Entsprechend derKonfigurationshandbuch für die Cisco ASA 5500-Serie, die von Cisco bevorzugte Methode zur Konfiguration Ihres Netzwerks für ASA High Availability ist folgende:
Sie verfügen über zwei externe Schalter, zwei interne Schalter und dann zwei direkte, nicht geschaltete Verbindungen zwischen den beiden ASA-Einheiten.
Warum zwei Links zwischen den ASAs?
DernurWas mir einfällt, ist, dass bei einer einzelnen Failover-Verbindung, wenn die Schnittstelle der Failover-Verbindung ausfällt, beide Switches denken, sie seien die primäre Einheit (und es kommt zu urkomischen Szenen), und die Fehlersuche, welche Verbindung ausgefallen ist, wird schwieriger, da beide Einheiten angeben, dass ihre Schnittstelle offline ist. Dies scheint jedoch in Bezug auf mögliche Ausfälle völlig abwegig.
Antwort1
Ich vermute, Ihre Argumentation ist richtig. Da die Idee darin besteht, eine vollständig redundante Failover-Lösung zu erstellen, muss jeder einzelne Ausfallpunkt behoben werden. Wie Sie sagen, wenn Sie keinen Standy-Failover-Link haben, könnte der Ausfall eines Ports ein ernsthaftes Problem verursachen.
Da dies theoretisch nicht weniger wahrscheinlich ist als ein Ausfall an einem der anderen physischen Ports des Geräts, scheint es definitiv eine Planungsvoraussetzung zu sein!