Negli ultimi due articoli (, ) abbiamo esaminato il principio di funzionamento , nonché i vantaggi tecnici ed economici di questa soluzione. Ora vorrei passare ad un esempio specifico e descrivere un possibile scenario per l'implementazione di Check Point Maestro. Mostrerò una specifica tipica e la topologia della rete (diagrammi L1, L2 e L3) utilizzando Maestro. In sostanza, vedrai un progetto standard già pronto.
Diciamo che decidiamo di utilizzare la piattaforma scalabile Check Point Maestro. Per fare ciò, prendiamo un pacchetto di tre gateway 6500 e due orchestratori (per una tolleranza agli errori completa) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. Lo schema di collegamento fisico (L1) sarà simile al seguente:
Si prega di notare che è obbligatorio collegare le porte di gestione degli orchestratori, che si trovano sul pannello posteriore.
Ho il sospetto che molte cose potrebbero non essere molto chiare da questa immagine, quindi fornirò immediatamente un diagramma tipico del secondo livello del modello OSI:
Alcuni punti chiave dello schema:
- In genere tra gli switch principali e gli switch esterni vengono installati due orchestratori. Quelli. isolamento fisico del segmento Internet.
- Si presuppone che il “core” sia uno stack (o VSS) di due switch su cui è organizzato un PortChannel di 4 porte. Per l'HA completo, ogni orchestratore è connesso a ogni switch. Sebbene sia possibile utilizzare un collegamento alla volta, come avviene con VLAN 5 - rete di gestione (collegamenti rossi).
- I collegamenti responsabili della trasmissione del traffico produttivo (giallo) sono collegati a porte da 10 gigabit. A questo scopo vengono utilizzati i moduli SFP - CPAC-TR-10SR-B
- In modo simile (Full HA), gli orchestratori si connettono a switch esterni (collegamenti blu), ma utilizzando porte gigabit e moduli SFP corrispondenti - CPAC-TR-1T-B.
I gateway stessi sono collegati a ciascuno degli orchestratori utilizzando speciali cavi DAC inclusi (Cavo ad attacco diretto (DAC), 1 m - CPAC-DAC-10G-1M):
Come si può vedere dallo schema, deve esserci un collegamento di sincronizzazione tra gli ordinanti (link rosa). Nel kit è compreso anche il cavo necessario. La specifica finale è simile alla seguente:
Purtroppo non posso pubblicare i prezzi pubblicamente. Ma puoi sempre .
Per quanto riguarda il circuito L3, sembra molto più semplice:
Come puoi vedere, tutti i gateway del terzo livello sembrano un unico dispositivo. L'accesso agli orchestratori è possibile solo attraverso la rete di Gestione.
Questo conclude il nostro breve articolo. Se hai domande sui diagrammi o hai bisogno di fonti, lascia un commento o .
Nel prossimo articolo cercheremo di mostrare come Check Point Maestro affronta il bilanciamento e conduce test di carico. Quindi rimanete sintonizzati (, , , )!
PS Esprimo la mia gratitudine ad Anatoly Masover e Ilya Anokhin (società Check Point) per il loro aiuto nella preparazione di questi diagrammi!
Fonte: habr.com