Parece que apenas um endereço de espera que seria necessário é para a interface de "failover". Isso é dado com o seguinte comando, por exemplo:
failover interface ip failover_link 10.99.99.253 255.255.255.252 standby 10.99.99.254
A maioria dos exemplos de configuração que eu vejo tem o lado de fora int também ter um endereço de espera:
Interface ethernet0
Nameif outside
Ip address 10.5.1.1 255.255.255.0 standby 10.5.1.2
Por que a interface externa precisa de um endereço de espera se, quando ocorrer um failover, estiver usando o IP do ASA principal?
Você não precisa estritamente de um endereço IP de reserva, está correto. Pode ser útil configurar seu firewall dessa maneira se os endereços IP públicos forem valiosos. Ter um endereço IP em cada interface é mais útil para monitorar a integridade de cada interface e, é claro, é útil para o standby ter pelo menos um endereço próprio, para que você possa se conectar a ele para gerenciamento.
Eu geralmente dou endereços de espera para todas as interfaces como uma questão de boa prática.
Os endereços em espera são necessários para usar o recurso de monitoramento.
Se você não for usar o monitoramento por interface, por que se preocupar em executar o failover?
Ao contrário do que foi dito acima, um endereço de failover para dentro é absolutamente crucial, ou você não pode acessar a caixa passiva.
De todo.
(Sim, claro, você sempre pode conectar um cabo de console - divirta-se com isso quando a caixa estiver em um datacenter a 5.000 milhas de distância ...)