Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Флаги TCP - подключения ASA (Наращивание соединения и разрушение)

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (21 апреля 2016) | Отзыв

Введение

В этом документе приводятся сведения о флагах TCP-подключения устройства адаптивной защиты (ASA).

Внесенный Джеем Джонстоном, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Базовые знания о Протоколе TCP - взаимодействий

  • Базовые знания о CLI ASA

Используемые компоненты

Сведения в этом документе основываются на версии ASA 8.4.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Флаги TCP - подключения ASA

При устранении проблем TCP - подключений через Устройство адаптивной защиты (ASA) флаги соединения, показанные для каждого TCP - подключения, предоставляют полную информацию о состоянии TCP - подключений к ASA. Эта информация может использоваться для устренения проблем с ASA, а также проблем в другом месте в сети.

Вот выходные данные команды show conn protocol tcp, которая показывает состояние всех TCP - подключений через ASA. Эти соединения могут также быть замечены с командой show conn.

ASA# show conn protocol tcp
101 in use, 5589 most used
TCP outside 10.23.232.59:5223 inside 192.168.1.3:52419, idle 0:00:11, bytes 0, flags saA
TCP outside 192.168.3.5:80 dmz 172.16.103.221:57646, idle 0:00:29, bytes 2176, flags UIO
TCP outside 10.23.232.217:5223 inside 192.168.1.3:52425, idle 0:00:10, bytes 0, flags saA
TCP outside 10.23.232.217:443 inside 192.168.1.3:52427, idle 0:01:02, bytes 4504, flags UIO
TCP outside 10.23.232.57:5223 inside 192.168.1.3:52412, idle 0:00:23, bytes 0, flags saA
TCP outside 10.23.232.116:5223 inside 192.168.1.3:52408, idle 0:00:23, bytes 0, flags saA
TCP outside 10.23.232.60:5223 inside 192.168.1.3:52413, idle 0:00:23, bytes 0, flags saA
TCP outside 10.23.232.96:5223 inside 192.168.1.3:52421, idle 0:00:11, bytes 0, flags saA
TCP outside 10.23.232.190:5223 inside 192.168.1.3:52424, idle 0:00:10, bytes 0, flags saA

Следующее изображение показывает флаги TCP - подключения ASA на других этапах машины состояния TCP. Флаги соединения могут быть замечены с командой show conn на ASA.

Флаговые значения TCP - подключения

Кроме того, для просмотра всей возможной проблемы флагов соединения команда show connection detail на командной строке:

ASA5515-X# show conn detail
35 in use, 199 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, b - TCP state-bypass or nailed,
C - CTIQBE media, c - cluster centralized,
D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
k - Skinny media, M - SMTP data, m - SIP media, n - GUP
O - outbound data, P - inside back connection, p - Phone-proxy TFTP connection,
q - SQL*Net data, R - outside acknowledged FIN,
R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up,
V - VPN orphan, W - WAAS,
X - inspected by service module,
x - per session, Y - director stub flow, y - backup stub flow,
Z - Scansafe redirection, z - forwarding stub flow


Document ID: 113602