VMware를 사용하여 ASA 가상 구축

VMware ESXi를 실행할 수 있는 서버 클래스 x86 CPU 디바이스에서 ASA 가상을 구축할 수 있습니다.

중요사항

ASA 가상의 최소 메모리 요구 사항은 2GB입니다. 현재 ASA 가상이 2GB 미만의 메모리로 실행되는 경우에는 ASA 가상 머신의 메모리를 늘리지 않고는 이전 버전에서 9.13(1) 이상으로 업그레이드할 수 없습니다. 최신 버전의 새 ASA 가상 머신을 재구축할 수도 있습니다.

VMware의 ASA 가상 지침 및 제한 사항

ESXi 서버에서 여러 ASA 가상 인스턴스를 생성하고 구축할 수 있습니다. ASA 가상 구축에 사용되는 특정 하드웨어는 구축된 인스턴스 수 및 사용 요구 사항에 따라 달라질 수 있습니다. 생성하는 각 가상 어플라이언스는 호스트 머신에서 최소 리소스 할당(메모리, CPU 수 및 디스크 공간)을 필요로 합니다.

중요사항

ASA 가상는 8GB 디스크 스토리지 크기로 구축됩니다. 디스크 공간의 리소스 할당은 변경할 수 없습니다.

ASA 가상을 구축하기 전에 다음 지침 및 제한 사항을 검토하십시오.

VMware ESXi의 ASA 가상 시스템 요구 사항

최적의 성능을 보장하려면 아래 사양을 준수해야 합니다. ASA 가상ASA 가상에는 다음 요구 사항이 적용됩니다.

호스트 CPU는 가상화 확장을 사용하는 서버 클래스 x86 기반 Intel 또는 AMD CPU여야 합니다.

예를 들어 ASA 가상 성능 테스트 랩에서는 2.6GHz에서 실행되는 Intel® Xeon® CPU E5-2690v4 프로세서를 사용하는 Cisco UCS®(Cisco Unified Computing System™) C 시리즈 M4 서버가 최소 요구 사항입니다.
ASA 가상은 ESXi 버전 6.0, 6.5, 6.7 및 7.0을 지원합니다.

권장 vNIC

최적의 성능을 위해 다음 vNIC를 사용하는 것이 좋습니다.

PCI 패스스루의 i40e - 서버의 물리적 NIC를 VM 전용으로 지정하고 DMA(Direct Memory Access)를 통해 NIC와 VM 간에 패킷 데이터를 전송합니다. 패킷 이동에는 CPU 사이클이 필요하지 않습니다.
i40evf/ixgbe-vf - 위와 사실상 동일하지만(NIC와 VM 간의 DMA 패킷) 여러 VM에서 NIC를 공유할 수 있습니다. 뛰어난 구축 유연성 때문에 일반적으로 SR-IOV를 선호합니다. 지침 및 제한 사항의 내용을 참조하십시오.
vmxnet3 - 10Gbps 작업을 지원하지만 CPU 사이클이 필요한 반가상화 네트워크 드라이버입니다. VMware 기본값입니다.

vmxnet3를 사용할 경우 LRO(Large Receive Offload)를 비활성화하여 TCP 성능 저하를 방지해야 합니다.

성능 최적화

ASA 가상에서 최상의 성능을 얻으려면 VM과 호스트를 모두 조정할 수 있습니다. 자세한 내용은 VMware의 ASA 가상에 대한 성능 조정를 참조하십시오.

NUMA - 게스트 VM의 CPU 리소스를 단일 NUMA(Non-Uniform Memory Access) 노드로 격리하면 ASA 가상 성능을 개선할 수 있습니다. 자세한 내용은 NUMA 지침를 참조하십시오.
Receive Side Scaling — ASA 가상는 RSS(Receive Side Scaling)를 지원합니다. RSS는 네트워크 수신 트래픽을 여러 프로세서 코어로 분산하기 위해 네트워크 어댑터에서 활용하는 기술입니다. 버전 9.13(1) 이상에서 지원됩니다. 자세한 내용은 RSS(Receive Side Scaling)를 위한 다중 RX 대기열를 참조하십시오.
VPN 최적화 - ASA 가상을 사용한 VPN 성능 최적화를 위한 추가 고려 사항은 VPN 최적화를 참조하십시오.

클러스터링

버전 9.17부터는 VMware에 구축된 ASA 가상 인스턴스에서 클러스터링이 지원됩니다. 자세한 내용은 ASAv용 ASA 클러스터를 참조하십시오.

OVF 파일 지침

asav-vi.ovf 또는 asav-esxi.ovf 파일은 구축 대상에 따라 선택합니다.

asav-vi—vCenter에서 구축할 경우
asav-esxi—ESXi에서 구축할 경우(vCenter 없음)
ASA 가상 OVF 구축은 현지화(영어 이외의 언어 모드로 구성 요소 설치)를 지원하지 않습니다. 사용자 환경의 VMware vCenter와 LDAP 서버가 ASCII 호환 모드로 설치되어 있는지 확인해 주십시오.
ASA 가상를 설치하고 VM 콘솔을 사용하려면 먼저 키보드를 영어(미국)로 설정해야 합니다.

ASA 가상이 구축되면 두 개의 서로 다른 ISO 이미지가 ESXi 하이퍼바이저에 마운트됩니다.

마운트된 첫 번째 드라이브에는 vSphere에서 생성된 OVF 환경 변수가 있습니다.
마운트된 두 번째 드라이브는 day0.iso입니다.

주의	ASA 가상 머신이 부팅된 후에는 두 드라이브 모두를 마운트 해제할 수 있습니다. 그러나 Connect at Power On(전원을 켤 때 연결)이 선택되지 않은 경우에도, ASA 가상의 전원을 끄거나 켤 때마다 드라이브 1이(OVF 환경 변수를 이용해) 항상 마운트됩니다.

OVF 템플릿 내보내기 지침

vSphere의 OVF 템플릿 내보내기를 사용하면 기존 ASA 가상 인스턴스 패키지를 OVF 템플릿으로서 내보낼 수 있습니다. 내보낸 OVF 템플릿을 사용하여 동일하거나 다른 환경에서 ASA 가상 인스턴스를 구축할 수 있습니다. vSphere에서 내보낸 OVF 템플릿을 사용하여 ASA 가상 인스턴스를 구축하기 전에, OVF 파일에서 구성 세부 정보를 수정하여 구축 실패를 방지해야 합니다.

내보낸 ASA 가상의 OVF 파일을 수정합니다.

OVF 템플릿을 내보낸 로컬 머신에 로그인합니다.
텍스트 편집기에서 OVF 파일을 검색하고 엽니다.
<vmw:ExtraConfig vmw:key="monitor_control.pseudo_perfctr" vmw:value="TRUE"></vmw:ExtraConfig> 태그가 존재하는지 확인합니다.
<rasd:ResourceSubType>vmware.cdrom.iso</rasd:ResourceSubType> 태그를 삭제합니다.

또는

<rasd:ResourceSubType>vmware.cdrom.iso</rasd:ResourceSubType> 태그를 <rasd:ResourceSubType>vmware.cdrom.remotepassthrough</rasd:ResourceSubType> 태그로 교체합니다.

자세한 내용은 VMware에서 게시한 VMware 툴이 설치된 경우 vCenter Server 5.1/5.5에서의 OVF 구축 실패(2034422)를 참조하십시오.

UserPrivilege, OvfDeployment 및 ControllerType에 대한 속성 값을 입력하십시오.

예를 들면 다음과 같습니다.

- <Property ovf:qualifiers="ValueMap{"ovf", "ignore", "installer"}" ovf:type="string" ovf:key="OvfDeployment">
+ <Property ovf:qualifiers="ValueMap{"ovf", "ignore", "installer"}" ovf:type="string" ovf:key="OvfDeployment" ovf:value="ovf">
 
- <Property ovf:type="string" ovf:key="ControllerType">
+ <Property ovf:type="string" ovf:key="ControllerType" ovf:value="ASAv">
 
- <Property ovf:qualifiers="MinValue(0) MaxValue(255)" ovf:type="uint8" ovf:key="UserPrivilege">
+ <Property ovf:qualifiers="MinValue(0) MaxValue(255)" ovf:type="uint8" ovf:key="UserPrivilege" ovf:value="15">

OVF 파일을 저장합니다.
OVF 템플릿을 사용하여 ASA 가상을 구축합니다. VMware vSphere Web Client를 사용하여 ASA 가상 구축을 참조하십시오.

고가용성을 위한 페일오버 지침

페일오버 구축의 경우, 대기 유닛에 동일한 라이선스 자격이 있는지 확인합니다. 예를 들어 두 유닛 모두 2Gbps 엔타이틀먼트가 있어야 합니다.

중요사항

ASA 가상을 이용해 고가용성 쌍을 만들 때는 동일한 순서로 각 ASA 가상에 데이터 인터페이스를 추가해야 합니다. 각 ASA 가상에 동일한 인터페이스를 추가했지만 순서가 다른 경우 ASA 가상 콘솔에서 오류가 나타날 수 있습니다. 페일오버 기능도 영향을 받을 수 있습니다.

ASA 가상 내부 인터페이스 또는 ASA 가상 페일오버 고가용성 링크에 사용하는 ESX 포트 그룹의 경우, 2개의 가상 NIC(액티브 업링크용 하나, 스탠바이 업링크용 하나)를 사용하여 ESX 포트 그룹 페일오버 순서를 구성합니다. 두 VM이 서로 ping하거나 ASA 가상 고가용성 링크를 가동하려면 이렇게 해야 합니다.

vMotion 지침

VMware에서 vMotion을 사용하려면 공유 스토리지만 사용해야 합니다. 호스트 클러스터가 있는 경우, ASA 가상을 구축하는 동안 특정 호스트에 로컬로 스토리지를 프로비저닝하거나 공유 호스트에 스토리지를 프로비저닝할 수 있습니다. 그러나 ASA 가상에서 다른 호스트에 대한 vMotion을 실행하려고 하는 경우, 로컬 스토리지를 사용하면 오류가 발생합니다.

처리량 및 라이선싱을 위한 메모리 및 vCPU 할당

ASA 가상에 할당된 메모리의 크기는 처리량 수준에 따라 지정됩니다. 다른 처리량 수준에 대한 라이선스를 요청할 때가 아니라면, Edit Settings(설정 수정) 대화 상자에서 메모리 설정이나 vCPU 하드웨어 설정을 변경하지 마십시오. 프로비저닝 부족은 성능에 영향을 줄 수 있습니다.

참고	메모리 또는 vCPU 하드웨어 설정을 변경해야 하는 경우 ASA 가상에 대한 라이선싱에 나와 있는 값만 사용해야 합니다. VMware 권장 메모리 컨피그레이션 최소값, 기본값, 최대값을 사용하지 마십시오.

CPU 예약

기본적으로 ASA 가상을 위해 예약된 CPU는 1000MHz입니다. 공유, 예약 및 제한 설정(Edit Settings(설정 수정) > Resources(리소스) > CPU)을 사용하여 ASA 가상에 할당된 CPU 리소스의 양을 변경할 수 있습니다. ASA 가상이 낮은 설정을 사용하는 필수 트래픽 로드 이하인 동안 필요한 목적을 수행할 수 있는 경우, 1000Mhz에서 CPU 예약 설정을 낮게 설정하는 작업을 수행할 수 있습니다. ASA 가상에서 사용된 CPU 양은 실행 중인 하드웨어 플랫폼과 수행 중인 작업의 유형 및 양에 따라 달라집니다.

CPU Usage(CPU 사용량(MHz)) 차트에서 모든 가상 머신에 대한 호스트의 CPU 사용량 관점을 확인할 수 있습니다. 이 차트는 가상 머신의 Performance(성능) 탭의 Home(홈) 보기에 있습니다. ASA 가상이 일반적인 트래픽 볼륨을 처리 중인 경우 CPU 사용량에 대한 벤치마크를 설정하면 CPU 예약을 조정할 때 해당 정보를 입력으로 사용할 수 있습니다.

자세한 내용은 VMware에서 공개한 CPU 성능 개선 사항 조언을 참조하십시오.
ASA 가상 show vm 및 show cpu 명령이나 ASDMHome(홈) > Device Dashboard(디바이스 대시보드) > Device Information(디바이스 정보) > Virtual Resources(가상 리소스) 탭 또는 Monitoring(모니터링) > Properties(속성) > System Resources Graphs(시스템 리소스 그래프) > CPU 창을 사용하여 리소스 할당 및 과도하거나 부족하게 프로비저닝된 모든 리소스를 확인할 수 있습니다.

투명 모드의 UCS B 및 시리즈 하드웨어 지침

Cisco UCS B 시리즈 하드웨어에서 투명 모드로 실행되는 일부 ASA 가상 컨피그레이션에서 MAC 플랩이 관찰되었습니다. MAC 주소가 다른 위치에서 표시되면 패킷이 손실됩니다.

다음 지침은 VMware 환경에서 투명 모드로 ASA 가상을 구축할 때 MAC 플랩을 방지하는 데 도움이 됩니다.

VMware NIC 팀 구성 - UCS B 시리즈에서 투명 모드로 ASA 가상을 구축하는 경우, 내부 및 외부 인터페이스에 사용하는 포트 그룹에는 활성 업링크 1개만 있어야 하며, 이 업링크는 동일해야 합니다. vCenter에서 VMware NIC 팀을 구성할 수 있습니다.

NIC 팀 구성 방법에 대한 자세한 내용은 VMware 설명서를 참조하십시오.
ARP 검사 - ASA 가상에서 ARP 검사를 활성화하고, ARP 검사를 수신해야 하는 인터페이스에서 MAC 및 ARP 항목을 정적으로 구성합니다. ARP 검사 및 검사를 활성화하는 방법은 Cisco Secure Firewall ASA 시리즈 일반 운영 구성 가이드를 참조하십시오.

추가 지침 및 제한

ESXi 6.7, vCenter 6.7, ASA Virtual 9.12 이상을 실행 중인 경우 ASA Virtual은 두 CD/DVD IDE 드라이브 없이 부팅됩니다.
vSphere Web 클라이언트는 ASA 가상 OVF 구축에 지원되지 않습니다. 대신 vSphere 클라이언트를 사용하십시오.

VMware 기능 지원 - ASA 가상

다음 표에는 ASA 가상에 지원되는 VMware 기능이 나와 있습니다.

표 1. VMware 기능 지원 - ASA 가상
기능	설명	지원(예/아니요)	코멘트
Cold Clone	복제하는 동안 VM의 전원이 꺼집니다.	예	¯
DRS	동적 리소스 예약 및 DPM(Distributed Power Management)에 사용됩니다.	예	VMware 지침을 참조합니다.
Hot add	추가하는 동안 VM이 실행됩니다.	아니오	¯
Hot clone	복제하는 동안 VM이 실행됩니다.	아니오	¯
Hot removal	제거하는 동안 VM이 실행됩니다.	아니오	¯
Snapshot	VM이 몇 초간 중지됩니다.	예	주의해서 사용해야 합니다. 트래픽이 손실될 수 있습니다. 장애 조치가 발생할 수 있습니다.
일시 중지 및 재개	VM이 일시 중지되었다가 재개됩니다.	예	¯
vCloud Director	VM의 자동 구축을 허용합니다.	아니오	¯
VM 마이그레이션	마이그레이션하는 동안 VM의 전원이 꺼집니다.	예	¯
vMotion	VM의 라이브 마이그레이션에 사용됩니다.	예	공유 스토리지를 사용합니다. vMotion 지침을 참조하십시오.
VMware FT	VM의 HA에 사용됩니다.	아니오	ASA 가상 머신 장애에는 ASA 가상 페일오버를 사용합니다.
VMware HA	ESXi 및 서버 장애에 사용됩니다.	예	ASA 가상 머신 장애에는 ASA 가상 장애 조치를 사용합니다.
VM 하트비트를 지원하는 VMware HA	VM 장애에 사용됩니다.	아니오	ASA 가상 머신 장애에는 ASA 가상 장애 조치를 사용합니다.
VMware vSphere 독립 실행형 Windows 클라이언트	VM을 구축하는 데 사용됩니다.	예	¯
VMware vSphere Web Client	VM을 구축하는 데 사용됩니다.	예	¯

ASA 가상 및 VMware 사전 요건

vSphere 표준 스위치에 대한 보안 정책

VMware vSphere Web Client, vSphere 독립형 클라이언트 또는 OVF 툴을 사용하여 ASA 가상을 구축할 수 있습니다. 시스템 요구 사항은 Cisco Secure Firewall ASA 호환성을 참조하십시오.

vSphere 스위치의 경우 계층 2 보안 정책을 수정하고 ASA 가상 인터페이스에서 사용하는 포트 그룹에 대한 보안 정책 예외를 적용할 수 있습니다. 다음 기본 설정을 확인하십시오.

Promiscuous Mode(무차별 모드): Reject(거부)
MAC Address Changes(MAC 주소 변경): Accept(허용)
Forged Transmits(위조된 전송): Accept(허용)

다음 ASA 가상 컨피그레이션에 대해 이러한 설정을 수정해야 할 수도 있습니다. 자세한 내용은 vSphere 설명서를 참조하십시오.

표 2. 포트 그룹 보안 정책 예외
보안 예외	라우팅 방화벽 모드		투명 방화벽 모드
보안 예외	장애 조치 없음	장애 조치	장애 조치 없음	장애 조치
무차별 모드	<any>	<any>	수락	수락
MAC 주소 변경	<any>	수락	<any>	수락
위조된 전송	<any>	수락	수락	수락

ASA 가상 소프트웨어 압축 풀기 및 Day 0 컨피그레이션 파일 생성

ASA 가상를 실행하기 전에 Day 0 구성 파일을 준비할 수 있습니다. 이 파일은 ASA 가상을 시작할 때 적용하는 ASA 가상 컨피그레이션이 포함된 텍스트 파일입니다. 이 초기 컨피그레이션은 사용자가 선택하는 작업 디렉토리의 “day0-config”라는 이름의 텍스트 파일에 위치하며, 이 파일은 최초 부팅 시 마운트되고 읽히는 day0.iso 파일로 조작됩니다. Day 0 컨피그레이션 파일에는 최소한 관리 인터페이스를 활성화하고 공용 키 인증용 SSH 서버를 설정하는 명령이 포함되어야 할 뿐만 아니라, 완전한 ASA 컨피그레이션도 포함되어야 합니다. 빈 day0-config를 포함하는 기본 day0.iso이 이번 릴리스에 제공됩니다. 최초 부팅 동안 day0.iso 파일(사용자 정의 day0.iso 또는 기본 day0.iso)을 사용할 수 있어야 합니다.

시작하기 전에

이 예에서는 Linux를 사용하지만 Windows에도 유사한 유틸리티가 있습니다.

초기 구축 동안 ASA 가상 라이센스를 자동으로 적용하려면, Cisco Smart Software Manager에서 다운로드한 Smart Licensing ID(Identity) Token을 Day 0 컨피그레이션 파일과 같은 디렉토리에 있는 ‘idtoken’이라는 이름의 텍스트 파일로 가져옵니다.
가상 VGA 콘솔 대신 하이퍼바이저의 시리얼 포트에서 ASA 가상에 액세스하고 구성하려면, Day 0 컨피그레이션 파일에 콘솔 시리얼 설정을 포함하여 첫 부팅 시 시리얼 포트를 사용해야 합니다.
투명 모드에서 ASA 가상을 구축하려는 경우, 투명 모드에서 실행 중인 알려진 ASA 컨피그레이션 파일을 Day 0 컨피그레이션 파일로 사용해야 합니다. 이 사항은 라우팅 방화벽용 Day 0 컨피그레이션 파일에는 적용되지 않습니다.
ESXi 하이퍼바이저에서 ISO 이미지를 마운트하는 자세한 방법은 VMware의 ASA 가상 지침 및 제한 사항에 있는 OVF 파일 지침을 참조하십시오.

프로시저

단계 1

Cisco.com에서 ZIP 파일을 다운로드하고 로컬 디스크에 저장합니다.

https://www.cisco.com/go/asa-software

참고	Cisco.com 로그인 및 Cisco 서비스 계약이 필요합니다.

단계 2

작업 디렉터리에 파일의 압축을 풉니다. 이 디렉터리의 어떤 파일도 삭제하지 마십시오. 다음 파일이 포함됩니다.

asav-vi.ovf—vCenter 구축용
asav-esxi.ovf—비 vCenter 구축용
boot.vmdk—부팅 디스크 이미지
disk0.vmdk—ASA 가상 디스크 이미지.
day0.iso—day0-config 파일과 선택적으로 idtoken 파일을 포함하는 ISO
asav-vi.mf—vCenter 구축용 매니페스트 파일
asav-esxi.mf—비 vCenter 구축용 매니페스트 파일

단계 3

“day0 config”라는 텍스트 파일에 ASA 가상에 대한 CLI 컨피그레이션을 입력합니다. 3개의 인터페이스에 대한 인터페이스 컨피그레이션 및 원하는 기타 모든 컨피그레이션을 추가합니다.

첫 줄은 ASAv 버전으로 시작해야 합니다. day0-config는 유효한 ASA 컨피그레이션이어야 합니다. day0-config를 생성하는 가장 좋은 방법은 기존 ASA 또는 ASA 가상에서 실행 중인 컨피그레이션 중 원하는 부분을 복사하는 것입니다. day0-config에서의 줄의 순서가 중요하며 기존 show running-config 명령 출력의 순서와 일치해야 합니다.

day0-config 파일의 두 가지 예가 있습니다. 첫 번째 예는 기가비트 이더넷 인터페이스를 이용해 ASA 가상을 구축할 때의 day0-config를 보여줍니다. 두 번째 예는 10기가비트 이더넷 인터페이스를 이용해 ASA 가상을 구축할 때의 day0-config를 보여줍니다. 이 day0-config를 바탕으로 SR-IOV 인터페이스를 이용해 ASA 가상을 구축합니다. 지침 및 제한 사항를 참조하십시오.

예:

ASA Version 9.4.1
!
console serial
interface management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
interface gigabitethernet0/0
nameif inside
security-level 100
ip address 10.1.1.2 255.255.255.0
no shutdown
interface gigabitethernet0/1
nameif outside
security-level 0
ip address 198.51.100.2 255.255.255.0
no shutdown
http server enable
http 192.168.1.0 255.255.255.0 management
crypto key generate rsa modulus 1024
username AdminUser password paSSw0rd
ssh 192.168.1.0 255.255.255.0 management
aaa authentication ssh console LOCAL
call-home
http-proxy 10.1.1.1 port 443
license smart
feature tier standard
throughput level 2G

예:

ASA Version 9.8.1
!
console serial
interface management 0/0
management-only
nameif management
security-level 0
ip address 192.168.0.230 255.255.255.0
!
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.10.10.10 255.255.255.0
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.10.20.10 255.255.255.0
!
route management 0.0.0.0 0.0.0.0 192.168.0.254
!
username cisco password cisco123 privilege 15
!
aaa authentication ssh console LOCAL
ssh 0.0.0.0 0.0.0.0 management
ssh timeout 60
ssh version 2
!
http 0.0.0.0 0.0.0.0 management
!
logging enable
logging timestamp
logging buffer-size 99999
logging buffered debugging
logging trap debugging
!
dns domain-lookup management
DNS server-group DefaultDNS
name-server 64.102.6.247
!
license smart
feature tier standard
throughput level 10G
!
crypto key generate rsa modulus 2048

단계 4

(선택 사항) Cisco Smart Software Manager에서 발급한 Smart License ID 토큰 파일을 PC에 다운로드합니다.

단계 5

(선택 사항) 다운로드 파일에서 ID 토큰을 복사하고 ID 토큰만 포함된 'idtoken'이라는 텍스트 파일에 붙여넣습니다.

ID 토큰은 ASA 가상을 Smart Licensing 서버에 자동으로 등록합니다.

단계 6

텍스트 파일을 ISO 파일로 전환하여 가상 CD-ROM을 생성합니다.

예:

stack@user-ubuntu:-/KvmAsa$ sudo genisoimage -r -o day0.iso day0-config idtoken
I: input-charset not specified, using utf-8 (detected in locale settings)
Total translation table size: 0
Total rockridge attributes bytes: 252
Total directory bytes: 0
Path table size (byptes): 10
Max brk space used 0
176 extents written (0 MB)
stack@user-ubuntu:-/KvmAsa$

단계 7

day0.iso를 위해 Linux의 새 SHA1 값을 계산합니다.

예:

openssl dgst -sha1 day0.iso
SHA1(day0.iso)= e5bee36e1eb1a2b109311c59e2f1ec9f731ecb66 day0.iso

단계 8

작업 디렉터리의 asav-vi.mf 파일에 새 체크섬을 넣고 day0.iso SHA1 값을 새로 생성된 값으로 대체합니다.

예:

SHA1(asav-vi.ovf)= de0f1878b8f1260e379ef853db4e790c8e92f2b2
SHA1(disk0.vmdk)= 898b26891cc68fa0c94ebd91532fc450da418b02
SHA1(boot.vmdk)= 6b0000ddebfc38ccc99ac2d4d5dbfb8abfb3d9c4
SHA1(day0.iso)= e5bee36e1eb1a2b109311c59e2f1ec9f731ecb66

단계 9

ZIP 파일의 압축을 푼 디렉터리에 day0.iso 파일을 복사합니다. 기본 (비어 있는) day0.iso 파일을 덮어쓸 것입니다.

이 디렉터리에서 구축되는 VM이 있을 경우 새로 생성된 day0.iso내부의 컨피그레이션이 적용됩니다.

VMware vSphere Web Client를 사용하여 ASA 가상 구축

이 섹션에서는 VMware vSphere Web Client를 사용하여 ASA 가상를 구축하는 방법에 대해 설명합니다. Web Client에는 vCenter가 필요합니다. vCenter가 없다면 VMware vSphere 독립형 클라이언트를 사용한 ASA 가상 구축 및 Day 0 컨피그레이션 또는 OVF 툴을 사용한 ASA 가상 배포 및 Day 0 컨피그레이션을 참조하십시오.

vSphere Web Client에 액세스하여 클라이언트 통합 플러그인 설치
VMware vSphere Web Client를 사용하여 ASA 가상 구축

vSphere Web Client에 액세스하여 클라이언트 통합 플러그인 설치

이 섹션에서는 vSphere Web Client에 액세스하는 방법에 대해 설명합니다. 또한 ASA 가상 콘솔에 액세스하는 데 필요한 클라이언트 통합 플러그인을 설치하는 방법에 대해서도 설명합니다. 일부 Web Client 기능(플러그인 포함)은 Macintosh에서 지원되지 않습니다. 전체 클라이언트 지원 정보는 VMware 웹사이트를 참조하십시오.

프로시저

단계 1

브라우저에서 VMware vSphere Web Client를 실행합니다.

https:// vCenter_server:port/vsphere-client/

기본적으로 포트는 9443입니다.

단계 2

(한 번만 실행) ASA 가상 콘솔에 액세스할 수 있도록 클라이언트 통합 플러그인을 설치합니다.

로그인 화면에서 Download the Client Integration Plug-in(클라이언트 통합 플러그인 다운로드)을 클릭하여 플러그인을 다운로드합니다.
브라우저를 닫고 설치 프로그램을 사용하여 플러그인을 설치합니다.
플러그인이 설치되고 나면 vSphere Web Client에 다시 연결합니다.

단계 3

사용자 이름과 비밀번호를 입력하고 Login(로그인)을 클릭하거나, Use Windows session authentication(Windows 세션 인증 사용) 확인란(Windows에만 해당)을 선택합니다.

VMware vSphere Web Client를 사용하여 ASA 가상 구축

ASA 가상을 구축하려면 VMware vSphere Web Client(또는 vSphere 클라이언트)와 OVF(open virtualization format) 형식의 템플릿 파일을 사용합니다. vSphere Web Client에서 Deploy OVF Template(OVF 템플릿 구축) 마법사를 사용하여 ASA 가상용 Cisco 패키지를 구축할 수 있습니다. 이 마법사에서는 ASA 가상 OVF 파일의 구문을 분석하고, ASA 가상을 실행할 가상 머신을 만들며, 패키지를 설치합니다.

마법사의 단계는 대부분 VMware 표준 단계입니다. Deploy OVF Template(OVF 템플릿 구축)에 대한 자세한 내용은 VMware vSphere Web Client 온라인 도움말을 참조하십시오.

시작하기 전에

ASA 가상를 구축하기 전에 vSphere에서 하나 이상의 네트워크(관리용)를 구성해야 합니다.

프로시저

단계 1

Cisco.com에서 ASA 가상 ZIP 파일을 다운로드하여 PC에 저장합니다.

http://www.cisco.com/go/asa-software

참고	Cisco.com 로그인 및 Cisco 서비스 계약이 필요합니다.

단계 2

vSphere Web Client Navigator(탐색기) 창에서 vCenter를 클릭합니다.

단계 3

Hosts and Clusters(호스트 및 클러스터)를 클릭합니다.

단계 4

ASA 가상를 구축할 데이터 센터, 클러스터 또는 호스트를 마우스 오른쪽 버튼으로 클릭하고 Deploy OVF Template(OVF 템플릿 구축)을 선택합니다.

Deploy OVF Template(OVF 템플릿 구축) 마법사가 나타납니다.

단계 5

마법사 화면의 지시를 따릅니다.

단계 6

Setup networks(네트워크 설정) 화면에서 사용하려는 각 ASA 가상 인터페이스에 네트워크를 매핑합니다.

네트워크는 사전 순이 아닐 수도 있습니다. 네트워크를 찾기 어려운 경우 나중에 설정 수정 대화 상자에서 네트워크를 변경할 수 있습니다. 구축 후 ASA 가상 인스턴스를 마우스 오른쪽 버튼으로 클릭하고 Edit Settings(설정 수정)를 선택하면 Edit Settings(설정 수정) 대화 상자에 액세스할 수 있습니다. 그러나 ASA 가상 인터페이스 ID는 이 화면에 표시되지 않습니다(네트워크 어댑터 ID만 표시됨). 네트워크 어댑터 ID에 해당하는 ASA 가상 인터페이스 ID는 다음 표를 참조하십시오.


네트워크 어댑터 ID	ASA 가상 인터페이스 ID
네트워크 어댑터 1	Management 0/0
네트워크 어댑터 2	GigabitEthernet 0/0
네트워크 어댑터 3	GigabitEthernet 0/1
네트워크 어댑터 4	GigabitEthernet 0/2
네트워크 어댑터 5	GigabitEthernet 0/3
네트워크 어댑터 6	GigabitEthernet 0/4
네트워크 어댑터 7	GigabitEthernet 0/5
네트워크 어댑터 8	GigabitEthernet 0/6
네트워크 어댑터 9	GigabitEthernet 0/7
네트워크 어댑터 10	GigabitEthernet 0/8

모든 ASA 가상 인터페이스를 사용할 필요는 없지만 vSphere Web Client에서는 모든 인터페이스에 네트워크를 할당해야 합니다. 인터페이스를 비활성화된 상태로 두려면 ASA 가상 컨피그레이션 내에서 해당 인터페이스를 비활성화된 상태로 그대로 두면 됩니다. ASA 가상를 구축한 후 선택적으로 vSphere Web Client로 돌아가 Edit Settings(설정 수정) 대화 상자에서 추가 인터페이스를 삭제할 수 있습니다. 자세한 내용은 vSphere Web Client 온라인 도움말을 참조하십시오.

참고	페일오버/HA 구축의 경우 GigabitEthernet 0/8이 페일오버 인터페이스로 사전 설정됩니다.

단계 7

네트워크에서 인터넷 액세스에 HTTP 프록시를 사용하는 경우 Smart Call Home Settings(Smart Call Home 설정) 영역에서 스마트 라이센스를 위한 프록시 주소를 구성해야 합니다. 일반적으로 이 프록시는 Smart Call Home에도 사용됩니다.

단계 8

페일오버/HA 구축의 경우 Customize template(템플릿 사용자 정의) 화면에서 다음을 구성합니다.

대기 관리 IP 주소를 지정합니다.

인터페이스를 구성할 경우, 동일한 네트워크에서 액티브 IP 주소 및 스탠바이 IP 주소를 지정해야 합니다. 기본 유닛 또는 장애 조치 그룹에서 장애 조치를 시작할 경우, 보조 유닛에서는 기본 유닛의 IP 주소와 MAC 주소를 가정하고 트래픽 전달을 시작합니다. 이제 대기 상태가 된 유닛에서는 대기 IP 주소와 MAC 주소를 인수합니다. 네트워크 디바이스에서는 MAC-IP 주소 쌍의 변화가 감지되지 않으므로 네트워크 어디에서도 ARP 항목의 변경 또는 시간 초과가 발생하지 않습니다.
HA Connection Settings(HA 연결 설정) 영역에서 페일오버 링크 설정을 구성합니다.

장애 조치 쌍의 유닛 2개에서는 장애 조치 링크를 통해 지속적으로 통신을 수행하여 각 유닛의 작동 상태를 확인합니다. GigabitEthernet 0/8이 페일오버 링크로 사전 설정됩니다. 링크의 활성 및 대기 IP 주소를 같은 네트워크에 있는 주소로 입력합니다.

단계 9

마법사를 완료하고 나면 vSphere Web Client에서 VM을 처리합니다. Recent Tasks(최근 작업) 창의 Global Information(전체 정보) 영역에서 "Initialize OVF deployment"(OVF 구축 초기화) 상태를 확인할 수 있습니다.

작업이 완료되면 Deploy OVF Template(OVF 템플릿 구축) 완료 상태가 표시됩니다.

그런 다음 인벤토리의 지정된 데이터 센터 아래에 ASA 가상 머신 인스턴스가 표시됩니다.

단계 10

ASA 가상 머신을 아직 실행하지 않은 경우 Power on the virtual machine(가상 머신 전원 켜기)을 클릭합니다.

ASA 가상가 부팅될 때까지 기다렸다가 ASDM 또는 콘솔에 연결합니다. ASA 가상는 처음 시작될 때 OVF 파일을 통해 제공된 매개변수를 읽어 ASA 가상 시스템 컨피그레이션에 추가합니다. 그런 다음 가동 및 실행될 때까지 자동으로 부팅을 다시 시작합니다. 이러한 이중 부팅은 ASA 가상를 처음 구축한 경우에만 발생합니다. 부팅 메시지를 보려면 Console(콘솔) 탭을 클릭하여 ASA 가상 콘솔에 액세스합니다.

단계 11

장애 조치/HA 구축의 경우 이 절차를 반복하여 보조 유닛을 추가합니다. 다음 지침을 참조하십시오.

기본 유닛과 동일한 처리량 레벨을 설정합니다.
기본 유닛에 정확히 동일한 IP 주소 설정을 입력합니다. 두 유닛의 부트스트랩 구성은 유닛을 기본 유닛 또는 보조 유닛으로 식별하는 파라미터를 제외하고 동일합니다.

다음에 수행할 작업

ASA 가상를 Cisco Licensing Authority에 성공적으로 등록하려면 ASA 가상에 인터넷 액세스가 필요합니다. 구축 후 인터넷 액세스 및 성공적인 라이선스 등록을 위해 추가 컨피그레이션이 필요할 수 있습니다.

VMware vSphere 독립형 클라이언트 및 Day 0 컨피그레이션을 사용하여 ASA 가상 구축

ASA 가상을 구축하려면 VMware vSphere 클라이언트 및 OVF(open virtualization format) 템플릿 파일(vCenter 구축은 asav-vi.ovf, 비 vCenter 구축에서는 asav-esxi.ovf)을 사용합니다. vSphere 클라이언트에서 Deploy OVF Template(OVF 템플릿 구축) 마법사를 사용하여 ASA 가상용 Cisco 패키지를 구축할 수 있습니다. 이 마법사에서는 ASA 가상 OVF 파일의 구문을 분석하고, ASA 가상을 실행할 가상 머신을 만들며, 패키지를 설치합니다.

마법사의 단계는 대부분 VMware 표준 단계입니다. Deploy OVF Template(OVF 템플릿 구축) 마법사에 대한 자세한 내용은 VMware vSphere Web Client 온라인 도움말을 참조하십시오.

시작하기 전에

ASA 가상를 구축하기 전에 vSphere에서 하나 이상의 네트워크(관리용)를 구성해야 합니다.
ASA 가상 소프트웨어 압축 풀기 및 Day 0 컨피그레이션 파일 생성의 단계에 따라 Day 0 컨피그레이션을 생성합니다.

프로시저

단계 1	VMware vSphere 클라이언트를 실행하고 File(파일) > Deploy OVF Template(OVF 템플릿 구축)을 선택합니다. Deploy OVF Template(OVF 템플릿 구축) 마법사가 나타납니다.
단계 2	asav-vi.ovf 파일의 압축을 푼 작업 디렉터리로 이동하여 이 파일을 선택합니다.
단계 3	OVF 템플릿 세부 정보가 표시됩니다. 다음 화면을 진행합니다. 사용자 지정 Day 0 컨피그레이션 파일을 사용한다면 어떤 컨피그레이션도 변경할 필요가 없습니다.
단계 4	구축 설정의 요약이 마지막 화면에 표시됩니다. Finish(마침)를 클릭하여 VM을 구축합니다.
단계 5	ASA 가상을 켜고 VMware 콘솔을 연 다음 2번째 부팅을 기다립니다.
단계 6	ASA 가상에 SSH를 적용하고 원하는 컨피그레이션을 완료합니다. 원하는 컨피그레이션 중 일부가 Day 0 컨피그레이션 파일에 빠졌을 경우 VMware 콘솔을 열고 필요한 컨피그레이션을 완료합니다. 이제 ASA 가상이 정상적으로 작동합니다.

OVF 툴과 Day 0 컨피그레이션을 사용하여 ASA 가상 구축

이 섹션에서는 day 0 컨피그레이션 파일이 필요한 OVF 툴을 사용하여 ASA 가상을 구축하는 방법을 설명합니다.

시작하기 전에

OVF 툴을 사용하여 ASA 가상을 구축할 경우 day0.iso 파일이 필요합니다. ZIP 파일에 제공된 비어 있는 기본 day0.iso 파일을 사용하거나 맞춤형 Day 0 컨피그레이션 파일을 생성하여 사용할 수 있습니다. Day 0 컨피그레이션 생성에 대해서는 ASA 가상 소프트웨어 압축 풀기 및 Day 0 컨피그레이션 파일 생성를 참조하십시오.
OVF 툴이 Linux 또는 Windows PC에 설치되어 있고 대상 ESXi 서버와 연결되어 있어야 합니다.

프로시저

단계 1	OVF 툴이 설치되어 있음을 확인합니다. 예: `linuxprompt# which ovftool`
단계 2	원하는 구축 옵션으로 .cmd 파일을 생성합니다. 예: `linuxprompt# cat launch.cmd ovftool \ --name="asav-941-demo" \ --powerOn \ --deploymentOption=4Core8GB \ --diskMode=thin \ --datastore=datastore1 \ --acceptAllEulas \ --net:Management0-0="Portgroup_Mgmt" \ --net:GigabitEthernet0-1="Portgroup_Inside" \ --net:GigabitEthernet0-0="Portgroup_Outside" \ --prop:HARole=Standalone \ asav-esxi.ovf \ vi://root@10.1.2.3/`
단계 3	cmd 파일을 실행합니다. 예: `linuxprompt# ./launch.cmd` ASA 가상이 켜집니다. 2번째 부팅될 때까지 기다립니다.
단계 4	ASA 가상에 SSH를 적용하여 필요한 컨피그레이션을 완료합니다. 추가 컨피그레이션이 필요할 경우 ASA 가상에 대한 VMware 콘솔을 열고 필요한 컨피그레이션을 적용합니다. 이제 ASA 가상이 정상적으로 작동합니다.

ASA 가상 콘솔 액세스

ASDM을 사용할 때 경우에 따라 문제 해결에 CLI를 사용해야 할 수 있습니다. 기본적으로 내장형 VMware vSphere 콘솔에 액세스할 수 있습니다. 또는 복사 및 붙여넣기를 포함하여 더 나은 기능을 갖춘 네트워크 직렬 콘솔을 구성할 수 있습니다.

VMware vSphere 콘솔 사용
네트워크 직렬 콘솔 포트 구성

참고	Day 0 컨피그레이션 파일을 사용하여 ASA 가상을 구축하는 경우, 컨피그레이션 파일에 콘솔 시리얼 설정을 포함하여 첫 부팅 시 가상 VGA 콘솔 대신 시리얼 포트를 사용할 수 있습니다. ASA 가상 소프트웨어 압축 풀기 및 Day 0 컨피그레이션 파일 생성을 참조하십시오.

VMware vSphere 콘솔 사용

초기 컨피그레이션 또는 문제 해결의 경우 VMware vSphere Web Client를 통해 제공된 가상 콘솔에서 CLI에 액세스합니다. 나중에 텔넷(Telnet) 또는 SSH에 대해 CLI 원격 액세스를 구성할 수 있습니다.

시작하기 전에

vSphere Web Client의 경우 ASA 가상 콘솔에 액세스하는 데 필요한 클라이언트 통합 플러그인을 설치합니다.

프로시저

단계 1

VMware vSphere Web Client의 인벤토리에서 ASA 가상 인스턴스를 마우스 오른쪽 버튼으로 클릭하고 Open Console(콘솔 열기)을 선택합니다. 또는 Summary(요약) 탭에서 Launch Console(콘솔 실행)을 클릭합니다.

단계 2

콘솔을 클릭하고 Enter 키를 누릅니다. 참고: 커서를 놓으려면 Ctrl+Alt 키를 누릅니다.

ASA 가상가 여전히 시작 중인 경우 부팅 메시지가 나타납니다.

ASA 가상는 처음 시작될 때 OVF 파일을 통해 제공된 매개변수를 읽어 ASA 가상 시스템 컨피그레이션에 추가합니다. 그런 다음 가동 및 실행될 때까지 자동으로 부팅을 다시 시작합니다. 이러한 이중 부팅은 ASA 가상를 처음 구축한 경우에만 발생합니다.

참고	라이센스를 설치할 때까지 예비 연결 테스트를 수행할 수 있도록 처리량이 100Kbps로 제한됩니다. 라이센스는 일반적인 운영에 필요합니다. 또한 라이센스를 설치할 때까지 콘솔에 다음 메시지가 반복적으로 표시됩니다. `Warning: ASAv platform license state is Unlicensed. Install ASAv platform license for full functionality.`

다음 프롬프트가 표시됩니다.

ciscoasa>

이 프롬프트는 현재 사용자 EXEC 모드에 있음을 의미합니다. 사용자 EXEC 모드에서는 기본 명령만 사용 가능합니다.

단계 3

특권 실행 모드에 액세스합니다.

예:

ciscoasa> enable

다음 프롬프트가 나타납니다.

Password:

단계 4

Enter 키를 눌러 계속합니다. 기본적으로 비밀번호는 비어 있습니다. 이전에 enable 비밀번호를 설정한 경우 Enter 키를 누르는 대신 enable을 입력합니다.

프롬프트가 다음과 같이 변경됩니다.

ciscoasa#

모든 비 컨피그레이션 명령은 특권 EXEC 모드에서 사용할 수 있습니다. 또한 특권 EXEC 모드에서 컨피그레이션 모드를 입력할 수도 있습니다.

특권 모드를 종료하려면 disable, exit 또는 quit 명령을 입력합니다.

단계 5

전역 컨피그레이션 모드에 액세스합니다.

ciscoasa# configure terminal

프롬프트가 다음으로 변경됩니다.

ciscoasa(config)#

전역 컨피그레이션 모드에서 ASA 가상 컨피그레이션을 시작할 수 있습니다. 전역 컨피그레이션 모드를 종료하려면 exit, quit 또는 end 명령을 입력합니다.

네트워크 직렬 콘솔 포트 구성

더 나은 콘솔 경험을 위해 콘솔에 액세스할 수 있는 네트워크 직렬 포트를 단독으로 구성하거나 vSPC(Virtual Serial Port Concentrator)에 연결하여 구성할 수 있습니다. 각 방법에 대한 자세한 내용은 VMware vSphere 설명서를 참조하십시오. ASA 가상에서 가상 콘솔 대신 직렬 포트로 콘솔 출력을 보내야 합니다. 이 절차에서는 직렬 포트 콘솔을 사용하는 방법에 대해 설명합니다.

프로시저

단계 1	VMware vSphere에서 네트워크 직렬 포트를 구성합니다. VMware vSphere 설명서를 참조하십시오.
단계 2	ASA 가상에서 disk0의 루트 디렉토리에 "use_ttyS0"이라는 파일을 만듭니다. 파일 내용은 없어도 됩니다. 이 위치에 파일이 있기만 하면 됩니다. disk0:/use_ttyS0 ASDM에서 Tools(도구) > File Management(파일 관리) 대화 상자를 사용하여 이 이름으로 빈 텍스트 파일을 업로드할 수 있습니다. vSphere 콘솔에서 파일 시스템에 있는 기존 파일(임의의 파일)을 새 이름으로 복사할 수 있습니다. 예를 들면 다음과 같습니다. `ciscoasa(config)# cd coredumpinfo ciscoasa(config)# copy coredump.cfg disk0:/use_ttyS0`
단계 3	ASA 가상를 다시 로드합니다. ASDM에서 Tools(도구) > System Reload(시스템 다시 로드)를 선택합니다. vSphere 콘솔에서 reload(다시 로드)를 입력합니다. ASA 가상에서 vSphere 콘솔로 보내는 것을 중지하고 대신 직렬 콘솔로 보냅니다.
단계 4	직렬 포트를 추가할 때 지정한 vSphere 호스트 IP 주소와 포트 번호로 텔넷 전송하거나, vSPC IP 주소 및 포트로 텔넷 전송합니다.

vCPU 또는 처리량 라이센스 업그레이드

ASA 가상에서는 처리량 라이센스를 사용합니다. 이는 사용 가능한 vCPU 수에 영향을 미칩니다.

ASA 가상에 대한 vCPU 수를 늘리거나 줄이려면 새 라이센스를 요청하고 이를 적용한 후 VMware에서 VM 속성을 새 값과 일치하도록 변경하면 됩니다.

참고	지정된 vCPU가 ASA 가상 가상 CPU 라이센스 또는 처리량 라이센스와 일치해야 합니다. RAM도 vCPU에 맞게 크기가 지정되어야 합니다. 업그레이드하거나 다운그레이드할 때 다음 절차에 따라 라이센스 및 vCPU를 즉시 조정하십시오. 영구적인 불일치가 있는 경우 ASA 가상가 제대로 작동하지 않습니다.

프로시저

단계 1	새 라이센스를 요청합니다.
단계 2	새 라이센스를 적용합니다. 장애 조치 쌍의 경우 두 유닛 모두에 새 라이센스를 적용합니다.
단계 3	페일오버 사용 여부에 따라 다음 중 하나를 수행합니다. 페일오버 - vSphere Web Client에서 스탠바이 ASA 가상의 전원을 끕니다. 예를 들어 ASA 가상을 클릭한 다음 Power Off the virtual machine(가상 머신 전원 끄기)을 클릭하거나, ASA 가상을 마우스 오른쪽 버튼으로 클릭하고 Shut Down Guest OS(게스트 OS 종료)를 선택합니다. 장애 조치를 사용하지 않는 경우 - vSphere Web Client에서 ASA 가상의 전원을 끕니다. 예를 들어 ASA 가상을 클릭한 다음 Power Off the virtual machine(가상 머신 전원 끄기)을 클릭하거나, ASA 가상을 마우스 오른쪽 버튼으로 클릭하고 Shut Down Guest OS(게스트 OS 종료)를 선택합니다.
단계 4	ASA 가상을 클릭한 다음 Edit Virtual machine settings(가상 머신 설정 수정)를 클릭하거나, ASA 가상을 마우스 오른쪽 버튼으로 클릭하고 Edit Settings(설정 수정)를 선택합니다. Edit Settings(설정 수정) 대화 상자가 나타납니다.
단계 5	ASA 가상에 대한 라이선싱의 CPU 및 메모리 요구 사항을 참조하여 새 vCPU 라이센스에 대한 올바른 값을 확인합니다.
단계 6	Virtual Hardware(가상 하드웨어) 탭의 CPU 드롭다운 목록에서 새 값을 선택합니다.
단계 7	Memory(메모리)에 RAM에 대한 새 값을 입력합니다.
단계 8	OK(확인)를 클릭합니다.
단계 9	ASA 가상의 전원을 켭니다. 예를 들어 Power On the Virtual Machine(가상 머신 전원 켜기)을 클릭합니다.
단계 10	장애 조치 쌍의 경우 다음을 수행합니다. 활성 유닛에 대한 콘솔을 열거나 활성 유닛에서 ASDM을 실행합니다. 대기 유닛의 시작이 완료되면 대기 유닛에 장애 조치를 수행합니다. ASDM: Monitoring(모니터링) > Properties(속성) > Failover(장애 조치) > Status(상태)를 선택하고Make Standby(대기로 전환)을 클릭합니다. CLI: failover active 활성 유닛에 대해 3~9단계를 반복합니다.

다음에 수행할 작업

자세한 내용은 ASA 가상에 대한 라이선싱를 참조하십시오.

VMware의 ASA 가상에 대한 성능 조정

ESXi 컨피그레이션의 성능 향상

ESXi 호스트 CPU 구성 설정을 조정하여 ESXi 환경에서 ASA 가상의 성능을 높일 수 있습니다. 선호도 예약 옵션을 사용하면 호스트의 물리적 코어(하이퍼스레딩이 활성화된 경우 하이퍼스레드도 포함) 전체에서 가상 머신 CPU가 분산되는 방식을 제어할 수 있습니다. 이 기능을 사용하면 각 가상 머신을 지정된 선호도 집합의 프로세서에 할당할 수 있습니다.

자세한 내용은 다음 VMware 문서를 참조하십시오.

vSphere 리소스 관리의 CPU 리소스 관리 장.
VMware vSphere에 대한 성능 모범 사례.
vSphere 클라이언트 온라인 도움말.

NUMA 지침

NUMA(Non-Uniform Memory Access)는 멀티프로세서 시스템의 프로세서와 관련한 기본 메모리 모듈의 배치를 설명하는 공유 메모리 아키텍처입니다. 프로세서가 자체 노드 내에 있지 않은 메모리(원격 메모리)에 액세스하는 경우, 데이터를 로컬 메모리에 액세스할 때보다 느린 속도로 NUMA 연결을 통해 전송해야 합니다.

x86 서버 아키텍처는 여러 소켓 및 단일 소켓 내의 여러 코어로 구성됩니다. 각 CPU 소켓과 소켓의 메모리 및 I/O를 NUMA 노드라고 합니다. 메모리에서 패킷을 효율적으로 읽으려면 게스트 애플리케이션 및 관련 주변 장치(예: NIC)가 동일한 노드 내에 있어야 합니다.

최적의 ASA 가상 성능을 얻으려면 다음 조건을 충족해야 합니다.

ASA 가상 머신은 단일 NUMA 노드에서 실행해야 합니다. 단일 ASA 가상이 소켓 2개에서 실행되도록 구축되면 성능이 크게 저하됩니다.
8코어 ASA 가상(8코어 NUMA 아키텍처 예시)을 사용하려면 호스트 CPU의 각 소켓에 최소 8개의 코어가 있어야 합니다. 서버에서 실행 중인 다른 VM도 고려해야 합니다.
16코어 ASA 가상(16코어 ASA 가상 NUMA 아키텍처 예시)을 사용하려면 호스트 CPU의 각 소켓에 최소 16개의 코어가 있어야 합니다. 서버에서 실행 중인 다른 VM도 고려해야 합니다.
NIC는 ASA 가상 머신과 동일한 NUMA 노드에 있어야 합니다.

다음 그림에서는 CPU 소켓 2개가 있으며 각 CPU에 코어 18개가 있는 서버를 확인할 수 있습니다. 8코어 ASA 가상을 사용하려면 호스트 CPU의 각 소켓에 최소 8개의 코어가 있어야 합니다.

다음 그림에서는 CPU 소켓 2개가 있으며 각 CPU에 코어 18개가 있는 서버를 확인할 수 있습니다. 16코어 ASA 가상을 사용하려면 호스트 CPU의 각 소켓에 최소 8개의 코어가 있어야 합니다.

NUMA 시스템을 ESXi와 함께 사용하는 자세한 방법은 헤당 VMware ESXi 버전의 VMware 문서 vSphere 리소스 관리에서 확인할 수 있습니다. 이 문서 및 기타 관련 문서의 최신 버전을 확인하려면 http://www.vmware.com/support/pubs를 참조하십시오.

RSS(Receive Side Scaling)를 위한 다중 RX 대기열

ASA 가상은 RSS(Receive Side Scaling)를 지원합니다. RSS는 네트워크 수신 트래픽을 여러 프로세서 코어에 병렬로 분산하기 위해 네트워크 어댑터에서 활용하는 기술입니다. 최대 처리량을 확보하려면 각 vCPU(코어)에 자체 NIC RX 대기열이 있어야 합니다. 일반적인 RA VPN 구축에서는 단일 내부/외부 인터페이스 쌍을 사용합니다.

중요사항

여러 RX 대기열을 사용하려면 ASA 가상 버전 9.13(1) 이상이 필요합니다.

내부/외부 인터페이스 쌍이 있는 8코어 VM의 경우, 각 인터페이스에는 8코어 ASA 가상 RSS RX 대기열에서처럼 RX 대기열 4개가 있습니다.

내부/외부 인터페이스 쌍이 있는 16코어 VM의 경우, 각 인터페이스에는 16코어 ASA 가상 RSS RX 대기열에서처럼 RX 대기열 8개가 있습니다.

다음 표에는 VMware용 ASA 가상의 vNIC 및 지원되는 RX 대기열 수가 나와 있습니다. 지원되는 vNIC에 대한 설명은 권장 vNIC를 참조하십시오.

표 3. VMware 권장 NIC/vNIC
NIC카드	vNIC 드라이버	드라이버 기술	RX 대기열 수	성능
x710*	i40e	PCI 패스스루	최대 8개	PCI 패스스루는 테스트한 NIC의 최고 성능을 제공합니다. 통과 모드에서 NIC는 ASA 가상 전용이며 Virtual에는 최적 선택지가 아닙니다.
x710*	i40evf	SR-IOV	4	x710 NIC를 사용하는 SR-IOV는 PCI 패스스루보다 처리량이 낮습니다(~30%). VMware의 i40evf는 i40evf당 최대 RX 대기열 수가 4개입니다. 16코어 VM에서 최대 처리량을 달성하려면 RX 대기열 8개가 필요합니다.
x520	ixgbe-vf	SR-IOV	2	—
x520	ixgbe	PCI 패스스루	6	(PCI 통과 모드의 경우) ixgbe 드라이버에는 RX 대기열 6개가 있습니다. 성능은 i40evf(SR-IOV)와 비슷한 수준입니다.
해당 없음	vmxnet3	반가상화	최대 8개	ASAv100에는 권장되지 않습니다.
해당 없음	e1000	VMware에서는 권장하지 않습니다.
*ASA 가상은 x710 NIC용 1.9.5 i40en 호스트 드라이버와 호환되지 않습니다. 이전 또는 최신 드라이버 버전을 사용해야 합니다. NIC 드라이버 및 펌웨어 버전을 식별하거나 확인하는 ESXCLI 명령에 관한 정보는 NIC 드라이버 및 펌웨어 버전 식별를 참고하십시오.

NIC 드라이버 및 펌웨어 버전 식별

특정 펌웨어 및 드라이버 버전 정보를 식별하거나 확인해야 하는 경우 ESXCLI 명령을 사용하여 데이터를 찾을 수 있습니다.

설치된 NIC 목록을 가져오려면 SSH를 통해 해당 호스트에 연결하고 esxcli network nic list 명령을 실행합니다. 이 명령은 디바이스 및 일반 정보 레코드를 제공합니다.
설치된 NIC 목록이 있으면 자세한 컨피그레이션 정보를 가져올 수 있습니다. esxcli network nic get 명령을 실행하여 필요한 NIC의 이름인 esxcli network nic get –n <nic name>을 지정합니다.

참고	일반 네트워크 어댑터 정보는 VMware vSphere 클라이언트에서도 확인할 수 있습니다. 어댑터와 드라이버는 Configure(구성) 탭의 Physical Adapters(물리적 어댑터)에서 확인할 수 있습니다.

SR-IOV 인터페이스 프로비저닝

SR-IOV를 사용하면 여러 VM이 호스트 내에서 단일 PCIe 네트워크 어댑터를 공유할 수 있습니다. SR-IOV는 다음 기능을 정의합니다.

PF(물리적 기능) - PF는 SR-IOV 기능을 포함하는 전체 PCIe 기능입니다. 이러한 기능은 호스트 서버에서 일반 고정 NIC로 표시됩니다.
VF(가상 기능) - VF는 데이터 전송을 지원하는 경량 PCIe 기능입니다. VF는 PF에서 파생되어 관리됩니다.

VF는 가상화된 운영 체제 프레임워크 내에서 ASA 가상 머신에 최대 10Gbps의 연결을 제공할 수 있습니다. 이 섹션에서는 KVM 환경에서 VF를 구성하는 방법을 설명합니다. ASA 가상에서의 SR-IOV 지원은 ASA 가상 및 SR-IOV 인터페이스 프로비저닝에서 설명합니다.

지침 및 제한 사항

SR-IOV 인터페이스에 대한 지침

VMware vSphere 5.1 이상 릴리스는 특정 구성의 환경에서만 SR-IOV를 지원합니다. SR-IOV가 활성화된 경우 vSphere의 일부 기능이 작동하지 않습니다.

SR-IOV 인터페이스에 대한 지침 및 제한 사항에서 설명하는 ASA 가상 및 SR-IOV에 대한 시스템 요구 사항에 더해, VMware 문서의 SR-IOV 사용을 위해 지원되는 구성도 검토하여 요구 사항, 지원되는 NIC, 기능 작동 여부, VMware 및 SR-IOV를 위한 업그레이드 요구 사항에 대한 자세한 정보를 확인해야 합니다.

이 섹션에서는 VMware 시스템에서 SR-IOV 인터페이스를 프로비저닝 하는 다양한 설정 및 구성 단계를 설명합니다. 이 섹션의 정보는 VMware ESXi 6.0 및 vSphere 웹 클라이언트, Cisco UCS C 시리즈 서버 및 Intel Ethernet 서버 어댑터 X520-DA2를 사용한 특정 랩 환경의 디바이스에서 생성되었습니다.

SR-IOV 인터페이스에 대한 제한 사항

ASA 가상가 부팅될 때 SR-IOV 인터페이스가 ESXi에서 표시되는 순서의 역순으로 표시될 수 있다는 점에 유의하십시오. 이로 인해 인터페이스 구성 오류가 발생하여 특정 ASA 가상 머신에 대한 네트워크 연결이 부족할 수 있습니다.

경고	ASA 가상에서 SR-IOV 네트워크 인터페이스 구성을 시작하기 전에 인터페이스 매핑을 확인하는 것이 중요합니다. 이렇게 하면 네트워크 인터페이스 구성이 VM 호스트의 올바른 물리적 MAC 주소 인터페이스에 적용됩니다.

ASA 가상이 부팅되면 인터페이스에 매핑되는 MAC 주소를 확인할 수 있습니다. 인터페이스에 대한 MAC 주소를 포함해 자세한 인터페이스 정보를 확인하려면 show interface 명령을 사용합니다. MAC 주소를 show kernel ifconfig 명령의 결과와 비교해 올바른 인터페이스 할당을 확인합니다.

ESXi Host BIOS 확인

VMware에서 SR-IOV 인터페이스를 사용해 ASA 가상을 구축하려면 가상화를 지원하고 활성화해야 합니다. VMware는 SR-IOV 지원을 위한 온라인 호환성 가이드 및 가상화 활성화 여부를 탐지할 수 있는 CPU 식별 유틸리티의 다운로드 등 가상화 지원을 확인하는 몇 가지 방법을 제공합니다.

ESXi 호스트에 로그인하여 BIOS에서 가상화가 활성화되었는지 여부를 확인할 수도 있습니다.

프로시저

단계 1

다음 방법 중 하나를 사용해 ESXi 셸에 로그인합니다.

호스트에 직접 액세스하는 경우 Alt + F2를 눌러 시스템의 물리적 콘솔에서 로그인 페이지를 엽니다.
호스트에 원격으로 연결하는 경우에는 SSH나 다른 원격 콘솔 연결을 사용해 호스트에서 세션을 시작합니다.

단계 2

호스트에서 인식하는 사용자 이름 및 비밀번호를 입력합니다.

단계 3

다음 명령을 실행합니다.

예:

esxcfg-info|grep "\----\HV Support"

HV Support 명령의 출력은 사용 가능한 하이퍼바이저 지원 유형을 나타냅니다. 다음은 가능한 값에 대한 설명입니다.

0 - VT/AMD-V는 이 하드웨어에 대한 지원이 제공되지 않음을 나타냅니다.

1 - VT/AMD-V는 VT 또는 AMD-V를 사용할 수 있지만, 이 하드웨어에서는 지원되지 않음을 나타냅니다.

2 - VT/AMD-V는 VT 또는 AMD-V를 사용할 수 있지만 현재 BIOS에서 활성화되어 있지 않음을 나타냅니다.

3 - VT/AMD-V는 BIOS에서 VT 또는 AMD-V가 활성화되어 있으며 이를 사용할 수 있음을 나타냅니다.

예:

~ # esxcfg-info|grep "\----\HV Support"
         |----HV Support...........................3

값 3은 가상화가 지원되고 활성화되었음을 나타냅니다.

다음에 수행할 작업

호스트의 물리 어댑터에서 SR-IOV를 활성화합니다.

호스트 물리적 어댑터에서 SR-IOV 활성화

vSphere 웹 클라이언트를 사용해 SR-IOV를 활성화하고 호스트에서 가상 기능 수를 설정합니다. 이 작업을 하기 전에는 가상 머신을 가상 기능에 연결할 수 없습니다.

시작하기 전에

SR-IOV 호환 NIC(네트워크 인터페이스 카드)가 설치되어 있는지 확인합니다. 지원되는 SR-IOV용 NIC를 참조하십시오.

프로시저

단계 1

vSphere 웹 클라이언트에서 SR-IOV를 활성화하려는 ESXi 호스트로 이동합니다.

단계 2

Manage(관리) 탭에서 Networking(네트워킹)을 클릭하고 Physical adapters(물리 어댑터)를 선택합니다.

SR-IOV 속성을 확인하여 물리 어댑터의 SR-IOV 지원 여부를 확인할 수 있습니다.

단계 3

물리 어댑터를 선택하고 Edit adapter settings(어댑터 설정 수정)를 클릭합니다.

단계 4

SR-IOV의 Status(상태) 드롭다운 메뉴에서 Enabled(활성화됨)를 선택합니다.

단계 5

Numer of virtual functions(가상 기능 수) 텍스트 상자에 어댑터에서 구성할 가상 기능 수를 입력합니다.

참고	ASAv50의 경우 인터페이스당 1개 이상의 VF를 사용하지 않는 것을 권장합니다. 물리 인터페이스를 여러 가상 기능과 공유하는 경우 성능 저하가 발생할 가능성이 높습니다.

단계 6

OK(확인)를 클릭합니다.

단계 7

ESXi 호스트를 재시작합니다.

물리 어댑터 항목으로 표시되는 NIC 포트에서 가상 기능이 활성화됩니다. 이는 호스트의 Settings(설정) 탭 내 PCI 디바이스 목록에 표시됩니다.

다음에 수행할 작업

표준 vSwitch를 생성하여 SR-IOV 기능 및 구성을 관리합니다.

vSphere 스위치 생성

vSphere 스위치를 생성하여 SR-IOV 인터페이스를 관리 합니다.

프로시저

단계 1	vSphere 웹 클라이언트에서 ESXi 호스트로 이동합니다.
단계 2	Manage(관리)에서 Networking(네트워킹), Virtual switches(가상 스위치)를 선택합니다.
단계 3	더하기(+) 기호가 있는 초록색 지구본 아이콘인 Add host networking(호스트 네트워킹 추가) 아이콘을 클릭합니다.
단계 4	표준 스위치용 가상 머신 포트 그룹 연결 유형을 선택하고 Next(다음)를 클릭합니다.
단계 5	새 표준 스위치를 선택하고 Next(다음)를 클릭합니다.
단계 6	새 표준 스위치에 물리 네트워크 어댑터를 추가합니다. 할당된 어댑터에서 녹색 더하기(+) 기호를 클릭하여 어댑터를 추가합니다. 목록에서 SR-IOV에 해당하는 네트워크 인터페이스를 선택합니다. 예를 들면 Intel(R) 82599 10 Gigabit 듀얼 포트 네트워크 연결입니다. Failover order Group(페일오버 순서 그룹) 드롭다운 메뉴에서 활성 어댑터를 선택합니다. OK(확인)를 클릭합니다.
단계 7	SR-IOV vSwitch에 대한 네트워크 레이블을 입력하고 Next(다음)를 클릭합니다.
단계 8	완료 대기 페이지에서 선택한 항목을 검토한 다음 Finish(마침)를 클릭합니다.

다음에 수행할 작업

가상 머신의 호환성 수준을 검토합니다.

가상 머신 호환성 수준 업그레이드

호환성 수준은 호스트 머신에서 사용 가능한 물리 하드웨어에 해당하는 가상 머신에서 사용할 수 있는 가상 하드웨어를 결정합니다. ASA 가상 머신은 하드웨어 수준이 10 이상이어야 합니다. 이렇게 하면 ASA 가상에서 SR-IOV 통과 기능을 제공합니다. 이 절차에서는 ASA 가상을 지원되는 최신 가상 하드웨어 버전으로 즉시 업그레이드합니다.

가상 머신 하드웨어 버전 및 호환성에 대한 자세한 내용은 vSphere 가상 머신 관리 설명서를 참조하십시오.

프로시저

단계 1	vSphere 웹 클라이언트에서 vCenter 서버에 로그인합니다.
단계 2	수정할 ASA 가상 머신을 찾습니다. 데이터 센터, 폴더, 클러스터, 리소스 풀 또는 호스트를 선택하고 관련 개체 탭을 클릭합니다. Virtual Machines(가상 머신)를 클릭하고 목록에서 ASA 가상 머신을 선택합니다.
단계 3	선택한 가상 머신의 전원을 끕니다.
단계 4	ASA 가상을 마우스 오른쪽 버튼으로 클릭하고 Actions(작업) > All vCenter Actions(모든 vCenter 작업) > Compatibility(호환성) > Upgrade VM Compatibility(VM 호환성 업그레이드)을 선택합니다.
단계 5	Yes(예)를 클릭하여 업그레이드를 확인합니다.
단계 6	가상 머신 호환성을 위해 ESXi 5.5 이상 옵션을 선택합니다.
단계 7	(선택 사항) 일반 게스트 OS 종료가 완료된 후 업그레이드를 선택합니다. 선택한 가상 머신이 선택한 호환성 설정에 해당하는 하드웨어 버전으로 업그레이드되고, 가상 머신의 Summary(요약) 탭에 새 하드웨어 버전이 업데이트됩니다.

다음에 수행할 작업

ASA 가상을 SR-IOV 통과 네트워크 어댑터를 통해 가상 기능과 연결합니다.

ASA 가상에 SR-IOV NIC 할당

ASA 가상 머신 및 물리 NIC가 데이터를 교환할 수 있도록 하려면, SR-IOV 통과 네트워크 어댑터로 ASA 가상을(를) 하나 이상의 가상 기능과 연결해야 합니다. 다음 절차에서는 vSphere 웹 클라이언트를 사용해 ASA 가상 머신에 SR-IOV NIC를 할당하는 방법을 설명합니다.

프로시저

단계 1	vSphere 웹 클라이언트에서 vCenter 서버에 로그인합니다.
단계 2	수정할 ASA 가상 머신을 찾습니다. 데이터 센터, 폴더, 클러스터, 리소스 풀 또는 호스트를 선택하고 관련 개체 탭을 클릭합니다. Virtual Machines(가상 머신)를 클릭하고 목록에서 ASA 가상 머신을 선택합니다.
단계 3	가상 머신의 Manager(관리) 탭에서 Settings(설정) > VM Hardware(VM 하드웨어)를 선택합니다.
단계 4	Edit(수정)을 클릭하고 Virtual Hardware(가상 하드웨어) 탭을 선택합니다.
단계 5	New device(새 디바이스) 드롭다운 메뉴에서 Network(네트워크)를 선택하고 Add(추가)를 클릭합니다. New Network(새 네트워크) 인터페이스가 표시됩니다.
단계 6	New Network(새 네트워크) 섹션을 확장하고 사용 가능한 SRIOV 옵션을 선택합니다.
단계 7	Adapter Type (어댑터 유형) 드롭다운 메뉴에서 SR-IOV passthrough(SR-IOV 통과)를 선택 합니다.
단계 8	Physical Function(물리적 기능) 드롭다운 메뉴에서 통과 가상 머신 어댑터에 해당하는 물리 어댑터를 선택합니다.
단계 9	가상 머신을 켭니다.

가상 머신의 전원을 켤 때 ESXi 호스트는 물리 어댑터에서 무료 가상 기능을 선택하고, 이를 SR-IOV 통과 어댑터에 매핑합니다. 호스트는 가상 머신 어댑터의 모든 속성 및 기본 가상 기능을 검증합니다.

Cisco Secure Firewall ASA Virtual 시작 가이드, 9.18

편견 없는 언어

번역에 관하여

결과

장: Deploy the ASA 가상 Using VMware

VMware를 사용하여 ASA 가상 구축

VMware의 ASA 가상 지침 및 제한 사항

VMware ESXi의 ASA 가상 시스템 요구 사항

권장 vNIC

성능 최적화

클러스터링

OVF 파일 지침

고가용성을 위한 페일오버 지침

vMotion 지침

처리량 및 라이선싱을 위한 메모리 및 vCPU 할당

CPU 예약

투명 모드의 UCS B 및 시리즈 하드웨어 지침

추가 지침 및 제한

VMware 기능 지원 - ASA 가상

ASA 가상 및 VMware 사전 요건

vSphere 표준 스위치에 대한 보안 정책

ASA 가상 소프트웨어 압축 풀기 및 Day 0 컨피그레이션 파일 생성

시작하기 전에

프로시저

예:

예:

예:

예:

예:

VMware vSphere Web Client를 사용하여 ASA 가상 구축

vSphere Web Client에 액세스하여 클라이언트 통합 플러그인 설치

프로시저

VMware vSphere Web Client를 사용하여 ASA 가상 구축

시작하기 전에

프로시저

다음에 수행할 작업

VMware vSphere 독립형 클라이언트 및 Day 0 컨피그레이션을 사용하여 ASA 가상 구축

시작하기 전에

프로시저

OVF 툴과 Day 0 컨피그레이션을 사용하여 ASA 가상 구축

시작하기 전에

프로시저

예:

예:

예:

ASA 가상 콘솔 액세스

VMware vSphere 콘솔 사용

시작하기 전에

프로시저

예:

네트워크 직렬 콘솔 포트 구성

프로시저

vCPU 또는 처리량 라이센스 업그레이드

프로시저

다음에 수행할 작업

VMware의 ASA 가상에 대한 성능 조정

ESXi 컨피그레이션의 성능 향상

NUMA 지침

RSS(Receive Side Scaling)를 위한 다중 RX 대기열

NIC 드라이버 및 펌웨어 버전 식별

SR-IOV 인터페이스 프로비저닝

지침 및 제한 사항

SR-IOV 인터페이스에 대한 지침

SR-IOV 인터페이스에 대한 제한 사항

ESXi Host BIOS 확인

프로시저

예:

예:

다음에 수행할 작업

호스트 물리적 어댑터에서 SR-IOV 활성화

시작하기 전에

프로시저

다음에 수행할 작업

vSphere 스위치 생성

프로시저

다음에 수행할 작업

가상 머신 호환성 수준 업그레이드

프로시저

다음에 수행할 작업

ASA 가상에 SR-IOV NIC 할당