Мрежовият брокер на пакети (NPB) е мрежово устройство, подобно на комутатор, което варира по размер от преносими устройства до 1U и 2U корпуси, големи корпуси и платкови системи. За разлика от комутатора, NPB не променя трафика, който преминава през него, по никакъв начин, освен ако не е изрично указано. NPB може да приема трафик по един или повече интерфейси, да изпълнява някои предварително дефинирани функции върху този трафик и след това да го извежда към един или повече интерфейси.
Те често се наричат картографиране на портове „всеки към всеки“, „много към всеки“ и „всеки към много“. Функциите, които могат да се изпълняват, варират от прости, като пренасочване или изхвърляне на трафик, до сложни, като филтриране на информация над слой 5 за идентифициране на конкретна сесия. Интерфейсите на NPB могат да бъдат медни кабелни връзки, но обикновено са SFP/SFP+ и QSFP рамки, които позволяват на потребителите да използват различни медийни и честотни ленти. Наборът от функции на NPB е изграден на принципа за максимизиране на ефективността на мрежовото оборудване, по-специално инструментите за мониторинг, анализ и сигурност.
Какви функции предоставя Network Packet Broker?
Възможностите на NPB са многобройни и могат да варират в зависимост от марката и модела на устройството, въпреки че всеки агент за пакети, който заслужава вниманието си, ще иска да има основен набор от възможности. Повечето NPB (най-разпространеният NPB) функционират на OSI слоеве от 2 до 4.
Като цяло, можете да намерите следните функции в NPB на L2-4: пренасочване на трафик (или специфични негови части), филтриране на трафик, репликация на трафик, премахване на протоколи, нарязване (отрязване) на пакети, стартиране или прекратяване на различни мрежови тунелни протоколи и балансиране на натоварването за трафик. Както се очаква, NPB на L2-4 може да филтрира VLAN, MPLS етикети, MAC адреси (източник и цел), IP адреси (източник и цел), TCP и UDP портове (източник и цел) и дори TCP флагове, както и ICMP, SCTP и ARP трафик. Това в никакъв случай не е функция, която да се използва, а по-скоро дава представа как NPB, работещ на слоеве от 2 до 4, може да разделя и идентифицира подмножества от трафик. Ключово изискване, което клиентите трябва да търсят в NPB, е неблокираща задна платка.
Мрежовият брокер на пакети трябва да може да поеме пълния трафик на всеки порт на устройството. В шаси системата, взаимовръзката със задната платка също трябва да може да поеме пълния трафик на свързаните модули. Ако NPB изпусне пакета, тези инструменти няма да имат пълно разбиране за мрежата.
Въпреки че по-голямата част от NPB е базирана на ASIC или FPGA, поради сигурността на производителността при обработка на пакети, ще откриете, че много интеграции или процесори са приемливи (чрез модули). Mylinking™ Network Packet Brokers (NPB) са базирани на ASIC решение. Това обикновено е функция, която осигурява гъвкава обработка и следователно не може да се извърши чисто хардуерно. Те включват дедупликация на пакети, времеви марки, SSL/TLS декриптиране, търсене по ключови думи и търсене по регулярни изрази. Важно е да се отбележи, че функционалността му зависи от производителността на процесора. (Например, търсенето по регулярни изрази на един и същ модел може да доведе до много различни резултати в зависимост от типа трафик, процента на съвпадение и честотната лента), така че не е лесно да се определи преди действителното внедряване.
Ако функциите, зависими от процесора, са активирани, те се превръщат в ограничаващ фактор за цялостната производителност на мрежовата платка (NPB). Появата на процесори и програмируеми комутационни чипове, като Cavium Xpliant, Barefoot Tofino и Innovium Teralynx, също формира основата за разширен набор от възможности за мрежови пакетни агенти от следващо поколение. Тези функционални единици могат да обработват трафик над L4 (често наричани L7 пакетни агенти). Сред споменатите по-горе разширени функции, търсенето по ключови думи и регулярни изрази са добри примери за възможности от следващо поколение. Възможността за търсене на пакетни полезни товари предоставя възможности за филтриране на трафика на ниво сесия и приложение и осигурява по-фин контрол върху развиваща се мрежа, отколкото L2-4.
Как се вписва Network Packet Broker в инфраструктурата?
NPB може да бъде инсталиран в мрежова инфраструктура по два различни начина:
1- Вграден
2- Извън обхвата.
Всеки подход има предимства и недостатъци и позволява манипулиране на трафика по начини, по които други подходи не могат. Вграденият мрежов брокер на пакети разполага с мрежов трафик в реално време, който преминава през устройството по пътя му към местоназначението му. Това предоставя възможност за манипулиране на трафика в реално време. Например, при добавяне, промяна или изтриване на VLAN тагове или промяна на IP адреси на местоназначение, трафикът се копира към втора връзка. Като вграден метод, NPB може също да осигури резервиране за други вградени инструменти, като IDS, IPS или защитни стени. NPB може да следи състоянието на такива устройства и динамично да пренасочва трафика към горещ резерв в случай на повреда.
Той осигурява голяма гъвкавост в начина, по който трафикът се обработва и репликира към множество устройства за наблюдение и сигурност, без да се засяга мрежата в реално време. Също така осигурява безпрецедентна видимост на мрежата и гарантира, че всички устройства получават копие на трафика, необходимо за правилното изпълнение на техните задължения. Той не само гарантира, че вашите инструменти за наблюдение, сигурност и анализ получават необходимия трафик, но и че мрежата ви е защитена. Също така гарантира, че устройството не изразходва ресурси за нежелан трафик. Може би вашият мрежов анализатор не е необходимо да записва резервен трафик, защото той заема ценно дисково пространство по време на архивирането. Тези неща лесно се филтрират от анализатора, като същевременно се запазва целият останал трафик за инструмента. Може би имате цяла подмрежа, която искате да скриете от някоя друга система; отново, това лесно се премахва на избрания изходен порт. Всъщност, един NPB може да обработва някои трафик връзки вградено, докато обработва друг трафик извън лентата.
Време на публикуване: 09 март 2022 г.
