Cisco Cisco ASA 5515-X Adaptive Security Appliance Prospecto
19-3
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
19
장 라우팅 개요
ASA
내에서 라우팅의 작동 방식
연결 상태 대 거리 벡터
링크 상태 알고리즘(최단 경로 우선 알고리즘)은 네트워크 사이에 있는 모든 노드로 라우팅 정보
를 전달합니다. 하지만 각 라우터는 자신의 링크 상태를 설명하는 라우팅 테이블의 일부만 전송합
니다. 링크 상태 알고리즘에서는 각 라우터가 라우팅 테이블에서 전체 네트워크의 상태를 그립니
다. 거리 벡터 알고리즘(Bellman-Ford 알고리즘이라고도 함)이 각 라우터를 호출하여 라우팅 테
이블의 전체 또는 일부를 인접 디바이스에 한해 전송하도록 합니다. 기본적으로 링크 상태 알고리
즘은 모든 곳으로 소규모 업데이트를 전송하는 반면 거리 벡터 알고리즘은 대규모 업데이트를 인
접 디바이스로만 보냅니다. 거리 벡터 알고리즘은 인접 디바이스에 대해서만 알고 있습니다. 일반
적으로 링크 상태 알고리즘은 OSPF 라우팅 프로토콜과 함께 사용됩니다.
ASA
내에서 라우팅의 작동 방식
ASA
는 라우팅 결정을 위해 라우팅 테이블과 XLATE 테이블을 모두 사용합니다. 대상 IP 변환 트
래픽, 즉 변환되지 않은 트래픽을 처리하기 위해 ASA는 기존 XLATE 또는 고정 변환을 검색하여
이그레스 인터페이스를 선택합니다.
•
•
•
이그레스 인터페이스 선택 프로세스
선택 프로세스는 다음 단계를 따릅니다.
1.
XLATE
를 변환하는 대상 IP가 이미 존재하는 경우 패킷에 대한 이그레스 인터페이스는 라우
팅 테이블이 아니라 XLATE 테이블에서 결정됩니다.
2.
XLATE
를 변환하는 대상 IP가 존재하지 않지만 일치하는 고정 변환이 존재하는 경우 이그레
스 인터페이스는 고정 NAT 규칙으로부터 결정되고 XLATE이 생성되며 라우팅 테이블은 사용
되지 않습니다.
3.
XLATE
를 변환하는 대상 IP가 존재하지 않고 일치하는 고정 변환도 없는 경우 패킷은 대상 IP
변환이 되지 않습니다. ASA가 이그레스 인터페이스 선택 경로를 조회함으로써 이 패킷을 처
리한 후 소스 IP 변환이 수행됩니다(필요한 경우).
일반 동적 아웃바운드 NAT의 경우 초기 발신 패킷이 경로 테이블을 사용한 다음 XLATE를 생성
일반 동적 아웃바운드 NAT의 경우 초기 발신 패킷이 경로 테이블을 사용한 다음 XLATE를 생성
함으로써 라우팅됩니다. 수신 반환 패킷은 기존 XLATE만 사용하여 전달됩니다. 고정 NAT의 경
우 대상 변환된 수신 패킷은 항상 기존 XLATE 또는 고정 변환 규칙을 사용하여 전달됩니다.
차기 홉 선택 프로세스
이전에 설명한 방법을 사용하여 이그레스 인터페이스를 선택한 후 이전에 선택한 이그레스 인터
페이스에 속하는 적당한 차기 홉을 찾기 위한 추가 경로 조회가 실시됩니다. 선택한 인터페이스에
속하는 라우팅 테이블에 경로가 없는 경우 다른 이그레스 인터페이스에 속하는 대상 네트워크로
의 다른 경로가 있는 경우에도 패킷이 드롭되고 수준 6 syslog 메시지 110001(호스트 경로 없음)
이 생성됩니다. 선택한 이그레스 인터페이스에 속하는 경로가 발견되면 패킷이 대응 차기 홉으로
전달됩니다.
단일 이그레스 인터페이스를 사용하여 여러 차기 홉을 사용할 수 있는 경우에만 ASA의 로드 공유
단일 이그레스 인터페이스를 사용하여 여러 차기 홉을 사용할 수 있는 경우에만 ASA의 로드 공유
가 가능합니다. 로드 공유로 여러 이그레스 인터페이스를 공유할 수 없습니다.