Nos dois últimos artigos (
primeiro ,
segundo ), examinamos o princípio de operação do
Check Point Maestro , bem como as vantagens técnicas e econômicas dessa solução. Agora, gostaria de ir a um exemplo específico e descrever um possível cenário de implementação para o Check Point Maestro. Mostrarei uma especificação típica e uma topologia de rede (circuitos L1, L2 e L3) usando o Maestro. De fato, você verá um projeto padrão pronto.
Suponha que decidamos que usaremos a plataforma escalável Check Point Maestro. Para fazer isso, pegue um pacote de três gateways 6500 e dois orquestradores (para tolerância total a falhas) -
CPAP-MHS-6503-TURBO + CPAP-MHO-140 . O diagrama de conexão física (L1) terá a seguinte aparência:
Observe que é obrigatório conectar as portas de gerenciamento dos orquestradores localizados no painel traseiro.
Eu suspeito que muitas coisas dessa imagem podem não estar muito claras, então darei imediatamente um diagrama típico do segundo nível do modelo OSI:
Alguns pontos-chave do esquema:
- Normalmente, dois orquestradores são instalados entre os comutadores principais e externos. I.e. isolamento físico do segmento da Internet.
- Supõe-se que o "núcleo" seja a pilha (ou VSS) de dois comutadores nos quais um PortChannel de 4 portas está organizado. Para HA total, cada orquestrador se conecta a cada comutador. Embora você possa usar um link por vez, como é feito com a VLAN 5 - rede de gerenciamento (links vermelhos).
- Os links responsáveis pela transmissão do tráfego produtivo (amarelo) são conectados a 10 portas de gigabit. Para isso, são utilizados módulos SFP - CPAC-TR-10SR-B
- De maneira semelhante (Full HA), os orquestradores são conectados a switches externos (links azuis), mas usando portas gigabit e os módulos SFP correspondentes - CPAC-TR-1T-B .
Os próprios gateways são conectados a cada um dos orquestradores usando cabos DAC especiais incluídos (
cabo de conexão direta (DAC), 1m - CPAC-DAC-10G-1M ):
Como você pode ver no diagrama, deve haver uma conexão de sincronização (link rosa) entre os oratórios. O cabo necessário também está incluído. A especificação final é a seguinte:
Infelizmente não posso publicar preços em domínio público. Mas você sempre pode
solicitá-los para o seu projeto .
Quanto ao circuito L3, parece muito mais simples:
Como você pode ver, todos os gateways no terceiro nível se parecem com um único dispositivo. Ao mesmo tempo, o acesso aos orquestradores é apenas através da Rede de Gerenciamento.
Isso conclui nosso pequeno artigo. Se você tiver dúvidas sobre os esquemas ou precisar da fonte, deixe comentários ou
escreva para o correio .
No próximo artigo, tentaremos mostrar como o Check Point Maestro lida com o balanceamento e conduz o teste de carga. Portanto, fique atento (
Telegram ,
Facebook ,
VK ,
TS Solution Blog )!
PS: Expresso minha gratidão a Anatoly Masover e Ilya Anokhin (empresa da Check Point) por sua ajuda na preparação desses esquemas!