In de laatste twee artikelen (, ) hebben we gekeken naar het werkingsprincipe , evenals de technische en economische voordelen van deze oplossing. Nu wil ik verder gaan met een specifiek voorbeeld en een mogelijk scenario beschrijven voor de implementatie van Check Point Maestro. Ik zal een typische specificatie en netwerktopologie (L1-, L2- en L3-diagrammen) laten zien met behulp van Maestro. In wezen ziet u een kant-en-klaar standaardproject.
Stel dat we besluiten dat we het schaalbare Check Point Maestro-platform gaan gebruiken. Laten we hiervoor een bundel van drie 6500-gateways en twee orkestrators nemen (voor volledige fouttolerantie) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. Het fysieke aansluitschema (L1) ziet er als volgt uit:
Houd er rekening mee dat het verplicht is om de beheerpoorten van de Orchestrators aan te sluiten, die zich op het achterpaneel bevinden.
Ik vermoed dat veel dingen op deze foto misschien niet zo duidelijk zijn, dus ik zal meteen een typisch diagram geven van het tweede niveau van het OSI-model:
Een paar belangrijke punten over de regeling:
- Er worden meestal twee orkestrators geΓ―nstalleerd tussen de kernschakelaars en externe schakelaars. Die. fysieke isolatie van het internetsegment.
- Er wordt aangenomen dat de βcoreβ een stapel (of VSS) van twee switches is waarop een PortChannel van 4 poorten is georganiseerd. Voor Full HA is elke Orchestrator verbonden met elke switch. Hoewel u één link tegelijk kunt gebruiken, zoals gebeurt bij VLAN 5 - beheernetwerk (rode links).
- Verbindingen die verantwoordelijk zijn voor het verzenden van productief verkeer (geel) zijn verbonden met 10 gigabit-poorten. Hiervoor worden SFP-modules gebruikt - CPAC-TR-10SR-B
- Op een vergelijkbare (Full HA) manier maken orkestrators verbinding met externe switches (blauwe links), maar gebruiken ze gigabitpoorten en bijbehorende SFP-modules - CPAC-TR-1T-B.
De gateways zelf zijn met elk van de Orchestrators verbonden met behulp van speciale DAC-kabels die worden meegeleverd (Directe aansluitkabel (DAC), 1 m - CPAC-DAC-10G-1M):
Zoals uit het diagram blijkt, moet er een verbinding zijn tussen de bestellers voor synchronisatie (roze link). De benodigde kabel is ook inbegrepen in de kit. De uiteindelijke specificatie ziet er als volgt uit:
Helaas kan ik de prijzen niet openbaar publiceren. Maar dat kan altijd .
Wat het L3-circuit betreft, het ziet er veel eenvoudiger uit:
Zoals u kunt zien, zien alle gateways op het derde niveau eruit als één enkel apparaat. Toegang tot orkestrators is alleen mogelijk via het beheernetwerk.
Hiermee is ons korte artikel afgesloten. Als je vragen hebt over de diagrammen of bronnen nodig hebt, laat dan een reactie achter of .
In het volgende artikel zullen we proberen te laten zien hoe Check Point Maestro omgaat met balanceren en belastingtesten uitvoert. Dus blijf op de hoogte (, , , )!
PS Ik spreek mijn dank uit aan Anatoly Masover en Ilya Anokhin (Check Point-bedrijf) voor hun hulp bij het voorbereiden van deze diagrammen!
Bron: www.habr.com