Ο Network Packet Broker (NPB) είναι μια συσκευή δικτύωσης τύπου switch που κυμαίνεται σε μέγεθος από φορητές συσκευές έως κουτιά μονάδων 1U και 2U και μεγάλα κουτιά και συστήματα πλακέτας. Σε αντίθεση με ένα switch, το NPB δεν αλλάζει την κίνηση που ρέει μέσω αυτού με κανέναν τρόπο, εκτός εάν λαμβάνει ρητές οδηγίες. Το NPB μπορεί να λαμβάνει κίνηση σε μία ή περισσότερες διεπαφές, να εκτελεί ορισμένες προκαθορισμένες λειτουργίες σε αυτήν την κίνηση και στη συνέχεια να την εξάγει σε μία ή περισσότερες διεπαφές.
Αυτές συχνά αναφέρονται ως αντιστοιχίσεις θυρών "any-to-any", "many-to-any" και "any-to-many". Οι λειτουργίες που μπορούν να εκτελεστούν κυμαίνονται από απλές, όπως η προώθηση ή η απόρριψη κίνησης, έως πολύπλοκες, όπως το φιλτράρισμα πληροφοριών πάνω από το επίπεδο 5 για τον εντοπισμό μιας συγκεκριμένης συνεδρίας. Οι διεπαφές στο NPB μπορούν να είναι συνδέσεις χάλκινων καλωδίων, αλλά συνήθως είναι πλαίσια SFP/SFP+ και QSFP, τα οποία επιτρέπουν στους χρήστες να χρησιμοποιούν μια ποικιλία μέσων και ταχυτήτων εύρους ζώνης. Το σύνολο χαρακτηριστικών του NPB βασίζεται στην αρχή της μεγιστοποίησης της απόδοσης του εξοπλισμού δικτύου, ιδιαίτερα των εργαλείων παρακολούθησης, ανάλυσης και ασφάλειας.
Ποιες λειτουργίες παρέχει ο Network Packet Broker;
Οι δυνατότητες του NPB είναι πολυάριθμες και ενδέχεται να διαφέρουν ανάλογα με τη μάρκα και το μοντέλο της συσκευής, αν και οποιοσδήποτε πράκτορας πακέτων που αξίζει τον κόπο θα θέλει να έχει ένα βασικό σύνολο δυνατοτήτων. Τα περισσότερα NPB (τα πιο συνηθισμένα NPB) λειτουργούν στα επίπεδα OSI 2 έως 4.
Γενικά, μπορείτε να βρείτε τις ακόλουθες λειτουργίες στο NPB του L2-4: ανακατεύθυνση κυκλοφορίας (ή συγκεκριμένων τμημάτων της), φιλτράρισμα κυκλοφορίας, αναπαραγωγή κυκλοφορίας, αφαίρεση πρωτοκόλλου, τεμαχισμός πακέτων (περικοπή), έναρξη ή τερματισμός διαφόρων πρωτοκόλλων σήραγγας δικτύου και εξισορρόπηση φορτίου για την κυκλοφορία. Όπως αναμενόταν, το NPB του L2-4 μπορεί να φιλτράρει VLAN, ετικέτες MPLS, διευθύνσεις MAC (πηγής και προορισμού), διευθύνσεις IP (πηγής και προορισμού), θύρες TCP και UDP (πηγής και προορισμού), ακόμη και σημαίες TCP, καθώς και κυκλοφορία ICMP, SCTP και ARP. Αυτό δεν είναι σε καμία περίπτωση μια λειτουργία που πρέπει να χρησιμοποιηθεί, αλλά μάλλον παρέχει μια ιδέα για το πώς το NPB που λειτουργεί στα επίπεδα 2 έως 4 μπορεί να διαχωρίσει και να αναγνωρίσει υποσύνολα κυκλοφορίας. Μια βασική απαίτηση που πρέπει να αναζητήσουν οι πελάτες στο NPB είναι ένα μη μπλοκαρισμένο backplane.
Ο μεσίτης πακέτων δικτύου πρέπει να είναι σε θέση να καλύψει την πλήρη απόδοση κάθε θύρας στη συσκευή. Στο σύστημα πλαισίου, η διασύνδεση με το backplane πρέπει επίσης να είναι σε θέση να καλύψει το πλήρες φορτίο κίνησης των συνδεδεμένων μονάδων. Εάν το NPB απορρίψει το πακέτο, αυτά τα εργαλεία δεν θα έχουν πλήρη κατανόηση του δικτύου.
Παρόλο που η συντριπτική πλειοψηφία του NPB βασίζεται σε ASIC ή FPGA, λόγω της βεβαιότητας της απόδοσης επεξεργασίας πακέτων, θα βρείτε πολλές ενσωματώσεις ή CPU αποδεκτές (μέσω ενοτήτων). Οι Mylinking™ Network Packet Brokers (NPB) βασίζονται σε λύση ASIC. Αυτό είναι συνήθως ένα χαρακτηριστικό που παρέχει ευέλικτη επεξεργασία και επομένως δεν μπορεί να γίνει αποκλειστικά σε υλικό. Αυτά περιλαμβάνουν την αφαίρεση διπλότυπων πακέτων, τις χρονικές σημάνσεις, την αποκρυπτογράφηση SSL/TLS, την αναζήτηση λέξεων-κλειδιών και την αναζήτηση κανονικών εκφράσεων. Είναι σημαντικό να σημειωθεί ότι η λειτουργικότητά του εξαρτάται από την απόδοση της CPU. (Για παράδειγμα, οι αναζητήσεις κανονικών εκφράσεων του ίδιου μοτίβου μπορούν να αποδώσουν πολύ διαφορετικά αποτελέσματα απόδοσης ανάλογα με τον τύπο κίνησης, το ρυθμό αντιστοίχισης και το εύρος ζώνης), επομένως δεν είναι εύκολο να προσδιοριστεί πριν από την πραγματική εφαρμογή.
Εάν ενεργοποιηθούν λειτουργίες που εξαρτώνται από την CPU, αυτές καθίστανται περιοριστικός παράγοντας στη συνολική απόδοση του NPB. Η εμφάνιση των CPU και των προγραμματιζόμενων τσιπ μεταγωγής, όπως τα Cavium Xpliant, Barefoot Tofino και Innovium Teralynx, αποτέλεσε επίσης τη βάση ενός διευρυμένου συνόλου δυνατοτήτων για τους πράκτορες πακέτων δικτύου επόμενης γενιάς. Αυτές οι λειτουργικές μονάδες μπορούν να χειριστούν κίνηση άνω του L4 (συχνά αναφέρονται ως πράκτορες πακέτων L7). Μεταξύ των προηγμένων χαρακτηριστικών που αναφέρθηκαν παραπάνω, η αναζήτηση με λέξεις-κλειδιά και κανονικές εκφράσεις είναι καλά παραδείγματα δυνατοτήτων επόμενης γενιάς. Η δυνατότητα αναζήτησης ωφέλιμων φορτίων πακέτων παρέχει ευκαιρίες για φιλτράρισμα της κίνησης σε επίπεδα συνεδρίας και εφαρμογής και παρέχει καλύτερο έλεγχο σε ένα εξελισσόμενο δίκτυο από το L2-4.
Πώς εντάσσεται το Network Packet Broker στην υποδομή;
Το NPB μπορεί να εγκατασταθεί σε μια υποδομή δικτύου με δύο διαφορετικούς τρόπους:
1- Ενσωματωμένο
2- Εκτός ζώνης.
Κάθε προσέγγιση έχει πλεονεκτήματα και μειονεκτήματα και επιτρέπει τον χειρισμό της κυκλοφορίας με τρόπους που άλλες προσεγγίσεις δεν μπορούν. Ο ενσωματωμένος μεσίτης πακέτων δικτύου διαθέτει κυκλοφορία δικτύου σε πραγματικό χρόνο που διασχίζει τη συσκευή καθ' οδόν προς τον προορισμό της. Αυτό παρέχει την ευκαιρία χειρισμού της κυκλοφορίας σε πραγματικό χρόνο. Για παράδειγμα, κατά την προσθήκη, τροποποίηση ή διαγραφή ετικετών VLAN ή την αλλαγή διευθύνσεων IP προορισμού, η κυκλοφορία αντιγράφεται σε έναν δεύτερο σύνδεσμο. Ως ενσωματωμένη μέθοδος, το NPB μπορεί επίσης να παρέχει πλεονασμό για άλλα ενσωματωμένα εργαλεία, όπως IDS, IPS ή τείχη προστασίας. Το NPB μπορεί να παρακολουθεί την κατάσταση τέτοιων συσκευών και να αναδρομολογεί δυναμικά την κυκλοφορία σε κατάσταση αναμονής σε περίπτωση βλάβης.
Παρέχει μεγάλη ευελιξία στον τρόπο επεξεργασίας και αναπαραγωγής της κίνησης σε πολλαπλές συσκευές παρακολούθησης και ασφάλειας χωρίς να επηρεάζει το δίκτυο σε πραγματικό χρόνο. Παρέχει επίσης πρωτοφανή ορατότητα δικτύου και διασφαλίζει ότι όλες οι συσκευές λαμβάνουν ένα αντίγραφο της κίνησης που απαιτείται για την ορθή διαχείριση των ευθυνών τους. Δεν διασφαλίζει μόνο ότι τα εργαλεία παρακολούθησης, ασφάλειας και ανάλυσης λαμβάνουν την κίνηση που χρειάζονται, αλλά και ότι το δίκτυό σας είναι ασφαλές. Διασφαλίζει επίσης ότι η συσκευή δεν καταναλώνει πόρους σε ανεπιθύμητη κίνηση. Ίσως ο αναλυτής δικτύου σας να μην χρειάζεται να καταγράφει την κίνηση αντιγράφων ασφαλείας, επειδή καταλαμβάνει πολύτιμο χώρο στο δίσκο κατά τη διάρκεια της δημιουργίας αντιγράφων ασφαλείας. Αυτά τα πράγματα φιλτράρονται εύκολα από τον αναλυτή, διατηρώντας παράλληλα όλη την άλλη κίνηση για το εργαλείο. Ίσως έχετε ένα ολόκληρο υποδίκτυο που θέλετε να κρατήσετε κρυφό από κάποιο άλλο σύστημα. Και πάλι, αυτό αφαιρείται εύκολα από την επιλεγμένη θύρα εξόδου. Στην πραγματικότητα, ένα μόνο NPB μπορεί να επεξεργαστεί ορισμένες συνδέσεις κίνησης ενσωματωμένες ενώ επεξεργάζεται άλλη κίνηση εκτός ζώνης.
Ώρα δημοσίευσης: 09 Μαρτίου 2022
