Netpro Expert

½Ã½ºÄÚ ASA 500°ú PIX 7.0ÀÇ ±¸¼º¡¤Àå¾Ö°ü¸®

½Ã½ºÄÚ ³×Æ®¿öÅ· Àü¹®°¡ Ä¿³Ø¼ÇÀº ½Ã½ºÄÚ Àü¹®°¡¿Í ³×Æ®¿öÅ· Àü¹®°¡ÀÇ ¿Â¶óÀÎ Ä¿¹Â´ÏƼ´Ù. ´ÙÀ½Àº ÀÌ Ä¿¹Â´ÏƼÀÇ ÃÖ±Ù "Àü¹®°¡¿¡°Ô ¹°¾îº¸¼¼¿ä" Æ÷·³¿¡¼­ ¹ßÃéÇÑ °ÍÀ¸·Î ½Ã½ºÄÚÀÇ ¹Ì´¼ È£´Ù(Mynul Hoda)°¡ »çȸ¸¦ ¸Ã¾Ò´Ù. Àüü ³»¿ëÀº cisco.com/packet/182_10a1¸¦ ÂüÁ¶Ç϶ó. ´Ù¸¥ ¶óÀÌºê ¿Â¶óÀÎ Åä·ÐÀº cisco.com/discuss/networking¿¡¼­ ãÀ» ¼ö ÀÖ´Ù.


¿Ö Æ®·£½ºÆä¾î·±Æ®(Transparent) ¸ðµå¿¡¼­ °ü¸® IP ¾îµå·¹½º¸¦ PIX¿¡ ÇÒ´çÇØ¾ß Çϴ°¡, ±×·¸Áö ¾ÊÀ¸¸é ³»ºÎ È£½ºÆ®°¡ ¿ÜºÎ È£½ºÆ®¸¦ ÇÎÇÏ´Â °ÍÀÌ Çã¿ëµÇÁö ¾Ê´Â°¡? Æ®·£½ºÆä¾î·±Æ® ¸ðµå¿¡¼­ IP ¾îµå·¹½º´Â PIX¿¡°Ô ¿Ö Áß¿äÇÑ°¡?


³»ºÎ¿Í ¿ÜºÎ ÀÎÅÍÆäÀ̽º °°Àº ¼­ºê³×Æ®·ÎºÎÅÍ IP ¾îµå·¹½º¸¦ ÇÒ´çÇØ¾ß ÇÏ´Â Çʿ伺À» ÀÌÇØÇϱâ À§Çؼ­´Â, Æ®·£½ºÆä¾î·±Æ® ¸ðµå¿ëÀ¸·Î ±¸¼ºµÉ ¶§ ASA°¡ ¾î¶»°Ô ÀÛµ¿ÇÏ´ÂÁö¸¦ ¾Ë¾Æ¾ß ÇÑ´Ù. ÀÌ ¸ðµå¿¡¼­ ASA´Â ·¹À̾î 2¿¡¼­ ÀÛµ¿ÇÑ´Ù. µû¶ó¼­ ASA¸¦ Åë°úÇÏ´Â Æ®·¡ÇÈ¿ëÀÇ ³ª°¡´Â ÀÎÅÍÆäÀ̽º¸¦ ã´Â µ¥ ÀÖ¾î ¶ó¿ìÆà Å×À̺íÀÌ °ËÅäµÇÁö ¾Ê´Â´Ù. ½ºÀ§Ä¡¿Í ´Ù¸¦ ¹Ù ¾øÀÌ ASA´Â ÀûÀýÇÑ ÀÎÅÍÆäÀ̽º·Î ÆÐŶÀ» Àü´ÞÇϱâ À§ÇØ MAC Å×À̺í(CAM Å×À̺í)À» ¸¸µé¾î¾ß ÇÑ´Ù. ÇÏÁö¸¸ MAC°¡ ASA¿¡¼­ ¹ß°ßµÇ´Â ¹æ½ÄÀº ½ºÀ§Ä¡¿¡¼­¿Í´Â ¸¹ÀÌ ´Ù¸£´Ù. ASA°¡ ÆÐŶÀ» ¼ö½ÅÇÒ ¶§, ±×¸®°í ¸ñÀûÁö MAC°¡ ·¹À̾î 2 Àü¼Û Å×ÀÌºí¿¡ ¾øÀ» °æ¿ì¿¡´Â ASA°¡ ÆÐŶÀ» ½ºÀ§Ä¡°¡ ÇÏ´Â °Íó·³ µÎ °¡Áö ÀÎÅÍÆäÀ̽º¿¡¼­ ¹ÛÀ¸·Î Èê·Áº¸³»Áö ¾Ê´Â´Ù. ±× ÀÌÀ¯´Â º¸¾È»óÀÇ À§Çè ¶§¹®ÀÌ´Ù. ´ë½Å ÀÌ°ÍÀº ARP(Address Resolution Protocol)³ª ICMP(Internet Control Message Protocol) ¸Þ½ÃÁö¸¦ µÎ °¡Áö ÀÎÅÍÆäÀ̽º·ÎºÎÅÍ ³»º¸³¿À¸·Î½á, ¸ñÀûÁö MAC ¾îµå·¹½º°¡ ¾î¶² ÀÎÅÍÆäÀ̽º¿¡ ÀÖ´ÂÁö¸¦ ÆľÇÇÏ·Á ÇÑ´Ù. ARP´Â ¸ñÀûÁö È£½ºÆ®°¡ °°Àº ·ÎÄà ¼¼±×¸ÕÆ®¿¡ ÀÖÀ» ¶§ »ç¿ëµÇÁö¸¸, °°Àº ¼¼±×¸ÕÆ®¿¡ ÀÖÁö ¾ÊÀ» ¶§´Â ICMP°¡ »ç¿ëµÈ´Ù. µÎ °¡Áö °æ¿ì ¸ðµÎ ¼Ò½º ¾îµå·¹½º°¡ »ç¿ëµÇ¸ç, ÀÌ ¾îµå·¹½º´Â °ü¸® ÀÎÅÍÆäÀ̽º IP ¾îµå·¹½º´Ù. ÀÌ IP ¾îµå·¹½º¸¦ ÇÒ´çÇÏÁö ¾Ê´Â´Ù¸é ASA°¡ MAC ¾îµå·¹½º¸¦ ÇнÀÇÏÁö ¾Ê°í, ¾î¶² Æ®·¡Çȵµ Àü´ÞÇÒ ¼ö ¾øÀ» °ÍÀÌ´Ù.


ASA°¡ ¹ÛÀ¸·Î ºê·Îµåij½ºÆ®¸¦ ³»º¸³»´Â°¡? ¿ÜºÎ ÀÎÅÍÆäÀ̽º´Â ³»ºÎ È£½ºÆ®ÀÇ MAC ¾îµå·¹½º¿Í IP ¾îµå·¹½º¸¦ ¾î¶»°Ô ÇнÀÇϴ°¡?


ARP°¡ ³»ºÎ È£½ºÆ®¿Í ¿ÜºÎ È£½ºÆ® »çÀ̸¦ ºê·Îµåij½ºÆÃÇÏ´Â °æ¿ì¸¦ Á¦¿ÜÇÏ°í´Â ±×·¸Áö ¾Ê´Ù. ¿ÜºÎ È£½ºÆ®°¡ ARP ºê·Îµåij½ºÆ®¸¦ º¸³»¸é ASA°¡ ÀÌ°ÍÀ» ¹Þ¾Æ¼­ ÀÚ½ÅÀÇ MAC Å×À̺íÀ» ¸¸µç´Ù. ASA´Â ¸ñÀûÁö IP ¾îµå·¹½º¸¦ ±â¹ÝÀ¸·Î ¿ÜºÎ È£½ºÆ®¸¦ ´ë½ÅÇØ ARP ¿äûÀ» ¸¸µé °ÍÀÌ´Ù. ÀÏ´Ü ³»ºÎ È£½ºÆ®°¡ ÀÀ´äÀ» º¸³»¸é ASA´Â ³»ºÎ È£½ºÆ® MAC ¾îµå·¹½º¸¦ ¾Ë°Ô µÈ´Ù. ¸ñÀûÁö IP°¡ °°Àº ¼­ºê³×Æ®¿¡ ÀÖÁö ¾ÊÀ» °æ¿ì¿¡´Â ÇÎ ÆÐŶÀ» ÀÌ¿ëÇØ MAC Ž»öÀÌ ÀÌ·ïÁø´Ù. ARP ¿äûÀ» ¸¸µé°Å³ª ÇÎ ÆÐŶÀ» º¸³¾ ¶§´Â IP ¾îµå·¹½º¸¦ °®±â À§ÇØ ASA°¡ ÇÊ¿äÇÏ´Ù. ±× ÀÌÀ¯´Â µÎ °¡Áö ÆÐŶÀÌ ¸ðµÎ °ü¸® ÀÎÅÍÆäÀ̽º IP¸¦ ¼Ò½º·Î ÀÌ¿ëÇÏ°Ô µÇ±â ¶§¹®À̸ç, ÀÌ°ÍÀÌ ¹Ù·Î ´ç½Å¿¡°Ô ÀÌ IP°¡ ÇÊ¿äÇÑ ÀÌÀ¯´Ù. Æ®·£½ºÆä¾î·±Æ® FW¸¦ ÅëÇÑ ÆÐŶ È帧¿¡ ´ëÇؼ­´Â cisco.com/packet/182_10a2¸¦ ÂüÁ¶Ç϶ó.


ÄÉÀÌºí ±â¹ÝÀÇ ÆäÀÏ¿À¹ö(failover)¸¦ ÇÏ°í, µÎ °³ÀÇ PIX ¹æÈ­º®°£¿¡ ½ºÅ×ÀÌƮǮ ÆäÀÏ¿À¹ö(stateful failover)¿ë Àü´ã ÀÎÅÍÆäÀ̽º¸¦ »ç¿ëÇÒ ¶§, ¹æÈ­º®ÀÌ ´Ù¸¥ ÀÎÅÍÆäÀ̽º¿Í ÇÔ²² ÆäÀÏ¿À¹ö¸¦ À§ÇØ ½ºÅ×ÀÌƮǮ ÀÎÅÍÆäÀ̽ºµµ ¸ð´ÏÅ͸µÇϴ°¡? Å©·Î½º¿À¹ö(crossover)¸¦ ÀÌ¿ëÇØ ½ºÅ×ÀÌƮǮ ÆäÀÏ¿À¹ö ÀÎÅÍÆäÀ̽º¸¦ ÇÔ²² ¿¬°áÇÒ ¼ö Àִ°¡?


±×·¸´Ù. PIX Á¦Ç°µéÀº ½ºÅ×ÀÌÇÁÇ® ÆäÀÏ¿À¹öµµ ¸ð´ÏÅ͸µÇÑ´Ù. ±×¸®°í µÎ ¹ø° Áú¹®µµ ¿¹½º´Ù. Å©·Î½º¿À¹ö ÄÉÀ̺íÀ» ½ºÅ×ÀÌƮǮ ¿¬°á¿¡ »ç¿ëÇÒ ¼ö ÀÖ´Ù. PIX ¸Å´º¾ó¿¡¼­´Â ÀÌ ¹æ½ÄÀ» ÃßõÇÏ°í ÀÖ´Ù.