Por que o ASA tem entradas do xlate com os valores inativos mais longos do que os intervalos configurados?

Introdução

Este documento explica porque as entradas do xlate com valores inativos são mais longas do que os intervalos configurados. Igualmente fornece a informação como você pode correlacionar e ver a conexão e os valores do xlate.

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Q. Por que a ferramenta de segurança adaptável (ASA) tem entradas do xlate com os valores inativos mais longos do que os intervalos configurados?

A. Está aqui um exemplo que mostre as entradas do xlate com os valores inativos mais longos do que os intervalos configurados:

ASA#show xlate
26 in use, 16665 most used
Flags: D - DNS, e - extended, I - identity, 
   I - dynamic, r - portmap, s - static,  
   T - twice, N - net-to-net
TCP PAT from inside:10.20.33.2/54676 to outside: 
   192.0.2.3/54676 flags ri idle 1:48:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54397 to outside: 
   192.0.2.3/54397 flags ri idle 2:03:59  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54369 to outside: 
   192.0.2.3/54369 flags ri idle 2:04:26  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/56695 to outside: 
   192.0.2.3/56695 flags ri idle 0:09:22  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/55880 to outside: 
   192.0.2.3/55880 flags ri idle 0:33:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/54431 to outside: 
   192.0.2.3/54431 flags ri idle 2:03:23  
   timeout 0:00:30

Se uma conexão está sujeitada à tradução (xlate) no ASA, a tradução está construída primeiramente, a seguir a conexão é construída, e finalmente, a conexão é associada com essa tradução. O idle timeout do xlate começa somente quando todas as conexões associadas para esse xlate são terminadas.

Se você correlaciona a saída do xlate e do show conn da mostra, você pode ver que a conexão avalia os valores do xlate do fósforo que foram inativos para mais por muito tempo do que o intervalo configurado. Exemplo:

Inscreva o comando show xlate da tradução de endereço de porta (PAT):

ASA# show xlate local port 54676 
TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri 
   idle 1:48:12 timeout 0:00:30

Então, especifique a porta no comando show conn encontrar a entrada de conexão associada:

ASA# show conn port 54676
TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, 
   bytes 1807, flags UIO

Esta conexão é associada com a tradução. A porta local 54676 é a mesma para a conexão e a entrada de tradução. Esta conexão de TCP esta presente até que esteja fechada pelo protocolo (TCP FIN ou pacotes da restauração), ou até ela cronometra para fora pelo ASA (após o timeout padrão de 1 hora). Quando a conexão é tomada para baixo, a tradução está suprimida igualmente, mas este supressão é atrasado por segundos do “intervalo”.

Informações Relacionadas

• Firewall da próxima geração do 5500 Series de Cisco ASA
• Suporte Técnico e Documentação - Cisco Systems