Network Packet Broker (NPB) je stikalo, kot je omrežna naprava, ki sega v velikosti od prenosnih naprav do primerov 1U in 2U enote do velikih primerov in plošč. Za razliko od stikala NPB ne spreminja prometa, ki se na kakršen koli način pretaka, razen če je izrecno poučen. NPB lahko prejema promet na enem ali več vmesnikih, izvede nekaj vnaprej določenih funkcij na tem prometu in ga nato odda na enega ali več vmesnikov.
Te se pogosto imenujejo vsi, ki jih je treba več, in več preslikav pristanišč. Funkcije, ki jih je mogoče opraviti, segajo od preprostega, kot je posredovanje ali zavračanje prometa, do zapletenih, na primer filtriranje informacij nad plastjo 5 za prepoznavanje določene seje. Vmesniki na NPB so lahko bakreni kabelski priključki, vendar so običajno okvirja SFP/SFP + in QSFP, ki uporabnikom omogočajo uporabo različnih hitrosti medijev in pasovne širine. Nabor funkcij NPB je zasnovan na načelu maksimiranja učinkovitosti omrežne opreme, zlasti spremljanja, analiz in varnostnih orodij.
Katere funkcije zagotavlja posrednik omrežnega paketa?
Zmogljivosti NPB so številne in se lahko razlikujejo glede na blagovno znamko in model naprave, čeprav bo kateri koli paketni agent, vreden njegove soli, želel imeti osnovni nabor zmogljivosti. Večina NPB (najpogostejši NPB) deluje na plasteh OSI 2 do 4.
Na splošno lahko na NPB L2-4 najdete naslednje funkcije: promet (ali določeni deli) preusmeritve, filtriranje prometa, razmnoževanje prometa, odstranjevanje protokolov, rezanje paketov (okrnjenje), zagon ali prekinitev različnih protokolov omrežnega tunela in uravnoteženje obremenitve za promet. Kot je bilo pričakovano, lahko NPB L2-4 filtrira VLAN, MPLS nalepke, MAC naslove (vir in cilj), IP naslove (vir in cilj), vrat TCP in UDP (vir in cilj) ter celo zastavice TCP, pa tudi ICMP, SCTP in ARP promet. To nikakor ni funkcija, ki jo je treba uporabiti, temveč daje predstavo o tem, kako se lahko NPB, ki deluje na plasteh 2 do 4, loči in identificira prometne podskupine. Ključna zahteva, ki bi jo stranke morali iskati v NPB, je ne-blokavna hrbtna letala.
Posrednik Network Packet mora imeti možnost, da doseže celoten prometni pretok vsakega vrat na napravi. V sistemu podvozja mora biti medsebojna povezava z ozadjem, da bo lahko izpolnjevala celotno prometno obremenitev povezanih modulov. Če NPB spusti paket, ta orodja ne bodo popolnoma razumela omrežja.
Čeprav velika večina NPB temelji na ASIC ali FPGA, boste zaradi gotovosti zmogljivosti obdelave paketov našli številne integracije ali CPU -je sprejemljive (prek modulov). MyLinking ™ omrežni paketni posredniki (NPB) temeljijo na ASIC rešitvi. To je ponavadi funkcija, ki zagotavlja prilagodljivo obdelavo in je zato ni mogoče storiti izključno v strojni opremi. Sem spadajo deduplikacija paketov, časovne žige, dešifriranje SSL/TLS, iskanje ključnih besed in redno iskanje izraza. Pomembno je opozoriti, da je njegova funkcionalnost odvisna od zmogljivosti CPU -ja. (Na primer, redna iskanja izražanja istega vzorca lahko prinesejo zelo različne rezultate zmogljivosti, odvisno od vrste prometa, ujemanja hitrosti in pasovne širine), zato ga pred dejanskim izvajanjem ni enostavno določiti.
Če so omogočene funkcije, ki so odvisne od CPU-ja, postanejo omejujoči dejavnik celotne učinkovitosti NPB. Pojav CPU-jev in programirljivih stikalnih čipov, kot so Cavium Xpliant, Boxoot Tofino in Innovium Teralynx, je bil tudi osnova razširjenega nabora zmogljivosti za agente za omrežne pakete naslednje generacije, te funkcionalne enote lahko obvladujejo promet nad L4 (pogosto jih imenujejo L7 paketnimi sredstvi). Med zgoraj omenjenimi naprednimi funkcijami so ključne besede in redno iskanje izraza dobri primeri zmogljivosti naslednje generacije. Sposobnost iskanja paketnih koristnih obremenitev ponuja možnosti za filtriranje prometa na ravni seje in aplikacij ter zagotavlja lepši nadzor nad razvijajočim se omrežjem kot L2-4.
Kako se posrednik omrežnega paketa prilega v infrastrukturo?
NPB je mogoče namestiti v omrežno infrastrukturo na dva različna načina:
1- inline
2- zunaj pasu.
Vsak pristop ima prednosti in slabosti in omogoča manipulacijo prometa na načine, ki jih drugi pristopi ne morejo. Posrednik Inline Network Packet ima omrežni promet v realnem času, ki prečka napravo na poti do cilja. To ponuja priložnost za manipulacijo s prometom v realnem času. Na primer, pri dodajanju, spreminjanju ali brisanju oznak VLAN ali spreminjanju ciljnih naslovov IP se promet kopira na drugo povezavo. Kot vgrajena metoda lahko NPB zagotovi tudi odvečnost za druga vgrajena orodja, kot so ID -ji, IPS ali požarni zidovi. NPB lahko spremlja stanje takšnih naprav in v primeru okvare dinamično preusmeri promet do vroče pripravljenosti.
Omogoča veliko prilagodljivost pri predelavi in ponovitvi prometa na več nadzorovalnih in varnostnih naprav, ne da bi vplival na omrežje v realnem času. Omogoča tudi prepoznavnost omrežja brez primere in zagotavlja, da vse naprave prejmejo kopijo prometa, potrebnega za pravilno obravnavo svojih odgovornosti. Ne samo da zagotavlja, da vaša orodja za spremljanje, varnost in analiza pridobijo promet, ki ga potrebujejo, ampak tudi, da je vaše omrežje varno. Prav tako zagotavlja, da naprava ne porabi sredstev za neželeni promet. Morda vam omrežni analizator ni treba zabeležiti rezervnega prometa, ker med varnostno kopijo zavzame dragoceni prostor na disku. Te stvari se zlahka filtrirajo iz analizatorja, hkrati pa ohranijo ves drugi promet za orodje. Mogoče imate celotno podomrežje, ki jo želite ohraniti pred kakšnim drugim sistemom; Spet je to enostavno odstraniti na izbranih izhodnih vratih. Dejansko lahko en NPB obdela nekaj prometnih povezav, medtem ko obdeluje drugi zunajpasovni promet.
Čas objave: Mar-09-2022
