pc软件 文章资讯 手机软件

您当前的位置→图文中心电脑技术sysopt命令
阅读排行

sysopt命令


2009/5/22  编辑:佚名 来源:本站整理

sysopt命令用来开启一些系统特性, 这些特性被用作一些非常特殊的网络行为。 这些命令允许PIX修改自己的行为来响应一组独特的情况, 比如带有路径MTU的网络上的一些问题或者不遵循正常协议序列的设备。

  最经常使用的一些sysopt命令在下面的小节中介绍。

  1.sysopt connection timewait命令

  sysoptconnectiontimewait命令对满足终端主机的应用是很必要的, 这些应用的默认TCP终止序列是一个同步的结束序列而不是正常的关闭序列(见RFC793)。 在同步结束中, 会话双方都发起结束序列, 这与正常的序列不同。 在正常序列中, 一端结束后, 另一端在发起自己的结束序列之前先要进行确认。

  PIX防火墙的默认行为是跟踪正常结束的序列, 并在两个FIN之后释放连接且承认最后一个FIN分片。 这种快的释放使得PIX防火墙能够维持高的连接率。

  当同步结束发生时两个FIN被发送通过PIX, 其中一个来自连接的两端。 为了使用同步结束, 关闭TCP连接, 两端都必须接收到它们已经发送出去的FIN确认。 但是, PIX认为结束序列是一个正常的TCP结束序列而不是一个同步结束序列。 所以在看到两个FIN和来自一端的确认之后, 它就关闭防火墙上的连接, 这与正常的结束序列情况相同。 但是, 在这种情况下, TCP连接的一端必须在CLOSING状态等待一个响应, 该响应是对它已发出的FIN所作的响应。 CLOSING状态的很多socket都会降低主机的性能。 比如, 一些WinSock大型客户机就有这种行为并且会降低大型服务器的性能。 HP/UX的旧版本也容易受到这种行为的影响。 启用sysoptconnectiontimewait命令为完成非正常结束序列创造一个quiet-time窗口。 这意味着PIX在考虑结束一个连接时, 它在关闭连接之前要等15秒。 这段等待时间允许在两端同步关闭连接, 因为最后的ACK有希望在15秒内得到传送。 但是请注意, 一旦开启这一特性, PIX就会为每一个连接结束等待15秒, 而不管它们是正常的结束还是同步的结束。 在有许多新连接被创建同时又有大量旧连接要终止的环境中, 这一特性大大降低性能。 这就是为什么在默认情况下关闭该特性的原因。

  2.sysopt noproxyarp命令

  sysopt noproxyarp命令允许在PIX防火墙的一个接口上关闭代理ARP。

  当PIX想在它的一个接口上接收去往某一特定IP地址的分组, 并把这些分组转发到与它连接的另一个接口时, 主要使用PIX中的代理ARP。 这种情况的一个例子是PIX为包含于全局NAT地址池中的地址代理ARPing, 前提是xlate已经由产生自内部网络的流量创建, 这些NAT地址是位于PIX之后专用网络上主机的地址。 当接收到发往这些地址的分组时, PIX在执行了正常的检查和转换后就将分组转发到内部网络。

  通常, 当代理服务器ARPing网络的一个很合法的特性时, 应该将代理ARP看作是一个临时的转换机制。 不应该将它作为稳定解决方案的一部分。 使用它会产生许多潜在的问题, 这些问题包括如果一个网络组件损坏而主机不能求助于替代的路由器和如果没有清楚地描述被路由的网络分片而使得奇异流量模式变为不可能。

  用指定的路由器和默认的网关来发送分组免除了终端用户使用代理ARPing机制的需要。

  Sysoptnoproxyarp命令通常用于下列情况:当由于网络的错误配置或者缺陷使得PIX采用代理ARPing机制响应显得很不合适时。 图8-9显示了这种情况的一个例子。

sysopt命令
 

  (点击查看大图)图8-9 sysopt noproxyarp特性的用法

  这种情形中的PIX使用nat(inside)0 00命令来建立。 这意味着PIX将不能转换内部网络上的任何IP地址。 由于nat0命令的设计方式, PIX开始在外部接口上为所有以这种方式配置的地址进行代理ARP。 因此, 如果在路由器能作出响应之前, 主机A想访问Internet并发送一个ARP, 并且PIX代理ARP, 那么主机A就把去往Inernet的分组发送到PIX, 这是一种不正确的路由。 处理这种情况的办法是关闭PIX之上的代理ARP。 然而, 当关闭PIX之上的代理ARP之后, PIX停止为所有地址进行ARPing, 即使它应该这么做。 现在需要设立一个路由器, 它可以将分组路由到PIX之后的内部网络, 这样就不必依赖于PIX的代理ARPing了。 如果用包含在内部网络上的特殊IP地址范围来设立nat0命令, 那么这种情况就永远不会发生。 noproxyarp命令使得系统管理员能够克服配置错误和产品的缺陷。

  3.sysopt connection tcpmss 命令

  sysopt connectiontcpmss命令强制TCP连接分片的最大尺寸不能大于可配置的字节数。 这一命令要求TCP连接的每一端都不能发送大于x个字节的分组。 这在开始建立TCP连接期间必须协商好。

  字节数可以是28和任何最大数字中的一个最小值。 可以通过将这个值设置为0来屏蔽这一特性。 默认情况下, PIX防火墙设置1380个字节作为sysoptconnectiontcpmss, 即使这个命令不出现在默认配置中。 设置TCP分片最大值为1380个字节的计算如下:

  1380数据+20 TCP+20 IP+24 AH+24ESP_CIPHER+12ESP_AUTH+20IP=1500字节

  1500个字节是以太网连接的MTU。 在以太网、混合以太网及令牌环网络环境中推荐使用默认值1380。 如果PIX防火墙拥有所有的令牌环接口, 那么可以将MTU设置为4056。 但是, 如果网络通路的所有连接中有一个不是令牌环, 那将字节数设置得太高会造成很低的吞吐量。 在1380字节的默认值下, 这一命令增加了sysoptsecurityfragguard命令的吞吐量。

  因为TCP最大分片的尺寸是终端用户可以一次注入网络的最大尺寸(见RFC793中有关于TCP协议的更多信息), tcpmss命令考虑到了网络环境中性能的提供, 在这种环境中由于一个终端主机不响应请求来降低它的MTU, 从而使得路径MTU发现不能正常发生, 或者由于防火墙正好与丢掉ICMP分组的终端主机相邻, 该ICMP分组正要送往终端主机以请求减少它的MTU。 tcpmss命令在TCP初始化序列期间将TCP分片的大小强制转换为一个较小的值, 从而不需要使用ICMP类型3代码4消息来减少MTU。 大部分的终端主机, 即使不响应请求减小分组大小的ICMP消息, 也能够很好地响应tcpmss命令。

相关文章

Linux中遇到device is busy怎么办:  在Linux管理umount设备时,时常会遇到"deviceisbusy",如果umount一个文件系统碰到这种情况,并且你并没有在所需卸载的目录下。

easyBCD如何引导启动ubuntu14.04: 1、下载安装好easyBC,启动应用。

启动idm时,总是弹窗提示正在复制idmwfp.sys 到C盘的drivers文件夹,然后第二个...:启动idm时,总是弹窗提示正在复制idmwfp.sys到C盘的drivers文件夹,然后第二个弹窗提示这个文件被删除,这是为什么呢?你装了个InternetDownloadManager?这个idm在安装它的服务,可能是没正确安装,如果注销...。

发表评论
网站帮助 - 广告合作 - 下载声明 - 网站地图