Tinklo paketų brokeris (NPB) yra komutatoriaus tipo tinklo įrenginys, kurio dydis svyruoja nuo nešiojamųjų įrenginių iki 1U ir 2U korpusų, taip pat didelių korpusų ir plokščių sistemų. Skirtingai nuo komutatoriaus, NPB jokiu būdu nekeičia juo tekančio srauto, nebent būtų aiškiai nurodyta. NPB gali priimti srautą vienoje ar keliose sąsajose, atlikti tam tikras iš anksto nustatytas funkcijas ir tada perduoti jį į vieną ar kelias sąsajas.
Jie dažnai vadinami „bet koks su bet kokiu“, „daugelis su bet kokiu“ ir „bet koks su daugeliu“ prievadų susiejimais. Funkcijos, kurias galima atlikti, yra įvairios – nuo paprastų, pvz., srauto persiuntimas ar atmetimas, iki sudėtingų, pvz., informacijos filtravimas virš 5 sluoksnio, siekiant identifikuoti konkretų seansą. NPB sąsajos gali būti varinių kabelių jungtys, tačiau dažniausiai tai yra SFP/SFP+ ir QSFP kadrai, leidžiantys vartotojams naudoti įvairias medijas ir pralaidumo greičius. NPB funkcijų rinkinys sukurtas remiantis tinklo įrangos, ypač stebėjimo, analizės ir saugumo įrankių, efektyvumo didinimo principu.
Kokias funkcijas atlieka tinklo paketų brokeris?
NPB galimybės yra įvairios ir gali skirtis priklausomai nuo įrenginio prekės ženklo ir modelio, nors bet kuris savo vertę turintis paketų kūrimo agentas norės turėti pagrindinį funkcijų rinkinį. Dauguma NPB (labiausiai paplitusių NPB) veikia OSI 2–4 sluoksniuose.
Apskritai, L2-4 NPB galite rasti šias funkcijas: srauto (ar konkrečių jo dalių) peradresavimą, srauto filtravimą, srauto replikavimą, protokolų šalinimą, paketų pjaustymą (sutrumpinimą), įvairių tinklo tunelių protokolų paleidimą arba nutraukimą ir srauto apkrovos balansavimą. Kaip ir tikėtasi, L2-4 NPB gali filtruoti VLAN, MPLS žymas, MAC adresus (šaltinio ir paskirties), IP adresus (šaltinio ir paskirties), TCP ir UDP prievadus (šaltinio ir paskirties) ir net TCP žymas, taip pat ICMP, SCTP ir ARP srautą. Tai jokiu būdu nėra funkcija, kurią reikia naudoti, o greičiau suteikia idėją, kaip NPB, veikiantys 2–4 sluoksniuose, gali atskirti ir identifikuoti srauto pogrupius. Pagrindinis reikalavimas, į kurį klientai turėtų atkreipti dėmesį NPB, yra neblokuojanti galinė plokštė.
Tinklo paketų brokeris turi patenkinti visą kiekvieno įrenginio prievado srauto pralaidumą. Šasiės sistemoje sujungimas su galine plokšte taip pat turi patenkinti visą prijungtų modulių srauto apkrovą. Jei NPB praranda paketą, šios priemonės neturės išsamaus tinklo supratimo.
Nors didžioji dauguma NPB yra pagrįsti ASIC arba FPGA, dėl užtikrinto paketų apdorojimo našumo rasite daug priimtinų integracijų arba procesorių (per modulius). „Mylinking™“ tinklo paketų brokeriai (NPB) yra pagrįsti ASIC sprendimu. Paprastai tai yra funkcija, užtikrinanti lankstų apdorojimą, todėl jos negalima atlikti vien aparatine įranga. Tai apima paketų deduplikaciją, laiko žymas, SSL/TLS iššifravimą, raktinių žodžių paiešką ir reguliariųjų išraiškų paiešką. Svarbu pažymėti, kad jos funkcionalumas priklauso nuo procesoriaus našumo. (Pavyzdžiui, to paties modelio reguliariųjų išraiškų paieška gali duoti labai skirtingus našumo rezultatus, priklausomai nuo srauto tipo, atitikimo dažnio ir pralaidumo), todėl tai nėra lengva nustatyti prieš faktinį įdiegimą.
Jei įjungiamos nuo procesoriaus priklausančios funkcijos, jos tampa ribojančiu veiksniu, lemiančiu bendrą NPB našumą. CPU ir programuojamų komutavimo lustų, tokių kaip „Cavium Xpliant“, „Barefoot Tofino“ ir „Innovium Teralynx“, atsiradimas taip pat sudarė išplėstų naujos kartos tinklo paketų agentų galimybių pagrindą. Šie funkciniai vienetai gali apdoroti srautą, viršijantį L4 lygį (dažnai vadinamą L7 paketų agentais). Tarp aukščiau paminėtų pažangių funkcijų, raktinių žodžių ir reguliariųjų išraiškų paieška yra geri naujos kartos galimybių pavyzdžiai. Galimybė ieškoti paketų naudingosiose apkrovose suteikia galimybių filtruoti srautą seanso ir programos lygmenimis ir suteikia geresnę besivystančio tinklo kontrolę nei L2-4.
Kaip tinklo paketų brokeris dera prie infrastruktūros?
NPB galima įdiegti į tinklo infrastruktūrą dviem skirtingais būdais:
1- Įterptinis
2. Už dažnių juostos ribų.
Kiekvienas metodas turi privalumų ir trūkumų, ir leidžia manipuliuoti srautu taip, kaip negali kiti metodai. Įterptinis tinklo paketų tarpininkas turi realaus laiko tinklo srautą, kuris kerta įrenginį pakeliui į paskirties vietą. Tai suteikia galimybę manipuliuoti srautu realiuoju laiku. Pavyzdžiui, pridedant, modifikuojant arba ištrinant VLAN žymas arba keičiant paskirties IP adresus, srautas kopijuojamas į antrą jungtį. Kaip įterptinis metodas, NPB taip pat gali užtikrinti perteklių kitoms įterptoms priemonėms, tokioms kaip IDS, IPS arba užkardos. NPB gali stebėti tokių įrenginių būseną ir dinamiškai nukreipti srautą į karštąjį budėjimo režimą gedimo atveju.
Tai suteikia didelį lankstumą, kaip srautas apdorojamas ir replikuojamas į kelis stebėjimo ir saugos įrenginius, nepaveikiant realaus laiko tinklo. Tai taip pat suteikia precedento neturintį tinklo matomumą ir užtikrina, kad visi įrenginiai gautų srauto, reikalingo tinkamai atlikti savo pareigas, kopiją. Tai ne tik užtikrina, kad jūsų stebėjimo, saugumo ir analizės įrankiai gautų reikiamą srautą, bet ir kad jūsų tinklas būtų saugus. Tai taip pat užtikrina, kad įrenginys neeikvotų išteklių nepageidaujamam srautui. Galbūt jūsų tinklo analizatoriui nereikia įrašyti atsarginio srauto, nes jis užima vertingą vietą diske atsarginės kopijos kūrimo metu. Šie dalykai lengvai filtruojami iš analizatoriaus, išsaugant visą kitą srautą įrankiui. Galbūt turite visą potinklį, kurį norite paslėpti nuo kitos sistemos; vėlgi, tai lengvai pašalinama pasirinktame išvesties prievade. Tiesą sakant, vienas NPB gali apdoroti kai kurias srauto nuorodas tiesiogiai, tuo pačiu apdorodamas kitą išorinį srautą.
Įrašo laikas: 2022 m. kovo 9 d.
