У мінулых двух артыкулах (, ) мы разгледзелі прынцып працы , а таксама тэхнічныя і эканамічныя перавагі гэтага рашэння. Цяпер хацелася б перайсці да канкрэтнага прыкладу і апісаць магчымы сцэнар укаранення Check Point Maestro. Я пакажу тыпавую спецыфікацыю, а таксама сеткавую тапалогію (L1, L2 і L3 схемы) з выкарыстаннем Maestro. Па сутнасці, вы ўбачыце гатовы тыпавы праект.
Выкажам здагадку, мы вырашылі, што будзем выкарыстоўваць якая маштабуецца платформу Check Point Maestro. Для гэтага возьмем бандл з трох шлюзаў 6500 і двух аркестратараў (для поўнай адмоваўстойлівасці). CPAP-MHS-6503-TURBO + CPAP-MHO-140. Фізічная схема падлучэнняў (L1) будзе выглядаць наступным чынам:
Звярніце ўвагу, што абавязкова падлучэнне Management партоў аркестратараў, якія знаходзяцца на задняй панэлі.
Падазраю, што па гэтым малюнку шматлікае можа быць не вельмі зразумела, таму адразу прывяду тыпавую схему другога ўзроўня мадэлі OSI:
Некалькі ключавых момантаў па схеме:
- Два аркестратары звычайна ўсталёўваюцца паміж камутатарамі ядра і вонкавымі свічкамі. Г.зн. фізічная ізаляцыя Інтэрнэт сегмента.
- Мяркуецца, што "ядро" гэта стэк (або VSS) двух камутатараў, на якіх арганізуецца PortChannel з 4 партоў. Для Full HA кожны аркестратар падключаецца да кожнага камутатара. Хаця вы можаце выкарыстоўваць і па адным лінку, як гэта зроблена c VLAN 5 – менеджмент сетку (чырвоныя лінкі).
- Лінкі якія адказваюць за перадачу прадуктыўнага трафіку (жоўтыя) падлучаюцца да 10 гігабітных партоў. Для гэтага выкарыстоўваюцца SFP модулі. CPAC-TR-10SR-B
- Аналагічным (Full HA) спосабам аркестратары падлучаюцца да вонкавых камутатараў (блакітныя лінкі), але ўжо з выкарыстаннем гігабітных партоў і адпаведных SFP модуляў. CPAC-TR-1T-B.
Самі шлюзы падключаюцца да кожнага з аркестратараў з дапамогай спецыяльных DAC кабеляў, якія ідуць у камплекце (Direct Attach Cable (DAC), 1m – CPAC-DAC-10G-1M):
Як відаць са схемы, паміж орекстраторами павінна быць злучэнне для сінхранізацыі (ружовыя лінк). Неабходны кабель таксама прысутнічае ў камплекце. Выніковая спецыфікацыя выглядае наступным чынам:
Нажаль не магу публікаваць кошты ў адчыненым доступе. Але вы заўсёды можаце .
Што да L3 схемы, то яна выглядае нашмат прасцей:
Як бачыце, усе шлюзы на трэцім узроўні выглядаюць як адзіная прылада. Доступ да аркестратараў пры гэтым ёсць толькі праз Management сетку.
На гэтым мы скончым наш невялікі артыкул. Калі ў вас ёсць пытанні па схемах ці вам патрэбныя зыходнікі, то пакідайце каментары ці .
У наступным артыкуле мы паспрабуем паказаць, як Check Point Maestro спраўляецца з балансаваннем і правядзем нагрузачнае тэсціраванне. Так што сочыце за абнаўленнямі (, , , )!
PS Выказваю падзяку Анатолю Масовер і Іллі Анохін (кампанія Check Point) за дапамогу ў падрыхтоўцы дадзеных схем!
Крыніца: habr.com