Sécurité : Logiciel Cisco Adaptive Security Appliance (ASA)

Quel est l'indicateur de connexion « x » dans le show xlate sorti dans la version 9.0(1) et ultérieures ASA ?

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Questions


Introduction

Ce document décrit l'indicateur de connexion « x » qui apparaît dans la sortie de la commande de show xlate dans la version 9.0(1) et ultérieures ASA.

Remarque: Contribué par des ingénieurs TAC Cisco.

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Q. Quel est l'indicateur de connexion « x » dans le show xlate sorti dans la version 9.0(1) et ultérieures ASA ?

A. L'indicateur « x » indique que la connexion utilise un xlate de PAT de « par-session ».

Voici un exemple :

ASA# show conn address 10.107.84.210
55 in use, 108 most used
TCP outside  10.107.84.210:443 dmz  10.36.103.86:53613, 
    idle 0:00:30, bytes 18155, flags UxIO 
TCP outside  10.107.84.210:80 dmz  10.36.103.86:52723, 
    idle 0:00:57, bytes 2932, flags UxIO 
ASA#

Dans la version 9.0(1) et ultérieures ASA, le xlate de TAPOTEMENT que la connexion utilisée est immédiatement supprimé de la table de xlate par défaut quand n'importe quel TCP ou connexion basée sur UDP de DN est fermée. Ce comportement diffère des versions de logiciel plus tôt que 9.0(1) dans lequel le xlate dynamique resterait dans la table pendant un délai d'inactivité 30-second supplémentaire après que la connexion ait été démolie.

Le par défaut commande qui activent ce comportement peut être vu dans la configuration avec l'exposition exécutent toute la commande de xlate :

ASA# show run all xlate
xlate per-session permit tcp any4 any4
xlate per-session permit tcp any4 any6
xlate per-session permit tcp any6 any4
xlate per-session permit tcp any6 any6
xlate per-session permit udp any4 any4 eq domain
xlate per-session permit udp any4 any6 eq domain
xlate per-session permit udp any6 any4 eq domain
xlate per-session permit udp any6 any6 eq domain
ASA#

Si l'ASA est améliorée d'une version de logiciel plus tôt que 9.0(1) à la version 9.0(1) ou ultérieures, le comportement de délai d'attente du legs 30-second est mis à jour en ajoutant la par-session spécifique de xlate refusent des règles dans la configuration.

Une ASA qui exécute la version 9.0(1) ou ultérieures qui n'a pas été améliorée aura les règles par défaut appliquées (suivant les indications de la sortie témoin ci-dessus). Une ASA qui a été améliorée à la version 9.0(1) ou ultérieures inclura les règles explicites de xlate de non-par défaut appliquées suivant les indications de cette sortie témoin :

ASA# show run xlate
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain

Les commandes de xlate affichées dans cette sortie témoin sont ajoutées pendant une mise à jour à la version 9.0(1) afin de désactiver des xlates de par-session et préserver le comportement de la version précédente.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 115993