CiscoのASAシリーズで、現在のNATしている件数を調べるためのコマンド。コマンドは、Enableモードで。
show xlate countNATだけでなく、セッション数(コネクション数)を調べる場合は、下記のコマンド。
show conn countHTTP/3(QUIC)が使われ始めて、UDPのNATの数が増えた。ゲートウェイに使っている機器の負担もかなり増えている。HTTP/3って便利と思っていたけれど、こんなところに落とし穴があった。
UDPだから、終了がわからず、タイムアウトするまでファイアウォール上では、NATテーブル上に残りつづけるわけで、通信数が増えれば、その分使い終わったNATのセッションがゴミっぽく残って、リソースを使い果たすと。それを調べるには、コマンドをたたくのだろうな。
実行例
ciscoasa# show conn count
594 in use, 3455 most used
ciscoasa#
ciscoasa# show xlate count
448 in use, 4416 most usedまた、NATテーブルの使用数のピークを知りたい場合には、下記のコマンドでリソースを調べる。
show resource usageこのコマンドの実行結果の「Xlates」の「Peak」が過去の最大値だ。
実行例
ciscoasa# show resource usage
Resource Current Peak Limit Denied Context
Telnet 1 1 5 0 System
SSH Server 0 1 5 0 System
ASDM 0 1 30 0 System
Syslogs [rate] 17 13933 N/A 0 System
Conns 728 3455 100000 0 System
Xlates 564 4416 N/A 0 System
Hosts 299 787 N/A 0 System
Conns [rate] 8 536 N/A 0 System
Inspects [rate] 2 535 N/A 0 System
Routes 58 91 unlimited 0 System
ciscoasa#