我们的思科ASA 5515有时会有数千个连接,其空闲时间>configuration的连接超时。 在很多情况下,连接显示空闲100多个小时。 这最终导致NAT / PAT耗尽,我们需要手动closures连接。 “显示连接详细信息”将显示如此连接吨:
TCP Outside: XXX.XXX.XXX.XXX/443 Inside: YYY.YYY.YYY.YYY/#####, flags xA , idle 46D18h, uptime 146D4h, timeout -, bytes 0 但是,如果我show running-config timeout ,似乎所有超时从ASA默认值保持不变:
命令的结果: show running-config timeout
timeout xlate 3:00:00 timeout pat-xlate 0:01:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00
为什么我的连接显示超时- ? 我认为这表明这些连接永远不会超时。 我们只看到这个问题的TCP连接 – UDP似乎超时并正确closures。
TCP是两台主机之间实际的双向对话,它有一个固有的超时。 它具有创build和结束对话的特定事件序列。 ASA知道这样的事情。
另一方面,UDP是无连接的,它需要一个configuration的超时时间,以便ASA可以合理地猜测对话何时完成。