Наш Cisco ASA 5515 иногда имеет тысячи подключений с временем простоя> настроенного времени ожидания подключения. Во многих случаях соединения отображаются как неактивные более 100 часов. Это в конечном итоге приводит к исчерпанию возможностей NAT / PAT, и нам нужно закрывать соединения вручную. "show conn detail" отобразит множество таких соединений:
TCP Outside: XXX.XXX.XXX.XXX/443 Inside: YYY.YYY.YYY.YYY/#####, flags xA , idle 46D18h, uptime 146D4h, timeout -, bytes 0
Однако если я сделаю show running-config timeout, похоже, что все таймауты не изменились по сравнению со значениями по умолчанию ASA:
Результат команды: show running-config timeout
timeout xlate 3:00:00
timeout pat-xlate 0:01:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
Почему у моих подключений таймаут -? Я предполагаю, что это означает, что время ожидания этих подключений никогда не истечет. Мы видим эту проблему только для TCP-соединений - UDP кажется, что время ожидания истекает и закрывается правильно.
TCP - это реальный двусторонний диалог между двумя хостами, которому присущ тайм-аут. Он имеет определенную последовательность событий для создания и завершения разговора. ASA знает о таких вещах.
С другой стороны, UDP не требует установления соединения и требует настроенного тайм-аута, чтобы ASA мог сделать разумное предположение относительно того, когда будет завершен диалог.