本节书摘来自异步社区《Cisco防火墙》一书中的第8章,第8.6节,作者 【巴西】Alexandre M.S.P. Moraes,更多章节内容可以访问云栖社区“异步社区”公众号查看
8.6 禁用TCP序列号随机生成
Cisco防火墙
这一节本属于本书的第7章,之所以将这部分内容放入本章,是因为在执行地址转换时有可能会使用norandomseq选项。因此很有必要把所述的环境限制在序列号随机生成技术被禁用的场合。
例8-26所示为支持norandomseq参数的各类NAT的配置示例。命令show xlate debug的输出信息中显示出了标记n,这说明在相应的转换条目中,没有使用随机生成技术。
例8-26在转换中禁用序列号随机生成
注释 NAT免除技术不支持禁用TCP序列号随机生成特性:
ASA2(config)# nat (dmz) 0 access-list NONAT norandomseq
WARNING: norandomseq is not allowed with NAT 0
提示 使用 norandomseq选项的场合之一是为了让Identity Static地址发布规则优于NAT免除技术(请参照例8-17和例8-19)。
