Quando tenho um cluster de firewalls que lidam com várias redes, por que todos eles precisam de seu próprio endereço IP, além do endereço IP do cluster virtual? Isso não é um desperdício de endereços?
EDIT: Eu sei que tem que haver um Mgmt-IP para chegar aos FWs, mas que fique um exemplo.
Virtual FW1 FW2
Mgmt - 10.0.0.2 10.0.0.3
Net A 10.2.0.1 10.2.0.2 10.2.0.3
Net B 10.3.0.1 10.3.0.2 10.3.0.3
Net C 10.4.0.1 10.4.0.2 10.4.0.3
Posso gerenciar meus firewalls com os endereços 10.0.0.2 e 10.0.0.3 e chegar ao cluster com 10.*.0.1. Por que preciso dos outros endereços *.2 e *.3?
Responder1
(Você não declarou seu sistema operacional e topologia, mas isso não importa, eu não faço Cisco de qualquer maneira.)
Uma razão seria que FW2 (10.4.0.3) pode verificar na Rede C se FW1 (10.4.0.2) ainda está presente lá (+editar:) e procurar e testar problemas dentro da Rede C. Se houver um problema na Rede C com o FW1 responsável, isso ajuda no diagnóstico (automático). Não é aconselhável iniciar um failover porque “algo está errado”.
(+editar: você mencionou apenas 10.* endereços. Se você tiver endereços oficiais internos, apenas os firewalls precisam de endereços adicionais/redundantes, com boa justificativa da importância do sistema e da necessidade funcional.) 10..Os endereços .* são baratos, na verdade são gratuitos. ;-) Mas as pessoas devem alocar dentro do razoável. Se todos eles forem reservados (e ninguém precisar de 16 milhões de endereços), eles ficarão muito caros de repente.
PS Não posso comentar, tenho que adicionar informações nesta resposta.