Võrgupaketi vahendaja (NPB) on kommutaatorilaadne võrguseade, mille suurus ulatub kaasaskantavatest seadmetest 1U ja 2U korpusteni ning suurte korpuste ja plaadisüsteemideni. Erinevalt kommutaatorist ei muuda NPB läbivat liiklust mingil moel, kui pole selleks selgesõnalisi juhiseid antud. NPB saab vastu võtta liiklust ühel või mitmel liidesel, täita sellel liiklusel teatud eelnevalt määratletud funktsioone ja seejärel edastada selle ühele või mitmele liidesele.
Neid nimetatakse sageli suvalisest suvalisele, mitmest suvalisele ja suvalisest mitmele pordi kaardistuseks. Täidetavad funktsioonid ulatuvad lihtsatest, näiteks liikluse edastamine või hülgamine, keerukateni, näiteks teabe filtreerimine 5. kihi kohal konkreetse seansi tuvastamiseks. NPB liidesed võivad olla vaskkaabelühendused, kuid tavaliselt on need SFP/SFP+ ja QSFP kaadrid, mis võimaldavad kasutajatel kasutada mitmesuguseid meediume ja ribalaiuse kiirusi. NPB funktsioonide komplekt on üles ehitatud võrguseadmete, eriti jälgimis-, analüüsi- ja turvatööriistade efektiivsuse maksimeerimise põhimõttele.
Milliseid funktsioone võrgupaketi vahendaja pakub?
NPB-l on arvukalt võimalusi ja see võib seadme kaubamärgist ja mudelist olenevalt erineda, kuigi iga endast lugupidav paketiagent soovib omada põhivõimaluste komplekti. Enamik NPB-sid (kõige levinumad NPB-d) töötavad OSI kihtidel 2 kuni 4.
Üldiselt leiab L2-4 NPB-lt järgmised funktsioonid: liikluse (või selle teatud osade) ümbersuunamine, liikluse filtreerimine, liikluse replikatsioon, protokollide eemaldamine, pakettide viilutamine (kärpimine), erinevate võrgutunneli protokollide käivitamine või lõpetamine ning liikluse koormuse tasakaalustamine. Nagu oodatud, saab L2-4 NPB filtreerida VLAN-i, MPLS-silte, MAC-aadresse (allikas ja siht), IP-aadresse (allikas ja siht), TCP- ja UDP-porte (allikas ja siht) ning isegi TCP-lippe, samuti ICMP-, SCTP- ja ARP-liiklust. See ei ole mingil juhul funktsioon, mida tuleks kasutada, vaid pigem annab ettekujutuse sellest, kuidas 2. kuni 4. kihil töötavad NPB-d saavad liikluse alamhulki eraldada ja tuvastada. Peamine nõue, mida kliendid peaksid NPB-s otsima, on mitteblokeeriv põhiplaat.
Võrgupaketi vahendaja peab suutma rahuldada seadme iga pordi täielikku liikluse läbilaskevõimet. Šassiisüsteemis peab ka tagaplaadiga ühendus suutma rahuldada ühendatud moodulite täielikku liikluskoormust. Kui NPB paketi katkestab, ei ole neil tööriistadel võrgust täielikku arusaama.
Kuigi valdav enamus NPB-dest põhineb ASIC-il või FPGA-l, on pakettide töötlemise jõudluse kindluse tõttu palju integratsioone või protsessoreid vastuvõetav (moodulite kaudu). Mylinking™ võrgupaketi vahendajad (NPB) põhinevad ASIC-lahendusel. See on tavaliselt funktsioon, mis pakub paindlikku töötlemist ja seetõttu ei saa seda teha ainult riistvaraliselt. Nende hulka kuuluvad pakettide deduplikatsioon, ajatemplid, SSL/TLS dekrüpteerimine, märksõnaotsing ja regulaaravaldiste otsing. Oluline on märkida, et selle funktsionaalsus sõltub protsessori jõudlusest. (Näiteks sama mustri regulaaravaldiste otsingud võivad anda väga erinevaid jõudlustulemusi olenevalt liikluse tüübist, vastavusmäärast ja ribalaiusest), seega pole seda enne tegelikku rakendamist lihtne kindlaks teha.
Kui protsessorist sõltuvad funktsioonid on lubatud, muutuvad need NPB üldise jõudluse piiravaks teguriks. Protsessorite ja programmeeritavate lülituskiipide, näiteks Cavium Xpliant, Barefoot Tofino ja Innovium Teralynx, tulek moodustas ka aluse järgmise põlvkonna võrgupaketiagentide laiendatud võimaluste komplektile. Need funktsionaalsed üksused suudavad hallata liiklust üle L4 taseme (sageli nimetatakse neid L7 pakettagentideks). Eespool mainitud täiustatud funktsioonide hulgas on märksõnade ja regulaaravaldiste otsing head näited järgmise põlvkonna võimalustest. Pakettide kasuliku koormuse otsimise võimalus annab võimalusi liikluse filtreerimiseks seansi ja rakenduse tasandil ning pakub areneva võrgu üle täpsemat kontrolli kui L2-4.
Kuidas Network Packet Broker infrastruktuuri sobitub?
NPB-d saab võrguinfrastruktuuri paigaldada kahel erineval viisil:
1- Tekstisisene
2 - Ribalt väljaspool.
Igal lähenemisviisil on eelised ja puudused ning need võimaldavad liiklust manipuleerida viisil, mida teised lähenemisviisid ei suuda. Sisseehitatud võrgupaketi vahendajal on reaalajas võrguliiklus, mis läbib seadet teel sihtkohta. See annab võimaluse liiklust reaalajas manipuleerida. Näiteks VLAN-siltide lisamisel, muutmisel või kustutamisel või sihtkoha IP-aadresside muutmisel kopeeritakse liiklus teisele lingile. Sisseehitatud meetodina saab NPB pakkuda ka redundantsust teistele sisseehitatud tööriistadele, näiteks IDS-ile, IPS-ile või tulemüüridele. NPB saab jälgida selliste seadmete olekut ja rikke korral liiklust dünaamiliselt suunata ooterežiimi.
See pakub suurt paindlikkust liikluse töötlemisel ja replikeerimisel mitmesse jälgimis- ja turvaseadmesse, ilma et see mõjutaks reaalajas võrku. See pakub ka enneolematut võrgu nähtavust ja tagab, et kõik seadmed saavad koopia liiklusest, mida on vaja nende kohustuste nõuetekohaseks täitmiseks. See mitte ainult ei taga, et teie jälgimis-, turbe- ja analüüsitööriistad saavad vajaliku liikluse, vaid ka teie võrgu turvalisuse. See tagab ka, et seade ei kuluta ressursse soovimatule liiklusele. Võib-olla ei pea teie võrguanalüsaator varukoopiate liiklust salvestama, kuna see võtab varundamise ajal väärtuslikku kettaruumi. Need asjad saab analüsaatorist hõlpsalt välja filtreerida, säilitades samal ajal kogu muu liikluse tööriista jaoks. Võib-olla on teil terve alamvõrk, mida soovite mõne teise süsteemi eest varjata; jällegi, seda saab valitud väljundpordil hõlpsalt eemaldada. Tegelikult saab üks NPB töödelda mõnda liikluslinki otse, samal ajal kui töödeldakse muud ribavälist liiklust.
Postituse aeg: 09.03.2022
