U posljednja dva članka (, ) razmotrili smo princip rada , kao i tehničke i ekonomske prednosti ovog rješenja. Sada bih želio prijeći na konkretan primjer i opisati mogući scenario za implementaciju Check Point Maestra. Pokazat ću tipičnu specifikaciju kao i topologiju mreže (L1, L2 i L3 dijagrami) koristeći Maestro. U stvari, vidjet ćete gotov standardni projekat.
Pretpostavimo da odlučimo da ćemo koristiti Check Point Maestro skalabilnu platformu. Da biste to učinili, uzmite paket od tri 6500 gatewaya i dva orkestratora (za potpunu toleranciju grešaka) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. Dijagram fizičke veze (L1) će izgledati ovako:
Imajte na umu da je obavezno povezati upravljačke portove orkestratora, koji se nalaze na stražnjoj ploči.
Pretpostavljam da mnoge stvari možda nisu jasne sa ove slike, pa ću odmah dati tipičan dijagram drugog nivoa OSI modela:
Nekoliko ključnih tačaka o shemi:
- Dva orkestratora se obično instaliraju između ključnih prekidača i eksternih prekidača. One. fizička izolacija internet segmenta.
- Pretpostavlja se da je „jezgro“ stog (ili VSS) od dva prekidača na kojima je organizovan PortChannel od 4 porta. Za Full HA, svaki orkestrator se povezuje sa svakim prekidačem. Iako možete koristiti jednu po jednu vezu, kao što se radi sa VLAN 5 - upravljanje mrežom (crvene veze).
- Linkovi odgovorni za prenos produktivnog saobraćaja (žuti) povezani su na 10 gigabitnih portova. Za to se koriste SFP moduli - CPAC-TR-10SR-B
- Na sličan (Full HA) način, orkestratori su povezani na eksterne prekidače (plave veze), ali koristeći gigabitne portove i odgovarajuće SFP module - CPAC-TR-1T-B.
Sami gateway-i su povezani sa svakim od orkestratora pomoću posebnih DAC kablova koji dolaze s kompletom (Kabel za direktno povezivanje (DAC), 1m - CPAC-DAC-10G-1M):
Kao što možete vidjeti iz dijagrama, mora postojati sinhronizaciona veza između orkestratora (ružičaste veze). Uključen je i potreban kabl. Konačna specifikacija izgleda ovako:
Nažalost, ne mogu objaviti cijene u javnom domenu. Ali uvek možeš .
Što se tiče L3 šeme, ona izgleda mnogo jednostavnije:
Kao što vidite, svi gateway-i na trećem nivou izgledaju kao jedan uređaj. Pristup orkestratorima je dostupan samo preko mreže upravljanja.
Ovim je naš kratki članak završen. Ako imate pitanja o shemama ili su vam potrebni izvorni kodovi, ostavite komentare ili .
U sljedećem članku ćemo pokušati pokazati kako se Check Point Maestro bavi balansiranjem i testiranjem opterećenja. Zato ostanite sa nama, , , )!
PS Izražavam svoju zahvalnost Anatoliju Masoveru i Ilji Anohinu (kompanija Check Point) za njihovu pomoć u pripremi ovih šema!
izvor: www.habr.com