De acordo com o Guia de configuração da série Cisco ASA 5500 , o método preferido da Cisco para configurar sua rede para a Alta disponibilidade ASA é:
Eles têm dois interruptores externos, dois interruptores internos e, em seguida, duas conexões diretas e não comutadas entre as duas unidades ASA.
Por que dois links entre os ASAs?
A única coisa que consigo pensar é que com um único link de failover é que, se a interface do link de failover falhar, ambos os switches pensarão que eles são a unidade primária (e a hilaridade acontece) e depurar qual link falhou será mais difícil, pois ambas as unidades indicarão que sua interface está offline. No entanto, isso parece certo em termos de possíveis falhas.
Eu suspeito que seu raciocínio esteja certo. Como a ideia é criar uma solução de failover totalmente redundante, qualquer ponto único de falha deve ser endereçado. Como você diz, se não tiver um link de failover Standy, a falha de uma porta pode causar um problema sério.
Como isso, em teoria, não é menos provável que aconteça do que uma falha em uma das outras portas físicas do dispositivo, definitivamente parece que ele precisa ser planejado!