Broker síťových paketů (NPB) je přepínač, jako je síťové zařízení, které se pohybuje ve velikosti od přenosných zařízení po 1U a 2U jednotkové případy po velké případy a deskové systémy. Na rozdíl od přepínače NPB nemění provoz, který přes něj protéká žádným způsobem, pokud není výslovně instruován. NPB může přijímat provoz na jednom nebo více rozhraních, provádět některé předdefinované funkce na tomto provozu a poté jej vystoupit na jedno nebo více rozhraní.
Tito jsou často označováni jako kdokoli, mnoho, ať už je a libovolné mapování portů. Funkce, které lze provádět, se pohybují od jednoduchých, jako je předávání nebo vyřazení provozu, až po komplexní, jako jsou filtrační informace nad vrstvou 5, aby se identifikovala konkrétní relace. Rozhraní na NPB mohou být připojení měděných kabelů, ale obvykle se jedná o rámce SFP/SFP + a QSFP, které umožňují uživatelům používat různé rychlosti média a šířky pásma. Sada funkcí NPB je postavena na principu maximalizace účinnosti síťového vybavení, zejména monitorování, analýzy a bezpečnostních nástrojů.
Jaké funkce poskytuje makléř síťových paketů?
Schopnosti NPB jsou četné a mohou se lišit v závislosti na značce a modelu zařízení, i když jakýkoli agent balíčku, který stojí za jeho sůl, bude chtít mít základní sadu schopností. Většina funkcí NPB (nejběžnější NPB) ve vrstvách OSI 2 až 4.
Obecně najdete následující funkce na NPB L2-4: přesměrování provozu (nebo jeho konkrétních částí), filtrování provozu, replikace provozu, stripování protokolu, krájení paketů (zkrácení), spuštění nebo ukončení různých protokolů tunelu v síťovém tunelu a vyrovnávání zatížení pro provoz. Jak se očekávalo, NPB L2-4 může filtrovat VLAN, štítky MPLS, MAC adresy (zdroj a cíl), IP adresy (zdroj a cíl), TCP a porty UDP (zdroj a cíl) a dokonce i příznaky TCP, stejně jako ICMP, SCTP a ARP. To není v žádném případě funkci, která se má použít, ale spíše poskytuje představu o tom, jak NPB pracující ve vrstvách 2 až 4 může oddělit a identifikovat dopravní podmnožiny. Klíčovým požadavkem, který by zákazníci v NPB hledali, je neblokovací backplane.
Makléř síťových paketů musí být schopen splnit úplnou provoz každého portu na zařízení. V systému podvozku musí být propojení s backplane také schopno splnit plné zatížení připojených modulů. Pokud NPB klesne paket, tyto nástroje nebudou mít úplné pochopení sítě.
Přestože je velká většina NPB založena na ASIC nebo FPGA, kvůli jistotě výkonu zpracování paketů najdete mnoho integrací nebo CPU přijatelných (prostřednictvím modulů). Makléři síťových paketů MyLinking ™ (NPB) jsou založeny na řešení ASIC. Toto je obvykle funkce, která poskytuje flexibilní zpracování, a proto ji nelze provádět čistě v hardwaru. Patří mezi ně deduplikace paketů, časová razítka, dešifrování SSL/TLS, vyhledávání klíčových slov a vyhledávání regulárního výrazu. Je důležité si uvědomit, že jeho funkčnost závisí na výkonu CPU. (Například vyhledávání regulárního výrazu stejného vzoru může přinést velmi odlišné výsledky výkonu v závislosti na typu provozu, rychlosti porovnání a šířky pásma), takže není snadné určit před skutečnou implementací.
Pokud jsou funkce závislé na CPU povoleny, stanou se omezujícím faktorem v celkovém výkonu NPB. Příchod CPU a programovatelných přepínacích čipů, jako je Cavium Xpliant, bosý Tofino a Innowium Toralynx, také tvořil základ rozšířené sady schopností pro agenty síťových paketů nové generace, tyto funkční jednotky dokážou zvládnout provoz nad L4 (často jako L7 paketové agenty). Mezi výše uvedenými pokročilými funkcemi jsou klíčové slovo a vyhledávání regulárního výrazu dobrými příklady schopností nové generace. Schopnost hledat užitečná zatížení paketů poskytuje příležitosti k filtrování provozu na úrovni relace a aplikace a poskytuje jemnější kontrolu nad vyvíjející se sítí než L2-4.
Jak zapadá makléř síťových paketů do infrastruktury?
NPB lze nainstalovat do síťové infrastruktury dvěma různými způsoby:
1- inline
2- Out-of-Band.
Každý přístup má výhody a nevýhody a umožňuje manipulaci s dopravou způsobem, který jiné přístupy nemohou. Makléř v inline síťových paketech má síťový provoz v reálném čase, který prochází zařízení na cestě do cíle. To poskytuje příležitost manipulovat s provozem v reálném čase. Například při přidávání, úpravě nebo odstranění značek VLAN nebo změny cílových IP adres je provoz zkopírován na druhý odkaz. Jako inline metoda může NPB také poskytnout redundanci pro další inline nástroje, jako jsou ID, IP nebo firewally. NPB může monitorovat stav takových zařízení a dynamicky přechodu na provoz do horkého pohotovostního režimu v případě selhání.
Poskytuje velkou flexibilitu v tom, jak je provoz zpracováván a replikován pro více monitorovacích a bezpečnostních zařízení, aniž by to ovlivnilo síť v reálném čase. Poskytuje také bezprecedentní viditelnost sítě a zajišťuje, aby všechna zařízení obdržela kopii provozu potřebného k řádnému zpracování jejich povinností. Zajišťuje nejen to, že vaše nástroje pro monitorování, zabezpečení a analýzy získají provoz, který potřebují, ale také, že vaše síť je bezpečná. Zajišťuje také, že zařízení nekonzumuje zdroje na nežádoucím provozu. Možná váš síťový analyzátor nemusí zaznamenávat záložní provoz, protože během zálohy zabírá cenný prostor na disku. Tyto věci se snadno filmují z analyzátoru a zároveň zachovávají veškerý další provoz nástroje. Možná máte celou podsíť, kterou chcete udržet skryté před jiným systémem; Opět se to snadno odstraní na vybraném výstupním portu. Ve skutečnosti může jediný NPB zpracovat některé dopravní odkazy inline při zpracování jiného provozu mimo pásmo.
Čas příspěvku: Mar-09-2022
