En los dos últimos artículos (, ) hemos considerado el principio de funcionamiento , así como las ventajas técnicas y económicas de esta solución. Ahora me gustaría pasar a un ejemplo específico y describir un posible escenario para implementar Check Point Maestro. Mostraré una especificación típica así como una topología de red (diagramas L1, L2 y L3) utilizando Maestro. De hecho, verá un proyecto estándar listo para usar.
Supongamos que decidimos que utilizaremos la plataforma escalable Check Point Maestro. Para hacer esto, tome un paquete de tres puertas de enlace 6500 y dos orquestadores (para una tolerancia a fallas completa): CPAP-MHS-6503-TURBO + CPAP-MHO-140. El diagrama de conexión física (L1) se verá así:
Tenga en cuenta que es obligatorio conectar los puertos de gestión de los orquestadores, que se encuentran en el panel posterior.
Sospecho que muchas cosas pueden no estar muy claras a partir de esta imagen, así que daré inmediatamente un diagrama típico del segundo nivel del modelo OSI:
Algunos puntos clave sobre el esquema:
- Por lo general, se instalan dos orquestadores entre los conmutadores centrales y los conmutadores externos. Aquellos. aislamiento físico del segmento de Internet.
- Se supone que el “núcleo” es una pila (o VSS) de dos switches en los que se organiza un PortChannel de 4 puertos. Para Full HA, cada orquestador se conecta a cada conmutador. Aunque puede usar un enlace a la vez, como se hace con VLAN 5: administración de red (enlaces rojos).
- Los enlaces responsables de la transmisión del tráfico productivo (amarillo) están conectados a puertos de 10 gigabits. Para esto, se utilizan módulos SFP - CPAC-TR-10SR-B
- De manera similar (Full HA), los orquestadores se conectan a conmutadores externos (enlaces azules), pero utilizando puertos gigabit y los módulos SFP correspondientes: CPAC-TR-1T-B.
Las puertas de enlace en sí están conectadas a cada uno de los orquestadores mediante cables DAC especiales que vienen con el kit (Cable de conexión directa (DAC), 1 m - CPAC-DAC-10G-1M):
Como puede ver en el diagrama, debe haber una conexión de sincronización entre los orquestadores (enlaces rosas). El cable necesario también está incluido. La especificación final se ve así:
Desafortunadamente, no puedo publicar precios en el dominio público. pero siempre puedes .
En cuanto al esquema L3, parece mucho más simple:
Como puede ver, todas las puertas de enlace del tercer nivel parecen un solo dispositivo. El acceso a los orquestadores solo está disponible a través de la red de administración.
Esto concluye nuestro breve artículo. Si tiene preguntas sobre los esquemas o necesita códigos fuente, deje comentarios o .
En el próximo artículo, intentaremos mostrar cómo Check Point Maestro maneja el balanceo y realiza pruebas de carga. Así que estad atentos, , , )!
PD ¡Expreso mi gratitud a Anatoly Masover e Ilya Anokhin (compañía Check Point) por su ayuda en la preparación de estos esquemas!
Fuente: habr.com