I de två senaste artiklarna (, ) vi tittade på funktionsprincipen , samt de tekniska och ekonomiska fördelarna med denna lösning. Nu skulle jag vilja gå vidare till ett specifikt exempel och beskriva ett möjligt scenario för implementering av Check Point Maestro. Jag kommer att visa en typisk specifikation samt nätverkstopologi (L1, L2 och L3 diagram) med Maestro. I huvudsak kommer du att se ett färdigt standardprojekt.
Låt oss säga att vi bestämmer oss för att använda den skalbara Check Point Maestro-plattformen. För att göra detta, låt oss ta ett paket med tre 6500 gateways och två orkestratorer (för fullständig feltolerans) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. Det fysiska anslutningsschemat (L1) kommer att se ut så här:
Observera att det är obligatoriskt att ansluta orkestratorernas Management-portar, som finns på den bakre panelen.
Jag misstänker att många saker kanske inte är särskilt tydliga från den här bilden, så jag kommer omedelbart att ge ett typiskt diagram över den andra nivån av OSI-modellen:
Några viktiga punkter om schemat:
- Två orkestratorer är vanligtvis installerade mellan kärnswitchar och externa switchar. De där. fysisk isolering av internetsegmentet.
- Det antas att "kärnan" är en stack (eller VSS) av två switchar på vilka en PortChannel med 4 portar är organiserad. För Full HA är varje orkestrator kopplad till varje switch. Även om du kan använda en länk i taget, som görs med VLAN 5 - hanteringsnätverk (röda länkar).
- Länkar som ansvarar för att överföra produktiv trafik (gul) är anslutna till 10 gigabit-portar. SFP-moduler används för detta - CPAC-TR-10SR-B
- På ett liknande sätt (Full HA) ansluter orkestratorer till externa switchar (blå länkar), men med gigabit-portar och motsvarande SFP-moduler - CPAC-TR-1T-B.
Själva gatewayerna är anslutna till var och en av orkestratorerna med hjälp av speciella DAC-kablar som medföljer (Direktanslutningskabel (DAC), 1m - CPAC-DAC-10G-1M):
Som framgår av diagrammet måste det finnas en synkroniseringskoppling mellan beställarna (rosa länkar). Den nödvändiga kabeln ingår också i satsen. Den slutliga specifikationen ser ut så här:
Tyvärr kan jag inte publicera priser offentligt. Men du kan alltid .
När det gäller L3-kretsen ser det mycket enklare ut:
Som du kan se ser alla gateways på den tredje nivån ut som en enda enhet. Tillgång till orkestratorer är endast möjlig via Management-nätverket.
Detta avslutar vår korta artikel. Om du har frågor om diagrammen eller behöver källor, lämna då en kommentar eller .
I nästa artikel kommer vi att försöka visa hur Check Point Maestro klarar av balansering och genomför belastningstester. Så håll utkik (, , , )!
PS Jag uttrycker min tacksamhet till Anatoly Masover och Ilya Anokhin (Check Point-företaget) för deras hjälp med att förbereda dessa diagram!
Källa: will.com