ASA 空闲连接超时 60 分钟

网络工程 思科 思科-ASA
2022-02-10 11:33:37

我有一个 ASA 5512-X 并且有问题,当我开始一个 SSH 会话并让它运行时,它会在 60 分钟后取消连接。

我有两条政策规则

policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
  no tcp-inspection
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect ip-options 
  inspect icmp 
  inspect http 
 class class-default
  user-statistics accounting
!
service-policy global_policy global

我在我的配置中也看到了这一行。

如何将超时连接更改为 3 小时?

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
2个回答

Heritu 提到 timeout conn 3:00:00 100% 正确,但请确保您进入 en 模式并事先运行 conf t。

从命令行通过腻子

zh

conf t

超时连接 3:00:00

强烈建议:仅将会话超时调整用作最后和最终的手段。

因为今天是 3 小时,而下周,数据库管理员将要求 10 小时来完成他们长期运行的每日基于 ssh 的远程命令执行作业。可以正常运行半个月,然后远程作业处理的数据量增加 40%(因为可能是 25 日的工资单处理日),作业失败,因为它的空闲 TCP 连接在 10 小时后被终止。他们会来要求18小时。你不会想知道他们对年终处理工作的要求是什么。

有keepalives:

  • 如果在应用程序级别适用且可行(每隔一段时间在终端仿真中发送 NO-OP 代码)。例如腻子可以很容易地做到这一点。

    空包的腻子设置

  • 在 TCP 层使用 TCP keepalives。

TCP Keepalive 需要两件事: a) TCP keepalive 时间(两个 TCP 通话之一)端系统需要从默认的 2 小时缩短到 10 或 15 分钟。这通常是整个操作系统的全局参数。Windows 有 KeepAliveTime,(如https://blogs.technet.microsoft.com/nettracer/2010/06/03/things-that-you-may-want-to-know-about-tcp-keepalives/中所述几乎在任何你搜索“Windows TCP KeepAliveTime”的地方)

b) 应用程序本身必须在启动(或响应)TCP 连接时设置 SO_KEEPALIVE 套接字选项。许多应用程序默认执行此操作,有些是可配置的。只有当给定的 TCP 连接启用了 SO_KEEPALIVE 时,减少的 TCP keepalive 计时器才会发挥作用。

是的,开发人员和系统管理员一开始会抱怨并拒绝他们的工作——但最终,这是值得的,一旦他们明白他们实际上可以自己控制空闲连接的寿命,他们就会快乐的。

另一方面,为什么每个操作系统都默认为 2 小时,而防火墙行业似乎默认为 3600 甚至 1800,这也是 IT 世界的一大谜团。

其它你可能感兴趣的问题
上一篇Ping IP 地址 , 4 回复 下一篇VLAN 上网