在ASA 9.0(1)及更高版本中,show xlate輸出中的「x」連線標誌是什麼?
簡介
本文檔介紹ASA 9.0(1)版及更高版本中show xlate命令輸出中顯示的「x」連線標誌。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
問:在ASA 9.0(1)及更高版本中,show xlate輸出中的「x」連線標誌是什麼?
A. 「x」標誌表示連線使用「每會話」PAT轉換。
以下是範例:
ASA# show conn address 10.107.84.210 55 in use, 108 most used TCP outside 10.107.84.210:443 dmz 10.36.103.86:53613, idle 0:00:30, bytes 18155, flags UxIO TCP outside 10.107.84.210:80 dmz 10.36.103.86:52723, idle 0:00:57, bytes 2932, flags UxIO ASA#在ASA 9.0(1)及更高版本中,當任何基於TCP或UDP的DNS連線關閉時,預設情況下會立即從xlate表中刪除所使用連線的PAT xlate。此行為與低於9.0(1)的軟體版本不同,在低於9.0(1)的軟體版本中,連線斷開後,動態xlate會在表中再保留30秒的超時時間。
使用show run all xlate命令的配置中可以看到啟用此行為的預設命令:
ASA# show run all xlate xlate per-session permit tcp any4 any4 xlate per-session permit tcp any4 any6 xlate per-session permit tcp any6 any4 xlate per-session permit tcp any6 any6 xlate per-session permit udp any4 any4 eq domain xlate per-session permit udp any4 any6 eq domain xlate per-session permit udp any6 any4 eq domain xlate per-session permit udp any6 any6 eq domain ASA#如果ASA從低於9.0(1)的軟體版本升級到版本9.0(1)或更高版本,則通過在配置中新增特定的xlate per-session deny規則來保持傳統30秒超時行為。
運行9.0(1)或更高版本但未升級的ASA將應用預設規則(如上面的示例輸出所示)。 升級到版本9.0(1)或更高版本的ASA將包括應用的非預設顯式xlate規則,如以下示例輸出所示:
ASA# show run xlate xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domain在升級到9.0(1)版期間,將會新增此示例輸出中顯示的xlate命令,以便禁用每個會話的xlate並保留先前版本的行為。
意見