У минулих двох статтях (, ) ми розглянули принцип роботи , а також технічні та економічні переваги цього рішення. Тепер хотілося б перейти до конкретного прикладу та описати можливий сценарій впровадження Check Point Maestro. Я покажу типову специфікацію, а також мережеву топологію (L1, L2 та L3 схеми) з використанням Maestro. По суті ви побачите готовий типовий проект.
Припустимо, ми вирішили, що використовуватимемо масштабовану платформу Check Point Maestro. Для цього візьмемо бандл із трьох шлюзів 6500 та двох оркестраторів (для повної відмовостійкості). CPAP-MHS-6503-TURBO + CPAP-MHO-140. Фізична схема підключень (L1) виглядатиме так:
Зверніть увагу, що обов'язкове підключення Management портів оркестраторів, що знаходяться на задній панелі.
Підозрюю, що за цим малюнком багато може бути не дуже зрозуміло, тому відразу наведу типову схему другого рівня моделі OSI:
Декілька ключових моментів за схемою:
- Два оркестратори зазвичай встановлюються між комутаторами ядра та зовнішніми свічками. Тобто. Фізичні ізоляції Інтернет сегмента.
- Передбачається, що "ядро" це стек (або VSS) двох комутаторів, на яких організується PortChannel з чотирьох портів. Для Full HA кожен оркестратор підключається до кожного комутатора. Хоча ви можете використовувати і по одному лінку, як це зроблено з VLAN 4 - менеджмент мережа (червоні лінки).
- Лінки, що відповідають за передачу продуктивного трафіку (жовті), підключаються до 10 гігабітних портів. Для цього використовуються SFP модулі. CPAC-TR-10SR-B
- Аналогічним (Full HA) способом оркестратори підключаються до зовнішніх комутаторів (блакитні лінки), але вже з використанням гігабітних портів та відповідних SFP модулів. CPAC-TR-1T-B.
Самі шлюзи підключаються до кожного з оркестраторів за допомогою спеціальних кабелів DAC, які йдуть в комплекті (Direct Attach Cable (DAC), 1m - CPAC-DAC-10G-1M):
Як видно зі схеми, між орекстраторами має бути з'єднання для синхронізації (рожеві лінки). Необхідний кабель також є у комплекті. Підсумкова специфікація виглядає так:
На жаль, не можу публікувати ціни у відкритому доступі. Але ви завжди можете .
Що стосується L3 схеми, то вона виглядає набагато простіше:
Як бачите, всі шлюзи на третьому рівні виглядають як єдиний пристрій. Доступ до оркестраторів є лише через Management мережу.
На цьому ми закінчимо нашу невелику статтю. Якщо у вас є питання за схемами або вам потрібні вихідні дані, то залишайте коментарі або .
У наступній статті ми спробуємо показати, як Check Point Maestro справляється з балансуванням і проведемо тестування навантаження. Так що слідкуйте за оновленнями (, , , )!
PS Висловлюю подяку Анатолію Масовер та Іллі Анохіну (компанія Check Point) за допомогу в підготовці даних схем!
Джерело: habr.com