Smart Licensing 지침

• 지원되는 최대 vCPU 수는 8개입니다. 지원되는 최대 메모리는 64GB RAM입니다. 모든 ASA 가상 라이선스는 지원되는 ASA 가상 vCPU/메모리 설정에서 사용할 수 있습니다.

• 라이선스 받은 기능 및 라이선스를 받지 않은 플랫폼 기능에 대한 세션 제한은 VM 메모리의 양을 기준으로 설정됩니다.

• Secure Client 및 TLS 프록시의 세션 제한은 ASA 가상 플랫폼 엔타이틀먼트에 의해 결정됩니다. 세션 제한은 더 이상 ASA 가상 모델 유형(ASAv5/10/30/50/100)과 연관되지 않습니다.

• 세션 제한에는 최소 메모리 요구 사항이 있습니다. VM 메모리가 최소 요구 사항보다 낮으면 세션 제한은 메모리 양에서 지원되는 최대 수를 기준으로 설정됩니다.

• 기존 엔타이틀먼트는 변경되지 않습니다. 엔타이틀먼트 SKU 및 표시 이름에는 모델 번호(ASAv5/10/30/50/100)가 계속 포함됩니다.

• 엔타이틀먼트는 속도 제한기를 통해 최대 처리량을 설정합니다.

• 고객 주문 프로세스는 변경되지 않습니다.

디스크 스토리지

ASA 가상는 기본적으로 최대 8GB의 가상 디스크를 지원합니다. 디스크 크기를 8GB 이상으로 늘릴 수 없습니다. VM 리소스를 프로비저닝할 때는 이 사실을 유의하십시오.

컨텍스트 모드 지침

단일 컨텍스트 모드에서만 지원됩니다. 다중 상황 모드는 지원되지 않습니다.

고가용성을 위한 페일오버 지침

장애 조치 구축의 경우, 대기 유닛에 동일한 라이선스 엔타이틀먼트가 있는지 확인합니다. 예를 들어 두 유닛 모두 2Gbps 엔타이틀먼트가 있어야 합니다.

중요사항	ASA 가상을 이용해 고가용성 쌍을 만들 때는 동일한 순서로 각 ASA 가상에 데이터 인터페이스를 추가해야 합니다. 각 ASA 가상에 동일한 인터페이스를 추가했지만 순서가 다른 경우 ASA 가상 콘솔에서 오류가 나타날 수 있습니다. 페일오버 기능도 영향을 받을 수 있습니다.

지원되지 않는 ASA 기능

ASA 가상는 다음 ASA 기능을 지원하지 않습니다.

• 클러스터링(KVM 및 VMware를 제외한 모든 엔타이틀먼트용)

• 다중 컨텍스트 모드

• 활성/활성 장애 조치

• EtherChannel

• AnyConnect Premium 라이센스 공유

제한 사항

• ASA 가상은 x710 NIC용 1.9.5 i40en 호스트 드라이버와 호환되지 않습니다. 이전 또는 최신 드라이버 버전을 사용해야 합니다. (VMware만 해당)

성능 지침

• 9개 이상의 e1000 인터페이스가 구성된 1GB 플랫폼에서 점보 프레임을 예약하면 디바이스가 다시 로드될 수 있습니다. 점보 프레임 예약이 활성화된 상태라면 인터페이스 수를 8개 이하로 줄이십시오. 인터페이스의 정확한 수는 구성된 다른 기능의 작업에 필요한 메모리의 양에 따라 다르며, 8보다 적을 수 있습니다.

성능 지침

• 집계된 트래픽 10Gbps를 지원합니다.

• ASA 가상 성능을 개선하기 위한 다음 방법을 지원합니다.

  • Numa 노드

  • 여러 RX 대기열

  • SR-IOV 프로비저닝

  • 자세한 내용은 VMware의 ASA 가상에 대한 성능 조정 및 KVM의 ASA 가상에 대한 성능 조정를 참고하십시오.

• 전체 처리량을 달성하려면 CPU 고정을 하는 것이 좋습니다. ESXi 컨피그레이션의 성능 향상 및 KVM 컨피그레이션의 성능 향상를 참조하십시오.

• e1000 및 i40e-vf 인터페이스가 혼합된 점보 프레임 예약은 i40e-vf 인터페이스 중단을 유발할 수 있습니다. 점보 프레임 예약이 활성화된 경우 e1000 및 i40e-vf 드라이버를 사용하는 인터페이스 유형을 혼합하지 마십시오.

제한 사항

• 투명 모드는 지원되지 않습니다.

• ASA 가상은 x710 NIC용 1.9.5 i40en 호스트 드라이버와 호환되지 않습니다. 이전 또는 최신 드라이버 버전을 사용해야 합니다. (VMware만 해당)

• Hyper-V에서는 지원되지 않습니다.

성능 지침

• 집계된 트래픽 20Gbps를 지원합니다.

• ASA 가상 성능을 개선하기 위한 다음 방법을 지원합니다.

  • Numa 노드

  • 여러 RX 대기열

  • SR-IOV 프로비저닝

  • 자세한 내용은 VMware의 ASA 가상에 대한 성능 조정 및 KVM의 ASA 가상에 대한 성능 조정를 참고하십시오.

• 전체 처리량을 달성하려면 CPU 고정을 하는 것이 좋습니다. ESXi 컨피그레이션의 성능 향상 및 KVM 컨피그레이션의 성능 향상를 참조하십시오.

제한 사항

• ASA 가상은 x710 NIC용 1.9.5 i40en 호스트 드라이버와 호환되지 않습니다. 이전 또는 최신 드라이버 버전을 사용해야 합니다. (VMware만 해당)

• 투명 모드는 지원되지 않습니다.

• AWS(Amazon Web Services) 및 Hyper-V에서는 지원되지 않습니다.

ASA 가상에는 다음과 같은 기가비트 이더넷 인터페이스가 포함되어 있습니다.

• 관리 0/0

  AWS 및 Azure의 경우 Management 0/0이 트래픽을 전달하는 "외부" 인터페이스일 수 있습니다.

• GigabitEthernet 0/0에서 0/8까지 포함. GigabitEthernet 0/8은 ASA 가상를 장애 조치 쌍의 일부분으로 구축할 경우 장애 조치 링크에 사용됩니다.

  참고	컨파그레이션 마이그레이션을 간소화하기 위해, VMXNET3 드라이버에서 사용할 수 있는 것과 같은 10 GigabitEthernet 인터페이스에는 GigabitEthernet이라는 레이블이 지정됩니다. 단순 식별 용도이며 실제 인터페이스 속도에는 영향을 주지 않습니다. ASA 가상에서는 E1000 드라이버를 1Gbps 링크로 사용하는 GigabitEthernet 인터페이스를 정의합니다. VMware는 더 이상 E1000 드라이버 사용을 권장하지 않습니다.

• Hyper-V는 최대 8개의 인터페이스를 지원합니다. Management 0/0 및 GigabitEthernet 0/0 ~ 0/6입니다. GigabitEthernet 0/6를 장애 페일오버로 사용할 수 있습니다.

ASA 가상에서는 다음 vNIC를 지원합니다. 동일한 ASA 가상에서 e1000 및 vmxnet3 같은 vNIC를 혼합하는 것은 지원되지 않습니다.

VMware 및 VMXNET3에 대해 LRO 비활성화

LRO(Large Receive Offload)는 CPU 오버헤드를 줄여 고대역폭 네트워크 연결의 인바운드 처리량을 늘리는 기술입니다. 단일 스트림에서 여러 수신 패킷을 더 큰 버퍼로 집계한 다음 네트워킹 스택의 더 높은 곳으로 전달하기 때문에, 처리해야 하는 패킷 수가 줄어듭니다. 그러나 LRO는 네트워크 패킷 전달이 일관적이지 않고 혼잡한 네트워크에서 "버스트"되는 TCP 성능 문제을 유발할 수 있습니다.

중요사항	VMware는 기본적으로 LRO를 활성화하여 전체 처리량을 늘립니다. 따라서 이 플랫폼에서는 ASA 가상 구축에 대해 LRO를 비활성화해야 합니다.

ASA 가상 머신에서 LRO를 바로 비활성화할 수 있습니다. 컨피그레이션을 변경하기 전에 가상 머신의 전원을 끕니다.

1. vSphere Web Client 인벤토리에서 ASA 가상 머신을 찾습니다.

   1. 가상 머신을 찾으려면 데이터 센터, 폴더, 클러스터, 리소스 풀 또는 호스트를 선택합니다.

   2. Related Objects(관련 개체) 탭을 클릭하고 Virtual Machines(가상 머신)를 클릭합니다.

2. 가상 머신을 마우스 오른쪽 버튼으로 클릭하고 Edit Settings(설정 수정)를 선택합니다.

3. VM Options(VM 옵션)를 클릭합니다.

4. Advanced(고급)를 확장합니다.

5. Configuration Parameters(컨피그레이션 매개변수) 아래에서 Edit Configuration(컨피그레이션 편집) 버튼을 클릭합니다.

6. Add Parameter(매개변수 추가)를 클릭하고 LRO 매개변수의 이름과 값을 입력합니다.

   • Net.VmxnetSwLROSL | 0

   • Net.Vmxnet3SwLRO | 0

   • Net.Vmxnet3HwLRO | 0

   • Net.Vmxnet2SwLRO | 0

   • Net.Vmxnet2HwLRO | 0

   참고	(선택 사항) LRO 매개변수가 있다면 값을 검사하고 필요에 따라 변경할 수 있습니다. 매개변수가 1이면 LRO가 활성화됩니다. 0이면 LRO가 비활성화됩니다.

7. OK(확인)를 클릭하여 변경 사항을 저장하고 Configuration Parameters(컨피그레이션 매개변수) 대화상자를 닫습니다.

8. Save(저장)를 클릭합니다.

자세한 내용은 다음 VMware 지원 문서를 참조하십시오.

• VMware KB 1027511

• VMware KB 2055140

ASA 가상 구축에 사용되는 구체적인 하드웨어는 크기 및 사용 요구 사항에 따라 달라질 수 있습니다. ASA 가상에 대한 라이선싱에서는 다양한 ASA 가상 플랫폼에 대한 라이선스 자격과 일치하는 규정 준수 리소스 시나리오에 대해 설명합니다. 또한 SR-IOV 가상 기능에는 특정 시스템 리소스가 필요합니다.

호스트 운영 체제 및 하이퍼바이저 지원

SR-IOV 지원 및 VF 드라이버는 다음에 사용할 수 있습니다.

• Linux 2.6.30 커널 이상

SR-IOV 인터페이스를 이용하는 ASA 가상은 현재 다음 하이퍼바이저에서 지원됩니다.

• VMware vSphere/ESXi

• QEMU/KVM

• AWS

하드웨어 플랫폼 지원

참고	지원되는 가상화 플랫폼을 실행할 수 있는 아무 서버 클래스 x86 CPU 디바이스에 ASA 가상을 구축해야 합니다.

이 섹션에서는 SR-IOV 인터페이스 관련 하드웨어 지침에 대해 설명합니다. 이러한 지침은 요구 사항이 아니라 지침이지만, 지침을 충족하지 않는 하드웨어를 사용하면 기능 문제가 발생하거나 성능이 저하될 수 있습니다.

SR-IOV를 지원하며 SR-IOV 지원 PCIe 어댑터를 장착한 서버가 필요합니다. 다음 하드웨어 고려 사항을 파악해야 합니다.

• 사용 가능한 VF 수, 벤더 및 디바이스 간 차이를 포함한 SR-IOV NIC 기능.

• 모든 PCIe 슬롯이 SR-IOV를 지원하지는 않습니다.

• SR-IOV 지원 PCIe 슬롯에 다양한 기능이 있을 수 있습니다.

  참고	시스템의 SR-IOV 지원 여부는 제조업체의 설명서를 참조하십시오.

• VT-d 지원 칩셋, 마더보드 및 CPU의 경우, 가상화 지원 IOMMU 지원 하드웨어 페이지에서 정보를 찾을 수 있습니다. VT-d는 SR-IOV 시스템의 필수 BIOS 설정입니다.

• VMware의 경우 온라인 호환성 가이드에서 SR-IOV 지원을 검색할 수 있습니다.

• KVM의 경우에는 CPU 호환성을 확인할 수 있습니다. KVM의 ASA 가상에서는 x86 하드웨어만 지원합니다.

  참고	Cisco에서는 ASA 가상을 UCS C-Series 랙 서버를 이용해 테스트했습니다. Cisco UCS-B 서버는 ixgbe-vf vNIC를 지원하지 않습니다.

지원되는 SR-IOV용 NIC

• Intel 이더넷 네트워크 어댑터 X710

  주의	ASA 가상은 x710 NIC용 1.9.5 i40en 호스트 드라이버와 호환되지 않습니다. 이전 또는 최신 드라이버 버전을 사용해야 합니다. (VMware만 해당)

• Intel 이더넷 서버 어댑터 X520 - DA2

CPU

• x86_64 멀티코어 CPU

  Intel 샌디브리지 이상(권장)

  참고	ASA 가상은(는) Intel 브로드웰 CPU(E5-2699-v4) 2.3GHz에서 테스트를 완료했습니다.

• 코어

  • CPU 소켓당 최소 8개의 물리적 코어

  • 8개 코어가 단일 소켓에 있어야 합니다.

  참고	ASAv50 및 ASAv100에서 전체 처리량을 달성하려면 CPU 고정을 하는 것이 좋습니다. ESXi 컨피그레이션의 성능 향상 및 KVM 컨피그레이션의 성능 향상를 참조하십시오.

BIOS 설정

SR-IOV는 BIOS 및 하드웨어에서 실행 중인 운영 체제 인스턴스/하이퍼바이저에서의 지원을 필요로 합니다. 시스템 BIOS에서 다음 설정을 확인합니다.

• SR-IOV가 활성화됨

• VT-x(Virtualization Technology)가 활성화됨

• VT-d가 활성화됨

• (선택 사항) 하이퍼스레딩이 비활성화됨

시스템마다 BIOS 설정에 액세스하고 변경하는 방법이 다르므로, 벤더 설명서를 참조하여 프로세스를 확인하는 것이 좋습니다.

제한 사항

ixgbe-vf 인터페이스를 사용할 때는 다음 제한 사항에 유의해야 합니다.

• 게스트 VM은 VF를 무차별 모드로 설정할 수 없습니다. 따라서 ixgbe-vf를 사용할 때는 투명 모드가 지원되지 않습니다.

• 게스트 VM은 VF에서 MAC 주소를 설정할 수 없습니다. 따라서 MAC 주소는 다른 ASA 플랫폼에서나 다른 인터페이스 유형을 사용할 때처럼 HA 중에 전송되지는 않습니다. HA 페일오버는 IP 주소를 액티브에서 스탠바이로 전송하여 작동합니다.

  참고	이 제한은 i40e-vf 인터페이스에도 적용됩니다.

• Cisco UCS-B 서버는 ixgbe-vf vNIC를 지원하지 않습니다.

• 페일오버 설정에서 페어링된 ASA 가상(기본 유닛)에 장애가 발생하면, 스탠바이 ASA 가상 유닛이 기본 유닛 역할을 수행하며 인터페이스 IP 주소는 스탠바이 ASA 가상 유닛의 새 MAC 주소로 업데이트됩니다. 그런 다음 ASA 가상은 동일한 네트워크의 다른 디바이스에 인터페이스 IP 주소의 MAC 주소 변경 사항을 알리기 위해 무료 ARP(Address Resolution Protocol) 업데이트를 전송합니다. 그러나 이러한 유형의 인터페이스와의 비호환성으로 인해, 인터페이스 IP 주소를 전역 IP 주소로 변환하기 위한 NAT 또는 PAT 명령문에 정의된 전역 IP 주소로 Gratuitous ARP 업데이트가 전송되지 않습니다.