Netpro Expert 27호

시스코 ASA 500과 PIX 7.0의 구성·장애관리



시스코 네트워킹 전문가 커넥션은 시스코 전문가와 네트워킹 전문가의 온라인 커뮤니티다. 다음은 이 커뮤니티의 최근 "전문가에게 물어보세요" 포럼에서 발췌한 것으로 시스코의 미뉼 호다(Mynul Hoda)가 사회를 맡았다. 전체 내용은 cisco.com/packet/182_10a1를 참조하라. 다른 라이브 온라인 토론은 cisco.com/discuss/networking에서 찾을 수 있다.



왜 트랜스페어런트(Transparent) 모드에서 관리 IP 어드레스를 PIX에 할당해야 하는가, 그렇지 않으면 내부 호스트가 외부 호스트를 핑하는 것이 허용되지 않는가? 트랜스페어런트 모드에서 IP 어드레스는 PIX에게 왜 중요한가?




내부와 외부 인터페이스 같은 서브네트로부터 IP 어드레스를 할당해야 하는 필요성을 이해하기 위해서는, 트랜스페어런트 모드용으로 구성될 때 ASA가 어떻게 작동하는지를 알아야 한다. 이 모드에서 ASA는 레이어 2에서 작동한다. 따라서 ASA를 통과하는 트래픽용의 나가는 인터페이스를 찾는 데 있어 라우팅 테이블이 검토되지 않는다. 스위치와 다를 바 없이 ASA는 적절한 인터페이스로 패킷을 전달하기 위해 MAC 테이블(CAM 테이블)을 만들어야 한다. 하지만 MAC가 ASA에서 발견되는 방식은 스위치에서와는 많이 다르다. ASA가 패킷을 수신할 때, 그리고 목적지 MAC가 레이어 2 전송 테이블에 없을 경우에는 ASA가 패킷을 스위치가 하는 것처럼 두 가지 인터페이스에서 밖으로 흘려보내지 않는다. 그 이유는 보안상의 위험 때문이다. 대신 이것은 ARP(Address Resolution Protocol)나 ICMP(Internet Control Message Protocol) 메시지를 두 가지 인터페이스로부터 내보냄으로써, 목적지 MAC 어드레스가 어떤 인터페이스에 있는지를 파악하려 한다. ARP는 목적지 호스트가 같은 로컬 세그먼트에 있을 때 사용되지만, 같은 세그먼트에 있지 않을 때는 ICMP가 사용된다. 두 가지 경우 모두 소스 어드레스가 사용되며, 이 어드레스는 관리 인터페이스 IP 어드레스다. 이 IP 어드레스를 할당하지 않는다면 ASA가 MAC 어드레스를 학습하지 않고, 어떤 트래픽도 전달할 수 없을 것이다.


ASA가 밖으로 브로드캐스트를 내보내는가? 외부 인터페이스는 내부 호스트의 MAC 어드레스와 IP 어드레스를 어떻게 학습하는가?


ARP가 내부 호스트와 외부 호스트 사이를 브로드캐스팅하는 경우를 제외하고는 그렇지 않다. 외부 호스트가 ARP 브로드캐스트를 보내면 ASA가 이것을 받아서 자신의 MAC 테이블을 만든다. ASA는 목적지 IP 어드레스를 기반으로 외부 호스트를 대신해 ARP 요청을 만들 것이다. 일단 내부 호스트가 응답을 보내면 ASA는 내부 호스트 MAC 어드레스를 알게 된다. 목적지 IP가 같은 서브네트에 있지 않을 경우에는 핑 패킷을 이용해 MAC 탐색이 이뤄진다. ARP 요청을 만들거나 핑 패킷을 보낼 때는 IP 어드레스를 갖기 위해 ASA가 필요하다. 그 이유는 두 가지 패킷이 모두 관리 인터페이스 IP를 소스로 이용하게 되기 때문이며, 이것이 바로 당신에게 이 IP가 필요한 이유다. 트랜스페어런트 FW를 통한 패킷 흐름에 대해서는 cisco.com/packet/182_10a2를 참조하라.


케이블 기반의 페일오버(failover)를 하고, 두 개의 PIX 방화벽간에 스테이트풀 페일오버(stateful failover)용 전담 인터페이스를 사용할 때, 방화벽이 다른 인터페이스와 함께 페일오버를 위해 스테이트풀 인터페이스도 모니터링하는가? 크로스오버(crossover)를 이용해 스테이트풀 페일오버 인터페이스를 함께 연결할 수 있는가?


그렇다. PIX 제품들은 스테이프풀 페일오버도 모니터링한다. 그리고 두 번째 질문도 예스다. 크로스오버 케이블을 스테이트풀 연결에 사용할 수 있다. PIX 매뉴얼에서는 이 방식을 추천하고 있다.





MYNUL HODA
미뉼 호다(MYNUL HODA)는 시스코 하이터치 기술지원 그룹의 수석 엔지니어다.


맨위로

Cisco에 문의하세요



Packet 지난 호 보기