我有一台思科 ASA5510,IOS 7.2.5
目前,它连接到单个 Cisco 2960,VLAN 为 10、11、12,配置为 E0/1 上的子接口,这些子接口也是各个 VLAN 的内部默认网关。因此,ASA 在 VLAN(LAN、DMZ 等)之间路由
我们的母公司已发送 2 台 2960G 交换机(不可堆叠)作为交换机替代品。
将这些交换机连接到 ASA 的最佳方法是什么?我想停用旧的 2960,只使用新的千兆交换机。我需要在两个交换机上使用相同的 VLAN。
不知道是否最好有一条从 ASA5510 到 sw1 的单个中继链路,然后从 SW1 到 SW2 的 LACP 端口通道——我意识到这是菊花链,因此是最不理想的。
或者
ASA/E0 - SW1/Gi0/1 - 现在带有子接口的中继?
ASA/E1-SW2/Gi0/1-带有子接口的中继?
SW1 - SW2 - LACP ?? 或者这会导致生成树环路吗?
我愿意接受任何其他配置建议。
希望我不需要将 ASA 升级到 IOS 8.4,真的想暂时避免这些麻烦
答案1
ASA 不支持 STP,但您可以配置“冗余接口”,这些接口将具有某种主动/被动功能 - 可能通过一个链路开启和一个链路关闭来实现。您可能需要升级操作系统版本。
它似乎不过滤 BPDU,因此很可能让交换机使用 STP 并控制哪个端口处于什么状态。不过我还没有尝试过,所以我建议您仔细测试一下,或者坚持使用“冗余接口”功能。
看http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/intrface.html