V posledných dvoch článkoch (, ) sme sa pozreli na princíp fungovania , ako aj technické a ekonomické výhody tohto riešenia. Teraz by som rád prešiel ku konkrétnemu príkladu a opísal možný scenár implementácie Check Point Maestro. Ukážem typickú špecifikáciu ako aj topológiu siete (diagramy L1, L2 a L3) pomocou Maestro. V podstate uvidíte hotový štandardný projekt.
Povedzme, že sa rozhodneme, že použijeme škálovateľnú platformu Check Point Maestro. Aby sme to urobili, zoberme si balík troch 6500 brán a dvoch orchestrátorov (pre úplnú odolnosť proti chybám) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. Fyzická schéma zapojenia (L1) bude vyzerať takto:
Upozorňujeme, že je povinné pripojiť riadiace porty orchestrátorov, ktoré sú umiestnené na zadnom paneli.
Mám podozrenie, že z tohto obrázku nemusí byť veľa vecí úplne jasných, takže okamžite uvediem typický diagram druhej úrovne modelu OSI:
Niekoľko kľúčových bodov o schéme:
- Medzi hlavnými prepínačmi a externými prepínačmi sú zvyčajne inštalované dva orchestrátory. Tie. fyzická izolácia internetového segmentu.
- Predpokladá sa, že „jadro“ je zásobník (alebo VSS) dvoch prepínačov, na ktorých je organizovaný PortChannel so 4 portami. Pre Full HA je každý orchestrátor pripojený ku každému prepínaču. Aj keď môžete použiť jeden odkaz naraz, ako sa to robí s VLAN 5 - sieť pre správu (červené odkazy).
- Linky zodpovedné za prenos produktívnej prevádzky (žlté) sú pripojené k 10 gigabitovým portom. Na to slúžia SFP moduly - CPAC-TR-10SR-B
- Podobným spôsobom (Full HA) sa orchestrátory pripájajú k externým prepínačom (modré linky), ale pomocou gigabitových portov a zodpovedajúcich modulov SFP - CPAC-TR-1T-B.
Samotné brány sú pripojené ku každému orchestrátoru pomocou špeciálnych káblov DAC, ktoré sú súčasťou balenia (Kábel s priamym pripojením (DAC), 1m - CPAC-DAC-10G-1M):
Ako je zrejmé z diagramu, medzi objednávateľmi musí existovať synchronizačné spojenie (ružové odkazy). Potrebný kábel je tiež súčasťou súpravy. Konečná špecifikácia vyzerá takto:
Ceny bohužiaľ nemôžem zverejniť. Ale vždy môžeš .
Pokiaľ ide o obvod L3, vyzerá to oveľa jednoduchšie:
Ako vidíte, všetky brány na tretej úrovni vyzerajú ako jedno zariadenie. Prístup k orchestrátorom je možný len cez sieť Management.
Týmto končíme náš krátky článok. Ak máte otázky týkajúce sa diagramov alebo potrebujete zdroje, zanechajte komentár alebo .
V nasledujúcom článku sa pokúsime ukázať, ako si Check Point Maestro poradí s vyvažovaním a vykonáva záťažové testy. Takže zostaňte naladení (, , , )!
PS: Vyjadrujem svoju vďačnosť Anatolijovi Masoverovi a Iljovi Anokhinovi (spoločnosť Check Point) za pomoc pri príprave týchto diagramov!
Zdroj: hab.com