Waarom heeft ASA Inschrijvingen met Inactiviteitswaarden langer dan de Geconfigureerde Time-outs?

Downloadopties

  • PDF     (249.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (89.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (74.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 maart 2013
Document-id:115992

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document legt uit waarom items met inactiviteitwaarden langer zijn dan de ingestelde timeouts. Het geeft ook informatie over hoe je de waarden van conn en xlate kunt correleren en zien.

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Q. Waarom heeft de adaptieve security applicatie (ASA) extra items met inactiviteitwaarden langer dan de ingestelde timeouts?

A. Hier is een voorbeeld dat de gespiegelde items met stationaire waarden langer laat zien dan de ingestelde timeouts:

ASA#show xlate
26 in use, 16665 most used
Flags: D - DNS, e - extended, I - identity, 
   I - dynamic, r - portmap, s - static,  
   T - twice, N - net-to-net
TCP PAT from inside:10.20.33.2/54676 to outside: 
   192.0.2.3/54676 flags ri idle 1:48:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54397 to outside: 
   192.0.2.3/54397 flags ri idle 2:03:59  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54369 to outside: 
   192.0.2.3/54369 flags ri idle 2:04:26  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/56695 to outside: 
   192.0.2.3/56695 flags ri idle 0:09:22  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/55880 to outside: 
   192.0.2.3/55880 flags ri idle 0:33:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/54431 to outside: 
   192.0.2.3/54431 flags ri idle 2:03:23  
   timeout 0:00:30

Als een verbinding aan vertaling (xlate) op ASA wordt onderworpen, eerst wordt de vertaling gebouwd, dan wordt de verbinding gebouwd, en tenslotte, wordt de verbinding geassocieerd met die vertaling. De uitwijktijd bij inactiviteitstimer wordt alleen gestart wanneer alle bijbehorende verbindingen voor dat uitwijkplatform zijn beëindigd.

Als u de output van show correleert en conn toont, kunt u zien dat de conn waarden overeenkomen xlate waarden die niet actief zijn geweest voor langer dan de ingestelde timeout. Hierna volgt een voorbeeld.

Voer de poortadresomzetting (PAT) in en toon de opdracht Exate: 

ASA# show xlate local port 54676 
TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri 
   idle 1:48:12 timeout 0:00:30

Specificeer vervolgens de poort in de opdracht show conn om de gekoppelde verbindingsingang te vinden:

ASA# show conn port 54676
TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, 
   bytes 1807, flags UIO

Deze verbinding wordt geassocieerd met de vertaling. Lokale 54676 is hetzelfde voor zowel de verbinding als de vertaling. Deze TCP-verbinding is aanwezig totdat deze door het protocol is gesloten (TCP-FIN's of reset-pakketten) of totdat deze door de ASA is uitgezet (na de standaard time-out van 1 uur). Wanneer de verbinding wordt verwijderd, wordt de vertaling ook verwijderd, maar deze verwijdering wordt vertraagd voor "timeout" seconden.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
27-Feb-2013
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Jay Johnston
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten