Sa huling dalawang artikulo (, ) tiningnan namin ang prinsipyo ng pagpapatakbo , pati na rin ang mga teknikal at pang-ekonomiyang bentahe ng solusyong ito. Ngayon gusto kong lumipat sa isang partikular na halimbawa at ilarawan ang isang posibleng senaryo para sa pagpapatupad ng Check Point Maestro. Magpapakita ako ng tipikal na detalye pati na rin ang topology ng network (L1, L2 at L3 diagram) gamit ang Maestro. Sa esensya, makikita mo ang isang yari na karaniwang proyekto.
Sabihin nating nagpasya tayo na gagamitin natin ang scalable na Check Point Maestro platform. Upang gawin ito, kumuha tayo ng isang bundle ng tatlong 6500 gateway at dalawang orkestra (para sa kumpletong pagpapahintulot sa kasalanan) - CPAP-MHS-6503-TURBO + CPAP-MHO-140. Ang pisikal na diagram ng koneksyon (L1) ay magiging ganito:
Pakitandaan na ipinag-uutos na ikonekta ang mga Management port ng mga orkestra, na matatagpuan sa rear panel.
Pinaghihinalaan ko na maraming bagay ang maaaring hindi masyadong malinaw mula sa larawang ito, kaya agad akong magbibigay ng karaniwang diagram ng pangalawang antas ng modelo ng OSI:
Ang ilang mga pangunahing punto tungkol sa scheme:
- Dalawang orkestrator ang karaniwang naka-install sa pagitan ng mga pangunahing switch at panlabas na switch. Yung. pisikal na paghihiwalay ng segment ng Internet.
- Ipinapalagay na ang "core" ay isang stack (o VSS) ng dalawang switch kung saan nakaayos ang isang PortChannel ng 4 na port. Para sa Buong HA, ang bawat orkestra ay konektado sa bawat switch. Kahit na maaari mong gamitin ang isang link sa isang pagkakataon, tulad ng ginagawa sa VLAN 5 - network ng pamamahala (mga pulang link).
- Ang mga link na responsable para sa pagpapadala ng produktibong trapiko (dilaw) ay konektado sa 10 gigabit port. Ginagamit ang mga module ng SFP para dito - CPAC-TR-10SR-B
- Sa katulad na paraan (Buong HA), kumonekta ang mga orkestra sa mga panlabas na switch (mga asul na link), ngunit gumagamit ng mga gigabit port at kaukulang SFP module - CPAC-TR-1T-B.
Ang mga gateway mismo ay konektado sa bawat isa sa mga orkestra gamit ang mga espesyal na DAC cable na kasama (Direct Attach Cable (DAC), 1m - CPAC-DAC-10G-1M):
Tulad ng makikita mula sa diagram, dapat mayroong koneksyon sa pag-synchronize sa pagitan ng mga nag-order (mga pink na link). Ang kinakailangang cable ay kasama rin sa kit. Ang panghuling detalye ay ganito ang hitsura:
Sa kasamaang palad, hindi ako makapag-publish ng mga presyo sa publiko. Pero kaya mo palagi .
Tulad ng para sa L3 circuit, mukhang mas simple:
Tulad ng nakikita mo, ang lahat ng mga gateway sa ikatlong antas ay mukhang isang solong aparato. Ang pag-access sa mga orkestra ay posible lamang sa pamamagitan ng network ng Pamamahala.
Ito ay nagtatapos sa aming maikling artikulo. Kung mayroon kang mga tanong tungkol sa mga diagram o kailangan ng mga mapagkukunan, pagkatapos ay mag-iwan ng komento o .
Sa susunod na artikulo ay susubukan naming ipakita kung paano nakayanan ng Check Point Maestro ang pagbabalanse at pagsasagawa ng load testing. Kaya manatiling nakatutok (, , , )!
PS Ipinapahayag ko ang aking pasasalamat kina Anatoly Masover at Ilya Anokhin (kumpanya ng Check Point) para sa kanilang tulong sa paghahanda ng mga diagram na ito!
Pinagmulan: www.habr.com