Листовка для Cisco Cisco ASA 5555-X Adaptive Security Appliance - No Payload Encryption
19-4
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
19
장 라우팅 개요
ASA
내에서 라우팅의 작동 방식
ASA
에서 동적 라우팅이 사용 중이고 XLATE 생성 후 경로 테이블이 변경되는 경우(예: 경로 플랩)
경로 테이블을 통하지 않고 기존 XLATE를 사용하여 XLATE 시간 초과까지 대상 변환 트래픽이 전
달됩니다. 이전 경로가 이전 인터페이스에서 드롭되고 라우팅 프로세스에 의해 다른 인터페이스에
연결될 경우 잘못된 인터페이스로 전달되거나 수준 6 syslog 메시지 110001(호스트 경로 없음)와 함
께 버려질 수 있습니다.
ASA
ASA
자체에서 경로 플랩이 없지만 주변에서 라우팅 프로세스 플래핑이 일어나고 동일 흐름에 속
하는 소스 변환 패킷이 다른 인터페이스를 사용하는 ASA를 통해 전송되는 경우에도 같은 문제가
발생할 수 있습니다. 대상 변환 반환 패킷이 잘못된 이그레스 인터페이스를 사용하여 전달될 수
있습니다.
이 문제는 흐름에서 초기 패킷의 방향에 따라 사실상 모든 트래픽이 소스 변환이거나 대상 변환인
이 문제는 흐름에서 초기 패킷의 방향에 따라 사실상 모든 트래픽이 소스 변환이거나 대상 변환인
일부 보안 트래픽 구성에서 가능성이 높습니다. 이 문제가 경로 플랩 후에 발생하는 경우 clear
xlate
xlate
명령을 사용하여 수동으로 해결하거나 XLATE 시간 초과로 자동으로 해결될 수 있습니다.
필요하면 XLATE 시간 초과를 줄일 수 있습니다. 이 문제가 잘 발생하지 않도록 하려면 ASA와 그
주변에서 경로 플랩이 없도록 하십시오. 다시 말해 같은 흐름에 속하는 대상 변환 패킷이 항상
ASA
ASA
를 통해 똑같이 전달되도록 하십시오.
ECMP
라우팅
ASA
는 ECMP(Equal-Cost Multi-Path) 라우팅을 지원합니다.
영역이 없는 경우, 인터페이스당 최대 3개의 동일 비용의 고정 또는 동적 경로를 사용할 수 있습
니다. 예를 들어, 다른 게이트웨이를 지정하는 외부 인터페이스에서 3개의 기본 경로를 구성할 수
있습니다.
route outside 0 0 10.1.1.2
route outside 0 0 10.1.1.3
route outside 0 0 10.1.1.4
이 경우, 트래픽은 10.1.1.2, 10.1.1.3 및 10.1.1.4 사이의 외부 인터페이스에서 로드 밸런싱이 조
정됩니다. 트래픽은 소스 및 대상 IP 주소를 해시하는 알고리즘에 기반하여 지정된 게이트웨이 사
이에 배포됩니다.
ECMP
ECMP
는 여러 인터페이스에서 지원되지 않으므로, 다른 인터페이스에서 동일한 대상에 대해 경
로를 정의할 수 없습니다. 다음 경로는 위의 경로 중 하나를 사용할 경우 허용되지 않습니다.
route outside2 0 0 10.2.1.1
예를 들어, 영역 내에서 최대 8개의 인터페이스 전체에서 최대 8개의 동일 비용 고정 또는 동적 경
로를 사용할 수 있습니다. 예를 들어, 영역에서 3개의 인터페이스 전체에서 3개의 기본 경로를 구
성할 수 있습니다.
route outside1 0 0 10.1.1.2
route outside2 0 0 10.2.1.2
route outside3 0 0 10.3.1.2
마찬가지로, 동적 라우팅 프로토콜은 동일 비용 경로를 자동으로 구성할 수 있습니다. ASA는 보다
강력한 로드 밸런싱 메커니즘을 통해 인터페이스 전체에서 트래픽의 로드 밸런싱을 조정합니다.
경로가 손실된 경우 ASA는 다른 경로로 흐름을 원활하게 이동합니다.
경로가 손실된 경우 ASA는 다른 경로로 흐름을 원활하게 이동합니다.