Cisco ISA 3000 하드웨어 설치 가이드

Cisco ISA 3000 하드웨어설치가이드 2015 년 11 월 Americas Headquarters Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 USA http://www.cisco.com 전화 : 408 526-4000 800 553-NETS (6387) 팩스 : 408 527-0883 텍스트파트번호 :

이설명서의제품사양및정보는예고없이변경될수있습니다. 이설명서의모든설명, 정보및권장사항은정확한것으로간주되지만이에대해명시적이든묵시적이든어떠한보증도없이제공됩니다. 모든제품의애플리케이션사용에대한책임은전적으로사용자에게있습니다. 동봉된제품의소프트웨어라이센스및제한보증은제품과함께제공되는정보패킷에설명되어있으며본참조문서에통합되어있습니다. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR CISCO REPRESENTATIVE FOR A COPY. 다음정보는클래스 A 디바이스의 FCC 준수관련정보입니다. 이장비에대해테스트를수행했으며 FCC 규칙 Part 15 에따른클래스 A 디지털디바이스의제한을준수하는것으로확인되었습니다. 이러한제한은장비를상업환경에서작동하는경우유해한간섭을적절하게차단할수있도록설계되었습니다. 이장비는무선주파수를생성, 사용및방사할수있으며지침매뉴얼에따라설치및사용하지않는경우무선통신에유해한간섭을생성할수있습니다. 가정에서이장비를작동하는경우유해한간섭이발생할가능성이높으며, 이러한경우사용자는간섭을직접수정해야합니다. 다음정보는클래스 B 디바이스의 FCC 준수관련정보입니다. 이장비에대해테스트를수행했으며 FCC 규칙 Part 15 에따른클래스 B 디지털디바이스의제한을준수하는것으로확인되었습니다. 이러한제한은장비를가정에설치하는경우유해한간섭을적절하게차단할수있도록설계되었습니다. 이장비는무선주파수에너지를생성, 사용및방사할수있으며지침에따라설치및사용하지않는경우무선통신에유해한간섭을생성할수있습니다. 그러나특정설치에서간섭이발생하지않는다는보장은없습니다. 이장비가라디오또는 TV 수신을간섭하는경우 ( 장비를껐다켜보면확인가능 ) 사용자는다음방법중한가지이상의방법을통해간섭을수정해야합니다. 수신안테나의방향을바꾸거나안테나를다른곳에배치합니다. 장비와수신기사이의간격을넓힙니다. 수신기가연결된회로와다른회로의콘센트에장비를연결합니다. 구매처또는전문라디오 /TV 기사에게지원을요청합니다. Cisco 에서승인하지않은방식으로이제품을수정하면 FCC 승인이무효화되고제품작동권한을상실할수있습니다. The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB s public domain version of the UNIX operating system. All rights reserved. Copyright 1981, Regents of the University of California. NOTWITHSTANDING ANY OTHER WARRANTY HEREIN, ALL DOCUMENT FILES AND SOFTWARE OF THESE SUPPLIERS ARE PROVIDED "AS IS" WITH ALL FAULTS. CISCO AND THE ABOVE-NAMED SUPPLIERS DISCLAIM ALL WARRANTIES, EXPRESSED OR IMPLIED, INCLUDING, WITHOUT LIMITATION, THOSE OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OR ARISING FROM A COURSE OF DEALING, USAGE, OR TRADE PRACTICE. IN NO EVENT SHALL CISCO OR ITS SUPPLIERS BE LIABLE FOR ANY INDIRECT, SPECIAL, CONSEQUENTIAL, OR INCIDENTAL DAMAGES, INCLUDING, WITHOUT LIMITATION, LOST PROFITS OR LOSS OR DAMAGE TO DATA ARISING OUT OF THE USE OR INABILITY TO USE THIS MANUAL, EVEN IF CISCO OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental. Cisco ISA 3000 하드웨어설치가이드 2015 Cisco Systems, Inc. All rights reserved.

목차 1 장제품개요 1-1 일반설명 1-1 LED 1-4 메모리및스토리지 1-5 USB 포트 1-5 관리이더넷포트 1-5 콘솔포트 1-5 SKU 정보 1-6 하드웨어기능 1-6 Cisco ISA 3000 에대한플랫폼기능 1-6 재설정버튼 1-7 전원공급장치 1-7 2 장 Cisco ISA 3000 Industrial Security Appliance 설치 2-1 장비, 도구및연결 2-2 Cisco ISA 3000 과함께배송되는항목 2-2 추가항목 2-2 이더넷디바이스 2-2 Cisco ISA 3000 설치 2-3 DIN 레일설치 2-3 DIN 레일에서디바이스제거 2-4 랙에 ISA 3000 장착 2-5 Cisco ISA 3000 접지연결설치 2-5 3 장 ISA 3000 연결 3-1 Cisco ISA 3000 연결준비 3-1 Cisco ISA 3000 손상방지 3-1 컨피그레이션을위해 ISA 3000에 PC 연결 3-1 DC 전원에연결 3-3 연결확인 3-7 4 장초기컨피그레이션 4-1 공장기본컨피그레이션 4-1 포트정보 4-1 1

목차 ASA 기본컨피그레이션 4-2 CLI 의공장기본컨피그레이션 4-4 MIB 정보 4-7 컨피그레이션을위해디바이스에연결 4-7 배선절차 4-7 ISA3000 전원켜기 4-8 ASDM 구동 4-9 다른 ASDM 마법사및고급컨피그레이션실행 4-14 ASA Firepower 모듈구성 4-14 다음단계 4-15 초기컨피그레이션확인 4-15 5 장하드웨어바이패스모드 5-1 하드웨어바이패스시나리오 5-1 하드웨어바이패스및방화벽모드호환성 5-2 포트바이패스 LED 5-3 이벤트메시지 5-3 CLI 인터페이스명령 5-3 6 장기술사양 6-1 디바이스사양 6-1 2

Cisco ISA 3000 Industrial Security Appliance 하드웨어설치가이드 이서론에서는이가이드의목표, 대상, 조직및표기규칙과추가정보가있는관련문서에대해설명합니다. 다음섹션이포함되어있습니다. 목표, 1 페이지 대상, 1 페이지 조직, 2 페이지 표기규칙, 2 페이지 안전경고, 2 페이지 관련설명서, 8 페이지 Cisco 설명서검색, 9 페이지 설명서받기및서비스요청제출, 9 페이지 목표 이가이드에서는개요를제공하고 Cisco ISA 3000 Industrial Security Appliance 를설치및연결하고초기컨피그레이션을수행하는방법에대해설명합니다. 대상 이가이드는 Cisco 소프트웨어를사용한경험이없지만높은수준의기술력을보유한사용자를대상으로합니다. 1

조직 이가이드는다음장으로구성되어있습니다. 장이름설명 1장 1장, " 제품개요 " 보안어플라이언스모델및사용가능한하드 웨어기능에대해설명합니다. 2 장 2 장, "Cisco ISA 3000 Industrial Security Appliance 설치 " 보안어플라이언스와함께배송되는항목, 보안어플라이언스를설치하는데필요한툴, 안전경고및지침, 보안어플라이언스를설치하는절차를나열합니다. 3장 3장, "ISA 3000 연결 " 보안어플라이언스에대한일반연결, 보안어플라이언스를다양한디바이스에연결하는절차및연결을확인하는방법에대해설명합니다. 4장 4장, " 초기컨피그레이션 " 처음에보안어플라이언스설정을구성하는 절차를제공합니다. 5장 5장, " 하드웨어바이패스모드 " 하드웨어바이패스모드의기능에대한세부정보를제공합니다. 6장 6장, " 기술사양 " 보안어플라이언스, 포트및배선사양을제공합니다. 표기규칙 이섹션에서는이가이드에서사용되는표기규칙에대해설명합니다. 참고 독자가주목해야하는내용을의미합니다. 유용한제안이나추가정보및자료에대한참조가포함되어있습니다. 주의 이기호는독자가유의해야하는내용임을의미합니다. 장비손상이나데이터손실이발생할수있으므로주의해야한다는내용이포함됩니다. 정보 다음정보가문제를해결하는데도움이된다는것을의미합니다. 팁정보가트러블슈팅또는조치가될수는없지만유용한정보가될수있습니다. 안전경고 주의 이제품을위험한위치에설치할경우이패키지에포함된시작하기 / 인쇄된규정준수문서를읽으십시오. 2

Warning IMPORTANT SAFETY INSTRUCTIONS This warning symbol means danger. You are in a situation that could cause bodily injury. Before you work on any equipment, be aware of the hazards involved with electrical circuitry and be familiar with standard practices for preventing accidents. Use the statement number provided at the end of each warning to locate its translation in the translated safety warnings that accompanied this device. Statement 1071 SAVE THESE INSTRUCTIONS Waarschuwing BELANGRIJKE VEILIGHEIDSINSTRUCTIES Dit waarschuwingssymbool betekent gevaar. U verkeert in een situatie die lichamelijk letsel kan veroorzaken. Voordat u aan enige apparatuur gaat werken, dient u zich bewust te zijn van de bij elektrische schakelingen betrokken risico's en dient u op de hoogte te zijn van de standaard praktijken om ongelukken te voorkomen. Gebruik het nummer van de verklaring onderaan de waarschuwing als u een vertaling van de waarschuwing die bij het apparaat wordt geleverd, wilt raadplegen. BEWAAR DEZE INSTRUCTIES Varoitus TÄRKEITÄ TURVALLISUUSOHJEITA Tämä varoitusmerkki merkitsee vaaraa. Tilanne voi aiheuttaa ruumiillisia vammoja. Ennen kuin käsittelet laitteistoa, huomioi sähköpiirien käsittelemiseen liittyvät riskit ja tutustu onnettomuuksien yleisiin ehkäisytapoihin. Turvallisuusvaroitusten käännökset löytyvät laitteen mukana toimitettujen käännettyjen turvallisuusvaroitusten joukosta varoitusten lopussa näkyvien lausuntonumeroiden avulla. SÄILYTÄ NÄMÄ OHJEET Attention IMPORTANTES INFORMATIONS DE SÉCURITÉ Ce symbole d'avertissement indique un danger. Vous vous trouvez dans une situation pouvant entraîner des blessures ou des dommages corporels. Avant de travailler sur un équipement, soyez conscient des dangers liés aux circuits électriques et familiarisez-vous avec les procédures couramment utilisées pour éviter les accidents. Pour prendre connaissance des traductions des avertissements figurant dans les consignes de sécurité traduites qui accompagnent cet appareil, référez-vous au numéro de l'instruction situé à la fin de chaque avertissement. CONSERVEZ CES INFORMATIONS 3

Warnung WICHTIGE SICHERHEITSHINWEISE Dieses Warnsymbol bedeutet Gefahr. Sie befinden sich in einer Situation, die zu Verletzungen führen kann. Machen Sie sich vor der Arbeit mit Geräten mit den Gefahren elektrischer Schaltungen und den üblichen Verfahren zur Vorbeugung vor Unfällen vertraut. Suchen Sie mit der am Ende jeder Warnung angegebenen Anweisungsnummer nach der jeweiligen Übersetzung in den übersetzten Sicherheitshinweisen, die zusammen mit diesem Gerät ausgeliefert wurden. BEWAHREN SIE DIESE HINWEISE GUT AUF. Avvertenza IMPORTANTI ISTRUZIONI SULLA SICUREZZA Questo simbolo di avvertenza indica un pericolo. La situazione potrebbe causare infortuni alle persone. Prima di intervenire su qualsiasi apparecchiatura, occorre essere al corrente dei pericoli relativi ai circuiti elettrici e conoscere le procedure standard per la prevenzione di incidenti. Utilizzare il numero di istruzione presente alla fine di ciascuna avvertenza per individuare le traduzioni delle avvertenze riportate in questo documento. CONSERVARE QUESTE ISTRUZIONI Advarsel VIKTIGE SIKKERHETSINSTRUKSJONER Dette advarselssymbolet betyr fare. Du er i en situasjon som kan føre til skade på person. Før du begynner å arbeide med noe av utstyret, må du være oppmerksom på farene forbundet med elektriske kretser, og kjenne til standardprosedyrer for å forhindre ulykker. Bruk nummeret i slutten av hver advarsel for å finne oversettelsen i de oversatte sikkerhetsadvarslene som fulgte med denne enheten. TA VARE PÅ DISSE INSTRUKSJONENE Aviso INSTRUÇÕES IMPORTANTES DE SEGURANÇA Este símbolo de aviso significa perigo. Você está em uma situação que poderá ser causadora de lesões corporais. Antes de iniciar a utilização de qualquer equipamento, tenha conhecimento dos perigos envolvidos no manuseio de circuitos elétricos e familiarize-se com as práticas habituais de prevenção de acidentes. Utilize o número da instrução fornecido ao final de cada aviso para localizar sua tradução nos avisos de segurança traduzidos que acompanham este dispositivo. GUARDE ESTAS INSTRUÇÕES Advertencia! INSTRUCCIONES IMPORTANTES DE SEGURIDAD Este símbolo de aviso indica peligro. Existe riesgo para su integridad física. Antes de manipular cualquier equipo, considere los riesgos de la corriente eléctrica y familiarícese con los procedimientos estándar de prevención de accidentes. Al final de cada advertencia encontrará el número que le ayudará a encontrar el texto traducido en el apartado de traducciones que acompaña a este dispositivo. GUARDE ESTAS INSTRUCCIONES 4

Varning! VIKTIGA SÄKERHETSANVISNINGAR Denna varningssignal signalerar fara. Du befinner dig i en situation som kan leda till personskada. Innan du utför arbete på någon utrustning måste du vara medveten om farorna med elkretsar och känna till vanliga förfaranden för att förebygga olyckor. Använd det nummer som finns i slutet av varje varning för att hitta dess översättning i de översatta säkerhetsvarningar som medföljer denna anordning. SPARA DESSA ANVISNINGAR 5

Aviso INSTRUÇÕES IMPORTANTES DE SEGURANÇA Este símbolo de aviso significa perigo. Você se encontra em uma situação em que há risco de lesões corporais. Antes de trabalhar com qualquer equipamento, esteja ciente dos riscos que envolvem os circuitos elétricos e familiarize-se com as práticas padrão de prevenção de acidentes. Use o número da declaração fornecido ao final de cada aviso para localizar sua tradução nos avisos de segurança traduzidos que acompanham o dispositivo. GUARDE ESTAS INSTRUÇÕES Advarsel VIGTIGE SIKKERHEDSANVISNINGER Dette advarselssymbol betyder fare. Du befinder dig i en situation med risiko for legemesbeskadigelse. Før du begynder arbejde på udstyr, skal du være opmærksom på de involverede risici, der er ved elektriske kredsløb, og du skal sætte dig ind i standardprocedurer til undgåelse af ulykker. Brug erklæringsnummeret efter hver advarsel for at finde oversættelsen i de oversatte advarsler, der fulgte med denne enhed. GEM DISSE ANVISNINGER 6

7

경고뜨거운표면. 명령문 1079 관련설명서 ISA 3000 제품페이지 http://www.cisco.com/c/en/us/support/security/industrial-security-appliance-3000/model.html ASA 및 ASDM 설명서 http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html http://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/asaroadmap.html CSM 설명서 http://www.cisco.com/c/en/us/support/security/security-manager/products-documentationroadmaps-list.html FireSIGHT 설명서 http://www.cisco.com/c/en/us/td/docs/security/firesight/roadmap/firesight-roadmap.html Cisco.com: www.cisco.com 8

보증정보 : www.cisco-warrantyfinder.com Cisco 제한보증, 보증면책사항, EULA (End User License Agreement) 및미국연방통신위원회공지사항으로구성된 Cisco 정보패킷 : www.cisco.com/en/us/docs/general/warranty/english/sl3den.html Cisco Marketplace: www.cisco.com/pcgi-bin/marketplace/welcome.pl Cisco 제품설명서 : www.cisco.com/go/techdocs Cisco 지원 : www.cisco.com/cisco/web/support/index.html Cisco 설명서검색 웹브라우저를사용하여 HTML 문서를검색하려면 Ctrl-F(Windows) 또는 Cmd-F(Apple) 를누릅니다. 대부분의브라우저에는전체단어만검색하거나, 대소문자구분을호출하거나, 앞으로 / 뒤로검색하는옵션도사용가능합니다. Adobe Reader 에서 PDF 문서를검색하려면기본찾기툴바 (Ctrl-F) 또는전체 Reader 검색창 (Shift-Ctrl-F) 을사용합니다. 특정문서내에서단어또는구문을찾으려면찾기툴바를사용합니다. 여러 PDF 파일을동시에검색하고대소문자구분및기타옵션을변경하려면전체 Reader 검색창을사용합니다. Adobe Reader 의온라인도움말에는 PDF 문서를검색하는방법에대한자세한내용이있습니다. 설명서받기및서비스요청제출 설명서를얻고서비스요청을제출하고추가정보를수집하는것에대한자세한내용은매월발행되는 Cisco 제품설명서의새로운내용을참조하십시오. 새로제작되었거나수정된모든 Cisco 기술설명서를소개하는이문서의주소는다음과같습니다. http://www.cisco.com/en/us/docs/general/whatsnew/whatsnew.html RSS(Really Simple Syndicatio) 피드형태로제공되는새로운 Cisco 제품설명서정보를구독하고, 리더애플리케이션을사용하여자신의데스크톱에서직접콘텐츠를제공받을수있습니다. RSS 피드는무료서비스이며, 현재 Cisco 는 RSS 버전 2.0 을지원합니다. 9

10

1 장 제품개요 이장에서는 Cisco ISA 3000에사용가능한기능의개요를제공하고다음섹션을포함합니다. 일반설명, 1-1페이지 SKU 정보, 1-6페이지 하드웨어기능, 1-6페이지 일반설명 Cisco ISA 3000 은 DIN 레일에장착되며내구성이강화된산업용보안어플라이언스로방화벽, 위협차단및 VPN 서비스를제공합니다. DIN 레일이라는용어는장비랙내부에차단기및산업용제어장비를장착하는데널리사용되는표준유형의금속레일을나타냅니다. 이용어는독일의 DIN(Deutsches Institut für Normung) 에서발표한원래사양에서유래되었습니다. Cisco ISA 3000 은전력소비가적고팬이없으며기가비트이더넷과전용관리포트를사용합니다. SKU 는 2 개입니다. ISA3000-4C-K9 - 관리포트를사용하는 4 개의 10/100/1000Base-T 가포함된 UTP SKU ISA3000-2C2F-K9 - 관리포트를사용하는 2 개의 1GbE SFP 및 2 개의 10/100/1000Base-T 가포함된파이버 SKU Cisco ISA 3000 은업계최고의 Sourcefire 위협차단이결합된 Cisco ASA 방화벽보호를포함합니다. 그림 1-1 및그림 1-2 에서는 Cisco ISA 3000 UTP 및파이버 SKU 를보여줍니다. 1-1

일반설명 1 장제품개요 그림 1-1 Cisco ISA 3000 UTP SKU 그림 1-2 Cisco ISA 3000 파이버 SKU 1-2

1 장제품개요 일반설명 그림 1-3 에서는 Cisco ISA 3000 의전면패널세부정보를보여줍니다. 그림 1-3 Cisco ISA 3000 전면패널 1 핀홀액세스재설정 10 RJ45 10/100/100 BaseT 커넥터 1 및 2 2 콘솔 LED 11 ISA-3000-2C2F SKU 에서는 SFP 소켓입니다. 3 시스템 LED 12 SD 카드슬롯 4 콘솔커넥터 (RJ-45) 13 경보커넥터 5 콘솔커넥터 ( 미니 USB) 14 접지지점 6 USB 커넥터 15 경보 LED 7 관리인터페이스 16 DC 전원 LED 8 DC 전원연결 A 17 기가비트이더넷 LED 9 DC 전원연결 B 18 관리 LED ISA-3000-4C SKU 에서는 RJ45 10/100/100 BaseT 커넥터 3 및 4 입니다. 1-3

일반설명 1 장제품개요 LED 다음표에서는 Cisco ISA3000 의 LED 에대해설명합니다. 표 1-1 LED 설명 LED 활동설명 시스템전원상태꺼짐 - 전원없음 녹색으로계속켜져있음 - 정상작동 녹색으로깜박임 - 부팅단계 빨간색으로깜박임 - BIOS 및 POST 빨간색 - 시스템이제대로작동하지않음 관리관리포트상태꺼짐 - 링크없음 ( 기본값 ) DC_A DC_B DC 전원상태 녹색으로계속켜져있음 - 활동이없는포트링크 녹색으로깜박임 - 데이터전송및수신중 꺼짐 - 전원이없음 녹색으로계속켜져있음 - 전원이연결된회로에있음 ( 하드웨어제어 ) 빨간색으로계속켜져있음 - 전원이연결된회로에없으며시스템이이중입력전원으로구성됨 경보출력경보모니터링꺼짐 - 경보출력이구성되지않았거나시스템이꺼짐 ( 기본값 ) 녹색으로계속켜져있음 - 경보출력이구성되었지만경보가감지되지않음 빨간색으로계속켜져있음 - 사소한경보가감지됨 빨간색으로깜박임 - 주요경보가감지됨 경보입력 1 및 2 경보모니터링꺼짐 - 경보입력이구성되지않았거나시스템이꺼짐 ( 기본값 ) 이더넷포트링크상태꺼짐 - 링크없음 녹색으로계속켜져있음 - 경보입력이구성되었지만경보가감지되지않음 빨간색으로계속켜져있음 - 사소한경보가감지됨 빨간색으로깜박임 - 주요경보가감지됨 녹색으로계속켜져있음 - 링크가작동함 녹색으로깜박임 - 데이터전송및수신중 황색 - 결함, 링크가없음을나타냄 콘솔콘솔연결상태꺼짐 - 콘솔에 RJ-45 가사용됨 포트 1 및 2 또는 UTP SKU 의 3 및 4 LED 가함께황색으로빠르게깜박임 - 두개의포트가바이패스모드에있음 녹색 - 콘솔에미니 USB 가사용됨 참고현재 ISA 3000 에서는경보기능을사용할수없습니다. 1-4

1 장제품개요 일반설명 메모리및스토리지 USB 포트 Cisco ISA 3000 에는 8GB DRAM 이있습니다. 또한두개의스토리지디바이스, 50GB SSD 및 15GB 플래시디바이스가있습니다. 모든메모리구성요소는공장기본값이며최종사용자가업그레이드할수없습니다. Cisco ISA 3000 에는외부에서액세스할수있는두개의 Type-A USB(4 핀 ) 커넥터가있습니다. 각 USB 포트는 5V, 최대 500mA 의출력전력을지원합니다. 관리이더넷포트 콘솔포트 관리전용의 10/100/1000 BaseT 이더넷포트가제공됩니다. 이포트는네트워크를통한부팅또는시스템의초기설정및관리에사용할수있는유일한포트입니다. 이포트는컨피그레이션에서관리 1/1 입니다. 웹인터페이스또는콘솔포트를통해 Cisco ISA 3000 을구성할수있습니다. 콘솔포트는 RJ45 또는미니 USB 커넥터입니다. 표준관리케이블 ( 부품번호 72-3383-01) 을사용하여 RJ45 를 DB9 커넥터로변환할수있습니다. RJ45 콘솔포트의기본컨피그레이션설정은다음과같습니다. 9600 보드, 8 개데이터비트, 패리티없음, 1 개정지비트, 흐름제어없음 USB 콘솔포트가활성화된경우 ( 삽입된케이블과원격 PC 드라이버가활성화됨 ), USB 케이블이감지될때기본적으로콘솔이 RJ45 에서 USB 로전환됩니다. 두포트가모두연결되면미니 USB 콘솔포트가사용됩니다. 다음표에서는 CON/AUX RJ-45 커넥터에대한핀배열을보여줍니다. 핀 신호 방향 1 DTR 산출물 2 3.3 산출물 3 TXD 산출물 4 GND - 5 GND - 6 RXD 입력 7 - NC 8 - NC 참고콘솔포트는원격다이얼인 (dial-in) 모뎀을지원하지않습니다. 1-5

SKU 정보 1 장제품개요 SKU 정보 다음표에는 Cisco ISA 3000 에사용가능한여러 SKU 가나열되어있습니다. 표 1-2 Cisco ISA 3000 에지원되는 SKU SKU ID ISA-3000-4C ISA-3000-2C2F 설명 관리포트를사용하는 4개의 10/100/1000Base-T가포함된 UTP SKU 관리포트를사용하는 2개의 1GbE SFP 및 2개의 10/100/1000Base-T 가포함된파이버 SKU 하드웨어기능 이섹션에서는 Cisco ISA3000 에대한다음하드웨어기능의개요를제공합니다. Cisco ISA 3000 에대한플랫폼기능, 1-6 페이지 재설정버튼, 1-7 페이지 전원공급장치, 1-7 페이지 Cisco ISA 3000 에대한플랫폼기능 다음목록은하드웨어플랫폼기능입니다. CPU Intel 4 코어 1.25Ghz 8GB 1333MHz DDR3 메모리 관리전용기가비트이더넷포트 미니 USB 및 RJ45 콘솔포트 모든 UTP 데이터포트에는전원손실이발생하거나소프트웨어의제어를받는경우의릴레이바이패스가있습니다. 24~12AWG 나사케이지터미널이포함된 +/- 12~48VDC 정격 (9.6~60VDC 최대값 ) 예비전원커넥터 업계최고의 Sourcefire 위협차단이결합된 Cisco ASA 방화벽보호 메모리카드, 보안토큰, 모뎀또는다른 USB 2.0 호환디바이스를추가하기위한두개의외부 USB-A 포트 섀시에통합된 DIN 레일장착 팬이없는설계 결함릴레이출력및두개의경보입력 산업용온도 SDHC 카드지원 예비전원입력 안전한부팅지원 바이패스릴레이 (UTP 포트에서만사용가능 ) 1-6

1 장제품개요 하드웨어기능 재설정버튼 재설정버튼을사용하면보안어플라이언스컨피그레이션이공장에서설정한기본컨피그레이션으로재설정됩니다. 보안어플라이언스컨피그레이션을공장에서설정한기본컨피그레이션으로복원하려면전선게이지가 0.033 인치이하인표준크기의 #1 종이클립을사용하여보안어플라이언스에전원을공급하는동시에재설정버튼을누릅니다. 누름버튼을눌렀을때의결과는다음과같습니다. 0 초에서 3 초미만또는 15 초이상누름 - 아무것도수행되지않음 3~15 초동안누름 - 장치재부팅후원래공장기본컨피그레이션이실행됨 참고 새컨피그레이션은재부팅된후적용됩니다. 시스템은 ROMMON 변수를포함한원래공장기본컨피그레이션을사용하여부팅됩니다. 관리자는 ASA CLI 를통해이기능을비활성화하여누름버튼이눌려도조치가수행되지않도록할수있습니다. 재설정버튼을 3~15 초동안누르면 FirePOWER 모듈이공장기본값으로재설정되지않습니다. 전원공급장치 Cisco ISA 3000 은예비외부전원커넥터와함께제공됩니다. 커넥터는 12~48VDC 를지원합니다. 커넥터는고정나사가포함된 Molex 5.00mm Pitch Eurostyle 수평플러그입니다. 전원공급장치는역극성을지원하지않지만역극성보호를포함합니다. 이는 + 및 - 연결을반전하는경우시스템의전원이켜지지않지만손상되지는않는다는것을의미합니다. 시스템이작동하려면항상 + 터미널이 - 터미널보다커야합니다. 차이점은사용되는시스템접지체계입니다. ISA 3000 은세가지기본체계를지원합니다. + 도아니고 - 도아닌터미널의격리된 DC 가섀시 GND 에연결됩니다. 음극 (-) 터미널의양극 DC 가섀시 GND 에연결됩니다. 양극 (+) 터미널의음극 DC 가섀시 GND 에연결됩니다. 참고무중단으로작동하도록하려면예비전원연결을독립적으로분리된전원에연결해야합니다. 1-7

하드웨어기능 1 장제품개요 1-8

2 장 Cisco ISA 3000 Industrial Security Appliance 설치 이장에서는 Cisco ISA 3000 을설치하기위한장비및절차에대해설명하고다음섹션을포함합니다. 장비, 도구및연결, 2-2 페이지 Cisco ISA 3000 설치, 2-3 페이지 경고시스템을전원에연결하기전에설치지침의내용을확인하십시오. 명령문 1004 경고 IEC 60950 기준안전표준의 SELV( 안전초저전압 ) 요구사항을준수하는 DC 전원에만장치를연결하십시오. 명령문 1033 경고교육을받은적격담당자만이장비를설치또는교체하거나서비스를제공할수있습니다. 명령문 1030 경고 덮개는제품안전설계의필수적인부분입니다. 덮개를설치하지않은상태로장치를작동하지마십시오. 명령문 1077 경고 이장비는접지되어야합니다. 접지컨덕터를꺼놓거나적절히설치된접지컨덕터없이장비를가동해서는절대안됩니다. 적절한접지가가능한지확실치않은경우에는해당전기검사기관이나전기기사에게문의하십시오. 명령문 1024 참고외부표면을청소할때는정전기가발생하지않는마른천을사용하십시오. 2-1

장비, 도구및연결 2 장 Cisco ISA 3000 Industrial Security Appliance 설치 장비, 도구및연결 이섹션에서는 Cisco ISA 3000 을설치하는데필요한장비, 도구및연결에대해설명합니다. 포함되는주제는다음과같습니다. Cisco ISA 3000 과함께배송되는항목, 2-2 페이지 추가항목, 2-2 페이지 이더넷디바이스, 2-2 페이지 Cisco ISA 3000 과함께배송되는항목 박스의포장을풀고송장에나열된모든항목이 Cisco ISA 3000과함께배송되었는지확인합니다. 다음항목이디바이스와함께배송됩니다. 시작하기가이드부품번호 78-100733-01 경보커넥터 두개의전원커넥터 추가항목 다음항목은디바이스와함께제공되지는않지만설치에필요합니다. ESD 방지코드및손목띠 섀시접지용전선절단기 섀시를지면에연결하기위한전선 NEC 준수섀시접지의경우 AWG 14(2mm²) 이상의전선 EN/IEC 60950 섀시접지의경우 AWG 18(1mm²) 이상의전선 기가비트이더넷포트에연결하기위한이더넷케이블 파이버 LAN 포트에연결하기위한광파이버케이블및 SFP 트랜시버 최대 15in-lb(1.69N-m) 압력을가하는라체팅토크일자형드라이버 #2 십자형드라이버 이더넷디바이스 허브, 서버및워크스테이션또는 PC 등의디바이스에연결할이더넷디바이스를식별합니다. 각디바이스에서이더넷포트에연결하기위한 NIC(Network Interface Card) 가있는지확인합니다. 콘솔포트를통해 Cisco IOS 명령을사용하여소프트웨어를구성하려는경우, 콘솔포트에연결하기위한터미널에뮬레이션소프트웨어를실행중인 PC 또는 ASCII 터미널을제공하십시오. 2-2

2 장 Cisco ISA 3000 Industrial Security Appliance 설치 Cisco ISA 3000 설치 Cisco ISA 3000 설치 이섹션에서는 Cisco ISA 3000 을설치하는방법에대해설명합니다. 이디바이스는벽이나 DIN 레일에장착된테이블상단또는다른평평한표면에설치할수있습니다. 주의 스위치주위의공기흐름이제한되지않아야합니다. 스위치가과열되지않도록하려면다음의최소공간을확인하십시오. 상단및하단 : 25mm(1.0 인치 ) 노출된측면 ( 모듈에연결되지않음 ): 25mm(1.0 인치 ) 전면 : 25mm(1.0 인치 ) 장치주변의온도는 60 C(140 F) 를초과해서는안됩니다. 참고 스위치가산업용엔클로저에설치되는경우엔클로저내부의온도가엔클로저외부의정상적인실내온도보다높습니다. 엔클로저내부의온도는스위치의최대주변엔클로저온도인 60 C(140 F) 를초과할수없습니다. 무선통신기, 전선및형광등과같은전기적잡음의원인이될수있는대상을피해배선합니다. Class 2 DC 전원에만장치를연결하십시오. 더협소한공간이필요한경우에는 Cisco TAC 에문의하십시오. 이섹션에포함되는주제는다음과같습니다. DIN 레일설치, 2-3 페이지 Cisco ISA 3000 접지연결설치, 2-5 페이지 DIN 레일설치 Cisco ISA 3000 에 7.5mm 또는 15mm 두께의 DIC 레일을사용할수있습니다. 약 200mm(7.8 인치 ) 마다장착표면에 DIN 레일을고정하고엔드앵커를적절하게사용합니다. DIN 레일에장착할수있도록디바이스의후면패널에스프링래치가제공됩니다. 그림 2-1 을참조하십시오. 주의디바이스위에장비를쌓아올리지마십시오. 2-3

Cisco ISA 3000 설치 2 장 Cisco ISA 3000 Industrial Security Appliance 설치 그림 2-1 ISA 3000 후면 DIN 장착 Cisco ISA 3000 을 DIN 레일에연결하려면다음단계를수행합니다. 단계 1 단계 2 단계 3 디바이스의후면패널을 DIN 레일의바로앞에배치하고 DIN 레일이디바이스의상단근처에있는두개의후크와하단근처에있는스프링래치사이의공간에들어가도록합니다. 디바이스의하단이 DIN 레일에서멀리떨어진상태로두고디바이스후면에있는두개의후크 (#1) 를 DIN 레일의상단위에배치합니다. 디바이스를 DIN 레일방향으로밀어서디바이스후면의하단에있는스프링래치 (#2) 가아래로움직여제자리에걸리도록합니다. DIN 레일에서디바이스제거 DIN 레일에서디바이스를제거하려면다음단계를수행합니다. 단계 1 단계 2 스위치에서전원이제거되었는지확인하고스위치의전면패널에서모든케이블및커넥터의연결을해제합니다. 일자형드라이버와같은도구를스프링래치 (#3) 의하단에있는슬롯에밀어넣어서래치를 DIN 레일에서분리합니다. 단계 3 디바이스의하단을 DIN 레일에서끌어내고 DIN 레일의상단에서후크를들어올립니다. 단계 4 DIN 레일에서디바이스를제거합니다. 2-4

2 장 Cisco ISA 3000 Industrial Security Appliance 설치 Cisco ISA 3000 설치 랙에 ISA 3000 장착 선택적키트부품번호 STK-RACKMNT-2955 를사용하여 ISA 3000 을 19" 캐비닛 / 랙에장착할수있습니다. 이키트에는브래킷과장착나사가포함되어있습니다. 그림 2-2 를참조하십시오. 그림 2-2 장착브래킷 캐비닛또는랙에 ISA 3000 을설치하려면다음단계를수행합니다. 단계 1 키트에포함된 4 개의전면나사를사용하여캐비닛또는랙에브래킷을설치합니다. 장착구멍 (#1) 에나사를넣습니다. 단계 2 DIN 레일설치에설명된것과동일한방식으로장착브래킷 (#2) 에빌드된 DIN 레일에디바이스를연결합니다. Cisco ISA 3000 접지연결설치 디바이스는안정적인지면에연결되어야합니다. 지역전기안전표준에따라접지배선을설치합니다. NEC 준수접지의경우 14AWG(2mm2) 이상크기의 UTP 전선과내부지름이 5~7mm(1/4 인치 ) 인링터미널을사용합니다. EN/IEC 60950 준수접지의경우 18AWG(1mm2) 이상크기의 UTP 전선을사용합니다. 접지러그는디바이스와함께제공되지않습니다. 단일링터미널또는두개의단일링터미널을사용할수있습니다. 2-5

Cisco ISA 3000 설치 2 장 Cisco ISA 3000 Industrial Security Appliance 설치 경고 이장비는접지되어야합니다. 녹색및노란색 14~16AWG 접지전선을사용하여정상사용중에호스트를지면에연결합니다. 명령문 242 경고 이장비는접지되어야합니다. 접지컨덕터를꺼놓거나적절히설치된접지컨덕터없이장비를가동해서는절대안됩니다. 적절한접지가가능한지확실치않은경우에는해당전기검사기관이나전기기사에게문의하십시오. 명령문 1024 경고장치를설치하거나교체할때는항상접지를가장먼저연결하고가장나중에분리해야합니다. 명령문 1046 접지연결을설치하려면다음단계를수행합니다. 단계 1 표준십자형드라이버또는십자헤드가있는라체팅토크드라이버를사용하여디바이스의전면패널에서접지나사를제거합니다. 나중에사용할수있도록접지나사를보관합니다. 단계 2 전선피복제거도구를사용하여 14~16AWG 접지전선을 5.56mm(0.22 인치 ) 까지벗겨냅니다. 단계 3 전선절단기를사용하여접지전선을링터미널에연결합니다. 그림 2-3 을참조하십시오. 그림 2-3 링터미널크림프 76666 단계 4 접지나사를터미널을통해밀어넣습니다. 단계 5 접지나사를전면패널의기능형접지나사구멍에삽입합니다. 단계 6 1 단계에서보관해놓은나사를사용하여링터미널을섀시에연결합니다. 라체팅토크드라이버를사용하여접지나사와링터미널을디바이스전면패널에 3.5in-lb(0.4N-m) 의압력으로조입니다. 그림 2-4 를참조하십시오. 2-6

2 장 Cisco ISA 3000 Industrial Security Appliance 설치 Cisco ISA 3000 설치 그림 2-4 접지위치 단계 7 접지전선의다른쪽끝을사이트에있는신뢰할수있는알려진접지지점에연결합니다. 단계 8 디바이스를설치하고올바르게접지한후다음장으로이동합니다. 2-7

Cisco ISA 3000 설치 2 장 Cisco ISA 3000 Industrial Security Appliance 설치 2-8

3 장 ISA 3000 연결 이장에서는 Cisco ISA 3000 Industrial Security Appliance 를이더넷디바이스및네트워크에연결하는방법에대해설명합니다. 장에는다음섹션이포함됩니다. Cisco ISA 3000 연결준비, 3-1 페이지 컨피그레이션을위해 ISA 3000 에 PC 연결, 3-1 페이지 DC 전원에연결, 3-3 페이지 연결확인, 3-7 페이지 Cisco ISA 3000 연결준비 Cisco ISA 3000 을디바이스에연결하기전에 2 장, "Cisco ISA 3000 Industrial Security Appliance 설치 " 의지침에따라 ISA 3000 을설치하십시오. 경고 감전을피하려면 SELV(safety extra-low voltage) 회로를 TNV(telephone-network voltage) 회로에연결하지마십시오. LAN 포트는 SELV 회로를포함하고, WAN 포트는 TNV 회로를포함합니다. 모든 LAN 및 WAN 포트는두 RJ-45 커넥터를모두사용합니다. 케이블을연결하는동안에는주의를기울이십시오. 명령문 1021 Cisco ISA 3000 손상방지 설치하기전에다음과같은일반지침을확인하십시오. 적절한 ESD 보호가관측되어야합니다. 디바이스가올바르게접지되었는지확인합니다. 디바이스주위의공기흐름이원활한지확인합니다. 컨피그레이션을위해 ISA 3000 에 PC 연결 ISA 3000 에연결하여디바이스를구성하는두가지방법은다음과같습니다. Cisco ISA 3000 의콘솔커넥터에 PC 를연결하고콘솔터미널을실행하여 CLI 를사용합니다. DHCP 를통해 IP 주소를수신하는 Cisco ISA 3000 관리서브네트워크에 PC 를연결합니다. 그런다음, ASDM 을실행하여디바이스를관리합니다. 3-1

컨피그레이션을위해 ISA 3000 에 PC 연결 3 장 ISA 3000 연결 Cisco ISA 3000 의콘솔포트에 PC 를연결하고 CLI 에액세스하려면다음단계를수행합니다. 단계 1 사용할콘솔연결을선택합니다. 그림 3-1 에서항목 1 은 RJ-45 콘솔커넥터이고항목 2 는미니 USB 커넥터입니다. 그림 3-1 콘솔연결포트 단계 2 미니 USB 커넥터를사용하는경우에는먼저보호덮개를제거해야합니다. 그림 3-2 에덮개의위치가빨간색화살표로표시되어있습니다. 십자형드라이버를사용하여덮개를제거하고컨피그레이션을완료한후에다시설치할수있도록따로보관합니다. 3-2

3 장 ISA 3000 연결 DC 전원에연결 그림 3-2 미니 USB 덮개 단계 3 케이블의미니 USB 를 Cisco ISA 3000 의 USB 콘솔포트에연결합니다. 단계 4 미니 USB 케이블의반대편끝을 PC 의 USB 포트에연결합니다. 단계 5 PC 에서라우터와통신하는데필요한적절한드라이버가없다고경고하는경우컴퓨터제조업체에서드라이버를얻을수있습니다. 또는다음사이트로이동합니다. https://www.silabs.com/products/mcu/pages/usbtouartbridgevcpdrivers.aspx 단계 6 콘솔터미널을시작합니다. 단계 7 자세한내용은초기컨피그레이션섹션을참조하십시오. DC 전원에연결 경고 이제품은건물의단락 ( 과전류 ) 차단설비를사용합니다. 보호디바이스의정격전원이최소값인 60VDC 최소값, 최대값인 5A 를초과하지않는지확인하십시오. 명령문 1005 경고장비를설치할때는지역 / 국가전기코드규격을따라야합니다. 명령문 1074 3-3

DC 전원에연결 3 장 ISA 3000 연결 경고다음절차를수행하기에앞서전원을 DC 회로에서분리해야합니다. 명령문 1003 경고교육을받은적격담당자만이장비를설치또는교체하거나서비스를제공할수있습니다. 명령문 1030 경고 쉽게액세스가능한 2 개기둥방식분리형장치는고정배선에통합되도록연결해야합니다. 명령문 1022 전면패널커넥터를통해디바이스에 DC 전원을연결합니다. 디바이스에는이중 DC 전원공급장치가있습니다. 두개의커넥터에서기본및보조 DC 전원 (DC-A 및 DC-B) 을제공합니다. 각전원커넥터에는 LED 상태표시기가있습니다. 디바이스전원커넥터는디바이스섀시에연결됩니다. 각전원커넥터에는 DC 전원을종료하기위한스크류터미널이있습니다. 제공된고정나사를사용하여모든커넥터를디바이스전면패널에연결합니다. 전원커넥터레이블이패널에있습니다. 양극 DC 전원연결은 "+" 로, 리턴연결은 "-" 로레이블이지정되어있습니다. 디바이스는단일전원또는이중전원으로작동할수있습니다. 두전원을모두사용가능한경우디바이스에서전압이더높은 DC 전원의전력을공급받습니다. 두전원중하나에장애가발생하면다른전원이계속해서디바이스에전력을공급합니다. ISA 3000 에 DC 전원을연결하려면다음단계를수행합니다. 단계 1 디바이스전면패널에서 DC-A 및 DC-B 레이블로표시된두개의전원커넥터를찾습니다. 그림 3-3 전원커넥터 331209 단계 2 커넥터양극및리턴 DC 전원연결을확인합니다. 전원커넥터 DC-A 및 DC-B 의레이블은표 3-1 에표시된대로디바이스패널에있습니다. 표 3-1 DC-A 및 DC-B 전원커넥터레이블 라벨연결 + 양극 DC 전원연결 리턴 DC 전원연결 단계 3 전력변환장치와 DC 전원을연결하기에충분한꼬임쌍선 UTP 전선두가닥의길이를측정합니다. 전력변환장치및 DC 전원의 DC 연결에는 18~20AWG(2.6mm) 꼬임쌍선 UTP 전선을사용합니다. 3-4

3 장 ISA 3000 연결 DC 전원에연결 단계 4 18 게이지 (1.02mm) 전선피복제거도구를사용하여접지전선과꼬임쌍선의양쪽끝을 6.3mm(0.25 인치 ) ± 0.5mm(0.02 인치 ) 가량벗겨냅니다. 그림 3-4 의 1 번을참조하십시오. 전선에서피복을 6.8mm(0.27 인치 ) 이상벗겨내지마십시오. 전선의피복을권장길이이상으로벗겨내면설치후에도전선이전원및릴레이커넥터에서노출된상태로남아있을수있습니다. 그림 3-4 전원연결전선벗겨내기 1 단계 5 단계 6 디바이스에전원커넥터를연결하는두개의고정나사를제거하고전원커넥터를분리합니다. 두개의전원에연결되어있는경우에는두커넥터를모두분리합니다. 전원커넥터에서양극전선의노출부분을 "+" 라고레이블이지정된연결에삽입하고리턴전선의노출부분을 "-" 라고레이블이지정된연결에삽입합니다. 그림 3-5 를참조하십시오. 97489 그림 3-5 전원커넥터에전선삽입 2 1 406053 1 전원양극연결 2 전원리턴연결 참고전선리드가보이지않는지확인합니다. 절연피복이있는전선만커넥터에서나와야합니다. 단계 7 라체팅토크일자형드라이버를사용하여전원커넥터고정나사 ( 설치된전선리드위에있음 ) 를 2in-lb(0.23N-m) 의압력으로조입니다. 그림 3-6 을참조하십시오. 참고 전원커넥터의고정나사에무리한힘을가하지마십시오. 토크는 2in-lb(0.23N-m) 를초과해서는안됩니다. 3-5

DC 전원에연결 3 장 ISA 3000 연결 그림 3-6 전원커넥터고정나사토크 1 406054 1 전원커넥터고정나사 경고 단계 8 DC 입력전원에서노출된전선리드에서유해한수준의전기를전도될수있습니다. 전원및릴레이커넥터에서 DC 입력전원전선의노출부분이나오지않는지확인합니다. 명령문 122 양극전선의다른쪽끝을 DC 전원의양극터미널에연결하고리턴전선의다른쪽끝을 DC 전원의리턴터미널에연결합니다. 참고 디바이스를테스트하는동안에는하나의전원연결로충분합니다. 디바이스를설치중이며두번째전원을사용하는경우, 보조전원커넥터를사용하여 4 단계에서 8 단계까지를반복합니다. 3-6

3 장 ISA 3000 연결 연결확인 디바이스에 DC 전원커넥터연결 디바이스의전면패널에전원커넥터를연결하려면다음단계를수행합니다. 단계 1 디바이스전면패널의 DC-A 콘센트에하나의전원커넥터를삽입하고 DC-B 콘센트에다른전원커넥터를삽입합니다. 경고 고정나사를안전하게조이지않으면실수로커넥터가제거되는경우전기아크가발생할수있습니다. 명령문 397 경고단계 2 단계 3 단계 4 전원이공급되는상태로전원및 / 또는경보커넥터를연결하거나분리하는경우에는전기아크가발생할수있습니다. 이로인해위험한지역에설치시폭발이발생할수있습니다. 디바이스및다른회로에서모든전원이분리되었는지확인하십시오. 설치를진행하기전에실수로전원이켜질수없는지또는지역이위험하지않은지확인하십시오. 명령문 1058 라체팅토크일자형드라이버를사용하여전원커넥터의양쪽에있는고정나사를 2in-lb(0.23N-m) 의압력으로조입니다. 디바이스를테스트하는동안에는하나의전원으로충분합니다. 디바이스를설치중이며두번째전원을사용하는경우두번째전원커넥터 (DC-B) 에이절차를반복하여 1 차전원커넥터 (DC-A) 바로아래에설치합니다. 디바이스를설치하는동안일상적인접촉이전원커넥터에서나오는전선을건드리지않도록고정합니다. 예를들어, 타이랩을사용하여랙에전선을고정합니다. 연결확인 모든디바이스가 Cisco ISA 3000 에제대로연결되었는지확인하려면먼저연결된모든디바이스를켠다음 LED 를확인합니다. Cisco ISA 3000 작동을확인하려면다음표를참조하십시오. LED 활동 설명 시스템 전원상태 꺼짐 - 전원없음녹색으로계속켜져있음 - 정상작동녹색으로깜박임 - 부팅단계및 POST 빨간색으로깜박임 - BIOS 빨간색 - 시스템이제대로작동하지않음 관리 관리포트상태 꺼짐 - 링크없음 ( 기본값 ) 녹색으로계속켜져있음 - 활동이없는포트링크녹색으로깜박임 - 데이터전송및수신중 3-7

연결확인 3 장 ISA 3000 연결 LED 활동설명 DC_A DC_B DC 전원상태 꺼짐 - 전원이없음 녹색으로계속켜져있음 - 전원이연결된회로에있음 ( 하드웨어제어 ) 빨간색으로계속켜져있음 - 전원이연결된회로에없으며시스템이이중입력전원으로구성됨 경보출력 경보모니터링 꺼짐 - 경보출력이구성되지않았거나시스템이꺼짐 ( 기본값 ) 경보입력 1 및 2 경보모니터링 이더넷포트링크상태꺼짐 - 링크없음 녹색으로계속켜져있음 - 경보출력이구성되었지만경보가감지되지않음 빨간색으로계속켜져있음 - 사소한경보가감지됨 빨간색으로깜박임 - 주요경보가감지됨 꺼짐 - 경보입력이구성되지않았거나시스템이꺼짐 ( 기본값 ) 녹색으로계속켜져있음 - 경보입력이구성되었지만경보가감지되지않음 빨간색으로계속켜져있음 - 사소한경보가감지됨 빨간색으로깜박임 - 주요경보가감지됨 녹색으로계속켜져있음 - 링크가작동함 녹색으로깜박임 - 데이터전송및수신중 황색 - 결함, 링크가없음을나타냄 포트 1 및 2 또는 3 및 4 의 LED 가함께황색으로깜박임 - 두개의포트가바이패스모드에있으며시스템이작동됨 콘솔콘솔연결상태꺼짐 - 콘솔에 RJ-45 가사용됨 녹색 - 콘솔에미니 USB 가사용됨 바이패스 바이패스모드표시기 시스템전원이있는경우이더넷 LAN 스위치포트쌍 1 및 2 또는 3 및 4(UTP SKU 전용 ) 가 100m마다함께 황색으로깜박입니다 ( 빠르게깜박임 ). 3-8

4 장 초기컨피그레이션 이장에서는디바이스에기본작업컨피그레이션을제공하는설치프로그램의 OOBE(Out of Box Experience) 에대해설명합니다. Cisco ISA 3000 에서사용가능한공장기본매개변수세트가있습니다. 이장에는다음섹션이포함되어있습니다. 공장기본컨피그레이션, 4-1 페이지 포트정보, 4-1 페이지 ASA 기본컨피그레이션, 4-2 페이지 CLI 의공장기본컨피그레이션, 4-4 페이지 MIB 정보, 4-7 페이지 컨피그레이션을위해디바이스에연결, 4-7 페이지 배선절차, 4-7 페이지 ISA3000 전원켜기, 4-8 페이지 ASDM 구동, 4-9 페이지 다른 ASDM 마법사및고급컨피그레이션실행, 4-14 페이지 ASA Firepower 모듈구성, 4-14 페이지 다음단계, 4-15 페이지 초기컨피그레이션확인, 4-15 페이지 공장기본컨피그레이션 ISA 3000 의공장기본컨피그레이션은다른 ASA 디바이스와약간다릅니다. 차이점중일부는다음섹션에서설명합니다. 포트정보 포트번호 포트번호또는인터페이스번호지정은다른 ASA 디바이스와다릅니다. 일반적으로 ASA 포트번호는 0 부터시작되는반면에 ISA 3000 에서는포트번호가 1 부터시작됩니다. 포트의인터페이스이름은다음과같습니다. 기가비트이더넷 1/1 4-1

공장기본컨피그레이션 4 장초기컨피그레이션 기가비트이더넷 1/2 기가비트이더넷 1/3 기가비트이더넷 1/4 관리포트는다음과같습니다. 관리 1/1 USB 포트 외부에서액세스할수있는두개의 Type-A USB 2.0(4 핀 ) 커넥터가있습니다. 이포트에서는대용량스토리지디바이스를지원합니다. 연결된경우두개의 USB 포트는 ASA 에서 disk1, disk2 로표시됩니다. 예를들면다음과같습니다. ciscoasa# show file system File Systems: Size(b) Free(b) Type Flags Prefixes * 15621070848 15401517056 disk rw disk0: flash: - - disk rw disk1: - - disk rw disk2: - - network rw tftp: 포트는기본적으로활성화되며해제할수없습니다. ASA 기본컨피그레이션 기본 ASA 컨피그레이션및 Out-of Box( 아웃오브박스 ) 동작이다음섹션에서설명됩니다. 방화벽모드 ISA 3000 은기본적으로투명모드에서작동합니다. 방화벽정책은이섹션의뒷부분에설명되어있습니다. 관리포트 관리포트에는기본고정 IP 주소인 192.168.1.1 이할당됩니다. 예를들면다음과같습니다. interface Management1/1 management-only no shutdown nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 DHCP 서버 관리포트에연결된 DHCP 사용클라이언트는 ISA 3000 에서직접 IP 주소를획득할수있습니다. 기본컨피그레이션에서는 ISA 3000 의관리포트에서활성화되는 DHCP 서버를제공합니다. DHCP 클라이언트에리스될수있는 IP 주소의범위는관리포트에할당된 IP 주소와겹치지않는범위입니다. 이기본 IP 주소범위는 192.168.1.5~192.168.1.254 에서선택됩니다. 4-2

4 장초기컨피그레이션 공장기본컨피그레이션 HTTP 서버 기본컨피그레이션에서는관리포트의클라이언트에서 ISA 3000 에대한 Cisco ASDM 액세스가제공됩니다. 기본컨피그레이션에서는관리포트에서 HTTP 서버를자동으로활성화합니다. 처음으로 Cisco ASDM 에액세스하는경우비밀번호가적용되지않습니다. 데이터포트 기본적으로모든데이터포트는브릿지그룹에속해있습니다. 따라서한인터페이스에서다른인터페이스로트래픽이이동할수있습니다 ( 브릿지모드 ). 그러나필요한경우하드웨어바이패스기능을활용하려면트래픽에기가비트이더넷 1/1 및 1/2 쌍 ( 또는 Copper SKU 이더넷 1/3 및 1/4 쌍 ) 을사용하는것이좋습니다. CLI 또는 ASDM 을사용하여데이터인터페이스에적용할수있는 allowall 액세스목록이생성됩니다. SourceFire 트래픽의경우별도의액세스목록 sfracceslist 가생성됩니다. 예를들면다음과같습니다. interface BVI 1! interface GigabitEthernet1/1 bridge-group 1 no shutdown nameif outside1 security-level 0! interface GigabitEthernet1/2 bridge-group 1 no shutdown nameif inside1 security-level 100! interface GigabitEthernet1/3 bridge-group 1 no shutdown nameif outside2 security-level 0! interface GigabitEthernet1/4 bridge-group 1 no shutdown nameif inside2 security-level 100! access-list allowall permit ip any any access-list sfraccesslist extended permit ip any any 방화벽정책 데이터포트는기본적으로활성화됩니다. 데이터전달을가능하게하려면 BVI 인터페이스에적절한 IP 주소가있어야합니다. 기본적으로제공될수있는클래스맵및정책맵을사용하여트래픽이 SFR 에전달됩니다. 액세스목록 sfraccesslist 의기본컨피그레이션은모든트래픽을일치시킵니다. 예를들어, 다음을통해 HTTP 트래픽만식별하여 SFR 에전달할수있습니다. access-list httptraffic permit tcp any any eq http class-map httpclass match access-list httptraffic 4-3

공장기본컨피그레이션 4 장초기컨피그레이션 policy-map global_policy class httpclass sfr fail-open FirePOWER 검사를위해트래픽을식별하는클래스맵의기본컨피그레이션은다음과같습니다. class-map sfrclass match access-list sfraccesslist Default configuration of policy map for the actions to be performed on the traffic identified: policy-map global_policy class sfrclass sfr fail-open monitor-only CLI 의공장기본컨피그레이션 일반적인공장기본 CLI 컨피그레이션은다음과같이표시됩니다. ciscoasa# show run : Saved : : Serial Number: FCH1XXXXX : Hardware: ISA3000, 8xxx MB RAM, CPU Demo MHz, 1 CPU (4 cores) : ASA Version 9.x(x)x! firewall transparent hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names! interface GigabitEthernet1/1 bridge-group 1 nameif outside1 no shutdown! interface GigabitEthernet1/2 bridge-group 1 nameif inside1 security-level 100 no shutdown! interface GigabitEthernet1/3 bridge-group 1 nameif outside2 no shutdown! interface GigabitEthernet1/4 bridge-group 1 nameif inside2 security-level 100 no shutdown! 참고 기가비트이더넷 1/1~1/4 는 bridge-group 1 에있으므로한포트에서다른포트로의트래픽이허용됩니다. 4-4

4 장초기컨피그레이션 공장기본컨피그레이션 interface Management1/1 management-only no shutdown nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 참고 192.168.1.1 은기본관리 IP 주소입니다. 이주소는 SDM(Security Device Manager) ASDM 또는 CLI 를사용하여 ISA 3000 을관리하는데사용될수있는주소입니다.! interface BVI 1 no ip address! 참고 ASA 가투명모드에있을때데이터가포트사이를이동하려면 BVI 인터페이스에 IP 주소가있어야합니다. ftp mode passive no hardware-bypass boot-delay module-up sfr hardware-bypass Gigabit Ethernet 1/1-1/2 hardware-bypass Gigabit Ethernet 1/3-1/4 참고 기본적으로두개의 UTP SKU 쌍에서하드웨어바이패스가활성화됩니다. ASA 가복구되면하드웨어바이패스가해제됩니다. access-list allowall extended permit ip any any access-list sfraccesslist extended permit ip any any access-group allowall in interface outside1 access-group allowall in interface outside2 same-security-traffic permit inter-interface pager lines 24 logging asdm informational mtu management 1500 mtu inside1 1500 mtu outside1 1500 mtu inside2 1500 mtu outside2 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 user-identity default-domain LOCAL http server enable http 192.168.1.0 255.255.255.0 management 참고관리포트를통해 ASDM 액세스를활성화합니다. 4-5

공장기본컨피그레이션 4 장초기컨피그레이션 no snmp-server location no snmp-server contact service sw-reset-button crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 no ssh stricthostkeycheck ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 dhcpd address 192.168.1.5-192.168.1.254 management dhcpd enable management! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept dynamic-access-policy-record DfltAccessPolicy! class-map inspection_default match default-inspection-traffic! class-map sfrclass match access-list sfraccesslist! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options class sfrclass sfr fail-open monitor-only!! 참고 FirePOWER 모듈실패가발생하는경우에는 ASA 에서 "fail-open" 모드로트래픽을무시하고전달할수있습니다. "monitor-only" 명령을통해패킷사본이수동 / 오프라인검사를위해 ASA 에서 SFR 로이동합니다. service-policy global_policy global prompt hostname context Cryptochecksum:61c9397c4e5eb7f0ffc14e902ccba3e7 : end ciscoasa# 4-6

4 장초기컨피그레이션 MIB 정보 MIB 정보 ISA 3000 에서는현재 ASA 소프트웨어에서지원되는모든 MIB 를지원합니다. SNMP 컨피그레이션가이드 URL 로이동하여 ASA 에지원되는 MIB 를확인할수있습니다. http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/configuration/general/asa-general-cli/ monitor-snmp.html 다음에서네트워크관리 MIB URL 을찾을수있습니다. http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml 컨피그레이션을위해디바이스에연결 Cisco ISA 3000 에는초기컨피그레이션을수행하는데사용할수있는세가지옵션이있습니다. 1. USB 포트를사용하는 CLI 이옵션을사용하는경우사용자가 USB 케이블을사용하여디바이스의미니 USB 포트에 PC 를연결합니다. 올바른드라이버가설치되었다면터미널프로그램을구동할수있습니다. 랩톱또는 PC 에서라우터와통신하는데필요한적절한드라이버가없다고경고하는경우컴퓨터제조업체에서드라이버를얻을수있습니다. 또는다음사이트로이동합니다. https://www.silabs.com/products/mcu/pages/usbtouartbridgevcpdrivers.aspx 2. RJ-45 콘솔포트를사용하는 CLI 이옵션을사용하는경우사용자가표준 RJ45 - DB9 커넥터및케이블을사용하여 Cisco ISA 3000 의 RJ-45 콘솔포트에 PC 를연결합니다. 3. 관리 1/1 인터페이스의 ASDM 구성중인 PC 가 Cisco ISA 3000 의관리인터페이스와동일한서브네트워크에있는경우에는사용자가 ASDM 을사용하여디바이스를구성할수있습니다. IP 주소범위는 192.168.1.5~192.168.1.254 입니다. ASDM GUI 를구동하여디바이스컨피그레이션을시작할수있습니다. 배선절차 다음은기본네트워크설치를보여주는다이어그램입니다. 4-7

컨피그레이션을위해디바이스에연결 4 장초기컨피그레이션 그림 4-1 기본네트워크 단계 1 다음을디바이스또는 Layer 2 이더넷스위치에바로연결합니다. 기가비트이더넷 1/2 인터페이스 ( 내부 ) Management 1/1 인터페이스 (ASA Firepower 모듈용 ) 참고 관리인터페이스는 ASA Firepower 모듈에만속한별도의디바이스처럼작동하므로동일한네트워크에서내부와관리를연결할수있습니다. 단계 2 예를들어, 기가비트이더넷 1/1( 외부 ) 인터페이스를 WAN 디바이스 ( 예 : 케이블모뎀 ) 에연결합니다. 참고 케이블모뎀이 192.168.1.0/24 또는 192.168.10.0/24 에있는외부 IP 주소를제공하는경우다른 IP 주소를사용하도록 ISA 3000 컨피그레이션을변경해야합니다. ISA3000 전원켜기 단계 1 3 장, "DC 전원에연결 " 에서적절한전원플러그배선에대한지침을참조하십시오. 단계 2 전원플러그를 DC 전원에연결한후 ISA3000 에꽂습니다. 단계 3 LED 의상태를확인하여디바이스가제대로작동하는지확인합니다. 3 장, " 연결확인 " 을참조하십시오. 4-8

4 장초기컨피그레이션 컨피그레이션을위해디바이스에연결 ASDM 구동 ASDM 을실행하기위한요구사항은 Cisco.com 의 ASDM 릴리스노트를참조하십시오. 이절차에서는 ASDM 을사용하여 ASA Firepower 모듈을관리하려한다고가정합니다. FireSIGHT System 을사용하려면모듈 CLI 에연결하여설치스크립트를실행해야합니다. ASA Firepower quick start guide 를참조하십시오. 절차 단계 1 ISA 3000 에연결된컴퓨터에서웹브라우저를구동합니다. 단계 2 Address( 주소 ) 필드에 URL https://192.168.1.1/admin 을입력합니다. 단계 3 브라우저에서신뢰할수없는애플리케이션의실행을허용할지를문의해야합니다. 브라우저에따라다른방법으로응답합니다. 적절한응답은보안질문에대한브라우저응답을참조하십시오. 단계 4 Cisco ASDM 웹페이지가나타납니다. 참고 관리컴퓨터를 ASA 에무선클라이언트로서연결한경우 https://192.168.10.1/admin 에서 ASDM 에액세스할수있습니다. 단계 5 사용가능한옵션인 Install ASDM Launcher(ASDM Launcher 설치 ), Run ASDM(ASDM 실행 ) 또는 Run Startup Wizard( 시작마법사실행 ) 중하나를클릭합니다. 단계 6 선택한옵션에따라화면의지침을수행하여 ASDM 을구동합니다. Cisco ASDM-IDM Launcher 가나타납니다. Install ASDM Launcher(ASDM Launcher 설치 ) 를클릭하면 Install an Identity Certificate for ASDM(ADSM 용 ID 인증서설치 ) 에따라 ISA3000 용 ID 인증서와 ASA Firepower 모듈용의별도인증서를설치해야할수있습니다. 단계 7 사용자이름과비밀번호필드를비워두고 OK( 확인 ) 를클릭합니다. 기본 ASDM 창이나타납니다. 단계 8 설치된 ASA Firepower 모듈의 IP 주소를입력하라는메시지가표시되면취소하여대화상자를닫습니다. 먼저 Startup Wizard( 시작마법사 ) 를사용하여모듈 IP 주소를올바른 IP 주소로설정해야합니다. ASDM 은 ASA 백플레인을통해 ASA Firepower 모듈 IP 주소설정을변경할수있습니다. 그러나모듈을관리하려면 ASDM 은네트워크를통해 Management 1/1 인터페이스의모듈 ( 및해당새 IP 주소 ) 에도달할수있어야합니다. 모듈 IP 주소가내부네트워크에있으므로권장구축에서는이액세스를허용합니다. IP 주소를설정한후 ASDM 이네트워크의모듈에도달할수없는경우오류가표시됩니다. 단계 9 Wizards( 마법사 ) > Startup Wizard( 시작마법사 ) 를선택합니다. 단계 10 추가 ASA 설정을원하는대로구성하거나, ASA Firepower Basic Configuration(ASA Firepower 기본컨피그레이션 ) 화면에도달할때까지화면을건너뜁니다. 4-9

컨피그레이션을위해디바이스에연결 4 장초기컨피그레이션 단계 11 기본컨피그레이션으로작업하려면다음값을설정합니다. IP Address(IP 주소 ) 192.168.1.2 Subnet Mask( 서브넷마스크 ) - 255.255.255.0 Gateway( 게이트웨이 ) - 192.168.1.1 I accept the agreement( 동의함 ) 를클릭하고, Next( 다음 ) 를클릭하거나 Finish( 완료 ) 를클릭하여마법사를종료합니다. 단계 12 ASDM 을종료한후다시구동합니다. 홈페이지에 ASA Firepower 탭이표시됩니다. 4-10

4 장초기컨피그레이션 컨피그레이션을위해디바이스에연결 보안질문에대한브라우저응답 이섹션에서는위의 ASDM 구동 3 단계에서제시된보안질문에응답하는방법을보여줍니다. Internet Explorer Safari 4-11

컨피그레이션을위해디바이스에연결 4 장초기컨피그레이션 Chrome 1 단계 Chrome 2 단계 4-12

4 장초기컨피그레이션 컨피그레이션을위해디바이스에연결 Firefox 1 단계 Firefox 2 단계 4-13

컨피그레이션을위해디바이스에연결 4 장초기컨피그레이션 Firefox 3 단계 다른 ASDM 마법사및고급컨피그레이션실행 ASDM 에는보안정책구성을위한여러마법사가포함되어있습니다. 사용가능한모든마법사는 Wizards( 마법사 ) 메뉴에서확인할수있습니다. ISA 3000 를계속구성하려면 Navigating the Cisco ASA Series Documentation 에서사용중인소프트웨어버전에대해사용가능한설명서를참조하십시오. ASA Firepower 모듈구성 ASDM 을사용하여모듈보안정책을구성하고트래픽을모듈로전송합니다. 참고 참고 : FireSIGHT Management Center 를사용하여 ASA Firepower 모듈을관리할수도있습니다. 자세한내용은 ASA Firepower Module Quick Start Guide 를참조하십시오. 절차 단계 1 단계 2 ASDM 의 ASA Firepower 페이지를사용하여모듈보안정책을구성합니다. 정책구성방법에대해자세히알아보려면어떤페이지에서든 Help( 도움말 ) 를클릭하거나 Help( 도움말 ) > ASA Firepower Help Topics( 도움말항목 ) 를선택할수있습니다. 트래픽을모듈로전송하려면 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) 를선택합니다. 단계 3 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을선택합니다. 4-14

4 장초기컨피그레이션 초기컨피그레이션확인 단계 4 단계 5 단계 6 단계 7 특정인터페이스에정책을적용할지아니면전역범위에적용할지선택하고 Next( 다음 ) 를클릭합니다. 트래픽일치를구성합니다. 예를들어, 인바운드액세스규칙을통과한모든트래픽이모듈에리디렉션되도록 Any Traffic( 모든트래픽 ) 일치를선택합니다. 또는포트, ACL( 출처및대상기준 ), 기존트래픽클래스에따라더엄격한기준을적용할수도있습니다. 나머지옵션은이정책에서그리유용하지않습니다. 트래픽클래스정의를완료하고 Next( 다음 ) 를클릭합니다. Rule Actions( 규칙작업 ) 페이지에서 ASA Firepower Inspection(ASA Firepower 검사 ) 탭을클릭합니다. Enable ASA Firepower for this traffic flow( 이트래픽흐름에서 ASA Firepower 활성화 ) 확인란을선택합니다. 단계 8 If ASA Firepower Card Fails(ASA Firepower 카드실패시 ) 영역에서다음중하나를클릭합니다. 단계 9 Permit traffic( 트래픽허용 ) - 모듈을사용할수없는경우검사없이모든트래픽을허용하도록 ISA 3000 를설정합니다. Close traffic( 트래픽차단 ) - 모듈을사용할수없는경우모든트래픽을차단하도록 ISA 3000 를설정합니다. ( 선택사항 ) 트래픽의읽기전용사본을모듈에보내려면 ( 패시브모드 ) Monitor-only( 모니터링전용 ) 를선택합니다. 단계 10 Finish( 완료 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 단계 11 필요에따라이절차를반복하여추가트래픽흐름을구성합니다. 다음단계 ASA Firepower 모듈및 ASA 작동에대한자세한내용은 ASA/ASDM 방화벽컨피그레이션가이드의 "ASA Firepower 모듈 " 장또는 ASDM 온라인도움말을참조하십시오. 모든 ASA/ASDM 설명서에대한링크는 Navigating the Cisco ASA Series Documentation 에있습니다. ASA Firepower 컨피그레이션에대한자세한내용은온라인도움말, ASA Firepower Module User Guide 또는 FireSIGHT System User Guide 를참조하십시오. 초기컨피그레이션확인 새인터페이스가올바르게작동하는지확인하려면다음단계를수행합니다. 인터페이스및라인프로토콜이올바른상태 ( 작동또는작동중지 ) 인지확인하려면 show interfaces 명령을입력합니다. IP 에구성된인터페이스의요약상태를표시하려면 show ip interface brief 명령을입력합니다. 올바른호스트이름및비밀번호를구성했는지확인하려면 show configuration 명령을입력합니다. 초기컨피그레이션을완료하고확인한후특정기능을위해 Cisco ISA 3000 을구성할수있습니다. 4-15

초기컨피그레이션확인 4 장초기컨피그레이션 4-16

5 장 하드웨어바이패스모드 이장에서는바이패스모드에서 Cisco ISA 3000 Industrial Security Appliance 를작동하는방법에대해설명합니다. 바이패스모드는전원손실이발생하는경우 Cisco ISA 3000 을바이패스하여 UTP 포트로엔드투엔드연결을계속할수있도록정의됩니다. 이기능은프로그램가능합니다. 시스템이부팅되면소프트웨어에서바이패스모드를해제합니다. 장에는다음섹션이포함됩니다. 하드웨어바이패스시나리오, 5-1 페이지 하드웨어바이패스및방화벽모드호환성, 5-2 페이지 포트바이패스 LED, 5-3 페이지 이벤트메시지, 5-3 페이지 CLI 인터페이스명령, 5-3 페이지 하드웨어바이패스시나리오 하드웨어바이패스기능을사용하면정전시다음인터페이스쌍간에자유롭게트래픽이전달될수있습니다. 기가비트이더넷 1/1 및 1/2 기가비트이더넷 1/3 및 1/4 하드웨어바이패스동작을구성할수있습니다. 자세한내용은사용중인소프트웨어버전에해당하는 ASA 일반작업컨피그레이션가이드를참조하십시오. http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/prod ucts-installation-and-configuration-guides-list.html 다음이벤트에대한각인터페이스쌍의하드웨어바이패스동작을구성할수있습니다. 전원끄기 전원을켜서시스템작동 또한수동으로하드웨어바이패스를활성화하거나비활성화할수있습니다. 전원끄기는전원주기를통한 Cisco ISA 3000 다시로드또는다시시작이나완전한전원손실을의미합니다. 수행하도록구성된경우 ISA 데이터포트를바이패스합니다. 전원을켠후에도하드웨어바이패스가계속되도록구성하면모든트래픽을내부포트에서외부포트로, 외부포트에서내부포트로전달할수있습니다. 전원이복원되면시스템소프트웨어에서부팅진행상태를모니터링하며, 시스템이준비된경우 ( 방화벽이패킷을처리할준비가됨 ) 에만바이패스를비활성화합니다. 5-1

5 장하드웨어바이패스모드 전원켜기는전원이복원된후에시스템이사용자컨피그레이션에따라데이터포트에서계속바이패스모드에있다는것을의미합니다. 사용자가수동으로바이패스를비활성화할때까지모든트래픽을내부포트에서외부포트로, 외부포트에서내부포트로전달할수있습니다. 전원이복원된후시스템이여전히바이패스모드에있음을표시하기위해이벤트 / 트랩이관리시스템에전송됩니다. 수동으로하드웨어바이패스를활성화하면시스템에서바이패스모드를활성화하고, 사용자가바이패스를비활성화하는명령을실행할때까지모든방화벽 /VPN 또는 IPS 기능이적용되지않습니다. 시스템에서보호를제공하지않음을표시하기위해위험이벤트가관리시스템에전송됩니다. 사용자는다른기능을구성하는동안바이패스기능이활성화되는지를고려해야합니다. 참고 사용자가시스템컨피그레이션 ( 예 : 방화벽규칙 ) 을수정하려고시도하는경우에는바이패스가비활성화될때까지모든변경사항이적용되지않음을사용자에게알리기위한경고메시지가표시됩니다. 참고 페일오버및바이패스를함께사용하여시스템을구성하지마십시오. Cisco 에서는이컨피그레이션을지원하지않습니다. 주의 시스템다시로드는소프트웨어재설정이아니라하드웨어재설정입니다. 전원을바이패스모드로재설정하는것과동일합니다. 소프트웨어를업데이트하고스티키가설정된상태로시스템을다시로드한후에시스템이바이패스모드로유지된다는것을의미합니다. 주의 디바이스가바이패스모드에있는경우, 각세그먼트를 50m 로함으로써연결된네트워킹장비의일반적인엔드투엔드연결범위인 100m 를지원할수있습니다. 하드웨어바이패스및방화벽모드호환성 참고투명방화벽모드에서만하드웨어바이패스를구성할수있습니다. 투명모드는브릿지모드의레이어 2 스위치와같습니다. 인터페이스에대한 IP 주소가없으며브릿지인터페이스에하나의 IP 주소만할당됩니다. 인접디바이스에서는디바이스의존재를알지못합니다. 바이패스를구성할수있습니다. 라우팅모드는레이어 3 라우터모드에서작동합니다. 각인터페이스에 IP 주소가할당되고다른일반레이어 3 특성이할당됩니다. 두개의서브넷이활성화되어있으면박스를바이패스모드로전환할수없습니다. 5-2

5 장하드웨어바이패스모드 포트바이패스 LED 각포트에는포트상태를표시하는두가지색상 ( 녹색및황색 ) 의 LED 가탑재되어있습니다. LED 상태는다음과같습니다. LED 활동설명 이더넷포트바이패스모드표시기꺼짐 - 링크없음 녹색으로계속켜져있음 - 링크가작동함 녹색으로깜박임 - 데이터전송및수신중 황색 - 결함, 링크가없음을나타냄 포트 1 및 2 또는 3 및 4 의 LED 가함께황색으로깜박임 - 두개의포트가바이패스모드에있으며시스템이작동됨 이벤트메시지 사용자는 syslog 및 snmp 를통해경고메시지를받습니다. 메시징에대한자세한내용은 ASA Syslog 가이드를참조하십시오. CLI 인터페이스명령 이명령은하드웨어바이패스의상태를표시하는데사용됩니다. ISA3000# show hardware-bypass Status Powerdown Powerup Gigabitethernet 1/1-1/2 Enable/Disable Enable/Disable Enable/Disable Gigabitethernet 1/3-1/4 Enable/Disable Enable/Disable Enable/Disable 이명령은전원을끄고켜는동안바이패스모드를활성화하거나비활성화하는데사용됩니다. 이예에서스티키는전원을끄는동안하드웨어바이패스가활성화되고소프트웨어가가동된후에도디바이스에서하드웨어바이패스를활성화된상태로유지하는것을의미합니다. ISA3000(config)#[no] hardware-bypass gigabitethernet {1/1-1/2 1/3-1/4} [sticky] 하드웨어바이패스가활성화되면시스템전원이손실된경우에도바이패스포트쌍에서계속트래픽이전달됩니다. 이명령은수동옵션을사용하여하드웨어바이패스모드를활성화하는데사용됩니다. ISA3000# hardware-bypass manual gigabitethernet 1/1-1/2 이명령은스티키전원끄기및켜기를활성화하는데사용됩니다. ISA3000# hardware-bypass GigabitEthernet 1/1-1/2 [sticky] 이명령은 SFR 모듈이준비되었을때시스템을바이패스모드에서해제하는데사용됩니다. ISA3000# hardware-bypass boot-delay module-up sfr 자세한내용은 ASA 명령참조를참조하십시오. 5-3

5 장하드웨어바이패스모드 수동으로하드웨어바이패스활성화및비활성화 이명령은 Cisco ISA 3000 이작동하여실행되는동안바이패스기능을활성화 / 비활성화하는데사용됩니다. 이명령은전원끄기또는전원켜기옵션에종속되지않습니다. ISA3000#[no] hardware-bypass manual gigabitethernet {1/1-1/2 1/3-1/4} 하드웨어바이패스가수동옵션으로활성화되면다시로드한후바이패스상태가구성된전원끄기및전원켜기동작을따릅니다. 5-4

6 장 기술사양 이부록에서는 Cisco ISA 3000 Industrial Security Appliance 의디바이스, 포트, 배선사양및전원어댑터에대한정보를제공합니다. 경고이제품을폐기하는경우에는해당국가의법률과규정을따라야합니다. 명령문 1040 디바이스사양 표 6-1 에는 Cisco ISA 3000 의작동한도가나열되어있습니다. 지정된한도를벗어나는디바이스작동은지원되지않습니다. 표 6-1 설명 Cisco ISA 3000 사양설계사양 크기 (H x W x D) ( 높이 x 너비 x 깊이 ) 는 13 x 11.2 x 16cm(5.13 x 4.42 x 6.31 인치 ) 무게 작동온도 4.75 lbs -40C~60C(0LFM) -40C~70C(40LFM) -34C~75C(200LFM) 습도 0~95% RH( 비응축 ) IP 등급 IP30 표준안전인증 EMC 방출 EMC 내성 운송 / 저장조건 고도 15,000 피트, 온도 -65C~85C 6-1

디바이스사양 6 장기술사양 설명 충격 / 진동 IEC60068-2-6 및 IEC60068-2-27 MIL-STD-810, Method 514.4 Marine EN60945 Industrial EN61131-2/IEC61131-2 Railway EN50155 Smart Grid EN61850-3 IEEE 1613 DC 입력전압 최대작동범위 : 9.6~60VDC 정격 : +/- 12~48VDC 참고 최대 DC 입력전원 0.5A@48VDC 전력소비량 설계사양 DC 입력전원공급장치는 SELV 회로이며, 다른 SELV 회로에만연결될수있습니다. 1.0A@24VDC 2.0A@12VDC 24W 6-2