如果活動防火牆到網關的介面出現故障，流量會通過備用防火牆嗎？

這是場景。我有兩個 ASA 5510 處於活動/備用狀態。它們中的每一個都有一個上行鏈路到在 HSRP 中配置的兩個路由器（HSRP1 和 HSRP2）之一。災難襲來，活動 ASA 5510 和 HSRP1 之間的介面出現故障。

如果活動防火牆到網關的介面出現故障，流量會通過備用防火牆嗎？

更新：上面顯示的拓撲將無法正常工作。您必須有一個由 HSRP1、HSRP2 和兩個防火牆共享的廣播域（VLAN 或專用交換機）才能正常工作。否則你會得到非對稱路由和其他奇怪的東西，因為 HSRP 路由器不能正確地傳送 hello 數據包。幫自己一個忙，在防火牆和路由器之間使用 VLAN 或專用交換機。

您必須在 HSRP 路由器和 ASA 之間有一個廣播域（讀取：交換機），否則 HSRP hello 數據包將無法在路由器之間傳遞。

當我將 HSRP 路由器直接連接到防火牆時，我得到了路由問題的獎勵。不要重複我的錯誤:)

兩個防火牆和兩個 HSRP 路由器都需要共享一個廣播域才能工作。我在名義上位於這些防火牆後面的交換機上使用了一個專用於外部流量的 VLAN。我在該 VLAN 中為每個 HSRP 路由器和每個防火牆的外部介面標記了足夠多的交換機埠。

我沒有在 ASA 上使用跟踪。如果我斷開其中一個連接，HSRP 會自動無縫地為我進行故障轉移。我發現活動/備用故障轉移不太順利，因為連接實際上被丟棄了。

與 20 分鐘前相同的答案：使用 ASA“Track”和“Ip SLA”選項。查看那些以跟踪從 asa 到 HSRP 的路由，並向其添加 SLA 以切換網路路由。

引用自：https://serverfault.com/questions/335799