NAT的TCP总连接值和半开连接值是针对谁而言的?注意UDP没有半开连接值,因为它不是面向连接的。
答:
R1---R2---R3,从R1 telnet R3,R3对进来的包都丢了
如果做的NAT是:static (outside,inside) 1.1.12.100 1.1.23.3 netmask 255.255.255.255 tcp 1 1 udp 1
则针对的主机是Outside的1.1.23.3的主机,计它的数,这个值的最大TCP连接值到1则ASA起中间拦截的作用,针对这个主机有半开连接值到门限值,则ASA起拦截作用。都是对应于被翻译的真实主机的。对于Inside产生的半开连接,不计算在这里面。如果想设置整个ASA的半开连接值,则用MPF的方法,针对的是整个ASA的总TCP连接数和单台主机的连接数:
class-map a
match port tcp range 1 65535
policy-map a
class a
set connection conn-max 2 embryonic-conn-max 2 per-client-max 2 per-client-embryonic-max 2
service-policy a interface inside
service-policy a interface outside