在ASA 9.0(1)版及更高版本中,show xlate输出中的“x”连接标志是什么?
简介
本文档介绍ASA 9.0(1)版及更高版本中show xlate命令输出中显示的“x”连接标志。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
问:在ASA 9.0(1)版及更高版本中,show xlate输出中的“x”连接标志是什么?
A. “x”标志表示连接使用“每会话”PAT转换。
示例如下:
ASA# show conn address 10.107.84.210 55 in use, 108 most used TCP outside 10.107.84.210:443 dmz 10.36.103.86:53613, idle 0:00:30, bytes 18155, flags UxIO TCP outside 10.107.84.210:80 dmz 10.36.103.86:52723, idle 0:00:57, bytes 2932, flags UxIO ASA#在ASA版本9.0(1)及更高版本中,当关闭任何基于TCP或基于UDP的DNS连接时,默认情况下会立即从xlate表中删除所使用连接的PAT xlate。此行为与早于9.0(1)的软件版本不同,在早于9.0(1)的软件版本中,动态xlate会在连接断开后在表中再保留30秒的超时时间。
使用show run all xlate命令的配置中可以看到启用此行为的默认命令:
ASA# show run all xlate xlate per-session permit tcp any4 any4 xlate per-session permit tcp any4 any6 xlate per-session permit tcp any6 any4 xlate per-session permit tcp any6 any6 xlate per-session permit udp any4 any4 eq domain xlate per-session permit udp any4 any6 eq domain xlate per-session permit udp any6 any4 eq domain xlate per-session permit udp any6 any6 eq domain ASA#如果ASA从早于9.0(1)的软件版本升级到版本9.0(1)或更高版本,则通过在配置中添加特定xlate per-session deny规则来保持传统30秒超时行为。
运行版本9.0(1)或更高版本的ASA且未升级,将应用默认规则(如上面的示例输出所示)。 升级到版本9.0(1)或更高版本的ASA将包括应用的非默认显式xlate规则,如下面的示例输出所示:
ASA# show run xlate xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domain此示例输出中显示的xlate命令是在升级到版本9.0(1)的过程中添加的,目的是禁用每个会话的xlate并保留先前版本的行为。
反馈