Perché le voci dell'appliance ASA hanno valori di inattività più lunghi rispetto ai timeout configurati?

Opzioni per il download

  • PDF     (248.3 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:12 marzo 2013
ID documento:115992

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento spiega perché le voci xlate con valori di inattività sono più lunghe dei timeout configurati. Fornisce inoltre informazioni su come correlare e visualizzare i valori conn e xlate.

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

D. Perché le appliance ASA (Adaptive Security Appliance) hanno voci xlate con valori di inattività più lunghi rispetto ai timeout configurati?

R. Di seguito è riportato un esempio che mostra le voci xlate con valori di inattività più lunghi rispetto ai timeout configurati:

ASA#show xlate
26 in use, 16665 most used
Flags: D - DNS, e - extended, I - identity, 
   I - dynamic, r - portmap, s - static,  
   T - twice, N - net-to-net
TCP PAT from inside:10.20.33.2/54676 to outside: 
   192.0.2.3/54676 flags ri idle 1:48:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54397 to outside: 
   192.0.2.3/54397 flags ri idle 2:03:59  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54369 to outside: 
   192.0.2.3/54369 flags ri idle 2:04:26  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/56695 to outside: 
   192.0.2.3/56695 flags ri idle 0:09:22  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/55880 to outside: 
   192.0.2.3/55880 flags ri idle 0:33:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/54431 to outside: 
   192.0.2.3/54431 flags ri idle 2:03:23  
   timeout 0:00:30

Se una connessione è soggetta a traslazione (xlate) sull'appliance ASA, prima viene creata la traslazione, quindi viene creata la connessione e, infine, la connessione viene associata a tale traslazione. Il timeout di inattività di xlate inizia solo quando tutte le connessioni associate per l'xlate vengono terminate.

Se si correlano gli output di show xlate e show conn, si osserverà che i valori conn corrispondono ai valori xlate inattivi da più tempo del timeout configurato. Ecco un esempio.

Immettere il comando Port Address Translation (PAT) show xlate: 

ASA# show xlate local port 54676 
TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri 
   idle 1:48:12 timeout 0:00:30

Quindi, specificare la porta nel comando show conn per trovare la voce di connessione associata:

ASA# show conn port 54676
TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, 
   bytes 1807, flags UIO

Questa connessione è associata alla traduzione. La porta locale 54676 è la stessa per la connessione e la voce di conversione. Questa connessione TCP è presente finché non viene chiusa dal protocollo (pacchetti TCP FIN o reset) o finché non scade dall'ASA (dopo il timeout predefinito di 1 ora). Quando la connessione viene interrotta, viene eliminata anche la traduzione, ma l'eliminazione viene posticipata di alcuni secondi.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
12-Mar-2013
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Jay Johnston
    Cisco TAC Engineer.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti