過去 XNUMX つの記事 (, )動作原理を調べました 、このソリューションの技術的および経済的利点も説明します。 次に、具体的な例に移り、Check Point Maestro を実装するための考えられるシナリオについて説明したいと思います。 Maestroを使用した代表的な仕様とネットワークトポロジー(L1、L2、L3図)を示します。 基本的に、既製の標準プロジェクトが表示されます。
スケーラブルな Check Point Maestro プラットフォームを使用することに決めたとします。 これを行うには、6500 つの XNUMX ゲートウェイと XNUMX つのオーケストレーターのバンドルを考えてみましょう (完全なフォールト トレランスのため)。 CPAP-MHS-6503-ターボ + CPAP-MHO-140。 物理接続図 (L1) は次のようになります。
背面パネルにあるオーケストレーターの管理ポートを接続することが必須であることに注意してください。
この図からは多くのことがあまり明確ではないと思われるので、すぐに OSI モデルの第 XNUMX レベルの典型的な図を示します。
このスキームに関するいくつかの重要なポイント:
- 通常、コア スイッチと外部スイッチの間に XNUMX つのオーケストレーターがインストールされます。 それらの。 インターネットセグメントの物理的な分離。
- 「コア」は、4 つのポートのポートチャネルが構成されている 5 つのスイッチのスタック(または VSS)であると想定されています。 フル HA の場合、各オーケストレーターは各スイッチに接続されます。 VLAN XNUMX - 管理ネットワーク (赤いリンク) と同様に、一度に XNUMX つのリンクを使用できます。
- 生産的なトラフィックの送信を担当するリンク (黄色) は、10 ギガビット ポートに接続されています。 SFP モジュールはこれに使用されます。 CPAC-TR-10SR-B
- 同様の (フル HA) 方法で、オーケストレーターは外部スイッチ (青色のリンク) に接続しますが、ギガビット ポートと対応する SFP モジュールを使用します。 CPAC-TR-1T-B.
ゲートウェイ自体は、付属の特別な DAC ケーブルを使用して各オーケストレーターに接続されます (ダイレクト アタッチ ケーブル (DAC)、1m - CPAC-DAC-10G-1M):
図からわかるように、注文者間に同期接続が必要です (ピンクのリンク)。 必要なケーブルもキットに含まれています。 最終的な仕様は次のようになります。
残念ながら価格を公表することはできません。 しかし、いつでもできます .
L3 回路に関しては、はるかに単純に見えます。
ご覧のとおり、第 XNUMX レベルのすべてのゲートウェイは XNUMX つのデバイスのように見えます。 オーケストレーターへのアクセスは、管理ネットワーク経由でのみ可能です。
これで短い記事は終わりです。 図について質問がある場合、またはソースが必要な場合は、コメントを残すか、 .
次の記事では、Check Point Maestro がバランシングにどのように対処し、負荷テストを実施するかを説明します。 乞うご期待(, , , )!
PS これらの図の作成に協力してくれた Anatoly Masover と Ilya Anokhin (Check Point 社) に感謝の意を表します。
出所: habr.com