Waarom heeft de ASA late vermeldingen met inactieve waarden langer dan de geconfigureerde time-outs?

Downloadopties

  • PDF     (249.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (90.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (74.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 maart 2013
Document-id:115992

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document wordt uitgelegd waarom late items met waarden voor inactiviteit langer zijn dan de geconfigureerde time-outs. Het geeft ook informatie over hoe u kunt correleren en de conn- en xlate-waarden kunt zien.

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

V. Waarom heeft de Adaptive Security Appliance (ASA) late vermeldingen met inactieve waarden die langer zijn dan de geconfigureerde time-outs?

A. Hier is een voorbeeld dat de opgegeven waarden met inactieve waarden langer dan de geconfigureerde time-outs toont:

ASA#show xlate
26 in use, 16665 most used
Flags: D - DNS, e - extended, I - identity, 
   I - dynamic, r - portmap, s - static,  
   T - twice, N - net-to-net
TCP PAT from inside:10.20.33.2/54676 to outside: 
   192.0.2.3/54676 flags ri idle 1:48:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54397 to outside: 
   192.0.2.3/54397 flags ri idle 2:03:59  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54369 to outside: 
   192.0.2.3/54369 flags ri idle 2:04:26  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/56695 to outside: 
   192.0.2.3/56695 flags ri idle 0:09:22  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/55880 to outside: 
   192.0.2.3/55880 flags ri idle 0:33:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/54431 to outside: 
   192.0.2.3/54431 flags ri idle 2:03:23  
   timeout 0:00:30

Als een verbinding wordt onderworpen aan vertaling (xlate) op de ASA, wordt eerst de vertaling gebouwd, vervolgens wordt de verbinding gebouwd en ten slotte wordt de verbinding geassocieerd met die vertaling. De time-out voor inactieve xlate wordt alleen gestart wanneer alle bijbehorende verbindingen voor die xlate zijn beëindigd.

Als u de uitvoer van show xlate en show conn correleert, kunt u zien dat de conn-waarden overeenkomen met xlate-waarden die langer inactief zijn geweest dan de geconfigureerde time-out. Hierna volgt een voorbeeld.

Voer de opdracht Port Address Translation (PAT) show xlate in: 

ASA# show xlate local port 54676 
TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri 
   idle 1:48:12 timeout 0:00:30

Geef vervolgens de poort op in de opdracht show conn om het gekoppelde verbindingsitem te vinden:

ASA# show conn port 54676
TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, 
   bytes 1807, flags UIO

Dit verband is verbonden met de vertaling. Lokale poort 54676 is hetzelfde voor zowel de verbinding als de vertaalvermelding. Deze TCP-verbinding is aanwezig totdat deze wordt afgesloten door het protocol (TCP FIN's of reset pakketten), of totdat deze wordt afgesloten door de ASA (na de standaard time-out van 1 uur). Wanneer de verbinding wordt verbroken, wordt de vertaling ook verwijderd, maar deze verwijdering wordt uitgesteld voor "time-out" seconden.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
27-Feb-2013
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Jay Johnston
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten