セキュリティ : Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア

ASA バージョン 9.0(1) 以降での show xlate の出力の「X」接続フラグについて

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


質問


概要

このドキュメントでは、ASA バージョン 9.0(1) 以降の show xlate コマンドの出力に表示される「X」接続フラグについて説明します。

注: 著者:Cisco TAC エンジニア。

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Q. ASA バージョン 9.0(1) 以降での show xlate の出力の「X」接続フラグについて

A. 「X」フラグは、接続がピア セッションの PAT xlate を使用することを示します。

次に例を示します。

ASA# show conn address 10.107.84.210
55 in use, 108 most used
TCP outside  10.107.84.210:443 dmz  10.36.103.86:53613, 
    idle 0:00:30, bytes 18155, flags UxIO 
TCP outside  10.107.84.210:80 dmz  10.36.103.86:52723, 
    idle 0:00:57, bytes 2932, flags UxIO 
ASA#

ASA バージョン 9.0(1) 以降では、TCP または UDP ベースの DNS 接続が閉じると、接続が使用した PAT xlate が xlate の表からデフォルトでただちに削除されます。 この動作は、接続がダウンした後、追加で 30 秒タイムアウトする間、ダイナミック xlate が表にとどまるという動作をする、9.0(1) より前のソフトウェア バージョンとは異なります。

この動作をイネーブルにするデフォルトのコマンドは、show run all xlate コマンドを指定した設定で確認できます:

ASA# show run all xlate
xlate per-session permit tcp any4 any4
xlate per-session permit tcp any4 any6
xlate per-session permit tcp any6 any4
xlate per-session permit tcp any6 any6
xlate per-session permit udp any4 any4 eq domain
xlate per-session permit udp any4 any6 eq domain
xlate per-session permit udp any6 any4 eq domain
xlate per-session permit udp any6 any6 eq domain
ASA#

ASA がバージョン 9.0(1) より前のソフトウェア バージョンから 9.0(1) 以降にアップグレードされると、レガシーが 30 秒タイムアウトする動作は、特定の xlate per-session deny ルールを設定に追加することによって維持されます。

アップグレードされずにバージョン 9.0(1) 以降を実行する ASA には、デフォルト規則が適用されます(上記の出力例を参照)。 バージョン 9.0(1) 以降にアップグレードされた ASA は、次の出力例に示すように、デフォルト以外の明示 xlate ルールが適用されます:

ASA# show run xlate
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain

この出力例で示す xlate コマンドは、バージョン 9.0(1) へのアップグレード中に追加され、セッションごとの xlates をディセーブルにして以前のバージョンの動作を維持します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 115993