为什么ASA的转换条目的空闲值比配置的超时长?
简介
本文档说明具有空闲值的xlate条目比配置的超时更长的原因。它还提供了如何关联和查看conn和xlate值的信息。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
问:为什么自适应安全设备(ASA)的转换条目的空闲值比配置的超时长?
A.以下示例显示了空闲值超过已配置超时的xlate条目:
ASA#show xlate 26 in use, 16665 most used Flags: D - DNS, e - extended, I - identity, I - dynamic, r - portmap, s - static, T - twice, N - net-to-net TCP PAT from inside:10.20.33.2/54676 to outside: 192.0.2.3/54676 flags ri idle 1:48:12 timeout 0:00:30 TCP PAT from inside:10.20.33.2/54397 to outside: 192.0.2.3/54397 flags ri idle 2:03:59 timeout 0:00:30 TCP PAT from inside:10.20.33.2/54369 to outside: 192.0.2.3/54369 flags ri idle 2:04:26 timeout 0:00:30 TCP PAT from inside:10.20.33.3/56695 to outside: 192.0.2.3/56695 flags ri idle 0:09:22 timeout 0:00:30 TCP PAT from inside:10.20.33.3/55880 to outside: 192.0.2.3/55880 flags ri idle 0:33:12 timeout 0:00:30 TCP PAT from inside:10.20.33.3/54431 to outside: 192.0.2.3/54431 flags ri idle 2:03:23 timeout 0:00:30如果连接在ASA上进行转换(xlate),则首先构建转换,然后构建连接,最后,连接与该转换关联。仅当该xlate的所有关联连接都终止时,xlate空闲超时才会开始。
如果将show xlate和show conn的输出相关联,则可以看到conn值匹配已空闲时间长于已配置超时的xlate值。下面是一个示例。
输入端口地址转换(PAT) show xlate命令:
ASA# show xlate local port 54676 TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri idle 1:48:12 timeout 0:00:30然后,在show conn命令中指定端口以查找关联的连接条目:
ASA# show conn port 54676 TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, bytes 1807, flags UIO此连接与转换相关联。本地端口54676对于连接和转换条目均相同。此TCP连接一直存在,直到协议将其关闭(TCP FIN或重置数据包),或直到ASA超时(默认超时为1小时后)。当连接断开时,转换也会被删除,但此删除会延迟“超时”秒。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
12-Mar-2013 |
初始版本 |
反馈