在最后两篇文章(
第一篇,
第二篇 )中,我们检查了
Check Point Maestro的工作原理以及该解决方案的技术和经济优势。 现在,我想看一个具体的例子,并介绍Check Point Maestro的一种可能的实现方案。 我将展示使用Maestro的典型规格以及网络拓扑(L1,L2和L3电路)。 实际上,您将看到一个现成的标准项目。
假设我们决定使用可伸缩的Check Point Maestro平台。 为此,请捆绑使用三个6500网关和两个协调器(用于完全容错)
-CPAP-MHS-6503-TURBO + CPAP-MHO-140 。 物理连接图(L1)如下所示:
请注意,必须连接协调器的管理端口,该端口位于后面板上。
我怀疑这张图片中的许多内容可能不太清楚,因此我将立即给出OSI模型第二级的典型示意图:
该方案中的一些关键点:
- 通常在核心交换机和外部交换机之间安装两个协调器。 即 Internet网段的物理隔离。
- 假定“核心”是两个交换机的堆栈(或VSS),在其上组织了4个端口的PortChannel。 对于Full HA,每个协调器都连接到每个交换机。 尽管您一次只能使用一个链接,但是与VLAN 5一样-管理网络(红色链接)。
- 负责传输生产流量的链接(黄色)连接到10个千兆位端口。 为此,使用了SFP模块-CPAC-TR-10SR-B
- 以类似的方式(完全HA),协调器连接到外部交换机(蓝色链接),但使用千兆位端口和相应的SFP模块CPAC-TR-1T-B 。
网关本身使用随附的特殊DAC电缆(
直接连接电缆(DAC),1m-CPAC-DAC-10G-1M )连接到每个协调器:
从图中可以看到,在演艺厅之间应该有一个同步连接(粉红色链接)。 还包括所需的电缆。 最终规格如下:
不幸的是,我无法在公共领域发布价格。 但是您始终
可以为您的项目请求它们 。
至于L3电路,它看起来要简单得多:
如您所见,第三级上的所有网关看起来像一台设备。 同时,只能通过管理网络访问协调器。
我们的短文到此结束。 如果您对方案有疑问或需要消息来源,请发表评论或
写邮件 。
在下一篇文章中,我们将尝试展示Check Point Maestro如何处理平衡并进行负载测试。 因此,请继续关注(
Telegram ,
Facebook ,
VK ,
TS Solution Blog )!
PS我感谢Anatoly Masover和Ilya Anokhin(Check Point公司)在准备这些计划方面的帮助!