ASA 5550 显示 perfmon“TCP 拦截中的有效 CONNS 速率”含义

网络工程 思科-ASA
2022-02-10 14:52:49

所以我正在查看我的 ASA(5550、9.0 软件)的“show perfmon”输出,并对“TCP INTERCEPT 中的 VALID CONNS RATE”输出感到困惑:

primary-int# sh perfmon    

PERFMON STATS:                     Current      Average
Xlates                              111/s          0/s
Connections                         155/s          0/s
TCP Conns                           106/s          0/s
UDP Conns                            45/s          0/s
URL Access                           66/s          0/s
URL Server Req                       41/s          0/s
TCP Fixup                          3761/s          0/s
TCP Intercept Established Conns       0/s          0/s
TCP Intercept Attempts                0/s          0/s
TCP Embryonic Conns Timeout           3/s          0/s
HTTP Fixup                         3761/s          0/s
FTP Fixup                             9/s          0/s
AAA Authen                            0/s          0/s
AAA Author                            0/s          0/s
AAA Account                           0/s          0/s

VALID CONNS RATE in TCP INTERCEPT:    Current      Average
                                       N/A         5027.59%

我无法真正弄清楚这意味着什么,也无法弄清楚为什么它的数字如此之高......尽管我怀疑后者是由于这是 HA 对中的故障转移 ASA,它已通电并处于待机状态数月。当然,我没有机会在初选时看到这些数字。:(

那么,两部分问题: “TCP INTERCEPT 中的 VALID CONNS RATE”是什么意思?为什么平均值如此之高

1个回答

“TCP INTERCEPT 中的 VALID CONNS RATE”是什么意思?

TCP 拦截是一种防火墙功能(ASA 或 IOS),它充当所有 TCP 连接的内联代理,而不仅仅是检查和通过(可能会重写 NAT)。这是一种同步洪水保护的方法。有效连接率”是启用此功能时形成的有效(完全完成的 tcp 三向握手)连接的速率。

为什么平均水平如此之高?

漏洞?我假设您没有启用 tcp-intercept 功能,因此它使用无意义的数字和/或试图除以零。

[另请参阅:ASA 设备上的 TCP 拦截功能]

(PS:我不喜欢 Cisco 的博客文档。)

其它你可能感兴趣的问题
上一篇往返时间/传输时间告诉我们什么? 下一篇以太网供电协商是什么意思?