複数のネットワークを処理するファイアウォールなどのクラスターがある場合、仮想クラスター IP アドレスに加えて、それらすべてに独自の IP アドレスが必要なのはなぜですか? これはアドレスの無駄ではありませんか?
編集: FW に到達するには Mgmt-IP が必要であることは承知していますが、例を挙げます。
Virtual FW1 FW2
Mgmt - 10.0.0.2 10.0.0.3
Net A 10.2.0.1 10.2.0.2 10.2.0.3
Net B 10.3.0.1 10.3.0.2 10.3.0.3
Net C 10.4.0.1 10.4.0.2 10.4.0.3
アドレス 10.0.0.2 と 10.0.0.3 を使用してファイアウォールを管理し、10.*.0.1 を使用してクラスターにアクセスできます。他の *.2 および *.3 アドレスが必要なのはなぜですか?
答え1
(オペレーティング システムとトポロジを指定していませんが、それは問題ではありません。いずれにしても、私は Cisco を使用していません。)
理由の 1 つは、FW2 (10.4.0.3) が Net C 上で FW1 (10.4.0.2) がまだ存在するかどうかをチェックし (+ 編集:)、Net C 内の問題を調べてテストできることです。FW1 が管理する Net C に問題がある場合、これは (自動) 診断に役立ちます。「何か問題がある」という理由でフェイルオーバーを開始することはお勧めできません。
(+編集: 10.* アドレスのみについて言及しています。内部の公式アドレスがある場合は、システムの重要性と機能上の必要性から正当な理由があれば、ファイアウォールのみに追加/冗長アドレスが必要です。) 10.。.* アドレスは安価で、実際は無料です。 ;-) ただし、割り当ては合理的な範囲内で行う必要があります。 すべてが予約されている場合 (そして 1600 万のアドレスを誰も必要としていない場合)、アドレスは突然非常に高価になります。
PS コメントできません。この回答に情報を追加する必要があります。