似乎只需要一个备用地址用于“故障转移”接口。例如,使用以下命令提供备用地址:
failover interface ip failover_link 10.99.99.253 255.255.255.252 standby 10.99.99.254
我所看到的大多数配置示例都具有外部 int,并且也具有待机地址:
Interface ethernet0
Nameif outside
Ip address 10.5.1.1 255.255.255.0 standby 10.5.1.2
如果发生故障转移时使用主 ASA 的 IP,那么为什么外部接口需要备用地址?
答案1
您并不严格要求备用 IP 地址,您说得对。如果公共 IP 地址非常宝贵,以这种方式配置防火墙会很有用。每个接口上都有一个 IP 地址对于监控每个接口的运行状况非常有用,当然,备用接口至少有一个自己的地址也很有用,这样您就可以连接到它进行管理。
作为一种良好做法,我通常会为所有接口提供备用地址。
答案2
要使用监控功能,需要有备用地址。
如果您不打算使用每个接口的监控,那为什么还要运行故障转移呢?
与上述相反,里面
绝对至关重要,否则您根本无法访问被动盒。
(是的,当然,您可以随时连接控制台电缆 - 当盒子位于 5000 英里外的数据中心时,您可以尽情享受它……)