Weshalb verfügt die ASA über Xlate-Einträge mit Leerlaufwerten, die länger sind als die konfigurierten Timeouts?

Download-Optionen

  • PDF     (251.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (91.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (76.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:12. März 2013
Dokument-ID:115992

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird erläutert, warum xlate-Einträge mit Leerlaufwerten länger als die konfigurierten Timeouts sind. Außerdem finden Sie darin Informationen dazu, wie Sie die conn-Werte korrelieren und anzeigen und wie Sie die Werte erklären können.

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

F. Warum verfügt die Adaptive Security Appliance (ASA) über Xlate-Einträge, deren Leerlaufwerte länger sind als die konfigurierten Timeouts?

A. Hier ist ein Beispiel, das die xlate-Einträge mit Leerlaufwerten zeigt, die länger als die konfigurierten Zeitüberschreitungen sind:

ASA#show xlate
26 in use, 16665 most used
Flags: D - DNS, e - extended, I - identity, 
   I - dynamic, r - portmap, s - static,  
   T - twice, N - net-to-net
TCP PAT from inside:10.20.33.2/54676 to outside: 
   192.0.2.3/54676 flags ri idle 1:48:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54397 to outside: 
   192.0.2.3/54397 flags ri idle 2:03:59  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54369 to outside: 
   192.0.2.3/54369 flags ri idle 2:04:26  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/56695 to outside: 
   192.0.2.3/56695 flags ri idle 0:09:22  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/55880 to outside: 
   192.0.2.3/55880 flags ri idle 0:33:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/54431 to outside: 
   192.0.2.3/54431 flags ri idle 2:03:23  
   timeout 0:00:30

Wenn eine Verbindung auf der ASA einer Übersetzung (Xlate) unterzogen wird, wird zuerst die Übersetzung erstellt, dann wird die Verbindung hergestellt, und schließlich wird die Verbindung mit dieser Übersetzung verknüpft. Die Zeitüberschreitung bei Xlate-Inaktivität beginnt erst, wenn alle zugehörigen Verbindungen für diese Xlate-Datei beendet sind.

Wenn Sie die Ausgabe von show xlate und show conn korrelieren, können Sie sehen, dass die conn-Werte mit xlate-Werten übereinstimmen, die länger als der konfigurierte Timeout inaktiv waren. Hier ein Beispiel.

Geben Sie den Befehl Port Address Translation (PAT) show xlate ein: 

ASA# show xlate local port 54676 
TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri 
   idle 1:48:12 timeout 0:00:30

Geben Sie dann den Port im Befehl show conn an, um den zugehörigen Verbindungseintrag zu finden:

ASA# show conn port 54676
TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, 
   bytes 1807, flags UIO

Diese Verbindung ist mit der Übersetzung verknüpft. Der lokale Port 54676 ist für die Verbindung und den Übersetzungseintrag identisch. Diese TCP-Verbindung ist vorhanden, bis sie vom Protokoll geschlossen wird (TCP FINs oder Reset-Pakete), oder bis sie von der ASA beendet wird (nach dem Standard-Timeout von 1 Stunde). Wenn die Verbindung getrennt wird, wird auch die Übersetzung gelöscht, aber dieser Löschvorgang wird um eine Zeitüberschreitung (Timeout) verzögert.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
27-Feb-2013
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Jay Johnston
    Cisco TAC Engineer.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.