В прошлых двух статьях (первая, вторая) мы рассмотрели принцип работы Check Point Maestro, а также технические и экономические преимущества этого решения. Теперь хотелось бы перейти к конкретному примеру и описать возможный сценарий внедрения Check Point Maestro. Я покажу типовую спецификацию, а также сетевую топологию (L1, L2 и L3 схемы) с использованием Maestro. По сути, вы увидите готовый типовой проект.

Предположим, мы решили, что будем использовать масштабируемую платформу Check Point Maestro. Для этого возьмем бандл из трех шлюзов 6500 и двух оркестраторов (для полной отказоустойчивости) — CPAP-MHS-6503-TURBO + CPAP-MHO-140. Физическая схема подключений (L1) будет выглядеть следующим образом:



Обратите внимание, что обязательно подключение Management портов оркестраторов, которые находятся на задней панели.

Подозреваю, что по этой картинке многое может быть не очень понятно, поэтому сразу приведу типовую схему второго уровня модели OSI:



Несколько ключевых моментов по схеме:

  • Два оркестратора обычно устанавливаются между коммутаторами ядра и внешними свичами. Т.е. физическая изоляция Интернет сегмента.
  • Предполагается, что “ядро” это стэк (или VSS) двух коммутаторов, на которых организуется PortChannel из 4 портов. Для Full HA каждый оркестратор подключается к каждому коммутатору. Хотя вы можете использовать и по одному линку, как это сделано c VLAN 5 — менеджмент сеть (красные линки).
  • Линки отвечающие за передачу продуктивного трафика (желтые) подключаются к 10 гигабитным портам. Для этого используются SFP модули — CPAC-TR-10SR-B
  • Аналогичным (Full HA) способом оркестраторы подключаются к внешним коммутаторам (голубые линки), но уже с использованием гигабитных портов и соответствующих SFP модулей — CPAC-TR-1T-B.

Сами шлюзы подключаются к каждому из оркестраторов с помощью специальных DAC кабелей, которые идут в комплекте (Direct Attach Cable (DAC), 1m — CPAC-DAC-10G-1M):



Как видно из схемы, между орекстраторами должно быть соединение для синхронизации (розовые линк). Необходимый кабель также присутствует в комплекте. Итоговая спецификация выглядит следующим образом:



К сожалению не могу публиковать цены в открытом доступе. Но вы всегда можете запросить их под ваш проект.

Что касается L3 схемы, то она выглядит намного проще:



Как видите, все шлюзы на третьем уровне выглядят как единое устройство. Доступ к оркестраторам при этом есть только через Management сеть.

На этом мы закончим нашу небольшую статью. Если у вас есть вопросы по схемам или вам нужны исходники, то оставляйте комментарии или пишите на почту.

В следующей статье мы постараемся показать, как Check Point Maestro справляется с балансировкой и проведем нагрузочное тестирование. Так что следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog)!

P.S. Выражаю благодарность Анатолию Масовер и Илье Анохину (компания Check Point) за помощь в подготовке данных схем!

Комментарии (2)


  1. MMik
    09.10.2019 09:07

    Есть ли вариант Check Point Maestro и оркестратора в виде виртуальной машины под KVM/VMware?


    1. cooper051 Автор
      09.10.2019 10:25

      Добрый день. Нет, это исключительно «железная» технология.