Когда у меня есть кластер ie firewalls, обрабатывающий несколько сетей, зачем им всем нужен свой собственный IP-адрес в дополнение к виртуальному кластерному IP-адресу? Разве это не пустая трата адресов?
EDIT: Я знаю, что для доступа к FW необходим Mgmt-IP, но пусть будет пример.
Virtual FW1 FW2
Mgmt - 10.0.0.2 10.0.0.3
Net A 10.2.0.1 10.2.0.2 10.2.0.3
Net B 10.3.0.1 10.3.0.2 10.3.0.3
Net C 10.4.0.1 10.4.0.2 10.4.0.3
Я могу управлять своими брандмауэрами с адресом 10.0.0.2 и 10.0.0.3 и достигать кластера с 10.*.0.1. Зачем мне другие адреса *.2 и *.3?
решение1
(Вы не указали вашу операционную систему и топологию, но это неважно, я все равно не работаю с Cisco.)
Одной из причин может быть то, что FW2 (10.4.0.3) может проверить в Net C, присутствует ли там FW1 (10.4.0.2) (+edit:) и проверить наличие проблем внутри Net C. Если в Net C есть проблема с FW1, это помогает с (автоматической) диагностикой. Инициирование аварийного переключения из-за того, что «что-то не так», не рекомендуется.
(+редактирование: Вы упомянули только 10.* адресов. Если у вас есть внутренние официальные адреса, то только брандмауэрам нужны дополнительные/избыточные адреса, при условии обоснования с точки зрения важности системы и функциональной необходимости.) 10...* адреса дешевы, на самом деле они бесплатны. ;-) Но люди должны выделять их в разумных пределах. Если все они зарезервированы (и никому не нужны 16 миллионов адресов), они внезапно становятся очень дорогими.
P.S. Не могу прокомментировать, нужно добавить информацию в этот ответ.