Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA TCP Флаги Связи (Наращивание связи и разрушение)

17 октября 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет информацию об Адаптивном приборе безопасности (ASA) флаги связи TCP.

Примечание: внесенный Джеем Джонстоном, Cisco инженер TAC.

Предпосылки

Требования

У читателей этого документа должно быть знание этих тем.

  • Элементарные знания Коммуникационного Протокола TCP

  • Элементарные знания Командной строки ASA (CLI)

Используемые компоненты

Информация в этом документе основана на версии 8.4 ASA.

Соглашения

Для получения дополнительной информации о соглашениях документа направьте в Cisco Технический TipsConventions.

ASA TCP флаги связи

При поиске неисправностей связей TCP через ASA флаги связи, показанные для каждой связи TCP, обеспечивают богатство информации о состоянии связей TCP с ASA. Эта информация может использоваться для поиска неисправностей проблем с ASA, а также проблем в другом месте в сети.

Вот продукция шоу, ведут протокол tcp команда, которая показывает состояние всех связей TCP через ASA. Эти связи могут также быть замечены с шоу, ведут команду.

ASA# show conn protocol tcp 
101 in use, 5589 most used
TCP outside 10.23.232.59:5223 inside 192.168.1.3:52419, idle 0:00:11, bytes 0, flags saA
TCP outside 192.168.3.5:80 dmz 172.16.103.221:57646, idle 0:00:29, bytes 2176, flags UIO
TCP outside 10.23.232.217:5223 inside 192.168.1.3:52425, idle 0:00:10, bytes 0, flags saA
TCP outside 10.23.232.217:443 inside 192.168.1.3:52427, idle 0:01:02, bytes 4504, flags UIO
TCP outside 10.23.232.57:5223 inside 192.168.1.3:52412, idle 0:00:23, bytes 0, flags saA
TCP outside 10.23.232.116:5223 inside 192.168.1.3:52408, idle 0:00:23, bytes 0, flags saA
TCP outside 10.23.232.60:5223 inside 192.168.1.3:52413, idle 0:00:23, bytes 0, flags saA
TCP outside 10.23.232.96:5223 inside 192.168.1.3:52421, idle 0:00:11, bytes 0, flags saA
TCP outside 10.23.232.190:5223 inside 192.168.1.3:52424, idle 0:00:10, bytes 0, flags saA

Следующая картина показывает ASA TCP флаги Связи на различных стадиях государственной машины TCP. Флаги связи могут быть замечены с шоу, ведут команду на ASA.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113602-ptn-113602-01.gif

Ценности флага связи TCP

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113602-ptn-113602-02.gif

Кроме того, для просмотра всей возможной проблемы флагов связи выставочная команда детали связи на командной строке:

ASA# show conn detail
84 in use, 1537 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
       B - initial SYN from outside, b - TCP state-bypass or nailed, C - CTIQBE media,
       D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN,
       G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
       i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
       k - Skinny media, M - SMTP data, m - SIP media, n - GUP
       O - outbound data, P - inside back connection, p - Phone-proxy TFTP connection,
       q - SQL*Net data, R - outside acknowledged FIN,
       R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,
       s - awaiting outside SYN, T - SIP, t - SIP transient, U - up,
       V - VPN orphan, W - WAAS,
       X - inspected by service module

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 113602