Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页
8-66
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
8
장 ASA 클러스터
ASA
클러스터링의 예
단일화된 방화벽
서로 다른 보안 도메인의 데이터 트래픽은 서로 다른 VLAN에 연결됩니다. 예를 들어, VLAN 10은
내부 네트워크용이고 VLAN 20은 외부 네트워크용입니다. 각 ASA에는 외부 스위치 또는 라우터
에 연결된 하나의 물리적 포트가 있습니다. 트렁킹이 활성화되어 있으므로 물리적 링크의 모든 패
킷은 캡슐화된 802.1q입니다. ASA는 VLAN 10과 VLAN 20 사이의 방화벽입니다.
스팬 EtherChannel을 사용할 경우, 모든 데이터 링크가 스위치 측의 단일한 EtherChannel로 그룹화
스팬 EtherChannel을 사용할 경우, 모든 데이터 링크가 스위치 측의 단일한 EtherChannel로 그룹화
됩니다. ASA를 사용할 수 없게 될 경우, 스위치에서 나머지 유닛 간의 트래픽을 리밸런싱합니다.
각 유닛의 인터페이스 모드
cluster interface-mode spanned force
ASA1
마스터 부트스트랩 구성
interface tengigabitethernet 0/8
no shutdown
description CCL
cluster group cluster1
local-unit asa1
cluster-interface tengigabitethernet0/8 ip 192.168.1.1 255.255.255.0
priority 1
key chuntheunavoidable
enable noconfirm
ASA1
333221
ten0/8
ten0/9
man0/0
ASA2
ten0/8
ten0/9
man0/0
ASA3
ten0/8
ten0/9
man0/0
Switch
management
10.1.1.1/24 (Pool: .2-.9),
2001:DB8::1002/64
(Pool: 8 IPs)
10.1.1.1/24 (Pool: .2-.9),
2001:DB8::1002/64
(Pool: 8 IPs)
Cluster Control Link
192.168.1.1, .2, and .3
port-ch5
VLAN 10, VLAN 20 Trunk
VLAN 10
VLAN 20
Client
Server
port-ch1 Spanned
port-ch1.10 inside VLAN 10
10.10.10.5/24, 2001:DB8:2::5/64
MAC: 000C.F142.4CDE
port-ch1.20 outside VLAN 20
209.165.201.5/27, 2001:DB8:2::5/64
MAC: 000C.F142.5CDE