ASA 디바이스 구성

이 장에는 다음 섹션이 포함되어 있습니다.

CDO에서 ASA 연결 자격 증명 업데이트

ASA를 온보딩하는 과정에서 CDO가 디바이스에 연결하는 데 사용해야 하는 사용자 이름 및 비밀번호를 입력했습니다. 디바이스에서 해당 자격 증명이 변경된 경우 Update Credentials(자격 증명 업데이트) 디바이스 작업을 사용하여 CDO에서도 해당 자격 증명을 업데이트하십시오. 이 기능을 사용하면 디바이스를 다시 등록하지 않고도 CDO에서 자격 증명을 업데이트할 수 있습니다. 전환할 사용자 이름과 암호 조합은 해당 사용자의 ASA 또는 AAA(Authentication, Authorization, and Accounting) 서버에 이미 존재해야 합니다. 이 프로세스는 CDO 데이터베이스에만 영향을 미칩니다. 자격 증명 업데이트 기능을 사용할 때 ASA 구성이 변경되지 않습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

Devices(장치) 탭을 클릭한 다음 ASA를 클릭합니다.

단계 3

업데이트할 연결 자격 증명이 있는 ASA를 선택합니다. 한 번에 하나 이상의 ASA에서 자격 증명을 업데이트할 수 있습니다.

단계 4

Device Actions(장치 작업) 창에서 Update Credentials(자격 증명 업데이트)를 클릭합니다.

단계 5

ASA를 CDO에 연결하는 데 사용하는 Cloud Connector 또는 SDC(보안 디바이스 커넥터)를 선택합니다.

단계 6

ASA에 연결하는 데 사용할 새 사용자 이름 및 비밀번호를 입력합니다.

단계 7

자격 증명이 변경된 후 CDO는 디바이스를 동기화합니다.

참고

 

CDO가 디바이스를 동기화하지 못하면 CDO의 연결 상태에 "Invalid Credentials(유효하지 않은 자격 증명)"가 표시될 수 있습니다. 이 경우 유효하지 않은 사용자 이름과 비밀번호 조합을 사용하려고 시도했을 수 있습니다. 사용하려는 자격 증명이 ASA 또는 AAA 서버에 저장되어 있는지 확인하고 다시 시도하십시오.

SDC 간에 ASA 이동

CDO테넌트당 둘 이상의 SDC 사용을 지원합니다. 다음 절차를 사용하여 한 SDC에서 다른 SDC로 관리형 ASA를 이동할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

다른 SDC로 이동하려는 ASA를 선택합니다.

단계 3

Device Actions(디바이스 작업) 창에서 Update Credentials(자격 증명 업데이트)를 클릭합니다.

단계 4

보안 디바이스 커넥터 버튼을 클릭하고 디바이스를 이동하려는 SDC를 선택합니다.

단계 5

ASA를 온보딩하는 데 사용한 관리자 사용자 이름 및 비밀번호를 입력하고 Update(업데이트)를 클릭합니다. 이러한 변경 사항을 디바이스에 구축할 필요는 없습니다.

ASA 인터페이스 구성

CDO는 명령줄 인터페이스를 사용할 필요가 없는 사용자 친화적 인터페이스를 제공하여 ASA 인터페이스 구성을 간소화합니다. 사용자는 ASA의 물리적 인터페이스, 하위 인터페이스 및 EtherChannel의 구성을 완벽하게 제어할 수 있습니다. 또한 경로 기반 사이트 간 VPN 중에 생성된 Virtual Tunnel Interface도 볼 수 있지만 읽기 전용입니다. CDO를 사용하여 ASA 디바이스에서 데이터 인터페이스 또는 관리/진단 인터페이스를 구성하고 편집할 수 있습니다.

물리적 또는 가상 인터페이스 연결에 케이블을 연결하려면 인터페이스를 구성해야 합니다. 최소한 인터페이스 이름을 지정하고 트래픽을 전달하도록 인터페이스를 활성화해야 합니다. 인터페이스가 브리지 그룹의 멤버인 경우에는 인터페이스의 이름을 지정하는 작업만 수행하면 됩니다. 인터페이스가 BVI(브리지 가상 인터페이스)인 경우 BVI에 IP 주소를 할당해야 합니다. 지정된 포트의 단일 실제 인터페이스가 아닌 VLAN 하위 인터페이스를 생성하려는 경우에는 일반적으로 실제 인터페이스가 아닌 하위 인터페이스에 IP 주소를 구성합니다. VLAN 하위 인터페이스를 사용하면 실제 인터페이스를 각기 다른 VLAN ID로 태그가 지정된 여러 논리적 인터페이스로 분할할 수 있습니다.

인터페이스 목록에는 사용 가능한 인터페이스, 해당 이름, 주소 및 상태가 표시됩니다. 인터페이스 행을 선택하고 Actions(작업) 창에서 Edit(편집)를 클릭하여 인터페이스의 상태를 on 또는 off로 변경하거나 인터페이스를 편집할 수 있습니다. 목록에는 컨피그레이션을 기준으로 인터페이스 특성이 표시됩니다. 인터페이스 행을 확장하여 하위 인터페이스 또는 브리지 그룹 멤버를 확인합니다.

관리 인터페이스

다음에 연결하여 ASA를 관리할 수 있습니다.

  • 통과 트래픽 인터페이스

  • 전용 관리 슬롯/포트 인터페이스(모델에 제공되는 경우)

MTU 설정 사용

MTU는 디바이스가 지정된 이더넷 인터페이스에서 전송할 수 있는 최대 프레임 페이로드 크기를 지정합니다. MTU 값은 이더넷 헤더, VLAN 태깅 또는 기타 오버헤드가 없는 프레임 크기입니다. 예를 들어, MTU를 1500으로 설정할 경우 예상 프레임 크기는 헤더 포함 시 1518바이트이고 VLAN 사용 시에는 1522입니다. 이러한 헤더를 수용하기 위해 MTU 값을 이보다 더 높게 설정하지 마십시오.

Virtual Tunnel Interface(VTI)에 대한 읽기 전용 지원

두 ASA 디바이스 간에 경로 기반 사이트 간 VPN 터널을 구성하면 디바이스 간에 VTI(Virtual Tunnel Interface)가 생성됩니다. VTI 터널이 구성된 디바이스는 CDO에 온보딩할 수 있습니다. CDO에서 검색하고 ASA 인터페이스페이지에 나열하지만 관리를 지원하지 않습니다.

ASA 물리적 인터페이스 구성

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

수정하려는 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Interfaces(인터페이스)를 클릭합니다.

단계 4

구성할 물리적 인터페이스를 클릭하고 Edit(편집)을 클릭합니다.

Editing Physical Interface(물리적 인터페이스 편집) 대화 상자가 나타납니다.

단계 5

Logical Name(논리적 이름) 필드에 인터페이스 이름을 입력합니다.

단계 6

다음 절차 중 하나를 계속합니다.

ASA 물리적 인터페이스에 대한 IPv4 주소 지정 구성

프로시저

단계 1

Edit Physical Interface(물리적 인터페이스 편집) 대화 상자의 IPv4 Address(IPv4 주소) 탭에서 다음을 구성합니다.

  • 유형: 인터페이스에 대해 고정 IP 주소 지정 또는 DHCP를 사용할 수 있습니다.

    Static(고정) - 변경되면 안 되는 주소를 할당하려면 이 옵션을 선택합니다.

    • IP Address and Subnet Mask(IP 주소 및 서브넷 마스크): 인터페이스에 연결된 네트워크에 대해 인터페이스의 IP 주소와 서브넷 마스크를 입력합니다.

    • Standby IP Address(스탠바이 IP 주소) - 고가용성을 구성하는 경우 이 인터페이스에서 HA를 모니터링하는 중이라면 같은 서브넷에 스탠바이 IP 주소도 구성합니다. 스탠바이 디바이스의 이 인터페이스에서 스탠바이 주소를 사용합니다.

      각 인터페이스에 대한 스탠바이 IP 주소를 설정합니다. 스탠바이 주소는 지정하는 것이 좋지만 필수 항목은 아닙니다. 스탠바이 IP 주소가 없으면 액티브 유닛이 네트워크 테스트를 수행하여 스탠바이 인터페이스 상태를 확인할 수 없으며 링크 상태만 추적할 수 있습니다.

    DHCP: 네트워크의 DHCP 서버에서 주소를 가져와야 하는 경우 이 옵션을 선택합니다.

    Obtain Default Route(기본 경로 얻기) 확인란을 선택하여 DHCP 서버에서 기본 경로를 가져올 수 있습니다. 일반적으로 이 옵션을 선택합니다.

단계 2

완료한 경우 Save(저장)를 클릭하거나 다음 절차 중 하나를 계속합니다.

ASA 물리적 인터페이스에 대한 IPv6 주소 지정 구성

프로시저

단계 1

Editing Physical Interface(물리적 인터페이스 편집) 대화 상자에서 IPv6 Address(IPv6 주소) 탭을 클릭합니다.

단계 2

다음을 구성합니다.

  • State(상태): IPv6 처리를 활성화하고 전역 주소를 구성하지 않을 때 링크 로컬 주소를 자동으로 구성하려면 State(상태) 슬라이더를 클릭하여 사용하도록 설정합니다. 링크-로컬 주소는 인터페이스 MAC 주소(수정된 EUI-64 형식)를 기반으로 생성됩니다.

    참고

     

    IPv6를 비활성화해도 명시적 IPv6 주소로 구성되었거나 자동 구성용으로 활성화된 인터페이스에서 IPv6 처리가 비활성화되지는 않습니다.

  • Address Auto Configuration(주소 자동 구성):

    주소를 자동으로 구성하려면 이 옵션을 선택합니다. IPv6 스테이트리스 자동 컨피그레이션에서는 디바이스가 있는 링크에 IPv6 서비스를 제공하도록 구성된 라우터가 있는 경우에만 글로벌 IPv6 주소를 생성합니다. 이러한 서비스에는 링크에서 사용할 IPv6 글로벌 접두사 알림이 포함됩니다. 링크에서 IPv6 라우팅 서비스를 사용할 수 없는 경우에는 링크-로컬 IPv6 주소만 제공됩니다. 디바이스의 직접 네트워크 링크 외부에서는 이 주소에 액세스할 수 없습니다. 링크 로컬 주소는 수정된 EUI-64 인터페이스 ID를 기반으로 합니다.

    RFC 4862에서는 스테이트리스 자동 컨피그레이션에 대해 구성한 호스트에서 라우터 알림 메시지를 전송하지 않도록 지정하지만, 이 경우에는 디바이스에서 라우터 알림 메시지를 전송합니다. 메시지를 표시하지 않고 RFC를 준수하려면 RA 표시 안 함을 선택합니다.

  • Suppress RA(RA 표시 안 함): 라우터 알림을 표시하지 않으려면 이 상자를 선택합니다. 디바이스는 인접 디바이스가 기본 라우터 주소를 동적으로 학습할 수 있도록 라우터 알림에 참여할 수 있습니다. 기본적으로 라우터 알림 메시지(ICMPv6 유형 134)는 IPv6가 구성된 각 인터페이스에 주기적으로 전송됩니다.

    라우터 광고는 라우터 요청 메시지에 대한 응답으로도 보내집니다(ICMPv6 Type 133). 예정된 다음 라우터 광고 메시지를 기다릴 필요 없이 호스트가 즉시 자동 구성을 할 수 있도록 시스템 시동 시 라우터 요청 메시지가 전송됩니다.

    디바이스에서 IPv6 접두사를 제공하지 않도록 하려는 인터페이스(예: 외부 인터페이스)에서는 이러한 메시지를 표시하지 않을 수 있습니다.

  • DAD Attempts(DAD 시도): 인터페이스가 DAD(Duplicate Address Detection)를 수행하는 빈도를 0~600 사이의 값으로 설정합니다. 기본값은 1입니다. 스테이트리스 자동 구성 프로세스에서 DAD는 새로운 유니캐스트 IPv6 주소가 고유한지 확인한 다음 주소를 인터페이스에 할당합니다. 중복 주소가 인터페이스의 링크-로컬 주소인 경우 인터페이스의 IPv6 패킷 처리가 사용 해제됩니다. 중복 주소가 전역 주소인 경우 주소가 사용되지 않습니다. 인터페이스에서는 네이버 요청 메시지를 사용하여 DAD를 수행합니다. DAD(Duplicate Address Detection) 처리를 비활성화하려면 값을 0으로 설정합니다.

  • Link-Local Address(링크-로컬 주소): 주소를 링크 로컬로만 사용하려면 Link-Local Address(링크-로컬 주소) 필드에 주소를 입력합니다. 로컬 네트워크 외부에서는 링크 로컬 주소에 액세스할 수 없습니다. 브리지 그룹 인터페이스에서는 링크-로컬 주소를 구성할 수 없습니다.

    참고

     

    링크-로컬 주소는 FE8, FE9, FEA 또는 FEB로 시작해야 합니다(예: fe80::20d:88ff:feee:6a82). Modified EUI-64 형식으로 링크-로컬 주소를 자동으로 지정하는 것이 좋습니다. 만약 다른 디바이스에서 Modified EUI-64 형식을 강제 적용하는 경우 수동으로 지정된 링크-로컬 주소 때문에 패킷이 폐기될 수 있습니다.

  • Standby Link-Local Address(스탠바이 링크-로컬 주소): 인터페이스가 고가용성 디바이스 쌍을 연결하는 경우 이 주소를 구성합니다. 이 인터페이스가 연결된 다른 디바이스에 있는 인터페이스의 링크-로컬 주소를 입력합니다.

  • Static Address/Prefix(고정 주소/접두사): 스테이트리스 자동 구성을 사용하지 않는 경우 전체 고정 글로벌 IPv6 주소와 네트워크 접두사를 입력합니다. 예를 들어, 2001:0DB8::BA98:0:3210/48와 같이 입력합니다. 다른 고정 주소를 추가할 수 있습니다.

  • Standby IP Address(스탠바이 IP 주소): 고가용성을 구성하는 경우 이 인터페이스에서 HA를 모니터링하는 중이라면 같은 서브넷에 스탠바이 IPv6 주소도 구성합니다. 스탠바이 디바이스의 이 인터페이스에서 스탠바이 주소를 사용합니다. 스탠바이 IP 주소를 설정하지 않으면 액티브 유닛이 네트워크 테스트를 사용하여 스탠바이 인터페이스를 모니터링할 수 없으며 링크 상태만 추적할 수 있습니다.

단계 3

완료한 경우 Save(저장)를 클릭하거나 다음 절차 중 하나를 계속합니다.

고급 ASA 물리적 인터페이스 옵션 구성

고급 인터페이스 옵션에는 대부분의 네트워크에 적합한 기본 설정이 있습니다. 네트워킹 문제를 해결하는 경우에만 이러한 설정을 구성하십시오.

다음 절차에서는 인터페이스가 이미 정의되어 있다고 가정합니다. 인터페이스를 처음 수정하거나 생성할 때 이러한 설정을 수정할 수도 있습니다.

이 절차 및 모든 단계는 선택 사항입니다.

프로시저

단계 1

Editing Physical Interface(물리적 인터페이스 편집) 대화 상자에서 Advanced(고급) 탭을 클릭합니다.

단계 2

다음 고급 설정을 구성합니다.

  • HA Monitoring(HA 모니터링): 디바이스가 HA 쌍이 고가용성 구성에서 피어 디바이스로 페일오버할지 여부를 결정할 때 인터페이스의 상태를 요소로 포함하려면 활성화합니다. 이 옵션은 고가용성을 구성하지 않는 경우 무시되며 인터페이스의 이름을 구성하지 않는 경우에도 무시됩니다.

  • Management Only(관리만): 데이터 인터페이스 관리만 수행하려면 활성화합니다.

    관리 전용 인터페이스에서는 통과 트래픽을 허용하지 않으므로 데이터 인터페이스를 관리 전용 인터페이스로 설정할 때 사용할 수 있는 값은 거의 없습니다. 관리/진단 인터페이스(항상 관리 전용)의 경우에는 이 설정을 변경할 수 없습니다.

  • MTU: 기본 MTU는 1500바이트입니다. 64~9198 사이의 값을 지정할 수 있습니다. 네트워크에서 대개 점보 프레임이 표시되면 높은 값을 설정합니다.

  • Duplex and Speed (Mbps)(듀플렉스 및 속도(Mbps)): 기본적으로 인터페이스는 연결 반대쪽의 인터페이스와 최적의 이중 및 속도를 협상하지만, 필요한 경우 특정 이중이나 속도를 강제 적용할 수 있습니다. 나열된 옵션은 인터페이스에서 지원하는 유일한 옵션입니다. 네트워크 모듈의 인터페이스에 이러한 옵션을 설정하기 전에 인터페이스 구성에 대한 제한 사항을 읽어보십시오.

    • Duplex(듀플렉스): Auto(자동), Half(하프) 또는 Full(풀)을 선택합니다. 인터페이스가 지원하는 경우 자동이 기본값입니다.

    • Speed(속도): Auto(자동)를 선택하여 인터페이스가 속도를 협상하도록 하거나(이 옵션이 기본값임), 10, 100, 1000, 10000Mbps 중에서 특정 속도를 선택합니다. 다음과 같은 특수 옵션을 선택할 수도 있습니다.

  • DAD Attempts(DAD 시도): 인터페이스가 DAD(Duplicate Address Detection)를 수행하는 빈도를 0~600 사이의 값으로 설정합니다. 기본값은 1입니다. 스테이트리스 자동 구성 프로세스에서 DAD는 새로운 유니캐스트 IPv6 주소가 고유한지 확인한 다음 주소를 인터페이스에 할당합니다. 중복 주소가 인터페이스의 링크-로컬 주소인 경우 인터페이스의 IPv6 패킷 처리가 사용 해제됩니다. 중복 주소가 전역 주소인 경우 주소가 사용되지 않습니다. 인터페이스에서는 네이버 요청 메시지를 사용하여 DAD를 수행합니다. DAD(Duplicate Address Detection) 처리를 비활성화하려면 값을 0으로 설정합니다.

  • MAC Address(MAC 주소): H.H.H. 형식의 MAC(Media Access Control) 주소입니다. 여기서 H는 16비트 16진수입니다. 예를 들어 MAC 주소 00-0C-F1-42-4C-DE는 000C.F142.4CDE로 입력합니다. MAC 주소에는 멀티캐스트 비트를 설정해서는 안 됩니다(즉, 왼쪽에서 두 번째 16진수는 홀수일 수 없음).

  • Standby MAC Address(스탠바이 MAC 주소): 고가용성에 사용할 주소입니다. 액티브 유닛이 페일오버되고 스탠바이 유닛이 액티브 상태가 되면, 네트워크 중단을 최소화하기 위해 새 액티브 유닛에서 액티브 MAC 주소를 사용하기 시작하고 기존 액티브 유닛은 스탠바이 주소를 사용합니다.

단계 3

인터페이스를 저장한 경우 고급 인터페이스 옵션을 계속 진행하지 않으려면 Enable Interface(인터페이스 활성화)를 계속 진행합니다.

단계 4

Save(저장)를 클릭합니다.

ASA 물리적 인터페이스 활성화

프로시저

단계 1

활성화할 물리적 인터페이스를 선택합니다.

단계 2

인터페이스의 논리적 이름과 연결된 창의 오른쪽 상단에 있는 State(상태) 슬라이더를 이동합니다.

단계 3

변경한 사항을 검토하고 구축합니다.

ASA VLAN 하위 인터페이스 추가

VLAN 하위 인터페이스를 사용하면 실제 인터페이스를 각기 다른 VLAN ID로 태그가 지정된 여러 논리적 인터페이스로 분할할 수 있습니다. 하나 이상의 VLAN 하위 인터페이스가 포함된 인터페이스는 자동으로 802.1Q 트렁크로 구성됩니다. VLAN을 사용하면 정해진 실제 인터페이스에서 트래픽을 따로 유지할 수 있으므로, 실제 인터페이스 또는 디바이스를 더 추가하지 않고 네트워크에 사용 가능한 인터페이스 수를 늘릴 수 있습니다.

스위치의 트렁크 포트에 물리적 인터페이스를 연결하는 경우 하위 인터페이스를 생성합니다. 스위치 트렁크 포트에 표시될 수 있는 각 VLAN에 대해 하위 인터페이스를 생성합니다. 스위치의 액세스 포트에 물리적 인터페이스를 연결하는 경우 하위 인터페이스를 생성할 필요가 없습니다.

ASA VLAN 하위 인터페이스 구성

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

수정하려는 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Interfaces(인터페이스)를 클릭합니다.

단계 4

다음 방법 중 하나를 사용하여 하위 인터페이스를 추가할 수 있습니다.

  • -> Subinterface(하위 인터페이스)를 선택합니다.
  • 구성할 물리적 인터페이스를 선택하고 오른쪽의 Actions(작업) 창에서 New Subinterface(새로운 하위 인터페이스)를 클릭합니다.

단계 5

VLAN ID 필드에 1~4094 범위의 VLAN ID를 입력합니다.

일부 VLAN ID의 경우 연결된 스위치에서 예약될 수 있으므로 스위치 설명서에서 자세한 내용을 확인하십시오. 다중 상황 모드의 경우 시스템 컨피그레이션에서 VLAN만 설정할 수 있습니다.

단계 6

Subinterface ID(하위 인터페이스 ID) 필드에 하위 인터페이스 ID를 1~4294967293 범위의 정수로 입력합니다.

허용되는 하위 인터페이스의 개수는 플랫폼에 따라 다릅니다. 다음을 설정한 후에는 ID를 변경할 수 없습니다.

단계 7

다음 절차 중 하나를 계속합니다.

ASA 하위 인터페이스에 대한 IPv4 주소 지정 구성

프로시저

단계 1

Create Subinterface(하위 인터페이스 생성) 대화 상자의 IPv4 Address(IPv4 주소) 탭에서 다음을 구성합니다.

  • 유형: 인터페이스에 대해 고정 IP 주소 지정 또는 DHCP를 사용할 수 있습니다.

    Static(고정) - 변경되면 안 되는 주소를 할당하려면 이 옵션을 선택합니다.

    • IP Address and Subnet Mask(IP 주소 및 서브넷 마스크): 인터페이스에 연결된 네트워크에 대해 인터페이스의 IP 주소와 서브넷 마스크를 입력합니다.

    • Standby IP Address(스탠바이 IP 주소) - 고가용성을 구성하는 경우 이 인터페이스에서 HA를 모니터링하는 중이라면 같은 서브넷에 스탠바이 IP 주소도 구성합니다. 스탠바이 디바이스의 이 인터페이스에서 스탠바이 주소를 사용합니다.

      각 인터페이스에 대한 스탠바이 IP 주소를 설정합니다. 스탠바이 주소는 지정하는 것이 좋지만 필수 항목은 아닙니다. 스탠바이 IP 주소가 없으면 액티브 유닛이 네트워크 테스트를 수행하여 스탠바이 인터페이스 상태를 확인할 수 없으며 링크 상태만 추적할 수 있습니다.

    DHCP: 네트워크의 DHCP 서버에서 주소를 가져와야 하는 경우 이 옵션을 선택합니다.

    Obtain Default Route(기본 경로 얻기) 확인란을 선택하여 DHCP 서버에서 기본 경로를 가져올 수 있습니다. 일반적으로 이 옵션을 선택합니다.

단계 2

완료한 경우 Save(저장)를 클릭하거나 다음 절차 중 하나를 계속합니다.

ASA 하위 인터페이스에 대한 IPv6 주소 지정 구성

프로시저

단계 1

Creating Subinterface(하위 인터페이스 생성) 대화 상자에서 IPv6 Address(IPv6 주소) 탭을 클릭합니다.

단계 2

다음을 구성합니다.

  • State(상태): IPv6 처리를 활성화하고 전역 주소를 구성하지 않을 때 링크 로컬 주소를 자동으로 구성하려면 State(상태) 슬라이더를 클릭하여 사용하도록 설정합니다. 링크-로컬 주소는 인터페이스 MAC 주소(수정된 EUI-64 형식)를 기반으로 생성됩니다.

    참고

     

    IPv6를 비활성화해도 명시적 IPv6 주소로 구성되었거나 자동 구성용으로 활성화된 인터페이스에서 IPv6 처리가 비활성화되지는 않습니다.

  • Address Auto Configuration(주소 자동 구성):

    주소를 자동으로 구성하려면 이 옵션을 선택합니다. IPv6 스테이트리스 자동 컨피그레이션에서는 디바이스가 있는 링크에 IPv6 서비스를 제공하도록 구성된 라우터가 있는 경우에만 글로벌 IPv6 주소를 생성합니다. 이러한 서비스에는 링크에서 사용할 IPv6 글로벌 접두사 알림이 포함됩니다. 링크에서 IPv6 라우팅 서비스를 사용할 수 없는 경우에는 링크-로컬 IPv6 주소만 제공됩니다. 디바이스의 직접 네트워크 링크 외부에서는 이 주소에 액세스할 수 없습니다. 링크 로컬 주소는 수정된 EUI-64 인터페이스 ID를 기반으로 합니다.

    RFC 4862에서는 스테이트리스 자동 컨피그레이션에 대해 구성한 호스트에서 라우터 알림 메시지를 전송하지 않도록 지정하지만, 이 경우에는 디바이스에서 라우터 알림 메시지를 전송합니다. 메시지를 표시하지 않고 RFC를 준수하려면 RA 표시 안 함을 선택합니다.

  • Suppress RA(RA 표시 안 함): 라우터 알림을 표시하지 않으려면 이 상자를 선택합니다. 디바이스는 인접 디바이스가 기본 라우터 주소를 동적으로 학습할 수 있도록 라우터 알림에 참여할 수 있습니다. 기본적으로 라우터 알림 메시지(ICMPv6 유형 134)는 IPv6가 구성된 각 인터페이스에 주기적으로 전송됩니다.

    라우터 광고는 라우터 요청 메시지에 대한 응답으로도 보내집니다(ICMPv6 Type 133). 예정된 다음 라우터 광고 메시지를 기다릴 필요 없이 호스트가 즉시 자동 구성을 할 수 있도록 시스템 시동 시 라우터 요청 메시지가 전송됩니다.

    디바이스에서 IPv6 접두사를 제공하지 않도록 하려는 인터페이스(예: 외부 인터페이스)에서는 이러한 메시지를 표시하지 않을 수 있습니다.

  • DAD 시도 - 인터페이스가 DAD(Duplicate Address Detection)를 수행하는 빈도를 0~600 사이의 값으로 설정합니다. 기본값은 1입니다. 스테이트리스 자동 구성 프로세스에서 DAD는 새로운 유니캐스트 IPv6 주소가 고유한지 확인한 다음 주소를 인터페이스에 할당합니다. 중복 주소가 인터페이스의 링크-로컬 주소인 경우 인터페이스의 IPv6 패킷 처리가 사용 해제됩니다. 중복 주소가 전역 주소인 경우 주소가 사용되지 않습니다. 인터페이스에서는 네이버 요청 메시지를 사용하여 DAD를 수행합니다. DAD(Duplicate Address Detection) 처리를 비활성화하려면 값을 0으로 설정합니다.

  • Link-Local Address(링크-로컬 주소): 주소를 링크 로컬로만 사용하려면 Link-Local Address(링크-로컬 주소) 필드에 주소를 입력합니다. 로컬 네트워크 외부에서는 링크 로컬 주소에 액세스할 수 없습니다. 브리지 그룹 인터페이스에서는 링크-로컬 주소를 구성할 수 없습니다.

    참고

     

    링크-로컬 주소는 FE8, FE9, FEA 또는 FEB로 시작해야 합니다(예: fe80::20d:88ff:feee:6a82). Modified EUI-64 형식으로 링크-로컬 주소를 자동으로 지정하는 것이 좋습니다. 만약 다른 디바이스에서 Modified EUI-64 형식을 강제 적용하는 경우 수동으로 지정된 링크-로컬 주소 때문에 패킷이 폐기될 수 있습니다.

  • Standby Link-Local Address(스탠바이 링크-로컬 주소): 인터페이스가 고가용성 디바이스 쌍을 연결하는 경우 이 주소를 구성합니다. 이 인터페이스가 연결된 다른 디바이스에 있는 인터페이스의 링크-로컬 주소를 입력합니다.

  • Static Address/Prefix(고정 주소/접두사): 스테이트리스 자동 구성을 사용하지 않는 경우 전체 고정 글로벌 IPv6 주소와 네트워크 접두사를 입력합니다. 예를 들어, 2001:0DB8::BA98:0:3210/48와 같이 입력합니다. 다른 고정 주소를 추가할 수 있습니다.

  • Standby IP Address(스탠바이 IP 주소): 고가용성을 구성하는 경우 이 인터페이스에서 HA를 모니터링하는 중이라면 같은 서브넷에 스탠바이 IPv6 주소도 구성합니다. 스탠바이 디바이스의 이 인터페이스에서 스탠바이 주소를 사용합니다. 스탠바이 IP 주소를 설정하지 않으면 액티브 유닛이 네트워크 테스트를 사용하여 스탠바이 인터페이스를 모니터링할 수 없으며 링크 상태만 추적할 수 있습니다.

단계 3

완료한 경우 Save(저장)를 클릭하거나 다음 절차 중 하나를 계속합니다.

고급 ASA VLAN 하위 인터페이스 옵션 구성

고급 인터페이스 옵션에는 대부분의 네트워크에 적합한 기본 설정이 있습니다. 네트워킹 문제를 해결하는 경우에만 이러한 설정을 구성하십시오.

다음 절차에서는 인터페이스가 이미 정의되어 있다고 가정합니다. 인터페이스를 처음 수정하거나 생성할 때 이러한 설정을 수정할 수도 있습니다.

이 절차 및 모든 단계는 선택 사항입니다.

프로시저

단계 1

Creating Subinterface(하위 인터페이스 생성) 대화 상자에서 Advanced(고급) 탭을 클릭합니다.

단계 2

다음 고급 설정을 구성합니다.

  • HA Monitoring(HA 모니터링): 디바이스가 HA 쌍이 고가용성 구성에서 피어 디바이스로 페일오버할지 여부를 결정할 때 인터페이스의 상태를 요소로 포함하려면 활성화합니다. 이 옵션은 고가용성을 구성하지 않는 경우 무시되며 인터페이스의 이름을 구성하지 않는 경우에도 무시됩니다.

  • Management Only(관리만): 데이터 인터페이스 관리만 수행하려면 활성화합니다.

    관리 전용 인터페이스에서는 통과 트래픽을 허용하지 않으므로 데이터 인터페이스를 관리 전용 인터페이스로 설정할 때 사용할 수 있는 값은 거의 없습니다. 관리/진단 인터페이스(항상 관리 전용)의 경우에는 이 설정을 변경할 수 없습니다.

  • MTU: 기본 MTU는 1500바이트입니다. 64~9198 사이의 값을 지정할 수 있습니다. 네트워크에서 대개 점보 프레임이 표시되면 높은 값을 설정합니다.

  • DAD Attempts(DAD 시도): 인터페이스가 DAD(Duplicate Address Detection)를 수행하는 빈도를 0~600 사이의 값으로 설정합니다. 기본값은 1입니다. 스테이트리스 자동 구성 프로세스에서 DAD는 새로운 유니캐스트 IPv6 주소가 고유한지 확인한 다음 주소를 인터페이스에 할당합니다. 중복 주소가 인터페이스의 링크-로컬 주소인 경우 인터페이스의 IPv6 패킷 처리가 사용 해제됩니다. 중복 주소가 전역 주소인 경우 주소가 사용되지 않습니다. 인터페이스에서는 네이버 요청 메시지를 사용하여 DAD를 수행합니다. DAD(Duplicate Address Detection) 처리를 비활성화하려면 값을 0으로 설정합니다.

  • MAC Address(MAC 주소): H.H.H. 형식의 MAC(Media Access Control) 주소입니다. 여기서 H는 16비트 16진수입니다. 예를 들어 MAC 주소 00-0C-F1-42-4C-DE는 000C.F142.4CDE로 입력합니다. MAC 주소에는 멀티캐스트 비트를 설정해서는 안 됩니다(즉, 왼쪽에서 두 번째 16진수는 홀수일 수 없음).

  • Standby MAC Address(스탠바이 MAC 주소): 고가용성에 사용할 주소입니다. 액티브 유닛이 페일오버되고 스탠바이 유닛이 액티브 상태가 되면, 네트워크 중단을 최소화하기 위해 새 액티브 유닛에서 액티브 MAC 주소를 사용하기 시작하고 기존 액티브 유닛은 스탠바이 주소를 사용합니다.

단계 3

인터페이스를 저장한 경우 고급 인터페이스 옵션을 계속 진행하지 않으려면 Enable Subinterface(하위 인터페이스 활성화)를 계속 진행합니다.

단계 4

Save(저장)를 클릭합니다.

하위 인터페이스 활성화

프로시저

단계 1

활성화할 하위 인터페이스를 선택합니다.

단계 2

인터페이스의 논리적 이름과 연결된 창의 오른쪽 상단에 있는 State(상태) 슬라이더를 이동합니다.

단계 3

변경한 사항을 검토하고 구축합니다.

ASA 하위 인터페이스 제거

ASA에서 하위 인터페이스를 제거하려면 다음 절차를 수행합니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

수정하려는 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Interfaces(인터페이스)를 클릭합니다.

단계 4

Interfaces(인터페이스) 페이지에서 삭제할 하위 인터페이스와 연결된 물리적 인터페이스를 확장한 다음 해당 하위 인터페이스를 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Remove(제거)를 클릭합니다.

단계 6

EtherChannel 인터페이스 삭제를 확인하고 Delete(삭제)를 클릭합니다.

단계 7

변경한 사항을 검토하고 구축합니다.

ASA EtherChannel 인터페이스 정보

802.3ad EtherChannel은 개별 이더넷 링크(채널 그룹)의 번들로 구성된 논리적 인터페이스(일명 포트 채널 인터페이스)이므로, 단일 네트워크의 대역폭을 늘리게 됩니다. 포트 채널 인터페이스는 인터페이스 관련 기능을 구성할 경우 물리적 인터페이스와 동일한 방식으로 사용됩니다.

모델에서 지원하는 인터페이스의 수에 따라 최대 48개의 EtherChannel을 구성할 수 있습니다.

LACP(Link Aggregation Control Protocol)

LACP(Link Aggregation Control Protocol)에서는 두 네트워크 디바이스 간의 LACPDU(Link Aggregation Control Protocol Data Units)를 교환하여 인터페이스를 취합합니다.

LACP에서는 사용자의 작업 없이 EtherChannel에 링크를 자동으로 추가 및 삭제하는 작업을 조율합니다. 또한 구성 오류를 처리하고 멤버 인터페이스의 양끝이 모두 올바른 채널 그룹에 연결되어 있는지 확인합니다. "On" 모드에서는 인터페이스가 중단될 경우 채널 그룹의 스탠바이 인터페이스를 사용할 수 없으며, 연결 및 컨피그레이션이 확인되지 않습니다.

ASA EtherChannel 인터페이스에 대한 자세한 내용은 ASDM 설명서 1: Cisco ASA 시리즈 일반 작업 ASDM 구성 가이드, X, YEtherChannel 및 이중 인터페이스 장을 참조하십시오.

ASA EtherChannel 구성

ASA에 새 EtherChannel 인터페이스를 추가하려면 이 절차를 사용합니다.

시작하기 전에

ASA 인터페이스에서 EtherChannel을 구성하려면 다음 사전 요건을 충족해야 합니다.

  • 채널 그룹의 모든 인터페이스는 미디어 유형 및 용량이 동일해야 하며 속도 및 듀플렉스를 동일하게 설정해야 합니다. 미디어 유형은 RJ-45 또는 SFP일 수 있으며 서로 다른 유형(구리 및 광섬유)의 SFP를 혼합할 수 있습니다. 속도가 Detect SFP(SFP 탐지)로 설정되어 있는 한 다른 인터페이스 용량을 지원하는 Secure Firewall 3100의 경우를 제외하고, 대용량 인터페이스에서는 속도를 더 낮게 설정하여 인터페이스 용량(예: 1GB 및 10GB 인터페이스)을 혼합할 수 없습니다. 이 경우 최저 공통 속도가 사용됩니다.

  • 해당 이름을 구성하지 않은 경우 물리적 인터페이스를 채널 그룹에 추가할 수 없습니다. 먼저 이름을 제거해야 합니다.

  • 다른 EtherChannel 인터페이스 그룹, Switchport 인터페이스 및 하위 인터페이스가 있는 인터페이스의 일부는 추가할 수 없습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

수정하려는 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Interfaces(인터페이스)를 클릭합니다.

단계 4

> EtherChannel Interface(EtherChannel 인터페이스)를 선택합니다.

단계 5

Logical Name(논리적 이름) 필드에 EtherChannel 인터페이스의 이름을 제공합니다.

단계 6

EtherChannel ID에 1~8 사이의 정수를 입력합니다.

단계 7

Link Aggregation Control Protocol(링크 어그리게이션 제어 프로토콜)의 드롭다운 버튼을 클릭하고 두 가지 옵션 중 하나를 선택합니다.

  • Active(활성화) — LACP 업데이트를 보내고 받습니다. 액티브 EtherChannel은 액티브 또는 패시브 EtherChannel과의 연결을 설정할 수 있습니다. LACP 트래픽 양을 최소화할 필요가 없는 한 액티브 모드를 사용해야 합니다.
  • On(켜짐) — EtherChannel은 항상 켜져 있으며 LACP는 사용되지 않습니다. On(켜짐)인 EtherChannel은 On(켜짐)으로 구성된 다른 EtherChannel과만 연결할 수 있습니다.

단계 8

EtherChannel에 멤버로 포함할 인터페이스를 검색하여 선택합니다. 하나 이상의 인터페이스를 포함해야 합니다.

경고

 

EtherChannel 인터페이스를 멤버로 추가하고 이미 IP 주소가 구성된 경우 CDO는 멤버의 IP 주소를 제거합니다.

단계 9

IPv4, IPv6, Advanced(고급) 탭 중에서 선택하여 하위 인터페이스의 IP 주소를 구성합니다.

단계 10

창의 오른쪽 상단에 있는 State(상태) 슬라이더를 이동하여 EtherChannel 인터페이스를 활성화합니다.

단계 11

Save(저장)를 클릭합니다.

단계 12

변경한 사항을 검토하고 구축합니다.

ASA EtherChannel 편집

ASA에서 기존 EtherChannel을 편집하려면 이 절차를 수행합니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

수정하려는 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Interfaces(인터페이스)를 클릭합니다.

단계 4

Interfaces(인터페이스) 페이지에서 편집할 EtherChannel 인터페이스를 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Edit(편집)를 클릭합니다.

단계 6

원하는 값을 수정하고 Save(저장)를 클릭합니다.

단계 7

변경한 사항을 검토하고 구축합니다.

ASA EtherChannel 인터페이스 제거

ASA에서 EtherChannel 인터페이스를 제거하려면 다음 절차를 수행합니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

수정하려는 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Interfaces(인터페이스)를 클릭합니다.

단계 4

Interfaces(인터페이스) 페이지에서 삭제할 EtherChannel 인터페이스를 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Remove(제거)를 클릭합니다.

단계 6

EtherChannel 인터페이스 삭제를 확인하고 Delete(삭제)를 클릭합니다.

단계 7

변경한 사항을 검토하고 구축합니다.

CDO에서 ASA 시스템 설정 정책

ASA 시스템 설정 정책 소개

시스템 설정 정책을 사용하여 ASA 디바이스의 작동 및 기능을 관리합니다. 이 정책은 도메인 이름 서비스, 보안 복사 서버 활성화, 메시지 로깅, ACL 확인 없이 VPN 트래픽 허용 등의 필수 구성을 포함합니다. 정책을 설정하면 디바이스가 보안 네트워크 환경을 유지하도록 올바르게 구성되도록 할 수 있습니다.

ASA 디바이스를 구성할 때는 공유 시스템 설정 정책으로 여러 디바이스의 설정을 관리하는 옵션을 사용할 수도 있고 단일 디바이스의 설정을 개별적으로 수정할 수도 있다는 점을 기억해야 합니다.

공유 시스템 설정 정책

공유 시스템 설정 정책은 네트워크의 여러 ASA 디바이스에 적용됩니다. 이를 사용하면 여러 매니지드 디바이스를 한 번에 구성할 수 있으므로 구축 일관성을 유지하고 관리 작업을 간소화할 수 있습니다. 공유 정책의 매개변수에 적용되는 변경 사항은 해당 정책을 사용하는 다른 ASA 디바이스에 영향을 미칩니다.

Policies(정책) > ASA System Settings(ASA 시스템 설정)를 선택합니다. ASA 공유 시스템 설정 정책 생성의 내용을 참조하십시오.

또한 단일 ASA 디바이스에 해당하는 디바이스별 시스템 설정을 수정하여 공유 시스템 설정 정책 값을 재정의할 수 있습니다. Inventory(재고 목록) > ASA device(ASA 디바이스) > Management(관리) > Settings(설정)를 선택합니다. 디바이스별 시스템 설정 구성 또는 수정의 내용을 참조하십시오.

ASA 공유 시스템 설정 정책 생성

이 섹션을 사용하여 ASA 디바이스에 대한 새로운 공유 시스템 설정 정책을 생성합니다.

프로시저

단계 1

Policies(정책) -> ASA System Settings(ASA 시스템 설정)를 선택합니다.

단계 2

버튼을 클릭합니다.

단계 3

Name(이름) 필드에 정책 이름을 입력하고 Save(저장)를 클릭합니다.

단계 4

ASA 공유 시스템 설정 편집 페이지에서 원하는 매개변수를 구성합니다.

참고

 

  • 해당 매개변수의 주황색 점()은 저장되지 않은 변경 사항을 강조 표시합니다.

  • 거부된 기호()는 디바이스의 기존 로컬 값을 사용하는 매개변수를 강조 표시합니다.

기본 DNS 설정 구성

ASA에서 호스트 이름의 IP 주소를 확인할 수 있도록 DNS 서버를 구성해야 합니다. 또한 액세스 규칙에서 FQDN(Fully Qualified Domain Name) 네트워크 개체를 사용하려면 DNS 서버를 구성해야 합니다.

프로시저

단계 1

ASA 시스템 설정 편집 페이지의 왼쪽 창에서 DNS를 클릭합니다.

단계 2

공유 ASA 시스템 설정 정책의 값을 구성하려면 Retain existing values(기존 값 유지) 확인란의 선택을 취소합니다.

중요사항

 

Retain existing values (기존 값 유지) 체크 박스 이 선택되어 있으면 필드가 표시되지 않으므로 값을 구성할 수 없습니다. CDO 은 이 설정에 ASA 디바이스 의 기존 로컬 값을 사용하며 공유 정책 에서 상속되지 않습니다.

단계 3

DNS 섹션에서 을 클릭하여 서버를 구성합니다.

  • IP Version(IP 버전): 사용할 IP 주소 버전을 선택합니다.

  • IP Address(IP 주소): DNS 서버의 IP 주소를 지정합니다.

  • Interface Name(인터페이스 이름): DNS 조회를 활성화할 인터페이스를 지정합니다.

참고

 

여기에 지정된 인터페이스 이름이 이 공유 시스템 설정 정책과 연결된 ASA 디바이스에서 동일한지 확인하십시오.

단계 4

Save(저장)를 클릭합니다.

단계 5

Domain name(도메인 이름) 필드에서 ASA의 도메인 이름을 지정합니다.

ASA는 도메인 이름을 정규화되지 않은 이름에 접미사로 추가합니다. 예를 들어, 도메인 이름을 “example.com”으로 설정하고 “jupiter”라는 정규화되지 않은 이름으로 syslog 서버를 지정한 경우 ASA는 해당 이름을 “jupiter.example.com”으로 정규화합니다.

단계 6

DNS Lookup(DNS 조회) 섹션에서 을 클릭하고 인터페이스 이름을 지정합니다.

인터페이스에서 DNS 조회를 활성화하지 않으면 ASA에서는 해당 인터페이스의 DNS 서버와 통신하지 않습니다. DNS 서버에 액세스하는 데 사용할 모든 인터페이스에서 DNS 조회를 활성화해야 합니다.

참고

 

구성된 인터페이스를 제거하려면 Actions(작업) 아래에서 삭제 아이콘을 클릭합니다.

단계 7

Save(저장)를 클릭합니다.

HTTP 설정 구성

관리 액세스를 위해 ASA 인터페이스에 액세스하려면 HTTP를 사용하여 ASA에 액세스할 수 있는 모든 호스트/네트워크의 주소를 지정해야 합니다. HTTPS에 HTTP 연결을 리디렉션하도록 지정하기 위해 HTTP 리디렉션을 구성하는 경우, HTTP를 허용하도록 액세스 규칙을 활성화해야 합니다. 액세스 규칙을 활성화하지 않으면 인터페이스가 HTTP 포트를 수신 대기할 수 없습니다.

프로시저

단계 1

ASA 시스템 설정 편집 페이지의 왼쪽 창에서 HTTP를 클릭합니다.

단계 2

공유 ASA 시스템 설정 정책의 값을 구성하려면 Retain existing values(기존 값 유지) 확인란의 선택을 취소합니다.

중요사항

 

Retain existing values (기존 값 유지) 체크 박스 이 선택되어 있으면 필드가 표시되지 않으므로 값을 구성할 수 없습니다. CDO 은 이 설정에 ASA 디바이스 의 기존 로컬 값을 사용하며 공유 정책 에서 상속되지 않습니다.

단계 3

HTTP 서버를 활성화하려면 Enable HTTP Server(HTTP 서버 활성화) 확인란을 선택합니다.

단계 4

Port Number(포트 번호) 필드에서 포트 번호를 설정합니다. port는 인터페이스가 HTTP 연결을 리디렉션하는 포트를 식별합니다.

경고

 

디바이스의 HTTP 포트를 변경하면 CDO에 대한 연결에 문제가 발생할 수 있습니다. 디바이스의 네트워크 연결과 관련된 설정을 변경하려는 경우 이 점을 기억하는 것이 중요합니다.

단계 5

HTTP 정보를 추가하려면 을 클릭합니다.

  • Interface(인터페이스): 여기에 지정된 인터페이스 이름이 이 공유 시스템 설정 정책과 연결된 ASA 디바이스에서 동일한지 확인하십시오.

  • IP Version(IP 버전): 사용할 IP 주소 버전을 선택합니다.

  • IP Address(IP 주소): HTTP를 사용하여 ASA에 액세스할 수 있는 모든 호스트/네트워크의 주소를 지정합니다.

  • Netmask(넷마스크): 네트워크의 서브넷 마스크를 지정합니다.

참고

 

호스트를 제거하려면 Actions(작업) 아래에서 삭제 아이콘을 클릭합니다.

단계 6

Save(저장)를 클릭합니다.

NTP 서버를 사용하여 날짜 및 시간 설정

NTP는 네트워크 시스템 간에 정확하게 동기화된 시간을 제공하는 계층적 서버 시스템을 구현하는 데 사용합니다. 정밀한 타임 스탬프가 포함된 CRL 검증과 같이 시간에 민감한 작업에는 이러한 정확성이 필요합니다. 여러 NTP 서버를 구성할 수 있습니다. ASA는 데이터의 신뢰도 지표인 stratum이 가장 낮은 서버를 선택합니다.

NTP 서버에서 가져온 시간은 직접 설정한 어떤 시간도 재정의합니다.

ASA는 NTPv4를 지원합니다.

프로시저

단계 1

ASA 시스템 설정 편집 페이지의 왼쪽 창에서 NTP를 클릭합니다.

단계 2

공유 ASA 시스템 설정 정책의 값을 구성하려면 Retain existing values(기존 값 유지) 확인란의 선택을 취소합니다.

중요사항

 

Retain existing values (기존 값 유지) 체크 박스 이 선택되어 있으면 필드가 표시되지 않으므로 값을 구성할 수 없습니다. CDO 은 이 설정에 ASA 디바이스 의 기존 로컬 값을 사용하며 공유 정책 에서 상속되지 않습니다.

단계 3

NTP 서버 세부 정보를 추가하려면 를 클릭합니다.

  • IP Version(IP 버전): 사용할 IP 주소 버전을 선택합니다.

  • IP Address(IP 주소): NTP 서버의 IP 주소를 지정합니다.

    서버의 호스트 이름은 입력할 수 없습니다. ASA에서는 NTP 서버에 대한 DNS 조회를 지원하지 않습니다.

  • Key Id(키 ID): 1~4294967295 사이의 숫자를 입력합니다.

    이 설정은 이 인증 키의 키 ID를 지정합니다. 그러면 인증을 사용하여 NTP 서버와 통신할 수 있습니다. NTP 서버 패킷에서도 이 키 ID를 사용해야 합니다.

  • Interface Name(인터페이스 이름): 인터페이스 이름을 지정합니다. 여기에 지정된 인터페이스 이름이 이 공유 시스템 설정 정책과 연결된 ASA 디바이스에서 동일한지 확인하십시오.

    NTP는 알고리즘을 사용하여 어떤 서버가 가장 정확한지 알아내고 그 서버와 동기화합니다. 서버의 정확도가 비슷하면 기본 서버를 사용합니다. 그러나 어떤 서버가 기본 서버보다 훨씬 더 정확할 경우 ASA는 더 정확한 쪽을 사용합니다.

  • Prefer(기본): (선택 사양) : 이 서버를 기본 서버로 설정하려면 Preferred(기본) 확인란을 선택합니다.

참고

 

NTP 서버를 제거하려면 Actions(작업) 아래에서 삭제 아이콘을 클릭합니다.

단계 4

Save(저장)를 클릭합니다.

SSH 액세스 구성

ASA에서 SCP(Secure Copy) 서버를 활성화할 수 있습니다. SSH를 사용하여 ASA에 액세스하는 것이 허용된 클라이언트만 SCP 연결을 설정할 수 있습니다.

프로시저

단계 1

ASA 시스템 설정 편집 페이지의 왼쪽 창에서 SSH를 클릭합니다.

단계 2

공유 ASA 시스템 설정 정책의 값을 구성하려면 Retain existing values(기존 값 유지) 확인란의 선택을 취소합니다.

중요사항

 

Retain existing values (기존 값 유지) 체크 박스 이 선택되어 있으면 필드가 표시되지 않으므로 값을 구성할 수 없습니다. CDO 은 이 설정에 ASA 디바이스 의 기존 로컬 값을 사용하며 공유 정책 에서 상속되지 않습니다.

단계 3

Enable Scopy SSH(Scopy SSH 활성화)(보안 복사 SSH)를 활성화합니다.

단계 4

Timeout in Minutes(시간 초과(분)) 필드에서 1분~60분 범위에서 시간 제한을 설정합니다. 기본값은 5분입니다. 이 기본값은 대개 너무 짧으므로 모든 프로덕션 전 단계 테스트 및 문제 해결을 완료할 수 있도록 늘려야 합니다.

단계 5

을 클릭하고 다음을 구성합니다.

  • Interface(인터페이스): 인터페이스 이름을 지정합니다. 여기에 지정된 인터페이스 이름이 이 공유 시스템 설정 정책과 연결된 ASA 디바이스에서 동일한지 확인하십시오.

  • IP Version(IP 버전): 사용할 IP 주소 버전을 선택합니다.

  • IP Address(IP 주소): SSH를 사용하여 ASA에 액세스할 수 있는 모든 호스트/네트워크의 주소를 지정합니다.

  • Netmask(넷마스크): 네트워크의 서브넷 마스크를 지정합니다.

참고

 

SSH 세부 정보를 제거하려면 Actions(작업) 아래에서 삭제 아이콘을 클릭합니다.

단계 6

Save(저장)를 클릭합니다.

시스템 로깅 구성

시스템 로깅은 디바이스의 메시지를 syslog 데몬을 실행 중인 서버로 수집하는 방식입니다. 중앙 syslog 서버에 로깅하면 로그와 경고를 종합하는 데 도움이 됩니다. Cisco 디바이스는 로그 메시지를 UNIX 스타일 syslog 서비스로 전송할 수 있습니다. syslog 서비스는 메시지를 수신하고 파일로 저장하거나 간단한 구성 파일에 따라 인쇄합니다. 이 로깅 양식을 통해 로그를 안전하게 장기 보관할 수 있습니다. 로그는 일상적인 문제 해결과 인시던트 처리에 모두 유용합니다.

보안 수준

다음 표는 syslog 메시지 심각도 수준을 나열합니다.

표 1. Syslog 메시지 심각도 레벨

레벨 번호

Security Level(보안 레벨)

설명

0

emergencies(비상)

시스템을 사용할 수 없습니다.

1

Alert(긴급 경고)

즉각적인 행동이 필요합니다.

2

critical(심각)

심각한 상태입니다.

3

error(오류)

오류 상태입니다.

4

warning(경고)

경고 상태입니다.

5

notification(알림)

일반적이지만 중요한 상태입니다.

6

informational(정보)

정보를 제공하는 메시지만 해당.

7

debugging(디버깅)

디버깅 메시지만 해당됩니다.

문제를 디버깅할 때 이 레벨에서 일시적으로만 기록합니다. 이 로그 레벨은 시스템 성능에 영향을 미칠 수 있는 메시지를 너무 많이 생성할 수 있습니다.

참고

ASA는 심각도 레벨이 0(응급)인 Syslog 메시지를 생성하지 않습니다.
프로시저

단계 1

ASA 시스템 설정 편집 페이지의 왼쪽 창에서 Syslog(시스템 로그)를 클릭합니다.

단계 2

공유 ASA 시스템 설정 정책의 값을 구성하려면 Retain existing values(기존 값 유지) 확인란의 선택을 취소합니다.

중요사항

 

Retain existing values (기존 값 유지) 체크 박스 이 선택되어 있으면 필드가 표시되지 않으므로 값을 구성할 수 없습니다. CDO 은 이 설정에 ASA 디바이스 의 기존 로컬 값을 사용하며 공유 정책 에서 상속되지 않습니다.

단계 3

다음을 구성합니다.

  • Logging Enabled(로깅 활성화): 보안 로깅을 활성화합니다.

  • Timestamp Enabled(타임스탬프 활성화): 시스템 로그 메시지에 날짜와 시간을 포함하려면 활성화합니다.

  • Permit host down(호스트 다운 허용): (선택 사항)TCP 연결 syslog 서버가 다운되었을 때 새로운 연결을 차단하려면 이 기능을 비활성화합니다.

  • Buffer Size(버퍼 크기): 내부 로그 버퍼의 크기를 지정합니다. 허용되는 범위는 4096 ~ 1048576바이트입니다.

  • Buffered Logging Level(버퍼링된 로깅 수준): 임시 저장 위치 역할을 하는 내부 로그 버퍼로 어떤 시스템 로그 메시지를 전송할지 지정합니다.

  • Console Logging Level(콘솔 로깅 수준): 콘솔 포트로 어떤 syslog 메시지를 보낼지 지정합니다.

  • Trap Logging Level(트랩 로깅 수준): 어떤 시스템 로그 메시지를 시스템 로그 서버에 전송할지 지정합니다.

단계 4

시스템 로그 서버 세부 정보를 추가하려면 를 클릭합니다.

  • Interface Name(인터페이스 이름): 시스템 로그 서버가 위치하는 인터페이스 이름을 지정합니다. 여기에 지정된 인터페이스 이름이 이 공유 시스템 설정 정책과 연결된 ASA 디바이스에서 동일한지 확인하십시오.

  • IP Version(IP 버전): 사용할 IP 주소 버전을 선택합니다.

  • IP Address(IP 주소): 시스템 로그 서버의 IP 주소를 지정합니다.

  • Protocol(프로토콜): 시스템 로그 메시지를 시스템 로그 서버로 보낼 때 ASA가 사용해야 하는 프로토콜(TCP 또는 UDP)을 선택합니다.

    • Port(포트): 시스템 로그 서버가 시스템 로그 메시지에 대해 수신 대기하는 포트를 지정합니다. 허용되는 TCP 포트 범위는 1~65535이고, UDP 포트 범위는 1025~65535입니다.

    • Log messages in Cisco EMBLEM format(Cisco EMBLEM 형식으로 메시지 기록)(UDP만 해당): UDP만 사용하는 시스템 로그 서버에 대해 EMBLEM 형식 로깅을 사용하도록 활성화합니다.

    • Enable secure syslog using SSL?(SSL을 사용하여 보안 시스템 로그 활성화?): 원격 로깅 호스트로의 연결이 TCP에 한해 SSL/TLS를 사용하도록 지정합니다.

  • Reference Identity(참조 ID): 이전에 구성한 참조 ID 개체를 기반으로 인증서에 대해 RFC 6125 참조 ID 확인을 활성화하려면 참조 ID 유형을 지정합니다. 참조 ID 개체에 대한 자세한 내용은 Configure Reference Identities(참조 ID 구성)을 참조하십시오.

참고

 

시스템 로그 서버를 제거하려면 Actions(작업) 아래에서 삭제 아이콘을 클릭합니다.

단계 5

Save(저장)를 클릭합니다.

Sysopt 설정 활성화

발신 인터페이스에 바인딩된 암호화 맵 ACL은 VPN 터널을 통한 IPsec 패킷을 허용 또는 거부합니다. IPsec는 IPsec 터널에서 도착하는 패킷을 인증하고 암호를 해독하며 터널에 연계된 ACL에 대한 평가를 받게 합니다.

ACL이 보호할 IP 트래픽을 정의합니다. 예를 들어 2개의 서브넷 또는 2개의 호스트 간에 모든 IP 트래픽을 보호하도록 ACL을 생성할 수 있습니다.

프로시저

단계 1

ASA 시스템 설정 편집 페이지의 왼쪽 창에서 Sysopt를 클릭합니다.

단계 2

공유 ASA 시스템 설정 정책의 값을 구성하려면 Retain existing values(기존 값 유지) 확인란의 선택을 취소합니다.

중요사항

 

Retain existing values (기존 값 유지) 체크 박스 이 선택되어 있으면 필드가 표시되지 않으므로 값을 구성할 수 없습니다. CDO 은 이 설정에 ASA 디바이스 의 기존 로컬 값을 사용하며 공유 정책 에서 상속되지 않습니다.

단계 3

Allow VPN traffic to bypass interface access lists(VPN 트래픽이 인터페이스 액세스 목록을 우회하도록 허용)를 활성화하면 ACL 검사를 우회합니다.

단계 4

Save(저장)를 클릭합니다.

Shared System Settings(공유 시스템 설정) 페이지에서 정책 할당

공유 시스템 설정 정책을 구성한 후 온보딩된 ASA 디바이스를 할당하고 변경 사항이 적용되도록 디바이스에 설정을 구축합니다. 정책에 대한 변경 사항은 정책과 연결된 디바이스에 영향을 줍니다.

디바이스 관련 설정 페이지에서 정책을 할당할 수도 있습니다.


참고

ASA 디바이스를 하나의 공유 시스템 설정 정책에만 연결할 수 있습니다.

프로시저

단계 1

Policies(정책) -> ASA System Settings(ASA 시스템 설정)를 선택합니다.

단계 2

공유 정책을 선택하고 Edit(편집)를 클릭합니다.

단계 3

정책 이름 옆에 나타나는 필터를 클릭하여 디바이스를 할당합니다.

단계 4

선택한 정책과 연결할 ASA 디바이스를 선택하고 OK(확인)를 클릭합니다.

참고

 

선택한 정책과 이미 연결된 디바이스에 대한 확인란이 선택됩니다.

빨간색 아이콘 이 표시되는 경우, 공유 시스템 설정 정책을 디바이스에 적용하는 중에 오류가 발생했음을 의미합니다. 문제를 해결하려면 ASA System Settings(ASA 시스템 설정) 페이지에서 정책을 클릭하고 Error Detected(오류 탐지) 창에서 Device Workflows(디바이스 워크플로우)를 클릭하여 추가 정보를 가져옵니다.

단계 5

변경한 사항을 검토하고 구축합니다.

디바이스별 시스템 설정 구성 또는 수정

디바이스별 시스템 설정은 CDO를 사용하여 수정할 수 있는 ASA 디바이스에 해당하는 기존 값입니다. 공유 시스템 설정 정책 값을 원하는 매개변수의 기존의 디바이스 특정 값으로 재정의할 수 있습니다.

이 주제에서는 온보딩된 ASA 디바이스의 시스템 설정을 구성하는 방법에 대해 설명합니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

단계 3

ASA 탭을 클릭합니다.

단계 4

원하는 ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Settings(설정)를 클릭합니다.

선택한 ASA 디바이스의 디바이스별 시스템 설정이 표시됩니다.

참고

 

선택한 디바이스에 공유 시스템 설정 정책이 할당된 경우 Parent Policy(상위 정책)에서 정책을 열 수 있는 링크를 제공합니다. 디바이스 관련 설정 페이지에서 정책을 할당할 수도 있습니다. 선택한 정책과 연결할 ASA 디바이스를 선택하고 OK(확인)를 클릭합니다.

단계 5

원하는 시스템 설정의 값을 구성하거나 수정하고 Save(저장)를 클릭합니다.

참고

 

공유 및 디바이스별 시스템 설정에 대한 필드 설명은 동일하게 유지됩니다. 아래의 해당 링크를 클릭하면 자세한 내용을 확인할 수 있습니다.

Return to Security Devices(보안 디바이스로 돌아가기)를 클릭하여 Security Devices(보안 디바이스) 페이지로 이동할 수 있습니다.

단계 6

변경한 후 Save(저장)를 클릭합니다.

참고

 

해당 매개변수의 주황색 점()은 저장되지 않은 변경 사항을 강조 표시합니다.

Device-Specific Settings(디바이스별 설정) 페이지에서 정책 할당

온보딩된 ASA 디바이스의 디바이스별 설정 페이지에서 정책을 할당할 수도 있습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

원하는 ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Settings(설정)를 클릭합니다.

선택한 ASA 디바이스의 디바이스별 설정이 표시됩니다.

참고

 

선택한 디바이스에 공유 시스템 설정 정책이 할당된 경우 Parent Policy(상위 정책)에서 정책을 열 수 있는 링크를 제공합니다. 선택한 정책과 연결할 ASA 디바이스를 선택하고 OK(확인)를 클릭합니다.

단계 4

공유 시스템 설정 정책을 할당하려면 Parent Policy(상위 정책) 버튼을 클릭합니다.

단계 5

정책을 선택하고 Apply(적용)를 클릭합니다.

단계 6

변경한 사항을 검토하고 구축합니다.

공유 시스템 설정 정책에 ASA 디바이스 자동 할당

새 ASA 디바이스를 온보딩하거나 변경 사항을 확인하거나 기존 디바이스에 대한 대역 외 변경 사항을 전달할 때 CDO는 다음을 확인합니다.

  • 디바이스별 설정이 기존 공유 시스템 설정 정책과 일치합니다. 일치하는 항목이 있으면 디바이스는 공유 시스템 설정 정책에 할당됩니다.

  • 온보딩된 디바이스의 디바이스별 설정은 서로 일치합니다. 그러면 새 공유 시스템 설정 정책이 자동으로 생성되고, 동일한 로컬 설정의 디바이스가 이 공유 정책에 할당됩니다.


참고

사용자가 생성했는지 또는 시스템이 생성했는지에 상관없이 공유 설정 정책의 이름을 변경할 수 있습니다.

ASA 공유 시스템 설정 정책 필터링

ASA System Setting(ASA 시스템 설정) 페이지에서 특정 공유 시스템 설정 정책을 검색하는 경우 문제 및 사용량을 기준으로 필터를 사용하여 검색을 좁히고 더 쉽게 원하는 항목을 찾을 수 있습니다.

Policies(정책) > ASA System Settings(ASA 시스템 설정)를 선택하고

  • Issues(문제):

    • Issue Detected(문제 탐지됨): 디바이스를 적용할 때 문제가 있는 정책만 표시됩니다.

    • No issue(문제 없음): 디바이스에 성공적으로 적용된 정책만 표시됩니다.

  • Usage(사용):

    • In Use(사용 중): 디바이스에 할당된 정책을 표시합니다.

    • Unused(사용되지 않음): 디바이스에 아직 할당되지않은 정책을 표시합니다.

공유 시스템 설정 정책에서 디바이스 연결 해제

ASA 디바이스가 공유 시스템 설정 정책에 더 이상 필요하지 않은 경우에는 쉽게 분리를 해제할 수 있습니다. 다음과 같은 경우 디바이스가 정책에서 분리됩니다.

  • 디바이스 관련 설정이 변경되며, 이 경우 공유 정책의 해당 설정이 디바이스의 기존 값을 유지하도록 구성되지 않습니다.

  • 디바이스는 공유 시스템 설정 정책에서 수동으로 분리됩니다.

  • 공유 시스템 설정 정책이 CDO에서 삭제되었습니다. 이 경우 디바이스가 삭제되지는 않습니다. 공유 설정 정책 삭제의 내용을 참조하십시오.

프로시저

단계 1

Policies(정책) -> ASA System Settings(ASA 시스템 설정)를 선택합니다.

단계 2

공유 정책을 선택하고 Edit(편집)를 클릭합니다.

단계 3

정책 이름 옆에 나타나는 필터를 클릭하여 디바이스를 분리합니다.

단계 4

선택한 공유 시스템 설정 정책에서 분리하려는 디바이스의 선택을 취소하고 OK(확인)를 클릭합니다.

참고

 

변경 사항은 자동으로 저장되며 수동 구축이 필요하지 않습니다.

공유 설정 정책 삭제

일부 공유 설정 정책을 제거하려는 경우 하나 이상의 정책을 선택하고 삭제할 수 있습니다. 하지만 아직 디바이스에 적용되거나 커밋되지 않은 경우에만 삭제할 수 있습니다.

시작하기 전에

삭제하려는 공유 설정 정책에서 디바이스가 분리되어 있는지 확인합니다. 자세한 내용은 공유 시스템 설정에서 디바이스 연결 해제를 참조하십시오.

프로시저

단계 1

왼쪼 창에서 Policies(정책) > ASA System Settings(ASA 시스템 설정)를 선택합니다.

단계 2

공유 정책을 선택하고 Delete(삭제)를 클릭합니다.

단계 3

OK(확인)를 클릭하여 작업을 확인합니다.

참고

 

CDO에서 ASA를 삭제하면 디바이스 관련 설정 및 구성도 삭제되며 공유 설정 정책에서 디바이스 참조가 제거됩니다.

CDO에서 ASA 라우팅

라우팅 프로토콜은 메트릭을 사용하여 패킷이 이동할 최적의 경로를 평가합니다. 메트릭은 경로 대역폭과 같은 측정 기준이며, 대상에 대한 최적 경로를 결정하는 라우팅 알고리즘에 사용됩니다. 라우팅 알고리즘은 경로 결정을 돕기 위해 경로 정보를 포함하는 라우팅 테이블을 초기화하고 유지합니다. 경로 정보는 사용된 경로 알고리즘에 따라 달라집니다.

라우팅 알고리즘은 다양한 정보로 라우팅 테이블을 채웁니다. 목적지 또는 다음 홉 연결은 최종 목적지로 향하는 과정에서 다음 홉에 해당하는 라우터에 패킷을 전달하는 것이 목적지에 도달하는 최적의 방식임을 라우터에 알립니다. 라우터가 수신 패킷을 수신하면 목적지 주소를 확인하고 이 주소를 다음 홉과 연결하려고 시도합니다.

라우팅 테이블은 또한 경로의 선호도와 같은 다른 정보도 포함합니다. 라우터는 메트릭을 비교하여 최적의 경로를 결정하고 이러한 메트릭은 사용된 라우팅 알고리즘의 설계에 따라 달라집니다.

라우터는 서로 통신하며 다양한 메시지의 전송을 통해 라우팅 테이블을 유지합니다. 라우팅 업데이트 메시지는 일반적으로 라우팅 테이블 전체 또는 일부로 구성되는 메시지입니다. 라우터는 다른 모든 라우터의 라우팅 업데이트를 분석함으로써 네트워크 토폴로지에 대한 자세한 그림을 그릴 수 있습니다. 라우터 간에 전송되는 메시지의 또 다른 예인 링크-상태 알림은 다른 라우터에 발신자 링크의 상태를 알려줍니다. 연결 정보는 라우터가 네트워크 목적지로의 최적의 경로를 결정할 수 있도록 네트워크 토폴로지의 완전한 그림을 그리는 데 사용됩니다.

ASA 고정 경로 정보

비연결 호스트 또는 네트워크에 트래픽을 라우팅하려면 정적 또는 동적 라우팅을 사용하여 해당 호스트 또는 네트워크로 가는 경로를 정의해야 합니다. 일반적으로 최소한 하나의 고정 경로를 구성해야 합니다. 다른 방법으로는 기본 네트워크 게이트웨이(대개는 다음 홉 라우터)에 라우팅되지 않는 모든 트래픽을 위한 기본 경로입니다.

ASA 라우팅 개념 및 CLI 명령에 대한 일반적인 정보는 다음 문서를 참조하십시오.

기본 라우터

가장 간단한 옵션은 트래픽을 라우팅해주는 라우터에 의존하여 모든 트래픽을 업스트림 라우터로 보내는 기본 정적 경로를 컨피그레이션하는 것입니다. 기본 고정 경로는 ASA가 학습 경로나 고정 경로를 가지고 있지 않은 모든 IP 패킷을 보낼 게이트웨이 IP 주소를 식별합니다. 기본 정적 경로는 대상 IP 주소가 0.0.0.0/0(IPv4) 또는 ::/0(IPv6)인 정적 경로일 뿐입니다.

항상 기본 경로를 정의해야 합니다.

고정 경로

다음과 같은 경우, 고정 경로를 사용할 수 있습니다.

  • 네트워크에서 지원하지 않는 라우터 검색 프로토콜을 사용합니다.

  • 네트워크 규모가 작고 고정 경로를 쉽게 관리할 수 있습니다.

  • 트래픽이나 CPU 오버헤드를 라우팅 프로토콜과 연결하지 않는 것이 좋습니다.

  • 기본 경로만으로 충분하지 않을 때도 있습니다. 기본 게이트웨이가 목적지 네트워크에 도달할 수 없는 경우가 있기 때문에 보다 구체적인 고정 경로도 구성해야 합니다. 예를 들어 기본 게이트웨이가 밖에 있는 경우 기본 경로는 ASA에 직접 연결되지 않은 내부 네트워크로 트래픽을 안내할 수 없습니다.

  • 동적 라우팅 프로토콜을 지원하지 않는 기능을 사용 중입니다.

고정 경로 추적

고정 경로의 문제 중 하나는 경로가 정상인지 다운되었는지 확인할 수 있는 내재적인 메커니즘이 없다는 것입니다. 다음 홉 게이트웨이가 사용할 수 없게 되어도 라우팅 테이블에 남습니다. 고정 경로는 ASA의 연결된 인터페이스가 다운되는 경우에만 라우팅 테이블에서 제거됩니다.

고정 경로 추적 기능은 고정 경로의 가용성을 추적하고 기본 경로가 실패할 경우 보조 경로를 설치하는 수단을 제공합니다. 예를 들어 기본 ISP를 사용할 수 없는 경우에 대비하여 ISP 게이트웨이로의 기본 경로와 보조 ISP로의 보조 기본 경로를 정의할 수 있습니다.

ASA에서는 ASA에서 ICMP 에코 요청을 통해 모니터링하는 목적지 네트워크의 모니터링 대상 호스트와 고정 경로를 연결하는 방법으로 고정 경로 추적을 구현합니다. 에코 응답이 지정된 시간 동안 수신되지 않으면 호스트는 다운된 것으로 간주되며 연결된 경로가 라우팅 테이블에서 제거됩니다. 메트릭이 높은 비추적 백업 경로를 제거된 경로 대신 사용합니다.

모니터링 대상을 선택할 때, ICMP 에코 요청에 응답할 수 있는지 확인해야 합니다. 대상은 사용자가 선택하는 아무 네트워크 객체나 될 수 있지만 다음을 사용할 것을 고려해야 합니다.

  • ISP 게이트웨이(이중 ISP 지원) 주소.

  • 다음 홉 게이트웨이 주소(게이트웨이의 가용성이 우려되는 경우).

  • syslog 서버와 같이 ASA가 통신해야 하는 대상 네트워크에 있는 서버.

  • 목적지 네트워크에 있는 지속적인 네트워크 객체.

ASA 고정 경로 구성

고정 경로는 특정 목적지 네트워크로 향하는 트래픽을 어디로 보낼지 정의합니다.

이 섹션에서는 ASA 디바이스에 고정 경로를 추가하는 단계를 설명합니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

고정 경로를 구성할 디바이스를 선택합니다.

단계 4

오른쪽의 Management(관리) 창에서 Routing(라우팅)을 클릭합니다.

단계 5

를 클릭하여 고정 경로를 추가합니다.

단계 6

경로에 대한 Description(설명)을 입력할 수 있습니다.

단계 7

경로가 IPv4 주소인지 아니면 IPv6 주소인지를 선택합니다.

단계 8

경로 속성을 구성합니다.

  • Interface(인터페이스): 트래픽을 전송하는 데 사용할 인터페이스를 선택합니다. 이 인터페이스를 통해 게이트웨이 주소에 액세스할 수 있어야 합니다.

    Null0 경로를 사용하여 원치 않는 트래픽을 전달하여 트래픽이 삭제되도록 할 수 있습니다. 고정 Null0 경로는 성능을 향상시킵니다. 또한 라우팅 루프를 방지하는 데 고정 null0 경로를 사용할 수 있습니다.

    ASA CLI에서는 Null0 또는 null0 문자열을 모두 사용이 가능합니다.

  • Gateway(게이트웨이): (Null0 경로에는 적용되지 않음) 대상 네트워크에 대해 게이트웨이의 IP 주소를 식별하는 네트워크 개체를 선택합니다. 트래픽은 이 주소로 전송됩니다.

  • Metric(메트릭): 경로의 관리 거리(1~254)입니다. 정적 경로의 경우 기본값은 1입니다. 인터페이스와 게이트웨이 간에 추가 라우터가 있으면 홉 수를 관리 거리로 입력합니다.

    관리 거리는 경로를 비교하는 데 사용되는 파라미터입니다. 값이 작을수록 경로에는 더 높은 우선 순위가 지정됩니다. 연결된 경로(디바이스의 인터페이스에 직접 연결되는 네트워크)가 항상 고정 경로보다 우선적으로 사용됩니다.

  • Destination IP(대상 IP): 대상 네트워크를 식별하고 이 경로에서 게이트웨이를 사용하는 호스트를 포함하는 네트워크 개체를 선택합니다.

  • Destination Mask(대상 마스크)(IPv4 주소 지정에만 해당): 대상 IP의 서브넷 마스크를 입력합니다.

  • Tracking(추적)(IPv4 주소 지정에만 해당): 필드에 경로 추적 프로세스를 위한 고유한 식별자를 입력합니다.

단계 9

Save(저장)를 클릭합니다.

단계 10

변경 사항을 Review and deploy(검토 및 배포)하거나, 한 번에 여러 변경 사항을 기다렸다가 배포합니다.

ASA 고정 경로 편집

ASA 디바이스와 연결된 고정 경로 매개변수를 편집할 수 있습니다.


참고

그러나 고정 경로를 수정하는 동안 다른 IP 버전을 선택할 수는 없습니다. 또는 요구 사항에 따라 새 고정 경로를 생성할 수 있습니다.
프로시저

단계 1

고정 경로를 수정할 ASA 디바이스를 선택합니다.

단계 2

오른쪽의 Management(관리) 창에서 Routing(라우팅)을 클릭합니다.

단계 3

라우팅 목록 페이지에서 수정할 경로를 선택하고 오른쪽의 Actions(작업) 창에서 Edit(편집)를 클릭합니다.

단계 4

원하는 값을 수정하고 Save(저장)를 클릭합니다. 라우팅 매개변수에 대한 자세한 내용은 ASA 고정 경로 구성의 내용을 참조하십시오.

단계 5

변경 사항을 Review and Deploy(검토 및 구축)하거나, 한 번에 여러 변경 사항을 기다렸다가 배포합니다.

고정 경로 삭제

시작하기 전에

고정 경로를 삭제하면 디바이스의 로컬 SDC 또는 CDO에 대한 연결에 영향을 줄 수 있습니다. 연결 손실에 대비하여 적절한 재해 복구 절차를 적용해야 합니다.

프로시저

단계 1

삭제할 ASA 디바이스를 선택합니다.

단계 2

오른쪽의 Management(관리) 창에서 Routing(라우팅)을 클릭합니다.

단계 3

라우팅 목록 페이지에서 수정할 경로를 선택하고 오른쪽의 Actions(작업) 창에서 Delete(삭제)를 클릭합니다.

단계 4

OK(확인)를 클릭하여 변경 사항을 확인합니다.

단계 5

변경 사항을 Review and Deploy(검토 및 구축)하거나, 한 번에 여러 변경 사항을 기다렸다가 배포합니다.

CDO에서 보안 정책 관리

보안 정책에서 네트워크 트래픽을 검사하는 궁극적인 목표는 트래픽을 의도한 대상으로 허용하거나 보안 위협이 식별된 경우 트래픽을 삭제하는 것입니다. CDO를 사용하여 다양한 유형의 디바이스에서 보안 정책을 구성할 수 있습니다.

ASA 네트워크 보안 정책 관리

ASA 네트워크 보안 정책에는 ASA 방화벽을 통해 다른 네트워크에 액세스하는 트래픽을 허용할지 아니면 거부할지를 결정하는 ACL(액세스 제어 목록)이 포함됩니다. 이 섹션에서는 ASA 액세스 목록을 생성하고 그 목록에서 액세스 규칙을 구성하는 단계를 간략하게 설명합니다. 또한 액세스 제어 목록에 인터페이스를 할당하고 CDO에서 관리하는 다른 ASA 디바이스 간에 공유하는 단계도 자세히 설명합니다.

ASA 액세스 제어 목록 및 액세스 그룹 정보

ASA 액세스 제어 목록

ACL(액세스 제어 목록)은 소스 및 대상 IP 주소, IP 프로토콜, 포트, 소스 및 기타 매개변수와 같은 다양한 특성을 기반으로 트래픽 흐름을 식별하는 데 사용됩니다.

다음은 액세스 목록 샘플입니다.

access-list ACL extended permit ip any any

ACL은 액세스 목록의 이름입니다.

여러 디바이스에서 개별적으로 동일한 액세스 목록을 생성하지 않고 단일 액세스 목록을 생성하여 여러 ASA 디바이스에서 공유할 수 있습니다. 공유 액세스 목록에 적용된 변경사항은 ACL이 할당된 모든 디바이스에 자동으로 적용됩니다. 필요에 따라 액세스 목록을 다른 ASA 디바이스에 복사할 수도 있습니다.

액세스 규칙

액세스 목록에는 소스 및 대상 IP 주소, IP 프로토콜, 포트 번호, 보안 그룹 태그 등의 특정 특성에 따라 네트워크에 대한 트래픽 흐름을 허용하거나 거부하는 액세스 규칙이 포함되어 있습니다.

ASA 액세스 그룹

액세스 그룹은 모든 방향의 트래픽 흐름에 대해 구성된 디바이스 인터페이스에 액세스 목록이 할당될 때 설정되는 특정 연결입니다. 액세스 목록에는 디바이스 인터페이스를 통과하는 트래픽을 허용하거나 거부하는 특정 규칙이 포함되어 있습니다.

다음은 디바이스 인터페이스가 액세스 목록에 할당될 때 생성되는 액세스 그룹 샘플입니다.

access-group ACL out interface giginterface0

ACL 은 액세스 목록의 이름이고 giginterface0은 액세스 목록에 할당된 디바이스 인터페이스의 논리적 이름입니다.


참고

API 엔드포인트를 사용하여 ASA 액세스 그룹을 관리하려면 Cisco DevNet 웹사이트 에서 Get Access Groups(액세스 그룹 가져오기)를 참조하십시오.

ASA 액세스 목록 생성

ASA 방화벽에서 액세스 목록을 구성할 때 소스에서 네트워크 외부의 대상으로의 트래픽을 허용하는 규칙이 자동으로 만들어집니다. 추가 규칙을 만들고 액세스 목록을 인터페이스에 할당하여 트래픽 네트워크를 규제할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

단계 3

ASA 탭을 클릭하고 해당 확인란을 선택하여 ASA 디바이스를 선택합니다.

단계 4

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 5

Create Access List(액세스 목록 생성)를 클릭합니다.

단계 6

Name(이름) 필드에 액세스 목록에 대한 이름을 입력하고 Save(저장)를 클릭합니다.

참고

 

한 디바이스에 같은 이름의 액세스 목록을 두 개 가질 수는 없습니다.

단계 7

Save(저장)를 클릭합니다.

CDO는 액세스 그룹 및 모든 트래픽을 허용하는 기본 규칙을 생성합니다.

이제 액세스 목록에 새 규칙을 추가할 수 있습니다. ASA 액세스 목록에 규칙 추가을 참조하십시오.

다음에 수행할 작업

ASA 액세스 목록에 규칙 추가

규칙 번호에 따라 오름차순으로 규칙을 추가할 수 있습니다. 패킷은 규칙이 생성된 순서대로 규칙에 따라 확인되며, 첫 번째 규칙이 우선하고 그 다음 규칙이 뒤따릅니다. 필요한 경우 규칙의 위치를 조정할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 확인란을 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

Selected Access List(선택한 액세스 목록) 드롭다운 목록에서 원하는 액세스 목록을 선택합니다.

단계 5

오른쪽에 표시되는 Add Rule(규칙 추가)() 아이콘을 클릭합니다.

참고

 

정렬된 목록에서 원하는 위치 위로 마우스를 가져간 다음 Add Rule Here(여기에 규칙 추가)를 클릭합니다.

단계 6

New Access Rule(새 액세스 규칙) 창에서 다음 정보를 제공합니다.

  • Order(순서): 순서가 지정된 규칙 목록에 규칙을 삽입할 위치를 선택합니다. 규칙은 첫 번째 일치 기준으로 적용되며, 규칙 목록의 위치에 따라 1부터 마지막까지의 우선 순위가 지정됩니다.

  • Action(작업): 설명된 트래픽을 허용(허가)할지 또는 차단(삭제)할지 지정합니다.

  • Protocol(프로토콜): IP, TCP, UDP, ICMP 또는 ICMPv6과 같은 트래픽 프로토콜을 지정합니다. 기본값은 IP이지만, 더 세밀하게 트래픽 대상을 지정하기 위해 더 구체적인 프로토콜을 선택할 수도 있습니다.

  • Source/Destination(소스/대상): 소스(시작 주소) 및 대상(트래픽 흐름의 대상 주소)을 정의합니다. 일반적으로 호스트나 서브넷의 IPv4 주소를 구성하는데, 이는 네트워크 개체 그룹으로 나타낼 수 있습니다. 소스 또는 대상에는 하나의 개체만 할당할 수 있습니다. 새 네트워크 개체 또는 그룹을 생성하려면 ASA 네트워크 개체 및 네트워크 그룹 생성 또는 편집을 참조하십시오.

  • Port(포트): TCP 또는 UDP와 같은 서비스 유형과 포트 번호 또는 포트 번호 범위를 쌍으로 구성하는 포트 개체를 선택합니다.

  • SGT Group(SGT 그룹): 목록에서 원하는 보안 그룹을 할당합니다. 기본값은 Any(모두)입니다. ASA 정책의 보안 그룹 태그를 참조하십시오.

  • Time Range(시간 범위): 시간을 기준으로 네트워크 및 리소스에 액세스할 수 있도록 ASA 네트워크 정책의 시간 범위를 정의합니다. ASA 시간 범위 개체를 참조하십시오.

  • Logging(기록): 네트워크 정책 규칙으로 인한 활동은 기본적으로 기록되지 않습니다. 개별 규칙에 대한 로깅을 활성화할 수 있습니다. 로그 규칙 활동을 참조하십시오.

단계 7

Save(저장)를 클릭합니다.

규칙이 액세스 그룹에 추가되고 활성 상태로 설정됩니다.

단계 8

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

시스템 로그 활성 정보

새 규칙을 설정할 때 해당 활동을 얼마나 자주, 어떤 심각도 수준으로 수집할지 지정할 수 있습니다. 이렇게 하려면 해당 심각도 수준을 선택한 다음 데이터 수집 빈도를 선택하면 됩니다. 이렇게 하면 규칙에 의해 생성된 활동을 모니터링하고 분석하는 데 필요한 정보를 확보할 수 있습니다.


참고

ASA는 심각도 레벨이 0(응급)인 Syslog 메시지를 생성하지 않습니다.

로그 기록이 업데이트되는 빈도를 나타내는 로깅 간격을 조정할 수 있는 옵션이 있습니다. 이 간격은 초 단위로 측정되며 1에서 600까지 설정할 수 있습니다. 기본적으로 간격은 300초로 설정되어 있습니다. 이 간격 값은 삭제 통계를 수집하는 캐시에서 비활성 플로우를 삭제하기 위한 시간 초과 값으로도 활용됩니다.

표 2. 로그 규칙 활동

Security Level(보안 레벨)

설명

emergencies(비상)

시스템을 사용할 수 없습니다.

경고

즉각적인 행동이 필요합니다.

중요

심각한 상태입니다.

오류

오류 상태입니다.

경고

경고 상태입니다.

notification(알림)

일반적이지만 중요한 상태입니다.

정보

정보를 제공하는 메시지만 해당.

debugging(디버깅)

디버깅 메시지만 해당됩니다.

액세스 제어 목록에서 규칙 비활성화

액세스 제어 목록에 새 규칙을 생성하는 경우, 이는 기본적으로 활성화됩니다. 그러나 트래픽 플로우를 최적화 하거나 충돌을 해결하거나 문제를 격리하려면 개별 규칙을 일시적으로 비활성화할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

Selected Access List(선택한 액세스 목록) 드롭다운 목록에서 원하는 액세스 제어 목록을 선택합니다.

단계 5

규칙 목록에서 원하는 해당 규칙 확인란을 선택합니다.

단계 6

선택한 행에서 Active(활성) 설정을 밀어 꺼냅니다.

단계 7

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

ASA 정책의 보안 그룹 태그 정보

액세스 제어 규칙에 SGT(보안 그룹 태그)를 사용하는 ASA를 온보딩하는 경우 CDO는 SGT 그룹을 사용하는 규칙을 편집하고 이러한 규칙이 포함된 정책을 관리할 수 있습니다. 그러나 CDO GUI를 사용하여 SGT 그룹을 생성하거나 편집할 수는 없습니다. SGT 그룹을 생성하거나 수정하려면 ASA의 ASDM(Adaptive Security Device Manager) 또는 CDO에서 사용 가능한 CLI를 사용해야 합니다.

CDO의 개체 페이지에서 SGT 그룹의 세부 정보를 볼 때 해당 개체가 편집 불가한 시스템 제공 개체로 식별되는 것을 확인할 수 있습니다.

CDO 관리자는 SGT 그룹을 포함하는 ACL 및 ASA 정책에서 다음 작업을 수행할 수 있습니다.

  • 소스 및 대상 보안 그룹을 제외한 ACL의 모든 측면을 편집합니다.

  • 한 ASA에서 다른 ASA로 SGT 그룹을 포함하는 정책을 복사합니다.

명령줄 인터페이스를 사용하여 Cisco TrustSec을 구성하는 방법에 대한 자세한 지침은 해당 ASA 릴리스에 있는 ASA CLI 제2권: Cisco ASA Series 방화벽 CLI 구성 가이드의 "ASA 및 Cisco TrustSec" 장을 참조하십시오.

ASA 액세스 제어 목록에 인터페이스 할당

액세스 제어 목록에 ASA 인터페이스를 할당하면 디바이스는 목록과 인터페이스 간에 특정 연결을 설정합니다. 액세스 제어 목록과 관련된 규칙은 트래픽이 지정된 방향으로 흐르는 인터페이스에만 적용됩니다.

단일 트래픽 흐름 방향에 대해 인터페이스당 하나의 액세스 목록만 할당할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 확인란을 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 액세스 목록을 선택합니다.

단계 5

오른쪽에 표시되는 Actions(작업) 창에서 Assign Interfaces(인터페이스 할당)을 클릭합니다.

단계 6

Interface(인터페이스) 드롭다운 목록에서 인터페이스를 선택합니다.

단계 7

방향 드롭다운 목록에서 선택한 액세스 목록을 적용할 방향을 지정합니다.

지정된 액세스 목록은 트래픽이 지정된 방향으로 흐르는 인터페이스에 적용됩니다. 이 액세스 목록은 여러 인터페이스와 방향에 적용할 수 있습니다.

ASA 디바이스의 모든 인터페이스에 액세스 목록을 적용하려면 ASA 전역 액세스 목록 생성을 참조하십시오.

단계 8

Save(저장)를 클릭합니다.

단계 9

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

ASA 전역 액세스 목록 생성

전역 액세스 정책은 ASA의 모든 인터페이스에 적용되는 네트워크 정책입니다. 이러한 정책은 인바운드 네트워크 트래픽에만 적용됩니다. 전역 액세스 정책을 만들어 일련의 규칙이 ASA의 모든 인터페이스에 균일하게 적용되도록 할 수 있습니다.

ASA에는 하나의 전역 액세스 정책만 구성할 수 있습니다. 하지만 다른 정책과 마찬가지로 전역 액세스 정책에도 둘 이상의 규칙이 할당될 수 있습니다.

ASA에서 규칙을 처리하는 순서는 다음과 같습니다.

  1. 인터페이스 액세스 규칙

  2. BVI(Bridge Virtual Interface) 액세스 규칙

  3. 전역 액세스 규칙

  4. 암시적 거부 규칙

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 확인란을 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

Selected Access List(선택한 액세스 목록) 드롭다운 목록에서 액세스 목록을 선택합니다.

단계 5

오른쪽에 표시되는 Actions(작업) 창에서 Assign Interfaces(인터페이스 할당)을 클릭합니다.

단계 6

Create as a global access list(전역 액세스 목록으로 만들기) 확인란을 선택합니다.

단계 7

Save(저장)를 클릭합니다.

단계 8

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

여러 ASA 디바이스와 ASA 액세스 제어 목록 공유

네트워크 보안 에서 액세스 정책을 공유하면 효율성, 일관성 및 중앙 집중식 관리 가 효과적으로 개선되어, 보안 태세 상태가 전반적으로 향상됩니다. 공유 액세스 제어 목록을 사용하면 액세스 규칙을 ASA 디바이스에 한 번 정의한 다음 별도로 구성하는 대신 다른 CDO 매니지드 ASA 디바이스에 적용할 수 있습니다. 이는 네트워크의 일관성을 보장하고 구성이 잘못될 위험을 줄입니다. 또한 공유 액세스 제어 목록은 증가하는 사용자와 ASA 디바이스에 대한 액세스 제어 목록을 관리할 수 있도록 함으로써 성장하고 발전하는 네트워크에 대한 확장성을 제공합니다.

다음에 유의해야 합니다.

  • 액세스 제어 목록 규칙은 공유되지만 인터페이스는 포함되지 않습니다.

  • 다른 ASA 디바이스와 액세스 제어 목록을 공유하면 같은 이름의 기존 액세스 제어 목록을 덮어쓰게 됩니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 액세스 제어 목록을 선택합니다.

단계 5

오른쪽의 표시되는 Actions(작업) 창에서 Share(공유)를 클릭합니다.

단계 6

해당 확인란을 선택하여 ASA 디바이스를 선택하고 Save(저장)를 클릭합니다.

표시된 Device Relationships(디바이스 관계) 창에는 선택한 액세스 제어 목록을 공유하는 ASA 디바이스가 표시됩니다.

단계 7

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

ASA 액세스 목록을 다른 ASA로 복사

ASA 액세스 제어 목록은 동일한 테넌트의 다른 CDO 매니지드 디바이스에 쉽게 복사할 수 있습니다. 액세스 목록 파일을 대상 ASA 디바이스에 복사한 후에는 액세스 그룹에 대한 추가 변경 사항이 대상 디바이스에 자동으로 적용되지 않습니다. 이 기능은 변경 사항이 자동으로 적용되는 접근 제어 목록 공유 기능과는 다릅니다.

다음에 유의해야 합니다.

  • 디바이스에 동일한 이름의 다른 액세스 목록이 이미 있는 경우 액세스 목록을 대상 디바이스에 복사할 수 없습니다.

  • 대상 디바이스의 다른 액세스 목록이 동일한 인터페이스 및 방향으로 연결된 경우 액세스 목록을 복사할 수 없습니다.

  • 액세스 목록은 대상 디바이스에서 비활성화된 인터페이스에만 복사할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 액세스 목록을 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Copy(복사)를 클릭합니다.

단계 6

액세스 목록을 복사할 대상 디바이스를 선택합니다.

단계 7

인터페이스를 선택하고 선택한 액세스 목록을 적용하기 위해 방향을 지정합니다.

지정된 액세스 목록은 트래픽이 지정된 방향으로 흐르는 인터페이스에 적용됩니다. 이 액세스 목록은 여러 인터페이스와 방향에 적용할 수 있습니다.

선택한 대상 디바이스의 모든 인터페이스에 액세스 목록을 적용하려면 ASA 전역 액세스 목록 생성을 참조하십시오.

단계 8

Copy(복사)를 클릭합니다.

복사가 성공하면 CDO 화면의 오른쪽 하단에 메시지가 표시됩니다.

단계 9

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

ASA 액세스 목록 및 디바이스 내에서 또는 전반에 규칙 복사

다음과 같은 방법으로 액세스 제어 규칙을 복사할 수 있습니다.

  • 동일한 액세스 목록 내에서 가능합니다.

  • 동일한 ASA 디바이스 내 또는 여러 ASA 디바이스 전반에서 한 액세스 목록에서 다른 액세스 목록으로 이동할 수 있습니다.


참고

액세스 목록에 이미 있는 규칙을 추가하려고 하면 붙여넣기 작업이 실패합니다.

프로시저

단계 1

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 2

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 3

Selected Access List(선택한 액세스 목록) 드롭다운 목록에서 원하는 액세스 목록을 선택합니다.

단계 4

해당 확인란을 클릭하여 규칙을 선택하고 오른쪽의 Actions(작업) 창 에서 Copy(복사)를 클릭합니다.

단계 5

다음을 수행하십시오.

  • 동일한 액세스 목록 내에 규칙을 붙여넣으려면 Paste Rule Here(여기에 규칙 붙여넣기) 옵션이 표시될 때까지 원하는 위치에서 마우스 포인터를 이동하여 클릭합니다. 규칙 추가/편집 대화 상자가 표시되어 복사한 규칙을 수정할 수 있습니다. 동일한 규칙은 동일한 액세스 목록에서 허용되지 않기 때문입니다.
  • 동일한 ASA 디바이스에 규칙을 붙여넣으려면 Selected Access List(선택한 액세스 목록) 드롭다운 목록에서 원하는 액세스 목록을 선택합니다.
  • 다른 ASA 디바이스에 규칙을 붙여넣으려면 왼쪽 창 에서 보안 디바이스 > select an ASA device(ASA 디바이스 선택) > Policy(정책) > Selected Access List(선택한 액세스 목록)으로 이동합니다.

단계 6

복사한 규칙을 원하는 위치에 붙여넣으려면 새 규칙을 배치할 위치 뒤에 오는 규칙을 선택합니다. 오른쪽의 Actions(작업) 창에서 Paste(붙여넣기)를 클릭합니다. 복사한 규칙이 선택한 규칙 앞에 삽입됩니다.

Move Up(위로 이동)Move Down(아래로 이동) 버튼을 사용하여 필요에 따라 규칙을 배치할 수 있습니다.

참고

 

또는 규칙 목록 테이블에서 원하는 위치 위에 마우스를 올려놓고 Paste Rule Here(여기에 규칙 붙여넣기) 표시되면 클릭합니다.

공유 ASA 액세스 제어 목록 공유 해제

네트워크를 처리하는 인터페이스에 적용되는 규칙이 오래된 경우 현재 연결된 디바이스에서 액세스 제어 목록을 공유 해제할 수 있습니다. 공유 액세스 제어 목록에서 ASA 디바이스의 공유를 해제해도 현재 이 목록을 공유하고 있는 다른 ASA 디바이스에 영향을 주지 않습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 액세스 목록을 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Share(공유)를 클릭합니다.

단계 6

선택한 액세스 목록을 공유하는 ASA 디바이스의 선택을 해제하고 Save(저장)를 클릭합니다.

단계 7

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

ASA 액세스 정책 목록 페이지 보기


참고

이 보기는 새 정책 보기로 마이그레이션된 ASA 디바이스에 적용됩니다. 레거시 정책 보기에서 온보딩된 상태로 유지되는 디바이스의 경우에는 이전 보기가 계속 표시됩니다.

ASA 액세스 정책 목록 페이지에는 CDO 테넌트에 온보딩된 ASA 디바이스와 연결된 모든 액세스 목록에 대한 포괄적인 개요가 표시됩니다.


참고

필터() 버튼을 클릭한 다음 Filter by Device(디바이스별 필터)를 클릭하여 여러 ASA 디바이스 간에 공유되는 정책이나 단일 ASA 디바이스에만 해당하는 정책을 검색합니다.

프로시저

단계 1

왼쪽 창에서 Policies(정책) > ASA Access Policies(ASA 액세스 정책)를 선택하고 .

이 페이지에서는 다음 정보를 제공합니다.

  • Name(이름): 액세스 목록의 이름.

  • Device(디바이스): 각 액세스 목록과 연결된 해당 ASA 디바이스. 또한 여러 디바이스에서 공유되는 액세스 목록의 경우 공유 액세스 목록을 사용하는 모든 ASA 디바이스의 목록을 표시합니다.

    버튼을 클릭하여 선택한 액세스 목록과 연결된 ASA 디바이스를 확인합니다.

    선택한 디바이스의 정책 페이지로 이동하려면 View Policies(정책 보기)를 클릭합니다. 액세스 목록을 생성하거나 편집할 수 있습니다.

    이 페이지로 돌아가려면 ASA Access Policies(ASA 액세스 정책)를 클릭합니다.

  • Interfaces(인터페이스): 각 액세스 목록이 할당되는 네트워크 인터페이스.

단계 2

액세스 목록과 연결된 ASA 디바이스를 보려면 Device(디바이스) 열에서 해당 버튼을 클릭합니다.

단계 3

선택한 디바이스의 정책 페이지로 이동하려면 View Policies(정책 보기)를 클릭합니다. 액세스 목록을 생성하거나 편집할 수 있습니다.

단계 4

정책 목록 페이지로 돌아가려면 왼쪽 상단에서 ASA Access Policies(ASA 액세스 정책)를 클릭합니다.

ASA 액세스 목록의 전역 검색

전역 검색 기능을 사용하여 CDO 테넌트에서 다음을 검색합니다.

  • ASA 디바이스 및 모든 관련 액세스 목록.

  • 모든 온보딩된 ASA 디바이스에서의 액세스 목록 또는 공유 액세스 목록 및 해당 어커런스.

ASA 액세스 제어 목록 이름 변경

특정 요구에 맞게 액세스 목록의 이름을 수정할 수 있습니다. 전역 액세스 목록의 이름을 변경하거나 공유 액세스 제어 목록의 이름을 변경하는 것은 간단한 프로세스입니다. 액세스 목록을 공유하는 경우, 이름을 변경하면 공유 액세스 제어 목록을 사용하는 다른 모든 디바이스에서 이름이 업데이트됩니다. 업데이트된 이름은 구성이 해당 디바이스에 구축된 후에만 반영된다는 점에 유의하십시오.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 이름을 변경하려는 액세스 목록을 선택합니다.

단계 5

세부 정보 창에서 이름 변경() 아이콘을 클릭합니다.

단계 6

Save(저장)() 버튼을 클릭합니다.

단계 7

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

ASA 액세스 제어 목록에서 규칙 삭제

액세스 목록에서 액세스 규칙을 제거할 수 있지만, 적어도 하나의 규칙이 유지되어야 목록이 존재합니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

액세스 목록을 클릭하고 삭제할 규칙을 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Remove(제거)를 클릭합니다.

단계 6

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA 액세스 제어 목록 삭제

이 절차를 사용하여 액세스 제어 목록, 공유 액세스 목록 또는 전역 액세스 목록을 삭제할 수 있습니다. 한 디바이스에서 공유 액세스 목록을 삭제해도 해당 액세스 목록이 사용 중인 다른 디바이스에는 영향을 주지 않습니다. 이러한 디바이스에서 액세스 목록은 로컬 액세스 목록으로 유지됩니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽에 표시된 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 삭제하려는 액세스 목록을 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Delete(삭제)를 클릭합니다.

단계 6

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA 네트워크 정책 비교

Procedure

Step 1

탐색 창에서 Policies(정책) > ASA Policies(ASA 정책)을 선택합니다.

Step 2

뷰어의 오른쪽 상단에서 Compare(비교)를 클릭합니다.

Step 3

비교할 최대 2개의 정책을 선택합니다.

Step 4

뷰어 하단에서 View Comparison(비교 보기)를 클릭합니다. 그러면 비교 뷰어가 나타납니다. 마치면 Done(완료)를 클릭한 다음 Done Comparing(비교 완료)를 클릭합니다.

적중률

CDO를 사용하면 클라우드의 단일 창에서 보다 정확한 정책 분석 및 근본 원인에 대한 즉각적인 조치 가능한 피벗을 위한 간단한 시각화를 제공하여 정책 규칙의 결과를 평가할 수 있습니다. 적중률 기능을 사용하면 다음을 수행할 수 있습니다.

  • 보안 상태를 증가하는 사용되지 않는 정책 규칙을 제거합니다.

  • 병목 현상을 즉시 식별하여 방화벽 성능을 최적화하고 정확하고 효율적인 우선순위를 적용합니다(예: 가장 많이 트리거되는 정책 규칙이 우선순위가 높음).

  • 구성된 데이터 보존 기간(1년)에 대한 디바이스 또는 정책 규칙 재설정 시에도 적중률 기록 정보 유지

  • 실행 가능한 정보를 기반으로 의심스러운 섀도우 및 사용되지 않는 규칙에 대한 검증을 강화합니다. 업데이트 또는 삭제에 대한 의심 제거

  • 사전 정의된 시간 간격(일, 주, 월, 연도) 및 실제 적중 횟수(0, >100, >100k 등)를 활용하여 전체 정책에 대한 컨텍스트에서 정책 규칙 사용을 시각화하여 네트워크를 통과하는 패킷에 대한 영향을 평가합니다.

ASA 정책의 적중률 보기

프로시저

단계 1

CDO 메뉴 모음에서 Policies(정책) > ASA Access Policies(ASA 액세스 정책)를 선택합니다.

단계 2

필터 아이콘을 클릭하고 필터를 열린 상태로 고정합니다.

단계 3

Hits(적중) 영역에서 다양한 적중 횟수 필터를 클릭하여 다른 정책보다 적중 빈도가 높거나 낮은 정책을 표시합니다.

액세스 목록에서 ASA 네트워크 규칙 검색 및 필터링

검색

검색 표시줄을 사용하여 액세스 목록 내의 규칙 이름에서 이름, 키워드 또는 구를 검색합니다. 검색은 대/소문자를 구분하지 않습니다.

필터

필터 사이드바를 사용하여 네트워크 정책 문제를 찾습니다. 필터링은 추가되지 않으며 각 필터 설정은 서로 독립적으로 작동합니다.

정책 문제

CDO는 섀도우 규칙이 포함된 네트워크 정책을 식별합니다. 섀도우 규칙을 포함하는 정책의 수는 정책 문제 필터에 표시됩니다.

CDO는 네트워크 정책 페이지에서 섀도우 배지 shadow_badge.png로 섀도우 규칙과 이를 포함하는 네트워크 정책을 표시합니다. 섀도우 규칙을 포함하는 모든 정책을 보려면 Shadowed(숨겨짐)을 클릭합니다. 자세한 내용은 섀도우 규칙을 참조하십시오.

Hits(히트)

이 필터를 사용하여 지정된 기간 동안 여러 번 트리거된 액세스 목록에서 규칙을 찾으십시오.

활용 사례 필터링

적중 횟수가 0인 모든 규칙 찾기

적중 항목이 없는 규칙이 있는 경우, 규칙을 수정하여 더 효과적으로 만들거나 간단히 삭제할 수 있습니다.

  1. ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Policy(장치)를 클릭합니다.

  2. 기존 필터를 지우려면 규칙 테이블 위에서 Clear(지우기)를 클릭합니다.

  3. 필터 아이콘을 클릭하고 Hits(적중) 필터를 확장합니다.

  4. 기간을 선택합니다.

  5. 0개의 적중 횟수를 선택합니다.

네트워크 정책의 규칙이 적중되는 빈도 확인

  1. ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Policy(장치)를 클릭합니다.

  2. 기존 필터를 지우려면 규칙 테이블 위에서 Clear(지우기)를 클릭합니다.

  3. 필터 아이콘을 클릭하고 Hits(적중) 필터를 확장합니다.

  4. 기간을 선택합니다.

  5. 다른 적중 필터를 선택하여 다른 규칙이 어떤 범주에 속하는지 확인합니다.

적중률을 기준으로 네트워크 정책 필터링

  1. ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Policy(장치)를 클릭합니다.

  2. 기존 필터를 지우려면 규칙 테이블 위에서 Clear(지우기)를 클릭합니다.

  3. 필터 아이콘을 클릭하고 Hits(적중) 필터를 확장합니다.

  4. 기간을 선택합니다.

  5. 다양한 적중률 범주를 선택합니다. CDO는 지정한 비율로 적중되는 규칙을 표시합니다.

섀도우 규칙

섀도우 규칙이 있는 네트워크 정책은 정책에 있는 하나 이상의 규칙이 선행하는 규칙이 섀도우 규칙에 의해 패킷이 평가되는 것을 방지하기 때문에 절대 트리거되지 않는 정책입니다.

예를 들어 "예제" 네트워크 정책에서 다음과 같은 네트워크 개체 및 네트워크 규칙을 고려하십시오.

object network 02-50 
range 10.10.10.2 10.10.10.50 
object network 02-100 
range 10.10.10.2 10.10.10.100
access-list example extended deny ip any4 object 02-50 
access-list example extended permit ip host 10.10.10.35 object 02-50 
access-list example extended permit ip any4 object 02-100
이 규칙에 의해 트래픽이 평가되지 않습니다. 
access-list example extended permit ip host 10.10.10.35 object 02-50
이전 규칙 때문에, 
access-list example extended deny ip any4 object 02-50
ipv4 주소가 10.10.10.2 - 10.10.10.50 범위의 주소에 도달하는 것을 거부합니다.

섀도우 규칙이 있는 네트워크 정책 찾기

섀도우 규칙이 있는 네트워크 정책을 찾으려면 네트워크 정책 필터를 사용합니다.

Procedure

Step 1

탐색 창에서 Policies(정책) > ASA Policies(ASA 정책)를 클릭합니다.

Step 2

ASA Access Policies(ASA 액세스 정책) 테이블 상단에 있는 필터 아이콘을 클릭합니다.

Step 3

정책 문제 필터에서 Shadowed(섀도우)를 선택하여 섀도우 규칙이 있는 모든 정책을 확인합니다.

섀도우 규칙 문제 해결

CDO가 위의 "예시" 네트워크 정책에 설명된 규칙을 표시하는 방법입니다.

라인 1의 규칙은 정책의 다른 규칙을 섀도잉하므로 섀도우 경고 배지 로 표시됩니다.우 라인 2의 규칙은 정책의 다른 규칙에 의해 섀도우된 로 표시됩니다. 라인 2의 규칙에 대한 작업은 정책의 다른 규칙에 의해 섀도우되어 있으므로 회색으로 표시됩니다. CDO는 정책에서 어떤 규칙이 라인 2의 규칙을 가리는지 알려줄 수 있습니다.

라인 3의 규칙은 일부 시간에만 트리거될 수 있습니다. 이것은 부분적으로 섀도우 규칙입니다. 10.10.10.2-10.10.10.50 범위의 IP 주소에 도달하려는 모든 IPv4 주소의 네트워크 트래픽은 첫 번째 규칙에 의해 이미 거부되었기 때문에 평가되지 않습니다. 그러나 10.10.10.51-10.10.10.100 범위의 주소에 도달하려는 모든 IPv4 주소는 마지막 규칙에 의해 평가되고 허용됩니다.


Caution

CDO는 부분적으로 음영 처리된 규칙에 섀도우 경고 배지 를 적용하지 않습니다.

Procedure

Step 1

정책에서 섀도우 규칙을 선택합니다. 위의 예에서는 줄 2를 클릭하는 것을 의미합니다.

Step 2

규칙 세부 정보 창에서 Shadowed By 영역을 찾습니다. 이 예에서 2행의 규칙에 대한 Shadowed By 영역은 1행의 규칙에 의해 섀도우 처리되고 있음을 보여줍니다.

Step 3

섀도우 처리 중인 규칙을 검토합니다. 너무 광범위합니까? 섀도우 처리된 규칙을 검토합니다. 정말로 필요하십니까? 섀도잉 처리 중인 규칙을 수정하거나 섀도잉 처리된 규칙을 삭제합니다.

Note

 

섀도우 규칙을 삭제하면 ASA의 ACE(Access Control Entry) 수가 줄어듭니다. 이렇게 하면 다른 ACE와 함께 다른 규칙을 만들 공간을 확보할 수 있습니다. CDO는 네트워크 정책의 모든 규칙에서 파생된 ACE 수를 계산하고 네트워크 정책 세부 정보 창 상단에 총계를 표시합니다. 네트워크 정책의 규칙 중 섀도우 규칙이 있으면 해당 번호도 나열됩니다.

또한 CDO는 네트워크 정책의 단일 규칙에서 파생된 ACE의 수를 표시하고 네트워크 정책 세부 정보 창에 해당 정보를 표시합니다. 다음은 해당 목록의 예입니다.

Step 4

네트워크 정책 세부 정보 창의 Devices(디바이스) 영역에서 정책을 사용하는 디바이스를 확인합니다.

Step 5

Security Devices(보안 디바이스) 페이지를 열고 정책 변경의 영향을 받는 디바이스에 다시 변경사항을 구축합니다.

네트워크 주소 변환

IP 네트워크 내의 각 컴퓨터와 디바이스에는 호스트를 식별하는 고유한 IP 주소가 할당됩니다. 공용 IPv4 주소의 부족 때문에 이러한 IP 주소는 대부분 사설이며, 사설 회사 네트워크 외부로 라우팅되지 않습니다. RFC 1918의 정의에 따르면 사설 IP 주소는 내부적으로 사용할 수 있지만 외부에 알려서는 안 되는 주소입니다.

  • 10.0.0.0~10.255.255.255

  • 172.16.0.0 ~ 172.31.255.255

  • 192.168.0.0~192.168.255.255

NAT의 주요 기능 중 하나는 사설 IP 네트워크가 인터넷에 연결되도록 하는 것입니다. NAT는 사설 IP 주소를 공용 IP 주소로 교체하여, 내부 사설 네트워크의 사설 주소를 공용 인터넷에서 사용할 수 있는 합법적이고 라우팅 가능한 주소로 전환합니다. 이렇게 하여 NAT는 공용 주소를 절약합니다. 전체 네트워크에 대해 최소 하나의 공용 주소만 외부에 알리도록 구성할 수 있기 때문입니다.

NAT의 기타 기능은 다음과 같습니다.

  • 보안 - 직접 공격을 피할 수 있도록 내부 IP 주소를 숨깁니다.

  • IP 라우팅 솔루션 - NAT를 사용하는 경우 중첩 IP 주소 문제가 발생하지 않습니다.

  • 유연성 - 외부적으로 사용 가능한 공용 주소에 영향을 주지 않고 내부 IP 주소 지정 방식을 변경할 수 있습니다. 예를 들어 인터넷에 액세스할 수 있는 서버의 경우, 인터넷용으로는 고정 IP 주소를 유지하고 내부적으로는 서버 주소를 변경할 수 있습니다.

  • IPv4와 IPv6 간 변환(라우팅된 방식 전용) - IPv6 네트워크를 IPv4 네트워크에 연결하려는 경우 NAT를 이용하면 두 가지 주소 유형 간에 변환할 수 있습니다.

CDO를 사용하여 다양한 활용 사례에 대한 NAT 규칙을 생성할 수 있습니다. NAT 규칙 마법사 또는 다음 항목을 사용하여 다른 NAT 규칙을 생성합니다.

NAT 규칙 처리 순서

네트워크 개체 NAT 규칙과 2회 NAT 규칙은 세 개의 섹션으로 구분되는 단일 테이블에 저장됩니다. 섹션 1 규칙이 먼저 적용된 다음, 일치가 발견될 때까지 섹션 2, 마지막으로 섹션 3이 적용됩니다. 예를 들어 섹션 1에서 일치가 발견되면 섹션 2와 3은 평가되지 않습니다. 다음 표는 각 섹션 내의 규칙 순서를 보여줍니다.

Table 3. NAT 규칙 테이블

테이블 섹션

규칙 유형

섹션 내 규칙의 순서

섹션 1

2회 NAT(ASA)

수동 NAT(FTD)

첫 번째 일치부터 컨피그레이션에 나타나는 순서대로 적용됩니다. 첫 번째 일치가 적용되므로, 일반 규칙 앞에 특수 규칙이 오도록 해야 합니다. 그렇지 않으면 특수 규칙이 원하는 대로 적용되지 않을 수 있습니다. 기본적으로 2회 NAT 규칙은 섹션 1에 추가됩니다.

섹션 2

네트워크 개체 NAT(ASA)

자동 NAT(FTD)

섹션 1에서 일치하는 항목을 찾을 수 없으면 섹션 2 규칙이 다음 순서로 적용됩니다.

  1. 고정 규칙

  2. 동적 규칙

각 규칙 유형 내에서는 다음의 순서 지침이 사용됩니다.

  1. 실제 IP 주소의 수량 - 가장 적은 것에서 가장 많은 것. 예를 들면 주소가 1개인 개체가 주소가 10개인 개체보다 먼저 평가됩니다.

  2. 수량이 동일한 경우 IP 주소 번호가 낮은 것에서 높은 것 순으로 사용됩니다. 예를 들면, 10.1.1.0이 11.1.1.0보다 먼저 평가됩니다.

  3. IP 주소가 동일한 경우 네트워크 개체의 이름이 알파벳순으로 사용됩니다. 예를 들어 "Arlington" 개체는 "Detroit" 개체보다 먼저 평가됩니다.

섹션 3

2회 NAT(ASA)

수동 NAT(FTD)

아직도 일치가 발견되지 않으면 섹션 3 규칙이 첫 번째부터 컨피그레이션에 나타나는 순서대로 적용됩니다. 이 섹션에는 가장 일반적인 규칙을 포함해야 합니다. 또한 이 섹션에서는 특정 규칙이 일반 규칙보다 먼저 적용되도록 해야 합니다.

예를 들어 섹션 2 규칙의 경우 네트워크 개체 내에서 다음 IP 주소를 정의합니다.

  • 192.168.1.0/24(고정)

  • 192.168.1.0/24(동적)

  • 10.1.1.0/24(고정)

  • 192.168.1.1/32(고정)

  • 172.16.1.0/24(동적) (개체 Detroit)

  • 172.16.1.0/24(동적)(개체 Arlington)

결과 순서는 다음과 같습니다.

  • 192.168.1.1/32(고정)

  • 10.1.1.0/24(고정)

  • 192.168.1.0/24(고정)

  • 172.16.1.0/24(동적)(개체 Arlington)

  • 172.16.1.0/24(동적) (개체 Detroit)

  • 192.168.1.0/24(동적)

네트워크 주소 변환 마법사

NAT(Network Address Translation) 마법사는 다음 유형의 액세스에 대해 디바이스에서 NAT 규칙을 만드는 데 도움이 됩니다.

  • 내부 사용자의 인터넷 액세스를 활성화합니다. 이 NAT 규칙을 사용하여 내부 네트워크의 사용자가 인터넷에 연결할 수 있습니다.

  • 내부 서버를 인터넷에 노출합니다. 이 NAT 규칙을 사용하여 네트워크 외부의 사람들이 내부 웹 또는 이메일 서버에 도달하도록 허용할 수 있습니다.

"내부 사용자를 위한 인터넷 액세스 활성화"의 전제 조건

NAT 규칙을 생성하기 전에 다음 정보를 수집하십시오.

  • 사용자에게 가장 가까운 인터페이스 이것은 일반적으로 "내부" 인터페이스라고 합니다.

  • 인터넷 연결에 가장 가까운 인터페이스 이것은 일반적으로 "외부" 인터페이스라고 합니다.

  • 특정 사용자만 인터넷에 연결할 수 있도록 하려면 해당 사용자의 서브넷 주소가 필요합니다.

"내부 서버를 인터넷에 노출"하기 위한 전제 조건

NAT 규칙을 생성하기 전에 다음 정보를 수집하십시오.

  • 사용자에게 가장 가까운 인터페이스 이것은 일반적으로 "내부" 인터페이스라고 합니다.

  • 인터넷 연결에 가장 가까운 인터페이스 이것은 일반적으로 "외부" 인터페이스라고 합니다.

  • 인터넷 연결 IP 주소로 변환하려는 네트워크 내부 서버의 IP 주소입니다.

  • 서버에서 사용할 공용 IP 주소입니다.

다음 작업

NAT 마법사를 사용하여 NAT 규칙 생성의 내용을 참조하십시오.

NAT 마법사를 사용하여 NAT 규칙 생성

Before you begin

NAT 마법사를 사용하여 NAT 규칙을 만드는 데 필요한 사전 요구 사항은 네트워크 주소 변환 마법사를 참조하십시오.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

filter(필터)search(검색) 필드를 사용하여 NAT 규칙을 생성하려는 디바이스를 찾으십시오.

Step 5

상세정보 패널의 Management(관리) 영역에서 NAT를 클릭합니다.

Step 6

> NAT Wizard(NAT 마법사)를 클릭합니다.

Step 7

NAT 마법사 질문에 응답하고 화면의 지시를 따르십시오.

  • NAT 마법사는 네트워크 개체를 사용하여 규칙을 생성합니다. 드롭다운 메뉴에서 기존 개체를 선택하거나 만들기 버튼 를 사용하여 새 개체를 생성합니다.

  • NAT 규칙을 저장하려면 먼저 모든 IP 주소를 네트워크 개체로 정의해야 합니다.

Step 8

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

NAT의 일반적인 사용 사례

2회 NAT 및 수동 NAT

다음은 "자동 NAT"라고도 하는 "네트워크 개체 NAT"를 사용하여 수행할 수 있는 몇 가지 일반적인 작업입니다.

네트워크 개체 및 NAT자동 NAT

다음은 "수동 NAT"라고도 하는 "Twice NAT"를 사용하여 수행할 수 있는 일반적인 작업입니다.

공용 IP 주소를 사용하여 인터넷에 연결하도록 내부 네트워크의 서버 활성화

활용 사례

인터넷에서 액세스해야 하는 사설 IP 주소가 있는 서버가 있고 사설 IP 주소에 대해 하나의 공용 IP 주소를 NAT하기에 충분한 공용 IP 주소가 있는 경우 이 NAT 전략을 사용합니다. 공용 IP 주소가 제한된 경우 공용 IP 주소의 특정 포트에서 사용자가 사용할 수 있는 내부 네트워크의 서버 만들기를 참조하세요(해당 솔루션이 더 적합할 수 있음).

전략

서버에는 정적 사설 IP 주소가 있으며 네트워크 외부의 사용자는 서버에 연결할 수 있어야 합니다. 고정 사설 IP 주소를 고정 공용 IP 주소로 변환하는 네트워크 개체 NAT 규칙을 생성합니다. 그런 다음 해당 공용 IP 주소에서 사설 IP 주소에 도달하는 트래픽을 허용하는 액세스 정책을 생성합니다. 마지막으로 이러한 변경 사항을 디바이스에 배포합니다.

Before you begin

시작하기 전에 두 개의 네트워크 개체를 생성합니다. 하나의 개체는 servername_inside로 이름을 지정하고 다른 개체는 servername_outside로 이름을 지정합니다. servername_inside 네트워크 개체는 서버의 사설 IP 주소를 포함해야 합니다. servername_outside 네트워크 개체에는 서버의 공용 IP 주소가 포함되어야 합니다. 지침은 네트워크 개체 생성을 참조하십시오.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서 , 다음 작업을 수행합니다.

  1. 원본 주소 메뉴를 확장하고 Choose(선택)을 클릭한 다음 servername_inside 개체를 선택합니다.

  2. 변환된 주소 메뉴를 확장하고 Choose(선택)을 클릭한 다음 servername_outside 개체를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 관리 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다.

Step 13

ASA의 경우 네트워크 정책 규칙을 배포하거나 기다렸다가, FDM 관리 디바이스의 경우 액세스 제어 정책 규칙을 배포하여 트래픽이 servername_inside에서 servername_outside로 흐를 수 있도록 합니다.

Step 14

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 배포합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network servername_outside
host 209.165.1.29
object network servername_inside
host 10.1.2.29

이 절차에 의해 생성된 NAT 규칙

object network servername_inside
 nat (inside,outside) static servername_outside

내부 네트워크의 사용자가 외부 인터페이스의 공용 IP 주소를 사용하여 인터넷에 액세스하도록 활성화

활용 사례

외부 인터페이스의 공용 주소를 공유하여 개인 네트워크의 사용자와 컴퓨터가 인터넷에 연결할 수 있도록 합니다.

전략

사설 네트워크의 모든 사용자가 디바이스의 외부 인터페이스 공용 IP 주소를 공유할 수 있도록 허용하는 포트 주소 변환(PAT) 규칙을 생성합니다.

사설 주소가 공용 주소 및 포트 번호에 매핑된 후 디바이스는 해당 매핑을 기록합니다. 해당 공용 IP 주소 및 포트로 향하는 들어오는 트래픽이 수신되면 디바이스는 이를 요청한 사설 IP 주소로 다시 보냅니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, 유형 에서 Dynamic(동적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, 인터페이스에서, 소스 인터페이스로 any(아무거나)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서, 다음 작업을 수행합니다.

  1. 원래 주소 메뉴를 확장하고, Choose(선택)을 클릭한 다음 네트워크 구성에 따라 any-ipv4 또는 any-ipv6 개체를 선택합니다.

  2. 변환된 주소 메뉴를 확장하고 사용 가능한 목록에서 인터페이스를 선택합니다. 인터페이스는 외부 인터페이스의 공용 주소를 사용하도록 나타냅니다.

Step 10

FDM 관리 디바이스의 경우 섹션 5, 이름에서 NAT 규칙의 이름을 입력합니다.

Step 11

Save(저장)를 클릭합니다.

Step 12

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network any_network
subnet 0.0.0.0 0.0.0.0

이 절차에 의해 생성된 NAT 규칙

object network any_network
nat (any,outside) dynamic interface

공용 IP 주소의 특정 포트에서 내부 네트워크의 서버를 사용할 수 있도록 설정

활용 사례

공용 IP 주소가 하나만 있거나 매우 제한된 수인 경우, 정적 IP 주소 및 포트에 바인딩된 인바운드 트래픽을 내부 주소로 변환하는 네트워크 개체 NAT 규칙을 만들 수 있습니다. 특정 사례에 대한 절차를 제공했지만 지원되는 다른 애플리케이션의 모델로 사용할 수 있습니다.

사전 요구 사항

시작하기 전에 FTP, HTTP 및 SMTP 서버에 각각 하나씩 세 개의 개별 네트워크 개체를 생성합니다. 다음 절차를 위해 이러한 개체를 ftp-server-object, http-server-objectsmtp-server-object라고 합니다. 지침은 네트워크 개체 생성을 참조하십시오.

FTP 서버에 대한 NAT 수신 FTP 트래픽

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서 , 다음 작업을 수행합니다.

  • 원본 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음ftp-server-object를 선택합니다.

  • 변환된 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음 Interface(인터페이스)를 선택합니다.

  • Use Port Translation(포트 변환 사용)을 선택합니다.

  • tcp, ftp, ftp를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 관리 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다. NAT 테이블의 섹션 2에 새 규칙이 생성됩니다.

Step 13

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 배포합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체
object network ftp-object
host 10.1.2.27
이 절차에 의해 생성된 NAT 규칙
object network ftp-object
nat (inside,outside) static interface service tcp ftp ftp

HTTP 서버에 대한 NAT 수신 HTTP 트래픽

공용 IP 주소가 하나만 있거나 매우 제한된 수인 경우, 정적 IP 주소 및 포트에 바인딩된 인바운드 트래픽을 내부 주소로 변환하는 네트워크 개체 NAT 규칙을 만들 수 있습니다. 특정 사례에 대한 절차를 제공했지만 지원되는 다른 애플리케이션의 모델로 사용할 수 있습니다.

Before you begin

시작하기 전에 http 서버에 대한 네트워크 개체를 생성합니다. 이 절차에서는개체를 http-object라고 합니다. 지침은 네트워크 개체 생성을 참조하십시오.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서 , 다음 작업을 수행합니다.

  • 원본 주소 메뉴를 확장하고 Choose(선택)을 클릭한 다음 http-object를 선택합니다.

  • 변환된 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음 Interface(인터페이스)를 선택합니다.

  • Use Port Translation(포트 변환 사용)을 선택합니다.

  • tcp, http, http를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 관리 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다. NAT 테이블의 섹션 2에 새 규칙이 생성됩니다.

Step 13

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 배포합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network http-object
host 10.1.2.28
이 절차에 의해 생성된 NAT 규칙
object network http-object
nat (inside,outside) static interface service tcp www www

SMTP 서버에 대한 NAT 수신 SMTP 트래픽

공용 IP 주소가 하나만 있거나 매우 제한된 수인 경우, 정적 IP 주소 및 포트에 바인딩된 인바운드 트래픽을 내부 주소로 변환하는 네트워크 개체 NAT 규칙을 만들 수 있습니다. 특정 사례에 대한 절차를 제공했지만 지원되는 다른 애플리케이션의 모델로 사용할 수 있습니다.

Before you begin

시작하기 전에 smtp 서버에 대한 네트워크 개체를 생성합니다. 이 절차에서는개체를 smtp-개체라고 합니다. 지침은 네트워크 개체 생성을 참조하십시오.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서 , 다음 작업을 수행합니다.

  • 원본 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음 smtp-server-object를 선택합니다.

  • 변환된 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음 Interface(인터페이스)를 선택합니다.

  • Use Port Translation(포트 변환 사용)을 선택합니다.

  • tcp, smtp, smtp를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 관리 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다. NAT 테이블의 섹션 2에 새 규칙이 생성됩니다.

Step 13

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 배포합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체
object network smtp-object
host 10.1.2.29
이 절차에 의해 생성된 NAT 규칙
object network smtp-object
nat (inside,outside) static interface service tcp smtp smtp

사설 IP 주소 범위를 공용 IP 주소 범위로 변환

활용 사례

수신 디바이스(트랜잭션의 다른 끝에 있는 디바이스)가 트래픽을 허용하도록 IP 주소를 특정 범위로 변환해야 하는 특정 디바이스 유형 또는 사용자 유형 그룹이 있는 경우 이 접근 방식을 사용합니다.

내부 주소 풀을 외부 주소 풀로 변환

Before you begin

변환하려는 사설 IP 주소 풀에 대한 네트워크 개체를 생성하고 해당 사설 IP 주소를 변환하려는 공용 주소 풀에 대한 네트워크 개체를 생성합니다.

ASA의 경우 "원래 주소" 풀(변환하려는 개인 IP 주소 풀)은 주소 범위가 있는 네트워크 개체, 서브넷을 정의하는 네트워크 개체 또는 풀의 모든 주소를 포함하는 네트워크 그룹일 수 있습니다. FTD의 경우 "원래 주소" 풀은 풀의 모든 주소를 포함하는 네트워크 그룹 또는 서브넷을 정의하는 네트워크 개체일 수 있습니다.


Note

ASA 의 경우 "변환된 주소" 풀을 정의하는 네트워크 그룹은 서브넷을 정의하는 네트워크 개체일 수 없습니다.

이러한 주소 풀을 생성할 때 지침을 보려면 ASA 네트워크 개체 및 네트워크 그룹 생성 또는 편집을 사용하고 하십시오.

다음 절차를 위해 개인 주소 풀의 이름을 inside_pool로 지정하고 공용 주소 풀의 이름을 outside_pool로 지정했습니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1 Type(유형)에서 Dynamic(동적)을 선택하고 Continue(계속)를 클릭합니다.

Step 8

섹션 2, 인터페이스에서 소스 인터페이스를 내부로, 대상 인터페이스를 외부로 설정합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서, 다음 작업을 수행합니다.

  • 원본 주소의 경우 Choose(선택)을 클릭한 다음 위의 전제 조건 섹션에서 만든 inside_pool 네트워크 개체(또는 네트워크 그룹)를 선택합니다.

  • 변환된 주소의 경우 Choose(선택)을 클릭한 다음 위의 전제 조건 섹션에서 만든 outside_pool 네트워크 개체(또는 네트워크 그룹)를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 관리 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다.

Step 13

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

이러한 절차의 결과로 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network outside_pool
    range 209.165.1.1 209.165.1.255
object network inside_pool
    range 10.1.1.1 10.1.1.255

이 절차에 의해 생성된 NAT 규칙

object network inside_pool
nat (inside,outside) dynamic outside_pool

외부 인터페이스를 통과할 때 IP 주소 범위가 변환되지 않도록 방지

활용 사례

이 Twice NAT 사용 사례를 사용하여 사이트 투 사이트 VPN을 활성화합니다.

전략

네트워크의 한 위치에 있는 IP 주소가 다른 위치에 변경되지 않고 도착하도록 IP 주소 풀을 자체적으로 변환하고 있습니다.

2회 NAT 규칙 생성

Before you begin

변환할 IP 주소 풀을 정의하는 네트워크 개체 또는 네트워크 그룹을 생성합니다. ASA의 경우 주소 범위는 IP 주소 범위를 사용하는 네트워크 개체, 서브넷을 정의하는 네트워크 개체 또는 범위의 모든 주소를 포함하는 네트워크 그룹 개체로 정의할 수 있습니다.

네트워크 개체 또는 네트워크 그룹을 생성할 때 지침을 보려면 ASA 네트워크 개체 및 네트워크 그룹 생성 또는 편집 을 사용합니다.

다음 절차를 위해 네트워크 개체 또는 네트워크 그룹인 Site-to-Site-PC-Pool을 호출합니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Twice NAT(2회 NAT)를 클릭합니다..

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, 패킷에서 다음과 같이 변경합니다.

  • 원래 주소 메뉴를 확장하고 Choose(선택)를 클릭한 다음 전제 조건 섹션에서 생성한 사이트 투 사이트 PC 풀 개체를 선택합니다.

  • 변환된 주소 메뉴를 펼치고 Choose(선택)를 클릭한 후 전제 조건 섹션에서 생성한 Site-to-Site-PC-Pool 개체를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 관리 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다.

Step 13

ASA의 경우 암호화 맵을 생성합니다. 암호화 맵 생성에 대한 자세한 내용은 CLI 책 3: Cisco ASA Series VPN CLI 구성 가이드를 참조하고 LAN-to-LAN IPsec VPN에 대한 장을 검토하십시오.

Step 14

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 배포합니다.

ASA의 저장된 구성 파일 항목

이러한 절차의 결과로 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network Site-to-Site-PC-Pool
range 10.10.2.0 10.10.2.255

이 절차에 의해 생성된 NAT 규칙

nat (inside,outside) source static Site-to-Site-PC-Pool Site-to-Site-PC-Pool

ASA 템플릿

템플릿을 사용하면 사용자가 디바이스/서비스 구성을 일반적으로 구성하여 함께 그룹화된 다른 구성에 적용할 수 있습니다. 이러한 템플릿은 함께 그룹화되는 여러 구현에 영향을 주기 위해 변경을 수행할 수 있는 단일 위치를 제공합니다.

ARM 템플릿 매개변수

새 템플릿을 만들 때 특정 디바이스를 모델로 삼고 싶을 수 있습니다. CDO는 템플릿이 모델링되는 디바이스의 구성 내에서 선택한 텍스트 필드를 기반으로 템플릿 매개변수를 설정할 수 있는 기능을 제공합니다. 템플릿 매개변수 보기 내에서 매개변수를 생성하고 기존 매개변수에서 설정하고 검색할 수 있습니다.


Note

ASA 템플릿에 대한 구성을 가져오도록 선택하는 경우 구성은 JSON 형식이어야 합니다.

새 매개변수 생성

Procedure

Step 1

온보딩된 기존 디바이스를 사용하여 CDO 상단에 있는 Templates(템플릿) 탭으로 이동합니다.

Step 2

New Template(새 템플릿) 또는 Manage Templates(템플릿 관리)를 선택합니다.

Step 3

원하는 구성을 선택하여 매개변수를 생성합니다.

Step 4

화면 상단의 Name(이름) 필드에 템플릿 이름을 입력합니다.

Step 5

매개변수를 추가할 텍스트 필드를 선택합니다.

Step 6

매개 변수에 설명을 제공하고 값을 추가하고 필요한 메모를 추가합니다.

Step 7

Name(이름) 필드 옆에 있는 Save(저장)를 클릭하여 매개변수를 저장합니다.

Step 8

그런 다음 Review Template(템플릿 검토)를 클릭하여 템플릿을 검토할 수 있습니다.

이제 이 템플릿을 사용하여 온보딩되는 모든 향후 디바이스에 적용되는 저장된 파라미터가 있습니다.

새 ASA, ISR 또는 ASR 템플릿 생성

기본 설정

알려진 ASA, ISR 또는 ASR 기본 구성으로 시작합니다. 템플릿의 매개 변수화를 시작하려면 원하는 구성을 선택합니다. 매개 변수화에는 구성 파일 내에서 필드 또는 특성을 선택하고 구성 파일 인스턴스화에서 선택될 값 목록을 식별하는 작업이 포함됩니다.


Note

ASA 템플릿에 대한 구성을 가져오도록 선택하는 경우 구성은 JSON 형식이어야 합니다.

매개변수 추가

기본 구성을 선택하여 매개 변수화 프로세스를 시작할 수 있습니다. 구성 편집기에서 매개 변수화를 위해 원하는 필드를 선택합니다. 선택한 문자열은 이중 괄호로 묶여 있습니다. 왼쪽 창에서 매개 변수의 이름을 변경하고, 설명을 추가하고, 여러 값을 추가할 수 있습니다. Allow Custom Value(맞춤형 값 허용)를 선택하면 인스턴스화 시 맞춤형 값을 설정할 수 있습니다. 그렇지 않으면 식별된 값만 선택할 수 있습니다.

매개변수화가 완료되면 템플릿의 이름을 지정하고 Save(저장)를 클릭합니다.

매개변수화에 대한 자세한 내용은 여기를 참조하십시오.

검토

템플릿이 저장되면 Review(검토)를 클릭하여 검토 프로세스로 이동합니다. 검토에서 템플릿은 매개 변수가 있는 값을 포함하여 있는 그대로 내보낼 수 있습니다. 이는 반드시 유효한 구성은 아니지만 CDO에 저장된 템플릿을 검토할 수 있는 수단을 제공한다는 점에 유의하십시오. 필요한 경우 Edit(편집)를 클릭하여 템플릿을 편집할 수도 있습니다. Diff(차이) 버튼은 저장된 템플릿과 가장 최근 수정 사항 간의 차이점을 보여줍니다.

템플릿에서 ASA 구성 생성

템플릿에서 구성 생성

템플릿에서 사용자 지정 구성을 생성하는 프로세스를 시작하려면 Config from Template(템플릿에서 구성) 버튼을 선택합니다. 사용 가능한 템플릿이 나열됩니다. 고른 템플릿을 선택하고 Choose Template(템플릿 선택)을 클릭합니다.

대부분의 경우 템플릿에는 사용자 지정 구성을 제공하기 위해 Export(내보내기)에서 설정해야 하는 매개변수화된 값이 포함됩니다. 왼쪽 창에서 이 구성에 대해 원하는 대로 각 매개변수와 값을 선택합니다. 값이 편집기에 표시됩니다. 이는 내보낼 때 매개변수를 대체하는 값입니다. 모든 매개변수 값이 설정되면 Export(내보내기) 버튼을 클릭하여 구성을 내보내고 다운로드합니다. 템플릿에 매개변수화된 값이 포함되어 있지 않으면 Export(내보내기) 버튼을 클릭하여 구성을 있는 그대로 내보냅니다.

ASA 템플릿 관리

Manage Templates(템플릿 관리) 보기에서는 모든 기존 템플릿을 시각화하고 수정 및 삭제할 수 있습니다. 템플릿을 편집하는 동안 매개변수 설정 및 값 구성을 수정할 수 있습니다. 기존 템플릿 위에 마우스를 놓고 Edit(수정)를 선택하면 됩니다.

템플릿 수정

편집 보기에서 다음 작업을 수행합니다.

  • 편집기에서 텍스트를 두 번 클릭하거나 강조 표시하여 매개변수를 추가합니다.

  • Description(설명) 텍스트 상자에 입력하여 매개변수를 설명합니다. 그런 다음 Add Value(값 추가)를 클릭합니다.

  • 값을 제공하고 메모를 작성합니다. Add(추가)를 클릭합니다.

  • 작업이 완료되면 Save(저장)를 클릭합니다.

  • 이제 Review Template(템플릿 검토)을 클릭하여 템플릿을 검토할 수 있습니다.

    • Diff(차이)를 클릭하여 파일을 비교할 수 있습니다.

    • 템플릿을 내보내려면 Export(내보내기)를 클릭합니다.

API 토큰

개발자는 CDO REST API 호출을 할 때 CDO API 토큰을 사용합니다. 호출이 성공하려면 REST API 인증 헤더에 API 토큰을 삽입해야 합니다. API 토큰은 만료되지 않는 "장기" 액세스 토큰입니다. 그러나 이를 갱신하고 취소할 수 있습니다.

CDO 내에서 API 토큰을 생성할 수 있습니다. 이러한 토큰은 생성 직후 일반 설정 페이지가 열려 있는 동안에만 표시됩니다. CDO에서 다른 페이지를 열고 일반 설정페이지로 돌아가면, 토큰이 분명히 발급었지만 토큰이 더 이상 표시되지 않습니다.

개별 사용자는 특정 테넌트에 대한 자체 토큰을 생성할 수 있습니다. 사용자는 다른 사용자를 대신하여 토큰을 생성할 수 없습니다. 토큰은 계정-테넌트 쌍에 고유하며 다른 사용자-테넌트 조합에 사용할 수 없습니다.

API 토큰 형식 및 클레임

API 토큰은 JSON 웹 토큰(JWT)입니다. JWT 토큰 형식에 대해 자세히 알아보려면 JSON 웹 토큰 소개를 읽어보십시오.

CDO API 토큰은 다음과 같은 클레임 집합을 제공합니다.

  • id - 사용자/디바이스 uid

  • parentId - 테넌트 uid

  • ver - 공개 키의 버전(초기 버전은 0, 예, cdo_jwt_sig_pub_key.0)

  • subscriptions - 보안 서비스 익스체인지 구독 (선택 사항)

  • client_id - "api-client"

  • jti - 토큰 ID

FDM-관리 디바이스 템플릿으로 ASA 구성 마이그레이션


Attention

Firepower Device Manager(FDM) 지원 및 기능은 요청 시에만 제공됩니다. 테넌트에서 Firewall Device Manager 지원을 아직 활성화하지 않은 경우 디바이스를 관리하거나 FDM 관리 디바이스에 구축할 수 없습니다. 이 플랫폼을 활성화하려면 지원 팀에 요청을 보냅니다.

CDO는 ASA를 FDM 관리 디바이스로 마이그레이션하는 데 도움이 됩니다. CDO는 ASA에서 실행 중인 구성의 이러한 요소를 FDM 관리 디바이스 템플릿으로 마이그레이션하는 데 도움이 되는 마법사를 제공합니다.

  • 액세스 제어 규칙(ACL)

  • 인터페이스

  • NAT(네트워크 주소 변환) 규칙

  • 네트워크 개체 및 네트워크 그룹 개체

  • 경로

  • 서비스 개체 및 서비스 그룹 개체

  • 사이트 간 VPN

ASA 실행 구성의 이러한 요소가 FDM 관리 디바이스 템플릿으로 마이그레이션되면 FDM 템플릿을 CDO에서 관리하는 새 FDM 관리 디바이스에 적용할 수 있습니다. FDM 관리 디바이스는 템플릿에 정의된 구성을 채택하므로, 이제 FDM 관리 디바이스는 ASA 실행 구성의 일부 측면으로 구성됩니다.

구성을 실행하는 ASA의 다른 요소는 이 프로세스를 사용하여 마이그레이션되지 않습니다. 이러한 다른 요소는 FDM 관리 디바이스 템플릿에서 빈 값으로 표시됩니다. 템플릿이 FDM 관리 디바이스에 적용되면 마이그레이션한 값을 새 FDM 관리 디바이스에 적용하고 빈 값은 무시합니다. 새 FDM 관리 디바이스의 다른 기본값은 그대로 유지됩니다. 마이그레이션하지 않은 구성을 실행하는 ASA의 다른 요소는 마이그레이션 프로세스 외부의 FDM 관리 디바이스에서 다시 생성해야 합니다.

CDO를 사용하여 ASA를 FDM 관리 디바이스로 마이그레이션하는 프로세스에 대한 전체 설명은 Cisco Defense Orchestrator를 사용하여 ASA를 FDM 매니지드 디바이스로 마이그레이션을 참조하십시오.

ASA 인증서 관리

디지털 인증서는 인증 디바이스 및 개별 사용자를 위한 디지털 ID를 제공합니다. 디지털 인증서에는 어떤 디바이스나 사용자를 식별하는 정보, 이를테면 이름, 일련 번호, 회사, 부서 또는 IP 주소가 들어 있습니다. 디지털 인증서는 사용자 또는 디바이스의 공개 키 사본 하나도 포함합니다. "디지털 인증서"에 대한 자세한 내용은 Cisco ASA 시리즈 일반 운영 ASDM 구성, X.Y 문서에서 "디지털 인증서" 장을 참조하십시오.

CA(인증 증명)는 인증서에 "서명"하여 그 진위를 확인함으로써 해당 디바이스 또는 사용자의 ID를 보장하는 신뢰받는 기관입니다. CA는 ID 인증서도 발급합니다.

  • ID 인증서 — ID 인증서는 특정 시스템 또는 호스트용 인증서입니다. 이러한 인증서는 OpenSSL 툴킷을 사용하여 직접 생성하거나 인증 기관에서 받을 수 있습니다. 자체 서명 인증서를 생성할 수도 있습니다. CA는 ID 인증서를 발급하는데, 이는 특정 시스템이나 호스트를 위한 인증서입니다.

  • 신뢰할 수 있는 CA 인증서 인증서 — 신뢰할 수 있는 CA 인증서는 다른 인증서에 서명하는 데 사용됩니다. 이러한 인증서는 CA 인증서에는 활성화되지만 ID 인증서에는 비활성화되는 기본 제약 조건 확장 및 CA 플래그와 관련된 내부 ID 인증서와 다릅니다. 신뢰할 수 있는 CA 인증서는 자체 서명되며 루트 인증서라고도 합니다.

원격 액세스 VPN은 VPN 연결을 안전하게 설정하기 위해 보안 게이트웨이 및 AnyConnect 클라이언트(종단) 인증에 디지털 인증서를 사용합니다. 자세한 내용은 Remote Access VPN 인증서 기반 인증을 참고하십시오.

인증서 설치 가이드

ASA에서의 인증서 설치에 대한 다음 가이드를 읽어보십시오.

  • 인증서는 단일 또는 여러 ASA 디바이스에 동시에 설치할 수 있습니다.

  • 한 번에 하나의 인증서만 설치할 수 있습니다.

  • 인증서는 라이브 ASA 디바이스에만 설치할 수 있으며 모달 디바이스에는 설치할 수 없습니다.

ASA 인증서 설치

디지털 인증서를 트러스트 포인트 개체로 업로드하고 CDO에서 관리하는 ASA 디바이스에 설치해야 합니다.


참고

ASA 디바이스에 대역 외 변경 사항이 없으며 모든 단계적 변경 사항이 구축되었는지 확인합니다.

다음에는 CDO에서 지원하는 디지털 인증서 및 형식이 나와 있습니다.

  • ID 인증서는 다음 방법을 사용하여 설치할 수 있습니다.

    • PKCS12 파일 가져오기.

    • 자체 서명 인증서

    • CSR(Certificate Signing Request) 가져오기.

  • 신뢰할 수 있는 CA 인증서는 PEM 또는 DER 형식을 사용하여 설치할 수 있습니다.

CDO를 사용하여 ASA에 인증서를 설치하는 단계를 보여주는 스크린캐스트를 시청하십시오. 또한 설치된 인증서를 수정, 내보내기 및 삭제하는 단계를 보여줍니다.

지원되는 인증서 형식

  • PKCS12: PKCS#12, P12 또는 PFX 형식은 서버 인증서, 중간 인증서 및 개인 키를 하나의 암호화 가능한 파일에 저장하기 위한 이진 형식입니다. PFX 파일은 일반적으로 .pfx.p12와 같은 확장자를 갖습니다.

  • PEM: PEM(원래 "Privacy Enhanced Mail") 파일은 ASCII(또는 Base64) 인코딩 데이터를 포함하며 인증서 파일은 .pem, .crt, .cer 또는 .key 형식일 수 있습니다. 이는 Base64 인코딩 ASCII 파일이며 "-----BEGIN CERTIFICATE-----" 및 "-----END CERTIFICATE-----" 명령문을 포함합니다.

  • DER: DER(Distinguished Encoding Rules) 형식은 ASCII PEM 형식이 아닌 인증서의 이진 형식입니다. 파일 확장자가 .der인 경우도 있지만 파일 확장자가 .cer인 경우도 많습니다. 따라서 DER.cer 파일과 PEM.cer 파일의 차이점을 구분하는 유일한 방법은 텍스트 편집기에서 파일을 열고 BEGIN/END 문을 찾는 것입니다. PEM과 달리 DER 인코딩 파일은 -----BEGIN CERTIFICATE-----와 같은 일반 텍스트 명령문을 포함하지 않습니다.

트러스트 포인트 화면

ASA 디바이스를 CDO에 온보딩한 후 Devices & Services(디바이스 및 서비스) 탭에서 ASA 디바이스를 선택하고 왼쪽의 Management(관리) 창에서 Trustpoints(트러스트 포인트)를 클릭합니다.

Trustpoints(트러스트 포인트) 탭에 디바이스에 이미 설치된 인증서가 표시됩니다.

  • "Installed(설치됨)" 상태는 해당 인증서가 디바이스에 성공적으로 설치되었음을 나타냅니다.

  • "Unknown(알 수 없음)" 상태는 해당 인증서에 어떤 정보도 포함되어 있지 않음을 나타냅니다. 해당 사이트를 제거하고 정확한 세부사항을 사용하여 다시 업로드 해야 합니다. CDO은 알 수 없는 인증서를 신뢰할 수 있는 CA 인증서로 검색합니다.

  • "Installed(설치됨)"가 표시된 행을 클릭하여 오른쪽 창에서 인증서 세부 정보를 확인합니다. 선택한 인증서의 추가 세부 정보를 보려면 more(더 보기)를 클릭합니다.

  • 설치된 ID 인증서는 PKCS12 또는 PEM 형식으로 내보내고 다른 ASA 디바이스로 가져올 수 있습니다. ID 인증서 내보내기를 참조하십시오.

  • 설치된 인증서에서는 고급 설정만 수정할 수 있습니다.

    • 고급 설정을 수정하려면 Edit(편집)를 클릭합니다.

    • 변경한 후 Send(전송)를 클릭하여 업데이트된 인증서를 설치합니다.

PKCS12를 사용하여 ID 인증서 설치

PKCS12 형식으로 생성된 기존 트러스트 포인트 개체를 선택하여 ASA 디바이스에 설치할 수 있습니다. 설치 마법사에서 새 트러스트 포인트 개체를 생성하고 ASA 디바이스에 인증서를 설치할 수도 있습니다.

시작하기 전에

  • 인증서 설치 지침을 읽어보십시오.

  • ASA는 "Synced(동기화됨)" 및 "Online(온라인)" 상태여야 합니다.

프로시저

단계 1

탐색 모음에서 Inventory(재고 목록)를 클릭합니다.

단계 2

단일 ASA 디바이스에 ID 인증서를 설치하려면 다음을 수행합니다.

  1. Devices(디바이스) 탭을 클릭합니다.

  2. ASA 탭을 클릭하고 ASA 디바이스를 선택합니다.

  3. 오른쪽의 Management(관리) 창에서 Trustpoints(트러스트 포인트)를 클릭합니다.

  4. Install(설치)을 클릭합니다.

참고

 

여러 ASA 디바이스에 인증서를 설치할 수도 있습니다. 여러 ASA 디바이스를 선택하고 오른쪽의 Devices Action(디바이스 작업)에서 Install Certificate(인증서 설치)를 클릭합니다.

단계 3

Select Trustpoint Certificate to Install(설치할 트러스트 포인트 인증서 선택)에서 다음 중 하나를 클릭합니다.

  • Create(생성)를 클릭하여 새 트러스트 포인트 개체를 추가합니다. 자세한 내용은 PKCS12를 사용하여 ID 인증서 개체 추가를 참조하십시오.

  • Choose(선택)를 클릭하여 PKCS 유형의 인증서 등록 개체를 선택합니다.

단계 4

Send(보내기)를 클릭합니다.

이렇게 하면 ASA 디바이스에 인증서가 설치됩니다.

참고

 

중간 CA가 설치된 PKCS12 인증서를 가져오는 경우, ASA에서는 아직 설치되지 않은 모든 중간 CA 인증서에 대해 트러스트 포인트 개체를 자동으로 생성하여 디바이스에 설치합니다. ID 인증서를 클릭하면 다음 예와 같이 오른쪽 창에 메시지가 표시됩니다.

자체 서명 등록을 사용하여 인증서 설치

자체 서명 인증서에 대해 생성된 기존 트러스트 포인트 개체를 선택하여 ASA 디바이스에 설치할 수 있습니다. 설치 마법사에서 새 트러스트 포인트 개체를 생성하고 ASA 디바이스에 인증서를 설치할 수도 있습니다.

시작하기 전에

  • 인증서 설치 지침을 읽어보십시오.

  • ASA는 "Synced(동기화됨)" 및 "Online(온라인)" 상태여야 합니다.

프로시저

단계 1

탐색 모음에서 Inventory(재고 목록)를 클릭합니다.

단계 2

단일 ASA 디바이스에 ID 인증서를 설치하려면 다음을 수행합니다.

  1. Devices(디바이스) 탭을 클릭합니다.

  2. ASA 탭을 클릭하고 ASA 디바이스를 선택합니다.

  3. 오른쪽의 Management(관리) 창에서 Trustpoints(트러스트 포인트)를 클릭합니다.

  4. Install(설치)을 클릭합니다.

참고

 

여러 ASA 디바이스에 서명된 인증서를 설치할 수도 있습니다. 여러 ASA 디바이스를 선택하고 오른쪽의 Devices Action(디바이스 작업)에서 Install Certificate(인증서 설치)를 클릭합니다.

단계 3

Select Trustpoint Certificate to Install(설치할 트러스트 포인트 인증서 선택)에서 다음 중 하나를 클릭합니다.

  • Create(생성)를 클릭하여 새 트러스트 포인트 개체를 추가합니다. 자세한 내용은 PKCS12를 사용하여 ID 인증서 개체 추가를 참조하십시오.

  • Choose(선택)를 클릭하여 자체 서명 인증서 유형의 인증서 등록 개체를 선택합니다.

단계 4

Send(보내기)를 클릭합니다.

자체 서명된 등록 유형의 트러스트 포인트의 경우 발급자 공통 이름 상태는 항상 ASA 디바이스이며 관리되는 디바이스는 자체 CA로 작동하여 자체 ID를 생성하는 CA 인증서가 필요하지 않습니다.

인증서 서명 요청(CSR) 관리

먼저 CSR 요청을 생성한 다음 신뢰할 수 있는 CA(Certificate Authority)에서 이 요청에 서명을 받아야 합니다. 그런 다음 CA에서 발급한 서명된 ID 인증서를 ASA 디바이스에 설치할 수 있습니다.

  • 인증서 설치 지침을 읽어보십시오.

  • ASA는 "Synced(동기화됨)" 및 "Online(온라인)" 상태여야 합니다.

다음 다이어그램은 ASA에서 CSR을 생성하고 인증된 발급 인증서를 설치하는 워크플로우를 보여줍니다.

CSR 요청 생성

프로시저

단계 1

탐색 모음에서 Inventory(재고 목록)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

ASA 탭을 클릭하고 ASA 디바이스를 선택합니다.

단계 4

단일 ASA 디바이스에 ID 인증서를 설치하려면 다음을 수행합니다.

단계 5

Install(설치)을 클릭합니다.

단계 6

Select Trustpoint Certificate to Install(설치할 트러스트 포인트 인증서 선택)에서 다음 중 하나를 클릭합니다.

단계 7

Send(보내기)를 클릭합니다.

이렇게 하면 서명되지 않은 CSR(인증서 서명 요청)이 생성됩니다.

단계 8

복사 아이콘 copy_icon.png를 클릭하여 CSR 세부 정보를 복사합니다. CSR 요청을 ".csr" 파일 형식으로 다운로드할 수도 있습니다.

단계 9

OK(확인)를 클릭합니다.

단계 10

인증서에 서명하려면 인증서 서명 요청(CSR)을 인증 기관에 제출합니다.

인증 기관에서 발급한 서명된 ID 인증서 설치

CA가 서명된 인증서를 발급하면 ASA 디바이스에 인증서를 설치합니다.

프로시저

단계 1

Trustpoint(트러스트 포인트) 화면에서 Status(상태)가 "Awaiting Signed Certificate Install(서명된 인증서 설치 대기 중)"인 CSR 요청을 클릭하고 오른쪽의 Actions(작업) 창에서 Install Certified ID Certificate(인증된 ID 인증서 설치)를 클릭합니다.

단계 2

CA에서 수신한 서명된 인증서를 업로드합니다. 파일을 끌어다 놓거나 제공된 필드에 내용을 붙여넣을 수 있습니다. 트러스트 포인트 명령은 선택한 트러스트 포인트를 기반으로 생성됩니다.

단계 3

Send(보내기)를 클릭합니다.

이렇게 하면 서명된 ID 인증서가 ASA 디바이스에 설치됩니다. 인증서를 설치하면 디바이스에 변경 사항이 즉시 구축됩니다.

참고

 

여러 ASA 디바이스에 인증서를 설치할 수도 있습니다. 여러 ASA 디바이스를 선택하고 오른쪽의 Devices Action(디바이스 작업)에서 Install Certificate(인증서 설치)를 클릭합니다.

ASA에 신뢰할 수 있는 CA 인증서 설치

시작하기 전에

  • 인증서 설치 지침을 읽어보십시오.

  • ASA는 "Synced(동기화됨)" 및 "Online(온라인)" 상태여야 합니다.

프로시저

단계 1

내비게이션 메뉴에서 Inventory(재고 목록)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

ASA 탭을 클릭하고 ASA 디바이스를 선택합니다.

단계 4

단일 ASA 디바이스에 ID 인증서를 설치하려면 다음을 수행합니다.

  1. ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Trustpoints(트러스트 포인트)를 클릭합니다.

  2. Install(설치)을 클릭합니다.

참고

 

여러 ASA 디바이스에 인증서를 설치할 수도 있습니다. 여러 ASA 디바이스를 선택하고 오른쪽의 Devices Action(디바이스 작업)에서 Install Certificate(인증서 설치)를 클릭합니다.

단계 5

Select Trustpoint Certificate to Install(설치할 트러스트 포인트 인증서 선택)에서 다음 중 하나를 클릭합니다.

  • Create(생성)를 클릭하여 새 트러스트 포인트 개체를 추가합니다. 자세한 내용은 신뢰할 수 있는 CA 인증서 개체 추가을 참고하십시오.

  • 신뢰할 수 있는 인증 기관 개체 선태을 Choose(선택)합니다.

단계 6

Send(보내기)를 클릭합니다.

그러면 ASA 디바이스에 신뢰할 수 있는 CA 파일이 설치됩니다.

ID 인증서 내보내기

신뢰 지점과 연결된 키 쌍 및 발급된 인증서를 PKCS12 또는 PEM 형식으로 내보내고 가져올 수 있습니다. 이 형식은 신뢰 지점 구성을 다른 ASA에서 수동으로 복제하는 데 유용합니다.

프로시저

단계 1

내비게이션 메뉴에서 Inventory(재고 목록)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

ASA를 클릭합니다.

단계 4

ASA 디바이스를 선택하고 오른쪽의 Management(관리)에서 Trustpoints(트러스트 포인트)를 클릭합니다.

단계 5

ID 인증서를 클릭하여 인증서 구성을 내보냅니다. 또는 검색 필드에 이름을 입력하여 인증서를 검색할 수 있습니다.

단계 6

오른쪽의 Actions(작업) 창에서 Export Certificate(인증서 내보내기)를 클릭합니다.

단계 7

PKCS12 Format(PKCS12 형식) 또는 PEM Format(PEM 형식)을 클릭하여 인증서 형식을 선택합니다.

단계 8

내보낼 PKCS12 파일을 암호화하는 데 사용한 암호화 패스프레이즈를 입력합니다.

단계 9

암호화 패스프레이즈를 확인합니다.

단계 10

Export(내보내기)를 클릭하여 인증서 구성을 내보냅니다.

정보 대화 상자가 나타나 인증서 컨피그레이션 파일을 지정된 위치에 성공적으로 내보냈음을 알립니다.

다음에 수행할 작업

다운로드한 ID 인증서를 보려면 인증서를 다운로드한 디렉터리에서 다음 명령을 실행합니다.
  1. base64 형식 의 인증서를 디코딩하려면 다음을 수행합니다.
    openssl base64 -d -in <file_name>.p12 -out <file_name>_b64.p12
  2. 인증서를 보려면 다음을 수행합니다. 
    openssl pkcs12 -in <file_name>_b64.p12 -passin pass:<password>

설치된 인증서 편집

설치된 인증서의 고급 옵션만 수정할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

ASA 탭을 클릭합니다.

단계 4

ASA 디바이스를 선택하고 오른쪽의 Management(관리)에서 Trustpoints(트러스트 포인트)를 클릭합니다.

단계 5

수정할 인증서를 클릭하고 오른쪽의 Actions(작업) 창에서 Edit(편집)를 클릭합니다.

단계 6

필수 매개변수를 수정하고 Save(저장)를 클릭합니다.

ASA에서 기존 인증서 삭제

인증서를 하나씩 삭제할 수 있습니다. 삭제한 인증서 컨피그레이션은 복원할 수 없습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

ASA 디바이스를 선택하고 오른쪽의 Management(관리)에서 Trustpoints(트러스트 포인트)를 클릭합니다.

단계 3

삭제할 인증서를 클릭하고 오른쪽의 Actions(작업) 창에서 Remove(제거)를 클릭합니다.

단계 4

OK(확인)를 클릭하여 선택한 인증서를 제거합니다.

ASA 파일 관리

CDO는 ASA 디바이스의 플래시(disk0) 공간에 있는 파일 보기, 업로드 또는 삭제와 같은 기본 파일 관리 작업을 수행하기 위한 파일 관리 툴을 제공합니다.


Note

disk1에 있는 파일은 관리할 수 없습니다.

File Management(파일 관리) 화면에는 디바이스의 플래시(disk0)에 있는 모든 파일이 나열됩니다. 파일 업로드에 성공하면 새로 고침 아이콘을 클릭하여 파일을 볼 수 있습니다. 기본적으로 이 화면은 10분마다 자동으로 새로 고쳐집니다. Disk Space(디스크 공간) 필드에는 disk0 디렉터리의 디스크 공간이 표시됩니다.

AnyConnect 이미지를 단일 또는 여러 ASA 디바이스에 업로드할 수 있습니다. 업로드에 성공하면 AnyConnect 이미지가 선택한 ASA 디바이스의 RA VPN 구성과 연결됩니다. 이렇게 하면 새로 릴리스된 AnyConnect 패키지를 여러 ASA 디바이스에 동시에 업로드할 수 있습니다.

플래시 시스템에 파일 업로드

CDO는 원격 서버에서의 URL 기반 파일 업로드만 지원합니다. 파일 업로드에 지원되는 프로토콜은 HTTP, HTTPS, TFTP, FTP, SMB 또는 SCP입니다. AnyConnect 소프트웨어 이미지, DAP.xml, data.xml, 호스트 스캔 이미지 파일 등의 파일을 단일 또는 여러 ASA 디바이스에 업로드할 수 있습니다.


Note

원격 서버의 URL 경로가 유효하지 않거나 발생할 수 있는 문제로 인해 CDO는 선택한 ASA 디바이스에 파일을 업로드하지 않습니다. 자세한 내용은 디바이스 워크플로우로 이동하여 알아보십시오.

디바이스가 고가용성으로 구성되어 있고 CDO가 먼저 스탠바이 디바이스에 파일을 업로드하고 업로드에 성공한 후에만 파일이 액티브 디바이스에 업로드된다고 가정합니다. 파일 제거 프로세스 중에도 동일한 동작이 적용됩니다.

파일 업로드에 지원되는 프로토콜의 syntax(명령문):

프로토콜

구문

HTTP http://[[path/ ]filename] http://www.geonames.org/data-sources.html
HTTPS https://[[path/ ]filename] https://docs.aws.amazon.com/amazov/tagging.html
TFTP tftp://[[path/ ]filename] tftp://10.10.16.6/ftd/components.html
FTP ftp://[[user[:password]@]server[:port]/[path/ ]filename] ftp://'dlpuser:rNrKYTX9g7z3RgJRmxWuGHbeu'@ftp.dlptest.com/image0-000.jpg
SMB smb://[[path/ ]filename] smb://10.10.32.145//sambashare/hello.txt
SCP scp://[[user[:password]@]server[/path]/ filename] scp://root:cisco123@10.10.16.6//root/events_send.py

시작하기 전에

  • ASA 디바이스에서 원격 서버에 액세스할 수 있는지 확인합니다.

  • 파일이 이미 원격 서버에 업로드되었는지 확인합니다.

  • ASA 디바이스에서 해당 서버로 연결되는 네트워크 경로가 있는지 확인합니다.

  • FQDN이 URL에 사용되는 경우 DNS가 구성되어 있는지 확인합니다.

  • 원격 서버의 URL은 인증 프롬프트가 표시되지 않는 직접 링크여야 합니다.

  • 원격 서버 IP 주소가 NAT된 경우 원격 서버 위치의 NAT된 공용 IP 주소를 제공해야 합니다.


Note

페일오버에서 피어로 구성된 ASA에 파일을 업로드하는 경우 CDO는 페일오버 쌍의 다른 피어에 대한 새 파일을 승인하지 않으며 디바이스 상태가 Not Synced(동기화되지 않음)로 변경됩니다. CDO가 두 디바이스에서 파일을 인식하도록 하려면 디바이스 모두에 변경 사항을 수동으로 구축해야 합니다.

단일 ASA 디바이스에 파일 업로드

이 절차를 사용하여 파일을 단일 ASA 디바이스에 업로드합니다.

Procedure

Step 1

탐색 모음에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

ASA 탭을 클릭하고 ASA 디바이스를 선택합니다.

Step 4

오른쪽의 Management(관리) 창에서 File Management(파일 관리)를 클릭합니다. 사용 가능한 디스크 공간 및 ASA 디바이스에 있는 파일을 볼 수 있습니다.

Step 5

오른쪽의 Upload(업로드) 버튼을 클릭합니다.

Step 6

URL 링크에서 파일이 사전 업로드된 서버의 경로를 지정합니다. Destination Path(대상 경로) 필드에는 disk0 디렉터리에 업로드되는 파일의 이름이 표시됩니다. disk0 내의 특정 디렉터리에 파일을 업로드하려면 이 필드에 파일 이름을 지정합니다. 예를 들어 dap.xml 파일을 "DAPFiles" 디렉터리에 업로드하려면 필드에 " disk0:/ DAPFiles/dap.xml"을 지정합니다.

Note

 

CDO ASA CLI 인터페이스에서 dir 명령을 실행하여 disk0 폴더에 있는 디렉터리를 볼 수 있습니다.

Step 7

지정된 서버 경로가 AnyConnect 파일을 가리키는 경우 Associate file with RA VPN Configuration(RA VPN 구성과 파일 연결) 확인란이 활성화됩니다. 참고: 이 확인란은 올바른 명명 규칙을 따르는 AnyConnect 파일 이름(예: 'anyconnect-win-xxx.pkg', 'anyconnect-linux-xxx.pkg' 또는 'anyconnect-mac-xxx.pkg' 형식)에 대해서만 활성화됩니다. 이 확인란을 선택하면 CDO는 업로드에 성공한 후 AnyConnect 파일을 선택한 ASA 디바이스의 원격 액세스 VPN 구성에 연결합니다.

Step 8

Upload(업로드)를 클릭합니다. CDO는 파일을 디바이스에 업로드합니다.

Step 9

5단계에서 AnyConnect 패키지를 RA VPN 구성과 연결하도록 선택한 경우 새 RA VPN 구성을 ASA 디바이스에 구축합니다.

What to do next

디바이스에 구성 변경 사항을 구축할 필요가 없습니다.

여러 ASA 디바이스에 파일 업로드

이 절차를 사용하여 동시에 여러 ASA 디바이스에 파일을 업로드합니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

대량 업로드를 수행하려면 ASA 탭을 클릭하고 여러 ASA 디바이스를 선택합니다.

Step 4

오른쪽의 Device Actions(디바이스 작업)에서 Upload File(파일 업로드)를 클릭합니다. 참고: ASA 디바이스가 온라인이어야 Upload File(파일 업로드) 링크가 나타납니다.

Step 5

URL 링크에서 파일이 사전 업로드된 서버의 경로를 지정합니다. Destination Path(대상 경로) 필드에는 disk0 디렉터리에 업로드되는 파일의 이름이 표시됩니다. disk0 내의 특정 디렉터리에 파일을 업로드하려면 이 필드에 파일 이름을 지정합니다. 예를 들어 dap.xml 파일을 "DAPFiles" 디렉터리에 업로드하려면 필드에 " disk0:/ DAPFiles/dap.xml"을 지정합니다.

Note

 

CDO ASA CLI 인터페이스에서 dir 명령을 실행하여 disk0 폴더에 있는 디렉터리를 볼 수 있습니다.

Step 6

지정된 서버 경로가 AnyConnect 파일을 가리키는 경우 Associate file with RA VPN Configuration(RA VPN 구성과 파일 연결) 확인란이 활성화됩니다.

Note

 

이 확인란은 올바른 명명 규칙을 따르는 AnyConnect 파일 이름(예: 'anyconnect-win-xxx.pkg', 'anyconnect-linux-xxx.pkg' 또는 'anyconnect-mac-xxx.pkg' 형식)에 대해서만 활성화됩니다. 이 확인란을 선택하면 CDO는 업로드에 성공한 후 AnyConnect 파일을 선택한 ASA 디바이스의 원격 액세스 VPN 구성에 연결합니다.

Step 7

Upload(업로드)를 클릭합니다.

Step 8

4단계에서 AnyConnect 패키지를 RA VPN 구성과 연결하도록 선택한 경우, 새 RA VPN 구성을 ASA 디바이스에 구축합니다.

What to do next

개별 디바이스에서 파일을 업로드하는 진행 상황을 볼 수 있습니다. ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 File Management(파일 관리)를 클릭합니다. 파일 업로드가 진행 중인 경우 작업이 완료될 때까지 기다립니다.

디바이스에 구성 변경 사항을 구축할 필요가 없습니다.

ASA에서 파일 제거

RA VPN 구성과 연결된 AnyConnect 파일은 제거할 수 없습니다. 해당 RA VPN 구성에서 AnyConnect 파일의 연결을 해제한 다음 파일 관리 툴에서 파일을 제거해야 합니다.


Note

페일오버에서 피어로 구성된 ASA에 파일을 업로드하는 경우 CDO는 페일오버 쌍의 다른 피어에 대한 새 파일을 승인하지 않으며 디바이스 상태가 Not Synced(동기화되지 않음)로 변경됩니다. CDO가 두 디바이스에서 파일을 인식하도록 하려면 디바이스 모두에 변경 사항을 수동으로 구축해야 합니다.

제거 작업은 선택한 파일을 플래시 메모리에서 영구적으로 삭제합니다. 파일을 삭제할 때 확인을 요청하는 메시지가 나타납니다. 선택한 ASA 디바이스에서 파일을 제거하려면 다음 절차를 수행합니다.

Procedure

Step 1

탐색 모음에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

ASA 탭을 클릭하고 ASA 디바이스를 선택합니다.

Step 4

오른쪽의 Management(관리) 창에서 File Management(파일 관리)를 클릭합니다.

Step 5

제거할 파일을 선택하고 오른쪽의 Actions(작업) 아래에서 Remove(제거)를 클릭합니다. 최대 25개의 파일을 선택할 수 있습니다. CDO가 일부 파일을 제거하지 못한 경우 디바이스 워크플로우를 확인하여 제거된 파일과 보존된 파일을 확인할 수 있습니다.

Step 6

AnyConnect 패키지를 제거하도록 선택한 경우 ASA 디바이스에 새 RA VPN 구성을 구축합니다.

기존 고가용성 구성으로 ASA 관리

액티브-액티브 페일오버 모드에서 ASA에 적용된 구성 변경 사항

CDO가 ASA의 실행 구성을 CDO에 준비된 구성으로 변경하거나 CDO의 구성을 ASA에 저장된 구성으로 변경할 때 구성의 해당 측면을 CDO GUI로 관리할 수 있으면 구성 파일의 관련 행만 변경하려고 시도합니다. CDO GUI를 사용하여 원하는 구성을 변경할 수 없는 경우, CDO는 변경을 위해 전체 구성 파일을 덮어쓰려고 시도합니다.

다음은 두 가지 예입니다.

  • CDO GUI를 사용하여 네트워크 개체를 생성하거나 변경할 수 있습니다. CDO가 해당 변경 사항을 ASA의 구성에 배포해야 하는 경우, 변경이 발생할 때 ASA에서 실행 중인 구성 파일의 관련 줄을 덮어씁니다.

  • CDO GUI를 사용하여 새 ASA 사용자를 생성할 수 없습니다. ASA의 ASDM 또는 CLI를 사용하여 새 사용자를 ASA에 추가한 경우, 해당 대역 외 변경 사항이 수락되고 CDO가 저장된 구성 파일을 업데이트하면 CDOCDO에 준비된 ASA의 전체 구성 파일을 덮어쓰려고 시도합니다.

ASA가 액티브-액티브 페일오버 모드에서 구성된 경우 이러한 규칙은 준수되지 않습니다. CDO가 액티브-액티브 페일오버 모드에서 구성된 ASA를 관리하는 경우 CDO가 항상 자신의 모든 구성 변경 사항을 ASA로 구축하거나 ASA의 모든 구성 변경 사항을 자신으로 읽을 수는 없습니다. 다음은 두 가지 경우입니다.

  • CDO에서 수행한 ASA 구성 파일의 변경 사항은 CDOCDO GUI에서 지원하지 않는 경우 ASA에 구축할 수 없습니다. 또한 CDO가 지원하지 않는 구성 파일에 대한 변경 사항과 CDO가 지원하는 구성 파일에 대한 변경 사항의 조합은 ASA에 구축할 수 없습니다. 두 경우 모두 "CDO는 현재 페일오버 모드의 디바이스에 대한 전체 구성 교체를 지원하지 않습니다. Cancel(취소)을 클릭하고 디바이스에 변경 사항을 수동으로 적용하십시오." CDO 인터페이스의 메시지와 함께 Replace Configuration(구성 교체) 버튼이 비활성화되어 있습니다.

  • 액티브-액티브 페일오버 모드에서 구성된 ASA에 대한 대역 외 변경 사항은 CDO에 의해 거부되지 않습니다. ASA의 실행 중인 구성을 대역 외 변경을 수행하는 경우, ASA는 Security Devices(보안 디바이스) 페이지에서 "Conflict Detected(충돌 탐지됨)"로 표시됩니다. 충돌을 검토하고 충돌을 거부하려고 하면 CDO가 해당 작업을 차단합니다. "CDO는 이 디바이스에 대한 대역 외 변경 거부를 지원하지 않습니다. 이 디바이스는 지원되지 않는 소프트웨어 버전을 실행하거나 액티브/액티브 페일오버 쌍의 멤버입니다. Continue(계속)를 클릭하여 대역 외 변경 사항을 수락하십시오."


Caution

ASA에서 대역 외 변경 사항을 수락해야 하는 경우 CDO에 준비되었지만 아직 ASA에 구축되지 않은 모든 구성 변경 사항이 덮어쓰기되고 손실됩니다.

CDO는 페일오버 모드에서 ASA에 대한 구성 변경 사항이 CDO GUI에서 지원되는 경우 해당 구성 변경 사항을 지원합니다.

ASA에서 DNS 구성

이 절차를 사용하여 각 ASA에서 도메인 이름 서버(DNS)를 구성합니다.

사전 요구 사항

  • ASA는 인터넷에 연결되어야 합니다.

  • 시작하기 전에 다음 정보를 수집합니다.

    • DNS 서버에 연결할 수 있는 ASA 인터페이스의 이름(예: 내부, 외부 또는 dmz).

    • 조직에서 사용하는 DNS 서버의 IP 주소 자체 DNS 서버를 유지 관리하지 않는 경우 Cisco Umbrella를 사용할 수 있습니다. Cisco Umbrella의 IP 주소는 208.67.220.220입니다.

절차

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

ASA 탭을 클릭하고 DNS를 구성할 모든 ASA를 선택합니다.

단계 4

오른쪽의 Actions(작업) 창에서 Command Line Interface(명령줄 인터페이스)를 선택합니다.

단계 5

CLI 매크로 즐겨찾기 별을 클릭합니다.

단계 6

Configure DNS Macro(DNS 매크로 구성)를 선택합니다.

단계 7

>_View Parameters(매개변수 보기)를 선택하고 Parameters(매개변수) 열에서 다음 매개변수의 값을 입력합니다.

  • IF_Name - DNS 서버에 연결할 수 있는 ASA 인터페이스의 이름입니다.

  • IP_ADDR - 조직에서 사용하는 DNS 서버의 IP 주소

단계 8

Send to devices(디바이스로 전송)를 클릭합니다.

CDO 명령줄 인터페이스

CDO는 사용자에게 ASA 디바이스를 관리하기 위한 CLI(명령줄 인터페이스)를 제공합니다. 사용자는 단일 디바이스 또는 여러 디바이스에 동시에 명령을 전송할 수 있습니다.

명령줄 인터페이스 사용

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

명령줄 인터페이스(CLI)를 사용하여 관리하려는 디바이스를 찾으려면 디바이스 탭과 필터 버튼을 사용합니다.

Step 4

디바이스를 선택합니다.

Step 5

Device Actions(장치 작업) 창에서 >_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 6

Command Line Interface(명령줄 인터페이스) 탭을 클릭합니다.

Step 7

명령 창에 명령을 입력하고 Send(보내기)를 클릭합니다. 명령에 대한 디바이스의 응답은 "응답 창" 아래에 표시됩니다.

Note

 

실행할 수 있는 명령에 제한 사항이 있는 경우 해당 제한 사항은 명령 창 위에 나열됩니다.

명령줄 인터페이스에 명령 입력

한 줄에 하나의 명령을 입력하거나 여러 줄에 여러 명령을 순차적으로 입력할 수 있으며 CDO는 명령을 순서대로 실행합니다. 다음 ASA 예에서는 세 개의 네트워크 개체와 해당 네트워크 개체를 포함하는 네트워크 개체 그룹을 생성하는 명령 배치를 전송합니다.

ASA 디바이스 명령 입력: CDOASA의 전역 구성 모드에서 명령을 실행합니다.

긴 명령: 매우 긴 명령을 입력하면 CDO는 API에 대해 모두 실행할 수 있도록 명령을 여러 명령으로 분할하려고 시도합니다. CDO가 명령을 적절하게 분리할 수 없는 경우 명령 목록을 구분할 위치에 대한 힌트를 묻는 메시지가 표시됩니다. 예를 들면 다음과 같습니다.

오류: CDO가 600자를 초과하는 이 명령의 일부를 실행하려고 시도했습니다. 적절한 명령 구분 지점이 어디인지에 대한 힌트를 CDO에 제공할 수 있습니다. 명령 목록 사이에 빈 행을 추가하면 됩니다.

이 오류가 표시되는 경우:

Procedure

Step 1

CLI 기록 창 에서 오류 를 야기한 명령 을 클릭합니다. CDO 는 명령 상자를 긴 명령 목록으로 채웁니다.

Step 2

관련 명령 그룹 뒤에 빈 줄을 입력하여 긴 명령 목록을 편집합니다. 예를 들어 네트워크 개체 목록을 정의한 후 빈 줄을 추가하고 위의 예와 같이 그룹에 추가합니다. 명령 목록의 다양한 지점에서 이 작업을 수행할 수 있습니다.

Step 3

Send(보내기)를 클릭합니다.

명령 기록 작업

CLI 명령을 보낸 후 CDOCommand Line Interface(명령줄 인터페이스) 페이지의 기록 창에 해당 명령을 기록합니다. 기록 창에 저장된 명령을 다시 실행하거나 명령을 템플릿으로 사용할 수 있습니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

>_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 5

아직 확장되지 않은 경우 시계 아이콘 을 클릭하여 기록 창을 확장합니다.

Step 6

편집하거나 다시 보내려는 히스토리 창에서 명령을 Select(선택)합니다.

Step 7

명령 창에서 명령을 그대로 재사용하거나 편집하고 Send(보내기)를 클릭합니다. CDO는 명령의 결과를 응답 창에 표시합니다.

Note

 

CDO는 다음 두 가지 상황에서 응답창에 Done!(완료!) 메시지를 표시합니다.

  • 명령이 성공적으로 실행된 후.

  • 명령에 반환할 결과가 없는 경우. 예를 들어 특정 구성 항목을 검색하는 정규식과 함께 show 명령을 실행할 수 있습니다. 정규식 기준을 충족하는 구성 항목이 없는 경우 CDO완료!를 반환합니다.

대량 명령줄 인터페이스

CDO는 CLI(command line interface)를 사용하여 Secure Firewall ASA, FDM 관리, Threat Defense, SSH 및 Cisco IOS 디바이스를 관리할 수 있는 기능을 사용자에게 제공합니다. 사용자는 단일 디바이스 또는 같은 종류의 여러 디바이스에 동시에 명령을 보낼 수 있습니다. 이 섹션에서는 한 번에 여러 디바이스에 CLI 명령을 보내는 방법을 설명합니다.

대량 CLI 인터페이스


Note

CDO는 다음 두 가지 상황에서 Done!(완료!) 메시지를 표시합니다.

  • 명령이 오류 없이 성공적으로 실행된 후.

  • 명령에 반환할 결과가 없는 경우. 예를 들어 특정 구성 항목을 검색하는 정규식과 함께 show 명령을 실행할 수 있습니다. 정규식 기준을 충족하는 구성 항목이 없는 경우 CDO완료!를 반환합니다.

숫자

설명

1

시계를 클릭하여 명령 기록 창을 확장하거나 축소합니다.

2

명령 기록. 명령을 보낸 후 CDO는 이 히스토리 창에 명령을 기록하므로 돌아가서 선택하고 다시 실행할 수 있습니다.

3

명령 창. 이 창의 프롬프트에 명령을 입력합니다.

4

응답 창. CDO는 명령에 대한 디바이스의 응답과 CDO 메시지를 표시합니다. 두 개 이상의 디바이스에 대한 응답이 동일한 경우 응답 창에 "X 디바이스에 대한 응답 표시"라는 메시지가 표시됩니다. X 디바이스를 클릭하면 CDO가 명령에 동일한 응답을 반환한 모든 디바이스를 표시합니다.

Note

 

CDO는 다음 두 가지 상황에서 Done!(완료!) 메시지를 표시합니다.

  • 명령이 오류 없이 성공적으로 실행된 후.

  • 명령에 반환할 결과가 없는 경우. 예를 들어 특정 구성 항목을 검색하는 정규식과 함께 show 명령을 실행할 수 있습니다. 정규식 기준을 충족하는 구성 항목이 없는 경우 CDO완료!를 반환합니다.

5

My List(내 목록) 탭에는 보안 디바이스 테이블에서 선택한 디바이스가 표시되며 명령을 보낼 디바이스를 포함하거나 제외할 수 있습니다.

6

위 그림에서 강조 표시된 Execution(실행) 탭은 히스토리 창에서 선택한 명령의 디바이스를 표시합니다. 이 예에서 show run | grep user 명령이 기록 창에서 선택되고 실행 탭에 10.82.109.160, 10.82.109.181 및 10.82.10.9.187로 전송된 것으로 표시됩니다.

7

By Response(응답별) 탭을 클릭하면 명령에 의해 생성된 응답 목록이 표시됩니다. 동일한 응답은 한 행에 함께 그룹화됩니다. By Response(응답별) 탭에서 행을 선택하면 CDO는 응답 창에 해당 명령에 대한 응답을 표시합니다.

8

By Device(디바이스별) 탭을 클릭하면 각 디바이스의 개별 응답이 표시됩니다. 목록에서 디바이스 중 하나를 클릭하면 특정 디바이스에서 명령에 대한 응답을 볼 수 있습니다.

대량 명령 전송

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

디바이스를 찾으려면 Devices(디바이스) 탭을 클릭합니다.

Step 3

적절한 디바이스 탭을 선택하고 필터 버튼을 사용하여 명령줄 인터페이스를 사용하여 구성할 디바이스를 찾습니다.

Step 4

디바이스를 선택합니다.

Step 5

Device Actions(장치 작업) 창에서 >_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 6

내 목록 필드에서 명령을 보낼 디바이스를 선택하거나 선택 취소할 수 있습니다.

Step 7

명령 창에 명령을 입력하고 Send(보내기)를 클릭합니다. 명령 출력은 응답 창에 표시되고 명령은 변경 로그에 기록되며 CDO 명령은 대량 CLI 창의 기록 창에 명령을 기록합니다.

Note

 

명령은 동기화된 선택된 ASA 디바이스에서 성공하고 동기화되지 않은 디바이스에서는 실패할 수 있습니다. 선택한 ASA 디바이스 중 하나라도 동기화되지 않은 경우 show, ping, traceroute, vpn-sessiondb, changeto, dir, write 및 copy 명령만 허용됩니다.

대량 명령 기록 작업

대량 CLI 명령을 보낸 후, CDO대량 CLI 페이지 기록에 해당 명령을 기록합니다. 기록 창에 저장된 명령을 다시 실행하거나 명령을 템플릿으로 사용할 수 있습니다. 기록 창의 명령은 명령이 실행된 원래 디바이스와 연결됩니다.

Procedure

Step 1

탐색창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

디바이스를 찾으려면 Devices(디바이스) 탭을 클릭합니다.

Step 3

적절한 디바이스 유형 탭을 클릭하고 필터 아이콘을 클릭하여 구성하려는 디바이스를 찾습니다.

Step 4

디바이스를 선택합니다.

Step 5

Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 6

편집하거나 다시 보내려는 히스토리 창에서 명령을 Select(선택)합니다. 선택하는 명령은 특정 디바이스와 연결되며 반드시 첫 번째 단계에서 선택한 디바이스와 연결되지는 않습니다.

Step 7

내 목록 탭을 보고 전송하려는 명령이 예상하는 디바이스로 전송되는지 확인합니다.

Step 8

명령 창에서 명령을 편집하고 Send(보내기)를 클릭합니다. CDO는 명령의 결과를 응답 창에 표시합니다.

Note

 

명령은 동기화된 선택된 ASA 디바이스에서 성공하고 동기화되지 않은 디바이스에서는 실패할 수 있습니다. 선택한 ASA 디바이스 중 하나라도 동기화되지 않은 경우 show, ping, traceroute, vpn-sessiondb, changeto, dir, write 및 copy 명령만 허용됩니다.

대량 명령 필터 작업

대량 CLI 명령을 실행한 후 By Resonse(응답별) 필터 및 By Device(디바이스별) 필터를 사용하여 계속해서 디바이스를 구성할 수 있습니다.

응답 기준 필터

대량 명령을 실행한 후 CDO는 명령을 보낸 디바이스에서 반환된 응답 목록으로 By Response(응답별 ) 탭을 채웁니다. 응답이 동일한 디바이스는 단일 행에 통합됩니다. By Response(응답별) 탭에서 행을 클릭하면 응답 창에 디바이스의 응답이 표시됩니다. 응답 창에 두 개 이상의 디바이스에 대한 응답이 표시되면 "X 디바이스에 대한 응답 표시"라는 메시지가 표시됩니다. X 디바이스를 클릭하면 CDO가 명령에 동일한 응답을 반환한 모든 디바이스를 표시합니다.

명령 응답과 관련된 디바이스 목록에 명령을 보내려면 다음 절차를 따르십시오.

Procedure

Step 1

By Response(응답별) 탭에서 행의 명령 기호를 클릭합니다.

Step 2

명령 창에서 명령을 검토하고 Send(보내기)를 클릭하여 명령을 다시 보내거나 Clear(지우기)를 클릭하여 명령 창을 지우고 디바이스로 보낼 새 명령을 입력한 다음 Send(보내기)를 클릭합니다.

Step 3

명령에서 받은 응답을 검토하십시오.

Step 4

선택한 디바이스에서 실행 중인 구성 파일이 변경 사항을 반영한다고 확신하는 경우 명령 창에 write memory를 입력하고 Send(보내기)를 클릭합니다. 이렇게 하면 실행 중인 구성이 시작 구성에 저장됩니다.

디바이스 기준 필터

대량 명령을 실행한 후 CDO는 실행 탭과 디바이스별 탭을 명령을 보낸 디바이스 목록으로 채웁니다. 디바이스별 탭에서 행을 클릭하면 각 디바이스에 대한 응답이 표시됩니다.

동일한 디바이스 목록에서 명령을 실행하려면 다음 절차를 따르십시오.

Procedure

Step 1

By Device(디바이스 별) 탭을 클릭합니다.

Step 2

>_Execute a command on these devices(이 디바이스에서 명령 실행)를 클릭합니다.

Step 3

Clear(지우기)를 클릭하여 명령 창을 지우고 새 명령을 입력합니다.

Step 4

내 목록 창에서 목록의 개별 디바이스를 선택하거나 선택 취소하여 명령을 보낼 디바이스 목록을 지정합니다.

Step 5

Send(보내기)를 클릭합니다. 명령에 대한 응답이 응답 창에 표시됩니다. 응답 창에 두 개 이상의 디바이스에 대한 응답이 표시되면 "X 디바이스에 대한 응답 표시"라는 메시지가 표시됩니다. X 디바이스를 클릭하면 CDO가 명령에 동일한 응답을 반환한 모든 디바이스를 표시합니다.

Step 6

선택한 디바이스에서 실행 중인 구성 파일이 변경 사항을 반영한다고 확신하는 경우 명령 창에 write memory를 입력하고 Send(보내기)를 클릭합니다.

명령줄 인터페이스 매크로

CLI 매크로는 즉시 사용할 수 있는 완전한 형식의 CLI 명령이거나 실행 전에 수정할 수 있는 CLI 명령의 템플릿입니다. 모든 매크로는 하나 이상의 ASA 디바이스에서 동시에 실행할 수 있습니다.

여러 디바이스에서 동일한 명령을 동시에 실행하려면 템플릿과 유사한 CLI 매크로를 사용합니다. CLI 매크로는 디바이스 구성 및 관리의 일관성을 유지합니다. 완전한 형식의 CLI 매크로를 사용하여 디바이스에 대한 정보를 가져옵니다. ASA 디바이스에서 즉시 사용할 수 있는 다양한 CLI 매크로가 있습니다.

자주 수행하는 작업을 모니터링하기 위해 CLI 매크로를 생성할 수 있습니다. 자세한 내용은 CLI 매크로 생성을 참조하십시오.

CLI 매크로는 시스템 정의 또는 사용자 정의입니다. 시스템 정의 매크로는 CDO에서 제공하며 편집하거나 삭제할 수 없습니다. 사용자 정의 매크로는 사용자가 생성하며 편집하거나 삭제할 수 있습니다.


Note

디바이스가 CDO에 온보딩된 후에만 디바이스에 대한 매크로를 생성할 수 있습니다.

ASA를 예로 들어 ASA 중 하나에서 특정 사용자를 찾으려면 다음 명령을 실행할 수 있습니다.

show running-config | grep username

명령을 실행할 때 사용자 이름을 검색할 사용자의 사용자 이름으로 대체합니다. 이 명령으로 매크로를 만들려면 동일한 명령을 사용하고 사용자 이름을 중괄호로 묶습니다.

매개변수의 이름은 원하는 대로 지정할 수 있습니다. 이 매개변수 이름을 사용하여 동일한 매크로를 생성할 수도 있습니다.

매개변수 이름은 설명적일 수 있으며 영숫자 문자와 밑줄을 사용해야 합니다. 이 경우 명령 구문은 
show running-config | grep
명령의 일부이며 명령을 전송하는 디바이스에 대해 적절한 CLI 구문을 사용해야 합니다.

새 명령에서 CLI 매크로 생성

Procedure

Step 1

CLI 매크로를 생성하기 전에 CDO의 명령줄 인터페이스에서 명령을 테스트하여 명령 구문이 올바른지, 그리고 신뢰할 수 있는 결과를 반환하는지 확인합니다.

Note

 

Step 2

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 3

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 4

적절한 디바이스 유형 탭을 클릭하고 온라인 및 동기화된 디바이스를 선택합니다.

Step 5

>_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 6

CLI 매크로 즐겨찾기 스타 를 클릭하여 이미 존재하는 매크로를 확인합니다.

Step 7

더하기 버튼 을 클릭합니다.

Step 8

매크로에 고유한 이름을 지정합니다. 원하는 경우 CLI 매크로에 대한 설명 및 참고 사항을 제공합니다.

Step 9

Command(명령) 필드에 전체 명령을 입력합니다.

Step 10

명령을 실행할 때 수정하려는 명령 부분을 중괄호로 묶인 매개변수 이름으로 교체합니다.

Step 11

Create(생성)를 클릭합니다. 생성한 매크로는 처음에 지정한 디바이스뿐만 아니라 해당 유형의 모든 디바이스에서 사용할 수 있습니다.

명령을 실행하려면 디바이스에서 CLI 매크로 실행을 참조하십시오.

CLI 기록 또는 기존 CLI 매크로에서 CLI 매크로 생성

이 절차에서는 이미 실행한 명령, 다른 사용자 정의 매크로 또는 시스템 정의 매크로에서 사용자 정의 매크로를 생성합니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

참고

 

CLI 기록에서 사용자 정의 매크로를 생성하려면 명령을 실행한 디바이스를 선택합니다. CLI 매크로는 동일한 계정의 디바이스 간에 공유되지만 CLI 기록은 공유되지 않습니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

적절한 디바이스 유형 탭을 클릭하고 온라인 및 동기화된 디바이스를 선택합니다.

단계 4

>_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

단계 5

CLI 매크로를 만들려는 명령을 찾아 선택합니다. 다음 방법 중 하나를 사용합니다.

  • 해당 디바이스에서 실행한 명령을 보려면 시계 를 클릭합니다. 매크로로 전환할 항목을 선택하면 명령 창에 명령이 나타납니다.

  • CLI 매크로 즐겨찾기 스타 를 클릭하여 이미 존재하는 매크로를 확인합니다. 변경할 사용자 정의 또는 시스템 정의 CLI 매크로를 선택합니다. 명령 창에 명령이 나타납니다.

단계 6

명령 창의 명령을 사용하여 CLI 매크로 금색 별 를 클릭합니다. 이 명령은 이제 새 CLI 매크로의 기본이 됩니다.

단계 7

매크로에 고유한 이름을 지정합니다. 원하는 경우 CLI 매크로에 대한 설명 및 참고 사항을 제공합니다.

단계 8

명령 필드에서 명령을 검토하고 원하는 대로 변경합니다.

단계 9

명령을 실행할 때 수정하려는 명령 부분을 중괄호로 묶인 매개변수 이름으로 교체합니다.

단계 10

Create(생성)를 클릭합니다. 생성한 매크로는 처음에 지정한 디바이스뿐만 아니라 해당 유형의 모든 디바이스에서 사용할 수 있습니다.

명령을 실행하려면 CLI 매크로 실행을 참조하십시오.

CLI 매크로 실행

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

적절한 디바이스 유형 탭을 클릭하고 하나 이상의 디바이스를 선택합니다.

Step 4

>_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 5

명령 패널에서 별표 를 클릭합니다.

Step 6

명령 패널에서 CLI 매크로를 선택합니다.

Step 7

다음 두 가지 방법 중 하나로 매크로를 실행합니다.

  • 매크로에 정의할 매개변수가 없는 경우 Send(전송)를 클릭합니다. 명령에 대한 응답이 응답 창에 나타납니다. 다 됐습니다.

  • 아래의 Configure DNS 매크로와 같은 매개변수가 매크로에 포함된 경우 >_ View Parameters(매개변수 보기)를 클릭합니다.

Step 8

Parameters(매개변수) 창의 Parameters(매개변수) 필드에 매개변수 값을 입력합니다.

Step 9

Send(보내기)를 클릭합니다. CDO가 성공적으로 명령을 전송하고 디바이스의 구성을 업데이트하면 완료됩니다!

  • ASA의 경우 실행 중인 구성이 업데이트됩니다.

Step 10

명령을 전송한 후 "일부 명령이 실행 중인 구성을 변경했을 수 있습니다."라는 메시지와 함께 두 개의 링크가 표시될 수 있습니다.

  • Write to Disk(디스크에 쓰기)를 클릭하면 이 명령의 변경 사항과 실행 중인 구성의 다른 모든 변경 사항이 디바이스의 시작 구성에 저장됩니다.

  • Dismiss(해제)를 클릭하면 메시지가 사라집니다.

CLI 매크로 편집

사용자 정의 CLI 매크로는 편집할 수 있지만 시스템 정의 매크로는 편집할 수 없습니다. CLI 매크로를 수정하면 모든 ASA 디바이스에 대해 변경됩니다. 매크로는 특정 디바이스에 한정되지 않습니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

디바이스를 선택합니다.

Step 5

Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 6

편집할 사용자 정의 매크로를 선택합니다.

Step 7

매크로 레이블에서 편집 아이콘을 클릭합니다.

Step 8

Edit Macro(매크로 편집) 대화 상자에서 CLI 매크로를 편집합니다.

Step 9

Save(저장)를 클릭합니다.

CLI 매크로를 실행하는 방법에 대한 지침은 Run CLI Macros(CLI 매크로 실행)를 참조하십시오.

CLI 매크로 삭제

사용자 정의 CLI 매크로는 삭제할 수 있지만 시스템 정의 매크로는 삭제할 수 없습니다. CLI 매크로를 삭제하면 모든 디바이스에서 삭제됩니다. 매크로는 특정 디바이스에 한정되지 않습니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

디바이스를 선택합니다.

Step 5

>_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 6

삭제할 사용자 정의 CLI 매크로를 선택합니다.

Step 7

CLI 매크로 레이블에서 휴지통 아이콘 를 클릭합니다.

Step 8

CLI 매크로를 제거할지 확인합니다.

CDO CLI를 사용하여 ASA 구성

CDO에서 제공하는 CLI 인터페이스에서 CLI 명령을 실행하여 ASA 디바이스를 구성할 수 있습니다. 인터페이스를 사용하려면 Security Devices(보안 디바이스)를 클릭하고 디바이스를 선택하고 Command Line Interface(명령줄 인터페이스)를 클릭합니다. 자세한 내용은 CDO명령줄 인터페이스 사용을 참조하십시오.

새 로깅 서버 추가

시스템 로깅은 디바이스의 메시지를 syslog 데몬을 실행 중인 서버로 수집하는 방식입니다. 중앙 syslog 서버에 로깅하면 로그와 경고를 종합하는 데 도움이 됩니다.

자세한 내용은 실행 중인 ASA 버전의 CLI 책 1: Cisco ASA 시리즈 일반 작업 CLI 구성 가이드에서 '로깅' 장의 '모니터링' 섹션을 참조하십시오.

DNS 서버 구성

ASA에서 호스트 이름의 IP 주소를 확인할 수 있도록 DNS 서버를 구성해야 합니다. 또한 액세스 규칙에서 FQDN(Fully Qualified Domain Name) 네트워크 개체를 사용하려면 DNS 서버를 구성해야 합니다.

자세한 내용은 실행 중인 ASA 버전의 CLI 책 1: Cisco ASA 시리즈 일반 작업 CLI 구성 가이드에서 'DNS 서버 구성' 섹션의 '기본 설정' 장을 참조하십시오.

정적 및 기본 경로 추가

비연결 호스트 또는 네트워크에 트래픽을 라우팅하려면 정적 또는 동적 라우팅을 사용하여 해당 호스트 또는 네트워크로 가는 경로를 정의해야 합니다.

자세한 내용은 CLI 책 1: Cisco ASA 시리즈 일반 작업 CLI 구성 가이드의 '정적 및 기본 경로' 장을 참조하십시오.

인터페이스 구성

CLI 명령을 사용하여 관리 및 데이터 인터페이스를 구성할 수 있습니다. 자세한 내용은 CLI 책 1: Cisco ASA 시리즈 일반 작업 CLI 구성 가이드의 '기본 인터페이스 구성' 장을 참조하십시오.

CDO를 사용하여 ASA 구성 비교

이 절차를 사용하여 두 ASA의 구성을 비교합니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(장치) 탭을 클릭하여 ASA 디바이스를 찾거나 Templates(템플릿)탭을 클릭하여 ASA 모델 디바이스를 찾습니다.

Step 3

ASA 탭을 클릭합니다.

Step 4

비교하려는 디바이스에 대한 디바이스 목록을 필터링합니다.

Step 5

두 개의 ASA를 선택합니다. 상태는 중요하지 않습니다. CDO에 저장된 ASA의 구성을 비교하고 있습니다.

Step 6

오른쪽의 디바이스 작업 창에서 Compare(비교)를 클릭합니다.

Step 7

구성 비교 대화 상자에서 Next(다음)Previous(이전)를 클릭하여 구성 파일에서 파란색으로 강조 표시된 차이점을 건너뜁니다.

ASA 대량 CLI 사용 사례

ASA 디바이스에 CDO의 대량 CLI 기능을 사용할 때 발생할 수 있는 워크플로우는 다음과 같습니다.

ASA의 실행 중인 구성에 있는 모든 사용자를 표시한 다음 사용자 중 한 명 삭제

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

ASA 탭을 클릭합니다.

Step 4

사용자를 삭제하려는 디바이스의 디바이스 목록을 검색 및 필터링하고 선택합니다.

Note

 

선택한 디바이스가 동기화되었는지 확인합니다. 디바이스가 동기화되지 않은 경우 show, ping, traceroute, vpn-sessiondb, changeto, dir, copywrite 명령만 허용됩니다.

Step 5

세부 정보 창에서 >_Command Line Interface(명령줄 인터페이스)를 클릭합니다. 내 목록 창에서 선택한 디바이스가 CDO에 나열됩니다. 더 적은 수의 디바이스에 명령을 보내기로 결정한 경우 해당 목록에서 디바이스를 선택 취소하십시오.

Step 6

명령 창에서 show run | grep user를 입력하고 Send(보내기)를 클릭합니다. 사용자 문자열을 포함하는 실행 중인 구성 파일의 모든 줄이 응답 창에 표시됩니다. 실행 탭이 열리고 명령이 실행된 디바이스가 표시됩니다.

Step 7

By Response(응답별) 탭을 클릭하고 응답을 검토하여 삭제할 사용자가 있는 디바이스를 결정합니다.

Step 8

내 목록 탭을 클릭하고 사용자를 삭제할 디바이스 목록을 선택합니다.

Step 9

명령 창에서 no 형식의 user 명령을 입력하여 user2를 삭제한 다음 Send(보내기)를 클릭합니다. 이 예에서는 user2를 삭제합니다.

no user user2 password reallyhardpassword privilege 10

Step 10

사용자 이름을 검색하는 데 사용한 show run | grep user 명령 인스턴스에 대한 히스토리 패널을 찾습니다. 해당 명령을 선택하고 실행 목록에서 디바이스 목록을 확인한 다음 Send(보내기)를 선택합니다. 지정한 디바이스에서 사용자 이름이 삭제된 것을 볼 수 있습니다.

Step 11

실행 중인 구성에서 올바른 사용자를 삭제했고 올바른 사용자가 실행 중인 구성에 남아 있는 것에 만족하는 경우 다음을 수행합니다.

  1. 히스토리 창에서 no user user2 password reallyhardpassword privilege 10 명령을 선택합니다.

  2. By Device(디바이스 별) 탭을 클릭하고 이 디바이스에서 명령 실행를 클릭합니다.

  3. 명령 창에서 Clear(지우기)를 클릭하여 명령 창을 지웁니다.

  4. 배포 메모리 명령을 입력하고 Send(보내기)를 클릭합니다.

선택한 ASA에서 모든 SNMP 구성 찾기

이 절차는 ASA의 실행 중인 구성에 있는 모든 SNMP 구성 항목을 보여줍니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

ASA 탭을 클릭합니다.

Step 4

실행 중인 구성에서 SNMP 구성을 분석하려는 디바이스를 필터링 및 검색하고 선택합니다.

Note

 

선택한 디바이스가 동기화되었는지 확인합니다. 디바이스가 동기화되지 않은 경우 show, ping, traceroute, vpn-sessiondb, changeto, dir 명령만 허용됩니다.

Step 5

세부 정보 창에서 Command Line Interface(명령줄 인터페이스)를 클릭합니다. 디바이스는 내 목록 창에서 선택한 디바이스를 나열합니다. 더 적은 수의 디바이스에 명령을 보내기로 결정한 경우 해당 목록에서 디바이스를 선택 취소하십시오.

Step 6

명령 창에서 show run | grep snmp를 입력하고 Send(보내기)를 클릭합니다. snmp 문자열을 포함하는 실행 중인 구성 파일의 모든 줄이 응답 창에 표시됩니다. 실행 탭이 열리고 명령이 실행된 디바이스가 표시됩니다.

Step 7

응답 창에서 명령 출력을 검토합니다.

ASA 명령줄 인터페이스 설명서

CDO는 ASA 명령줄 인터페이스를 완벽하게 지원합니다. Cisco에서는 사용자가 단일 디바이스 및 여러 디바이스에 ASA 명령을 동시에 전송할 수 있도록 CDO 내에서 터미널과 유사한 인터페이스를 제공합니다. ASA 명령줄 인터페이스 설명서는 광범위합니다. CDO 설명서의 일부를 다시 작성하는 대신 Cisco.com의 ASA CLI 설명서에 대한 포인터를 제공합니다.

ASA 명령줄 인터페이스 구성 가이드

ASA 버전 9.1부터는 ASA CLI 구성 가이드가 3개의 별도 책으로 구성됩니다.

  • CLI Book 1: Cisco ASA Series 일반 운영 CLI 환경 설정 가이드

  • CLI Book 2: Cisco ASA Series Firewall CLI 환경 설정 가이드

  • CLI Book 3: Cisco ASA Series VPN CLI 구성 가이드

Cisco.com에서 Support(지원) > Products by Category(제품) > Security(보안) > Firewalls(방화벽) > ASA 5500(구성) > Configuration Guides(구성 가이드)로 이동하여 ASA CLI 구성 가이드에 도달할 수 있습니다.

몇 가지 특정 ASA 명령줄 인터페이스 구성 가이드 섹션

show 및 more 명령 출력 필터링 정규식을 사용하여 show 명령 출력을 필터링하는 자세한 내용은 CLI 가이드 1: Cisco ASA 시리즈 일반 운영 CLI 구성 가이드의 show 및 more 명령 출력 필터링에서 확인할 수 있습니다.

ASA 명령 참조

ASA 명령 참조 가이드에는 모든 ASA 명령 및 해당 옵션이 알파벳순으로 나열되어 있습니다. ASA 명령 참조는 버전과 관련이 없습니다. 다음의 네 가지 책으로 게시됩니다.

  • Cisco ASA Series 명령 참조, A - H 명령

  • Cisco ASA Series 명령 참조, I - R 명령

  • Cisco ASA Series 명령 참조, S 명령

  • Cisco ASA Series 명령 참조, T - Z 명령 및 ASASM에 대한 IOS 명령

Cisco.com에서 Support(지원) > Products by Category(범주별 제품) > Security(보안) > Firewalls(방화벽) > ASA 5500(ASA 5500) > Reference Guides(참조 가이드) > Command References(명령 참조) > ASA Command References(ASA 명령 참조)로 이동하여 ASA 명령 참조 가이드로 이동할 수 있습니다.

CDO CLI 명령 결과 내보내기

독립형 디바이스 또는 여러 디바이스에 실행된 CLI 명령의 결과를 쉼표로 구분된 값(.csv) 파일로 내보내 원하는 대로 정보를 필터링하고 정렬할 수 있습니다. 단일 디바이스 또는 여러 디바이스의 CLI 결과를 한 번에 내보낼 수 있습니다. 내보낸 정보에는 다음이 포함됩니다.

  • 디바이스

  • 날짜

  • 사용자

  • 명령

  • 출력

CLI 명령 결과 내보내기

명령 창에서 방금 실행한 명령의 결과를 .csv 파일로 내보낼 수 있습니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

디바이스를 선택하여 강조 표시하십시오.

Step 5

디바이스에 대한 Device Actions(디바이스 작업) 창에서 >_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 6

명령줄 인터페이스 창에서 명령을 입력하고 Send(보내기)를 클릭하여 디바이스에 명령을 실행합니다.

Step 7

입력된 명령 창 오른쪽에서 내보내기 아이콘 를 클릭합니다.

Step 8

.csv 파일에 설명이 포함된 이름을 지정하고 파일을 로컬 파일 시스템에 저장합니다. .csv 파일에서 명령 출력을 읽을 때 모든 셀을 확장하여 명령의 모든 결과를 확인합니다.

CLI 매크로의 결과 내보내기

명령 창에서 실행된 매크로의 결과를 내보낼 수 있습니다. 하나 이상의 디바이스에서 실행된 CLI 매크로의 결과를 .csv 파일로 내보내려면 다음 절차를 따르십시오.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

디바이스를 선택하여 강조 표시하십시오.

Step 5

디바이스에 대한 Device Actions(디바이스 작업) 창에서 >_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 6

CLI 창의 왼쪽 창에서 CLI 매크로 즐겨찾기 별표 를 선택합니다.

Step 7

내보낼 매크로 명령을 클릭합니다. 적절한 매개변수를 입력하고 Send(보내기)를 클릭합니다.

Step 8

입력된 명령 창 오른쪽에서 내보내기 아이콘 를 클릭합니다.

Step 9

.csv 파일에 설명이 포함된 이름을 지정하고 파일을 로컬 파일 시스템에 저장합니다. .csv 파일에서 명령 출력을 읽을 때 모든 셀을 확장하여 명령의 모든 결과를 확인합니다.

CLI 명령 기록 내보내기

다음 절차를 사용하여 하나 또는 여러 디바이스의 CLI 기록을 .csv 파일로 내보냅니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

디바이스를 선택하여 강조 표시하십시오.

Step 5

디바이스에 대한 디바이스 작업 창에서 >_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 6

아직 확장되지 않은 경우 시계 아이콘 을 클릭하여 기록 창을 확장합니다.

Step 7

입력된 명령 창 오른쪽에서 내보내기 아이콘 를 클릭합니다.

Step 8

.csv 파일에 설명이 포함된 이름을 지정하고 파일을 로컬 파일 시스템에 저장합니다. .csv 파일에서 명령 출력을 읽을 때 모든 셀을 확장하여 명령의 모든 결과를 확인합니다.

CLI 매크로 목록 내보내기

명령 창에서 실행된 매크로만 내보낼 수 있습니다. 다음 절차를 사용하여 하나 이상의 디바이스의 CLI 매크로를 .csv 파일로 내보냅니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

해당 디바이스 탭을 클릭합니다.

단계 4

디바이스를 선택하여 강조 표시하십시오.

단계 5

디바이스에 대한 디바이스 작업 창에서 >_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

단계 6

CLI 창의 왼쪽 창에서 CLI 매크로 즐겨찾기 별표 를 선택합니다.

단계 7

내보낼 매크로 명령을 클릭합니다. 적절한 매개변수를 입력하고 Send(보내기)를 클릭합니다.

단계 8

입력된 명령 창 오른쪽에서 내보내기 아이콘 를 클릭합니다.

단계 9

.csv 파일에 설명이 포함된 이름을 지정하고 파일을 로컬 파일 시스템에 저장합니다.

ASA 구성 복원

ASA의 구성을 변경하고, 변경 사항을 되돌리고자 하는 경우ASA의 과거 구성을 복원할 수 있습니다. 이는 예기치 않거나 원치 않는 결과를 초래한 구성 변경 사항을 편리하게 제거할 수 있는 방법입니다.

ASA 구성 복원 정보

구성을 복원하기 전에 다음 참고 사항을 검토합니다.

  • CDO는 복원하도록 선택한 구성을 ASA에 배포된 마지막으로 알려진 구성과 비교하지만, 복원하도록 선택한 구성을 준비되었지만 ASA에 배포되지 않은 구성과 비교하지 않습니다. ASA에 배포되지 않은 변경 사항이 있고 과거 구성을 복원하는 경우, 복원 프로세스는 배포되지 않은 변경 사항을 덮어쓰게 되며 해당 변경 사항은 손실됩니다.

  • 과거 구성을 복원하기 전에, ASA이 동기화됨 또는 동기화되지 않음 상태일 수 있지만 디바이스가 충돌 감지됨 상태인 경우 과거 구성을 복원하기 전에 충돌을 해결해야 합니다.

  • 과거 구성을 복원하면 배포된 모든 중간 구성 변경 사항을 덮어씁니다. 예를 들어 아래 목록에서 2023년 1월 31일의 구성을 복원하면 2023년 2월 15일에 이루어진 구성 변경 사항을 덮어씁니다.

  • 다음 및 이전 버튼을 클릭하면 구성 파일을 통해 이동하고 구성 파일 변경 사항을 강조 표시합니다.

  • 원래 구성 변경에 변경 요청 레이블을 적용한 경우 해당 레이블이 구성 복원 목록에 나타납니다.

Figure 1. ASA 복원 구성 화면

ASA 복원 구성 화면

구성 변경 사항은 얼마 동안 유지됩니까?

1년 이하의 ASA 구성을 복원할 수 있습니다. CDO는 변경 로그에 기록된 구성 변경 사항을 복원합니다. 변경 로그는 ASA에 구성 변경 사항을 쓰거나 읽을 때마다 변경 사항을 기록합니다. CDO는 1년치 변경 로그를 저장하며, 이전 연도 내에 수행된 백업 수에는 제한이 없습니다.

ASA 구성 복원

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

ASA 탭을 클릭합니다.

Step 3

복원하려는 ASA 구성을 선택합니다.

Step 4

Management(관리) 창에서, Restore(복원)를 클릭합니다.

Step 5

Restore(복원) 페이지에서 되돌리려는 구성을 선택합니다.

예를 들어 위 그림에서 2023년 1월 31일의 구성이 선택되었습니다.

Step 6

"CDO에서 확인한 최신 실행 구성"과 "<날짜>에서 선택한 구성"을 비교하여 <날짜>에서 선택한 구성 창에 표시된 구성을 복원할 것인지 확인합니다. 이전 및 다음을 사용하여 모든 변경 사항을 비교합니다.

Step 7

Restore(복원)을 클릭하면 CDO에서 구성이 준비됩니다. Security Devices(보안 디바이스) 페이지에서 디바이스의 구성 상태가 이제 "동기화되지 않음"임을 알 수 있습니다.

Step 8

우측 창에서 Deploy Changes...(변경 사항 배포...)를 클릭하여 변경 사항을 배포하고 ASA를 동기화합니다.

문제 해결

잃어버렸지만 유지하고 싶었던 변경 사항을 복원하려면 어떻게 해야 합니까?

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

ASA 탭을 클릭합니다.

Step 4

필요한 디바이스를 선택합니다.

Step 5

오른쪽 창에서 Change Log(로그 변경)를 클릭합니다.

Step 6

변경 로그에서 변경 사항을 검토합니다. 해당 레코드에서 손실된 구성을 재구성할 수 있습니다.

ASACisco IOS 디바이스 구성 파일 관리

ASACisco IOS디바이스와 같은 일부 유형의 디바이스는 해당 구성을 단일 파일에 저장합니다. 이러한 디바이스의 경우 CDO에서 구성 파일을 보고 다양한 작업을 수행할 수 있습니다.

디바이스의 구성 파일 보기

ASA, SSH 관리 디바이스 및 Cisco IOS를 실행하는 디바이스와 같이 단일 구성 파일에 전체 구성을 저장하는 디바이스의 경우 CDO를 사용하여 구성 파일을 볼 수 있습니다.


참고

SSH 관리 디바이스 및 Cisco IOS 디바이스에는 읽기 전용 구성이 있습니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

단계 3

해당 디바이스 탭을 클릭합니다.

단계 4

보려는 구성이 있는 디바이스 또는 모델을 선택합니다.

단계 5

오른쪽의 관리 창에서 Configuration(구성)를 클릭합니다.

전체 구성 파일이 표시됩니다.

전체 디바이스 구성 파일 편집

일부 디바이스 유형은 ASA 와 같은 단일 구성 파일에 구성을 저장합니다. 이러한 디바이스의 경우 CDO에서 디바이스 구성 파일을 보고 디바이스에 따라 다양한 작업을 수행할 수 있습니다.

현재 ASA 구성 파일만 CDO를 사용하여 직접 편집할 수 있습니다.


Caution

이 절차는 디바이스 구성 파일의 구문에 익숙한 고급 사용자를 위한 것입니다. 이 방법은 CDO에 저장된 구성 파일의 복사본을 직접 변경합니다.

절차

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

ASA 탭을 클릭합니다.

Step 4

구성을 편집하려는 디바이스를 선택합니다.

Step 5

오른쪽의 관리 창에서 Configuration(구성)를 클릭합니다.

Step 6

Device Configuration(디바이스 구성) 페이지에서 Edit(편집)를 클릭합니다.

Step 7

오른쪽의 편집기 버튼을 클릭하고 기본 텍스트 편집기, Vim 또는 Emacs 텍스트 편집기를 선택합니다.

Step 8

파일을 편집하고 변경 사항을 저장합니다.

Step 9

Security Devices(보안 디바이스) 페이지로 돌아가 변경 사항을 미리 보고 구축합니다.

디바이스 구성 변경 정보

디바이스를 관리하려면 CDO의 로컬 데이터베이스에 저장된 디바이스 구성의 자체 복사본이 있어야 합니다. CDO는 관리하는 디바이스에서 구성을 "읽을 때" 디바이스 구성의 복사본을 가져와 저장합니다. CDO가 디바이스 구성의 복사본을 처음 읽고 저장하는 경우는 디바이스가 온보딩될 때입니다. 이러한 선택 항목은 다양한 목적으로 구성을 읽는 것을 설명합니다.

  • Discard Changes(변경 사항 취소): 이 작업은 디바이스의 구성 상태가 "Not Synced(동기화되지 않음)"인 경우에 사용할 수 있습니다. Not Synced(동기화되지 않음) 상태에서는 CDO에서 보류 중인 디바이스의 구성에 대한 변경 사항이 있습니다. 이 옵션을 사용하면 보류 중인 모든 변경 사항을 취소할 수 있습니다. 보류 중인 변경 사항이 삭제되고 CDO가 디바이스에 저장된 구성의 복사본으로 구성의 복사본을 덮어씁니다.

  • Check for Changes(변경 사항 확인): 이 작업은 디바이스의 구성 상태가 동기화됨인 경우에 사용할 수 있습니다. Checking for Changes(변경 사항 확인)를 클릭하면 CDO가 디바이스의 구성 복사본을 디바이스에 저장된 구성의 복사본과 비교하게 됩니다. 차이가 있는 경우 CDO는 디바이스에 저장된 복사본으로 디바이스 구성의 복사본을 즉시 덮어씁니다.

  • Review Conflict(충돌 검토)Accept Without Review(검토 없이 수용): 디바이스에서 Conflict Detection(충돌 탐지)을 활성화한 경우 CDO는 10분마다 디바이스의 구성 변경 사항을 확인합니다. 디바이스에 저장된 구성의 복사본이 변경된 경우 CDO는 "Conflict Detected(충돌 탐지됨)" 구성 상태를 표시하여 사용자에게 알립니다.

    • Review Conflict(충돌 검토): 충돌 검토를 클릭하면 디바이스에서 직접 변경 사항을 검토하고 이를 수락하거나 거부할 수 있습니다.

    • Accept Without Review(검토 없이 수용): 이 작업은 CDO의 디바이스 구성 복사본을 디바이스에 저장된 구성의 최신 복사본으로 덮어씁니다. CDO에서는 덮어쓰기 작업을 수행하기 전에 구성의 두 복사본에서 차이점을 확인하라는 메시지를 표시하지 않습니다.

Read All(모두 읽기): 대량 작업입니다. 상태에 상관없이 둘 이상의 디바이스를 선택하고 Read All(모두 읽기)을 클릭하여 CDO에 저장된 모든 디바이스의 구성을 디바이스에 저장된 구성으로 덮어쓸 수 있습니다.

  • Deploy Changes(변경 구축): 디바이스의 구성을 변경하면 CDO는 변경 사항을 구성의 자체 복사본에 저장합니다. 이러한 변경 사항은 디바이스에 구축될 때까지 CDO에서 "보류 중"입니다. 디바이스에 구축되지 않은 설정 변경 사항이 있는 경우 디바이스는 동기화되지 않음 설정 상태가 됩니다.

    보류 중인 구성 변경 사항은 디바이스를 통해 실행되는 네트워크 트래픽에 영향을 주지 않습니다. CDO가 디바이스에 변경 사항을 구축한 후에야 적용됩니다. CDO는 디바이스의 구성에 변경 사항을 구축할 때 변경된 구성의 요소만 덮어씁니다. 디바이스에 저장된 전체 구성 파일을 덮어쓰지 않습니다. 구축은 단일 디바이스 또는 둘 이상의 디바이스에서 동시에 시작할 수 있습니다.

  • Discard All(모두 취소)Preview and Deploy(미리보기 및 구축)...를 클릭한 후에만 사용할 수 있는 옵션입니다.. Preview and Deploy(미리보기 및 구축)를 클릭하면 CDOCDO에 보류 중인 변경 사항의 미리보기를 표시합니다. Discard All(모두 취소)을 클릭하면 CDO에서 보류 중인 모든 변경 사항이 삭제되며 선택한 디바이스에 어떤 것도 구축되지 않습니다. 위의 "변경 사항 취소"와 달리 보류 중인 변경 사항을 삭제하면 작업이 종료됩니다.


참고

구축 또는 반복 구축을 예약할 수 있습니다. 자세한 내용은 자동 구축 예약를 참조하십시오.

모든 디바이스 구성 읽기

CDO 외부의 디바이스에 대한 구성이 변경되면 CDO에 저장된 디바이스의 구성과 디바이스의 로컬 구성의 사본은 더 이상 동일하지 않습니다. 구성을 다시 동일하게 만들기 위해 디바이스에 저장된 구성으로 CDO의 디바이스 구성 복사본을 덮어쓰려는 경우가 많습니다. Read All(모두 읽기) 링크를 사용하여 여러 디바이스에서 동시에 이 작업을 수행할 수 있습니다.

CDO에서 디바이스 구성의 두 복사본을 관리하는 방법에 대한 자세한 내용은 구성 변경 사항 읽기, 폐기, 확인 및 구축을 참조하십시오.

다음은 Read All(모두 읽기)을 클릭하면 CDO의 디바이스 구성 복사본을 디바이스의 구성 복사본으로 덮어쓰는 세 가지 구성 상태입니다.

  • Conflict Detected(충돌 탐지) -충돌 탐지가 활성화된 경우 CDO는 구성 변경 사항에 대해 10분마다 관리하는 디바이스를 폴링합니다. CDO는 디바이스의 구성이 변경된 것을 발견하면 CDO는 디바이스에 대한 구성 상태를 "충돌 탐지됨"으로 표시합니다.

  • Synced(동기화됨) -디바이스가 동기화된 상태인 경우 Read All(모두 읽기)을 클릭하면 CDO는 즉시 디바이스를 확인하여 구성이 직접 변경되었는지 확인합니다. Read All(모두 읽기)을 클릭하면 CDO는 디바이스 구성의 복사본을 덮어쓸 것임을 확인한 다음 CDO는 덮어쓰기를 수행합니다.

  • Not Synced(동기화되지 않음) - 디바이스가 동기화되지 않음 상태인 경우 Read All(모두 읽기)을 클릭하면 CDOCDO를 사용하는 디바이스의 구성에 대해 보류 중인 변경 사항이 있으며 Read All(모두 읽기) 작업을 진행하면 해당 변경 사항이 삭제되고 디바이스의 구성이 포함된 CDO의 구성 복사본입니다. 이 Read All(모두 읽기)은 Discard Changes(변경 사항 취소)와 같은 기능을 합니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

(선택 사항) 변경 로그에서 이 대량 작업의 결과를 쉽게 식별할 수 있도록 변경 요청 레이블을 생성합니다.

Step 5

CDO를 저장할 디바이스를 선택합니다. CDO는 선택한 모든 디바이스에 적용할 수 있는 작업에 대해서만 명령 버튼을 제공합니다.

Step 6

Read All(모두 읽기)을 클릭합니다.

Step 7

CDOCDO에 준비된 구성 변경 사항이 있는 경우 선택한 디바이스에 대해 경고하고, 구성 대량 읽기 작업을 계속할 것인지 묻습니다. 계속하려면 Read All(모두 읽기)을 클릭합니다.

Step 8

Read All(모두 읽기) 구성 작업의 진행 상황은 알림 탭에서 확인합니다. 대량 작업의 개별 작업이 성공하거나 실패한 방식에 대한 자세한 내용을 보려면 파란색 Review(검토) 링크를 클릭합니다. 그러면 Jobs(작업) 페이지로 이동합니다.

Step 9

변경 요청 레이블을 생성하고 활성화한 경우 실수로 다른 구성 변경 사항을 이 이벤트와 연결하지 않도록 레이블을 지워야 합니다.

ASA에서 CDO로 구성 변경 사항 읽기

CDO가 ASA 구성을 읽는 이유는 무엇입니까?

ASA를 관리하려면, CDO에 ASA의 실행 중인 구성 파일의 자체 저장된 복사본이 있어야 합니다. CDO가 디바이스 구성 파일의 복사본을 처음 읽고 저장하는 경우는 디바이스가 온보딩될 때입니다. 이후에 CDO가 ASA에서 구성을 읽을 때, 변경 사항 확인, 검토 없이 수락 또는 구성 읽기를 선택하게 됩니다. 자세한 내용은 구성 변경 사항 읽기, 삭제, 확인 및 구축을 참조하십시오.

CDO는 또한 다음과 같은 상황에서 ASA 구성을 읽어야 합니다.

  • 구성 변경 사항을 ASA에 배포하지 못했고 디바이스 상태가 목록에 없거나 동기화되지 않음입니다.

  • 디바이스 온보딩에 실패했으며 디바이스 상태가 구성 없음입니다.

  • CDO 외부에서 디바이스 구성을 변경했으며 변경 사항이 폴링되거나 감지되지 않았습니다. 디바이스 상태는 동기화됨 또는 충돌 감지됨입니다.

이러한 경우 CDO는 디바이스에 저장된 마지막으로 알려진 구성의 복사본이 필요합니다.

ASA에서 구성 변경 사항 읽기

ASA에서 구성 변경 사항을 읽으라는 메시지가 표시되는 경우:

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

CDO가 최근 온보딩에 실패한 디바이스 또는 CDO가 변경 사항을 배포하지 못한 디바이스를 선택합니다.

Step 5

오른쪽의 동기화됨 창에서 Read Configuration(구성 읽기)를 클릭합니다. 이 옵션은 현재 CDO에 저장된 구성을 덮어씁니다.

모든 디바이스에 대한 구성 변경 사항 미리보기 및 구축

CDO는 테넌트의 디바이스에 대한 구성을 변경했지만 해당 변경 사항을 구축하지 않은 경우 구축 아이콘 에 주황색 점을 표시하여 알려줍니다. 이러한 변경의 영향을 받는 디바이스는 Devices and Services(디바이스 및 서비스) 페이지에서 "Not Synced(동기화되지 않음)" 상태로 표시됩니다. Deploy(구축)를 클릭하면 보류 중인 변경 사항이 있는 디바이스를 검토하고 해당 디바이스에 변경 사항을 구축할 수 있습니다.


참고

사용자가 생성하고 변경하는 모든 새로운 FDM 또는 FTD 네트워크 개체 또는 그룹에 대해 CDOCDO에서 관리하는 모든 On-Premises Management Center에 대해 이 페이지에서 항목을 생성합니다.

이 구축 방법은 지원되는 모든 디바이스에서 사용할 수 있습니다.

단일 구성 변경 사항에 이 구축 방법을 사용하거나, 기다렸다가 여러 변경 사항을 한 번에 구축할 수 있습니다.

프로시저

단계 1

화면의 오른쪽 상단에서 Deploy(구축) 아이콘 을 클릭합니다.

단계 2

구축하려는 변경 사항이 있는 디바이스를 선택합니다. 디바이스에 노란색 주의 삼각형이 있는 경우 해당 디바이스에 변경 사항을 구축할 수 없습니다. 노란색 주의 삼각형 위에 마우스를 올려놓으면 해당 디바이스에 변경 사항을 구축할 수 없는 이유를 확인할 수 있습니다.

단계 3

(선택 사항) 보류 중인 변경 사항에 대한 자세한 정보를 보려면 View Detailed Changelog(자세한 변경 로그 보기) 링크를 클릭하여 해당 변경과 관련된 변경 로그를 엽니다. Deploy(구축) 아이콘을 클릭하여 Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 페이지로 돌아갑니다.

단계 4

(선택 사항) Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 페이지에서 나가지 않고 변경 사항을 추적하려면 변경 요청을 생성합니다.

단계 5

선택한 디바이스에 변경 사항을 즉시 구축하려면 Deploy Now(지금 구축)를 클릭합니다. 작업 트레이의 활성 작업 표시기에 진행 상황이 표시됩니다.

단계 6

(선택 사항) 구축이 완료되면 CDO 탐색 모음에서 Jobs(작업)를 클릭합니다. 구축 결과를 보여주는 최근 "Deploy Changes(변경 사항 구축)" 작업이 표시됩니다.

단계 7

변경 요청 레이블을 생성했으며 더 이상 연결할 구성 변경 사항이 없는 경우 해당 레이블을 지웁니다.

다음에 수행할 작업

CDO에서 ASA로 구성 변경 사항 구축

CDO이 ASA에 변경 사항을 구축하는 이유는 무엇인가요?

CDO를 사용하여 디바이스의 구성을 관리하고 변경하면 CDO는 변경 사항을 구성 파일의 자체 복사본에 저장합니다. 이러한 변경 사항은 디바이스에 "구축"될 때까지 CDO에서 "준비된" 것으로 간주됩니다. 준비된 구성 변경은 디바이스를 통해 실행되는 네트워크 트래픽에 영향을 주지 않습니다. CDO가 디바이스에 변경 사항을 "구축"한 후에야 디바이스를 통해 실행되는 트래픽에 영향을 미칩니다. CDO는 디바이스의 구성에 변경 사항을 구축할 때 변경된 구성의 요소만 덮어씁니다. 디바이스에 저장된 전체 구성 파일을 덮어쓰지 않습니다.

ASA에는 "실행 중인" 구성 파일("실행 중인 구성"이라고도 함)과 "시작" 구성 파일("시작 구성"이라고도 함)이 있습니다. 실행 중인 구성 파일에 저장된 구성은 ASA를 통과하는 트래픽에 적용됩니다. 실행 중인 구성을 변경하고 해당 변경 사항이 생성하는 동작에 만족하면 시작 구성에 구축할 수 있습니다. ASA가 재부팅된 경우 시작 구성을 구성 시작점으로 사용합니다. 시작 구성에 저장되지 않은 실행 중인 구성에 대한 변경 사항은 ASA가 재부팅된 후 손실됩니다.

CDO에서 ASA로 변경 사항을 구축할 때는 실행 중인 구성 파일에 해당 변경 사항을 기록합니다. 이러한 변경 사항으로 인해 생성되는 동작에 만족하면 해당 변경 사항을 시작 구성 파일에 구축할 수 있습니다.

구축은 단일 디바이스 또는 둘 이상의 디바이스에서 동시에 시작할 수 있습니다. 단일 디바이스에 대해 개별 구축 또는 반복 구축을 예약할 수 있습니다.

일부 변경 사항은 ASA에 직접 구축됩니다.

CDO에서 CLI 인터페이스 CLI 매크로 인터페이스를 사용하여 ASA를 변경하는 경우 이러한 변경 사항은 CDO에서 "스테이징"되지 않습니다. ASA의 실행 중인 구성에 직접 구축됩니다. 이러한 방식으로 변경하면 디바이스는 CDO와 "동기화"된 상태로 유지됩니다.

구성 변경 사항 배포 정보

이 섹션에서는 CDO의 GUI를 사용하거나 CDO의 CLI 인터페이스 또는 CLI 매크로 인터페이스를 사용하지 않고 디바이스 구성 페이지를 편집하여 ASA 구성 파일을 변경한다고 가정합니다.

ASA 구성 업데이트는 2단계 프로세스입니다.

프로시저

단계 1

다음 방법 중 하나를 사용하여 CDO를 변경합니다.

  • CDO GUI

  • 디바이스 구성 페이지의 디바이스 구성

단계 2

변경한 후 Security Devices(보안 디바이스) 페이지로 돌아간 다음 디바이스에 대한 변경 사항을 미리 보고 구축...합니다.

다음에 수행할 작업

CDO가 ASA의 실행 구성을 CDO에 준비된 구성으로 업데이트하거나 ASA에 저장된 실행 구성으로 CDO의 구성을 변경할 때 구성의 해당 측면을 CDO GUI로 관리할 수 있으면 구성 파일의 관련 행만 변경하려고 시도합니다. CDO GUI를 사용하여 원하는 구성을 변경할 수 없는 경우, CDO는 변경을 위해 전체 구성 파일을 덮어쓰려고 시도합니다.

다음은 두 가지 예입니다.

  • CDO GUI를 사용하여 네트워크 개체를 생성하거나 변경할 수 있습니다. CDO가 해당 변경 사항을 ASA의 구성에 배포해야 하는 경우, 변경이 발생할 때 ASA에서 실행 중인 구성 파일의 관련 줄을 덮어씁니다.

  • CDO GUI를 사용하여 새 로컬 ASA 사용자를 생성 할 수 없지만, 디바이스 구성 페이지에서 ASA의 구성을 편집하여 생성할 수 있습니다. 디바이스 구성 페이지에서 사용자를 추가하고 해당 변경 사항을 ASA에 배포하는 경우, CDO는 실행 중인 전체 구성 파일을 덮어써 해당 변경 사항을 ASA에서 실행 중인 구성 파일에 저장하려고 합니다.

CDO GUI를 사용하여 구성 변경 사항 구축

프로시저

단계 1

CDO GUI를 사용하여 구성을 변경하고 변경 사항을 저장하면 해당 변경 사항은 실행 중인 ASA 구성 파일의 CDO에 저장된 버전에 저장됩니다.

단계 2

Security Devices(보안 디바이스) 페이지의 디바이스로 돌아갑니다.

단계 3

Devices(디바이스) 탭을 클릭합니다. 이제 디바이스가 "동기화되지 않음"으로 표시됩니다.

단계 4

다음 방법 중 하나를 사용하여 변경 사항을 구축합니다.

  • 화면의 오른쪽 상단에 있는 Deploy(구축) 아이콘 을 클릭합니다. 이렇게 하면 디바이스에 대한 변경 사항을 구축하기 전에 검토할 수 있습니다. 변경한 디바이스를 확인하고 디바이스를 확장하여 변경 사항을 검토한 후 Deploy Now(지금 구축)를 클릭하여 변경 사항을 구축합니다.

    참고

     

    Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 화면에서 디바이스 옆에 노란색 경고 삼각형이 표시되면 변경 사항을 구축할 수 없습니다. 디바이스에 변경 사항을 구축할 수 없는 이유를 알아보려면 경고 삼각형 위에 마우스를 올려놓습니다.

  • Not Synced(동기화되지 않음) 창에서 Preview and Deploy(미리보기 및 구축)...를 클릭합니다.

    1. ASA 구성 파일을 변경하는 명령을 검토합니다.

    2. 명령에 만족하는 경우 Configuration Recovery Preference(구성 복구 기본 설정)를 선택합니다.

      참고

       

      "알려주시면 구성을 수동으로 복원하겠습니다."를 선택합니다. 계속하기 전에 View Manual Synchronization Instructions(수동 동기화 지침 보기)를 클릭합니다.

    3. Apply Changes to Device(변경 사항 적용)를 클릭합니다.

    4. 성공 메시지에서 확인하려면 OK(확인)를 클릭합니다.

자동 구축 예약

또한 자동 배포를 예약하여 단일 디바이스 또는 보류 중인 변경 사항이 있는 모든 디바이스에 대한 배포를 예약하도록 테넌트를 구성할 수 있습니다.

CDO의 CLI 인터페이스를 사용하여 구성 변경 사항 구축

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

해당 디바이스 탭을 클릭합니다.

단계 4

구성을 변경하려는 디바이스를 선택합니다.

단계 5

Actions(작업) 창에서 >_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

단계 6

명령줄 인터페이스 테이블에 명령이 있으면 Clear(지우기)를 클릭하여 제거합니다.

단계 7

명령줄 인터페이스 테이블의 상단 상자에 명령 프롬프트에 명령을 입력합니다. 각 명령을 해당 줄에 입력하거나 구성 파일의 섹션을 명령으로 입력하여 단일 명령 또는 여러 명령을 일괄적으로 실행할 수 있습니다. 다음은 명령줄 인터페이스 테이블에 입력할 수 있는 몇 가지 명령의 예입니다.

네트워크 개체 "albany"를 생성하는 단일 명령
object network albany 
host 209.165.30.2
여러 명령이 함께 전송됨:
object network albany
host 209.165.30.2
object network boston
host 209.165.40.2
object network cambridge
host 209.165.50.2
명령으로 입력된 실행 중인 구성 파일의 섹션:
interface GigabitEthernet0/5
 nameif guest
 security-level 0
 no ip address

참고

 

CDO는 EXEC 모드, Privileged EXEC 모드 및 전역 구성 모드 사이를 이동할 필요가 없습니다. 적절한 맥락에서 입력한 명령을 해석합니다.

단계 8

명령을 입력한 후 Send(보내기)를 클릭합니다. CDO가 ASA에서 실행 중인 구성 파일에 대한 변경 사항을 성공적으로 배포한 후 Done!(완료!)를 수신합니다.

단계 9

명령을 전송한 후 "일부 명령이 실행 중인 구성을 변경했을 수 있습니다."라는 메시지와 함께 두 개의 링크가 표시될 수 있습니다.

  • Deploy to Disk(디스크에 배포)를 클릭하면 이 명령에 의해 변경된 사항과 실행 중인 구성의 다른 모든 변경 사항이 ASA의 시작 구성에 저장됩니다.

  • Dismiss(해제)를 클릭하면 메시지가 사라집니다.

디바이스 구성을 편집하여 구성 변경 사항 배포


경고

이 절차는 ASA 구성 파일의 구문에 익숙한 고급 사용자를 위한 것입니다. 이 방법은 CDO에 저장된 실행 중인 구성 파일을 직접 변경합니다.

프로시저

단계 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

단계 2

해당 디바이스 탭을 클릭합니다.

단계 3

구성을 변경하려는 디바이스를 선택합니다.

단계 4

작업 창에서 View Configuration(구성 보기)를 클릭합니다.

단계 5

Edit(편집)를 클릭합니다.

단계 6

실행 중인 구성을 변경하고 Save(저장)합니다.

단계 7

Inventory(재고 목록) 페이지로 돌아갑니다. 동기화되지 않음 창에서 Preview and Deploy...(미리보기 및 배포...)를 클릭합니다.

단계 8

디바이스 동기화 창에서 변경 사항을 검토합니다.

단계 9

변경 종류에 따라 Replace Configuration(구성 대체) 또는 Apply Changes to Device(디바이스에 변경 적용)를 클릭합니다.

여러 장치에 공유 개체에 대한 구성 변경 사항 구축

두 개 이상의 디바이스에서 공유하는 정책 또는 개체를 변경할 때 이 절차를 사용합니다. 그러나 많은 디바이스에서 공통 정책을 사용하는 경우 공통 정책을 변경할 수 있습니다.

프로시저

단계 1

편집할 공유 개체가 포함된 정책 페이지 또는 개체 페이지를 열고 편집합니다.

단계 2

공유 디바이스 목록을 검토하고 언급된 모든 디바이스에서 변경할 것인지 확인합니다.

단계 3

OK(확인)를 클릭합니다.

단계 4

Save(저장)를 클릭합니다.

단계 5

Deploy(배포) 아이콘 을 클릭하고 변경 사항을 영향을 받는 디바이스에 배포합니다.

디바이스 구성 대량 구축

예를 들어 공유 개체를 수정하여 여러 디바이스를 변경한 경우 해당 변경 사항을 영향을 받는 모든 디바이스에 한 번에 적용할 수 있습니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

CDO에서 구성을 변경한 모든 디바이스를 선택합니다. 이러한 디바이스는 "동기화되지 않음" 상태로 표시되어야 합니다.

Step 5

다음 방법 중 하나를 사용하여 변경 사항을 구축합니다.

  • 화면 오른쪽 상단의 버튼을 클릭하여 Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 창을 봅니다. 이렇게 하면 구축하기 전에 선택한 디바이스에서 보류 중인 변경 사항을 검토할 수 있습니다. Deploy Now(지금 구축)를 클릭하여 변경 사항을 구축합니다.

    Note

     

    Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 화면에서 디바이스 옆에 노란색 경고 삼각형이 표시되면 해당 디바이스에 변경 사항을 구축할 수 없습니다. 변경 사항을 해당 디바이스에 구축할 수 없는 이유에 대한 정보를 보려면 경고 삼각형 위에 마우스를 올려놓습니다.

  • 세부 정보 창에서 Deploy All(모두 구축) 을 클릭합니다. 경고를 검토하고 OK(확인)를 클릭합니다. 대량 구축은 변경 사항을 검토하지 않고 즉시 시작됩니다.

Step 6

(선택 사항) 탐색 모음에서 Jobs(작업) 아이콘 을 클릭하여 대량 구축의 결과를 확인합니다.

예약된 자동 구축 정보

CDO를 사용하면 CDO에서 관리하는 하나 이상의 디바이스에 대한 구성을 변경한 다음 편리한 시간에 해당 디바이스에 변경 사항을 배포하도록 예약할 수 있습니다.

Settings(설정) 페이지의 Tenant Settings(테넌트 설정) 탭에 자동 구축 예약 옵션 활성화 있는 경우에만 배포을 예약할 수 있습니다. 이 옵션이 활성화되면 예약된 배포을 생성, 편집 또는 삭제할 수 있습니다. 예약된 배포은 CDO에 저장된 모든 단계적 변경 사항을 설정된 날짜 및 시간에 배포합니다. Jobs(작업) 페이지에서 예약된 배포을 보고 삭제할 수도 있습니다.

CDO에서 읽히지 않은 디바이스 변경 사항이 있는 경우 충돌이 해결될 때까지 예약된 구축을 건너뜁니다. 예약된 배포이 실패한 인스턴스가 Jobs(작업) 페이지에 나열됩니다. Enable the Option to Schedule Automatic Deployments(자동 구축 예약 옵션 활성화)가 해제된 경우 예약된 모든 구축이 삭제됩니다.


Caution

여러 디바이스에 대해 새 배포을 예약하는 경우 해당 디바이스 중 일부가 이미 배포을 예약한 경우, 새로 예약된 배포이 기존의 예약된 배포을 덮어씁니다.

Note

예약된 배포을 생성하면 디바이스의 표준 시간대가 아닌 현지 시간으로 일정이 생성됩니다. 예약된 배포은 일광 절약 시간에 맞게 자동으로 조정되지 않습니다.

자동 구축 예약

구축 일정은 단일 이벤트 또는 반복 이벤트일 수 있습니다. 반복 자동 구축을 사용하면 유지 보수 기간에 맞춰 반복 구축을 편리하게 이용할 수 있습니다. 단일 디바이스에 대해 일회성 또는 반복 구축을 예약하려면 다음 절차를 따르십시오.


Note

기존 구축이 예약된 디바이스에 대한 구축을 예약하는 경우 새로 예약된 구축이 기존 구축을 덮어씁니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

하나 이상의 디바이스를 선택합니다.

Step 5

Device Details(디바이스 세부 정보) 창에서 Scheduled Deployments(예약된 구축) 탭을 찾아 Schedule(예약)을 클릭합니다.

Step 6

구축을 수행해야 하는 시기를 선택합니다.

  • 일회성 구축의 경우 Once on(한 번) 옵션을 클릭하여 달력에서 날짜와 시간을 선택합니다.

  • 반복 구축의 경우 Every(마다) 옵션을 클릭합니다. 매일 또는 일주일에 한 번 구축을 선택할 수 있습니다. 구축을 수행해야 하는 날짜시간을 선택합니다.

Step 7

Save(저장)를 클릭합니다.

예약된 배포 편집

예약된 배포를 편집하려면 다음 절차를 따르십시오.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

하나 이상의 디바이스를 선택합니다.

Step 5

Device Details(디바이스 세부 정보) 창에서 예약된 배포 탭을 찾아 Edit(편집)를 클릭합니다.

Step 6

예약된 배포의 반복, 날짜 또는 시간을 편집합니다.

Step 7

Save(저장)를 클릭합니다.

예약된 배포 삭제

예약된 배포를 삭제하려면 다음 절차를 따르십시오.


Note

여러 디바이스에 대한 배포를 예약한 다음 일부 디바이스에 대한 일정을 변경하거나 삭제하면 나머지 디바이스에 대한 원래 예약된 배포가 유지됩니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

하나 이상의 디바이스를 선택합니다.

Step 5

Device Details(장치 세부 정보)창에서 예약된 배포 탭을 찾아 Delete(삭제)를 클릭합니다.

What to do next

구성 변경 사항 확인

디바이스의 구성이 디바이스에서 직접 변경되었으며 CDO에 저장된 구성의 복사본과 더 이상 동일하지 않은지 확인하려면 변경 사항을 확인합니다. 디바이스가 "Synced(동기화됨)" 상태일 때 이 옵션이 표시됩니다.

변경 사항을 확인하려면 다음을 수행합니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

구성이 디바이스에서 직접 변경되었을 가능성이 있는 디바이스를 선택합니다.

Step 5

오른쪽의 Synced(동기화) 창에서 Check for Changes(변경 사항 확인)를 클릭합니다.

Step 6

다음 동작은 디바이스에 따라 약간 다릅니다.

  • 디바이스의 경우 디바이스의 구성이 변경된 경우 다음 메시지가 표시됩니다.

    디바이스에서 정책을 읽는 중입니다. 디바이스에 활성 구축이 있는 경우 완료 후 읽기가 시작됩니다.

    • 계속하려면 OK(확인)를 클릭하십시오. 디바이스의 구성이 CDO에 저장된 구성을 덮어씁니다.

    • 작업을 취소하려면 Cancel(취소)을 클릭합니다.

  • ASA 디바이스의 경우:

  1. 표시되는 두 가지 구성을 비교합니다. Continue(계속)를 클릭합니다. Last Known Device Configuration(마지막으로 알려진 디바이스 구성) 레이블이 지정된 구성은 CDO에 저장된 구성입니다. Found on Device(디바이스에서 발견) 레이블이 지정된 구성은 ASA에 저장된 구성입니다.

  2. 다음 중 하나를 선택합니다.

    1. "마지막으로 알려진 디바이스 구성"을 유지하려면 대역 외 변경 사항을 거부합니다.

    2. 대역 외 변경 사항을 수락하여 CDO에 저장된 디바이스의 구성을 디바이스에 있는 구성으로 덮어씁니다.

  3. Continue(계속)를 클릭합니다.

구성 변경 사항 취소

CDO를 사용하여 디바이스의 구성에 적용한 구축 해제된 구성 변경 사항을 모두 "실행 취소"하려면 Discard Changes(변경 사항 취소)를 클릭합니다. Discard Changes(변경 사항 취소)를 클릭하면 CDO는 디바이스 구성의 로컬 복사본을 디바이스에 저장된 구성으로 완전히 덮어씁니다.

Discard Changes(변경 사항 취소)를 클릭하면 디바이스의 구성 상태가 Not Synced(동기화되지 않음) 상태가 됩니다. 변경 사항을 취소하면 CDO의 구성 복사본이 디바이스의 구성 복사본과 동일하게 되며 CDO의 구성 상태는 Synced(동기화)로 돌아갑니다.

디바이스에 대해 구축되지 않은 모든 구성 변경 사항을 취소하거나 "실행 취소"하려면 다음을 수행합니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

구성을 변경한 디바이스를 선택합니다.

Step 5

오른쪽의 Not Synced(동기화되지 않음) 창에서 Discard Changes(변경 사항 취소)를 클릭합니다.

  • FDM 관리 디바이스의 경우 CDO는 "CDO에서 보류 중인 변경 사항이 취소되고 이 디바이스에 대한 CDO 구성이 디바이스에서 현재 실행 중인 구성으로 교체됩니다."라고 경고합니다. 변경 사항을 취소하려면 Continue(계속)를 클릭합니다.

  • Meraki 디바이스의 경우 CDO가 변경 사항을 즉시 삭제합니다.

  • AWS 디바이스의 경우 CDO는 삭제하려는 항목을 표시합니다. Accept(수락) 또는 Cancel(취소)을 클릭합니다.

디바이스의 대역 외 변경 사항

대역 외 변경 사항은 CDO를 사용하지 않고 디바이스에서 직접 변경한 사항을 의미합니다. 이러한 변경은 SSH 연결을 통해 디바이스의 명령줄 인터페이스를 사용하거나 ASA용 ASDM(Adaptive Security Device Manager), FDM 관리디바이스용 또는온프레미스 Firewall Management Center사용자 인터페이스의 온프레미스 Firewall Management Center용 FDM과 같은 로컬 관리자를 사용하여 수행할 수 있습니다. 대역 외 변경 사항은 CDO에 저장된 디바이스의 구성과 디바이스 자체에 저장된 구성 간에 충돌을 일으킵니다.

디바이스에서 대역외 변경 탐지

ASA 또는 FDM 관리 디바이스, Cisco IOS 디바이스 또는 온프레미스 Firewall Management Center에 대해 Conflict Detection(충돌 탐지)이 활성화된 경우 CDO는 10분마다 디바이스를 확인하여 CDO외부에서 디바이스의 구성에 직접 적용된 새로운 변경 사항을 검색합니다.

CDO에 저장되지 않은 디바이스 구성 변경 사항이 있음을 발견하면 CDO는 해당 디바이스의 구성 상태를 "충돌 탐지됨" 상태로 변경합니다.

CDO에서 충돌을 탐지하는 경우 다음 두 가지 조건 중 하나가 발생할 수 있습니다.

  • CDO의 데이터베이스에 저장되지 않은 디바이스에 직접 적용된 구성 변경 사항이 있습니다.

  • FDM 관리 디바이스의 경우 구축되지 않은 FDM 관리 디바이스에 "보류 중인" 구성 변경 사항이 있을 수 있습니다.

  • 온프레미스 Firewall Management Center의 경우, 예를 들어 CDO 외부의 개체에 변경 사항이 있어 CDO와의 동기화를 위해 보류 중이거나 CDO에서 변경 사항이 있어 온프레미스 Firewall Management Center에 구축하기 위해 보류 중일 수 있습니다.

CDO와 디바이스 간 구성 동기화

구성 충돌 정보

Security Devices(보안 디바이스) 페이지에서 디바이스 또는 서비스의 상태가 "Synced(동기화됨)", "Not Synced(동기화되지 않음)" 또는 "Conflict Detected(충돌 탐지됨)"인 것을 확인할 수 있습니다. CDO를 사용하여 관리하는 온프레미스 Firewall Management Center의 상태를 확인하려면 Tools & Services(도구 및 서비스) > Firewall Management Center로 이동하십시오.

  • 디바이스가 동기화되면 CDO의 구성과 디바이스에 로컬로 저장된 구성이 동일합니다.

  • 디바이스가 동기화되지 않으면 CDO에 저장된 구성이 변경되어 이제 디바이스에 로컬로 저장된 구성과 다릅니다. CDO에서 디바이스로 변경 사항을 구축하면 CDO의 버전과 일치하도록 디바이스의 구성이 변경됩니다.

  • CDO 외부에서 디바이스에 적용된 변경 사항을 대역 외 변경 사항이라고 합니다. 대역 외 변경이 수행되면 디바이스에 대해 충돌 탐지가 활성화된 경우 디바이스 상태가 "Conflict Detected(충돌 탐지됨)"로 변경됩니다. 대역 외 변경 사항을 수락하면 는 CDO의 구성을 디바이스의 구성과 일치하도록 변경합니다.

충돌 탐지

충돌 탐지가 활성화된 경우 CDO는 기본 간격 동안 디바이스를 폴링하여 CDO 외부에서 디바이스의 구성이 변경되었는지 확인합니다. CDO는 변경 사항을 탐지하면 디바이스의 구성 상태를 Conflict Detected(충돌 탐지됨)로 변경합니다. CDO 외부에서 디바이스에 적용된 변경 사항을 "대역 외" 변경 사항이라고 합니다.

CDO에서 관리하는 온프레미스 Firewall Management Center의 경우, 준비되는 변경 사항이 있고 디바이스가 Not Synced(동기화되지 않음) 상태이면 CDO는 디바이스 폴링을 중지하여 변경 사항을 확인합니다. CDO 외부에서 이루어진 변경 사항 중 CDO와의 동기화를 위해 보류 중인 변경 사항과 CDO에서 수행된 변경 사항 중 On-Premises Management Center에 구축되기 위해 보류 중인 사항이 있는 경우, CDOOn-Premises Management CenterConflict Detected(충돌 탐지됨) 상태임을 선언합니다.

이 옵션이 활성화되면 디바이스별로 충돌 또는 OOB 변경 사항이 탐지되는 빈도를 구성할 수 있습니다. 자세한 내용은 디바이스 변경 사항에 대한 폴링 예약를 참조하십시오.

충돌 탐지 활성화

충돌 탐지를 활성화하면 CDO 외부에서 디바이스가 변경된 경우 인스턴스에 알림이 표시됩니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 선택합니다.

Step 4

충돌 탐지를 활성화할 디바이스를 선택합니다.

Step 5

디바이스 테이블 오른쪽에 있는 충돌 감지 상자의 목록에서 Enabled(활성화됨)을 선택합니다.

디바이스에서 대역외 변경 사항 자동 수락

변경 사항 자동 수락을 활성화하여 매니지드 디바이스에 대한 직접 변경 사항을 자동으로 수락하도록 CDO를 구성할 수 있습니다. CDO를 사용하지 않고 디바이스에 직접 적용된 변경 사항을 대역 외 변경 사항이라고 합니다. 대역 외 변경은 CDO에 저장된 디바이스의 구성과 디바이스 자체에 저장된 구성 간에 충돌을 일으킵니다.

자동 수락 변경 기능은 충돌 탐지를 개선한 것입니다. 디바이스에서 변경 사항 자동 수락이 활성화된 경우 CDO는 10분마다 변경 사항을 확인하여 디바이스의 구성에 대한 대역 외 변경 사항이 있는지 확인합니다. 구성이 변경된 경우 CDO는 사용자에게 확인 상자를 표시하지 않고 디바이스 구성의 로컬 버전을 자동으로 업데이트합니다.

CDO에서 아직 디바이스에 구축되지 않은 구성 변경 사항이 있는 경우 CDO는 구성 변경을 자동으로 수락하지 않습니다. 화면의 프롬프트에 따라 다음 작업을 결정합니다.

자동 수락 변경 사항을 사용하려면 먼저 테넌트가 Security Devices(보안 디바이스) 페이지의 Conflict Detection(충돌 탐지) 메뉴에서 자동 수락 옵션을 표시하도록 활성화합니다. 그런 다음 개별 디바이스에 대한 변경 사항 자동 수락을 활성화합니다.

CDO가 대역 외 변경 사항을 탐지하지만 수동으로 수락하거나 거부할 수 있는 옵션을 제공하도록 하려면 대신 충돌 탐지를 활성화합니다.

변경 사항 자동 수락 구성

Procedure

Step 1

관리자 또는 슈퍼 관리자 권한이 있는 계정을 사용하여 CDO에 로그인합니다.

Step 2

왼쪽 창에서 Settings(설정) > General Settings(일반 설정)를 클릭합니다.

Step 3

Tenant Settings(테넌트 설정) 영역에서, 토글을 클릭하여 디바이스 변경 사항을 자동으로 수락하는 옵션 활성화로 전환합니다. 이렇게 하면 변경 사항 자동 수락 메뉴 옵션이 Security Devices(보안 디바이스) 페이지의 충돌 감지 메뉴에 표시됩니다.

Step 4

왼쪽 창에서 보안 디바이스을 클릭하고 대역 외 변경 사항을 자동으로 수락할 디바이스를 선택합니다.

Step 5

Conflict Detection(충돌 감지) 메뉴의 드롭다운 메뉴에서 Auto-Accept Changes(변경 사항 자동 수락)을 선택합니다.

테넌트의 모든 디바이스에 대한 변경 사항 자동 수락 비활성화

Procedure

Step 1

관리자 또는 슈퍼 관리자 권한이 있는 계정을 사용하여 CDO에 로그인합니다.

Step 2

왼쪽 창에서 Settings(설정) > General Settings(일반 설정)를 클릭합니다.

Step 3

Tenant Settings(테넌트 설정) 영역에서 회색 X가 표시되도록 토글을 왼쪽으로 밀어 "디바이스 변경 사항을 자동으로 수락하는 옵션 활성화"를 비활성화합니다. 이렇게 하면 충돌 감지 메뉴에서 변경 사항 자동 수락 옵션이 비활성화되고 테넌트의 모든 디바이스에 대한 기능이 비활성화 됩니다.

Note

 

"자동 수락"을 비활성화하면 CDO에 수락하기 전에 각 디바이스 충돌을 검토해야 합니다. 여기에는 이전에 변경 사항을 자동으로 수락하도록 구성된 디바이스가 포함됩니다.

구성 충돌 해결

이 섹션에서는 디바이스에서 발생하는 구성 충돌을 해결하는 방법에 대한 정보를 제공합니다.

동기화되지 않음 상태 해결

다음 절차를 사용하여 구성 상태가 "동기화되지 않음"인 디바이스를 확인합니다.

Procedure

Step 1

내비게이션 바에서 Inventory(재고 목록)를 클릭합니다.

Note

 

온프레미스 Firewall Management Center의 경우, Tools & Services(도구 및 서비스) > Firewall Management Center로 이동하여 Not Synced(동기화되지 않음) 상태인 FMC를 선택하고 5단계부터 계속 진행합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

동기화되지 않은 것으로 보고된 디바이스를 선택합니다.

Step 5

오른쪽의 동기화되지 않음 패널에서 다음 중 하나를 선택합니다.

  • 미리보기 및 배포... - CDO에서 디바이스로 구성 변경 사항을 푸시하려면 지금 수행한 변경 사항을 미리 보고 배포하거나 한 번에 여러 변경 사항을 기다렸다가 배포하십시오.

  • 변경 사항 취소 - CDO에서 디바이스로 구성 변경을 푸시하지 않으려는 경우, 또는 CDO에서 시작한 구성 변경을 "취소"하려는 경우. 이 옵션은 CDO에 저장된 구성을 디바이스에 저장된 실행 중인 구성으로 덮어씁니다.

충돌 탐지됨 상태 해결

CDO를 사용하면 각 라이브 디바이스에서 충돌 탐지를 활성화하거나 비활성화할 수 있습니다. 충돌 탐지이 활성화되어 있고 CDO를 사용하지 않고 디바이스의 구성을 변경한 경우, 디바이스의 구성 상태는 Conflict Detected(충돌 탐지됨)로 표시됩니다.

"충돌 탐지됨" 상태를 해결하려면 다음 절차를 수행합니다.

Procedure

Step 1

내비게이션 바에서 Inventory(재고 목록)를 클릭합니다.

Note

 

온프레미스 Firewall Management Center의 경우, Tools & Services(도구 및 서비스) > Firewall Management Center로 이동하여 Not Synced(동기화되지 않음) 상태인 FMC를 선택하고 5단계부터 계속 진행합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

충돌을 보고하는 디바이스를 선택하고 오른쪽의 세부 정보 창에서 Review Conflict(충돌 검토)를 클릭합니다.

Step 5

Device Sync(디바이스 동기화) 페이지에서 강조 표시된 차이점을 검토하여 두 구성을 비교합니다.

  • "Last Known Device Configuration(마지막으로 알려진 디바이스 구성)" 패널은 CDO에 저장된 디바이스 구성입니다.

  • "Found on Device(디바이스에서 발견됨)" 패널은 ASA에서 실행 중인 구성에 저장된 구성입니다.

Step 6

다음 중 하나를 선택하여 충돌을 해결합니다.

  • Accept Device changes(디바이스 변경 사항 수락): 구성 및 CDO에 저장된 보류 중인 변경 사항을 디바이스의 실행 중인 구성으로 덮어씁니다.

    Note

     

    CDO는 명령줄 인터페이스 외부에서 Cisco IOS 디바이스에 변경 사항을 구축하는 것을 지원하지 않으므로, 충돌을 해결할 때 Cisco IOS 디바이스에 대한 유일한 선택은 Accept Without Review(검토 없이 수락)를 선택하는 것입니다.

  • Reject Device Changes(디바이스 변경 거부): 디바이스에 저장된 구성을 CDO에 저장된 구성으로 덮어씁니다.

Note

 

거부되거나 수락된 모든 구성 변경 사항은 변경 로그에 기록됩니다.

디바이스 변경 사항에 대한 폴링 예약

충돌 탐지를 활성화했거나 Settings(설정) 페이지에서 Enable device changes to auto-accept device changes(디바이스 변경 자동 수락 옵션 활성화)를 선택한 경우 CDO은 기본 간격 동안 디바이스를 폴링하여 CDO 외부에서 디바이스의 구성이 변경되었는지 확인합니다. CDO가 디바이스별로 변경 사항을 폴링하는 빈도를 맞춤화할 수 있습니다. 이러한 변경 사항은 둘 이상의 디바이스에 적용할 수 있습니다.

디바이스에 대해 구성된 선택 항목이 없으면 "테넌트 기본값"에 대한 간격이 자동으로 구성됩니다.


Note

Security Devices(보안 디바이스) 페이지에서 디바이스별 간격을 맞춤 설정하면 General Settings(일반 설정) 페이지에서 Default Conflict Detection Interval(기본 충돌 탐지 간격)로 선택한 폴링 간격이 재정의됩니다.

Security Devices(보안 디바이스) 페이지에서 Conflict Detection(충돌 탐지)을 활성화하거나 Settings(설정) 페이지에서 디바이스 변경 사항을 자동 수락하는 옵션을 활성화한 후 다음 절차를 사용하여 CDO가 디바이스를 폴링할 빈도를 예약합니다.

Procedure

Step 1

왼쪽 창에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

충돌 탐지를 활성화할 디바이스를 선택합니다.

Step 5

Conflict Detection(충돌 탐지)과 동일한 영역에서 Check every(확인 간격)의 드롭다운 메뉴를 클릭하고 원하는 폴링 간격을 선택합니다.