Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

스패닝 트리 프로토콜을 사용하여 루프를 방지하기 위해 기본적으로 BPDU가 전달됩니다. BPDU

를 차단하려면 이더 타입 ACL에서 이를 거부하도록 구성해야 합니다. 장애 조치를 사용할 경우, 

토폴로지가 변경될 때 BPDU를 차단하여 스위치 포트가 차단 상태가 되는 것을 방지하고자 할 수 

있습니다. 자세한 내용은 

를 참조하십시오.

투명 모드에서 ASA를 실행할 경우, 패킷의 발신 인터페이스는 경로 조회 대신 MAC 주소 조회를 

수행하여 결정됩니다.
그러나 다음과 같은 트래픽 유형에는 경로 조회가 필요합니다.

ASA

에서 시작된 트래픽 — syslog 서버가 원격 네트워크에 있을 경우, 고정 경로를 사용하여 

ASA

가 해당 서브넷에 도달할 수 있도록 해야 합니다.

NAT

가 활성화되어 있고 ASA와 홉 간격이 최소 하나 이상 떨어진 트래픽 — ASA에서는 next 

hop 

게이트웨이를 찾기 위해 경로 조회를 수행해야 합니다. 실제 호스트 주소를 위해서는 

ASA

에 고정 경로를 추가해야 합니다.

감시 기능이 활성화되어 있고, ASA와 홉 간격이 최소 하나 이상 떨어진 곳에 엔드포인트가 있

는 VoIP(Voice over IP) 및 DNS 트래픽 — 예를 들어, CCM과 H.323 게이트웨이 간에 투명 방

화벽을 사용하고 투명 방화벽과 H.323 게이트웨이 간에 라우터가 있을 경우 H.323 게이트웨

이에서 호출을 완료하려면 ASA에 고정 경로를 추가해야 합니다. 감시된 트래픽에 NAT를 활

성화할 경우, 패킷에 포함된 실제 호스트 주소의 이그레스 인터페이스를 결정하려면 고정 경

로가 필요합니다. 영향을 받는 애플리케이션은 다음과 같습니다.

CTIQBE

DNS

GTP

H.323

MGCP

RTSP

SIP

Skinny(SCCP)

기본적으로 모든 ARP 패킷은 ASA를 통과할 수 있습니다. ARP 감시를 활성화하여 ARP 패킷의 

흐름을 제어할 수 있습니다.
ARP 

감시를 활성화할 경우 ASA에서는 MAC 주소, IP 주소, 모든 ARP 패킷의 소스 인터페이스를 

ARP 

테이블의 고정 항목과 비교하고 다음과 같은 조치를 취합니다.

IP 

주소, MAC 주소, 소스 인터페이스가 ARP 항목과 일치하면 패킷이 통과됩니다.

MAC 

주소와 IP 주소 또는 인터페이스 간에 불일치하는 항목이 있을 경우 ASA에서는 패킷을 

드롭합니다.

ARP 

패킷이 고정 ARP 테이블의 어느 항목과도 일치하지 않으면 ASA를 설정하여 패킷을 모

든 인터페이스로 전달(플러딩)하거나 패킷을 드롭합니다.