Cuando tengo un grupo de firewalls que manejan múltiples redes, ¿por qué todos necesitan su propia dirección IP además de la dirección IP del grupo virtual? ¿No es esto un desperdicio de direcciones?
EDITAR: Sé que tiene que haber una IP de administración para llegar a los FW, pero dejemos que haya un ejemplo.
Virtual FW1 FW2
Mgmt - 10.0.0.2 10.0.0.3
Net A 10.2.0.1 10.2.0.2 10.2.0.3
Net B 10.3.0.1 10.3.0.2 10.3.0.3
Net C 10.4.0.1 10.4.0.2 10.4.0.3
Puedo administrar mis firewalls con la dirección 10.0.0.2 y 10.0.0.3 y llegar al clúster con 10.*.0.1. ¿Por qué necesito las otras direcciones *.2 y *.3?
Respuesta1
(No indicó su sistema operativo ni su topología, pero no importa, de todos modos no trabajo con Cisco).
Una razón sería que FW2 (10.4.0.3) puede verificar en Net C si FW1 (10.4.0.2) todavía está presente allí (+editar:) y buscar y probar problemas dentro de Net C. Si hay un problema en Net C con FW1 a cargo, esto ayuda con el diagnóstico (automático). No es aconsejable iniciar una conmutación por error porque "algo anda mal".
(+editar: mencionaste solo 10.* direcciones. Si tienes direcciones oficiales internas, solo los firewalls necesitan direcciones adicionales/redundantes, con una buena justificación por la importancia del sistema y la necesidad funcional). 10..Las direcciones .* son baratas, en realidad son gratis. ;-) Pero la gente debería asignar dentro de lo razonable. Si todas están reservadas (y nadie necesita 16 millones de direcciones), de repente se vuelven muy caras.
PD: No puedo comentar, tengo que agregar información en esta respuesta.