Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

상태 링크에 전용 인터페이스(물리적, 이중화 또는 EtherChannel)를 사용할 수 있습니다. 상태 링

크로 사용된 EtherChannel의 경우, EtherChannel의 인터페이스만 사용됩니다. 해당 인터페이스

에 오류가 발생할 경우 EtherChannel의 다음 인터페이스가 사용됩니다.
다음 두 가지 방법 중 하나를 사용하여 전용 상태 링크를 연결합니다.

같은 네트워크 세그먼트(브로드캐스트 도메인 또는 VLAN)에 다른 디바이스가 없는 상태에서 

스위치를 ASA의 장애 조치 인터페이스로 사용합니다.

외부 스위치를 사용할 필요 없이 이더넷 케이블을 사용하여 어플라이언스를 직접 연결합니다.
유닛 간에 스위치를 사용하지 않으려는 경우 인터페이스에 오류가 발생하면 두 피어에서 링

크가 중단됩니다. 이 경우 인터페이스에 오류가 발생하고 링크가 중단된 결과를 초래한 유닛

이 어떤 것인지 쉽게 확인할 수 없으므로 문제 해결에 방해될 수 있습니다.
ASA

에서는 구리 이더넷 포트의 Auto-MDI/MDIX를 지원하므로 크로스오버 케이블 또는 다이

렉트 케이블을 사용할 수 있습니다. 다이렉트 케이블을 사용할 경우 인터페이스에서는 케이

블을 자동으로 감지하고 송/수신 쌍 중 하나를 MDIX로 교체합니다.

장거리 장애 조치를 사용할 경우 최적의 성능을 보장하려면 장애 조치 링크의 지연 시간은 10밀

리초 미만이어야 하고 250밀리초를 초과해서는 안 됩니다. 지연 시간이 10밀리초를 초과하는 경

우 장애 조치 메시지의 재전송으로 인해 일부 성능이 저하됩니다.

충분한 인터페이스가 없는 경우 장애 조치 링크를 공유해야 할 수 있습니다. 장애 조치 링크를 상

태 링크로 사용할 경우 제공되는 가장 빠른 이더넷 인터페이스를 사용해야 합니다. 해당 인터페이

스에 성능 문제가 발생할 경우 상태 링크에 별도의 전용 인터페이스를 지정하는 방법을 고려하십

시오.

데이터 인터페이스를 상태 링크와 공유할 경우 재생 공격에 취약해질 수 있습니다. 또한 대량의 

상태 저장 장애 조치 트래픽이 인터페이스에서 전송되어 해당 네트워크 세그먼트에 성능 문제가 

발생할 수 있습니다.
데이터 인터페이스를 상태 링크로 사용하는 방법은 단일 상황, 라우팅 모드에서만 지원됩니다.

장애 조치 링크 및 데이터 인터페이스가 다른 경로를 통해 이동하도록 설정하여 모든 인터페이스

에 동시 다발적으로 오류가 발생하는 가능성을 줄이는 것이 좋습니다. 장애 조치 링크가 중단될 

경우 ASA에서는 데이터 인터페이스를 사용하여 장애 조치가 필요한지 여부를 확인합니다. 그런 

다음 장애 조치 링크 상태가 복원될 때까지는 장애 조치 작업이 보류됩니다.
복원력이 뛰어난 장애 조치 네트워크를 설계하려면 다음 연결 시나리오를 참조하십시오.

단일 스위치 또는 스위치 집합을 사용하여 두 ASA 간의 장애 조치 및 데이터 인터페이스를 모두 

연결한 상태에서 스위치 또는 스위치 간 링크가 중단될 경우 두 ASA 모두 활성 상태가 됩니다. 따

라서 아래 그림에 표시된 다음 2가지 연결 방법은 권장되지 않습니다.