2 个 Cisco ASA + 4 个 Cisco 交换机 - 连接在一起的最佳方式

鉴于您提到的精确硬件，我没有什么尚未提到的可以补充。

建立两个以太网通道，机架上的每个交换机各一个，每通过使用可堆叠交换机，ASA 可以大大简化。我意识到，如果您已经拥有硬件，那么这毫无意义 - 但是，只需对硬件采购进行轻微更改，就可以简化未来的实施。

Cisco 2960S 系列（Catalyst 2960 系列的最新型号）支持通过弹性栈堆叠模块——类似于 3750 可通过 StackWise[+] 进行堆叠。FlexStack 和 StackWise 并不相同，但从管理角度来看，它们产生的许多结果相同。对于那些不想深入研究机箱交换机的人来说，思科在 2960S 和 3750[V2、E、X] 上的堆叠功能提供了一些类似的功能。

在这种情况下，跨堆栈 EtherChannel 可以大大简化。使用跨堆栈 EtherChannel，可以配置单身的一个 ASA 的以太网通道，其中一个 PHY 接口连接到机架中的第一个交换机，以太网通道中的第二个 PHY 接口连接到同一机架中的第二个交换机。此外，堆叠中的交换机（在同一机架中）不需要在它们之间配置以太网通道 - 因为它们的互连是通过 2960S FlexStack 提供的。

FlexStack 电缆长度可达 3 米 - 根据机架之间的距离，您可能能够堆叠所有四台交换机。

通过在 HA 中使用多个 ASA，可以通过相当简单的方式实现所需的冗余。

我之所以提起这一点，是因为我有与您列出的类似的目标，这些目标在 HA 中使用 ASA 并在一些客户数据中心站点堆叠了 3750X。

请注意，ASA不支持生成树。

我没有对它们进行过多尝试，因此无法提供确切的细节，但你必须确保它理解 0/[12] 端口组和 1/[12] 端口组是彼此的备份。

您购买了 SMARTnet 吗？我强烈建议您购买。SMARTnet 覆盖范围允许您向 Cisco 询问这个问题，他们将协助您规划和配置您的设备。

嗯。我认为这会造成生成树混乱……如果您这样实现它，请确保正确设置桥接优先级，以便您的流量按您希望的方式流动。（换句话说，正确的端口被禁用，正确的端口由 STP 保持启用）然后计算并测试当链接或设备中断时网络将会如何结束。

如果你只是让设备使用其默认设置，你可能会得到如下结果：

另一个让我感到惊讶的事情是：为什么在 ASA 和交换机之间使用 LACP。您是否打算使用不同的 VLAN，然后让 ASA 在它们之间进行防火墙/路由？否则，只有您的互联网流量会通过 ASA，而这受到 ISP 带宽的限制。由于这只是一个链接，因此没有必要有两个链接到您的内部网络。

仔细查看 Cisco 文档后，似乎只有 ASA 5505 不能执行生成树。这意味着 ASA 5550 可以。在这种情况下，您可以考虑使用 ASA 作为根桥，如果它可以处理所需的流量级别。然后它变得简单得多：

另一个选择是添加另一层交换机。然后，如果您将中间交换机设为根和备份根，您将获得一棵清晰的树：

您有很多选择，但由于我不知道您的确切要求，我无法告诉您哪一个是最适合您的选择。但我希望我已经给了您一些想法 :-)

我认为这是最好的选择。

首先将 ASA5550 连接到 HA 对。将 HA1 Inside/DMZ 接口连接到 Switch1。将 HA2 Inside/DMZ 连接到 Switch 2。让故障转移监控所有处于活动状态的接口。在 Switch 1 和 Switch 2 之间设置 3 或 4 端口 LACP。

现在这也假设您的 ISP 为您提供了位于同一 IP 地址空间的两个不同连接。

另外，您没有说您正在运行哪个版本的 ASAOS。8.4(1) 发行说明他们确实引入了 EtherChannel。它们可能也值得研究。