上兩篇文章中(, )我們查看了操作原理 ,以及該解決方案的技術和經濟優勢。 現在我想繼續討論一個具體範例,並描述實作 Check Point Maestro 的可能場景。 我將使用 Maestro 展示典型規格以及網路拓撲(L1、L2 和 L3 圖)。 本質上,您將看到一個現成的標準項目。
假設我們決定使用可擴展的 Check Point Maestro 平台。 為此,我們將三個 6500 網關和兩個協調器捆綁在一起(以實現完整的容錯) - CPAP-MHS-6503-TURBO + CPAP-MHO-140。 物理連接圖(L1)如下所示:
請注意,必須連接位於後面板上的協調器的管理連接埠。
我懷疑很多東西從這張圖中可能不是很清楚,所以我馬上給出一個OSI模型第二層的典型圖:
該方案的幾個要點:
- 兩個編排器通常安裝在核心交換器和外部交換器之間。 那些。 互聯網段的物理隔離。
- 假設「核心」是兩個交換器的堆疊(或 VSS),其上組織了 4 個連接埠的 PortChannel。 對於完全 HA,每個協調器都連接到每個交換器。 儘管您可以一次使用一個鏈接,就像 VLAN 5 - 管理網路(紅色鏈接)一樣。
- 負責傳輸生產流量(黃色)的連結連接到 10 個千兆位元連接埠。 SFP 模組用於此 - CPAC-TR-10SR-B
- 以類似(完全 HA)的方式,編排器連接到外部交換器(藍色連結),但使用千兆連接埠和相應的 SFP 模組 - CPAC-TR-1T-B.
網關本身使用隨附的特殊 DAC 電纜連接到每個編排器(直連電纜 (DAC),1m - CPAC-DAC-10G-1M):
從圖中可以看出,orderer之間必須存在同步連結(粉紅色連結)。 套件中還包含必要的電纜。 最終規格如下:
不幸的是,我無法公開發布價格。 但你總是可以 .
至於L3電路,看起來就簡單多了:
正如您所看到的,第三級的所有網關看起來就像一個設備。 只能透過管理網路存取協調器。
我們的短文到此結束。 如果您對圖表有疑問或需要來源,請發表評論或 .
在下一篇文章中,我們將嘗試展示 Check Point Maestro 如何處理平衡並進行負載測試。 所以請繼續關注(, , , )!
PS 我對 Anatoly Masover 和 Ilya Anokhin(Check Point 公司)在準備這些圖表時提供的幫助表示感謝!
來源: www.habr.com