Сеткавы брокер пакетаў (NPB) - гэта сеткавая прылада, падобная да камутатара, памер якой вар'іруецца ад партатыўных прылад да карпусоў 1U і 2U, да вялікіх карпусоў і платных сістэм. У адрозненне ад камутатара, NPB ніякім чынам не змяняе трафік, які праходзіць праз яго, за выключэннем адных інструкцый. NPB можа атрымліваць трафік на адным або некалькіх інтэрфейсах, выконваць некаторыя наканаваныя функцыі над гэтым трафікам, а затым выводзіць яго на адзін або некалькі інтэрфейсаў.
Іх часта называюць супастаўленнямі партоў "любы-да-любога", "многія-да-любога" і "любы да многіх". Функцыі, якія можна выконваць, вар'іруюцца ад простых, такіх як пераадрасацыя або адхіленне трафіку, да складаных, такіх як фільтраванне інфармацыі вышэй за ўзровень 5 для ідэнтыфікацыі канкрэтнага сеансу. Інтэрфейсы на NPB могуць быць меднымі кабельнымі злучэннямі, але звычайна гэта кадры SFP/SFP + і QSFP, якія дазваляюць карыстальнікам выкарыстоўваць розныя носьбіты і хуткасці паласы прапускання. Набор функцый NPB пабудаваны на прынцыпе максімальнага павышэння эфектыўнасці сеткавага абсталявання, у прыватнасці інструментаў маніторынгу, аналізу і бяспекі.
Якія функцыі забяспечвае брокер сеткавых пакетаў?
Магчымасці NPB шматлікія і могуць вар'іравацца ў залежнасці ад маркі і мадэлі прылады, хоць любы пакетны агент, варты яго солі, захоча мець асноўны набор магчымасцей. Большасць NPB (самы распаўсюджаны NPB) працуе на ўзроўнях OSI з 2 па 4.
Увогуле, вы можаце знайсці наступныя функцыі на NPB L2-4: перанакіраванне трафіку (або яго пэўных частак), фільтраванне трафіку, рэплікацыя трафіку, ачыстка пратаколаў, нарэзка пакетаў (усячэнне), запуск або завяршэнне розных пратаколаў сеткавага тунэля, і балансаванне нагрузкі для трафіку. Як і чакалася, NPB L2-4 можа фільтраваць VLAN, меткі MPLS, MAC-адрасы (крынічны і мэтавы), IP-адрасы (крынічны і мэтавы), парты TCP і UDP (крынічны і мэтавы), і нават сцягі TCP, а таксама ICMP, Трафік SCTP і ARP. Гэта ні ў якім разе не функцыя, якую трэба выкарыстоўваць, а хутчэй дае ўяўленне аб тым, як NPB, які працуе на ўзроўнях з 2 па 4, можа аддзяляць і ідэнтыфікаваць падгрупы трафіку. Ключавое патрабаванне, на якое кліенты павінны звярнуць увагу ў NPB, - гэта неблакіруючая аб'яднальная плата.
Брокер сеткавых пакетаў павінен быць у стане забяспечыць поўную прапускную здольнасць кожнага порта прылады. У сістэме шасі ўзаемасувязь з аб'яднальнай платай таксама павінна быць у стане задаволіць поўную загрузку трафіку падлучаных модуляў. Калі NPB скідае пакет, гэтыя інструменты не будуць мець поўнага разумення сеткі.
Нягледзячы на тое, што пераважная большасць NPB заснавана на ASIC або FPGA, з-за пэўнасці прадукцыйнасці апрацоўкі пакетаў вы знойдзеце шмат інтэграцый або працэсараў прымальнымі (праз модулі). Сеткавыя брокеры пакетаў Mylinking™ (NPB) заснаваныя на рашэнні ASIC. Звычайна гэта функцыя, якая забяспечвае гібкую апрацоўку і таму не можа быць выканана толькі апаратна. Сюды ўваходзяць дэдуплікацыя пакетаў, пазнакі часу, дэшыфраванне SSL/TLS, пошук па ключавых словах і пошук па рэгулярным выразе. Важна адзначыць, што яго функцыянальнасць залежыць ад прадукцыйнасці працэсара. (Напрыклад, пошук рэгулярных выразаў па адным і тым жа шаблоне можа даць вельмі розныя вынікі прадукцыйнасці ў залежнасці ад тыпу трафіку, хуткасці супадзення і прапускной здольнасці), таму гэта няпроста вызначыць да фактычнага ўкаранення.
Калі функцыі, якія залежаць ад працэсара, уключаны, яны становяцца абмежавальным фактарам у агульнай прадукцыйнасці NPB. З'яўленне працэсараў і праграмуемых камутацыйных чыпаў, такіх як Cavium Xpliant, Barefoot Tofino і Innovium Teralynx, таксама лягло ў аснову пашыранага набору магчымасцей для сеткавых пакетных агентаў наступнага пакалення. Гэтыя функцыянальныя блокі могуць апрацоўваць трафік вышэй L4 (часта называюць як пакетныя агенты L7). Сярод пашыраных функцый, згаданых вышэй, пошук па ключавых словах і рэгулярным выразам з'яўляюцца добрымі прыкладамі магчымасцяў наступнага пакалення. Магчымасць пошуку карысных нагрузак пакетаў дае магчымасць фільтраваць трафік на ўзроўні сесіі і прыкладанняў і забяспечвае больш дакладны кантроль над сеткай, якая развіваецца, чым L2-4.
Як Network Packet Broker упісваецца ў інфраструктуру?
NPB можна ўсталяваць у сеткавую інфраструктуру двума рознымі спосабамі:
1- Убудаваны
2- Па-за дыяпазонам.
Кожны падыход мае перавагі і недахопы і дазваляе маніпуляваць трафікам такім чынам, што іншыя падыходы не могуць. Убудаваны сеткавы брокер пакетаў мае сеткавы трафік у рэжыме рэальнага часу, які праходзіць праз прыладу на шляху да месца прызначэння. Гэта дае магчымасць маніпуляваць трафікам у рэжыме рэальнага часу. Напрыклад, пры даданні, мадыфікацыі або выдаленні тэгаў VLAN або змене IP-адрасоў прызначэння трафік капіюецца ў другую спасылку. Як убудаваны метад, NPB таксама можа забяспечваць рэзерваванне для іншых убудаваных інструментаў, такіх як IDS, IPS або брандмаўэры. NPB можа кантраляваць стан такіх прылад і дынамічна перанакіроўваць трафік у рэжым гарачага чакання ў выпадку збою.
Гэта забяспечвае вялікую гібкасць у тым, як трафік апрацоўваецца і рэплікуецца на некалькі прылад кантролю і бяспекі, не закранаючы сетку ў рэжыме рэальнага часу. Ён таксама забяспечвае беспрэцэдэнтную бачнасць сеткі і гарантуе, што ўсе прылады атрымліваюць копію трафіку, неабходнага для належнага выканання сваіх абавязкаў. Гэта не толькі гарантуе, што вашы інструменты маніторынгу, бяспекі і аналізу атрымаюць неабходны трафік, але і забяспечвае бяспеку вашай сеткі. Гэта таксама гарантуе, што прылада не спажывае рэсурсы на непажаданы трафік. Магчыма, вашаму сеткаваму аналізатару не трэба запісваць рэзервовы трафік, таму што падчас рэзервовага капіравання ён займае каштоўнае месца на дыску. Гэтыя рэчы лёгка адфільтроўваюцца з аналізатара, захоўваючы ўвесь іншы трафік для інструмента. Магчыма, у вас ёсць цэлая падсетка, якую вы хочаце схаваць ад іншай сістэмы; зноў жа, гэта лёгка выдаляецца на абраным выходным порце. Фактычна, адзін NPB можа апрацоўваць некаторыя спасылкі трафіку ўбудавана, адначасова апрацоўваючы іншы пазапалосны трафік.
Час публікацыі: 9 сакавіка 2022 г