Por que o ASA tem entradas xlate com valores ociosos maiores que os tempos limite configurados?

Opções de download

  • PDF     (249.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (88.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (73.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:12 de março de 2013
ID do documento:115992

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento explica por que as entradas xlate com valores ociosos são maiores que os tempos limites configurados. Ele também fornece informações sobre como você pode correlacionar e ver os valores conn e xlate.

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

P. Por que o Adaptive Security Appliance (ASA) tem entradas xlate com valores ociosos maiores do que os tempos limite configurados?

R. Aqui está um exemplo que mostra as entradas xlate com valores ociosos maiores que os timeouts configurados:

ASA#show xlate
26 in use, 16665 most used
Flags: D - DNS, e - extended, I - identity, 
   I - dynamic, r - portmap, s - static,  
   T - twice, N - net-to-net
TCP PAT from inside:10.20.33.2/54676 to outside: 
   192.0.2.3/54676 flags ri idle 1:48:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54397 to outside: 
   192.0.2.3/54397 flags ri idle 2:03:59  
   timeout 0:00:30
TCP PAT from inside:10.20.33.2/54369 to outside: 
   192.0.2.3/54369 flags ri idle 2:04:26  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/56695 to outside: 
   192.0.2.3/56695 flags ri idle 0:09:22  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/55880 to outside: 
   192.0.2.3/55880 flags ri idle 0:33:12  
   timeout 0:00:30
TCP PAT from inside:10.20.33.3/54431 to outside: 
   192.0.2.3/54431 flags ri idle 2:03:23  
   timeout 0:00:30

Se uma conexão estiver sujeita à conversão (xlate) no ASA, primeiro a conversão será criada, depois a conexão será criada e, finalmente, a conexão será associada a essa conversão. O tempo limite de ociosidade xlate só começa quando todas as conexões associadas para esse xlate são terminadas.

Se você correlacionar a saída de show xlate e show conn, poderá ver que os valores conn correspondem aos valores xlate que ficaram ociosos por mais tempo do que o tempo limite configurado. Exemplo:

Insira o comando PAT show xlate: 

ASA# show xlate local port 54676 
TCP PAT from inside:10.20.33.2/54676 to outside:192.0.2.3/54676 flags ri 
   idle 1:48:12 timeout 0:00:30

Em seguida, especifique a porta no comando show conn para localizar a entrada de conexão associada:

ASA# show conn port 54676
TCP outside 192.168.22.3:443 events inside:10.20.33.2:54676, idle 0:03:52, 
   bytes 1807, flags UIO

Esta conexão está associada à tradução. A porta local 54676 é a mesma para a conexão e para a entrada de conversão. Essa conexão TCP está presente até que seja fechada pelo protocolo (TCP FINs ou pacotes de redefinição), ou até que ela expire pelo ASA (após o timeout padrão de 1 hora). Quando a conexão é desativada, a conversão também é excluída, mas essa exclusão é atrasada por "tempo limite" segundos.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
12-Mar-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Jay Johnston
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos