In den letzten beiden Artikeln (, ) haben wir das Funktionsprinzip betrachtet sowie die technischen und wirtschaftlichen Vorteile dieser Lösung. Nun möchte ich zu einem konkreten Beispiel übergehen und ein mögliches Szenario für die Implementierung von Check Point Maestro beschreiben. Ich werde eine typische Spezifikation sowie eine Netzwerktopologie (L1-, L2- und L3-Diagramme) mit Maestro zeigen. Tatsächlich sehen Sie ein fertiges Standardprojekt.
Angenommen, wir entscheiden uns für die Verwendung der skalierbaren Check Point Maestro-Plattform. Nehmen Sie dazu ein Paket aus drei 6500-Gateways und zwei Orchestratoren (für vollständige Fehlertoleranz) – CPAP-MHS-6503-TURBO + CPAP-MHO-140. Das physikalische Anschlussdiagramm (L1) sieht folgendermaßen aus:
Bitte beachten Sie, dass es zwingend erforderlich ist, die Management-Ports der Orchestratoren anzuschließen, die sich auf der Rückseite befinden.
Ich vermute, dass aus diesem Bild vieles nicht ganz klar hervorgeht, deshalb gebe ich gleich ein typisches Diagramm der zweiten Ebene des OSI-Modells:
Ein paar wichtige Punkte zum Programm:
- Normalerweise werden zwei Orchestratoren zwischen Core-Switches und externen Switches installiert. Diese. physische Isolierung des Internetsegments.
- Es wird davon ausgegangen, dass der „Kern“ ein Stack (oder VSS) aus zwei Switches ist, auf dem ein PortChannel aus 4 Ports organisiert ist. Bei Full HA stellt jeder Orchestrator eine Verbindung zu jedem Switch her. Sie können jedoch jeweils einen Link verwenden, wie dies bei VLAN 5 der Fall ist – Netzwerkverwaltung (rote Links).
- Die für die Übertragung des produktiven Datenverkehrs verantwortlichen Links (gelb) sind an 10-Gigabit-Ports angeschlossen. Hierzu werden SFP-Module verwendet - CPAC-TR-10SR-B
- Auf ähnliche Weise (Full HA) werden Orchestratoren mit externen Switches (blaue Links) verbunden, verwenden jedoch Gigabit-Ports und die entsprechenden SFP-Module – CPAC-TR-1T-B.
Die Gateways selbst werden über spezielle DAC-Kabel, die im Kit enthalten sind, mit jedem der Orchestratoren verbunden (Direktanschlusskabel (DAC), 1 m – CPAC-DAC-10G-1M):
Wie Sie dem Diagramm entnehmen können, muss eine Synchronisationsverbindung zwischen den Orchestratoren bestehen (rosa Links). Das benötigte Kabel ist ebenfalls im Lieferumfang enthalten. Die endgültige Spezifikation sieht so aus:
Leider kann ich keine Preise öffentlich veröffentlichen. Aber du kannst immer .
Das L3-Schema sieht viel einfacher aus:
Wie Sie sehen, sehen alle Gateways auf der dritten Ebene wie ein einziges Gerät aus. Der Zugriff auf die Orchestratoren ist nur über das Verwaltungsnetzwerk möglich.
Damit ist unser kurzer Artikel abgeschlossen. Wenn Sie Fragen zu den Schemata haben oder Quellcodes benötigen, hinterlassen Sie Kommentare oder .
Im nächsten Artikel werden wir versuchen zu zeigen, wie Check Point Maestro mit dem Balancing umgeht und Lasttests durchführt. Also bleibt gespannt, , , )!
PS: Ich danke Anatoly Masover und Ilya Anokhin (Firma Check Point) für ihre Hilfe bei der Vorbereitung dieser Pläne!
Source: habr.com