Cisco Cisco ASA 5512-X Adaptive Security Appliance Prospecto
16-15
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
16
장 기본 설정
ASP(
가속화된 보안 경로) 성능 및 동작 모니터링
ASP(
가속화된 보안 경로) 성능 및 동작 모니터링
ASP
는 정책과 구성을 실행에 옮기는 구현 계층입니다. Cisco Technical Assistance Center와 문
제를 해결할 때가 아니면 직접적인 연관성은 없습니다. 그러나 몇 가지 성능 및 안정성 관련 동작
은 조정할 수 있습니다.
•
•
규칙 엔진 트랜잭션 커밋 모델 선택
기본적으로 규칙 기반 정책(예: 액세스 규칙)을 바꾸면 그 변경사항이 즉시 적용됩니다. 하지만 이
러한 신속한 적용은 성능에 약간 영향을 미칩니다. 이 성능 문제는 초당 연결 수가 많은 환경에서
매우 큰 규칙 목록을 사용할 때 더욱 두드러집니다. 예를 들면, ASA에서 초당 18,000건의 연결을
처리하는 동안 25,000개의 규칙이 포함된 정책을 변경하는 경우입니다.
규칙 엔진이 규칙 조회 속도를 높이고자 규칙을 컴파일하면서 성능에 영향을 줍니다. 기본적으로
규칙 엔진이 규칙 조회 속도를 높이고자 규칙을 컴파일하면서 성능에 영향을 줍니다. 기본적으로
이 시스템은 연결 시도를 평가할 때 새로운 규칙을 적용할 수 있도록 컴파일되지 않은 규칙도 검
색합니다. 규칙이 컴파일되지 않았으므로 검색 시간이 늘어납니다.
규칙 엔진에서 규칙 변경을 구현할 때 트랜잭션 모델을 사용함으로써 새 규칙이 컴파일되어 사용
규칙 엔진에서 규칙 변경을 구현할 때 트랜잭션 모델을 사용함으로써 새 규칙이 컴파일되어 사용
가능해질 때까지 기존 규칙을 계속 사용하도록 위 동작을 변경할 수 있습니다. 트랜잭션 모델을
사용하면 규칙 컴파일 과정에서 성능이 저하되지 않습니다. 다음 표에서 동작의 차이점을 확인할
수 있습니다.
트랜잭션 모델의 또 다른 이점은 인터페이스에서 ACL을 대체할 때 기존 ACL을 삭제하는 시점과
새 ACL을 적용하는 시점 사이에 공백이 없다는 것입니다. 이 기능 덕분에 작업 과정에서 적합한
연결이 드롭될 가능성이 줄어듭니다.
정보
규칙 유형에 대해 트랜잭션 모델을 활성화하면 컴파일의 시작과 끝을 알리는 syslog가 생성됩니다.
이 syslog의 번호는 780001~780004입니다.
규칙 엔진을 위해 트랜잭션 커밋 모델을 활성화하려면 다음 명령을 사용합니다.
asp rule-engine transactional-commit
option
옵션:
•
access-group—
전역적으로 또는 인터페이스에 적용되는 액세스 규칙
•
nat—
네트워크 주소 변환 규칙
예:
ciscoasa(config)# asp rule-engine transactional-commit access-group
모델
컴파일 전
컴파일 도중
컴파일 후
기본
기존 규칙에 일치합니다. 새 규칙에 일치합니다.
(
초당 연결 수 감소)
새 규칙에 일치합니다.
트랜잭션
기존 규칙에 일치합니다. 기존 규칙에 일치합니다.
(
초당 연결 수 변동 없음)
새 규칙에 일치합니다.