Cisco Cisco ASA 5585-X with No Payload Encryption Prospecto
5-7
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
5
장 투명 또는 라우팅 방화벽 모드
방화벽 모드에 대한 지침
방화벽 모드에 대한 지침
상황 모드 지침
상황당 방화벽 모드를 설정합니다.
투명 방화벽 지침
•
투명 방화벽 모드의 경우 관리 인터페이스에서는 MAC 주소 테이블을 데이터 인터페이스와 같
은 방식으로 업데이트합니다. 따라서 스위치 포트 중 하나를 라우팅 포트로 구성하지 않는 한 관
리 인터페이스와 데이터 인터페이스 두 가지 모두를 같은 스위치에 연결해서는 안 됩니다(기본
적으로 Catalyst 스위치에서는 모든 VLAN 스위치 포트에 대한 MAC 주소를 공유함). 그렇지 않
을 경우 트래픽이 물리적으로 연결된 스위치에서 관리 인터페이스에 전달되면 ASA에서는 데이
터 인터페이스 대신
관리 인터페이스를 사용하여 스위치에 액세스하도록 액세스 MAC 주소 테
이블을 업데이트합니다. 이 작업으로 인해 일시적인 트래픽 중단이 발생합니다. ASA에서는 보
안상의 이유로 인해 스위치에서 데이터 인터페이스로 전달되는 패킷의 MAC 주소 테이블을 최
소 30초간 다시 업데이트하지 않습니다.
•
직접 연결된 각 네트워크는 같은 서브넷에 있어야 합니다.
•
브리지 그룹 관리 IP 주소를 연결된 디바이스의 기본 게이트웨이로 지정하지 마십시오. 디바
이스의 경우 ASA의 다른 쪽에 있는 라우터를 기본 게이트웨이로 지정해야 합니다.
•
관리 트래픽의 반환 경로를 제공하는 데 필요한 투명 방화벽의 기본 경로는 단일한 브리지 그룹
네트워크에서 발생하는 관리 트래픽에만 적용됩니다. 그 이유는 기본 경로에서 브리지 그룹의
인터페이스 및 브리지 그룹 네트워크의 라우터 IP 주소를 지정하기 때문이며, 하나의 기본 경로
만 정의할 수 있습니다. 관리 트래픽이 여러 개의 브리지 그룹 네트워크에서 발생할 경우, 관리
트래픽이 발생할 것으로 예상되는 네트워크를 식별하는 고정 경로를 지정해야 합니다.
를 참조하십시오.
IPv6
지침
IPv6
를 지원합니다.
추가 지침 및 제한사항
•
방화벽 모드를 변경할 경우, 다수의 명령이 양쪽 모드에서 모두 지원되지 않으므로 ASA에서
는 실행 중인 구성을 지웁니다. 시작 구성은 변경되지 않고 유지됩니다. 저장하지 않고 다시
로드할 경우 시작 구성이 로드되며 모드가 원래 설정으로 다시 전환됩니다. 구성 파일에 대한
자세한 내용은
를 참조하십시오.
•
firewall transparent
명령으로 모드를 변경하는 텍스트 구성을 ASA에 다운로드할 경우, 구성
의 맨 위에 해당 명령을 입력해야 합니다. ASA에서는 이 명령을 읽는 즉시 모드를 변경한 다
음 다운로드된 구성을 계속 읽습니다. 명령이 구성의 뒤에 표시될 경우 ASA에서는 구성의 앞
를 참조하십시오.