本文档解释具有空闲值的xlate条目比配置的超时长的原因。它还提供了如何关联和查看conn和xlate值的信息。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
A.以下示例显示空闲值大于已配置超时的xlate条目:
ASA#show xlate 26 in use, 16665 most used Flags: D - DNS, e - extended, I - identity, I - dynamic, r - portmap, s - static, T - twice, N - net-to-net TCP PAT from inside:10.20.33.2/54676 to outside: 192.0.2.3/54676 flags ri idle 1:48:12 timeout 0:00:30 TCP PAT from inside:10.20.33.2/54397 to outside: 192.0.2.3/54397 flags ri idle 2:03:59 timeout 0:00:30 TCP PAT from inside:10.20.33.2/54369 to outside: 192.0.2.3/54369 flags ri idle 2:04:26 timeout 0:00:30 TCP PAT from inside:10.20.33.3/56695 to outside: 192.0.2.3/56695 flags ri idle 0:09:22 timeout 0:00:30 TCP PAT from inside:10.20.33.3/55880 to outside: 192.0.2.3/55880 flags ri idle 0:33:12 timeout 0:00:30 TCP PAT from inside:10.20.33.3/54431 to outside: 192.0.2.3/54431 flags ri idle 2:03:23 timeout 0:00:30如果连接在ASA上经历转换(xlate),则首先构建转换,然后构建连接,最后连接与该转换关联。仅当该xlate的所有关联连接都终止时,才会启动xlate空闲超时。
如果将show xlate和show conn的输出关联,您可以看到conn值与已空闲时间超过已配置超时时间的xlate值匹配。下面是一个示例。
输入端口地址转换(PAT)show xlate命令:
ASA# show xlate local port 54676 TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri idle 1:48:12 timeout 0:00:30然后,在show conn命令中指定端口以查找关联的连接条目:
ASA# show conn port 54676 TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, bytes 1807, flags UIO此连接与转换关联。本地端口54676对于连接和转换条目而言是相同的。此TCP连接一直存在,直到协议将其关闭(TCP FIN或重置数据包),或者到ASA超时(默认超时为1小时后)为止。当连接断开时,转换也会被删除,但此删除会延迟“超时”秒。