отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .

failover ASA5525-x

Добрый день,

Есть две идентичные ASA5525-x и switch3750-x (2шт) switch3750(2шт)

Будеть ли это схема работать. В дукументации есть вот это: The ASA does not support connecting an EtherChannel to a switch stack. If the ASA EtherChannel is connected cross stack, and if the Master switch is powered down, then the EtherChannel connected to the remaining switch will not come up. Или это касается только FO link.

Если такая схема не будеть работать, можно ли как то дублировать inside и ouside интерфейсы в данной схеме?

Спасибо.

c122.PNG

Теги (3)
1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения
Cisco Employee

failover ASA5525-x

Дмитрий правильно говорит. Проблема в смене MAC при выходе из строя stack master. А MAC используется LACP. Для фиксации MAC можно использовать 'stack-mac persistent timer 0', но тогда надо обеспечить, чтобы не было partitioning'а стека на два. Официально подключение ASA через cross stack etherchannel не поддерживается, но работает.

CSCtw63096    ENH: ASA Etherchannel does not work with switch stacks

CSCtw63011    ASA: 8.4 Etherchannel does not work with Switch Stack

Кстати, более интересный вопрос, - стоит ли failover link подключать кроссом или через свитчи. Я голосую за "через свитчи", отсутствие etherchannel и redundant-интерфейсов.

4 ОТВЕТ.

failover ASA5525-x

Интересное ограничение.

В доке я нашел упоминание VSS. Единственное отличие стека 3750-х от VSS, которое приходит мне в голову, это возможная смена LACP/PAGP ID при фейловере. Попробуйте сделать на стеках stack-mac persistent timer 0. Обязательно протестируйте, что произойдет при отключении мастера и фейловере в пределах одного из стеков.

Еще вариант: обойтись без port-channel'а, просто подключить нижнюю асу к нижним свитчам стеков, верхнюю - к верхним (по схеме выше). При смерти любого одного линка или устройства сервис не нарушится, в худшем случае кластер ASA сфейловерится, потери трафика будут небольшими. Только аса должна знать, что при падении линка надо фейловериться.

Еще вариант: статический port-channel без LACP/PAGP. Страшновато, но жить должно, никакой умной логики там нет.

Еще вариант: int redundant с кроссировкой по указанной схеме.

Cisco Employee

failover ASA5525-x

Дмитрий правильно говорит. Проблема в смене MAC при выходе из строя stack master. А MAC используется LACP. Для фиксации MAC можно использовать 'stack-mac persistent timer 0', но тогда надо обеспечить, чтобы не было partitioning'а стека на два. Официально подключение ASA через cross stack etherchannel не поддерживается, но работает.

CSCtw63096    ENH: ASA Etherchannel does not work with switch stacks

CSCtw63011    ASA: 8.4 Etherchannel does not work with Switch Stack

Кстати, более интересный вопрос, - стоит ли failover link подключать кроссом или через свитчи. Я голосую за "через свитчи", отсутствие etherchannel и redundant-интерфейсов.

failover ASA5525-x

спасибо за ответ, Дмитрий, Олег

1. значить если для inside и outside,  иcпользовать  redundant-интерфейсов вместо etherchenal в текущей схеме у меня не должно возникать проблем?

2. если это bug на новых версиях исправленно или еще нет?

3. в док. тоже рекоменодованно для failover link ипользовать switch но у меня пока нет вож.

failover ASA5525-x

1. Озвученной проблемы не возникнет. И все-таки проще было бы подключить каждую асу в свою пару свитчей одним линком, без агрегации. Если любой изображенный на схеме элемент умрет, то в худшем случае аса сфейловерится, и всё.

2. Это не баг, а отсутствие фичи. Не исправлено.

3. Ну тогда соединяйте напрямую.

449
Просмотры
11
Полезный материал
4
Ответы