安全 : Cisco ASA 5500 系列自适应安全设备

ASA为什么比已配置的超时有与空闲值的xlate条目长?

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


问题


简介

本文解释与空闲值的xlate条目为什么比已配置的超时长。它也提供信息您如何能关联和看到conn和xlate值。

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

注意: 贡献用杰伊约翰斯顿, Cisco TAC工程师。

Q. 可适应安全工具(ASA)为什么比已配置的超时有与空闲值的xlate条目长?

A. 这是比已配置的超时显示与长空闲值的xlate条目的一示例:

ASA#show xlate
26 in use, 16665 most used
Flags: D - DNS, e - extended, I - identity, 
   I - dynamic, r - portmap, s - static,  
   T - twice, N - net-to-net
TCP PAT from inside:10.20.33.2/54676 to outside: 
   192.0.2.3/54676 flags ri idle 1:48:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54397 to outside: 
   192.0.2.3/54397 flags ri idle 2:03:59  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54369 to outside: 
   192.0.2.3/54369 flags ri idle 2:04:26  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/56695 to outside: 
   192.0.2.3/56695 flags ri idle 0:09:22  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/55880 to outside: 
   192.0.2.3/55880 flags ri idle 0:33:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/54431 to outside: 
   192.0.2.3/54431 flags ri idle 2:03:23  
   timeout 0:00:30

如果连接对转换(xlate)被服从在ASA,转换首先被建立,则连接被建立,并且终于,连接关联与该转换。当所有该xlate的相关的连接终止时, xlate空闲超时只开始。

如果关联show xlateshow conn输出,您能看到conn值匹配为长比已配置的超时是空闲的xlate值。下面是一个示例。

输入show xlate命令的端口地址转换(PAT) :

ASA# show xlate local port 54676 
TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri 
   idle 1:48:12 timeout 0:00:30

然后,请指定show conn命令的端口查找相关的连接项:

ASA# show conn port 54676
TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, 
   bytes 1807, flags UIO

此连接关联与转换。本地端口54676是相同的为连接和转换条目。此TCP连接存在,直到由协议(TCP FIN或重置数据包)关闭,或者直到它由ASA计时(在1个小时以后默认超时)。当连接被中断时,转换也删除,但是此删除延迟在“超时”秒钟。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 115992