Безопасность : программное обеспечение для адаптивных устройств обеспечения безопасности Cisco ASA

Каков 'x' флаг соединения в выходных данных show xlate в версии ASA 9.0 (1) и позже?

21 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Вопросы


Введение

Этот документ описывает 'x' флаг соединения, который появляется в выходных данных команды show xlate в версии ASA 9.0 (1) и позже.

Примечание: Внесенный специалистами службы технической поддержки Cisco.

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Вопрос. Каков 'x' флаг соединения в выходных данных show xlate в версии ASA 9.0 (1) и позже?

О. Флаг 'x' указывает, что соединение использует 'для каждого сеанса' xlate PAT.

Например:

ASA# show conn address 10.107.84.210
55 in use, 108 most used
TCP outside  10.107.84.210:443 dmz  10.36.103.86:53613, 
    idle 0:00:30, bytes 18155, flags UxIO 
TCP outside  10.107.84.210:80 dmz  10.36.103.86:52723, 
    idle 0:00:57, bytes 2932, flags UxIO 
ASA#

В версии ASA 9.0 (1) и позже, xlate PAT, что используемое соединение сразу удалено из таблицы xlate по умолчанию, когда закрыты любой TCP или основанное на UDP соединение DNS. Это поведение отличается от версий программного обеспечения ранее, чем 9.0 (1), в котором динамический xlate остался бы в таблице для дополнительного 30-секундного периода ожидания после того, как было разъединено соединение.

Команды по умолчанию, которые включают это поведение, могут быть замечены в конфигурации с показом выполняет всю команду xlate:

ASA# show run all xlate
xlate per-session permit tcp any4 any4
xlate per-session permit tcp any4 any6
xlate per-session permit tcp any6 any4
xlate per-session permit tcp any6 any6
xlate per-session permit udp any4 any4 eq domain
xlate per-session permit udp any4 any6 eq domain
xlate per-session permit udp any6 any4 eq domain
xlate per-session permit udp any6 any6 eq domain
ASA#

Если ASA обновлен от версии программного обеспечения ранее, чем 9.0 (1) к версии 9.0 (1) или позже, устаревшее 30-секундное поведение таймаута поддержано путем добавления, что определенный xlate для каждого сеанса запрещает правила в конфигурации.

ASA, который выполняет версию 9.0 (1) или позже который не был обновлен, будет иметь стандартные правила примененными (как показано в примере выходных данных выше). ASA, который был обновлен к версии 9.0 (1) или позже будет включать не по умолчанию явные правила xlate, примененные как показано в этом примере выходных данных:

ASA# show run xlate
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain

Команды xlate, показанные в этом примере выходных данных, добавлены во время обновления к версии 9.0 (1), чтобы отключить для каждого сеанса xlates и сохранить поведение предыдущей версии.


Дополнительные сведения


Document ID: 115993