Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Почему ASA имеет Записи xlate с Простаивающими Значениями Дольше, чем Настроенные Таймауты?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Вопросы


Введение

Этот документ объясняет, почему записи xlate с простаивающими значениями более длинны, чем настроенные таймауты. Это также предоставляет сведения, как можно коррелировать и видеть значения xlate и ведение.

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Примечание: Внесенный Джеем Джонстоном, специалистом службы технической поддержки Cisco.

Вопрос. . Почему Устройство адаптивной защиты (ASA) имеет записи xlate с простаивающими значениями дольше, чем настроенные таймауты?

О. Вот пример, который показывает записи xlate с простаивающими значениями дольше, чем настроенные таймауты:

ASA#show xlate
26 in use, 16665 most used
Flags: D - DNS, e - extended, I - identity, 
   I - dynamic, r - portmap, s - static,  
   T - twice, N - net-to-net
TCP PAT from inside:10.20.33.2/54676 to outside: 
   192.0.2.3/54676 flags ri idle 1:48:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54397 to outside: 
   192.0.2.3/54397 flags ri idle 2:03:59  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54369 to outside: 
   192.0.2.3/54369 flags ri idle 2:04:26  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/56695 to outside: 
   192.0.2.3/56695 flags ri idle 0:09:22  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/55880 to outside: 
   192.0.2.3/55880 flags ri idle 0:33:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/54431 to outside: 
   192.0.2.3/54431 flags ri idle 2:03:23  
   timeout 0:00:30

Если соединение подвергнуто трансляции (xlate) на ASA, сначала трансляция создана, то соединение создано, и наконец, соединение привязано к той трансляции. Когда все cвязанные соединения для того xlate завершены, время простоя xlate только запускается.

При корреляции выходных данных show xlate и show conn вы видите, что вести значения совпадают со значениями xlate, которые были простаивающими для дольше, чем настроенный таймаут. Например.

Введите команду show xlate Преобразования адресов портов (PAT):

ASA# show xlate local port 54676 
TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri 
   idle 1:48:12 timeout 0:00:30

Затем Задайте порт в команде show conn для обнаружения cвязанного соединения:

ASA# show conn port 54676
TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, 
   bytes 1807, flags UIO

Это соединение привязано к трансляции. Локальный порт 54676 является тем же и для соединения и для транслируемого значения. Этот TCP - подключение присутствует, пока он не закрыт протоколом (TCP FIN или пакеты сброса), или пока он не испытывает таймаут ASA (после времени ожидания по умолчанию 1 часа). Когда соединение приведено в нерабочее состояние, трансляция также удалена, но это удаление задержано в течение секунд "таймаута".

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 115992