Белая книга для Cisco Cisco Nexus 5010 Switch

 

 

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 

Page 20 of 75 

interface Bdi1501   

## interface, used for Layer-3 peering with fabric.

  

  ip address 10.10.200.253/24 

  ip router ospf FW-TO-FABRIC-OSPF area 0 

interface Bdi1501   

## interface, used for Layer-3 peering with fabric.

  

  ip address 10.10.200.254/24 

  ip router ospf FW-TO-FABRIC-OSPF area 0

 

ASA firewalls support clustered high-availability deployment models using a spanned Cisco EtherChannel. In 

combination with the vPC feature in the Cisco programmable fabric, they support multinode firewall clustering for 

greater scalability and throughput. This section describes some of the deployment considerations associated with 

deployment of an active-active cluster of ASA firewalls in programmable fabric (Figure 14).  

Figure 14.    Clustered Firewalls in Routed Mode with Spanned EtherChannel and vPC Connectivity to Leaf Nodes 

 

As of this writing, Layer 3 over vPC is not supported in the current software, so the only available deployment 

scenario for vPC dual-homed routed mode firewalls uses static routing. 

A cluster of east-west firewalls in routed mode completely mirrors running configrations between the firewall cluster 

members and synchronize all states to facilitate traffic policy enforcement. Their virtual IP and MAC addresses are 

also replicated in a way that makes the entire cluster look like a single device with multiple links in a port channel. 

With the vPC feature on the fabric leaf nodes, all links to firewall cluster members can be bundled in a single vPC. 

Multiple subinterfaces on both the leaf nodes as well as the firewall cluster members can be assigned to reflect, 

respectively, inside and ouside logical interfaces. 

The configuration on the leaf nodes will closely resemble Configurations 1a, 1b, 2a, 2b, 3a, and 3b.