Το Network Packet Broker (NPB) είναι μια συσκευή δικτύου που μοιάζει με μεταγωγέα που κυμαίνεται σε μέγεθος από φορητές συσκευές έως θήκες μονάδων 1U και 2U έως μεγάλες θήκες και συστήματα πλακέτας. Σε αντίθεση με έναν διακόπτη, το NPB δεν αλλάζει την κίνηση που ρέει μέσω αυτού με οποιονδήποτε τρόπο, εκτός εάν έχει δοθεί ρητή εντολή. Το NPB μπορεί να λάβει κίνηση σε μία ή περισσότερες διεπαφές, να εκτελέσει ορισμένες προκαθορισμένες λειτουργίες σε αυτήν την κίνηση και στη συνέχεια να την εξάγει σε μία ή περισσότερες διεπαφές.
Αυτές αναφέρονται συχνά ως αντιστοιχίσεις θυρών από οποιοδήποτε σε οποιοδήποτε, από πολλά σε οποιοδήποτε και από οποιοδήποτε σε πολλά. Οι λειτουργίες που μπορούν να εκτελεστούν κυμαίνονται από απλές, όπως προώθηση ή απόρριψη κίνησης, έως πολύπλοκες, όπως φιλτράρισμα πληροφοριών πάνω από το επίπεδο 5 για την αναγνώριση μιας συγκεκριμένης περιόδου λειτουργίας. Οι διεπαφές στο NPB μπορεί να είναι συνδέσεις καλωδίων χαλκού, αλλά είναι συνήθως πλαίσια SFP/SFP + και QSFP, τα οποία επιτρέπουν στους χρήστες να χρησιμοποιούν μια ποικιλία μέσων και ταχύτητες εύρους ζώνης. Το σύνολο χαρακτηριστικών του NPB βασίζεται στην αρχή της μεγιστοποίησης της απόδοσης του εξοπλισμού δικτύου, ιδιαίτερα των εργαλείων παρακολούθησης, ανάλυσης και ασφάλειας.
Ποιες λειτουργίες παρέχει το Network Packet Broker;
Οι δυνατότητες του NPB είναι πολυάριθμες και μπορεί να διαφέρουν ανάλογα με τη μάρκα και το μοντέλο της συσκευής, αν και οποιοσδήποτε πράκτορας συσκευασίας αξίζει το αλάτι του θα θέλει να έχει ένα βασικό σύνολο δυνατοτήτων. Τα περισσότερα NPB (το πιο κοινό NPB) λειτουργούν στα επίπεδα OSI 2 έως 4.
Γενικά, μπορείτε να βρείτε τα ακόλουθα χαρακτηριστικά στο NPB του L2-4: ανακατεύθυνση κυκλοφορίας (ή συγκεκριμένα μέρη του), φιλτράρισμα κυκλοφορίας, αναπαραγωγή κυκλοφορίας, απογύμνωση πρωτοκόλλου, τεμαχισμός πακέτων (περικοπή), έναρξη ή τερματισμός διαφόρων πρωτοκόλλων σήραγγας δικτύου, και εξισορρόπηση φορτίου για την κυκλοφορία. Όπως αναμενόταν, το NPB του L2-4 μπορεί να φιλτράρει VLAN, ετικέτες MPLS, διευθύνσεις MAC (πηγή και στόχο), διευθύνσεις IP (πηγή και στόχος), θύρες TCP και UDP (πηγή και στόχος), ακόμη και σημαίες TCP, καθώς και ICMP. SCTP και κυκλοφορία ARP. Αυτό δεν είναι σε καμία περίπτωση ένα χαρακτηριστικό που πρέπει να χρησιμοποιηθεί, αλλά παρέχει μια ιδέα για το πώς το NPB που λειτουργεί στα επίπεδα 2 έως 4 μπορεί να διαχωρίσει και να αναγνωρίσει υποσύνολα κίνησης. Μια βασική απαίτηση που πρέπει να αναζητήσουν οι πελάτες στο NPB είναι ένα μη μπλοκαρισμένο backplane.
Το Network packet Broker πρέπει να είναι σε θέση να ανταποκρίνεται πλήρως στην παροχή κίνησης κάθε θύρας στη συσκευή. Στο σύστημα πλαισίου, η διασύνδεση με το πίσω επίπεδο πρέπει επίσης να μπορεί να ανταποκρίνεται στο πλήρες φορτίο κυκλοφορίας των συνδεδεμένων μονάδων. Εάν το NPB απορρίψει το πακέτο, αυτά τα εργαλεία δεν θα έχουν πλήρη κατανόηση του δικτύου.
Αν και η συντριπτική πλειοψηφία του NPB βασίζεται σε ASIC ή FPGA, λόγω της βεβαιότητας της απόδοσης επεξεργασίας πακέτων, θα βρείτε πολλές ενσωματώσεις ή CPU αποδεκτές (μέσω μονάδων). Τα Mylinking™ Network Packet Brokers (NPB) βασίζονται στη λύση ASIC. Αυτό είναι συνήθως ένα χαρακτηριστικό που παρέχει ευέλικτη επεξεργασία και επομένως δεν μπορεί να γίνει αποκλειστικά σε υλικό. Αυτά περιλαμβάνουν την αφαίρεση πακέτων, τις χρονικές σημάνσεις, την αποκρυπτογράφηση SSL/TLS, την αναζήτηση λέξεων-κλειδιών και την αναζήτηση κανονικών εκφράσεων. Είναι σημαντικό να σημειωθεί ότι η λειτουργικότητά του εξαρτάται από την απόδοση της CPU. (Για παράδειγμα, οι αναζητήσεις κανονικών εκφράσεων του ίδιου μοτίβου μπορούν να αποφέρουν πολύ διαφορετικά αποτελέσματα απόδοσης ανάλογα με τον τύπο επισκεψιμότητας, τον ρυθμό αντιστοίχισης και το εύρος ζώνης), επομένως δεν είναι εύκολο να προσδιοριστεί πριν από την πραγματική εφαρμογή.
Εάν είναι ενεργοποιημένες οι λειτουργίες που εξαρτώνται από την CPU, γίνονται περιοριστικός παράγοντας στη συνολική απόδοση του NPB. Η έλευση του cpus και των προγραμματιζόμενων τσιπ μεταγωγής, όπως το Cavium Xpliant, το Barefoot Tofino και το Innovium Teralynx, αποτέλεσαν επίσης τη βάση ενός διευρυμένου συνόλου δυνατοτήτων για πράκτορες πακέτων δικτύου επόμενης γενιάς. Αυτές οι λειτουργικές μονάδες μπορούν να χειριστούν κίνηση πάνω από L4 (συχνά αναφέρεται ως πράκτορες πακέτων L7). Μεταξύ των προηγμένων λειτουργιών που αναφέρθηκαν παραπάνω, η αναζήτηση λέξεων-κλειδιών και κανονικών εκφράσεων είναι καλά παραδείγματα δυνατοτήτων επόμενης γενιάς. Η δυνατότητα αναζήτησης ωφέλιμων φορτίων πακέτων παρέχει ευκαιρίες φιλτραρίσματος της κυκλοφορίας σε επίπεδο συνεδρίας και εφαρμογής και παρέχει καλύτερο έλεγχο σε ένα εξελισσόμενο δίκτυο από το L2-4.
Πώς ταιριάζει το Network Packet Broker στην υποδομή;
Το NPB μπορεί να εγκατασταθεί σε μια υποδομή δικτύου με δύο διαφορετικούς τρόπους:
1- Inline
2- Εκτός ζώνης.
Κάθε προσέγγιση έχει πλεονεκτήματα και μειονεκτήματα και επιτρέπει τη χειραγώγηση της κυκλοφορίας με τρόπους που άλλες προσεγγίσεις δεν μπορούν. Ο μεσίτης πακέτων ενσωματωμένου δικτύου έχει κίνηση δικτύου σε πραγματικό χρόνο που διασχίζει τη συσκευή καθ' οδόν προς τον προορισμό της. Αυτό παρέχει την ευκαιρία να χειριστείτε την κυκλοφορία σε πραγματικό χρόνο. Για παράδειγμα, κατά την προσθήκη, τροποποίηση ή διαγραφή ετικετών VLAN ή αλλαγή διευθύνσεων IP προορισμού, η κίνηση αντιγράφεται σε έναν δεύτερο σύνδεσμο. Ως ενσωματωμένη μέθοδος, το NPB μπορεί επίσης να παρέχει πλεονασμό για άλλα ενσωματωμένα εργαλεία, όπως IDS, IPS ή τείχη προστασίας. Το NPB μπορεί να παρακολουθεί την κατάσταση τέτοιων συσκευών και να μεταφέρει δυναμικά την κυκλοφορία σε κατάσταση αναμονής σε περίπτωση βλάβης.
Παρέχει μεγάλη ευελιξία στον τρόπο με τον οποίο η κίνηση επεξεργάζεται και αναπαράγεται σε πολλαπλές συσκευές παρακολούθησης και ασφάλειας χωρίς να επηρεάζει το δίκτυο σε πραγματικό χρόνο. Παρέχει επίσης πρωτοφανή ορατότητα δικτύου και διασφαλίζει ότι όλες οι συσκευές λαμβάνουν αντίγραφο της κίνησης που απαιτείται για τη σωστή διαχείριση των ευθυνών τους. Όχι μόνο διασφαλίζει ότι τα εργαλεία παρακολούθησης, ασφάλειας και ανάλυσης λαμβάνουν την επισκεψιμότητα που χρειάζονται, αλλά και ότι το δίκτυό σας είναι ασφαλές. Εξασφαλίζει επίσης ότι η συσκευή δεν καταναλώνει πόρους σε ανεπιθύμητη κυκλοφορία. Ίσως ο αναλυτής δικτύου σας δεν χρειάζεται να καταγράφει εφεδρική κίνηση επειδή καταλαμβάνει πολύτιμο χώρο στο δίσκο κατά τη διάρκεια της δημιουργίας αντιγράφων ασφαλείας. Αυτά τα πράγματα φιλτράρονται εύκολα από τον αναλυτή, ενώ διατηρείται όλη η άλλη κίνηση για το εργαλείο. Ίσως έχετε ένα ολόκληρο υποδίκτυο που θέλετε να κρατήσετε κρυφό από κάποιο άλλο σύστημα. και πάλι, αυτό αφαιρείται εύκολα στην επιλεγμένη θύρα εξόδου. Στην πραγματικότητα, ένα μεμονωμένο NPB μπορεί να επεξεργαστεί ορισμένους συνδέσμους κίνησης ενσωματωμένα ενώ επεξεργάζεται άλλη κίνηση εκτός ζώνης.
Ώρα δημοσίευσης: Mar-09-2022