Белая книга для Cisco Cisco Nexus 5010 Switch

 

 

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 

Page 31 of 75 

The configuration is almost identical to Configurations 7a and 7b. The only difference is that the firewall-facing 

interfaces are no longer vPCs.  

The connectivity mode of the active-active clustered east-west firewalls in transparent mode is provided by the 

ASA spannel EtherChannel feature. Please refer to configuration guide for more details: 

. 

The leaf configuration is identical to Configurations 7a and 7b. In addition, because both firewalls are actively 

forwarding traffic, this configuration eliminates suboptimal traffic routing (Figure 17). 

Figure 17.    Clustered Firewalls in Transparent Mode with Spanned EtherChannel and vPC Connectivity to Leaf Nodes 

 

Tenant-Edge Firewall Deployment Scenarios 

As discussed in the introduction to this document, tenant-edge firewalls are deployed when the data traffic between 

the VRF instances or tenants needs to be subjected to security policies. A tenant-edge firewall is often used as an 

ultimate gateway out of the VRF instance, which means that any traffic that needs to be sent outside the routing 

domain of a given VRF instance has to pass through the tenant-edge firewall. This section explores this case 

(Figure 18).