Posrednik omrežnih paketov (NPB) je omrežna naprava, podobna stikalu, katere velikosti segajo od prenosnih naprav do ohišij enot 1U in 2U, velikih ohišij in sistemov plošč. Za razliko od stikala NPB na noben način ne spreminja prometa, ki teče skozenj, razen če je to izrecno navedeno. NPB lahko sprejema promet na enem ali več vmesnikih, izvaja nekatere vnaprej določene funkcije na tem prometu in ga nato oddaja na enega ali več vmesnikov.
Te se pogosto imenujejo preslikave vrat »any-to-any«, »many-to-any« in »any-to-many«. Funkcije, ki jih je mogoče izvajati, segajo od preprostih, kot sta posredovanje ali zavrženje prometa, do kompleksnih, kot je filtriranje informacij nad plastjo 5 za identifikacijo določene seje. Vmesniki na NPB so lahko bakrene kabelske povezave, običajno pa so to okvirji SFP/SFP+ in QSFP, ki uporabnikom omogočajo uporabo različnih hitrosti medijev in pasovne širine. Nabor funkcij NPB je zgrajen na načelu maksimiranja učinkovitosti omrežne opreme, zlasti orodij za spremljanje, analizo in varnost.
Katere funkcije ponuja posrednik omrežnih paketov?
Zmogljivosti NPB so številne in se lahko razlikujejo glede na znamko in model naprave, čeprav bo vsak vreden agent paketov želel imeti osnovni nabor zmogljivosti. Večina NPB (najpogostejši NPB) deluje na nivojih OSI od 2 do 4.
Na splošno lahko na NPB-ju L2-4 najdete naslednje funkcije: preusmeritev prometa (ali njegovih določenih delov), filtriranje prometa, replikacija prometa, odstranjevanje protokolov, rezanje paketov (skrajšanje), zagon ali zaključek različnih protokolov omrežnih tunelov in uravnoteženje obremenitve prometa. Kot je bilo pričakovano, lahko NPB L2-4 filtrira VLAN, oznake MPLS, naslove MAC (izvorni in ciljni), naslove IP (izvorni in ciljni), vrata TCP in UDP (izvorna in ciljna) ter celo zastavice TCP, kot tudi promet ICMP, SCTP in ARP. To nikakor ni funkcija, ki bi jo bilo treba uporabljati, temveč daje predstavo o tem, kako lahko NPB, ki deluje na plasteh od 2 do 4, ločuje in identificira podmnožice prometa. Ključna zahteva, ki jo morajo stranke iskati pri NPB, je neblokirajoča zadnja plošča.
Posrednik omrežnih paketov mora biti sposoben zadostiti polni pretočnosti prometa vseh vrat na napravi. V sistemu šasije mora biti medsebojna povezava z zadnjo ploščo prav tako sposobna zadostiti polni prometni obremenitvi priključenih modulov. Če posrednik omrežnih paketov zavrže paket, ta orodja ne bodo imela popolnega razumevanja omrežja.
Čeprav velika večina NPB temelji na ASIC ali FPGA, boste zaradi zanesljivosti zmogljivosti obdelave paketov našli veliko sprejemljivih integracij ali CPE (prek modulov). Mylinking™ Network Packet Brokers (NPB) temeljijo na rešitvi ASIC. To je običajno funkcija, ki zagotavlja prilagodljivo obdelavo in je zato ni mogoče izvesti zgolj s strojno opremo. Sem spadajo deduplikacija paketov, časovni žigi, dešifriranje SSL/TLS, iskanje po ključnih besedah in iskanje po regularnih izrazih. Pomembno je omeniti, da je njegova funkcionalnost odvisna od zmogljivosti CPE. (Na primer, iskanje po regularnih izrazih istega vzorca lahko da zelo različne rezultate delovanja, odvisno od vrste prometa, stopnje ujemanja in pasovne širine), zato tega ni enostavno določiti pred dejansko implementacijo.
Če so omogočene funkcije, odvisne od CPU-ja, postanejo omejujoč dejavnik pri splošni zmogljivosti NPB-ja. Pojav CPU-jev in programabilnih stikalnih čipov, kot so Cavium Xpliant, Barefoot Tofino in Innovium Teralynx, je prav tako oblikoval osnovo za razširjen nabor zmogljivosti za omrežne paketne agente naslednje generacije. Te funkcionalne enote lahko obravnavajo promet nad L4 (pogosto imenovani paketni agenti L7). Med zgoraj omenjenimi naprednimi funkcijami sta iskanje po ključnih besedah in regularnih izrazih dober primer zmogljivosti naslednje generacije. Zmožnost iskanja po koristnih obremenitvah paketov ponuja možnosti za filtriranje prometa na ravni seje in aplikacije ter zagotavlja natančnejši nadzor nad razvijajočim se omrežjem kot L2-4.
Kako se Network Packet Broker vklaplja v infrastrukturo?
NPB je mogoče namestiti v omrežno infrastrukturo na dva različna načina:
1- V vrstici
2 - Izven pasu.
Vsak pristop ima prednosti in slabosti ter omogoča manipulacijo prometa na načine, ki jih drugi pristopi ne morejo. Vgrajeni omrežni posrednik paketov ima omrežni promet v realnem času, ki prečka napravo na poti do cilja. To omogoča manipulacijo prometa v realnem času. Na primer, pri dodajanju, spreminjanju ali brisanju oznak VLAN ali spreminjanju ciljnih naslovov IP se promet kopira na drugo povezavo. Kot vgrajena metoda lahko NPB zagotovi tudi redundanco za druga vgrajena orodja, kot so IDS, IPS ali požarni zidovi. NPB lahko spremlja stanje takšnih naprav in dinamično preusmeri promet v vročo pripravljenost v primeru okvare.
Zagotavlja veliko prilagodljivost pri obdelavi in replikaciji prometa na več naprav za spremljanje in varnost, ne da bi to vplivalo na omrežje v realnem času. Prav tako zagotavlja izjemno vidljivost omrežja in zagotavlja, da vse naprave prejmejo kopijo prometa, ki jo potrebujejo za pravilno opravljanje svojih nalog. Ne zagotavlja le, da vaša orodja za spremljanje, varnost in analizo prejmejo potreben promet, temveč tudi, da je vaše omrežje varno. Zagotavlja tudi, da naprava ne porablja virov za neželen promet. Morda vašemu omrežnemu analizatorju ni treba beležiti varnostnega kopiranja prometa, ker med varnostnim kopiranjem zavzame dragocen prostor na disku. Te stvari analizator enostavno filtrira, hkrati pa ohrani ves drugi promet za orodje. Morda imate celotno podomrežje, ki ga želite skriti pred drugim sistemom; tudi to je mogoče enostavno odstraniti na izbranih izhodnih vratih. Pravzaprav lahko en sam NPB obdela nekatere prometne povezave v liniji, medtem ko obdeluje drug promet zunaj pasu.
Čas objave: 9. marec 2022
