我们的 Cisco ASA 5515 有时会有数千个连接,其空闲时间 > 配置的连接超时。在许多情况下,连接显示为空闲状态超过 100 小时。这最终会导致 NAT/PAT 耗尽,我们需要手动关闭连接。“show conn detail”将显示大量连接,如下所示:
TCP Outside: XXX.XXX.XXX.XXX/443 Inside: YYY.YYY.YYY.YYY/#####, flags xA , idle 46D18h, uptime 146D4h, timeout -, bytes 0
但是如果我这样做show running-config timeout,似乎所有超时都与 ASA 默认值相同:
命令结果:show running-config timeout
timeout xlate 3:00:00
timeout pat-xlate 0:01:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
为什么我的连接显示超时-?我认为这表明这些连接永远不会超时。我们只在 TCP 连接中看到此问题 - UDP 似乎超时并正确关闭。
答案1
TCP 是两个主机之间实际的双向对话,并且具有固有的超时。它具有特定的事件序列来创建和结束对话。ASA 知道这些事情。
另一方面,UDP 是无连接的,并且它需要配置超时,以便 ASA 可以合理猜测对话何时完成。