Guest

Por que o ASA tem entradas do xlate com os valores inativos mais longos do que os intervalos configurados?

Opções de download

  • PDF     (148.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (82.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (75.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:12 de Março de 2013
ID do documento:115992
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento explica porque as entradas do xlate com valores inativos são mais longas do que os intervalos configurados. Igualmente fornece a informação como você pode correlacionar e ver a conexão e os valores do xlate.

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Q. Por que a ferramenta de segurança adaptável (ASA) tem entradas do xlate com os valores inativos mais longos do que os intervalos configurados?

A. Está aqui um exemplo que mostre as entradas do xlate com os valores inativos mais longos do que os intervalos configurados:

ASA#show xlate
26 in use, 16665 most used
Flags: D - DNS, e - extended, I - identity, 
   I - dynamic, r - portmap, s - static,  
   T - twice, N - net-to-net
TCP PAT from inside:10.20.33.2/54676 to outside: 
   192.0.2.3/54676 flags ri idle 1:48:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54397 to outside: 
   192.0.2.3/54397 flags ri idle 2:03:59  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54369 to outside: 
   192.0.2.3/54369 flags ri idle 2:04:26  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/56695 to outside: 
   192.0.2.3/56695 flags ri idle 0:09:22  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/55880 to outside: 
   192.0.2.3/55880 flags ri idle 0:33:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/54431 to outside: 
   192.0.2.3/54431 flags ri idle 2:03:23  
   timeout 0:00:30

Se uma conexão está sujeitada à tradução (xlate) no ASA, a tradução está construída primeiramente, a seguir a conexão é construída, e finalmente, a conexão é associada com essa tradução. O idle timeout do xlate começa somente quando todas as conexões associadas para esse xlate são terminadas.

Se você correlaciona a saída do xlate e do show conn da mostra, você pode ver que a conexão avalia os valores do xlate do fósforo que foram inativos para mais por muito tempo do que o intervalo configurado. Exemplo:

Inscreva o comando show xlate da tradução de endereço de porta (PAT): 

ASA# show xlate local port 54676 
TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri 
   idle 1:48:12 timeout 0:00:30

Então, especifique a porta no comando show conn encontrar a entrada de conexão associada:

ASA# show conn port 54676
TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, 
   bytes 1807, flags UIO

Esta conexão é associada com a tradução. A porta local 54676 é a mesma para a conexão e a entrada de tradução. Esta conexão de TCP esta presente até que esteja fechada pelo protocolo (TCP FIN ou pacotes da restauração), ou até ela cronometra para fora pelo ASA (após o timeout padrão de 1 hora). Quando a conexão é tomada para baixo, a tradução está suprimida igualmente, mas este supressão é atrasado por segundos do “intervalo”.

Informações Relacionadas

TAC Authored

Colaborado por engenheiros da Cisco

  • Jay Johnston
    Cisco TAC Engineer.

Este documento lhe foi útil?

Feedback

Deixe-nos ajudar

Este documento se refere a estes produtos