什么是在ASA版本9.0(1)和以上输出的show xlate的‘x’连接标志?
简介
本文描述在输出出现show xlate命令中在ASA版本9.0(1)和以上的‘x’连接标志。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
Q. 什么是在ASA版本9.0(1)和以上输出的show xlate的‘x’连接标志?
A. ‘x’标志表明连接使用‘每会话’ PAT xlate。
示例如下:
ASA# show conn address 10.107.84.21055 in use, 108 most usedTCP outside 10.107.84.210:443 dmz 10.36.103.86:53613, idle 0:00:30, bytes 18155, flags UxIO TCP outside 10.107.84.210:80 dmz 10.36.103.86:52723, idle 0:00:57, bytes 2932, flags UxIO ASA#在ASA版本9.0(1)和以上,默认情况下使用的连接从xlate表立即删除的PAT xlate,当所有TCP或基于UDP的DNS连接关闭。此行为与软件版本有所不同动态xlate在表里将坚持一个另外的30秒超时周期的早于9.0(1),在连接被切断了后。
默认发出命令启用此行为能在与show run的配置里被看到所有xlate命令:
ASA# show run all xlatexlate per-session permit tcp any4 any4xlate per-session permit tcp any4 any6xlate per-session permit tcp any6 any4xlate per-session permit tcp any6 any6xlate per-session permit udp any4 any4 eq domainxlate per-session permit udp any4 any6 eq domainxlate per-session permit udp any6 any4 eq domainxlate per-session permit udp any6 any6 eq domainASA#如果ASA从的软件版本升级早于9.0(1)对版本9.0(1)或以上,传统30秒超时行为通过添加每会话特定的xlate在配置里维护拒绝规则。
运行版本9.0(1)或以上未升级的ASA将有应用的默认规则(如以上的输出示例:所显示)。ASA升级对的版本9.0(1)或以上将包括非默认明确xlate规则应用如此输出示例:所显示:
ASA# show run xlatexlate per-session deny tcp any4 any4xlate per-session deny tcp any4 any6xlate per-session deny tcp any6 any4xlate per-session deny tcp any6 any6xlate per-session deny udp any4 any4 eq domainxlate per-session deny udp any4 any6 eq domainxlate per-session deny udp any6 any4 eq domainxlate per-session deny udp any6 any6 eq domain在此输出示例:中显示的xlate命令被添加在升级期间到版本9.0(1)为了禁用每会话xlate和保留以前版本的行为。
反馈