In den letzten beiden Artikeln (
erster ,
zweiter ) haben wir das Funktionsprinzip von
Check Point Maestro sowie die technischen und wirtschaftlichen Vorteile dieser Lösung untersucht. Jetzt möchte ich zu einem bestimmten Beispiel gehen und ein mögliches Implementierungsszenario für Check Point Maestro beschreiben. Ich werde eine typische Spezifikation sowie eine Netzwerktopologie (L1-, L2- und L3-Schaltungen) unter Verwendung von Maestro zeigen. In der Tat sehen Sie ein fertiges Standardprojekt.
Angenommen, wir entscheiden uns für die Verwendung der skalierbaren Check Point Maestro-Plattform. Nehmen Sie dazu ein Bündel von drei 6500 Gateways und zwei Orchestratoren (für vollständige Fehlertoleranz) -
CPAP-MHS-6503-TURBO + CPAP-MHO-140 . Das physikalische Verbindungsdiagramm (L1) sieht folgendermaßen aus:
Bitte beachten Sie, dass die Verwaltungsports der Orchestratoren auf der Rückseite unbedingt angeschlossen werden müssen.
Ich vermute, dass viele Dinge auf diesem Bild möglicherweise nicht sehr klar sind, daher werde ich sofort ein typisches Diagramm der zweiten Ebene des OSI-Modells geben:
Einige wichtige Punkte des Schemas:
- Normalerweise werden zwei Orchestratoren zwischen Core-Switches und externen Switches installiert. Das heißt, physische Isolation des Internet-Segments.
- Es wird angenommen, dass der „Kern“ der Stapel (oder VSS) von zwei Switches ist, auf denen ein PortChannel mit 4 Ports organisiert ist. Bei Full HA stellt jeder Orchestrator eine Verbindung zu jedem Switch her. Sie können zwar jeweils einen Link verwenden, wie dies beim VLAN 5-Verwaltungsnetzwerk der Fall ist (rote Links).
- Die für die Übertragung des produktiven Verkehrs verantwortlichen Verbindungen (gelb) sind mit 10 Gigabit-Ports verbunden. Hierzu werden SFP-Module verwendet - CPAC-TR-10SR-B
- In ähnlicher Weise (Full HA) werden Orchestratoren an externe Switches (blaue Links) angeschlossen, jedoch über Gigabit-Ports und die entsprechenden SFP-Module - CPAC-TR-1T-B .
Die Gateways selbst sind über spezielle DAC-Kabel
(DAC) (
Direct Attach Cable, 1 m - CPAC-DAC-10G-1M ) mit jedem der Orchestratoren verbunden:
Wie Sie dem Diagramm entnehmen können, sollte zwischen den Oratorien eine Synchronisationsverbindung (rosa Verbindung) bestehen. Das erforderliche Kabel ist ebenfalls enthalten. Die endgültige Spezifikation lautet wie folgt:
Leider kann ich keine öffentlich zugänglichen Preise veröffentlichen. Sie können sie jedoch jederzeit
für Ihr Projekt anfordern .
Die L3-Schaltung sieht viel einfacher aus:
Wie Sie sehen können, sehen alle Gateways auf der dritten Ebene wie ein einziges Gerät aus. Gleichzeitig erfolgt der Zugriff auf Orchestratoren nur über das Verwaltungsnetzwerk.
Damit ist unser kurzer Artikel abgeschlossen. Wenn Sie Fragen zu den Schemata haben oder die Quelle benötigen, hinterlassen Sie Kommentare oder
schreiben Sie an die E-Mail .
Im nächsten Artikel werden wir versuchen zu zeigen, wie Check Point Maestro mit dem Auswuchten umgeht und Lasttests durchführt. Also bleiben Sie dran (
Telegramm ,
Facebook ,
VK ,
TS Solution Blog )!
PS Ich danke Anatoly Masover und Ilya Anokhin (Check Point Company) für ihre Hilfe bei der Vorbereitung dieser Programme!