Cisco 维护着许多文档，您需要做的就是搜索。例如，ASA TCP 连接标志（连接建立和拆除）：

ASA TCP 连接标志

当您通过自适应安全设备 (ASA) 对 TCP 连接进行故障排除时，为每个 TCP 连接显示的连接标志提供了大量有关到 ASA 的 TCP 连接状态的信息。此信息可用于对 ASA 的问题以及网络中其他地方的问题进行故障排除。

这是show conn protocol tcp命令的输出，它显示了通过 ASA 的所有 TCP 连接的状态。也可以使用show conn命令查看这些连接。

ASA# show conn protocol tcp
101 in use, 5589 most used
TCP outside 10.23.232.59:5223 inside 192.168.1.3:52419, idle 0:00:11, bytes 0, flags saA
TCP outside 192.168.3.5:80 dmz 172.16.103.221:57646, idle 0:00:29, bytes 2176, flags UIO
TCP outside 10.23.232.217:5223 inside 192.168.1.3:52425, idle 0:00:10, bytes 0, flags saA
TCP outside 10.23.232.217:443 inside 192.168.1.3:52427, idle 0:01:02, bytes 4504, flags UIO
TCP outside 10.23.232.57:5223 inside 192.168.1.3:52412, idle 0:00:23, bytes 0, flags saA
TCP outside 10.23.232.116:5223 inside 192.168.1.3:52408, idle 0:00:23, bytes 0, flags saA
TCP outside 10.23.232.60:5223 inside 192.168.1.3:52413, idle 0:00:23, bytes 0, flags saA
TCP outside 10.23.232.96:5223 inside 192.168.1.3:52421, idle 0:00:11, bytes 0, flags saA
TCP outside 10.23.232.190:5223 inside 192.168.1.3:52424, idle 0:00:10, bytes 0, flags saA

下图显示了 TCP 状态机不同阶段的 ASA TCP 连接标志。可以使用 ASA 上的 show conn 命令查看连接标志。

此外，为了查看所有可能的连接标志，请在命令行上发出 show connection detail 命令：

ASA5515-X# show conn detail
35 in use, 199 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
       B - initial SYN from outside, b - TCP state-bypass or nailed,
       C - CTIQBE media, c - cluster centralized,
       D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN,
       G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
       i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
       k - Skinny media, M - SMTP data, m - SIP media, n - GUP
       O - outbound data, P - inside back connection, p - Phone-proxy TFTP connection,
       q - SQL*Net data, R - outside acknowledged FIN,
       R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,
       s - awaiting outside SYN, T - SIP, t - SIP transient, U - up,
       V - VPN orphan, W - WAAS,
       X - inspected by service module,
       x - per session, Y - director stub flow, y - backup stub flow,
       Z - Scansafe redirection, z - forwarding stub flow

要了解标志代表什么，您需要了解 TCP 握手和连接。如果您了解有关 TCP 的这一点，那么就很容易解释连接的状态。例如，UB连接的标志意味着该连接已收到入站 ACK。

当我们查看具有不同接口而不是仅内部/外部的“show conn”输出时会很棘手，尤其是输出中两个接口的顺序。

下图来自 Cisco 文档ASA TCP Connection Flags

1. 我想用它来解释以下连接：

   TCP outside 10.23.232.217:443 inside 192.168.1.3:52427, idle 0:01:02, bytes 4504, flags UIO

   我们看到：

   • 图片的右侧（Server/Outside）放置在“show conn”输出的左侧。
   • Conn Flags UIO意味着： 三向握手 ( U ) 完成并且内部主机 (192.168.1.3) 发起了流量（我们知道这是因为根本没有标志 B）。内部主机 (192.168.1.3) 在 TCP 端口 443 ( IO )上从外部主机 (10.23.232.217) 接收和发送数据
   • 此外，通过TCP outside 10.23.232.217:443 inside 192.168.1.3:52427只读方式，我们还可以通过查看其 TCP 端口号来推断谁发起了流量。在这种情况下，内部主机 192.168.1.3 在 TCP 端口 443 上向外部主机 10.23.232.217 发起了 https 流量。

2. 现在回到你的问题，我们应该把上面的图片和Conn Flags和ASA接口放在一起：

   • Conn No.1 TCP ext_dmz 10.5.8.40:33882 int_dmz 10.5.16.39:9090, idle 0:06:17, bytes 0, flags UB：ext_dmz 主机 10.5.8.40（图片右侧）在 TCP 端口 9090 ( UB )上向 int_dmz 主机 10.5.16.39（图片左侧）发起流量，但没有数据发送/接收那个时候。
   • Conn No.2 TCP ext_dmz 10.5.8.40:60713 int_dmz 10.5.16.39:9090, idle 0:00:03, bytes 561603, flags UIOB：类似于上面的连接（UB），但是现在我们看到ext_dmz主机10.5.8.40向int_dmz 10.5.16.39发送数据和从int_dmz 10.5.16.39接收数据（IO）
   • Conn No.3 TCP ext_dmz 10.5.8.39:5432 int_dmz 10.5.16.40:53600, idle 0:00:06, bytes 44857, flags UIO：int_dmz 主机 10.5.16.40（图片左侧）在 TCP 端口 5432 上发起到 ext_dmz 主机 10.5.8.39（图片右侧）的流量（根本没有标志 B并且由于TCP 端口号）。int_dmz 主机 10.5.16.40 从 ext_dmz 主机 10.5.8.39 接收和发送数据。
   • Conn No.4 TCP outside 10.5.255.3:57229 inside 65.194.212.101:22, idle 0:00:45, bytes 395449, flags UIOB：外部主机 10.5.255.3（图片右侧）在 TCP 端口 22（UB）和外部主机 10.5上向内部主机/IP 65.194.212.101（图片左侧）发起流量。 255.3 向 ( IO )发送数据和从 ( IO )接收数据

此外，Conn Flags U是良好（向上）连接的信号。您可以使用以下命令检查所有 UP 连接show conn state up

我希望它有用。