Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页
8-22
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
8
장 ASA 클러스터
ASA
클러스터링 정보
•
•
연결 역할
각 연결에는 3가지 종류의 다른 ASA 역할이 정의됩니다.
•
소유자 — 연결을 가장 처음 수신하는 유닛입니다. 소유자 유닛에서는 TCP 상태를 유지하고
패킷을 처리합니다. 연결이 하나인 경우 소유자 유닛도 1개뿐입니다.
•
관리자 — 전달자의 소유자 조회 요청을 처리하고 연결 상태를 유지하여 소유자 유닛에 오류
가 발생한 경우 백업 역할을 수행하는 유닛입니다. 소유자가 새 연결을 수신할 경우, 소유자
유닛에서는 소스/대상 IP 주소와 TCP 포트의 해시를 기준으로 관리자 유닛을 선택하며 관리
자 유닛에 메시지를 전송하여 새 연결을 등록합니다. 패킷이 소유자 유닛이 아닌 다른 유닛에
전달될 경우, 해당 유닛에서는 관리자 유닛에 어떤 유닛이 소유자인지 조회하여 패킷이 전달
될 수 있도록 합니다. 연결이 하나인 경우 관리자 유닛도 1개뿐입니다.
•
전달자 — 패킷을 소유자 유닛에 전달하는 유닛입니다. 소유하지 않은 연결 패킷이 전달자 유
닛에 수신될 경우, 전달자 유닛에서는 소유자 유닛의 관리자를 조회한 다음 이러한 연결을 수
신하는 기타 모든 패킷의 소유자에 대한 흐름을 설정합니다. 관리자 유닛은 전달자가 될 수도
있습니다. 전달자 유닛에서 SYN-ACK 패킷을 수신할 경우, 패킷의 SYN 쿠키에서 소유자를
직접 파생할 수 있으므로 관리자 유닛에 조회하지 않아도 됩니다. (TCP 시퀀스 임의 설정을
비활성화한 경우 SYN 쿠키는 사용되지 않으며, 책임자에게 쿼리해야 합니다.) DNS 및 ICMP
같이 짧은 흐름의 경우 쿼리 대신 전달자가 책임자에게 패킷을 즉시 전송하고 책임자가 소유
자에게 전송합니다. 하나의 연결에 여러 개의 전달자 유닛이 있을 수 있습니다. 가장 효율적인
처리량 목표를 실현하려면 전달자가 없고 연결의 모든 패킷이 소유자 유닛에 전송되는 우수
한 로드 밸런싱 방법을 사용합니다.
새 연결 소유권
로드 밸런싱을 통해 클러스터의 멤버에 새 연결이 전송될 경우, 해당 유닛에서는 연결의 양방향을
모두 소유합니다. 다른 유닛에 연결 패킷이 전송될 경우, 해당 패킷은 클러스터 제어 링크를 통해 소
유자 유닛에 전달됩니다. 최상의 성능을 실현하려면, 같은 유닛에 전송될 수 있도록 흐름의 양방향
에 적절한 외부 로드 밸런싱이 필요합니다. 또한 흐름은 유닛 간에 균일하게 분산되어야 합니다. 다
른 유닛에 반대 방향의 흐름이 전송될 경우, 이는 원래 유닛으로 다시 리디렉션됩니다.
관련 주제
•