ASA バージョン 9.0(1) 以降での show xlate の出力の「X」接続フラグについて
概要
このドキュメントでは、ASA バージョン 9.0(1) 以降の show xlate コマンドの出力に表示される「X」接続フラグについて説明します。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
Q. ASAバージョン9.0(1)以降のshow xlate出力の「x」接続フラグは何ですか。
A. 「x」フラグは、接続が「セッション単位」のPAT xlateを使用することを示します。
以下が一例です。
ASA# show conn address 10.107.84.210 55 in use, 108 most used TCP outside 10.107.84.210:443 dmz 10.36.103.86:53613, idle 0:00:30, bytes 18155, flags UxIO TCP outside 10.107.84.210:80 dmz 10.36.103.86:52723, idle 0:00:57, bytes 2932, flags UxIO ASA#ASA バージョン 9.0(1) 以降では、TCP または UDP ベースの DNS 接続が閉じると、接続が使用した PAT xlate が xlate の表からデフォルトでただちに削除されます。この動作は、接続がダウンした後、追加で 30 秒タイムアウトする間、ダイナミック xlate が表にとどまるという動作をする、9.0(1) より前のソフトウェア バージョンとは異なります。
この動作をイネーブルにするデフォルトのコマンドは、show run all xlate コマンドを指定した設定で確認できます:
ASA# show run all xlate xlate per-session permit tcp any4 any4 xlate per-session permit tcp any4 any6 xlate per-session permit tcp any6 any4 xlate per-session permit tcp any6 any6 xlate per-session permit udp any4 any4 eq domain xlate per-session permit udp any4 any6 eq domain xlate per-session permit udp any6 any4 eq domain xlate per-session permit udp any6 any6 eq domain ASA#ASA がバージョン 9.0(1) より前のソフトウェア バージョンから 9.0(1) 以降にアップグレードされると、レガシーが 30 秒タイムアウトする動作は、特定の xlate per-session deny ルールを設定に追加することによって維持されます。
アップグレードされずにバージョン 9.0(1) 以降を実行する ASA には、デフォルト規則が適用されます(上記の出力例を参照)。 バージョン 9.0(1) 以降にアップグレードされた ASA は、次の出力例に示すように、デフォルト以外の明示 xlate ルールが適用されます:
ASA# show run xlate xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domainこの出力例で示す xlate コマンドは、バージョン 9.0(1) へのアップグレード中に追加され、セッションごとの xlates をディセーブルにして以前のバージョンの動作を維持します。
フィードバック