ASA 버전 9.0(1) 이상의 show xlate 출력에 있는 'x' 연결 플래그는 무엇입니까?
소개
이 문서에서는 ASA 버전 9.0(1) 이상에서 show xlate 명령의 출력에 나타나는 'x' 연결 플래그에 대해 설명합니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
Q. ASA 버전 9.0(1) 이상의 show xlate 출력에 있는 'x' 연결 플래그는 무엇입니까?
A. 'x' 플래그는 연결에서 '세션당' PAT xlate를 사용함을 나타냅니다.
예를 들면 다음과 같습니다.
ASA# show conn address 10.107.84.210 55 in use, 108 most used TCP outside 10.107.84.210:443 dmz 10.36.103.86:53613, idle 0:00:30, bytes 18155, flags UxIO TCP outside 10.107.84.210:80 dmz 10.36.103.86:52723, idle 0:00:57, bytes 2932, flags UxIO ASA#ASA 버전 9.0(1) 이상에서는 TCP 또는 UDP 기반 DNS 연결이 닫히면 연결에 사용된 PAT xlate가 기본적으로 xlate 테이블에서 즉시 삭제됩니다. 이 동작은 9.0(1) 이전 소프트웨어 버전에서 연결이 끊긴 후 동적 xlate가 추가로 30초 시간 초과 기간 동안 테이블에 유지되는 것과 다릅니다.
이 동작을 활성화하는 기본 명령은 show run all xlate 명령을 사용하는 컨피그레이션에서 볼 수 있습니다.
ASA# show run all xlate xlate per-session permit tcp any4 any4 xlate per-session permit tcp any4 any6 xlate per-session permit tcp any6 any4 xlate per-session permit tcp any6 any6 xlate per-session permit udp any4 any4 eq domain xlate per-session permit udp any4 any6 eq domain xlate per-session permit udp any6 any4 eq domain xlate per-session permit udp any6 any6 eq domain ASA#ASA가 9.0(1) 이전 소프트웨어 버전에서 9.0(1) 이상 버전으로 업그레이드된 경우 컨피그레이션에 특정 xlate 세션당 거부 규칙을 추가하여 레거시 30초 시간 초과 동작이 유지됩니다.
업그레이드되지 않은 버전 9.0(1) 이상을 실행하는 ASA에는 기본 규칙이 적용됩니다(위의 샘플 출력에 나와 있음). 버전 9.0(1) 이상으로 업그레이드된 ASA에는 이 샘플 출력에 표시된 대로 적용되는 기본이 아닌 명시적 xlate 규칙이 포함됩니다.
ASA# show run xlate xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domain이 샘플 출력에 표시된 xlate 명령은 세션당 xlate를 비활성화하고 이전 버전의 동작을 유지하기 위해 버전 9.0(1)으로 업그레이드하는 동안 추가됩니다.
피드백