安全 : 思科自适应安全设备 (ASA) 软件

什么是在ASA版本9.0(1)和以上输出的show xlate的‘x’连接标志?

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


问题


简介

本文描述在输出出现show xlate命令中在ASA版本9.0(1)和以上的‘x’连接标志。

注意: 由思科 TAC 工程师撰稿。

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

Q. 什么是在ASA版本9.0(1)和以上输出的show xlate的‘x’连接标志?

A. ‘x’标志表明连接使用‘每会话’ PAT xlate。

示例如下:

ASA# show conn address 10.107.84.210
55 in use, 108 most used
TCP outside  10.107.84.210:443 dmz  10.36.103.86:53613, 
    idle 0:00:30, bytes 18155, flags UxIO 
TCP outside  10.107.84.210:80 dmz  10.36.103.86:52723, 
    idle 0:00:57, bytes 2932, flags UxIO 
ASA#

在ASA版本9.0(1)和以上,默认情况下使用的连接从xlate表立即删除的PAT xlate,当所有TCP或基于UDP的DNS连接关闭。此行为与软件版本有所不同动态xlate在表里将坚持一个另外的30秒超时周期的早于9.0(1),在连接被切断了后。

默认发出命令启用此行为能在与show run的配置里被看到所有xlate命令:

ASA# show run all xlate
xlate per-session permit tcp any4 any4
xlate per-session permit tcp any4 any6
xlate per-session permit tcp any6 any4
xlate per-session permit tcp any6 any6
xlate per-session permit udp any4 any4 eq domain
xlate per-session permit udp any4 any6 eq domain
xlate per-session permit udp any6 any4 eq domain
xlate per-session permit udp any6 any6 eq domain
ASA#

如果ASA从的软件版本升级早于9.0(1)对版本9.0(1)或以上,传统30秒超时行为通过添加每会话特定的xlate在配置里维护拒绝规则。

运行版本9.0(1)或以上未升级的ASA将有应用的默认规则(如以上的输出示例:所显示)。ASA升级对的版本9.0(1)或以上将包括非默认明确xlate规则应用如此输出示例:所显示:

ASA# show run xlate
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain

在此输出示例:中显示的xlate命令被添加在升级期间到版本9.0(1)为了禁用每会话xlate和保留以前版本的行为。


相关信息


Document ID: 115993