Cisco Cisco ASA 5555-X Adaptive Security Appliance - No Payload Encryption Prospecto
8-7
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
8
장 ASA 클러스터
ASA
클러스터링 정보
관련 주제
•
•
클러스터 제어 링크 크기 조정
클러스터 제어 링크의 크기를 각 멤버의 예상 처리량에 맞게 조정해야 합니다. 예를 들어, 클러스
터에 있는 유닛당 최대 14Gbps를 전달할 수 있는 ASA 5585-X(SSP-60 포함)를 보유한 경우, 최
소 14Gbps를 전달할 수 있는 클러스터 제어 링크에 대한 인터페이스 또한 할당해야 합니다. 이 경
우 클러스터 제어 링크의 EtherChannel에 10기가비트 이더넷 인터페이스 2개를 사용할 수 있으
며, 데이터 링크에 필요한 경우 나머지 인터페이스를 사용합니다.
클러스터 제어 링크 트래픽은 주로 상태 업데이트 및 전달된 패킷으로 구성되어 있습니다. 클러스
클러스터 제어 링크 트래픽은 주로 상태 업데이트 및 전달된 패킷으로 구성되어 있습니다. 클러스
터 제어 링크의 트래픽 양은 언제든지 달라질 수 있습니다. 예를 들어, 상태 업데이트의 경우 통과
트래픽이 짧은 TCP 연결을 제외한 트래픽으로 구성되어 있다면 통과 트래픽의 최대 10%를 사용
하게 될 수 있습니다. 전달된 트래픽의 양은 로드 밸런싱 효율성 또는 중앙 집중식 기능에 많은 트
래픽이 있는지에 따라 좌우됩니다. 예를 들면 다음과 같습니다.
•
NAT
의 경우 연결의 로드 밸런싱이 저하되며, 모든 반환 트래픽을 올바른 유닛으로 리밸런싱
해야 합니다.
•
네트워크 액세스용 AAA는 중앙 집중식 기능이므로 모든 트래픽이 마스터 유닛으로 전달됩니다.
•
멤버가 변경된 경우, 클러스터에서는 다량의 연결을 리밸런싱해야 하므로 일시적으로 많은 양
의 클러스터 제어 링크 대역폭을 사용합니다.
대역폭이 높은 클러스터 제어 링크를 사용하면 멤버가 변경될 경우 클러스터를 더 빠르게 통합할
수 있고 처리량 병목 현상을 방지할 수 있습니다.
참고
클러스터에 비대칭(리밸런싱된) 트래픽이 많은 경우 클러스터 제어 링크 크기를 늘려야 합니다.
관련 주제
•
.
클러스터 제어 링크 이중화
클러스터 제어 링크에는 EtherChannel을 사용하는 편이 바람직하며, 이렇게 할 경우
EtherChannel
EtherChannel
내의 여러 링크에 트래픽을 전달하는 동시에 이중화를 실현할 수 있습니다.
다음 다이어그램에는 VSS(Virtual Switching System) 또는 vPC(Virtual Port Channel) 환경에서
EtherChannel
EtherChannel
을 클러스터 제어 링크로 사용하는 방법이 나와 있습니다. EtherChannel의 모든 링크
가 활성화되어 있습니다. 스위치가 VSS 또는 vPC의 일부일 경우 ASA 인터페이스를 동일한
EtherChannel
EtherChannel
내에서 연결하여 VSS 또는 vPC의 스위치와 별도로 분리할 수 있습니다. 이러한 별도
의 스위치는 단일 스위치 역할을 수행하므로, 스위치 인터페이스는 동일한 EtherChannel 포트 채널
인터페이스의 멤버입니다. 이러한 EtherChannel은 스팬 EtherChannel이 아니라 디바이스 로컬입
니다.