Q&A
前提・実現したいこと
既存で運用しているCisco ASAの設定変更を行おうとしています。
全体の運用としての働きを調べています。
下記設定が入っており、具体的な動きがわかりません。
xlate per-session deny tcp any4 any4
試したこと
Ciscoのサイトにいってコマンドを調べてみましたが、どうも意味がわからない状態です。
補足情報(FW/ツールのバージョンなど)
ASA5515-X
ASA Version 9.1(2)
回答1件
0
ベストアンサー
xlate per-session deny tcp any4 any4コマンドはper-session PATをtcp通信全てで無効化する設定と思われます。(デフォルトではTCP/UDP全てで有効)
以下、CiscoASAのコンフィギュレーションガイドから抜粋
Per-Session PAT と Multi-Session PAT
Per-Session PAT によって PAT のスケーラビリティが向上し、クラスタリングの場合に各メンバ ユニットに独自の PAT 接続を使用できるようになります。Multi-Session PAT 接続は、マスター ユニットに転送してマスター ユニットを所有者とする必要があります。Per-Session PAT セッションの終了時に、ASA からリセットが送信され、即座に xlate が削除されます。このリセットによって、エンド ノードは即座に接続を解放し、TIME_WAIT 状態を回避します。対照的に、Multi-Session PAT では、PAT タイムアウトが使用されます(デフォルトでは 30 秒)。
ざっくり言うと、per-session PATではセッション終了時にPATの変換テーブルからポートやIPの変換情報が削除される為、1つのIPを使用して多くのセッションが張れます。
multi-session PATではセッション終了後にデフォルト30秒間、PATの変換テーブルに変換情報を保持します。
投稿2019/02/18 07:27
総合スコア1140
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/02/25 05:03