×

Предупреждение

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

NAT на Cisco ASA (xlate per-session)

Неотвеченый вопрос
янв 31st, 2016
User Badges:

Добрый день.


Подскажите, пожалуйста, что делает команда xlate per-session?


Иногда встречаю настройки:

xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain

но что они делают?


P.S. Cisco ASA 5515-X, 9.2(2)4


Спасибо

Сергей

I have this problem too.
0 голоса
Loading.
dukenuk96 вт, 02/09/2016 - 03:33
User Badges:
  • Bronze, 100 points or more

Доброе время суток!

Смотрим в книгу, видим следующее:
The per-session PAT feature improves the scalability of PAT and, for clustering, allows each member unit to own PAT connections; multi-session PAT connections have to be forwarded to and owned by the master unit. At the end of a per-session PAT session, the ASA sends a reset and immediately removes the xlate. This reset causes the end node to immediately release the connection, avoiding the TIME_WAIT state. Multi-session PAT, on the other hand, uses the PAT timeout, by default 30 seconds. For “hit-and-run” traffic, such as HTTP or HTTPS, the per-session feature can dramatically increase the connection rate supported by one address. Without the per-session feature, the maximum connection rate for one address for an IP protocol is approximately 2000 per second. With the per-session feature, the connection rate for one address for an IP protocol is 65535/average-lifetime.
By default, all TCP traffic and UDP DNS traffic use a per-session PAT xlate. For traffic that can benefit from multi-session PAT, such as H.323, SIP, or Skinny, you can disable per-session PAT be creating a per-session deny rule.

Таким образом конкретно те команды, которые приведены, приводят к тому, что весь PAT трафик будет обрабатываться в режиме multi-session. Причем эти команды сделаны для того, чтобы переопределить поведение по умолчанию (которое per-session). Зачем автор конфигурации так сделал, наверное лучше уточнить у него. Если соединений в секунду у вас не больше чем ~2000, то можно не беспокоиться.

Действия

Информация о дискуссии

Related Content