12-思科防火墙：ASA会话超时

一、实验拓扑： 二、实验要求： DCD：死亡检测时间，默认R2 Telnet上去保持时间为1个小时，超时就会被清除掉，这里要求变为4小时，每15s就会发送5个DCD检测包，如没回应就剔除掉，回收资源。有时候R2挂机、死机这类的，就会一直暂用连接数量，暂用状态化信息和资源。 1、配置每15秒内发5个DCD检测包； 2、如对方没有回复，则认为对方挂掉，清除连接。 三、命令部署： 1、抓包——>class-map——>policy-map——>service-policy ASA(config)# access-list tel permit tcp host 10.1.1.2 host 202.100.1.1 eq 23

ASA(config)# class-map abc ASA(config-cmap)# match access-list tel

ASA(config-cmap)# policy-map yy ASA(config-pmap)# class abc ASA(config-pmap-c)# set connection timeout idle 04:00:00 reset dcd 0:0:15 5

ASA(config-pmap-c)# service-policy yy interface inside

四、验证： 1、ASA行查看超时时间： ASA(config)# show run timeout timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 2、R2远程登录R1以后，ASA查看连接： R2#telnet 202.100.1.1 Trying 202.100.1.1 ... Open User Access Verification Username: aa Password: R1> ASA(config)# show conn 1 in use, 1 most used TCP outside 202.100.1.1:23 inside 10.1.1.2:62020, idle 0:00:58, bytes 117, flags UIO 结论：模拟器没有效果！