ARP联盟图文中心下载中心手机频道最近更新软件最近更新文章网络热点
您当前的位置→图文中心电脑技术sysopt命令
站内搜索:

sysopt命令


2009/5/22  编辑:佚名 来源:本站整理 

sysopt命令用来开启一些系统特性,这些特性被用作一些非常特殊的网络行为。这些命令允许PIX修改自己的行为来响应一组独特的情况,比如带有路径MTU的网络上的一些问题或者不遵循正常协议序列的设备。

  最经常使用的一些sysopt命令在下面的小节中介绍。

  1.sysopt connection timewait命令

  sysoptconnectiontimewait命令对满足终端主机的应用是很必要的,这些应用的默认TCP终止序列是一个同步的结束序列而不是正常的关闭序列(见RFC793)。在同步结束中,会话双方都发起结束序列,这与正常的序列不同。在正常序列中,一端结束后,另一端在发起自己的结束序列之前先要进行确认。

  PIX防火墙的默认行为是跟踪正常结束的序列,并在两个FIN之后释放连接且承认最后一个FIN分片。这种快的释放使得PIX防火墙能够维持高的连接率。

  当同步结束发生时两个FIN被发送通过PIX,其中一个来自连接的两端。为了使用同步结束,关闭TCP连接,两端都必须接收到它们已经发送出去的FIN确认。但是,PIX认为结束序列是一个正常的TCP结束序列而不是一个同步结束序列。所以在看到两个FIN和来自一端的确认之后,它就关闭防火墙上的连接,这与正常的结束序列情况相同。但是,在这种情况下,TCP连接的一端必须在CLOSING状态等待一个响应,该响应是对它已发出的FIN所作的响应。CLOSING状态的很多socket都会降低主机的性能。比如,一些WinSock大型客户机就有这种行为并且会降低大型服务器的性能。HP/UX的旧版本也容易受到这种行为的影响。启用sysoptconnectiontimewait命令为完成非正常结束序列创造一个quiet-time窗口。这意味着PIX在考虑结束一个连接时,它在关闭连接之前要等15秒。这段等待时间允许在两端同步关闭连接,因为最后的ACK有希望在15秒内得到传送。但是请注意,一旦开启这一特性,PIX就会为每一个连接结束等待15秒,而不管它们是正常的结束还是同步的结束。在有许多新连接被创建同时又有大量旧连接要终止的环境中,这一特性大大降低性能。这就是为什么在默认情况下关闭该特性的原因。

  2.sysopt noproxyarp命令

  sysopt noproxyarp命令允许在PIX防火墙的一个接口上关闭代理ARP。

  当PIX想在它的一个接口上接收去往某一特定IP地址的分组,并把这些分组转发到与它连接的另一个接口时,主要使用PIX中的代理ARP。这种情况的一个例子是PIX为包含于全局NAT地址池中的地址代理ARPing,前提是xlate已经由产生自内部网络的流量创建,这些NAT地址是位于PIX之后专用网络上主机的地址。当接收到发往这些地址的分组时,PIX在执行了正常的检查和转换后就将分组转发到内部网络。

  通常,当代理服务器ARPing网络的一个很合法的特性时,应该将代理ARP看作是一个临时的转换机制。不应该将它作为稳定解决方案的一部分。使用它会产生许多潜在的问题,这些问题包括如果一个网络组件损坏而主机不能求助于替代的路由器和如果没有清楚地描述被路由的网络分片而使得奇异流量模式变为不可能。

  用指定的路由器和默认的网关来发送分组免除了终端用户使用代理ARPing机制的需要。

  Sysoptnoproxyarp命令通常用于下列情况:当由于网络的错误配置或者缺陷使得PIX采用代理ARPing机制响应显得很不合适时。图8-9显示了这种情况的一个例子。

sysopt命令_arp联盟
 

  (点击查看大图)图8-9 sysopt noproxyarp特性的用法

  这种情形中的PIX使用nat(inside)0 00命令来建立。这意味着PIX将不能转换内部网络上的任何IP地址。由于nat0命令的设计方式,PIX开始在外部接口上为所有以这种方式配置的地址进行代理ARP。因此,如果在路由器能作出响应之前,主机A想访问Internet并发送一个ARP,并且PIX代理ARP,那么主机A就把去往Inernet的分组发送到PIX,这是一种不正确的路由。处理这种情况的办法是关闭PIX之上的代理ARP。然而,当关闭PIX之上的代理ARP之后,PIX停止为所有地址进行ARPing,即使它应该这么做。现在需要设立一个路由器,它可以将分组路由到PIX之后的内部网络,这样就不必依赖于PIX的代理ARPing了。如果用包含在内部网络上的特殊IP地址范围来设立nat0命令,那么这种情况就永远不会发生。noproxyarp命令使得系统管理员能够克服配置错误和产品的缺陷。

  3.sysopt connection tcpmss 命令

  sysopt connectiontcpmss命令强制TCP连接分片的最大尺寸不能大于可配置的字节数。这一命令要求TCP连接的每一端都不能发送大于x个字节的分组。这在开始建立TCP连接期间必须协商好。

  字节数可以是28和任何最大数字中的一个最小值。可以通过将这个值设置为0来屏蔽这一特性。默认情况下,PIX防火墙设置1380个字节作为sysoptconnectiontcpmss,即使这个命令不出现在默认配置中。设置TCP分片最大值为1380个字节的计算如下:

  1380数据+20 TCP+20 IP+24 AH+24ESP_CIPHER+12ESP_AUTH+20IP=1500字节

  1500个字节是以太网连接的MTU。在以太网、混合以太网及令牌环网络环境中推荐使用默认值1380。如果PIX防火墙拥有所有的令牌环接口,那么可以将MTU设置为4056。但是,如果网络通路的所有连接中有一个不是令牌环,那将字节数设置得太高会造成很低的吞吐量。在1380字节的默认值下,这一命令增加了sysoptsecurityfragguard命令的吞吐量。

参考消息:http://www.arpun.com/  因为TCP最大分片的尺寸是终端用户可以一次注入网络的最大尺寸(见RFC793中有关于TCP协议的更多信息),tcpmss命令考虑到了网络环境中性能的提供,在这种环境中由于一个终端主机不响应请求来降低它的MTU,从而使得路径MTU发现不能正常发生,或者由于防火墙正好与丢掉ICMP分组的终端主机相邻,该ICMP分组正要送往终端主机以请求减少它的MTU。tcpmss命令在TCP初始化序列期间将TCP分片的大小强制转换为一个较小的值,从而不需要使用ICMP类型3代码4消息来减少MTU。大部分的终端主机,即使不响应请求减小分组大小的ICMP消息,也能够很好地响应tcpmss命令。

更多精彩,请查看本类栏目: 电脑技术
除非注明,ARP联盟文章来于网络,投稿原创等,转载请以链接形式标明本文地址。
本文地址:http://www.arpun.com/article/3512.html

相关文章
  • ·[图文]Easyrecovery怎么恢复u盘误删数据
  • ·[图文]解决电脑出现蓝屏提示wimfilter.sys的方法
  • ·[图文]com.android.systemui已停止怎么解决
  • ·[图文]网页出现your request has bad syntax提示解决方法
  • ·[图文]开机提示spoon.sys文件损坏不能启动如何修复
  • ·[图文]电脑无法启动提示cdmsnroot_s.sys丢失或损坏怎么办
  • ·[图文]安卓系统System目录下文件夹功能详解
  • ·[图文]安卓5.0更新失败system.img系统镜像找不到解决方法
  • 发表评论
    栏目列表
    阅读排行
    本类最新
    网站帮助 - 广告合作 - 下载声明 - 网站地图