IP TTL及IP分片的处理

本篇继续讲ASA防火墙，主要讲一下ASA防火墙对TTL的一个处理方式和IP分配的介绍，前者会配置实例来介绍，后者的话简略的带过。

IP TTL的处理

还是以我们的拓扑为例，实例介绍更为清晰。

让R1traceroute R2.(前提配置好R1可以pingR2),可以看到，是不会出现ASA的上的地址的。我们知道可以通过TTL来检测网络中的设备，而TTL通过ASA是不减一的，所以我们的traceroute 是不会出现ASA上的地址的，相对来说也是具有一定的安全性。但是ASA也可以为一些特殊的流量减一，也就是说可以通过配置匹配流量减一。

配置如下：
调用ACL
ASA(config)#access-list tracer extended permit udp host 192.168.150.100 host 192.168.184.100 gt 33433 //流量匹配
ASA(config)#class-map trace-class
ASA(config-cmap)#match access-list tracer
ASA(config)#policy-map global_policy
ASA(config-pmap)#class trace-class
ASA(config-pmap-c)#set connection decrement-ttl //减少TTL值
配置完成，再来查看R1traceroute R2.

可以看到，ASA的地址出现了。（192.168.150.137）

IP分片的处理

ASA(config)# fragment size 1000 outside
ASA(config)# fragment size 1000 inside
ASA(config)# fragment size 1000 DMZ

IP分片其他参数
配置Outside接口分片控制
fragment size 1000 Outside
fragment chain 24 Outside (系统默认)
fragment timeout 5 Outside (系统默认)
配置Inside接口分片控制
fragment size 1000 Inside
fragment chain 24 Inside (系统默认)
fragment timeout 5 Inside (系统默认)

配置完成，可以抓包查看，数据包被分成多份数据。

最后

到此讲解结束，感谢观看。