在上两篇文章中(, )我们查看了操作原理 ,以及该解决方案的技术和经济优势。 现在我想继续讨论一个具体示例,并描述实施 Check Point Maestro 的可能场景。 我将使用 Maestro 展示典型规范以及网络拓扑(L1、L2 和 L3 图)。 本质上,您将看到一个现成的标准项目。
假设我们决定使用可扩展的 Check Point Maestro 平台。 为此,我们将三个 6500 网关和两个协调器捆绑在一起(以实现完整的容错) - CPAP-MHS-6503-TURBO + CPAP-MHO-140。 物理连接图(L1)如下所示:
请注意,必须连接位于后面板上的协调器的管理端口。
我怀疑很多东西从这张图中可能不是很清楚,所以我马上给出一个OSI模型第二层的典型图:
该方案的几个要点:
- 两个编排器通常安装在核心交换机和外部交换机之间。 那些。 互联网段的物理隔离。
- 假设“核心”是两个交换机的堆栈(或 VSS),其上组织了 4 个端口的 PortChannel。 对于完全 HA,每个协调器都连接到每个交换机。 尽管您一次可以使用一个链接,就像 VLAN 5 - 管理网络(红色链接)一样。
- 负责传输生产流量(黄色)的链路连接到 10 个千兆位端口。 SFP 模块用于此 - CPAC-TR-10SR-B
- 以类似(完全 HA)的方式,编排器连接到外部交换机(蓝色链接),但使用千兆端口和相应的 SFP 模块 - CPAC-TR-1T-B.
网关本身使用附带的特殊 DAC 电缆连接到每个编排器(直连电缆 (DAC),1m - CPAC-DAC-10G-1M):
从图中可以看出,orderer之间必须存在同步连接(粉色链接)。 套件中还包含必要的电缆。 最终规格如下:
不幸的是,我无法公开发布价格。 但你总是可以 .
至于L3电路,看起来就简单多了:
正如您所看到的,第三级的所有网关看起来就像一个设备。 只能通过管理网络访问协调器。
我们的短文到此结束。 如果您对图表有疑问或需要来源,请发表评论或 .
在下一篇文章中,我们将尝试展示 Check Point Maestro 如何处理平衡并进行负载测试。 所以请继续关注(, , , )!
PS 我对 Anatoly Masover 和 Ilya Anokhin(Check Point 公司)在准备这些图表时提供的帮助表示感谢!
来源: habr.com