V posledních dvou článcích (, ) zvážili jsme princip fungování , jakož i technické a ekonomické výhody tohoto řešení. Nyní bych rád přešel ke konkrétnímu příkladu a popsal možný scénář implementace Check Point Maestro. Ukážu typickou specifikaci a také topologii sítě (diagramy L1, L2 a L3) pomocí Maestro. Ve skutečnosti uvidíte hotový standardní projekt.
Předpokládejme, že se rozhodneme, že použijeme škálovatelnou platformu Check Point Maestro. Chcete-li to provést, vezměte si balíček tří bran 6500 a dvou orchestrátorů (pro úplnou odolnost proti chybám) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. Fyzické schéma zapojení (L1) bude vypadat takto:
Vezměte prosím na vědomí, že je povinné připojit porty pro správu orchestrátorů, které jsou umístěny na zadním panelu.
Mám podezření, že z tohoto obrázku nemusí být mnoho věcí zcela jasných, takže hned uvedu typický diagram druhé úrovně modelu OSI:
Několik klíčových bodů o schématu:
- Mezi hlavní přepínače a externí přepínače jsou obvykle instalovány dva orchestrátory. Tito. fyzická izolace internetového segmentu.
- Předpokládá se, že „jádro“ je zásobník (nebo VSS) dvou přepínačů, na kterých je organizován PortChannel se 4 porty. U Full HA se každý orchestrátor připojuje ke každému přepínači. I když můžete použít jeden odkaz najednou, jak se to dělá s VLAN 5 - správa sítě (červené odkazy).
- Linky zodpovědné za přenos produktivního provozu (žlutá) jsou připojeny k 10 gigabitovým portům. K tomu se používají moduly SFP - CPAC-TR-10SR-B
- Podobným způsobem (Full HA) jsou orchestrátory připojeny k externím přepínačům (modré odkazy), ale pomocí gigabitových portů a odpovídajících SFP modulů - CPAC-TR-1T-B.
Samotné brány jsou připojeny ke každému orchestrátoru pomocí speciálních DAC kabelů, které jsou součástí sady (Kabel s přímým připojením (DAC), 1m - CPAC-DAC-10G-1M):
Jak můžete vidět z diagramu, mezi orchestrátory musí být synchronizační spojení (růžové odkazy). Součástí je také potřebný kabel. Konečná specifikace vypadá takto:
Bohužel nemohu zveřejnit ceny ve veřejné doméně. Ale můžeš vždycky .
Pokud jde o schéma L3, vypadá mnohem jednodušeji:
Jak vidíte, všechny brány na třetí úrovni vypadají jako jediné zařízení. Přístup k orchestrátorům je dostupný pouze prostřednictvím sítě pro správu.
Tímto náš krátký článek končí. Pokud máte dotazy ohledně schémat nebo potřebujete zdrojové kódy, zanechte komentáře nebo .
V příštím článku se pokusíme ukázat, jak se Check Point Maestro vypořádá s balancováním a provedeme zátěžové testování. Takže zůstaňte naladěni, , , )!
PS: Vyjadřuji svou vděčnost Anatoly Masover a Ilya Anokhin (společnost Check Point) za jejich pomoc při přípravě těchto schémat!
Zdroj: www.habr.com