I de sidste to artikler (, ) har vi overvejet funktionsprincippet , samt de tekniske og økonomiske fordele ved denne løsning. Nu vil jeg gerne gå videre til et specifikt eksempel og beskrive et muligt scenarie for implementering af Check Point Maestro. Jeg vil vise en typisk specifikation samt en netværkstopologi (L1, L2 og L3 diagrammer) ved hjælp af Maestro. Faktisk vil du se et færdigt standardprojekt.
Antag, at vi beslutter, at vi vil bruge Check Point Maestro skalerbare platform. For at gøre dette, tag et bundt med tre 6500 gateways og to orkestratorer (for fuldstændig fejltolerance) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. Det fysiske forbindelsesdiagram (L1) vil se sådan ud:
Bemærk venligst, at det er obligatorisk at tilslutte orkestratorernes Management-porte, som er placeret på bagpanelet.
Jeg formoder, at mange ting måske ikke er særlig tydelige fra dette billede, så jeg vil straks give et typisk diagram over det andet niveau af OSI-modellen:
Et par hovedpunkter om ordningen:
- To orkestratorer er normalt installeret mellem kernekontakter og eksterne switche. De der. fysisk isolering af internetsegmentet.
- Det antages, at "kernen" er en stak (eller VSS) af to switches, hvorpå en PortChannel med 4 porte er organiseret. For Full HA forbinder hver orkestrator til hver switch. Selvom du kan bruge et link ad gangen, som det gøres med VLAN 5 - netværksstyring (røde links).
- Linkene, der er ansvarlige for transmissionen af produktiv trafik (gul) er forbundet til 10 gigabit-porte. Til dette bruges SFP-moduler - CPAC-TR-10SR-B
- På en lignende (Fuld HA) måde er orkestratorer forbundet til eksterne switche (blå links), men ved hjælp af gigabit-porte og de tilsvarende SFP-moduler - CPAC-TR-1T-B.
Selve gatewayerne er forbundet til hver af orkestratorerne ved hjælp af specielle DAC-kabler, der følger med sættet (Direkte tilsluttet kabel (DAC), 1m - CPAC-DAC-10G-1M):
Som du kan se af diagrammet, skal der være en synkroniseringsforbindelse mellem orkestratorerne (lyserøde links). Det nødvendige kabel medfølger også. Den endelige specifikation ser således ud:
Jeg kan desværre ikke offentliggøre priser i det offentlige domæne. Men det kan du altid .
Hvad angår L3-skemaet, ser det meget enklere ud:
Som du kan se, ligner alle gateways på tredje niveau en enkelt enhed. Adgang til orkestratorerne er kun tilgængelig gennem ledelsesnetværket.
Dette afslutter vores korte artikel. Hvis du har spørgsmål til ordningerne, eller du har brug for kildekoder, så skriv kommentarer eller .
I den næste artikel vil vi forsøge at vise, hvordan Check Point Maestro håndterer balancering og udfører belastningstest. Så følg med, , , )!
PS Jeg udtrykker min taknemmelighed til Anatoly Masover og Ilya Anokhin (Check Point-firmaet) for deres hjælp til at forberede disse ordninger!
Kilde: www.habr.com