安全 : Cisco ASA 5500 系列自适应安全设备

ASA TCP连接标志(连接积累和卸载)

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文提供关于可适应安全工具(ASA) TCP连接标志的信息。

注意: 贡献用杰伊约翰斯顿, Cisco TAC工程师。

先决条件

要求

本文读者应该有这些主题知识。

  • TCP通信协议的基础知识

  • ASA Line命令(CLI)的基础知识

使用的组件

本文档中的信息根据ASA版本8.4。

规则

关于文件规则的更多信息,参考思科技术TipsConventions

ASA TCP连接标志

当排除故障TCP连接通过ASA时,为每TCP连接显示的连接标志提供关于TCP连接的状态的许多信息对ASA的。此信息在网络可以用于在别处排除故障与ASA的问题,以及问题。

这是protocol tcp命令的show conn的输出,通过ASA显示所有TCP连接状态。这些连接能在show conn命令也看到。

ASA# show conn protocol tcp 
101 in use, 5589 most used
TCP outside 10.23.232.59:5223 inside 192.168.1.3:52419, idle 0:00:11, bytes 0, flags saA
TCP outside 192.168.3.5:80 dmz 172.16.103.221:57646, idle 0:00:29, bytes 2176, flags UIO
TCP outside 10.23.232.217:5223 inside 192.168.1.3:52425, idle 0:00:10, bytes 0, flags saA
TCP outside 10.23.232.217:443 inside 192.168.1.3:52427, idle 0:01:02, bytes 4504, flags UIO
TCP outside 10.23.232.57:5223 inside 192.168.1.3:52412, idle 0:00:23, bytes 0, flags saA
TCP outside 10.23.232.116:5223 inside 192.168.1.3:52408, idle 0:00:23, bytes 0, flags saA
TCP outside 10.23.232.60:5223 inside 192.168.1.3:52413, idle 0:00:23, bytes 0, flags saA
TCP outside 10.23.232.96:5223 inside 192.168.1.3:52421, idle 0:00:11, bytes 0, flags saA
TCP outside 10.23.232.190:5223 inside 192.168.1.3:52424, idle 0:00:10, bytes 0, flags saA

下张图片显示ASA TCP连接标志在TCP状态计算机的不同的阶段。连接标志能在show conn命令看到在ASA。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113602-ptn-113602-01.gif

TCP连接标志值

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113602-ptn-113602-02.gif

另外,为了查看所有可能的连接标志发出show connection detail命令在line命令:

ASA# show conn detail
84 in use, 1537 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
       B - initial SYN from outside, b - TCP state-bypass or nailed, C - CTIQBE media,
       D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN,
       G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
       i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
       k - Skinny media, M - SMTP data, m - SIP media, n - GUP
       O - outbound data, P - inside back connection, p - Phone-proxy TFTP connection,
       q - SQL*Net data, R - outside acknowledged FIN,
       R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,
       s - awaiting outside SYN, T - SIP, t - SIP transient, U - up,
       V - VPN orphan, W - WAAS,
       X - inspected by service module

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 113602