Dans les deux derniers articles (
premier ,
deuxième ), nous avons examiné le principe de fonctionnement de
Check Point Maestro , ainsi que les avantages techniques et économiques de cette solution. J'aimerais maintenant passer à un exemple spécifique et décrire un scénario de mise en œuvre possible pour Check Point Maestro. Je vais montrer une spécification typique ainsi qu'une topologie de réseau (circuits L1, L2 et L3) utilisant Maestro. En fait, vous verrez un projet standard prêt à l'emploi.
Supposons que nous décidions d'utiliser la plate-forme évolutive Check Point Maestro. Pour ce faire, prenez un ensemble de trois passerelles 6500 et deux orchestrateurs (pour une tolérance aux pannes complète) -
CPAP-MHS-6503-TURBO + CPAP-MHO-140 . Le schéma de connexion physique (L1) ressemblera à ceci:
Veuillez noter qu'il est obligatoire de connecter les ports de gestion des orchestrateurs situés sur le panneau arrière.
Je soupçonne que beaucoup de choses de cette image peuvent ne pas être très claires, donc je vais immédiatement donner un schéma typique du deuxième niveau du modèle OSI:
Quelques points clés du schéma:
- Deux orchestrateurs sont généralement installés entre les commutateurs principaux et les commutateurs externes. C'est-à-dire isolement physique du segment Internet.
- On suppose que le «cœur» est la pile (ou VSS) de deux commutateurs sur lesquels un PortChannel de 4 ports est organisé. Pour Full HA, chaque orchestrateur se connecte à chaque commutateur. Bien que vous puissiez utiliser un lien à la fois, comme cela se fait avec VLAN 5 - réseau de gestion (liens rouges).
- Les liaisons responsables de la transmission du trafic productif (jaune) sont connectées à 10 ports gigabits. Pour cela, des modules SFP sont utilisés - CPAC-TR-10SR-B
- De manière similaire (Full HA), les orchestrateurs sont connectés à des commutateurs externes (liens bleus), mais en utilisant des ports gigabit et les modules SFP correspondants - CPAC-TR-1T-B .
Les passerelles elles-mêmes sont connectées à chacun des orchestrateurs à l'aide de câbles DAC spéciaux inclus (
câble à connexion directe (DAC), 1 m - CPAC-DAC-10G-1M ):
Comme vous pouvez le voir sur le schéma, il devrait y avoir une connexion de synchronisation (lien rose) entre les oratoriums. Le câble requis est également inclus. La spécification finale est la suivante:
Malheureusement, je ne peux pas publier les prix dans le domaine public. Mais vous pouvez toujours les
demander pour votre projet .
Quant au circuit L3, il semble beaucoup plus simple:
Comme vous pouvez le voir, toutes les passerelles du troisième niveau ressemblent à un seul appareil. Dans le même temps, l'accès aux orchestrateurs se fait uniquement via le réseau de gestion.
Ceci conclut notre court article. Si vous avez des questions sur les régimes ou si vous avez besoin de la source, laissez des commentaires ou
écrivez à l'e-mail .
Dans le prochain article, nous allons essayer de montrer comment Check Point Maestro gère l'équilibrage et effectuer des tests de charge. Alors restez à l'écoute (
Telegram ,
Facebook ,
VK ,
TS Solution Blog )!
PS J'exprime ma gratitude à Anatoly Masover et Ilya Anokhin (société Check Point) pour leur aide dans la préparation de ces programmes!