為什麼ASA的xlate條目的空閒值比配置的超時長?
簡介
本檔案將說明為什麼具有閒置值的xlate專案比已設定的逾時更長。它還提供了如何關聯和檢視conn和xlate值的資訊。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
問:為什麼自適應安全裝置(ASA)的xlate條目的空閒值比配置的超時長?
A.以下範例顯示閒置值大於已設定逾時的xlate專案:
ASA#show xlate 26 in use, 16665 most used Flags: D - DNS, e - extended, I - identity, I - dynamic, r - portmap, s - static, T - twice, N - net-to-net TCP PAT from inside:10.20.33.2/54676 to outside: 192.0.2.3/54676 flags ri idle 1:48:12 timeout 0:00:30 TCP PAT from inside:10.20.33.2/54397 to outside: 192.0.2.3/54397 flags ri idle 2:03:59 timeout 0:00:30 TCP PAT from inside:10.20.33.2/54369 to outside: 192.0.2.3/54369 flags ri idle 2:04:26 timeout 0:00:30 TCP PAT from inside:10.20.33.3/56695 to outside: 192.0.2.3/56695 flags ri idle 0:09:22 timeout 0:00:30 TCP PAT from inside:10.20.33.3/55880 to outside: 192.0.2.3/55880 flags ri idle 0:33:12 timeout 0:00:30 TCP PAT from inside:10.20.33.3/54431 to outside: 192.0.2.3/54431 flags ri idle 2:03:23 timeout 0:00:30如果連線在ASA上經過轉換(xlate),則首先構建轉換,然後構建連線,最後將連線與該轉換關聯。僅當該xlate的所有關聯連線都終止時,才會啟動xlate空閒超時。
如果將show xlate和show conn的輸出相關聯,則可看到conn值與xlate值匹配,這些值空閒的時間比配置的超時時間長。以下提供範例。
輸入連線埠位址轉譯(PAT)show xlate命令:
ASA# show xlate local port 54676 TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri idle 1:48:12 timeout 0:00:30然後,在show conn命令中指定埠以查詢關聯的連線條目:
ASA# show conn port 54676 TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, bytes 1807, flags UIO此連線與轉換關聯。連線和54676譯條目的本地埠號是相同的。此TCP連線一直存在,直到其被協定關閉(TCP FIN或重置資料包),或者其被ASA超時(在預設超時1小時後)。當連線斷開時,轉換也會被刪除,但此刪除會延遲「超時」秒。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
27-Feb-2013 |
初始版本 |
意見