單個 Cisco ASA，用 2 個 2960G 和 VLAN 替換單個 2960 交換機

我有一個 Cisco ASA5510，IOS 7.2.5

目前，它連接到具有 VLAN 10、11、12 的單個 Cisco 2960，配置為 E0/1 上的子介面，這也是各個 VLAN 的內部預設網關。所以 VLAN 之間的 ASA 路由 - （LAN、DMZ 等）

我們的母公司已發送 2 x 2960G 交換機（不可堆疊）作為交換機替代品。

將這些交換機連接到 ASA 的最佳方法是什麼？我想淘汰舊的 2960，只使用新的千兆交換機。我需要在兩台交換機上使用相同的 VLAN。

不知道是否最好有一條到 ASA5510 到 sw1 的中繼鏈路，然後是從 SW1 到 SW2 的 LACP 埠通道——我意識到這是菊花鏈，所以最不優選。

或者

ASA/E0 - SW1/Gi0/1 - 像現在一樣帶有子介面的中繼？

ASA/E1 - SW2/Gi0/1 - 帶子介面的中繼？

SW1 - SW2 - LACP ?? 還是會導致生成樹循環？

我願意接受任何其他配置建議。

希望我不需要在 ASA 上升級到 IOS 8.4，真的很想暫時避免那些頭痛

ASA 不支持 STP，但您可以配置“冗餘介面”，這將是主動/被動的 - 可能通過一條鏈路打開和一條鏈路關閉。您可能需要升級作業系統版本。

它似乎沒有過濾 BPDU，因此很可能讓交換機使用 STP 並控制哪個埠處於什麼狀態。然而，這不是我嘗試過的，所以我建議你仔細測試一下，或者堅持使用“冗餘介面”功能。

請參閱http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/intrface.html

引用自：https://serverfault.com/questions/473561