Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

다음 예는 라우터 내부 및 외부(North-South 삽입) 간에 위치하는 두 개의 데이터 센터 각각에 있

는 두 개의 ASA 클러스터 멤버를 보여 줍니다. 클러스터 멤버는 DCI를 통해 클러스터 제어 링크

로 연결됩니다. 각 사이트의 클러스터 멤버는 내부 및 외부용 스팬 EtherChannel을 사용하여 로

컬 스위치에 연결됩니다. 각 ASA EtherChannel은 클러스터의 모든 ASA 전반에 걸쳐 있습니다.
각 데이터 센터 내부 및 외부 라우터는 투명 ASA를 통해 전달되는 OSPF를 사용합니다. MAC와

는 달리 라우터 IP는 모든 라우터에서 고유합니다. DCI를 통해 비용이 높은 경로를 할당하면 특정 

사이트의 모든 ASA 클러스터 멤버가 가동 중지되지 않는 한 각 데이터 센터 내에서 트래픽이 유

지됩니다. ASA를 통과하는 비용이 낮은 경로의 경우, 클러스터의 각 사이트에 있는 같은 브리지 

그룹을 거쳐 비대칭 연결을 유지해야 합니다. 어느 한 사이트의 모든 클러스터 멤버에 오류가 발

생할 경우, 각 라우터의 트래픽은 DCI를 통해 다른 사이트의 ASA 클러스터 멤버로 이동합니다.

각 사이트의 스위치 구현 과정에는 다음 사항이 포함될 수 있습니다.

사이트 간 VSS/vPC — 이 시나리오의 경우 데이터 센터 1에 하나의 스위치를 설치하고, 나머지 

하나는 데이터 센터 2에 설치합니다. 각 데이터 센터의 ASA 클러스터 유닛에 사용할 수 있는 한 

가지 옵션은 로컬 스위치에만 연결하는 반면, VSS/vPC 트래픽이 DCI를 통해 통과하도록 하는 

것입니다. 이 경우 연결의 대부분은 각 데이터 센터에 로컬로 저장됩니다. DCI에서 추가 트래픽

을 처리할 수 있는 경우, 선택에 따라 각 ASA 유닛을 DCI 전반의 스위치에 연결할 수 있습니다. 

이 경우 트래픽이 데이터 센터 전반에 분산되므로 DCI의 성능이 매우 뛰어나야 합니다.

각 사이트의 로컬 VSS/vPC — 스위치 이중화를 개선하기 위해 각 사이트에 별도의 VSS/vPC 

쌍을 2개씩 설치할 수 있습니다. 이 경우 ASA의 스팬 EtherChannel은 로컬 스위치에만 연결

된 데이터 센터 1 ASA, 그리고 이러한 로컬 스위치에 연결된 데이터 센터 2 ASA로 이루어져 

있으나, 근본적으로 스팬 EtherChannel은 "분리"되어 있습니다. 각 로컬 VSS/vPC에서는 스

팬 EtherChannel을 사이트-로컬 EtherChannel로 간주합니다.

Data Center 1

ASA1

ASA2

Cluster
Control

Cluster
Control

Internet

Outside

Router

Inside

Data Center 2

ASA3

ASA4

Router

Router

Data Center

Interconnect

Outside

Inside

Router

Spanned

EtherChannel

Spanned

EtherChannel

371

130