Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页
7-13
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
7
장 고가용성을 위한 장애 조치
장애 조치 정보
상태 비저장 장애 조치
장애 조치가 일어나면 모든 활성 연결이 드롭됩니다. 새 활성 유닛을 인계받을 경우 클라이언트에
서는 연결을 다시 설정해야 합니다.
참고
클라이언트리스 SSL VPN의 일부 구성 요소(예: 책갈피 및 사용자 지정)에서는 상태 저장 장애 조
치의 일부분인 VPN 장애 조치 하위 시스템을 사용합니다. 상태 저장 장애 조치를 사용하여 상태
조치 쌍의 멤버 간에 이러한 요소를 동기화해야 합니다. 클라이언트리스 SSL VPN에는 상태 비저
장(일반) 장애 조치를 권장하지 않습니다.
상태 저장 장애 조치
상태 저장 장애 조치를 활성화한 경우 활성 유닛에서는 연결당 상태 정보를 대기 유닛으로 전달하
거나 활성/활성 장애 조치에서 활성 및 대기 장애 조치 그룹 간에 지속적으로 전달합니다. 장애 조
치가 일어난 후에는 새 활성 유닛에서 동일한 연결 정보를 사용할 수 있습니다. 지원되는 최종 사
용자 애플리케이션이 없어도 다시 연결하여 동일한 통신 세션을 그대로 유지할 수 있습니다.
•
•
지원 기능
상태 저장 장애 조치가 활성화될 경우 다음 상태 정보가 대기 ASA에 전달됩니다.
•
NAT
변환 테이블
•
TCP
연결 상태
•
UDP
연결 상태
•
ARP
테이블
•
Layer 2
브리지 테이블(투명 방화벽 모드에서 실행 중일 경우)
•
HTTP
연결 상태(HTTP 복제가 활성화된 경우) — 기본적으로 ASA에서는 상태 저장 장애 조
치가 활성화된 경우 HTTP 세션을 복제하지 않습니다. 보통 HTTP 클라이언트에서는 오류가
발생한 연결을 다시 수행하려고 시도하기 때문에 HTTP 세션은 짧은 것이 일반적입니다. 따
라서 HTTP 세션을 복제하지 않을 경우 중요한 데이터 또는 연결이 손실되지 않으면서 시스
템 성능이 향상됩니다.
•
ISAKMP
및 IPsec SA 테이블
•
GTP PDP
연결 데이터베이스
•
SIP
신호 세션
•
ICMP
연결 상태 — ICMP 연결 복제는 해당 인터페이스가 비대칭 라우팅 그룹에 할당된 경우
에만 활성화됩니다.
•
동적 라우팅 프로토콜 — 상태 저장 장애 조치는 OSPF 및 EIGRP 같은 동적 라우팅 프로토콜
에 참여하므로, 활성 유닛에서 동적 라우팅 프로토콜을 통해 얻은 경로는 대기 유닛의 RIB(라
우팅 정보 베이스) 테이블에 유지됩니다. 장애 조치 이벤트 발생 시, 활성 보조 ASA에서는 초
기 규칙에 따라 기본 ASA를 미러링하므로 중단을 최소화면서도 패킷이 정상적으로 이동됩니
다. 장애 조치가 끝난 직후에는 새로운 활성 유닛에서 재통합 타이머가 시작됩니다. 그러면
RIB
RIB
테이블의 시간대 숫자가 늘어납니다. 재통합을 수행하는 동안 OSPF 및 EIGRP 경로는
새 시간대 숫자로 업데이트됩니다. 타이머가 만료되면 오래된 경로 항목(시간대 숫자에 의해
결정됨)이 테이블에서 제거됩니다. 그런 다음 RIB에 새 활성 유닛에 대한 최신 라우팅 프로토
콜 전달 정보가 포함됩니다.