Network Packet Broker (NPB) on lüliti nagu võrguseade, mille mõõtmed ulatuvad kaasaskantavatest seadmetest kuni 1U ja 2U seadmekarpideni kuni suurte korpuste ja tahvlisüsteemideni. Erinevalt lülitist ei muuda NPB seda läbivat liiklust mingil viisil, kui seda pole selgesõnaliselt juhendatud. NPB saab vastu võtta liiklust ühel või mitmel liidesel, täita sellel liiklusel mõnda eelmääratletud funktsiooni ja seejärel väljastada selle ühele või mitmele liidesele.
Neid nimetatakse sageli mis tahes-ükskõik millise, palju-ükskõik millise ja mis tahes-mitmele pordi vastendamiseks. Funktsioonid, mida saab täita, ulatuvad lihtsatest, nagu liikluse edastamine või loobumine, kuni keerukateni, näiteks 5. kihi kohal oleva teabe filtreerimine konkreetse seansi tuvastamiseks. NPB liidesed võivad olla vaskkaabliühendused, kuid tavaliselt on need SFP/SFP + ja QSFP raamid, mis võimaldavad kasutajatel kasutada mitmesuguseid meediume ja ribalaiuse kiirusi. NPB funktsioonide komplekt on üles ehitatud võrguseadmete, eriti seire-, analüüsi- ja turbetööriistade tõhususe maksimeerimise põhimõttele.
Milliseid funktsioone võrgupakettide vahendaja pakub?
NPB võimalused on arvukad ja võivad olenevalt seadme kaubamärgist ja mudelist erineda, kuigi iga oma soola väärt pakendiagent soovib omada põhivõimalusi. Enamik NPB-sid (kõige tavalisem NPB) toimib OSI kihtidel 2 kuni 4.
Üldiselt leiate L2-4 NPB-st järgmised funktsioonid: liikluse (või selle teatud osade) ümbersuunamine, liikluse filtreerimine, liikluse replikatsioon, protokolli eemaldamine, pakettide lõikamine (kärpimine), erinevate võrgutunneli protokollide käivitamine või lõpetamine, ja liikluse koormuse tasakaalustamine. Ootuspäraselt suudab L2-4 NPB filtreerida VLAN-i, MPLS-silte, MAC-aadresse (allikas ja sihtmärk), IP-aadresse (allikas ja sihtmärk), TCP- ja UDP-porte (allikas ja sihtmärk) ning isegi TCP-lippe, aga ka ICMP-d, SCTP ja ARP liiklus. See ei ole mingil juhul kasutatav funktsioon, vaid annab pigem ülevaate sellest, kuidas kihtidel 2 kuni 4 töötav NPB saab eraldada ja tuvastada liikluse alamhulki. Põhinõue, mida kliendid peaksid NPB-st otsima, on mitteblokeeriv tagaplaat.
Võrgupakettide vahendaja peab suutma rahuldada seadme iga pordi täielikku liiklust. Šassiisüsteemis peab ühendus tagaplaadiga suutma vastu pidada ka ühendatud moodulite kogu liikluskoormusele. Kui NPB paketi kukub, ei saa need tööriistad võrgust täielikult aru.
Kuigi valdav enamus NPB-st põhineb ASIC-il või FPGA-l, on paketttöötluse jõudluse kindluse tõttu vastuvõetavad paljud integratsioonid või protsessorid (moodulite kaudu). Mylinking™ Network Packet Brokers (NPB) põhinevad ASIC-lahendusel. Tavaliselt on see funktsioon, mis pakub paindlikku töötlemist ja seetõttu ei saa seda teha ainult riistvaras. Nende hulka kuuluvad pakettide dubleerimine, ajatemplid, SSL/TLS dekrüpteerimine, märksõnaotsing ja regulaaravaldise otsing. Oluline on märkida, et selle funktsionaalsus sõltub protsessori jõudlusest. (Näiteks võivad sama mustriga regulaaravaldiste otsingud anda olenevalt liikluse tüübist, sobituskiirusest ja ribalaiusest väga erinevaid toimivustulemusi), mistõttu pole seda enne tegelikku rakendamist lihtne kindlaks teha.
Kui protsessorist sõltuvad funktsioonid on lubatud, muutuvad need NPB üldist jõudlust piiravaks teguriks. Protsessori ja programmeeritavate lülituskiipide (nt Cavium Xpliant, Barefoot Tofino ja Innovium Teralynx) tulek pani aluse ka järgmise põlvkonna võrgupakettagentide laiendatud võimaluste komplektile. Need funktsionaalsed üksused saavad hakkama liiklusega, mis ületab L4 (sageli viidatud L7 paketiagentidena). Ülalmainitud täiustatud funktsioonide hulgas on märksõna- ja regulaaravaldiste otsing head näited järgmise põlvkonna võimalustest. Võimalus otsida pakettide kasulikke koormusi annab võimaluse filtreerida liiklust seansi ja rakenduste tasemel ning tagab areneva võrgu täpsema juhtimise kui L2-4.
Kuidas sobib Network Packet Broker infrastruktuuriga?
NPB-d saab võrguinfrastruktuuri installida kahel erineval viisil:
1- Sees
2- Ribaväline.
Igal lähenemisviisil on eelised ja puudused ning see võimaldab liiklust manipuleerida viisil, mida teised lähenemisviisid ei suuda. Sisseehitatud võrgupakettide vahendajal on reaalajas võrguliiklus, mis läbib seadme teel sihtkohta. See annab võimaluse liiklust reaalajas manipuleerida. Näiteks VLAN-i siltide lisamisel, muutmisel või kustutamisel või sihtkoha IP-aadresside muutmisel kopeeritakse liiklus teisele lingile. Sisseehitatud meetodina võib NPB pakkuda liiasust ka muudele sisestele tööriistadele, nagu IDS, IPS või tulemüürid. NPB saab jälgida selliste seadmete olekut ja tõrke korral liikluse dünaamiliselt ümber suunata kuuma ooterežiimi.
See pakub suurt paindlikkust liikluse töötlemisel ja paljundamisel mitmele jälgimis- ja turvaseadmele, ilma et see mõjutaks reaalajas võrku. Samuti pakub see enneolematut võrgu nähtavust ja tagab, et kõik seadmed saavad oma kohustuste nõuetekohaseks täitmiseks vajaliku liikluse koopia. See mitte ainult ei taga, et teie jälgimis-, turva- ja analüüsitööriistad saavad vajaliku liikluse, vaid ka teie võrgu turvalisuse. Samuti tagab see, et seade ei tarbi soovimatu liikluse korral ressursse. Võib-olla ei pea teie võrguanalüsaator varundusliiklust salvestama, kuna see võtab varundamise ajal väärtuslikku kettaruumi. Need asjad filtreeritakse analüsaatorist hõlpsalt välja, säilitades samal ajal tööriista kogu muu liikluse. Võib-olla on teil terve alamvõrk, mida soovite mõne teise süsteemi eest peidus hoida; Jällegi on see valitud väljundpordist hõlpsasti eemaldatav. Tegelikult saab üks NPB töödelda mõnda liikluslinki sees, samal ajal töötledes muud ribavälist liiklust.
Postitusaeg: 09.03.2022