Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

ASP

는 정책과 구성을 실행에 옮기는 구현 계층입니다. Cisco Technical Assistance Center와 문

제를 해결할 때가 아니면 직접적인 연관성은 없습니다. 그러나 몇 가지 성능 및 안정성 관련 동작

은 조정할 수 있습니다.

기본적으로 규칙 기반 정책(예: 액세스 규칙)을 바꾸면 그 변경사항이 즉시 적용됩니다. 하지만 이

러한 신속한 적용은 성능에 약간 영향을 미칩니다. 이 성능 문제는 초당 연결 수가 많은 환경에서 

매우 큰 규칙 목록을 사용할 때 더욱 두드러집니다. 예를 들면, ASA에서 초당 18,000건의 연결을 

처리하는 동안 25,000개의 규칙이 포함된 정책을 변경하는 경우입니다.
규칙 엔진이 규칙 조회 속도를 높이고자 규칙을 컴파일하면서 성능에 영향을 줍니다. 기본적으로 

이 시스템은 연결 시도를 평가할 때 새로운 규칙을 적용할 수 있도록 컴파일되지 않은 규칙도 검

색합니다. 규칙이 컴파일되지 않았으므로 검색 시간이 늘어납니다.
규칙 엔진에서 규칙 변경을 구현할 때 트랜잭션 모델을 사용함으로써 새 규칙이 컴파일되어 사용 

가능해질 때까지 기존 규칙을 계속 사용하도록 위 동작을 변경할 수 있습니다. 트랜잭션 모델을 

사용하면 규칙 컴파일 과정에서 성능이 저하되지 않습니다. 다음 표에서 동작의 차이점을 확인할 

수 있습니다.

트랜잭션 모델의 또 다른 이점은 인터페이스에서 ACL을 대체할 때 기존 ACL을 삭제하는 시점과 

새 ACL을 적용하는 시점 사이에 공백이 없다는 것입니다. 이 기능 덕분에 작업 과정에서 적합한 

연결이 드롭될 가능성이 줄어듭니다.

규칙 유형에 대해 트랜잭션 모델을 활성화하면 컴파일의 시작과 끝을 알리는 syslog가 생성됩니다. 

이 syslog의 번호는 780001~780004입니다.

규칙 엔진을 위해 트랜잭션 커밋 모델을 활성화하려면 다음 명령을 사용합니다.

 option

옵션:

access-group—

전역적으로 또는 인터페이스에 적용되는 액세스 규칙

nat—

네트워크 주소 변환 규칙 

예:

ciscoasa(config)# asp rule-engine transactional-commit access-group

기본

기존 규칙에 일치합니다. 새 규칙에 일치합니다.

(

초당 연결 수 감소)

새 규칙에 일치합니다.

트랜잭션

기존 규칙에 일치합니다. 기존 규칙에 일치합니다.

(

초당 연결 수 변동 없음)

새 규칙에 일치합니다.