I de to siste artiklene (, ) så vi på operasjonsprinsippet , samt de tekniske og økonomiske fordelene med denne løsningen. Nå vil jeg gå videre til et spesifikt eksempel og beskrive et mulig scenario for implementering av Check Point Maestro. Jeg vil vise en typisk spesifikasjon samt nettverkstopologi (L1, L2 og L3 diagrammer) ved hjelp av Maestro. I hovedsak vil du se et ferdig standardprosjekt.
La oss si at vi bestemmer oss for å bruke den skalerbare Check Point Maestro-plattformen. For å gjøre dette, la oss ta en pakke med tre 6500 gatewayer og to orkestratorer (for fullstendig feiltoleranse) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. Det fysiske koblingsskjemaet (L1) vil se slik ut:
Vær oppmerksom på at det er obligatorisk å koble til administrasjonsportene til orkestratorene, som er plassert på bakpanelet.
Jeg mistenker at mange ting kanskje ikke er veldig tydelige fra dette bildet, så jeg vil umiddelbart gi et typisk diagram over det andre nivået av OSI-modellen:
Noen viktige punkter om ordningen:
- To orkestratorer er vanligvis installert mellom kjernebrytere og eksterne brytere. De. fysisk isolasjon av internettsegmentet.
- Det antas at "kjernen" er en stabel (eller VSS) av to svitsjer som en PortChannel med 4 porter er organisert på. For Full HA er hver orkestrator koblet til hver bryter. Selv om du kan bruke en lenke om gangen, slik det gjøres med VLAN 5 - administrasjonsnettverk (røde lenker).
- Lenker som er ansvarlige for å overføre produktiv trafikk (gul) er koblet til 10 gigabit-porter. SFP-moduler brukes til dette - CPAC-TR-10SR-B
- På en lignende (Full HA) måte kobler orkestratorer til eksterne svitsjer (blå lenker), men bruker gigabit-porter og tilsvarende SFP-moduler - CPAC-TR-1T-B.
Selve gatewayene er koblet til hver av orkestratorene ved hjelp av spesielle DAC-kabler som følger med (Direkte festekabel (DAC), 1m - CPAC-DAC-10G-1M):
Som det fremgår av diagrammet skal det være en sammenheng mellom bestillerne for synkronisering (rosa lenke). Nødvendig kabel følger også med i settet. Den endelige spesifikasjonen ser slik ut:
Jeg kan dessverre ikke publisere priser offentlig. Men du kan alltid .
Når det gjelder L3-kretsen, ser den mye enklere ut:
Som du kan se, ser alle gatewayer på tredje nivå ut som en enkelt enhet. Tilgang til orkestratorer er kun mulig gjennom Management-nettverket.
Dette avslutter vår korte artikkel. Hvis du har spørsmål om diagrammene eller trenger kilder, så legg igjen en kommentar eller .
I neste artikkel skal vi prøve å vise hvordan Check Point Maestro takler balansering og gjennomfører lasttesting. Så følg med (, , , )!
PS Jeg uttrykker min takknemlighet til Anatoly Masover og Ilya Anokhin (Check Point-selskapet) for deres hjelp med å utarbeide disse diagrammene!
Kilde: www.habr.com