Cisco Cisco ASA 5525-X Adaptive Security Appliance Prospecto
15-7
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
15
장 트래픽 영역
트래픽 영역에 대한 사전 요건
내부 영역 트래픽
트래픽이 하나의 인터페이스에
들어오고 동일한 영역에 있는 다른 인터페이스에서 나가도록 허
용하려면 same-security permit intra-interface 명령을 활성화합니다. 이렇게 하면 트래픽이 동
일한 인터페이스에 들어오고 나갈 수 있으며 same-security permit inter-interface 명령에서 동
일한 보안 인터페이스 간에 트래픽을 허용할 수 있습니다. 그렇지 않으면, 흐름은 동일한 영역에
있는 2개의 인터페이스 간에 라우팅될 수 없습니다.
to-the-box
및 from-the-box 트래픽
•
영역에 관리 전용 또는 관리 액세스 인터페이스를 추가할 수 없습니다.
•
영역에 있는 일반 인터페이스의 관리 트래픽인 경우, 기존 흐름에서만 비대칭 라우팅이 지원
되며 ECMP 지원은 없습니다.
•
1
개의 영역 인터페이스에서만 관리 서비스를 구성할 수 있지만, 비대칭 라우팅 지원을 활용하
려면 모든 인터페이스에서 이 기능을 구성해야 합니다. 구성이 모든 인터페이스에서 병렬인
경우에도 ECMP는 지원되지 않습니다.
•
ASA
는 영역에서 다음 to-the-box 및 from-the-box 서비스를 지원합니다.
–
텔넷
–
SSH
–
HTTPS
–
SNMP
–
Syslog
–
BGP
영역에서 중복된 IP 주소
영역이 설정되지 않은 인터페이스의 경우, ASA는 NAT를 제대로 구성하나 경우에 한해 인터페이
스에서 중복된 IP 주소 네트워크를 지원합니다. 그러나, 중복 네트워크는 동일한 영역에 있는 인
터페이스에서 지원되지 않습니다.
트래픽 영역에 대한 사전 요건
•
이름, IP 주소, 보안 수준 등 모든 인터페이스 파라미터를 구성합니다. 보안 수준이 영역에 있
는 모든 인터페이스와 일치해야 합니다. 대역폭과 기타 Layer 2 속성의 기준에서 인터페이스
와 마찬가지로 그룹화 계획을 세워야 합니다.
•
모든 영역 인터페이스에서 일치하도록 다음 서비스를 구성하십시오.
–
액세스 규칙 — 모든 영역 멤버 인터페이스에 동일한 액세스 규칙을 적용하거나 전역 액
세스 규칙을 사용합니다.
예를 들면 다음과 같습니다 .
예를 들면 다음과 같습니다 .
access-list ZONE1 extended permit tcp any host WEBSERVER1 eq 80
access-group ZONE1 in interface outside1
access-group ZONE1 in interface outside2
access-group ZONE1 in interface outside3