端口 80
第 16 章 file-bookmarks 至 functions 命令 filter url 命令历史 版本 7.
第 16 章 file-bookmarks 至 functions 命令 filter url 使用长 URL 对于 Websense 过滤服务器,支持最高 4 KB 的过滤 URL,对于 N2H2 过滤服务器,支持最高 3KB 的过滤 URL。 使用 longurl-truncate 和 cgi-truncate 选项以允许处理长度超过最大允许大小的 URL 请求。 如果 URL 的长度超过最大长度且您不启用 longurl-truncate 或 longurl-deny 选项,则 ASA 丢弃 数据包。 在 URL 的长度超过允许的最大长度时,longurl-truncate 选项使 ASA 只将用于评估的 URL 的主 机名或 IP 地址部分发送到过滤服务器。如果 URL 的长度超过允许的最大长度,则使用 longurl-deny 选项来拒绝出站 URL 流量。 使用 cgi-truncate 选项来截取 CGI URL,使其只包含 CGI 脚本位置和脚本名称,不带任何参数。 许多长 HTTP 请求是 CGI 请求。如果参数列表很长,则等待和发送完整 CGI 请求(包括参数列 表)可能会耗尽内存资
第 16 章 file-bookmarks 至 functions 命令 fips enable fips enable 要启用策略检查以对系统或模块实施 FIPS 合规性,请在全局配置模式下使用 fips enable 命令。 要禁用策略检查,请使用此命令的 no 形式。 fips enable no fips enable 语法说明 enable 默认值 此命令没有默认设置。 命令模式 下表展示可输入此命令的模式: 启用或禁用策略检查以实施 FIPS 合规性。 防火墙模式 安全情景 多个 命令历史 使用指南 命令模式 路由 透明 全局配置 — — 版本 7.0(4) 引入了此命令。 9.
第 16 章 file-bookmarks 至 functions 命令 fips enable 示例 下面显示为在系统上实施 FIPS 合规性而执行的策略检查: ciscoasa(config)# fips enable 相关命令 命令 clear configure fips 说明 crashinfo console disable 禁止对闪存读取、写入和配置故障写入信息。 fips self-test poweron 执行加电自检。 show crashinfo console 对闪存执行故障写入信息的读取、写入和配置。 show running-config fips 显示在 ASA 上运行的 FIPS 配置。 清除 NVRAM 中存储的系统或模块 FIPS 配置信息。 思科 ASA 系列命令参考,A 至 H 命令 16-23
第 16 章 file-bookmarks 至 functions 命令 fips self-test poweron fips self-test poweron 要执行加电自检,请在特权 EXEC 模式下使用 fips self-test powereon 命令。 fips self-test poweron 语法说明 poweron 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 执行加电自检。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 • 是 透明 — 版本 7.0(4) 引入了此命令。 9.
第 16 章 file-bookmarks 至 functions 命令 firewall transparent firewall transparent 要将防火墙模式设置为透明模式,请在全局配置模式下使用 firewall transparent 命令。要恢复路 由模式,请使用此命令的 no 形式。 firewall transparent no firewall transparent 语法说明 此命令没有任何参数或关键字。 默认值 默认情况下,ASA 处于路由模式。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 • 是 透明 • 是 单个 • 是 情景 • 版本 7.0(1) 修改 8.5(1)/9.
第 16 章 file-bookmarks 至 functions 命令 firewall transparent 相关命令 命令 arp-inspection 说明 mac-address-table static 向 MAC 地址表添加静态 MAC 地址条目。 mac-learn 禁用 MAC 地址学习。 show firewall 显示防火墙模式。 show mac-address-table 显示 MAC 地址表,包括动态和静态条目。 思科 ASA 系列命令参考,A 至 H 命令 16-26 启用 ARP 检测,就是将 ARP 数据包与静态 ARP 条目进行比较。
第 16 章 file-bookmarks 至 functions 命令 firewall vlan-group (IOS) firewall vlan-group (IOS) 要将 VLAN 分配到防火墙组,请在全局配置模式输入 firewall vlan-group 命令。要删除 VLAN, 则使用此命令的 no 形式。 firewall vlan-group firewall_group vlan_range no firewall vlan-group firewall_group vlan_range 语法说明 firewall_group 指定组 ID 为整数。 vlan_range 指定分配到组的 VLAN。vlan_range 可以是通过以下方式之一来标识的一 个或多个 VLAN(2 到 1000 以及 1025 到 4094): • 单一号码 (n) • 范围 (n-x) 不同的号码或范围用逗号分隔。例如,输入以下号码: 5,7-10,13,45-100 注 路由端口和 WAN 端口消耗内部 VLAN,因此,1020-1100 范围内的 VLAN 可能已在使用中。
第 16 章 file-bookmarks 至 functions 命令 firewall vlan-group (IOS) 示例 以下示例展示如何创建三个防火墙 VLAN 组:为每个 ASA 创建一个,并且一个包含分配给两个 ASA 的 VLAN。 Router(config)# Router(config)# Router(config)# Router(config)# Router(config)# firewall firewall firewall firewall firewall vlan-group 50 55-57 vlan-group 51 70-85 vlan-group 52 100 module 5 vlan-group 50,52 module 8 vlan-group 51,52 以下是 show firewall vlan-group 命令的示例输出: Router# show firewall vlan-group Group vlans ----- -----50 55-57 51 70-85 52 100 以下是 show firewall module
第 16 章 file-bookmarks 至 functions 命令 flow-export active refresh-interval flow-export active refresh-interval 要指定在流更新事件之间的时间间隔,请在全局配置模式下使用 flow-export active refresh-interval 命令。 flow-export active refresh-interval value 语法说明 value 默认值 默认值为 1 分钟。 命令模式 下表展示可输入此命令的模式。 指定在流更新事件之间的时间间隔(以分钟为单位)。有效值为 1 到 60 分钟。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 9.
第 16 章 file-bookmarks 至 functions 命令 flow-export active refresh-interval 相关命令 命令 说明 clear flow-export counters 将 NetFlow 中的所有运行时计数器重置为零。 flow-export destination 指定 NetFlow 收集器的 IP 地址或主机名,以及 NetFlow 收集器正在 监听的 UDP 端口。 flow-export template 控制模板信息发送到 NetFlow 收集器的时间间隔。 timeout-rate logging 在您输入 logging flow-export-syslogs disable 命令后,启用系统日 flow-export-syslogs enable 志消息,以及与 NetFlow 数据相关联的系统日志消息。 show flow-export counters 显示 NetFlow 的一系列运行时间计数器。 思科 ASA 系列命令参考,A 至 H 命令 16-30
第 16 章 file-bookmarks 至 functions 命令 flow-export delay flow-create flow-export delay flow-create 要延迟 flow-create 事件的导出,请在全局配置模式下使用 flow-export delay flow-create 命令。要 无延迟导出 flow-create 事件,请使用此命令的 no 形式。 flow-export delay flow-create seconds no flow-export delay flow-create seconds 语法说明 seconds 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式。 指定导出 flow-create 事件的延迟,以秒为单位。有效值为 1 到 180 秒。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 8.
第 16 章 file-bookmarks 至 functions 命令 flow-export destination flow-export destination 要配置向其发送 NetFlow 数据包的收集器,请在全局配置模式下使用 flow-export destination 命 令。要删除 NetFlow 数据包的收集器,请使用此命令的 no 形式。 flow-export destination interface-name ipv4-address | hostname udp-port no flow-export destination interface-name ipv4-address | hostname udp-port 语法说明 hostname 指定 NetFlow 收集器的主机名。 interface-name 指定接口名,通过该接口可抵达目的地。 ipv4-address 指定 NetFlow 收集器的 IP 地址。仅支持 IPv4。 udp-port 指定 NetFlow 收集器侦听的 UDP 端口。有效值为 1 到 65535。 默认值
第 16 章 file-bookmarks 至 functions 命令 flow-export destination 相关命令 命令 说明 clear flow-export counters 将 NetFlow 中的所有运行时计数器重置为零。 flow-export delay 将 flow-create 事件的导出延迟指定的时间。 flow-create flow-export template timeout-rate 控制模板信息发送到 NetFlow 收集器的时间间隔。 logging 在您输入 logging flow-export-syslogs disable 命令后,启用系统日 flow-export-syslogs enable 志消息,以及与 NetFlow 数据相关联的系统日志消息。 show flow-export counters 显示 NetFlow 的一系列运行时间计数器。 思科 ASA 系列命令参考,A 至 H 命令 16-33
第 16 章 file-bookmarks 至 functions 命令 flow-export event-type destination flow-export event-type destination 要配置 NetFlow 收集器和过滤器的地址以确定应将哪些 NetFlow 记录发送到每个收集器,请在策 略映射类配置模式下使用 flow-export event-type destination 命令。要删除 NetFlow 收集器和过滤 器的地址,请使用此命令的 no 形式。 flow-export event-type {all | flow-create | flow-denied | flow-update | flow-teardown} destination no flow-export event-type {all | flow-create | flow-denied | flow-update | flow-teardown} destination 语法说明 all 指定所有四个事件类型。 flow-create 指定 flow-create 事件。 f
第 16 章 file-bookmarks 至 functions 命令 flow-export event-type destination 注意 示例 要创建有效的 NetFlow 配置,必须拥有 flow-export 目的地配置和 flow-export 事件类型配置。 flow-export 目的地配置本身不执行任何操作。您还必须为 flow-export 事件类型配置配置一个类映 射。这可以是默认类映射或者您创建的类映射。 以下示例将主机 10.1.1.1 与主机 20.1.1.1 之间的所有 NetFlow 事件导出到目的地 15.1.1.1。 ciscoasa(config)# access-list flow_export_acl permit ip host 10.1.1.1 host 20.1.1.
第 16 章 file-bookmarks 至 functions 命令 flow-export template timeout-rate flow-export template timeout-rate 要控制将模板信息发送到 NetFlow 收集器的间隔,请在全局配置模式下使用 flow-export template timeout-rate 命令。要将模板超时值重置为默认值,请使用此命令的 no 形式。 flow-export template timeout-rate minutes no flow-export template timeout-rate minutes 语法说明 minutes 指定时间间隔,以分钟为单位。有效值为 1 到 3600 分钟。 template 为配置导出模板启用 timeout-rate 关键字。 timeout-rate 指定模板首次发送到重新发送之前经过的时间(间隔)。 默认值 间隔的默认值为 30 分钟。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指
第 16 章 file-bookmarks 至 functions 命令 flowcontrol flowcontrol 要为流控制启用暂停 (XOFF) 帧,请在接口配置模式下使用 flowcontrol 命令。要禁用暂停帧,请 使用此命令的 no 形式。 flowcontrol send on [low_water high_water pause_time] [noconfirm] no flowcontrol send on [low_water high_water pause_time] [noconfirm] 语法说明 命令默认值 high_water 对于 10 千兆以太网,将高水位标记设置为 0 到 511 KB 之间,对于 1 千 兆以太网,将高水位标记设置为 0 到 47 KB 之间(或者,对于 4GE-SSM 上的千兆以太网接口,设置为 0 到 11 KB 之间)。当缓冲区 使用超过高水位标记时,NIC 发送暂停帧。 low_water 对于 10 千兆以太网,将低水位标记设置为 0 到 511 KB 之间,对于 1 千 兆以太网,将低水位标记设置为 0 到 47 KB
第 16 章 file-bookmarks 至 functions 命令 flowcontrol 命令历史 使用指南 版本 8.2(2) 修改 8.2(3) 增加了对 ASA 5585-X 的支持。 8.2(5)/8.4(2) 增加了对所有型号上的 1 千兆以太网的支持。 为 ASA 5580 上的 10 千兆以太网接口引入了此命令。 1 千兆以太网和 10 千兆以太网接口均支持此命令。此命令不支持管理接口。 为一个物理接口输入此命令。 如果您有流量突发,则流量突发超过 NIC 上的 FIFO 缓冲区和接收环路缓冲区的缓冲容量时,会 发生数据包丢弃。为流控制启用暂停帧可以缓解此问题。 当您启用此命令时,NIC 硬件会根据 FIFO 缓冲区使用情况自动生成暂停 (XOFF) 和 XON 帧: 1. 当缓冲区使用超过高水位标记时,NIC 发送暂停帧。 2. 在发送暂停帧后,当缓冲区使用低于低水位标记时,NIC 发送 XON 帧。 3. 链路伙伴在收到 XON 之后恢复流量,或者在 XOFF 到期后(由暂停帧中的定时器值来控制) 恢复流量。 4.
第 16 章 file-bookmarks 至 functions 命令 format format 要清除所有文件并将文件系统格式化,请在特权 EXEC 模式下使用 format 命令。 format {disk0: | disk1: | flash:} 语法说明 disk0: 指定 内部闪存,后跟冒号。 disk1: 指定 外部闪存卡,后跟冒号。 flash: 指定 内部闪存,后跟冒号。在 ASA 5500 系列中,flash 关键字是 disk0 的 别名。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.
第 16 章 format 相关命令 命令 delete 说明 erase 删除所有文件并格式化闪存。 fsck 修复损坏的文件系统。 思科 ASA 系列命令参考,A 至 H 命令 16-40 删除用户可见的所有文件。 file-bookmarks 至 functions 命令
第 16 章 file-bookmarks 至 functions 命令 forward interface forward interface 对于有内置交换机的型号,如 ASA 5505,请在接口配置模式下使用 forward interface 命令,以 将一个 VLAN 的连接性从初始触点恢复到其他 VLAN。要限制一个 VLAN 发起到其他 VLAN 的 连接,请使用此命令的 no 形式。 forward interface vlan number no forward interface vlan number 语法说明 vlan number 默认值 默认情况下,所有接口均可启动到所有其他接口的流量。 命令模式 下表展示可输入此命令的模式: 指定此 VLAN 接口无法向其启动流量的 VLAN ID。 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 使用指南 版本 7.
第 16 章 file-bookmarks 至 functions 命令 forward interface 示例 以下示例配置了三个 VLAN 接口。第三个家庭接口无法将流量转发到工作接口。 ciscoasa(config)# interface vlan 100 ciscoasa(config-if)# nameif outside ciscoasa(config-if)# security-level 0 ciscoasa(config-if)# ip address dhcp ciscoasa(config-if)# no shutdown ciscoasa(config-if)# ciscoasa(config-if)# ciscoasa(config-if)# ciscoasa(config-if)# ciscoasa(config-if)# interface vlan 200 nameif work security-level 100 ip address 10.1.1.1 255.255.255.
第 16 章 file-bookmarks 至 functions 命令 fqdn (crypto ca trustpoint) fqdn (crypto ca trustpoint) 在进行注册时,要在证书的主体可选名称扩展名中包含指示的 FQDN,请在 crypto ca trustpoint 配 置模式下使用 fqdn 命令。要恢复 FQDN 的默认设置,请使用此命令的 no 形式。 fqdn [fqdn | none] no fqdn 语法说明 fqdn 指定 FQDN。最大长度是 64 个字符。 none 指定不使用完全限定域名。 默认值 默认设置不包括 FQDN。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Crypto ca-trustpoint 配置 命令历史 版本 7.
第 16 章 file-bookmarks 至 functions 命令 fqdn(网络对象) fqdn(网络对象) 要配置网络对象的 FQDN,请在对象配置模式下使用 fqdn 命令。要从配置中删除对象,请使用 此命令的 no 形式。 fqdn [v4 | v6] fqdn no fqdn [v4 | v6] fqdn 语法说明 fqdn 指定 FQDN,包括主机和域。FQDN 必须以数字或字母来开头和结尾。 内部字符仅允许使用字母、数字和短划线。标签由点分隔(例如 www.cisco.com )。 v4 (可选)指定 IPv4 域名。 v6 (可选)指定 IPv6 域名。 默认值 默认情况下,域名为 IPv4 域。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 对象网络配置 命令历史 使用指南 示例 版本 8.
第 16 章 file-bookmarks 至 functions 命令 fqdn(网络对象) 命令 nat 说明 实现网络对象的 NAT。 object network 创建网络对象。 object-group network 创建网络对象组。 range 指定网络对象的地址范围。 show running-config object network 显示网络对象的配置。 subnet 指定子网的网络对象。 思科 ASA 系列命令参考,A 至 H 命令 16-45
第 16 章 file-bookmarks 至 functions 命令 fragment fragment 要提供数据包分段的额外管理并改进与 NFS 之间的兼容性,请在全局配置模式下使用 fragment 命令。要恢复默认值,请使用此命令的 no 形式。 fragment reassembly {full | virtual} {size | chain | timeout limit} [interface] no fragment reassembly {full | virtual} {size | chain | timeout limit} [interface] 语法说明 chain limit 指定一个完整 IP 数据包的最大分段数量。 interface (可选)指定 ASA 接口。如果未指定接口,则此命令应用于所有接口。 reassembly full | virtual 指定通过 ASA 来路由的 IP 分段的完全或虚拟重组。在 ASA 终止的 IP 分段始终会完全重组。 size limit 设置可在 IP 重组数据库中等待重组的分段的最大数量。 注 tim
第 16 章 file-bookmarks 至 functions 命令 fragment 使用指南 默认情况下,ASA 接受最多 24 个分段,以重建完整 IP 数据包。根据您的网络安全策略,您应该 考虑配置 ASA 以防止分段数据包穿越 ASA,方法是在每个接口上输入 fragment chain 1 interface 命令。设置限值为 1 表示所有数据包必须是完整的,即未分段。 如果通过 ASA 的大部分网络流量是 NFS,则可能有必要进行其他调整以避免数据库溢出。 在 NFS 服务器与客户端之间的 MTU 大小很小的环境中,如 WAN 接口,chain 关键字可能需要额 外的调整。在这种情况下,我们建议使用 NFS over TCP 以提高效率。 将 size limit 设置为一个大值可能导致 ASA 更容易因分段泛洪而受到 DoS 攻击。请勿将 size limit 设置为等于或大于 1550 或 16384 池中的块总数。 默认值将限制分段泛洪导致的 DoS 攻击。 无论 reassembly 选项的设置如何,均会执行以下过程: • 收集 IP 片段,直到片段集形成或超时间隔已到(请参
第 16 章 file-bookmarks 至 functions 命令 frequency frequency 要设置所选 SLA 操作的重复率,请在 SLA 监控协议配置模式下使用 frequency 命令。要恢复默 认值,请使用此命令的 no 形式。 frequency seconds no frequency 语法说明 seconds 默认值 默认频率为间隔 60 秒。 命令模式 下表展示可输入此命令的模式: 各 SLA 探测之间的秒数。有效值为从 1 到 604800 秒。此值不得低于 timeout 值。 防火墙模式 安全情景 多个 命令模式 路由 SLA 监控协议配置 命令历史 使用指南 版本 7.
第 16 章 file-bookmarks 至 functions 命令 frequency 相关命令 命令 sla monitor 说明 定义 SLA 监控操作。 timeout 定义 SLA 操作等待响应的时间。 思科 ASA 系列命令参考,A 至 H 命令 16-49
第 16 章 file-bookmarks 至 functions 命令 fsck fsck 要执行文件系统检查和修复损坏,请在特权 EXEC 模式下使用 fsck 命令。 fsck [/noconfirm] {disk0: | disk1: | flash:} 语法说明 /noconfirm (可选)不会提示您进行修复确认。 disk0: 指定 内部闪存,后跟冒号。 disk1: 指定 外部闪存卡,后跟冒号。 flash: 指定 内部闪存,后跟冒号。flash 关键字是 disk0: 的别名。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 7.0(1) 使用指南 • 是 透明 • 是 单个 • 是 情景 — 系统 • 是 修改 引入了此命令。 fsck 命令检查并尝试修复损坏的文件系统。请在尝试更永久性的修复过程之前使用此命令。 如果 FSCK 实用程序修复磁盘损坏实例(例如由于电源故障或异常关闭导致的损坏),则会创建 名为 FSCKxxx.
第 16 章 file-bookmarks 至 functions 命令 fsck 相关命令 命令 delete 说明 删除用户可见的所有文件。 erase 删除所有文件并格式化闪存。 format 清除文件系统上的所有文件,包括隐藏的系统文件,并重新安装文件 系统。 思科 ASA 系列命令参考,A 至 H 命令 16-51
第 16 章 file-bookmarks 至 functions 命令 ftp mode passive ftp mode passive 要将 FTP 模式设置为被动模式,请在全局配置模式下使用 ftp mode passive 命令。要将 FTP 客户 端重置为主用模式,请使用此命令的 no 形式。 ftp mode passive no ftp mode passive 默认值 此命令默认禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第 16 章 file-bookmarks 至 functions 命令 functions functions 在版本 8.
第 16 章 file-bookmarks 至 functions 命令 functions 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 路由 命令模式 WebVPN 配置 命令历史 • 是 透明 — 单个 • 是 版本 7.0(1) 引入了此命令。 7.1(1) 添加了 auto-download 和 citrix 关键字。 8.
第 17 章 gateway 至 hw-module module shutdown 命令 思科 ASA 系列命令参考,A 至 H 命令 17-1
第 17 章 gateway 至 hw-module module shutdown 命令 gateway gateway 要指定哪个呼叫代理组正在管理特定网关,请在 mgcp 映射配置模式下使用 gateway 命令。要删 除配置,请使用此命令的 no 形式。 gateway ip_address [group_id] 语法说明 gateway 正在管理特定网关的呼叫代理组。 group_id 呼叫代理组 ID,从 0 到 2147483647。 ip_address 网关的 IP 地址。 默认值 此命令默认禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Mgcp 映射配置 命令历史 版本 7.
第 17 章 gateway 至 hw-module module shutdown 命令 gateway 相关命令 命令 debug mgcp 说明 启用 MGCP 的调试信息的显示。 mgcp-map 定义 MGCP 映射并启用 mgcp 映射配置模式。 show mgcp 显示 MGCP 配置和会话信息。 思科 ASA 系列命令参考,A 至 H 命令 17-3
第 17 章 gateway 至 hw-module module shutdown 命令 gateway-fqdn gateway-fqdn 配置 ASA 的 FQDN。使用 gateway-fqdn 命令。要删除配置,请使用此命令的 no 形式。 gateway-fqdn value {FQDN_Name | none} no gateway-fqdn 语法说明 fqdn-name 定义要推送到 AnyConnect 客户端的 ASA FQDN。 none 定义 FQDN 为空值,即不指定 FQDN。如果可用,将使用通过 hostname 和 domain-name 命令配置的全局 FQDN。 默认值 在默认组策略中没有设置默认 FQDN 名称。将新的组策略设置为继承此值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 组策略配置 命令历史 使用指南 版本 9.
第 17 章 gateway 至 hw-module module shutdown 命令 gateway-fqdn 示例 以下示例将 ASA 的 FQDN 定义为 ASAName.example.cisco.com。 ciscoasa(config-group-policy)# gateway-fqdn value ASAName.example.cisco.
第 17 章 gateway 至 hw-module module shutdown 命令 group group 要在 IKEv2 安全关联 (SA) 中为 AnyConnect IPsec 连接指定 Diffie-Hellman 组,请在 ikev2 策略配 置模式下使用 group 命令。要删除命令并使用默认设置,请使用此命令的 no 形式: group {1 | 2 | 5 | 14 | 19 | 20 | 21 | 24} no group {1 | 2 | 5 | 14 | 19 | 20 | 21 | 24} 语法说明 1 指定 768 位 Diffie-Hellman 组 1(在 FIPS 模式下不支持)。 2 指定 1024 位 Diffie-Hellman 组 2。 5 指定 1536 位 Diffie-Hellman 组 5。 14 选择 ECDH 组作为 IKEv2 DH 密钥交换组。 19 选择多个 ECDH 组作为 IKEv2 DH 密钥交换组。 20 选择多个 ECDH 组作为 IKEv2 DH 密钥交换组。 21 选择多个 ECDH 组作为
第 17 章 gateway 至 hw-module module shutdown 命令 group 示例 以下示例进入 ikev2 策略配置模式并将 Diffie-Hellman 组设置为组 5: ciscoasa(config)# crypto ikev2 policy 1 ciscoasa(config-ikev2-policy)# group 5 相关命令 命令 encryption 在用于 AnyConnect IPsec 连接的 IKEv2 SA 中指定加密算法。 说明 group 在用于 AnyConnect IPsec 连接的 IKEv2 SA 中指定 Diffie-Hellman 组。 lifetime 在用于 AnyConnect IPsec 连接的 IKEv2 SA 中指定 SA 生命期。 prf 指定用于 AnyConnect IPsec 连接的 IKEv2 SA 中的伪随机函数。 思科 ASA 系列命令参考,A 至 H 命令 17-7
第 17 章 gateway 至 hw-module module shutdown 命令 group-alias group-alias 要创建用户可用来引用隧道组的一个或多个备用名称,请在 tunnel-group webvpn 配置模式下使用 group-alias 命令。要从列表中删除别名,请使用此命令的 no 形式。 group-alias name [enable | disable] no group-alias name 语法说明 disable 禁用组别名。 enable 启用一个之前禁用的组别名。 name 指定隧道组别名的名称。这可以是您选择的任何字符串,只是字符串 不能包含空格。 默认值 没有默认组别名,但如果指定组别名,则默认情况下启用该别名。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 隧道组 webvpn 配置 命令历史 版本 7.
第 17 章 gateway 至 hw-module module shutdown 命令 group-alias 相关命令 命令 说明 clear configure tunnel-group 清除整个隧道组数据库或指定的隧道组配置。 show webvpn group-alias 显示指定隧道组或所有隧道组的别名。 tunnel-group webvpn-attributes 为配置 WebVPN 隧道组属性进入 tunnel-group webvpn 配置模式。 思科 ASA 系列命令参考,A 至 H 命令 17-9
第 17 章 gateway 至 hw-module module shutdown 命令 group-delimiter group-delimiter 要启用组名解析并指定在解析组名(组名来自协商隧道时接收的用户名)时使用的分隔符,请在 全局配置模式下使用 group-delimiter 命令。要禁用此组名解析,请使用此命令的 no 形式。 group-delimiter delimiter no group-delimiter 语法说明 delimiter 默认值 默认情况下,不指定分隔符,因此禁用组名解析。 命令模式 下表展示可输入此命令的模式: 指定作为组分隔符的字符。有效值是:@、# 和 !。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 示例 版本 7.
第 17 章 gateway 至 hw-module module shutdown 命令 group-lock group-lock 要将远程用户限制为只能通过隧道组访问,请在组策略配置模式下或用户名配置模式下发出 group-lock 命令。要从运行配置删除 group-lock 属性,请使用此命令的 no 形式。 group-lock {value tunnel-grp-name | none} no group-lock 语法说明 none 将 group-lock 设置为空值,从而允许无组锁定限制。防止从默认或指 定组策略继承组锁定值。 value tunnel-grp-name 指定 ASA 要求用户连接的现有隧道组的名称。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 使用指南 路由 透明 单个 情景 系统 组策略配置 • 是 — • 是 — — 用户名配置 • 是 — • 是 — — 要禁用组锁定,请使用 group-lock none 命令。no group-
第 17 章 gateway 至 hw-module module shutdown 命令 group-object group-object 要向对象组添加组对象,请在配置对象时使用 group-object 命令。要删除组对象,请使用此命令 的 no 形式。 group-object obj_grp_name no group-object obj_grp_name 语法说明 obj_grp_name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 标识对象组(1 到 64 个字符),可以是字母、数字以及 “_”、“-”、“.” 字符的任意组合。 防火墙模式 安全情景 多个 命令模式 路由 协议、网络、服务、icmp 类 型、安全组和用户对象组配置 模式 命令历史 版本 7.0(1) 8.
第 17 章 gateway 至 hw-module module shutdown 命令 group-object 示例 以下示例展示如何使用 group-object 命令来消除对重复主机的需求: ciscoasa(config)# object-group network host_grp_1 ciscoasa(config-network)# network-object host 192.168.1.1 ciscoasa(config-network)# network-object host 192.168.1.2 ciscoasa(config-network)# exit ciscoasa(config)# object-group network host_grp_2 ciscoasa(config-network)# network-object host 172.23.56.1 ciscoasa(config-network)# network-object host 172.23.56.
第 17 章 gateway 至 hw-module module shutdown 命令 group-policy group-policy 要创建或编辑组策略,请在全局配置模式下使用 group-policy 命令。要从配置中删除组策略,请 使用此命令的 no 形式。 group-policy name {internal [from group-policy_name] | external server-group server_group password server_password} no group-policy name 语法说明 external server-group server_group 指定组策略为外部策略,并标识 AAA 服务器组,以供 ASA 查询 属性。 from group-policy_name 将此内部组策略属性初始化为一个预先存在的组策略的值。 internal 将组策略标识为内部策略。 name 指定组策略的名称。名称的长度最多为 64 个字符,可以包含空格。 带空格的组名必须包含在双引号中,例如 “Sales Group”。 pas
第 17 章 gateway 至 hw-module module shutdown 命令 group-policy 属性 默认值 client-access-rules none client-firewall none default-domain none dns-server none group-lock none ip-comp disable ip-phone-bypass disabled ipsec-udp disabled ipsec-udp-port 10000 leap-bypass disabled nem disabled password-storage disabled pfs disable re-xauth disable secure-unit-authentication disabled split-dns none split-tunnel-network-list none split-tunnel-policy tunnelall user-authentication disab
第 17 章 gateway 至 hw-module module shutdown 命令 group-policy 相关命令 命令 clear configure group-policy 删除特定组策略或所有组策略的配置。 group-policy attributes 进入组策略配置模式,在该模式下您可以为指定的组策略配 置属性和值,在该模式下也可以进入 webvpn 配置模式以为 组配置 WebVPN 属性。 show running-config group-policy 显示特定组策略或所有组策略正在运行的配置。 webvpn 进入您可以配置指定组 WebVPN 属性的 webvpn 配置模式。 思科 ASA 系列命令参考,A 至 H 命令 17-16 说明
第 17 章 gateway 至 hw-module module shutdown 命令 group-policy attributes group-policy attributes 要进入组策略配置模式,请在全局配置模式下使用 group-policy attributes 命令。要从组策略删 除所有属性,请使用此命令的 no 形式。 group-policy name attributes no group-policy name attributes 语法说明 name 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定组策略的名称。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第 17 章 gateway 至 hw-module module shutdown 命令 group-policy attributes 属性 默认值 client-firewall none default-domain none dns-server none group-lock none ip-comp disable ip-phone-bypass disabled ipsec-udp disabled ipsec-udp-port 10000 leap-bypass disabled nem disabled password-storage disabled pfs disable re-xauth disable secure-unit-authentication disabled split-dns none split-tunnel-network-list none split-tunnel-policy tunnelall user-authentication disabled user-authe
第 17 章 gateway 至 hw-module module shutdown 命令 group-policy attributes 相关命令 命令 clear configure group-policy 说明 删除特定组策略或所有组策略的配置。 group-policy 创建、编辑或删除组策略。 show running-config group-policy 显示特定组策略或所有组策略正在运行的配置。 webvpn 进入 group-webvpn 配置模式,在该模式下可以为指定的组 配置 WebVPN 属性。 思科 ASA 系列命令参考,A 至 H 命令 17-19
第 17 章 gateway 至 hw-module module shutdown 命令 group-prompt group-prompt 要定制当 WebVPN 用户连接到 ASA 时向其显示的 WebVPN 页面登录框的组提示,请在 webvpn 定制配置模式下使用 group-prompt 命令。要从配置中删除该命令并使值得到继承,请使用此命 令的 no 形式。 group-prompt {text | style} value no group-prompt {text | style} value 语法说明 默认值 text 指定对文本的更改。 style 指定样式更改。 value 要显示的实际文本或层叠样式表 (CSS) 参数(最大值是 256 个字符)。 组提示的默认文本是 “GROUP:”。 组提示的默认样式是 color:black;font-weight:bold;text-align:right。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Webvpn customization configurati
第 17 章 gateway 至 hw-module module shutdown 命令 group-prompt 示例 在以下示例中,文本更改为 “Corporate Group:”,将字体粗细更改为粗体,以更改默认样式: ciscoasa(config)# webvpn ciscoasa(config-webvpn)# customization cisco ciscoasa(config-webvpn-custom)# group-prompt text Corporate Group: ciscoasa(config-webvpn-custom)# group-prompt style font-weight:bolder 相关命令 命令 password-prompt 定制 WebVPN 页面的密码提示。 说明 username-prompt 定制 WebVPN 页面的用户名提示。 思科 ASA 系列命令参考,A 至 H 命令 17-21
第 17 章 gateway 至 hw-module module shutdown 命令 group-search-timeout group-search-timeout 要指定等待使用 show ad-groups 查询 Active Directory 服务器的响应的最大时间,请在 aaa-server 主 机配置模式下使用 group-search-timeout 命令。要从配置中删除该命令,请使用该命令的 no 形式: group-search-timeout seconds no group-search-timeout seconds 语法说明 seconds 默认值 默认值为 10 秒。 命令模式 下表展示可输入此命令的模式: 等待 Active Directory 服务器的响应的时间,从 1 秒到 300 秒。 防火墙模式 安全情景 多个 命令模式 路由 Aaa-server host configuration 命令历史 版本 8.
第 17 章 gateway 至 hw-module module shutdown 命令 group-url group-url 要为组指定传入 URL 或 IP 地址,请在隧道组 webvpn 配置模式下使用 group-url 命令。要从列表 中删除 URL,请使用此命令的 no 形式。 group-url url [enable | disable] no group-url url 语法说明 disable 禁用 URL,但不从列表中删除它。 enable 启用 URL。 url 为此隧道组指定 URL 或 IP 地址。 默认值 没有默认 URL 或 IP 地址,但如果指定 URL 或 IP 地址,则默认情况下会启用它们。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 隧道组 webvpn 配置 命令历史 使用指南 版本 7.
第 17 章 gateway 至 hw-module module shutdown 命令 group-url 以下示例为名为 RadiusServer 的隧道组启用组 URL http://www.cisco.com 和 http://192.168.10.
第 17 章 gateway 至 hw-module module shutdown 命令 h245-tunnel-block h245-tunnel-block 要在 H.323 中阻止 H.245 隧道,请在参数配置模式下使用 h245-tunnel-block 命令。要禁用此功 能,请使用此命令的 no 形式。 h245-tunnel-block action [drop-connection | log] no h245-tunnel-block action [drop-connection | log] 语法说明 drop-connection 当检测到 H.245 隧道时,丢弃呼叫设置连接。 log 当检测到 H.245 隧道时,发出日志。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 参数配置 命令历史 示例 版本 7.2(1) • 是 透明 • 是 单个 • 是 情景 • 是 系统 — 修改 引入了此命令。 以下示例展示如何对 H.323 呼叫阻止 H.
第 17 章 gateway 至 hw-module module shutdown 命令 health-check health-check 要启用集群状况检查功能,请在集群组配置模式下使用 health-check 命令。要禁用状况检查,请 使用此命令的 no 形式。 health-check [holdtime timeout] [vss-enabled] no health-check [holdtime timeout] [vss-enabled] 语法说明 holdtime timeout (可选)确定在 keepalive 或接口状态消息之间的时间,此时间在 0.
第 17 章 gateway 至 hw-module module shutdown 命令 health-check 如果设备在保持时间内没有收到接口状态消息,则 ASA 从集群中删除成员之前所经过的时间取 决于接口类型以及设备是已建立的成员还是正在加入集群。对于 EtherChannel(无论是否跨 区),如果接口在已建立的成员上关闭,则 ASA 在 9 秒后删除成员。如果设备作为新成员加入集 群,则 ASA 等待 45 秒,然后拒绝新设备。对于非 EtherChannel,将在 500 毫秒后删除设备,无 论成员状态如何。 此命令并非引导程序配置的一部分,而是从主设备复制到从属设备上的。 示例 以下示例禁用状况检查: ciscoasa(config)# cluster group cluster1 ciscoasa(cfg-cluster)# no health-check 相关命令 命令 clacp system-mac cluster group 说明 使用跨区 EtherChannel 时,ASA 使用 cLACP 来与邻居交换机协商 EtherChannel。 为集群命名,然后进入集
第 17 章 gateway 至 hw-module module shutdown 命令 hello-interval hello-interval 要指定在接口上发送的 EIGRP 问候数据包的发送间隔,请在接口配置模式下使用 hello-interval 命令。要将问候间隔重置为默认值,请使用此命令的 no 形式。 hello-interval eigrp as-number seconds no hello-interval eigrp as-number seconds 语法说明 as-number 指定 EIGRP 路由进程的自主系统编号。 seconds 指定在接口上发送的问候数据包的发送间隔。有效值为从 1 到 65535 秒。 默认值 默认值为 5 秒。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 • 是 版本 8.0(2) 引入了此命令。 9.
第 17 章 gateway 至 hw-module module shutdown 命令 help help 要显示指定命令的帮助信息,请在用户 EXEC 模式下使用 help 命令。 help {command | ?} 语法说明 ? 显示在当前权限级别和模式下可用的所有命令。 command 指定为其显示 CLI 帮助的命令。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 用户 EXEC 命令历史 使用指南 版本 7.
第 17 章 gateway 至 hw-module module shutdown 命令 help rename Rename a file SYNTAX: /noconfirm No confirmation {disk0:|disk1:|flash:} Optional parameter that specifies the filesystem
第 17 章 gateway 至 hw-module module shutdown 命令 hidden-parameter hidden-parameter 要在 ASA 提交到身份验证 Web 服务器中以供 SSO 身份验证的 HTTP POST 请求中指定隐藏参 数,请在 aaa-server-host 配置模式下使用 hidden-parameter 命令。要从运行配置删除所有隐藏参 数,请使用此命令的 no 形式。 hidden-parameter string no hidden-parameter 注意 要正确配置带有 HTTP 协议的 SSO,您必须透彻地了解身份验证和 HTTP 协议交换的工作原理。 语法说明 string 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 一个在表单中嵌入并发送到 SSO 服务器的隐藏参数。您可以在多行中输 入此参数。每行的最大字符数为 255。所有行(整个隐藏参数)的最大字 符数为 2048。 防火墙模式 安全情景 多个 命令模式 路由 Aaa-server-host 配置 命令历史 版本 7.
第 17 章 gateway 至 hw-module module shutdown 命令 hidden-parameter 示例 以下示例展示一个隐藏参数,此参数由四个表单条目及其值组成,并用 & 分隔。源自 POST 的四 个条目和它们的值为: • SMENC,其值为 ISO-8859-1 • SMLOCALE,其值为 US-EN • target,其值为 https%3A%2F%2Ftools.cisco.com%2Femco%2Fappdir%2FAreaRoot.do %3FEMCOPageCode%3DENG • smauthreason,其值为 0 SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Ftools.cisco.com%2Femco%2 Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0 ciscoasa(config)# aaa-server testgrp1 host example.
第 17 章 gateway 至 hw-module module shutdown 命令 hidden-shares hidden-shares 要控制 CIFS 文件的隐藏共享的可见性,请在 group-webvpn 配置模式下使用 hidden-shares 命 令。要从配置中删除隐藏共享选项,请使用此命令的 no 形式。 hidden-shares {none | visible} [no] hidden-shares {none | visible} 语法说明 none 指定任何配置的隐藏共享均对用户不可见或不可访问。 visible 显示隐藏共享使其可供用户访问。 默认值 此命令的默认行为是无。 命令模式 下表展示可输入此命令的模式: 命令模式 防火墙模式 安全情景 多个 路由 Group-webvpn 配置 命令历史 使用指南 版本 8.
第 17 章 gateway 至 hw-module module shutdown 命令 hold-time hold-time 要在 EIGRP 问候数据包中指定由 ASA 通告的保持时间,请在接口配置模式下使用 hold-time 命 令。要将问候间隔重置为默认值,请使用此命令的 no 形式。 hold-time eigrp as-number seconds no hold-time eigrp as-number seconds 语法说明 as-number EIGRP 路由进程的自主系统编号。 seconds 指定保持时间,以秒为单位。有效值为从 1 到 65535 秒。 默认值 默认值为 15 秒。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 接口配置 命令历史 使用指南 • 是 版本 8.0(2) 引入了此命令。 9.
第 17 章 gateway 至 hw-module module shutdown 命令 hold-time 相关命令 命令 hello-interval 说明 指定在接口上发送的 EIGRP 问候数据包的时间间隔。 思科 ASA 系列命令参考,A 至 H 命令 17-35
第 17 章 gateway 至 hw-module module shutdown 命令 homepage homepage 要指定在登录后为此 WebVPN 用户或者组策略显示的网页的 URL,请在 webvpn 配置模式下使用 homepage 命令。要删除已配置的主页,包括通过发出 homepage none 命令来创建空值,请使用 此命令的 no 形式。 homepage {value url-string | none} no homepage 语法说明 none 指示没有 WebVPN 主页。设置空值,从而禁止主页。防止继承主页。 value url-string 提供主页的 URL。字符串必须以 http:// 或 https:// 开头。 默认值 没有默认主页。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 WebVPN 配置 命令历史 使用指南 版本 7.
第 17 章 gateway 至 hw-module module shutdown 命令 homepage use-smart-tunnel homepage use-smart-tunnel 在使用无客户端 SSL VPN 时,要允许组策略主页使用智能隧道功能,请在组策略 webvpn 配置模 式下使用 homepage use-smart-tunnel 命令。 homepage {value url-string | none} homepage use-smart-tunnel 语法说明 命令模式 none 指示没有 WebVPN 主页。设置空值,从而禁止主页。防止继承主页。 value url-string 提供主页的 URL。字符串必须以 http:// 或 https:// 开头。 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 组策略 webvpn 配置 命令历史 版本 8.
第 17 章 gateway 至 hw-module module shutdown 命令 homepage use-smart-tunnel 以下示例将一个隧道指定的隧道策略应用于合作伙伴的组策略: ciscoasa(config-group-webvpn)# smart-tunnel tunnel-policy tunnelspecified inventory 以下示例指定组策略主页并对其启用智能隧道: ciscoasa(config-group-webvpn)# homepage value http://inv.example.
第 17 章 gateway 至 hw-module module shutdown 命令 host(网络对象) host(网络对象) 要配置网络对象的主机,请在对象网络配置模式下使用 host 命令。要从对象删除主机,请使用此 命令的 no 形式。 host ip_address no host ip_address 语法说明 ip_address 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 标识对象的主机 IP 地址,采用 IPv4 或 IPv6 协议。 防火墙模式 安全情景 多个 命令模式 路由 对象配置 命令历史 版本 8.3(1) • 是 透明 • 是 单个 • 情景 是 • 是 系统 — 修改 引入了此命令。 使用指南 如果您使用不同 IP 地址配置现有网络对象,新配置将会替换现有配置。 示例 以下示例展示如何创建主机网络对象: ciscoasa (config)# object network OBJECT1 ciscoasa (config-network-object)# host 10.1.1.
第 17 章 gateway 至 hw-module module shutdown 命令 host (parameters) host (parameters) 要指定一个要交互的、使用 RADIUS 记账的主机,请在 radius-accounting 参数配置模式下使用 host 命令,在策略映射类型检查 radius-accounting 子模式下使用 parameters 命令可进入此模式。 要禁用指定主机,请使用此命令的 no 形式。 host address [key secret] no host address [key secret] 语法说明 host 指定发送 RADIUS 记账消息的单个终端。 address 发送 RADIUS 记账消息的客户端或服务器的 IP 地址。 key 一个可选关键字,用于指定发送记账消息的无为副本的终端的密钥。 secret 发送用于验证消息的记账消息的终端的共享密钥。共享密钥最多包含 128 个字母数字字符。 默认值 默认情况下禁用 no 选项。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命
第 17 章 gateway 至 hw-module module shutdown 命令 hostname hostname 要设置 ASA 主机,请在全局配置模式下使用 hostname 命令。要恢复默认主机名,请使用此命令 的 no 形式。 hostname name no hostname [name] 语法说明 name 默认值 默认主机名取决于您的平台。 命令模式 下表展示可输入此命令的模式: 指定一个主机名,最长为 63 个字符。主机名必须以字母或数字开头和 结尾,并且内部字符只能是字母、数字或连字符。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第 17 章 gateway 至 hw-module module shutdown 命令 hpm topn enable hpm topn enable 要在通过 ASA 连接的顶部主机的 ASDM 中启用实时报告,请在全局配置模式下使用 hpm topn enable 命令。要禁用主机报告,请使用此命令的 no 形式。 hpm topn enable no hpm topn enable 语法说明 此命令没有任何参数或关键字。 命令默认值 此命令默认禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 8.
第 17 章 gateway 至 hw-module module shutdown 命令 hsi hsi 要将 HSI 添加到 HSI 组以进行 H.323 协议检查,请在 hsi 组配置模式下使用 hsi 命令。要禁用此 功能,请使用此命令的 no 形式。 hsi ip_address no hsi ip_address 语法说明 ip_address 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 要添加的主机的 IP 地址。每个 HSI 组允许最多五个 HSI。 防火墙模式 安全情景 多个 命令模式 路由 Hsi 组配置 命令历史 示例 版本 7.2(1) • 是 透明 • 是 单个 • 是 情景 • 是 系统 — 修改 引入了此命令。 以下示例展示如何将 HSI 添加到 H.323 检查策略映射的 HSI 组中: ciscoasa(config-pmap-p)# hsi-group 10 ciscoasa(config-h225-map-hsi-grp)# hsi 10.10.15.
第 17 章 gateway 至 hw-module module shutdown 命令 hsi-group hsi-group 要为 H.323 协议检查定义 HSI 组并进入 hsi 组配置模式,请在参数配置模式下使用 hsi-group 命 令。要禁用此功能,请使用此命令的 no 形式。 hsi-group group_id no hsi-group group_id 语法说明 group_id 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: HSI 组 ID 号,从 0 到 2147483647。 防火墙模式 安全情景 多个 命令模式 路由 参数配置 命令历史 示例 版本 7.2(1) • 是 • 是 • 是 引入了此命令。 以下示例展示如何在 H.323 检查策略映射中配置 HSI 组: 10 hsi 10.10.15.11 endpoint 10.3.6.1 inside endpoint 10.10.25.
第 17 章 gateway 至 hw-module module shutdown 命令 html-content-filter html-content-filter 要为此用户或组策略的 WebVPN 会话过滤 Java、ActiveX、图像、脚本和 Cookie,请在 webvpn 配置模式下使用 html-content-filter 命令。要删除内容过滤器,请使用此命令的 no 形式。 html-content-filter {java | images | scripts | cookies | none} no html-content-filter [java | images | scripts | cookies | none] 语法说明 cookies 从图像删除 Cookie,提供受限的广告过滤和隐私。 images 删除对图像的引用(删除 标记)。 java 删除对 Java 和 ActiveX 的引用(删除
第 17 章 gateway 至 hw-module module shutdown 命令 html-content-filter 相关命令 命令 webvpn 思科 ASA 系列命令参考,A 至 H 命令 17-46 说明 允许您进入 webvpn 配置模式,以配置应用于组策略或用户名的参数。 允许您进入全局配置模式以为 WebVPN 配置全局设置。
第 17 章 gateway 至 hw-module module shutdown 命令 http http 要指定可访问 ASA 内部的 HTTP 服务器,请在全局配置模式下使用 http 命令。要删除一个或多 个主机,请使用此命令的 no 形式。要从配置中删除属性,请使用此命令的 no 形式,不带参数。 http ip_address subnet_mask interface_name no http 语法说明 interface_name 提供主机用来访问 HTTP 服务器的 ASA 接口的名称。 ip_address 提供可以访问 HTTP 服务器的主机的 IP 地址。 subnet_mask 提供可以访问 HTTP 服务器的主机的子网掩码。 默认值 没有主机可以访问 HTTP 服务器。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 示例 版本 7.0(1) • 是 透明 — 单个 • 是 情景 系统 — — 修改 引入了此命令。 以下示例展示如何允许 IP 地址为 10.10.
第 17 章 gateway 至 hw-module module shutdown 命令 http authentication-certificate http authentication-certificate 要为使用 ASDM HTTPS 连接的身份验证要求证书,请在全局配置模式下使用 http authentication-certificate 命令。要从配置中删除该属性,请使用此命令的 no 版本。要从配置中 删除所有 http authentication-certificate 命令,请使用 no 版本,不带参数。 ASA 针对 PKI 信任点来验证证书。如果证书未通过验证,则 ASA 关闭 SSL 连接。 http authentication-certificate interface no http authentication-certificate [interface] 语法说明 interface 默认值 HTTP 证书身份验证已禁用。 命令模式 下表展示可输入此命令的模式: 指定要求证书身份验证的 ASA 上的接口。 防火墙模式 安全情景 多个
第 17 章 gateway 至 hw-module module shutdown 命令 http authentication-certificate 相关命令 命令 clear configure http 说明 删除 HTTP 配置:禁用 HTTP 服务器并删除可以访问 HTTP 服务器 的主机。 http 指定可以通过 IP 地址和子网掩码来访问 HTTP 服务器的主机。指 定主机用来访问 HTTP 服务器的 ASA 接口。 http redirect 指定 ASA 将 HTTP 连接重新定向到 HTTPS。 http server enable 启用 HTTP 服务器。 show running-config http 显示可以访问 HTTP 服务器的主机以及 HTTP 服务器是否启用。 ssl authentication-certificate 为 SSL 连接要求证书。 思科 ASA 系列命令参考,A 至 H 命令 17-49
第 17 章 gateway 至 hw-module module shutdown 命令 http[s](参数) http[s](参数) 要为 scansafe 检查策略映射指定服务类型,请在参数配置模式下使用 http[s] 命令。要删除服务类 型,请使用此命令的 no 形式。您可以通过首先输入 policy-map type inspect scansafe 命令来访问 参数配置模式。 {http | https} no {http | https} 语法说明 此命令没有任何参数或关键字。 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 版本 9.
第 17 章 gateway 至 hw-module module shutdown 命令 http[s](参数) 命令 match user group 说明 policy-map type inspect scansafe 创建检查策略映射,以便配置重要的规则参数并选择性地标识白名单。 retry-count 输入重试计数器值,即 ASA 在轮询云网络安全代理服务器以检查其可用 性之前所等待的时长。 scansafe 在多情景模式下,允许基于情景的云网络安全。 scansafe general-options 配置一般云网络安全服务器选项。 server {primary | backup} 配置主要或备用云网络安全代理服务器的完全限定域名或 IP 地址。 show conn scansafe 显示所有云网络安全连接,标有大写 Z 标志。 show scansafe server 显示服务器的状态,表示服务为当前活动服务器、备用服务器还是不 可达。 show scansafe statistics 显示总计和当前 HTTP 连接数。 匹配白名单的用户或组。 use
第 17 章 gateway 至 hw-module module shutdown 命令 http-comp http-comp 要在特定组或用户的 WebVPN 连接上的 HTTP 数据启用压缩,请在组策略 webvpn 和用户名 webvpn 配置模式下使用 http-comp 命令。要从配置中删除命令并进行值继承,请使用此命令的 no 形式。 http-comp {gzip | none} no http-comp {gzip | none} 语法说明 gzip 指定为组或用户启用压缩。 none 指定为组或用户禁用压缩。 默认值 默认情况下,压缩设置为启用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 命令历史 使用指南 示例 路由 透明 单个 情景 系统 组策略 webvpn 配置 • 是 — • 是 — — 用户名 webvpn 配置 • 是 — • 是 — — 版本 7.
第 17 章 gateway 至 hw-module module shutdown 命令 http-proxy (call-home) http-proxy (call-home) 要为智能许可和 Smart Call Home 设置 HTTP(S) 代理,请在 call-home 模式下使用 http-proxy 命 令。要删除代理,请使用此命令的 no 形式。 http-proxy ip_address port port no http-proxy [ip_address port port] 语法说明 ip_address 设置 HTTP 代理服务器的 IP 地址。 port port 设置 HTTP 代理的端口号。例如,为 HTTPS 服务器使用 443。 命令默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Call-home 配置 命令历史 版本 9.
第 17 章 http-proxy (call-home) 命令 license smart register 向许可证颁发机构注册设备。 license smart renew 续订注册或许可证授权。 service call-home 启用 Smart Call Home。 show license 显示智能许可状态。 show running-config license 显示智能许可配置。 throughput level 设置智能许可的吞吐量级别。 思科 ASA 系列命令参考,A 至 H 命令 17-54 说明 gateway 至 hw-module module shutdown 命令
第 17 章 gateway 至 hw-module module shutdown 命令 http-proxy (dap) http-proxy (dap) 要启用或禁用 HTTP 代理端口转发,请在 dap-webvpn 配置模式下使用 http-proxy 命令。要从配 置中删除此属性,请使用此命令的 no 形式。 http-proxy {enable | disable | auto-start} no http-proxy 语法说明 auto-start 为 DAP 记录启用并自动启动 HTTP 代理端口转发。 enable/disable 为 DAP 记录启用或禁用 HTTP 代理端口转发。 默认值 没有默认值或行为。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 Dap-webvpn 配置 命令历史 使用指南 版本 8.0(2) • 是 透明 • 单个 是 • 是 情景 系统 — — 修改 引入了此命令。 ASA 可应用来自各种来源的属性值。它根据以下层次结构应用这些属性值: 1.
第 17 章 gateway 至 hw-module module shutdown 命令 http-proxy (dap) 相关命令 命令 dynamic-access-policy-record show running-config dynamic-access-policy-record 思科 ASA 系列命令参考,A 至 H 命令 17-56 说明 创建 DAP 记录。 显示所有 DAP 记录或指定 DAP 记录正在运行的配置。
第 17 章 gateway 至 hw-module module shutdown 命令 http-proxy (webvpn) http-proxy (webvpn) 要配置 ASA 以使用外部代理服务器来处理 HTTP 请求,请在 webvpn 配置模式下使用 http-proxy 命令。要从配置中删除 HTTP 代理服务器,请使用此命令的 no 形式。 http-proxy {host [port] [exclude url] | pac pacfile} [username username {password password}] no http-proxy 语法说明 host 外部 HTTP 代理服务器的主机名或 IP 地址。 pac pacfile 标识 PAC 文件,其中包含一个指定一个或多个代理的 JavaScript 函数。 password (可选,仅在您指定用户名时可用)输入此关键字,以为每个 HTTP 代理请求提供 一个密码,从而提供基本的代理身份验证。 password 要随同每个 HTTP 请求发送到代理服务器的密码。 port (可选)HTTP 代理
第 17 章 gateway 至 hw-module module shutdown 命令 http-proxy (webvpn) 使用指南 要求通过组织控制的服务器来访问互联网,这为通过过滤来确保安全互联网访问和管理控制提供 了又一个机会。 ASA 仅支持 http-proxy 命令的一个实例。如果在运行配置中已存在此命令的一个实例,之后又 输入了一个实例,则 CLI 会覆盖之前的实例。如果您输入 show running-config webvpn 命令,则 CLI 会列出运行配置中的所有 http-proxy 命令。如果响应未列出 http -proxy 命令,则说明不存在 此命令。 注意 示例 在 http-proxy 中不支持代理 NTLM 身份验证。仅支持无身份验证和采用基本身份验证的代理。 以下示例展示如何配置使用 IP 地址为 209.165.201.2 的 HTTP 代理服务器(使用默认端口 443): ciscoasa(config)# webvpn ciscoasa(config-webvpn)# http-proxy 209.165.201.
第 17 章 gateway 至 hw-module module shutdown 命令 http redirect http redirect 要指定 ASA 将 HTTP 重新定向到 HTTPS 连接,请在全局配置模式下使用 http redirect 命令。要 从配置中删除指定的 http redirect 命令,请使用此命令的 no 形式。要从配置中删除所有 http redirect 命令,请使用此命令的 no 形式,不带参数。 http redirect interface [port] no http redirect [interface] 语法说明 interface 标识 ASA 为其将 HTTP 请求重新定向到 HTTPS 的接口。 port 标识 ASA 用于侦听 HTTP 请求的端口,之后它将此请求重新定向到 HTTPS。默认情况下,它侦听端口 80, 默认值 HTTP 重新定向被禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 使用指南 版本 7.
第 17 章 gateway 至 hw-module module shutdown 命令 http redirect 相关命令 命令 clear configure http 说明 http 指定可以通过 IP 地址和子网掩码来访问 HTTP 服务器的主机。 指定主机用来访问 HTTP 服务器的 ASA 接口。 删除 HTTP 配置:禁用 HTTP 服务器并删除可以访问 HTTP 服务 器的主机。 http authentication-certificate 要求通过建立与 ASA 的 HTTPS 连接的用户提供的证书来进行身 份验证。 http server enable 启用 HTTP 服务器。 show running-config http 思科 ASA 系列命令参考,A 至 H 命令 17-60 显示可以访问 HTTP 服务器的主机以及 HTTP 服务器是否启用。
第 17 章 gateway 至 hw-module module shutdown 命令 http server enable http server enable 要启用 ASA HTTP 服务器,请在全局配置模式下使用 http server enable 命令。要禁用 HTTP 服务 器,请使用此命令的 no 形式。 http server enable [port] 为 HTTP 连接使用的端口。范围为 1 65535。默认端口为 443。 语法说明 no http port 默认值 HTTP 服务器被禁用。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 示例 版本 7.
第 17 章 gateway 至 hw-module module shutdown 命令 http server idle-timeout http server idle-timeout 要设置与 ASA 的 ASDM 连接的空闲超时,请在全局配置模式下使用 http server idle-timeout 命 令。要禁用超时,请使用此命令的 no 形式。 http server idle-timeout [minutes] no http server idle-timeout [minutes] 语法说明 minutes 默认值 默认设置为 20 分钟。 命令模式 下表展示可输入此命令的模式: 空闲超时,从 1 分钟到 1440 分钟。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 示例 版本 8.
第 17 章 gateway 至 hw-module module shutdown 命令 http server session-timeout http server session-timeout 要设置与 ASA 的 ASDM 连接的会话超时,请在全局配置模式下使用 http server session-timeout 命令。要禁用超时,请使用此命令的 no 形式。 http server session-timeout [minutes] no http server session-timeout [minutes] 语法说明 minutes 默认值 会话超时被禁用。ASDM 连接没有会话时间限制。 命令模式 下表展示可输入此命令的模式: 会话超时,从 1 分钟到 1440 分钟。 防火墙模式 安全情景 多个 命令模式 路由 全局配置 命令历史 示例 版本 8.
第 17 章 gateway 至 hw-module module shutdown 命令 https-proxy https-proxy 要配置 ASA 来使用外部代理服务器以处理 HTTPS 请求,请在 webvpn 配置模式下使用 https-proxy 命令。要从配置中删除 HTTPS 代理服务器,请使用此命令的 no 形式。 https-proxy {host [port] [exclude url] | [username username {password password}] no https-proxy 语法说明 host 外部 HTTPS 代理服务器的主机名或 IP 地址。 password (可选,仅在您指定用户名时可用)输入此关键字,以为每个 HTTP 代理请求提供 一个密码,从而提供基本的代理身份验证。 password 要随同每个 HTTPS 请求发送到代理服务器的密码。 port (可选)HTTPS 代理服务器使用的端口号。默认端口是 443,如果您不提供值, ASA 将使用该默认端口。范围为 1 到 65535。 url 输入要从可发送给代理服务器
第 17 章 gateway 至 hw-module module shutdown 命令 https-proxy 使用指南 要求通过组织控制的服务器来访问互联网,这为通过过滤来确保安全互联网访问和管理控制提供 了又一个机会。 ASA 仅支持 https-proxy 命令的一个实例。如果在运行配置中已存在此命令的一个实例,之后又 输入了一个实例,则 CLI 会覆盖之前的实例。如果您输入 show running-config webvpn 命令,则 CLI 会列出运行配置中的所有 https-proxy 命令。如果响应未列出 https-proxy 命令,则说明不存 在此命令。 示例 以下示例展示如何配置使用 IP 地址为 209.165.201.2 的 HTTP 代理服务器(使用默认端口 443): ciscoasa(config)# webvpn ciscoasa(config-webvpn)# https-proxy 209.165.201.
第 17 章 gateway 至 hw-module module shutdown 命令 hw-module module allow-ip hw-module module allow-ip 对于 ASA 5505 上的 AIP SSC,要设置允许访问管理 IP 地址的主机,请在特权 EXEC 模式下使用 hw-module module 命令。 hw-module module 1 allow-ip ip_address netmask 语法说明 1 指定插槽编号,编号始终为 1。 ip_ address 指定主机 IP 地址。 netmask 指定子网掩码。 默认值 在出厂默认配置中,允许 IP 地址从 192.168.1.5 到 192.168.1.254 的以下主机管理 IPS 模块。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 版本 8.
第 17 章 gateway 至 hw-module module shutdown 命令 hw-module module ip hw-module module ip 对于 ASA 5505 上的 AIP SSC,要配置管理 IP 地址,请在特权 EXEC 模式下使用 hw-module module ip 命令。 hw-module module 1 ip ip_address netmask gateway 语法说明 1 指定插槽编号,编号始终为 1。 gateway 指定网关 IP 地址。 ip_address 指定管理 IP 地址。 netmask 指定子网掩码。 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 版本 8.2(1) 使用指南 • 透明 是 • 单个 是 • 是 情景 系统 — — 修改 引入了此命令。 确保此地址与 ASA VLAN IP 地址处于同一子网中。例如,如果您将 10.1.1.
第 17 章 gateway 至 hw-module module shutdown 命令 hw-module module ip 相关命令 命令 hw-module module allow-ip 配置 AIP SSC 管理主机地址。 show module 显示模块状态信息。 思科 ASA 系列命令参考,A 至 H 命令 17-68 说明
第 17 章 gateway 至 hw-module module shutdown 命令 hw-module module password-reset hw-module module password-reset 要将硬件模块上默认管理员用户的密码重置为默认值,请在特权 EXEC 模式下使用 hw-module module password-reset 命令。 hw-module module 1 password-reset 语法说明 1 默认值 默认用户名和密码取决于您的模块: 命令模式 指定插槽编号,编号始终为 1。 • IPS 模块 - 用户名:cisco ;密码:cisco • CSC 模块 - 用户名:cisco ;密码:cisco • ASA CX 模块 - 用户名:admin ;密码:Admin123 下表展示可输入此命令的模式: 命令模式 防火墙模式 安全情景 多个 路由 特权 EXEC 命令历史 使用指南 • 是 透明 • 是 单个 • 版本 7.2(2) 修改 8.4(4.
第 17 章 gateway 至 hw-module module shutdown 命令 hw-module module password-reset The module in slot 1 does not support password reset Unable to reset the password on the module in slot 1 - no application found The SSM application version does not support password reset Failed to reset the password on the module in slot 1 示例 以下示例将重置插槽 1 中硬件模块上的密码: ciscoasa(config)# hw-module module 1 password-reset Reset the password on module in slot 1?[confirm] y 相关命令 命令 hw-module module recover 说明 hw-module module r
第 17 章 gateway 至 hw-module module shutdown 命令 hw-module module recover hw-module module recover 要从 TFTP 服务器将恢复软件映像加载到安装的模块,或者要配置网络设置来访问 TFTP 服务 器,请在特权 EXEC 模式下使用 hw-module module recover 命令。您可能需要使用此命令来恢复 模块,例如在模块无法加载本地映像时。 hw-module module 1 recover {boot | stop | configure [url tfp_url | ip module_address | gateway gateway_ip_address | vlan vlan_id]} 语法说明 1 指定插槽编号,编号始终为 1。 boot 根据 configure 关键字设置来启动此模块的恢复并下载恢复映像。之后 从新映像重启模块。 configure 配置网络参数以下载恢复映像。如果在 configure 关键字后没有输入网 络参数,则系统会提示您输入所有参数。此命令会提示您
第 17 章 gateway 至 hw-module module shutdown 命令 hw-module module recover 使用指南 如果模块失败,并且模块应用映像无法运行,可以从 TFTP 服务器将新映像重新安装到模块上。 注意 请勿在模块软件中使用 upgrade 命令来安装映像。 请确保您指定的 TFTP 服务器可以传输大小高达 60 MB 的文件。此过程大约需要 15 分钟,具体 取决于您的网络状况和映像的大小。 此命令仅在模块处于启用、关闭、无响应或恢复状态时才可用。有关状态信息,请参阅 show module 命令。 您可以使用 show module 1 recover 命令来查看恢复配置。 注意 示例 以下模块支持此命令:ASA CX、ASA FirePOWER。 以下示例设置模块以从 TFTP 服务器下载映像: ciscoasa# hw-module module 1 recover configure Image URL [tftp://127.0.0.1/myimage]: tftp://10.1.1.
第 17 章 gateway 至 hw-module module shutdown 命令 hw-module module reload hw-module module reload 要为物理模块重新加载模块软件,请在特权 EXEC 模式下使用 hw-module module reload 命令。 hw-module module 1 reload 语法说明 1 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定插槽编号,编号始终为 1。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 • 是 透明 • 是 单个 • 是 版本 7.0(1) 修改 8.4(4.1) 我们增加了对 ASA CX 模块的支持。 9.
第 17 章 gateway 至 hw-module module shutdown 命令 hw-module module reload 命令 hw-module module shutdown 关闭模块软件,为电源关闭做好准备,不会失去配置数据。 show module 显示模块信息。 思科 ASA 系列命令参考,A 至 H 命令 17-74 说明
第 17 章 gateway 至 hw-module module shutdown 命令 hw-module module reset hw-module module reset 要重置模块硬件并重新加载模块软件,请在特权 EXEC 模式下使用 hw-module module reset 命令。 hw-module module 1 reset 语法说明 1 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定插槽编号,编号始终为 1。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 • 透明 是 • 是 单个 • 是 版本 7.0(1) 修改 8.4(4.1) 我们增加了对 ASA CX 模块的支持。 9.
第 17 章 gateway 至 hw-module module shutdown 命令 hw-module module reset 相关命令 命令 debug module-boot 说明 hw-module module recover 从 TFTP 服务器加载恢复映像以恢复模块。 hw-module module reload 重新加载模块软件。 hw-module module shutdown 关闭模块软件,为电源关闭做好准备,不会失去配置数据。 show module 显示模块信息。 思科 ASA 系列命令参考,A 至 H 命令 17-76 显示关于模块引导过程的调试消息。
第 17 章 gateway 至 hw-module module shutdown 命令 hw-module module shutdown hw-module module shutdown 要关闭模块软件,请在特权 EXEC 模式下使用 hw-module module shutdown 命令。 hw-module module 1 shutdown 语法说明 1 默认值 没有默认行为或值。 命令模式 下表展示可输入此命令的模式: 指定插槽编号,编号始终为 1。 防火墙模式 安全情景 多个 命令模式 路由 特权 EXEC 命令历史 使用指南 • 是 透明 • 单个 是 • 是 版本 7.0(1) 修改 8.4(4.1) 我们增加了对 ASA CX 模块的支持。 9.
第 17 章 hw-module module shutdown 命令 hw-module module reload 重新加载模块软件。 hw-module module reset 关闭模块并执行硬件重置。 show module 显示模块信息。 思科 ASA 系列命令参考,A 至 H 命令 17-78 说明 gateway 至 hw-module module shutdown 命令