W dwóch ostatnich artykułach (, ) przyjrzeliśmy się zasadzie działania oraz zalety techniczne i ekonomiczne tego rozwiązania. Teraz chciałbym przejść do konkretnego przykładu i opisać możliwy scenariusz wdrożenia Check Point Maestro. Pokażę typową specyfikację oraz topologię sieci (schematy L1, L2 i L3) przy użyciu Maestro. Zasadniczo zobaczysz gotowy standardowy projekt.
Załóżmy, że decydujemy, że skorzystamy ze skalowalnej platformy Check Point Maestro. Aby to zrobić, weźmy pakiet trzech bramek 6500 i dwóch orkiestratorów (w celu zapewnienia całkowitej odporności na awarie) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. Schemat połączeń fizycznych (L1) będzie wyglądał następująco:
Należy pamiętać, że obowiązkowe jest podłączenie portów zarządzania orkiestratorów, które znajdują się na tylnym panelu.
Podejrzewam, że wiele rzeczy może nie być zbyt jasnych z tego obrazka, dlatego od razu podam typowy diagram drugiego poziomu modelu OSI:
Kilka kluczowych punktów dotyczących schematu:
- Pomiędzy przełącznikami rdzeniowymi i przełącznikami zewnętrznymi zwykle instaluje się dwa orkiestratory. Te. fizyczna izolacja segmentu Internetu.
- Zakłada się, że „rdzeń” to stos (lub VSS) dwóch przełączników, na których zorganizowany jest PortChannel złożony z 4 portów. W przypadku pełnej HA każdy orkiestrator jest podłączony do każdego przełącznika. Chociaż można używać jednego łącza na raz, tak jak dzieje się to w przypadku VLAN 5 - sieć zarządzająca (czerwone łącza).
- Łącza odpowiedzialne za transmisję ruchu produkcyjnego (żółte) podłączone są do 10 gigabitowych portów. Wykorzystywane są do tego moduły SFP - CPAC-TR-10SR-B
- W podobny sposób (Full HA) orkiestratorzy łączą się z zewnętrznymi przełącznikami (niebieskie łącza), ale przy użyciu portów gigabitowych i odpowiednich modułów SFP - CPAC-TR-1T-B.
Same bramki są połączone z każdym orkiestratorem za pomocą specjalnych kabli DAC, które są dołączone do zestawu (Kabel do bezpośredniego podłączenia (DAC), 1 m - CPAC-DAC-10G-1M):
Jak widać na schemacie pomiędzy zleceniodawcami musi istnieć połączenie synchronizacyjne (linki różowe). W zestawie znajduje się również niezbędny kabel. Ostateczna specyfikacja wygląda następująco:
Niestety nie mogę publikować cen publicznie. Ale zawsze możesz .
Jeśli chodzi o obwód L3, wygląda to znacznie prościej:
Jak widać, wszystkie bramki na trzecim poziomie wyglądają jak jedno urządzenie. Dostęp do koordynatorów jest możliwy wyłącznie poprzez sieć zarządzania.
Na tym kończy się nasz krótki artykuł. Jeśli masz pytania dotyczące diagramów lub potrzebujesz źródeł, zostaw komentarz lub .
W kolejnym artykule postaramy się pokazać jak Check Point Maestro radzi sobie z balansowaniem i przeprowadzaniem testów obciążeniowych. Bądźcie na bieżąco (, , , )!
PS Wyrażam wdzięczność Anatolijowi Masoverowi i Ilji Anokhinowi (firma Check Point) za pomoc w przygotowaniu tych diagramów!
Źródło: www.habr.com