Nos dois últimos artigos (, ) analisamos o princípio de operação , bem como as vantagens técnicas e económicas desta solução. Agora gostaria de passar para um exemplo específico e descrever um cenário possível para a implementação do Check Point Maestro. Mostrarei uma especificação típica, bem como a topologia de rede (diagramas L1, L2 e L3) usando o Maestro. Em essência, você verá um projeto padrão pronto.
Digamos que decidimos usar a plataforma escalonável Check Point Maestro. Para fazer isso, vamos pegar um pacote de três gateways 6500 e dois orquestradores (para tolerância completa a falhas) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. O diagrama de conexão física (L1) ficará assim:
Observe que é obrigatório conectar as portas de gerenciamento dos orquestradores, que estão localizadas no painel traseiro.
Suspeito que muitas coisas podem não estar muito claras nesta imagem, então darei imediatamente um diagrama típico do segundo nível do modelo OSI:
Alguns pontos-chave sobre o esquema:
- Geralmente, dois orquestradores são instalados entre os switches principais e os switches externos. Aqueles. isolamento físico do segmento da Internet.
- Supõe-se que o “núcleo” seja uma pilha (ou VSS) de dois switches nos quais está organizado um PortChannel de 4 portas. Para Full HA, cada orquestrador está conectado a cada switch. Embora você possa usar um link por vez, como é feito com a VLAN 5 - rede de gerenciamento (links vermelhos).
- Os links responsáveis pela transmissão do tráfego produtivo (amarelo) estão conectados a portas de 10 gigabits. Módulos SFP são usados para isso - CPAC-TR-10SR-B
- De maneira semelhante (Full HA), os orquestradores se conectam a switches externos (links azuis), mas usando portas gigabit e módulos SFP correspondentes - CPAC-TR-1T-B.
Os próprios gateways são conectados a cada um dos orquestradores usando cabos DAC especiais que vêm incluídos (Cabo de conexão direta (DAC), 1m - CPAC-DAC-10G-1M):
Como pode ser visto no diagrama, deve haver uma conexão de sincronização entre os solicitantes (links rosa). O cabo necessário também está incluído no kit. A especificação final é assim:
Infelizmente, não posso publicar preços publicamente. Mas você sempre pode .
Quanto ao circuito L3, parece muito mais simples:
Como você pode ver, todos os gateways do terceiro nível parecem um único dispositivo. O acesso aos orquestradores só é possível através da rede de Gestão.
Isso conclui nosso breve artigo. Se você tiver dúvidas sobre os diagramas ou precisar de fontes, deixe um comentário ou .
No próximo artigo tentaremos mostrar como o Check Point Maestro lida com o balanceamento e realiza testes de carga. Então fique ligado (, , , )!
PS Expresso minha gratidão a Anatoly Masover e Ilya Anokhin (empresa Check Point) por sua ajuda na preparação desses diagramas!
Fonte: habr.com