Wenn ich einen Cluster von Firewalls habe, die mehrere Netzwerke verwalten, warum benötigen sie dann alle zusätzlich zur virtuellen Cluster-IP-Adresse eine eigene IP-Adresse? Ist das nicht eine Verschwendung von Adressen?
EDIT: Ich weiß, dass es eine Mgmt-IP geben muss, um die FWs zu erreichen, aber hier ist ein Beispiel.
Virtual FW1 FW2
Mgmt - 10.0.0.2 10.0.0.3
Net A 10.2.0.1 10.2.0.2 10.2.0.3
Net B 10.3.0.1 10.3.0.2 10.3.0.3
Net C 10.4.0.1 10.4.0.2 10.4.0.3
Ich kann meine Firewalls über die Adressen 10.0.0.2 und 10.0.0.3 verwalten und den Cluster über 10.*.0.1 erreichen. Wozu brauche ich die anderen Adressen *.2 und *.3?
Antwort1
(Sie haben Ihr Betriebssystem und Ihre Topologie nicht angegeben, aber das spielt keine Rolle, ich arbeite sowieso nicht mit Cisco.)
Ein Grund wäre, dass FW2 (10.4.0.3) auf Net C prüfen kann, ob FW1 (10.4.0.2) dort noch vorhanden ist (+edit:) und nach Problemen innerhalb von Net C suchen und diese testen kann. Wenn es auf Net C ein Problem gibt und FW1 zuständig ist, hilft dies bei der (automatischen) Diagnose. Ein Failover zu initiieren, weil „etwas nicht stimmt“, ist nicht ratsam.
(+Bearbeiten: Sie haben nur 10.*-Adressen erwähnt. Wenn Sie interne offizielle Adressen haben, benötigen nur die Firewalls zusätzliche/redundante Adressen, mit guter Begründung hinsichtlich der Systemrelevanz und funktionalen Notwendigkeit.) 10...*-Adressen sind günstig, eigentlich sogar kostenlos. ;-) Aber man sollte bei der Vergabe auf vernünftige Weise vorgehen. Wenn alle reserviert sind (und niemand braucht 16 Millionen Adressen), werden sie auf einmal sehr teuer.
PS: Kann keinen Kommentar abgeben, muss dieser Antwort Informationen hinzufügen.