Cisco Cisco ASA 5580 Adaptive Security Appliance Dépliant
4-124
思科 ASA 系列命令参考,S 命令
第 4 章 show bgp 至 show cpu 命令
show conn
注
对于使用
DNS 服务器的连接,show conn 命令输出中的 IP address of DNS server 可替换连接的源
端口。
只要多个
DNS 会话在相同的两个主机之间,且会话具有相同的 5 元组(源 / 目标 IP 地址、源 / 目
标端口和协议),就为这些会话创建一个连接。
app_id
跟踪 DNS 标识,且每个 app_id 的空闲计
时器分别运行。
由于
app_id 分别到期,合法的 DNS 响应只能在有限时间段内通过 ASA,且不存在任何资源累
积。但是,输入
show conn 命令时,您会看到新的 DNS 会话正在重置的 DNS 连接的空闲计时
器。这由共享
DNS 连接的性质和设计用意决定。
注
当在
timeout conn 命令定义的非活动时间(默认情况下为 1:00:00)内不存在任何 TCP 流量时,
连接会关闭,且不再显示相应的连接标志条目。
如果局域网至局域网
/ 网络扩展模式隧道丢弃且不会复原,则可能会存在许多孤立的隧道流。这
些流不因下行的隧道而中断,但所有尝试流过它们的数据都会丢弃。
show conn
命令输出展示这
些具有
V 标志的孤立的流。
当以下
TCP 连接方向性标志应用于相同安全接口之间的连接时(请参阅 same-security permit 命
令),标志中的方向是不相关的,因为对于相同的安全接口,不存在 “ 内部 ” 或 “ 外部 ” 之
分。由于
分。由于
ASA 必须将这些标志用于相同的安全连接,ASA 可根据其他连接特征选择一个标志而
非另一个标志(例如,选择
f 而非 F),但您应忽略选择的方向性。
•
B - 从外部的初次 SYN
•
a - 等待外部 ACK 以进行 SYN
•
A - 等待内部 ACK 以进行 SYN
•
f - 内部 FIN
•
F - 外部 FIN
•
s - 等待外部 SYN
•
S - 等待内部 SYN
要显示特定连接的信息,请包括
security-group 关键字并为连接的源和目标指定安全组表值或安
全组名称。
ASA 显示与特定安全组表值或安全组名称匹配的连接。
指定
security-group 关键字,而不指定源和目标安全组表值或源和目标安全组名称时,ASA 显示
所有
SXP 连接的数据。
当安全组名称未知时,
ASA 以 security_group_name (SGT_value) 格式显示连接数据或仅显示为
SGT_value。
注
由于末节连接不通过慢路径,安全组数据对于末节连接不可用。末节连接仅保留将数据包转发给
连接的所有者的必要信息。
连接的所有者的必要信息。
您可以指定一个安全组名称以显示集群中的所有连接;例如,以下示例展示与集群中的所有设备
的安全组
的安全组
mktg 匹配的连接:
ciscoasa# show cluster conn security-group name mktg