Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Community Member

NAT на Cisco ASA (xlate per-session)

Добрый день.

Подскажите, пожалуйста, что делает команда xlate per-session?

Иногда встречаю настройки:

xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain

но что они делают?

P.S. Cisco ASA 5515-X, 9.2(2)4

Спасибо

Сергей

Теги (1)
2 ОТВЕТ.
Bronze

Доброе время суток!

Доброе время суток!

Смотрим в книгу, видим следующее:
The per-session PAT feature improves the scalability of PAT and, for clustering, allows each member unit to own PAT connections; multi-session PAT connections have to be forwarded to and owned by the master unit. At the end of a per-session PAT session, the ASA sends a reset and immediately removes the xlate. This reset causes the end node to immediately release the connection, avoiding the TIME_WAIT state. Multi-session PAT, on the other hand, uses the PAT timeout, by default 30 seconds. For “hit-and-run” traffic, such as HTTP or HTTPS, the per-session feature can dramatically increase the connection rate supported by one address. Without the per-session feature, the maximum connection rate for one address for an IP protocol is approximately 2000 per second. With the per-session feature, the connection rate for one address for an IP protocol is 65535/average-lifetime.
By default, all TCP traffic and UDP DNS traffic use a per-session PAT xlate. For traffic that can benefit from multi-session PAT, such as H.323, SIP, or Skinny, you can disable per-session PAT be creating a per-session deny rule.

Таким образом конкретно те команды, которые приведены, приводят к тому, что весь PAT трафик будет обрабатываться в режиме multi-session. Причем эти команды сделаны для того, чтобы переопределить поведение по умолчанию (которое per-session). Зачем автор конфигурации так сделал, наверное лучше уточнить у него. Если соединений в секунду у вас не больше чем ~2000, то можно не беспокоиться.

Cisco Employee

http://www.slideshare.net

279
Просмотры
0
Полезный материал
2
Ответы
СоздатьДля создания публикации, пожалуйста в систему