Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

네트워크 액세스용 AAA는 인증, 권한 부여, 어카운팅이라는 세 가지 구성 요소로 이루어져 있습

니다. 인증 및 어카운팅은 클러스터 슬레이브에 대한 데이터 구조의 복제를 통해 클러스터링 마스

터에서 중앙 집중식 기능으로 구현됩니다. 마스터 유닛이 선택된 경우, 새 마스터에서는 설정된 

인증 완료 사용자 및 관련 인증 작업을 중단 없이 계속 가동하는 데 필요한 모든 정보를 보유하게 

됩니다. 사용자 인증의 유휴 및 절대 시간 제한은 마스터 유닛이 변경될 경우 유지됩니다.
어카운팅은 클러스터에서 분산된 기능으로 구현됩니다. 어카운팅은 흐름 하나의 단위로 수행되

므로, 흐름에 대한 어카운팅이 구성되면 흐름을 소유한 클러스터에서는 어카운팅 시작 및 중지 메

시지를 AAA 서버에 보냅니다.

Syslog — 

클러스터의 각 유닛에서는 고유한 syslog 메시지를 생성합니다. 각 유닛에서 syslog 

메시지 헤더 필드에 동일하거나 다른 디바이스 ID를 사용하도록 로깅을 구성할 수 있습니다. 

예를 들어, 호스트 이름 구성은 클러스터의 모든 유닛에 의해 복제 및 공유됩니다. 호스트 이

름을 디바이스 ID로 사용하도록 로깅을 구성할 경우, 모든 유닛에서는 단일한 유닛에서 생성

된 것처럼 보이는 syslog 메시지를 생성합니다. 클러스터 부트스트랩 구성에 할당된 로컬-유

닛 이름을 디바이스 ID로 사용하도록 로깅을 구성할 경우, syslog 메시지는 다른 유닛에서 생

성된 것처럼 보입니다.

NetFlow — 

클러스터의 각 유닛에는 고유한 NetFlow 스트림이 있습니다. NetFlow 컬렉터에

서는 각각의 ASA를 별도의 NetFlow 내보내기 디바이스로만 처리할 수 있습니다.

SNMP 

에이전트에서는 로컬 IP 주소로 각각의 개별 ASA를 폴링합니다. 클러스터의 통합 데이터

는 폴링할 수 없습니다.
SNMP 

폴링에는 기본 클러스터 IP 주소가 아닌 로컬 주소를 항상 사용해야 합니다. SNMP 에이

전트에서 기본 클러스터 IP 주소를 폴링하면서 새 마스터가 선택된 경우, 새 마스터 유닛에 대한 

폴링이 이루어지지 않습니다.

Site-Site VPN

은 중앙 집중식 기능이며, 마스터 유닛에서만 VPN 연결을 지원합니다.

원격 액세스 VPN은 클러스터링으로 지원되지 않습니다.

VPN 

기능은 마스터 유닛에만 제한되며 클러스터 고가용성 기능을 사용하지 않습니다. 마스터 유

닛에 오류가 발생할 경우, 모든 기존 VPN 연결이 손실되며 VPN 사용자에게는 서비스 중단 메시

지가 표시됩니다. 새 마스터가 선택되면 VPN 연결을 다시 설정해야 합니다. 
VPN 

터널을 스팬 EtherChannel 주소에 연결할 경우 연결이 마스터 유닛에 자동으로 전달됩니다. 

PBR 

또는 ECMP를 사용할 경우 개별 인터페이스에 연결하려면 항상 로컬 주소가 아닌 기본 클러스

터 IP 주소에 연결해야 합니다.
VPN 

관련 키 및 인증서는 모든 유닛에 복제됩니다.