Kas yra tinklo paketų brokeris ir funkcijos IT infrastruktūroje?

Tinklo paketų brokeris (NPB) yra jungiklis, panašus į tinklo įrenginį, kurio dydis svyruoja nuo nešiojamųjų įrenginių iki 1U ir 2U vienetų dėklų iki didelių dėklų ir plokščių sistemų. Skirtingai nuo jungiklio, NPB jokiu būdu nekeičia per jį srauto, nebent būtų aiškiai nurodyta. NPB gali priimti srautą vienoje ar keliose sąsajose, atlikti kai kurias iš anksto nustatytas to srauto funkcijas ir išvesti jį į vieną ar daugiau sąsajų.

Jie dažnai vadinami prievadų atvaizdavimais „bet kas su bet“, „daugelis su bet kuriuo“ ir „kas prie daugelio“. Funkcijos, kurias galima atlikti, svyruoja nuo paprastų, pvz., srauto persiuntimo ar atmetimo, iki sudėtingų, tokių kaip informacijos filtravimas virš 5 sluoksnio, siekiant nustatyti tam tikrą seansą. NPB sąsajos gali būti vario kabelio jungtys, tačiau dažniausiai tai yra SFP/SFP + ir QSFP rėmeliai, leidžiantys vartotojams naudoti įvairias laikmenas ir pralaidumo greitį. NPB funkcijų rinkinys sukurtas remiantis tinklo įrangos, ypač stebėjimo, analizės ir saugos priemonių, efektyvumo didinimo principu.

2019050603525011

Kokias funkcijas teikia tinklo paketų brokeris?

NPB galimybių yra daug ir jos gali skirtis priklausomai nuo įrenginio prekės ženklo ir modelio, nors bet kuris jo vertas pakuotės agentas norės turėti pagrindinių galimybių rinkinį. Dauguma NPB (labiausiai paplitusių NPB) veikia nuo 2 iki 4 OSI sluoksniuose.

Apskritai, L2-4 NPB galite rasti šias funkcijas: srauto (arba tam tikrų jo dalių) nukreipimą, srauto filtravimą, srauto replikavimą, protokolų pašalinimą, paketų pjaustymą (sutrumpinimą), įvairių tinklo tunelio protokolų paleidimą arba nutraukimą, ir apkrovos balansavimas eismui. Kaip ir tikėtasi, L2-4 NPB gali filtruoti VLAN, MPLS etiketes, MAC adresus (šaltinis ir taikinys), IP adresus (šaltinis ir taikinys), TCP ir UDP prievadus (šaltinis ir taikinys) ir net TCP vėliavėles, taip pat ICMP, SCTP ir ARP srautas. Tai jokiu būdu nėra naudotina funkcija, o suteikia idėją, kaip NPB, veikiantis 2–4 sluoksniuose, gali atskirti ir identifikuoti srauto pogrupius. Pagrindinis reikalavimas, kurio klientai turėtų ieškoti NPB, yra neblokuojanti galinė plokštė.

Tinklo paketų tarpininkas turi turėti galimybę patenkinti visą srauto pralaidumą kiekviename įrenginio prievade. Važiuoklės sistemoje jungtis su galine plokšte taip pat turi atitikti visą prijungtų modulių srauto apkrovą. Jei NPB atmes paketą, šie įrankiai neturės visiško tinklo supratimo.

Nors didžioji dauguma NPB yra pagrįsta ASIC arba FPGA, dėl paketų apdorojimo našumo tikrumo, daug integracijų ar procesorių bus priimtina (per modulius). „Mylinking™“ tinklo paketų brokeriai (NPB) yra pagrįsti ASIC sprendimu. Paprastai tai yra funkcija, kuri suteikia lankstų apdorojimą, todėl jos negalima atlikti vien tik techninėje įrangoje. Tai apima paketų dubliavimo panaikinimą, laiko žymes, SSL/TLS iššifravimą, raktinių žodžių paiešką ir reguliariųjų posakių paiešką. Svarbu pažymėti, kad jo funkcionalumas priklauso nuo procesoriaus našumo. (Pavyzdžiui, to paties modelio reguliariųjų reiškinių paieškos gali duoti labai skirtingus našumo rezultatus, atsižvelgiant į srauto tipą, atitikimo greitį ir pralaidumą), todėl prieš faktinį diegimą nėra lengva nustatyti.

shutterstock_

Jei įjungtos nuo procesoriaus priklausančios funkcijos, jos tampa ribojančiu veiksniu bendram NPB veikimui. CPU ir programuojamų perjungimo lustų, tokių kaip „Cavium Xpliant“, „Barefoot Tofino“ ir „Innovium Teralynx“, atsiradimas taip pat sudarė naujos kartos tinklo paketų agentų išplėstinio galimybių rinkinio pagrindą. Šie funkciniai įrenginiai gali valdyti srautą, viršijantį L4 (dažnai vadinama kaip L7 paketų agentai). Tarp aukščiau paminėtų išplėstinių funkcijų, raktinių žodžių ir reguliariųjų posakių paieška yra geri naujos kartos galimybių pavyzdžiai. Galimybė ieškoti naudingų paketų suteikia galimybę filtruoti srautą seanso ir taikomųjų programų lygiais ir užtikrina geresnį besivystančio tinklo valdymą nei L2-4.

Kaip tinklo paketų brokeris įsilieja į infrastruktūrą?

NPB gali būti įdiegtas į tinklo infrastruktūrą dviem skirtingais būdais:

1 – eilute

2- Už juostos ribų.

Kiekvienas metodas turi privalumų ir trūkumų ir leidžia manipuliuoti eismu taip, kaip kiti metodai negali. Įdėtasis tinklo paketų tarpininkas turi realaus laiko tinklo srautą, kuris kerta įrenginį pakeliui į paskirties vietą. Tai suteikia galimybę manipuliuoti srautu realiuoju laiku. Pavyzdžiui, pridedant, keičiant ar naikinant VLAN žymas arba keičiant paskirties IP adresus, srautas nukopijuojamas į antrą nuorodą. Kaip įterptinis metodas, NPB taip pat gali suteikti pertekliaus kitiems įterptiesiems įrankiams, pvz., IDS, IPS ar ugniasienėms. NPB gali stebėti tokių įrenginių būseną ir gedimo atveju dinamiškai nukreipti srautą į karštąjį budėjimo režimą.

Mylinking Inline Security NPB aplinkkelis

Tai suteikia didelį lankstumą, kaip srautas apdorojamas ir perkeliamas į kelis stebėjimo ir saugos įrenginius, nedarant įtakos realaus laiko tinklui. Tai taip pat suteikia precedento neturintį tinklo matomumą ir užtikrina, kad visi įrenginiai gautų srauto, reikalingo tinkamai atlikti savo pareigas, kopiją. Tai ne tik užtikrina, kad jūsų stebėjimo, saugos ir analizės įrankiai gautų reikiamą srautą, bet ir kad jūsų tinklas būtų saugus. Taip pat užtikrinama, kad įrenginys nevartotų išteklių nepageidaujamam srautui. Galbūt jūsų tinklo analizatoriui nereikia įrašyti atsarginio srauto, nes atsarginės kopijos kūrimo metu jis užima vertingos vietos diske. Šie dalykai lengvai išfiltruojami iš analizatoriaus išsaugant visą kitą įrankio srautą. Galbūt turite visą potinklį, kurį norite paslėpti nuo kitos sistemos; vėlgi, tai lengvai pašalinama pasirinktame išvesties prievade. Tiesą sakant, vienas NPB gali apdoroti kai kurias srauto nuorodas tiesiogiai, o kitas už juostos ribų.


Paskelbimo laikas: 2022-09-09