当我有一组 IE 防火墙处理多个网络时,为什么除了虚拟集群 IP 地址之外,它们还需要自己的 IP 地址?这不是浪费地址吗?
编辑:我知道必须有一个 Mgmt-IP 才能到达 FW,但请举个例子。
Virtual FW1 FW2
Mgmt - 10.0.0.2 10.0.0.3
Net A 10.2.0.1 10.2.0.2 10.2.0.3
Net B 10.3.0.1 10.3.0.2 10.3.0.3
Net C 10.4.0.1 10.4.0.2 10.4.0.3
我可以使用地址 10.0.0.2 和 10.0.0.3 管理防火墙,并使用 10.*.0.1 访问集群。为什么我需要其他 *.2 和 *.3 地址?
答案1
(您没有说明您的操作系统和拓扑,但这并不重要,反正我不做思科。)
一个原因是 FW2 (10.4.0.3) 可以在网络 C 上检查 FW1 (10.4.0.2) 是否仍然存在 (+编辑:),并查找和测试网络 C 内部的问题。如果网络 C 上存在问题且 FW1 负责,这有助于 (自动) 诊断。不建议因为“出现问题”而启动故障转移。
(+ 编辑:您只提到了 10.* 地址。如果您有内部官方地址,则只有防火墙需要额外/冗余的地址,并且具有系统重要性和功能必要性的充分理由。)10.。.* 地址很便宜,实际上它们是免费的。;-) 但人们应该合理分配。如果所有地址都被保留(并且没有人需要 1600 万个地址),它们会突然变得非常昂贵。
PS 无法评论,必须在这个答案中添加信息。