Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

¿Por qué el ASA tiene entradas del xlate con los valores ociosos más largos que los descansos configurados?

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios


Preguntas


Introducción

Este documento explica porqué las entradas del xlate con los valores ociosos son más largas que los descansos configurados. También proporciona la información cómo usted puede correlacionar y ver las conec y los valores del xlate.

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Nota: Contribuido por Jay Johnston, ingeniero de Cisco TAC.

Q. ¿Por qué el dispositivo de seguridad adaptante (ASA) tiene entradas del xlate con los valores ociosos más largos que los descansos configurados?

A. Aquí está un ejemplo que muestra las entradas del xlate con los valores ociosos más largos que los descansos configurados:

ASA#show xlate
26 in use, 16665 most used
Flags: D - DNS, e - extended, I - identity, 
   I - dynamic, r - portmap, s - static,  
   T - twice, N - net-to-net
TCP PAT from inside:10.20.33.2/54676 to outside: 
   192.0.2.3/54676 flags ri idle 1:48:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54397 to outside: 
   192.0.2.3/54397 flags ri idle 2:03:59  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54369 to outside: 
   192.0.2.3/54369 flags ri idle 2:04:26  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/56695 to outside: 
   192.0.2.3/56695 flags ri idle 0:09:22  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/55880 to outside: 
   192.0.2.3/55880 flags ri idle 0:33:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/54431 to outside: 
   192.0.2.3/54431 flags ri idle 2:03:23  
   timeout 0:00:30

Si una conexión se sujeta a la traducción (xlate) en el ASA, primero la traducción se construye, después se construye la conexión, y finalmente, la conexión se asocia a esa traducción. El tiempo de inactividad del xlate comienza solamente cuando todas las conexiones asociadas para ese xlate se terminan.

Si usted correlaciona la salida del xlate y del show conn de la demostración, usted puede ver que los valores conec hacen juego los valores del xlate que han estado ociosos para más de largo que el descanso configurado. Aquí está un ejemplo.

Ingrese el comando show xlate del Port Address Translation (PAT):

ASA# show xlate local port 54676 
TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri 
   idle 1:48:12 timeout 0:00:30

Entonces, especifique el puerto en el comando show conn de encontrar asociado Entrada de conexión:

ASA# show conn port 54676
TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, 
   bytes 1807, flags UIO

Esta conexión se asocia a la traducción. El puerto local 54676 es lo mismo para la conexión y la entrada de traducción. Esta conexión TCP está presente hasta que sea cerrada por el protocolo (los TCP fin o los paquetes de la restauración), o hasta ella mide el tiempo hacia fuera por el ASA (después del tiempo de espera predeterminado de 1 hora). Cuando la conexión se toma abajo, la traducción también se borra, pero esta cancelacíon se retrasa por los segundos del “descanso”.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 115992