Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

다음 예에는 새 연결을 설정하는 방법이 나와 있습니다.

SYN 

패킷은 클라이언트에서 시작되고 ASA에 전달(로드 밸런싱 방법을 기준으로)되며, 이 유

닛이 소유자 유닛이 됩니다. 소유자 유닛에서는 흐름을 생성하고, 소유자 정보를 SYN 쿠키로 

인코딩하며, 패킷을 서버에 전달합니다.

SYN-ACK 

패킷은 서버에서 시작되고 다른 ASA에 전달(로드 밸런싱 방법을 기준으로)됩니다. 

이 ASA는 전달자 유닛입니다.

전달자 유닛에서는 연결을 소유하지 않으므로 SYN 쿠키에서 소유자 정보를 디코딩하고, 소

유자에 대한 전달 흐름을 생성하며, SYN-ACK를 소유자 유닛에 전달합니다.

소유자 유닛에서는 관리자 유닛에 상태 업데이트를 보내고, SYN-ACK를 클라이언트에 전달

합니다.

관리자 유닛에서는 소유자 유닛을 통해 상태 업데이트를 수신하고, 소유자에 대한 흐름을 생

성하며, TCP 상태 정보는 물론 소유자를 기록합니다. 관리자 유닛은 연결의 백업 소유자 역

할을 수행합니다.

전달자 유닛에 전달된 모든 후속 패킷은 소유자 유닛에 전달됩니다.

패킷이 추가 유닛에 전달된 경우, 소유자 유닛에 관리자를 쿼리하고 흐름을 설정합니다.

흐름 결과의 상태가 변경되면 소유자 유닛과 관리자 유닛의 상태도 업데이트됩니다.

업스트림 또는 다운스트림 라우터의 로드 밸런싱 기능을 사용하는 도중 흐름이 균일하게 분산되

지 않을 경우, 오버로드된 유닛에서 새 TCP 흐름을 다른 유닛에 리디렉션하도록 구성할 수 있습

니다. 기존 흐름은 다른 유닛으로 이동되지 않습니다.

Client

SYN/ACK

1. SYN

1. SYN

2. SYN/ACK

4. State

update

3. SYN/ACK

Director

ASA Cluster

Server

Owner

Forwarder

After step 4, all
remaining packets
are forwarded
directly to the owner.

333480

Inside

Outside