Dans les deux derniers articles (, ) nous avons considéré le principe de fonctionnement , ainsi que les avantages techniques et économiques de cette solution. Je voudrais maintenant passer à un exemple spécifique et décrire un scénario possible pour la mise en œuvre de Check Point Maestro. Je montrerai une spécification typique ainsi qu'une topologie de réseau (schémas L1, L2 et L3) en utilisant Maestro. En fait, vous verrez un projet standard prêt à l'emploi.
Supposons que nous décidions d'utiliser la plate-forme évolutive Check Point Maestro. Pour ce faire, prenez un ensemble de trois passerelles 6500 et deux orchestrateurs (pour une tolérance aux pannes complète) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. Le schéma de connexion physique (L1) ressemblera à ceci :
Veuillez noter qu'il est obligatoire de connecter les ports de gestion des orchestrateurs, qui sont situés sur le panneau arrière.
Je soupçonne que beaucoup de choses ne ressortent pas très clairement de cette image, je vais donc immédiatement donner un schéma typique du deuxième niveau du modèle OSI :
Quelques points clés sur le régime :
- Deux orchestrateurs sont généralement installés entre les commutateurs principaux et les commutateurs externes. Ceux. isolement physique du segment Internet.
- On suppose que le « core » est un stack (ou VSS) de deux switchs sur lequel est organisé un PortChannel de 4 ports. Pour Full HA, chaque orchestrateur se connecte à chaque commutateur. Bien que vous puissiez utiliser un lien à la fois, comme c'est le cas avec VLAN 5 - gestion du réseau (liens rouges).
- Les liens chargés de la transmission du trafic productif (jaune) sont connectés à des ports de 10 gigabits. Pour cela, des modules SFP sont utilisés - CPAC-TR-10SR-B
- De manière similaire (Full HA), les orchestrateurs sont connectés à des commutateurs externes (liens bleus), mais en utilisant des ports gigabit et les modules SFP correspondants - CPAC-TR-1T-B.
Les passerelles elles-mêmes sont connectées à chacun des orchestrateurs à l'aide de câbles DAC spéciaux fournis avec le kit (Câble de connexion directe (DAC), 1 m - CPAC-DAC-10G-1M):
Comme vous pouvez le voir sur le diagramme, il doit y avoir une connexion de synchronisation entre les orchestrateurs (liens roses). Le câble nécessaire est également inclus. La spécification finale ressemble à ceci :
Malheureusement, je ne peux pas publier les prix dans le domaine public. Mais tu peux toujours .
Quant au schéma L3, il semble beaucoup plus simple :
Comme vous pouvez le voir, toutes les passerelles au troisième niveau ressemblent à un seul appareil. L'accès aux orchestrateurs n'est disponible que via le réseau de gestion.
Ceci conclut notre court article. Si vous avez des questions sur les schémas ou si vous avez besoin de codes sources, laissez des commentaires ou .
Dans le prochain article, nous essaierons de montrer comment Check Point Maestro gère l'équilibrage et effectue les tests de charge. Alors restez à l'écoute, , , )!
PS J'exprime ma gratitude à Anatoly Masover et Ilya Anokhin (société Check Point) pour leur aide dans la préparation de ces schémas !
Source: habr.com