In den letzten beiden Artikeln (, ) haben wir das Funktionsprinzip betrachtet sowie die technischen und wirtschaftlichen Vorteile dieser Lösung. Nun möchte ich zu einem konkreten Beispiel ĂŒbergehen und ein mögliches Szenario fĂŒr die Implementierung von Check Point Maestro beschreiben. Ich werde eine typische Spezifikation sowie eine Netzwerktopologie (L1-, L2- und L3-Diagramme) mit Maestro zeigen. TatsĂ€chlich sehen Sie ein fertiges Standardprojekt.
Angenommen, wir entscheiden uns fĂŒr die Verwendung der skalierbaren Check Point Maestro-Plattform. Nehmen Sie dazu ein Paket aus drei 6500-Gateways und zwei Orchestratoren (fĂŒr vollstĂ€ndige Fehlertoleranz) â CPAP-MHS-6503-TURBO + CPAP-MHO-140. Das physikalische Anschlussdiagramm (L1) sieht folgendermaĂen aus:
Bitte beachten Sie, dass es zwingend erforderlich ist, die Management-Ports der Orchestratoren anzuschlieĂen, die sich auf der RĂŒckseite befinden.
Ich vermute, dass aus diesem Bild vieles nicht ganz klar hervorgeht, deshalb gebe ich gleich ein typisches Diagramm der zweiten Ebene des OSI-Modells:
Ein paar wichtige Punkte zum Programm:
- Normalerweise werden zwei Orchestratoren zwischen Core-Switches und externen Switches installiert. Diese. physische Isolierung des Internetsegments.
- Es wird davon ausgegangen, dass der âKernâ ein Stack (oder VSS) aus zwei Switches ist, auf dem ein PortChannel aus 4 Ports organisiert ist. Bei Full HA stellt jeder Orchestrator eine Verbindung zu jedem Switch her. Sie können jedoch jeweils einen Link verwenden, wie dies bei VLAN 5 der Fall ist â Netzwerkverwaltung (rote Links).
- Die fĂŒr die Ăbertragung des produktiven Datenverkehrs verantwortlichen Links (gelb) sind an 10-Gigabit-Ports angeschlossen. Hierzu werden SFP-Module verwendet - CPAC-TR-10SR-B
- Auf Ă€hnliche Weise (Full HA) werden Orchestratoren mit externen Switches (blaue Links) verbunden, verwenden jedoch Gigabit-Ports und die entsprechenden SFP-Module â CPAC-TR-1T-B.
Die Gateways selbst werden ĂŒber spezielle DAC-Kabel, die im Kit enthalten sind, mit jedem der Orchestratoren verbunden (Direktanschlusskabel (DAC), 1 m â CPAC-DAC-10G-1M):
Wie Sie dem Diagramm entnehmen können, muss eine Synchronisationsverbindung zwischen den Orchestratoren bestehen (rosa Links). Das benötigte Kabel ist ebenfalls im Lieferumfang enthalten. Die endgĂŒltige Spezifikation sieht so aus:
Leider kann ich keine Preise öffentlich veröffentlichen. Aber du kannst immer .
Das L3-Schema sieht viel einfacher aus:
Wie Sie sehen, sehen alle Gateways auf der dritten Ebene wie ein einziges GerĂ€t aus. Der Zugriff auf die Orchestratoren ist nur ĂŒber das Verwaltungsnetzwerk möglich.
Damit ist unser kurzer Artikel abgeschlossen. Wenn Sie Fragen zu den Schemata haben oder Quellcodes benötigen, hinterlassen Sie Kommentare oder .
Im nĂ€chsten Artikel werden wir versuchen zu zeigen, wie Check Point Maestro mit dem Balancing umgeht und Lasttests durchfĂŒhrt. Also bleibt gespannt, , , )!
PS: Ich danke Anatoly Masover und Ilya Anokhin (Firma Check Point) fĂŒr ihre Hilfe bei der Vorbereitung dieser PlĂ€ne!
Source: habr.com
