Мрежов пакетен брокер (NPB) е мрежово устройство, подобно на комутатор, който варира по размер от преносими устройства до 1U и 2U кутии за модули до големи кутии и платкови системи. За разлика от превключвателя, NPB не променя трафика, който преминава през него по никакъв начин, освен ако не е изрично инструктиран. NPB може да получава трафик на един или повече интерфейси, да изпълнява някои предварително дефинирани функции върху този трафик и след това да го извежда към един или повече интерфейси.
Те често се наричат съпоставяния на портове всеки към всеки, много към всеки и всеки към много. Функциите, които могат да бъдат изпълнени, варират от прости, като пренасочване или отхвърляне на трафик, до сложни, като филтриране на информация над слой 5 за идентифициране на конкретна сесия. Интерфейсите на NPB могат да бъдат медни кабелни връзки, но обикновено са SFP/SFP + и QSFP рамки, които позволяват на потребителите да използват различни медии и скорости на честотната лента. Наборът от функции на NPB е изграден на принципа за максимизиране на ефективността на мрежовото оборудване, особено на инструментите за мониторинг, анализ и сигурност.
Какви функции предоставя Network Packet Broker?
Възможностите на NPB са многобройни и могат да варират в зависимост от марката и модела на устройството, въпреки че всеки пакетен агент, който си струва солта, ще иска да има основен набор от възможности. Повечето NPB (най-често срещаните NPB) функционират на OSI слоеве 2 до 4.
Като цяло можете да намерите следните функции на NPB на L2-4: пренасочване на трафик (или специфични части от него), филтриране на трафик, репликация на трафик, отстраняване на протоколи, нарязване на пакети (отрязване), стартиране или прекратяване на различни мрежови тунелни протоколи, и балансиране на натоварването за трафик. Както се очаква, NPB на L2-4 може да филтрира VLAN, MPLS етикети, MAC адреси (източник и цел), IP адреси (източник и цел), TCP и UDP портове (източник и цел) и дори TCP флагове, както и ICMP, SCTP и ARP трафик. Това в никакъв случай не е функция, която трябва да се използва, а по-скоро дава представа как NPB, работещ на слоеве 2 до 4, може да разделя и идентифицира подмножества трафик. Ключово изискване, което клиентите трябва да търсят в NPB, е неблокираща задна платка.
Брокерът на мрежови пакети трябва да може да отговори на пълната пропускателна способност на всеки порт на устройството. В системата на шасито взаимовръзката със задната платка също трябва да може да посрещне пълното натоварване на трафика на свързаните модули. Ако NPB изпусне пакета, тези инструменти няма да имат пълно разбиране за мрежата.
Въпреки че по-голямата част от NPB е базирана на ASIC или FPGA, поради сигурността на производителността на обработката на пакети, ще намерите много интеграции или процесори за приемливи (чрез модули). Мрежовите брокери на пакети Mylinking™ (NPB) са базирани на ASIC решение. Това обикновено е функция, която осигурява гъвкава обработка и следователно не може да се направи само хардуерно. Те включват дедупликация на пакети, времеви отпечатъци, SSL/TLS декриптиране, търсене по ключови думи и търсене на регулярен израз. Важно е да се отбележи, че неговата функционалност зависи от производителността на процесора. (Например, търсенията на регулярни изрази по един и същи модел могат да доведат до много различни резултати в зависимост от типа трафик, скоростта на съвпадение и честотната лента), така че не е лесно да се определи преди действителното внедряване.
Ако зависещите от процесора функции са активирани, те се превръщат в ограничаващ фактор за цялостната производителност на NPB. Появата на процесори и програмируеми превключващи чипове, като Cavium Xpliant, Barefoot Tofino и Innovium Teralynx, също формира основата на разширен набор от възможности за мрежови пакетни агенти от следващо поколение. Тези функционални единици могат да обработват трафик над L4 (често наричан като L7 пакетни агенти). Сред разширените функции, споменати по-горе, търсенето по ключови думи и регулярни изрази са добри примери за възможности от следващо поколение. Възможността за търсене на полезни натоварвания на пакети предоставя възможности за филтриране на трафик на ниво сесия и приложение и осигурява по-фин контрол върху развиваща се мрежа от L2-4.
Как се вписва Network Packet Broker в инфраструктурата?
NPB може да бъде инсталиран в мрежова инфраструктура по два различни начина:
1- Вграден
2- Извън лентата.
Всеки подход има предимства и недостатъци и позволява манипулиране на трафика по начини, които другите подходи не могат. Вграденият мрежов брокер на пакети разполага с мрежов трафик в реално време, който преминава през устройството по пътя му към местоназначението му. Това дава възможност за манипулиране на трафика в реално време. Например, когато добавяте, модифицирате или изтривате VLAN тагове или променяте IP адресите на местоназначението, трафикът се копира към втора връзка. Като вграден метод, NPB може също така да осигури излишък за други вградени инструменти, като IDS, IPS или защитни стени. NPB може да следи състоянието на такива устройства и динамично да пренасочва трафика към горещ режим на готовност в случай на повреда.
Той осигурява голяма гъвкавост в начина, по който трафикът се обработва и репликира към множество устройства за наблюдение и сигурност, без да се засяга мрежата в реално време. Той също така осигурява безпрецедентна видимост на мрежата и гарантира, че всички устройства получават копие от трафика, необходим за правилното изпълнение на техните отговорности. Той не само гарантира, че вашите инструменти за наблюдение, сигурност и анализ получават необходимия трафик, но също така, че вашата мрежа е защитена. Той също така гарантира, че устройството не консумира ресурси за нежелан трафик. Може би вашият мрежов анализатор не трябва да записва резервен трафик, защото заема ценно дисково пространство по време на архивирането. Тези неща лесно се филтрират от анализатора, като същевременно се запазва целият друг трафик за инструмента. Може би имате цяла подмрежа, която искате да запазите скрита от друга система; отново, това лесно се премахва от избрания изходен порт. Всъщност един NPB може да обработва някои връзки за трафик в линия, докато обработва друг трафик извън лентата.
Време на публикуване: 9 март 2022 г
