Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

ASA

에서 동적 라우팅이 사용 중이고 XLATE 생성 후 경로 테이블이 변경되는 경우(예: 경로 플랩) 

경로 테이블을 통하지 않고 기존 XLATE를 사용하여 XLATE 시간 초과까지 대상 변환 트래픽이 전

달됩니다. 이전 경로가 이전 인터페이스에서 드롭되고 라우팅 프로세스에 의해 다른 인터페이스에 

연결될 경우 잘못된 인터페이스로 전달되거나 수준 6 syslog 메시지 110001(호스트 경로 없음)와 함

께 버려질 수 있습니다.
ASA 

자체에서 경로 플랩이 없지만 주변에서 라우팅 프로세스 플래핑이 일어나고 동일 흐름에 속

하는 소스 변환 패킷이 다른 인터페이스를 사용하는 ASA를 통해 전송되는 경우에도 같은 문제가 

발생할 수 있습니다. 대상 변환 반환 패킷이 잘못된 이그레스 인터페이스를 사용하여 전달될 수 

있습니다.
이 문제는 흐름에서 초기 패킷의 방향에 따라 사실상 모든 트래픽이 소스 변환이거나 대상 변환인 

일부 보안 트래픽 구성에서 가능성이 높습니다. 이 문제가 경로 플랩 후에 발생하는 경우 clear 
xlate 

명령을 사용하여 수동으로 해결하거나 XLATE 시간 초과로 자동으로 해결될 수 있습니다. 

필요하면 XLATE 시간 초과를 줄일 수 있습니다. 이 문제가 잘 발생하지 않도록 하려면 ASA와 그 

주변에서 경로 플랩이 없도록 하십시오. 다시 말해 같은 흐름에 속하는 대상 변환 패킷이 항상 
ASA

를 통해 똑같이 전달되도록 하십시오.

ASA

는 ECMP(Equal-Cost Multi-Path) 라우팅을 지원합니다.

영역이 없는 경우, 인터페이스당 최대 3개의 동일 비용의 고정 또는 동적 경로를 사용할 수 있습

니다. 예를 들어, 다른 게이트웨이를 지정하는 외부 인터페이스에서 3개의 기본 경로를 구성할 수 

있습니다.

route outside 0 0 10.1.1.2

route outside 0 0 10.1.1.3

route outside 0 0 10.1.1.4

이 경우, 트래픽은 10.1.1.2, 10.1.1.3 및 10.1.1.4 사이의 외부 인터페이스에서 로드 밸런싱이 조

정됩니다. 트래픽은 소스 및 대상 IP 주소를 해시하는 알고리즘에 기반하여 지정된 게이트웨이 사

이에 배포됩니다.
ECMP

는 여러 인터페이스에서 지원되지 않으므로, 다른 인터페이스에서 동일한 대상에 대해 경

로를 정의할 수 없습니다. 다음 경로는 위의 경로 중 하나를 사용할 경우 허용되지 않습니다.

route outside2 0 0 10.2.1.1

예를 들어, 영역 내에서 최대 8개의 인터페이스 전체에서 최대 8개의 동일 비용 고정 또는 동적 경

로를 사용할 수 있습니다. 예를 들어, 영역에서 3개의 인터페이스 전체에서 3개의 기본 경로를 구

성할 수 있습니다.

route outside1 0 0 10.1.1.2

route outside2 0 0 10.2.1.2

route outside3 0 0 10.3.1.2

마찬가지로, 동적 라우팅 프로토콜은 동일 비용 경로를 자동으로 구성할 수 있습니다. ASA는 보다 

강력한 로드 밸런싱 메커니즘을 통해 인터페이스 전체에서 트래픽의 로드 밸런싱을 조정합니다.
경로가 손실된 경우 ASA는 다른 경로로 흐름을 원활하게 이동합니다.