合格率

设置此流量类别的速率限制，范围为每秒 8000 至 2000000000 比特。对于 ASA virtual 和 Firepower 4100/9300，范围为 8000-100000000000。例如，要将流量限制为 5Mbps，请输入 5000000。

conform-burst

指定控制到符合速率值之前连续突发中允许的最大即时字节数，该值介于 1000 到 512000000 字节之间。对于 ASA virtual 和 Firepower 4100/9300，范围为 1000-25600000000。

如果省略此参数，则默认值为 conform-rate（以字节为单位）的 1/32（也就是说，在符合率为 100,000 的情况下，默认 conform-burst 值为 100,000/32 = 3,125）。请注意，conform-rate 的单位为位/秒，而 conform-burst 的单位为字节。

conform-action [drop | transmit ]

设置流量低于管制速率和突发大小时要执行的操作。您可以 drop 或 transmit 流量。默认为传输流量。

exceed-action [drop | transmit ]

设置流量超过策略管制速率和突发大小时要执行的操作。您可以拦截超出监管速率和突发大小的数 drop 据 transmit 包。默认情况下会丢弃多余的数据包。

input

启用输入方向的流量监管。

output

启用输出方向的流量监管。

both

指定如果使用 CRL 分发点获取 CRL 失败，则使用静态 CDP 重试，最多可重试 5。

cdp

使用正在检查的证书中嵌入的 CDP 扩展。在此情况下，ASA 从正在验证的证书的 CDP 扩展检索最多五个 CRL 分发点，并在必要时使用已配置的默认值扩充其信息。如果 ASA 尝试使用主 CDP 检索 CRL 失败，它将使用列表中的下一个可用 CDP 重试。这个过程会一直持续到 ASA 检索到 CRL 或排尽列表。

static

最多使用五个静态 CRL 分发点。如果指定此选项，还需使用 protocol 命令指定 LDAP 或 HTTP URL。

policy-list-name

配置的策略列表的名称。

permit

允许符合条件的访问。

deny

因条件匹配而拒绝访问。

name

指定此策略映射的名称，长度最大为 40 个字符。所有类型的策略映射都使用同一命名空间，因此无法重复使用已被另一类型的策略映射使用的名称。

应用

指定要对其执行操作的应用流量类型。可用类型包括：

• dcerpc

• diameter

• dns

• esmtp

• ftp

• gtp

• h323

• http

• im

• ip-options

• ipsec-pass-thru

• ipv6

• lisp

• m3ua

• mgcp

• netbios

• radius-accounting

• rtsp

• scansafe

• sctp

• sip

• skinny

• snmp

policy_map_name

指定此策略映射的名称，长度最大为 40 个字符。以“_internal”或“_default”开头的名称为预留名称，无法使用。所有类型的策略映射都使用同一命名空间，因此无法重复使用已被另一类型的策略映射使用的名称。

cost value

为基于策略的路由评估设置接口的相对开销。值可以是 1-65535。默认值为 0，您可以使用命令中的 no 版本进行重置。数值越低，优先级越高。例如，1 的优先级高于 2。

route-maproute_map_name

指定要用于基于策略的路由的路由映射的名称。

path-monitoring

设置接口对等体的监控类型以收集灵活的指标。

secret-key

用作加密身份验证通信的密钥的字符串。无字符最小或最大数量限制。

sgt sgt_number

指定应用于来自对等方的传入流量的 SGT 编号。有效值为 2 到 65519。

static

为链路上的传入流量指定 SGT 策略。

trusted

表示命令中指定的 SGT 的接口上的入口流量不应被其 SGT 覆盖。默认设置为 Untrusted。

holdtime 时间

（可选）设置从对等单元最后收到的 hello 消息与开始接口测试之间的时间（作为计算），以确定接口的健康状况。它还将每次接口测试的持续时间设置为 保持时间 /16。有效值范围为 5 至 75 秒。默认值是 polltime 的 5 倍。您不能输入小于轮询时间五倍的 保持时间值。

要计算开始接口测试之前的时间（y），请执行以下操作：

1. x = (holdtime /polltime)/2 ，四舍五入到最接近的整数。（.4 和向下四舍五入； 0.5 和向上四舍五入。）

2. y = x*polltime

例如，如果使用默认保持时间25和轮询时间5，则y = 15秒。

interface 时间

指定向对等方发送 hello 数据包之间等待的时间。有效值范围为 1 至 15 秒。默认值为 5。如果使用可选关 msec 键字，则有效值为 500 至 999 毫秒。

msec

（可选）指定给定时间，以毫秒为单位。

minutes 分钟

指定计时器（以分钟为单位）。有效值为 1 至 65535 分钟。

portnum

供邮件代理要使用的端口。为避免与本地 TCP 服务冲突，请使用 1024 到 65535 范围内的端口号。

无

删除所有门户访问规则。无客户端 SSL VPN 会话不会基于 HTTP 报头进行限制。

priority

规则的优先级。范围：1-65535。

permit

允许基于 HTTP 标头进行访问。

deny

根据 HTTP 标头拒绝访问。

代码

根据返回的 HTTP 状态代码允许或拒绝访问。默认值：403。

code

允许或拒绝访问所依据的 HTTP 状态代码编号。范围：200-599。

任意

匹配任何 HTTP 报头字符串。

user-agent match

启用 HTTP 报头中字符串的比较。

string

在 HTTP 报头中指定要匹配的字符串。对于包含您的字符串的匹配项，使用通配符 (*) 将您要搜索的字符串括起来，或者不使用通配符指定您的字符串的精确匹配项。

如果您要搜索的字符串中包含空格，则必须将该字符串括在引号中；例如“a string ”。同时使用引号和通配符时，搜索字符串将如下所示：“*a string *”。

no portal-access-rule

使用 来删除单个门户访问规则。

清除配置 webvpn 门户访问规则

相当于 portal-access-rule none 命令。

dst-ip

根据数据包的以下特征来均衡接口上的数据包负载：

• 目标 IP 地址 (Destination IP address)

dst-ip-port

根据数据包的以下特征来均衡接口上的数据包负载：

• 目标 IP 地址 (Destination IP address)

• 目标端口 (Destination Port)

dst-mac

根据数据包的以下特征来均衡接口上的数据包负载：

• 目标 MAC 地址

dst-port

根据数据包的以下特征来均衡接口上的数据包负载：

• 目标端口

src-dst-ip

（默认）根据数据包的以下特征来均衡接口上的数据包负载：

• 源 IP 地址

• 目的 IP 地址

src-dst-ip-port

根据数据包的以下特征来均衡接口上的数据包负载：

• 源 IP 地址

• 目的 IP 地址

• 源端口 (Source Port)

• 目的端口

src-dst-mac

根据数据包的以下特征来均衡接口上的数据包负载：

• 源 MAC 地址

• 目的 MAC 地址

src-dst-port

根据数据包的以下特征来均衡接口上的数据包负载：

• 源端口

• 目的端口

src-ip

根据数据包的以下特征来均衡接口上的数据包负载：

• 源 IP 地址

src-ip-port

根据数据包的以下特征来均衡接口上的数据包负载：

• 源 IP 地址

• 源端口

src-mac

根据数据包的以下特征来均衡接口上的数据包负载：

• 源 MAC 地址

src-port

根据数据包的以下特征来均衡接口上的数据包负载：

• 源端口

vlan-dst-ip

根据数据包的以下特征来均衡接口上的数据包负载：

• VLAN

• 目标 IP 地址 (Destination IP address)

vlan-dst-ip-port

根据数据包的以下特征来均衡接口上的数据包负载：

• VLAN

• 目标 IP 地址 (Destination IP address)

• 目标端口

vlan-only

根据数据包的以下特征来均衡接口上的数据包负载：

• VLAN

vlan-src-dst-ip

根据数据包的以下特征来均衡接口上的数据包负载：

• VLAN

• 源 IP 地址

• 目的 IP 地址

vlan-src-dst-ip-port

根据数据包的以下特征来均衡接口上的数据包负载：

• VLAN

• 源 IP 地址

• 目的 IP 地址

• 源端口

• 目的端口

vlan-src-ip

根据数据包的以下特征来均衡接口上的数据包负载：

• VLAN

• 源 IP 地址

vlan-src-ip-port

根据数据包的以下特征来均衡接口上的数据包负载：

• VLAN

• 源 IP 地址

• 源端口

number

指定端口通道接口变为活动状态所需的最小活动接口数（介于 1 和 8 之间）；对于 9.2(1) 及更高版本，活动接口可介于 1 和 16 之间。

vss-load-balance

（可选）启用 VSS 负载均衡。如果将 ASA 连接到 VSS 或 vPC 中的两个交换机，则应启用 VSS 负载平衡。此功能可确保 ASA 与 VSS（或 vPC ）对之间的物理链路连接实现均衡。启用 vss-id 负载均衡前，必须为每个成员接口配置命令中 channel-group 的关键字。

description

提供在最终用户端口转发 Java 小程序屏幕上显示的应用名称或简短说明。最多 64 个字符。

list_name

无客户端 SSL VPN 会话用户可以访问的应用集（转发的 TCP 端口）的组。最多 64 个字符。

local_port

指定侦听应用程序 TCP 流量的本地端口。对于 list_name，您只能使用一次本地端口号 。输入 1-65535 范围内的端口号。如要避免与现有服务冲突，请使用大于 1024 的端口号。

remote_port

指定此应用在远程服务器上的连接端口。这是应用使用的实际端口。请输入 1-65535 范围内的端口号或端口名称。

remote_server

为应用程序提供远程服务器的 DNS 名称或 IP 地址。如果输入 IP 地址，可以使用 IPv4 或 IPv6 格式输入。我们建议使用主机名，这样您就不必为特定的 IP 地址配置客户端应用程序。dns server-group 命令 name-server 必须将主机名解析为 IP 地址。

none

表示无显示名称。设置空值，从而不允许显示名称。防止继承值。

value name

向最终用户介绍端口转发。最多 255 个字符。

range begin_port end_port

指定端口范围（含 0 和 65535）。

eq 端口

指定服务对象的十进制数（介于 0 和 65535 之间）或 TCP 或 UDP 端口名称。

size

指定允许发布对象的最大大小。范围为 0 到 2147483647。将大小设置为 0 可以有效地禁止对象发布。

consumptionwattage 毫瓦

手动指定瓦数（毫瓦），从 4000 到 30000 （1010）或 90000（1210CP）。如果您要手动设置功率而不是使用通过 LLDP 协商的功率，请使用此命令。

auto

使用适合受电设备类别的功率自动向受电设备供电。防火墙使用 LLDP 进一步协商正确的瓦数。当连接某个类别的设备时，它会被调配到该等级的最大功率，以防需要使用更多电能。例如，如果您添加请求的功率为 12.95W 的 4 类设备，即使它当前没有使用该功率，系统也会为其分配 30W。某些设备可以重新协商电源需求。如果您知道您的设备所需的电量少于分配的电量，您可以 consumption wattage 手动设置以释放电量用于其他设备。

never

禁用 PoE。

dual

指定双电源。

distance

要应用于通过 PPPoE 学习的路由的管理距离。有效值为从 1 到 255。

number

跟踪条目对象 ID。有效值范围为 1 至 500。

number

跟踪条目对象 ID。有效值范围为 1 至 500。

prc 最大等待

指示两次连续PRC计算之间的最大间隔。范围为 1 到 120 秒。

prc-initial-wait

（可选）表示拓扑更改后的初始 PRC 计算延迟。范围为 1 到 120,000 毫秒。默认值为 2000 毫秒。

prc-second-wait

（可选）表示第一次和第二次 PRC 计算之间的保持时间（以毫秒为单位）。范围为 1 到 120,000 毫秒。