本文档介绍在ASA 9.0(1)版及更高版本中show xlate命令的输出中显示的“x”连接标志。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
答:“x”标志表示连接使用“每会话”PAT转换。
示例如下:
ASA# show conn address 10.107.84.210 55 in use, 108 most used TCP outside 10.107.84.210:443 dmz 10.36.103.86:53613, idle 0:00:30, bytes 18155, flags UxIO TCP outside 10.107.84.210:80 dmz 10.36.103.86:52723, idle 0:00:57, bytes 2932, flags UxIO ASA#在ASA 9.0(1)版及更高版本中,当任何基于TCP或UDP的DNS连接关闭时,默认情况下会立即从xlate表中删除使用的连接的PAT xlate。此行为与9.0(1)之前的软件版本不同,在9.0(1)之前,动态xlate将在连接断开后在表中保留30秒的额外超时时间。
在配置中,使用show run all xlate命令可以看到启用此行为的默认命令:
ASA# show run all xlate xlate per-session permit tcp any4 any4 xlate per-session permit tcp any4 any6 xlate per-session permit tcp any6 any4 xlate per-session permit tcp any6 any6 xlate per-session permit udp any4 any4 eq domain xlate per-session permit udp any4 any6 eq domain xlate per-session permit udp any6 any4 eq domain xlate per-session permit udp any6 any6 eq domain ASA#如果ASA从9.0(1)之前的软件版本升级到9.0(1)或更高版本,则通过在配置中添加特定xlate每会话拒绝规则来维护传统的30秒超时行为。
运行版本9.0(1)或更高版本且未升级的ASA将应用默认规则(如上面的示例输出所示)。 已升级到9.0(1)或更高版本的ASA将包括应用的非默认显式xlate规则,如以下输出示例所示:
ASA# show run xlate xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domain在升级到版本9.0(1)期间,会添加此示例输出中显示的xlate命令,以禁用每会话xlate并保留以前版本的行为。