Segurança : Cisco Adaptive Security Appliance (ASA) Software

Que é a bandeira da conexão “x” no xlate da mostra output na versão ASA 9.0(1) e mais atrasado?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Perguntas


Introdução

Este documento descreve a bandeira da conexão “x” que aparece na saída do comando show xlate na versão ASA 9.0(1) e mais atrasado.

Nota: Contribuído por engenheiros de TAC da Cisco.

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Q. Que é a bandeira da conexão “x” no xlate da mostra output na versão ASA 9.0(1) e mais atrasado?

A. A bandeira “x” indica que a conexão usa “por sessão” um xlate da PANCADINHA.

Aqui está um exemplo:

ASA# show conn address 10.107.84.210
55 in use, 108 most used
TCP outside  10.107.84.210:443 dmz  10.36.103.86:53613, 
    idle 0:00:30, bytes 18155, flags UxIO 
TCP outside  10.107.84.210:80 dmz  10.36.103.86:52723, 
    idle 0:00:57, bytes 2932, flags UxIO 
ASA#

Na versão ASA 9.0(1) e mais atrasado, o xlate da PANCADINHA que a conexão utilizou está suprimido imediatamente da tabela do xlate à revelia quando todo o TCP ou conexão UDP-baseada DNS são fechados. Este comportamento difere das versões de software mais cedo de 9.0(1) em que o xlate dinâmico ficaria na tabela por um período de timeout 30-second adicional depois que a conexão foi rasgada para baixo.

Os comandos default que permitem este comportamento podem ser considerados na configuração com a mostra executam todo o comando do xlate:

ASA# show run all xlate
xlate per-session permit tcp any4 any4
xlate per-session permit tcp any4 any6
xlate per-session permit tcp any6 any4
xlate per-session permit tcp any6 any6
xlate per-session permit udp any4 any4 eq domain
xlate per-session permit udp any4 any6 eq domain
xlate per-session permit udp any6 any4 eq domain
xlate per-session permit udp any6 any6 eq domain
ASA#

Se o ASA é promovido de uma versão de software mais cedo de 9.0(1) à versão 9.0(1) ou mais recente, o comportamento do intervalo do legado 30-second está mantido adicionando o xlate específico nega por sessão regras na configuração.

Um ASA que execute a versão 9.0(1) ou mais recente que não foi promovida terá as regras de padrão aplicadas (segundo as indicações do exemplo de saída acima). Um ASA que seja promovido à versão 9.0(1) ou mais recente incluirá as regras explícitas não-padrão do xlate aplicadas segundo as indicações deste exemplo de saída:

ASA# show run xlate
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain

Os comandos do xlate mostrados neste exemplo de saída são adicionados durante uma elevação à versão 9.0(1) a fim desabilitar por sessão xlates e preservar o comportamento da versão anterior.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 115993