„Network Packet Broker“ (NPB) yra jungiklis, pavyzdžiui, tinklų kūrimo įtaisas, kurio dydis svyruoja nuo nešiojamų įrenginių iki 1U ir 2U vienetų atvejų, iki didelių atvejų ir plokščių sistemų. Skirtingai nuo jungiklio, NPB nekeičia srauto, kuris bet kokiu būdu teka per jį, nebent tai būtų aiškiai nurodyta. NPB gali gauti srautą vienoje ar daugiau sąsajų, atlikti kai kurias iš anksto nustatytas srauto funkcijas ir išvesti ją į vieną ar daugiau sąsajų.
Tai dažnai vadinama bet kokiu, bet kokiu ir bet kokiu ir daugybe uostų žemėlapių. Funkcijos, kurias galima atlikti, nuo paprastųjų, tokių kaip srauto persiuntimas ar išmesimas, iki sudėtingos, pavyzdžiui, filtrauti informaciją virš 5 sluoksnio, kad būtų galima nustatyti tam tikrą sesiją. NPB sąsajos gali būti vario kabelių jungtys, tačiau paprastai yra SFP/SFP + ir QSFP kadrai, kurie vartotojams leidžia naudoti įvairius laikmenų ir pralaidumo greičius. NPB funkcijų rinkinys yra pagrįstas principu, kaip maksimaliai padidinti tinklo įrangos efektyvumą, ypač stebėjimo, analizės ir saugos priemonių.
Kokias funkcijas teikia tinklo paketų brokeris?
NPB galimybės yra daug ir gali skirtis priklausomai nuo prekės ženklo ir įrenginio modelio, nors bet kuris pakuotės agentas, vertas jo druskos, norės turėti pagrindinį galimybių rinkinį. Dauguma NPB (dažniausiai pasitaikančių NPB) funkcijos OSI sluoksniuose nuo 2 iki 4.
Apskritai, L2-4 NPB galite rasti šias funkcijas: srautą (arba konkrečias jo dalis) peradresavimas, srauto filtravimas, srauto replikacija, protokolo nurišimas, paketų pjaustymas (apipjaustymas), pradedant arba nutraukiant įvairius tinklo tunelio protokolus ir apkrovos balansavimą srautui. Kaip ir tikėtasi, L2-4 NPB gali filtruoti VLAN, MPLS etiketes, MAC adresus (šaltinis ir taikinys), IP adresai (šaltinis ir taikinys), TCP ir UDP prievadai (šaltinis ir taikinys) ir net TCP vėliavos, taip pat ICMP, SCTP ir ARP srautas. Tai jokiu būdu nėra naudojama funkcija, o suteikia idėją, kaip NPB veikia 2–4 sluoksniuose, gali atskirti ir identifikuoti eismo pogrupius. Pagrindinis reikalavimas, kurio klientai turėtų ieškoti NPB, yra neužsiblokuojanti plokštuma.
Tinklo paketų brokeris turi sugebėti patenkinti kiekvieno įrenginio prievado viso prievado srauto pralaidumą. Važiuoklės sistemoje sujungimas su užpakaline plokštuma taip pat turi sugebėti patenkinti prijungtų modulių visą srauto apkrovą. Jei NPB numeta paketą, šie įrankiai neturės išsamaus tinklo supratimo.
Nors didžioji dalis NPB yra pagrįsta ASIC arba FPGA, dėl paketų apdorojimo tikrumo, rasite daug integracijų ar procesorių, priimtinų (per modulius). „MyINGing ™“ tinklo paketų brokeriai (NPB) yra pagrįsti ASIC sprendimu. Paprastai tai yra funkcija, teikianti lankstų apdorojimą, todėl negali būti atliekama vien tik aparatinėje įrangoje. Tai apima paketų dedukavimą, laiko žymes, SSL/TLS iššifravimą, raktinių žodžių paiešką ir reguliariosios išraiškos paiešką. Svarbu pažymėti, kad jo funkcionalumas priklauso nuo CPU našumo. (Pavyzdžiui, reguliarios to paties modelio išraiškos paieškos gali duoti labai skirtingus našumo rezultatus, atsižvelgiant į eismo tipą, atitikimo greitį ir pralaidumą), todėl prieš faktinį įgyvendinimą nėra lengva nustatyti.
Jei įjungtos nuo CPU priklausomos savybės, jos tampa ribojančiu bendrojo NPB našumo veiksniu. CPU ir programuojamų perjungimo lustų, tokių kaip „Cavium XPliant“, „Barefoot Tofino“ ir „Innovium Teralynx“, atsiradimas taip pat sudarė išplėstinės galimybių rinkinį naujos kartos tinklo paketų agentams, šie funkciniai blokai gali valdyti srautą virš L4 (dažnai vadinamos L7 paketų agentais). Tarp aukščiau paminėtų pažangių funkcijų raktinis žodis ir įprastos išraiškos paieška yra geri naujos kartos galimybių pavyzdžiai. Galimybė ieškoti paketų naudingų krovinių suteikia galimybę filtruoti srautą sesijos metu ir programų lygius bei suteikia puikesnį besikeičiančio tinklo valdymą nei L2-4.
Kaip tinklo paketų brokeris tilpo į infrastruktūrą?
NPB galima įdiegti į tinklo infrastruktūrą dviem skirtingais būdais:
1- intarpas
2-Bandė.
Kiekvienas požiūris turi privalumų ir trūkumų ir suteikia galimybę manipuliuoti srautu taip, kad kiti metodai negali. „Inline“ tinklo paketų brokeris turi realaus laiko tinklo srautą, kuris apvažiuoja įrenginį pakeliui į savo tikslą. Tai suteikia galimybę realiuoju laiku manipuliuoti srautu. Pvz., Pridedant, modifikuojant ar ištrinant VLAN žymas ar keičiant paskirties IP adresus, srautas nukopijuojamas į antrąją nuorodą. Kaip įprastas metodas, NPB taip pat gali suteikti atleidimą iš kitų intarpų įrankių, tokių kaip ID, IPS ar ugniasienės. NPB gali stebėti tokių įrenginių būklę ir dinamiškai pakartotinai nukreipti srautą į karštą budėjimo režimą, jei nesėkmė.
Tai suteikia didelį lankstumą perdirbant srautą ir atkartojamas keliems stebėjimo ir saugos įrenginiams, nepaveikdami realaus laiko tinklo. Tai taip pat suteikia precedento neturintį tinklo matomumą ir užtikrina, kad visi įrenginiai gautų srauto, reikalingo tinkamai tvarkyti jų atsakomybę, kopiją. Tai ne tik užtikrina, kad jūsų stebėjimo, saugumo ir analizės įrankiai gauna reikiamą srautą, bet ir tai, kad jūsų tinklas yra saugus. Tai taip pat užtikrina, kad įrenginys nenaudoja išteklių dėl nepageidaujamo srauto. Galbūt jūsų tinklo analizatoriui nereikia įrašyti atsarginio srauto, nes atsarginės kopijos metu jis užima vertingą disko vietą. Šie dalykai lengvai filtruojami iš analizatoriaus, išsaugant visą kitą įrankio srautą. Gal turite visą potinklį, kurį norite paslėpti nuo kitos sistemos; Vėlgi, tai lengvai pašalinama pasirinktame išvesties prievade. Tiesą sakant, vienas NPB gali apdoroti kai kurias srauto nuorodas įterpdamas, apdorojant kitą ne juostos srautą.
Pašto laikas: 2012 m. Kovo 09 d
