Kaj je posrednik omrežnih paketov in funkcije v infrastrukturi IT?

Network Packet Broker (NPB) je omrežna naprava, podobna stikalu, ki sega v velikosti od prenosnih naprav do ohišij enot 1U in 2U do velikih ohišij in sistemov plošč. Za razliko od stikala NPB na noben način ne spremeni prometa, ki teče skozenj, razen če ni izrecno navedeno. NPB lahko sprejema promet na enem ali več vmesnikih, izvede nekaj vnaprej določenih funkcij na tem prometu in ga nato odda enemu ali več vmesnikom.

Te se pogosto imenujejo preslikave vrat od katerega koli do katerega koli, od več do katerega koli in od katerega koli od mnogih. Funkcije, ki jih je mogoče izvesti, segajo od preprostih, kot je posredovanje ali zavračanje prometa, do zapletenih, kot je filtriranje informacij nad plastjo 5 za prepoznavanje določene seje. Vmesniki na NPB so lahko bakrene kabelske povezave, vendar so običajno okvirji SFP/SFP + in QSFP, ki uporabnikom omogočajo uporabo različnih medijev in hitrosti pasovne širine. Nabor funkcij NPB temelji na načelu maksimiranja učinkovitosti omrežne opreme, zlasti orodij za spremljanje, analizo in varnost.

2019050603525011

Katere funkcije ponuja Network Packet Broker?

Zmogljivosti NPB so številne in se lahko razlikujejo glede na znamko in model naprave, čeprav bo vsak paketni posrednik želel imeti osnovni nabor zmogljivosti. Večina NPB (najpogostejši NPB) deluje na ravneh OSI od 2 do 4.

Na splošno lahko najdete naslednje funkcije na NPB L2-4: preusmeritev prometa (ali določenih njegovih delov), filtriranje prometa, replikacija prometa, odstranjevanje protokola, rezanje paketov (prirezovanje), zagon ali zaključek različnih protokolov omrežnih tunelov, in uravnoteženje obremenitve za promet. Kot je bilo pričakovano, lahko NPB L2-4 filtrira VLAN, oznake MPLS, naslove MAC (izvor in cilj), naslove IP (izvor in cilj), vrata TCP in UDP (izvor in cilj) in celo zastavice TCP ter ICMP, SCTP in promet ARP. To nikakor ni funkcija, ki bi jo bilo treba uporabiti, temveč ponuja idejo o tem, kako lahko NPB, ki deluje na ravneh od 2 do 4, loči in identificira podnabore prometa. Ključna zahteva, ki bi jo morale stranke iskati pri NPB, je hrbtna plošča brez blokiranja.

Posrednik omrežnih paketov mora biti sposoben doseči celotno prepustnost prometa posameznih vrat v napravi. V sistemu ohišja mora medsebojna povezava s hrbtno ploščo prav tako zadostiti polni prometni obremenitvi povezanih modulov. Če NPB zavrže paket, ta orodja ne bodo imela popolnega razumevanja omrežja.

Čeprav velika večina NPB temelji na ASIC ali FPGA, boste zaradi zanesljivosti zmogljivosti obdelave paketov našli sprejemljive številne integracije ali CPE (prek modulov). Omrežni paketni posredniki Mylinking™ (NPB) temeljijo na rešitvi ASIC. To je običajno funkcija, ki zagotavlja prilagodljivo obdelavo in je zato ni mogoče izvajati zgolj v strojni opremi. Ti vključujejo deduplikacijo paketov, časovne žige, dešifriranje SSL/TLS, iskanje po ključnih besedah ​​in iskanje po regularnem izrazu. Pomembno je omeniti, da je njegova funkcionalnost odvisna od zmogljivosti procesorja. (Iskanja regularnih izrazov po istem vzorcu lahko na primer prinesejo zelo različne rezultate glede na vrsto prometa, stopnjo ujemanja in pasovno širino), zato tega ni enostavno določiti pred dejansko implementacijo.

shutterstock_

Če so funkcije, odvisne od procesorja, omogočene, postanejo omejevalni dejavnik pri splošni zmogljivosti NPB. Pojav procesorjev in programabilnih preklopnih čipov, kot so Cavium Xpliant, Barefoot Tofino in Innovium Teralynx, je prav tako tvoril osnovo za razširjen nabor zmogljivosti za naslednje generacije omrežnih paketnih agentov. Te funkcionalne enote lahko obravnavajo promet nad L4 (pogosto imenovan kot paketni posredniki L7). Med zgoraj omenjenimi naprednimi funkcijami sta iskanje po ključnih besedah ​​in regularnih izrazih dobra primera zmogljivosti naslednje generacije. Zmožnost iskanja paketnih obremenitev ponuja priložnosti za filtriranje prometa na ravni sej in aplikacij ter zagotavlja natančnejši nadzor nad razvijajočim se omrežjem kot L2-4.

Kako se Network Packet Broker prilega infrastrukturi?

NPB je mogoče namestiti v omrežno infrastrukturo na dva različna načina:

1- V vrstici

2- Zunajpasovno.

Vsak pristop ima prednosti in slabosti ter omogoča manipulacijo prometa na načine, ki jih drugi pristopi ne morejo. Vgrajeni posrednik omrežnih paketov ima omrežni promet v realnem času, ki prečka napravo na poti do cilja. To ponuja priložnost za manipulacijo prometa v realnem času. Na primer, ko dodajate, spreminjate ali brišete oznake VLAN ali spreminjate ciljne naslove IP, se promet kopira v drugo povezavo. Kot inline metoda lahko NPB zagotovi tudi redundanco za druga inline orodja, kot so IDS, IPS ali požarni zidovi. NPB lahko spremlja stanje takih naprav in v primeru okvare dinamično preusmeri promet v vročo pripravljenost.

Mylinking Inline Security NPB Bypass

Zagotavlja veliko prilagodljivost pri tem, kako se promet obdeluje in replicira na več nadzornih in varnostnih naprav, ne da bi to vplivalo na omrežje v realnem času. Zagotavlja tudi vidnost omrežja brez primere in zagotavlja, da vse naprave prejmejo kopijo prometa, potrebnega za pravilno opravljanje svojih obveznosti. Ne zagotavlja le, da vaša orodja za spremljanje, varnost in analizo dobijo promet, ki ga potrebujejo, ampak tudi, da je vaše omrežje varno. Zagotavlja tudi, da naprava ne porablja sredstev za neželeni promet. Morda vašemu omrežnemu analizatorju ni treba beležiti varnostnega prometa, ker med varnostnim kopiranjem zavzame dragocen prostor na disku. Te stvari je enostavno filtrirati iz analizatorja, medtem ko se ohrani ves drugi promet za orodje. Morda imate celotno podomrežje, ki ga želite skriti pred kakšnim drugim sistemom; spet, to je enostavno odstraniti na izbranih izhodnih vratih. Pravzaprav lahko en sam NPB obdeluje nekatere prometne povezave inline, medtem ko obdeluje drug zunajpasovni promet.


Čas objave: mar-09-2022