Seguridad : Software Cisco Adaptive Security Appliance (ASA)

¿Cuál es el indicador de la conexión “x” en el xlate de la demostración hecho salir en la Versión de ASA 9.0(1) y posterior?

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Preguntas


Introducción

Este documento describe el indicador de la conexión “x” que aparece en la salida del comando show xlate en la Versión de ASA 9.0(1) y posterior.

Nota: Contribuido por los ingenieros de Cisco TAC.

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Q. ¿Cuál es el indicador de la conexión “x” en el xlate de la demostración hecho salir en la Versión de ASA 9.0(1) y posterior?

A. El indicador “x” indica que la conexión utiliza un xlate de la PALMADITA del “por session”.

Aquí tiene un ejemplo:

ASA# show conn address 10.107.84.210
55 in use, 108 most used
TCP outside  10.107.84.210:443 dmz  10.36.103.86:53613, 
    idle 0:00:30, bytes 18155, flags UxIO 
TCP outside  10.107.84.210:80 dmz  10.36.103.86:52723, 
    idle 0:00:57, bytes 2932, flags UxIO 
ASA#

En la Versión de ASA 9.0(1) y posterior, el xlate de la PALMADITA que la conexión utilizada se borra inmediatamente de la tabla del xlate por abandono cuando cualquier TCP o conexión basada en UDP DNS es cerrada. Este comportamiento diferencia de las versiones de software anterior de 9.0(1) en el cual el xlate dinámico permanecería en la tabla por un período de agotamiento del tiempo de espera adicional 30-second después de que la conexión fuera derribada.

Los comandos default que habilitan este comportamiento pueden ser considerados en la configuración con la demostración funcionan con todo el comando del xlate:

ASA# show run all xlate
xlate per-session permit tcp any4 any4
xlate per-session permit tcp any4 any6
xlate per-session permit tcp any6 any4
xlate per-session permit tcp any6 any6
xlate per-session permit udp any4 any4 eq domain
xlate per-session permit udp any4 any6 eq domain
xlate per-session permit udp any6 any4 eq domain
xlate per-session permit udp any6 any6 eq domain
ASA#

Si el ASA se actualiza de una versión de software anterior de 9.0(1) a la versión 9.0(1) o posterior, el comportamiento del descanso de la herencia 30-second es mantenido agregando al por session específico del xlate niega las reglas en la configuración.

Un ASA que funciona con la versión 9.0(1) o posterior que no fue actualizada tendrá las reglas predeterminadas aplicadas (tal y como se muestra en de la salida de muestra antedicha). Un ASA que se ha actualizado a la versión 9.0(1) o posterior incluirá las reglas explícitas no valor por defecto del xlate aplicadas tal y como se muestra en de esta salida de muestra:

ASA# show run xlate
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain

Los comandos del xlate mostrados en esta salida de muestra se agregan durante una actualización a la versión 9.0(1) para inhabilitar los xlates del por session y preservar el comportamiento de la versión anterior.


Información Relacionada


Document ID: 115993