Брокер сеткавых пакетаў (NPB) — гэта сеткавая прылада, падобная на камутатар, памеры якой вар'іруюцца ад партатыўных прылад да корпусаў 1U і 2U, а таксама ад вялікіх карпусоў і плат. У адрозненне ад камутатара, NPB ніяк не змяняе трафік, які праходзіць праз яго, калі іншае не дадзена відавочнай інструкцыі. NPB можа атрымліваць трафік на адным або некалькіх інтэрфейсах, выконваць некаторыя загадзя зададзеныя функцыі над гэтым трафікам, а затым выводзіць яго на адзін або некалькі інтэрфейсаў.
Іх часта называюць адлюстраваннямі партоў «любы-да-любога», «многія-да-любога» і «любы-да-многіх». Функцыі, якія можна выконваць, вар'іруюцца ад простых, такіх як пераадрасацыя або адкіданне трафіку, да складаных, такіх як фільтрацыя інфармацыі вышэй за 5-ы ўзровень для ідэнтыфікацыі пэўнага сеансу. Інтэрфейсы на NPB могуць быць злучэннямі з медным кабелем, але звычайна гэта кадры SFP/SFP+ і QSFP, якія дазваляюць карыстальнікам выкарыстоўваць розныя хуткасці носьбіта інфармацыі і прапускной здольнасці. Набор функцый NPB пабудаваны на прынцыпе максімізацыі эфектыўнасці сеткавага абсталявання, у прыватнасці інструментаў маніторынгу, аналізу і бяспекі.
Якія функцыі прадастаўляе брокер сеткавых пакетаў?
Магчымасці NPB шматлікія і могуць адрознівацца ў залежнасці ад маркі і мадэлі прылады, хоць любы агент пакетаў, які мае пэўныя патрэбы, захоча мець базавы набор магчымасцей. Большасць NPB (найбольш распаўсюджаных NPB) функцыянуюць на ўзроўнях OSI з 2 па 4.
Увогуле, NPB L2-4 мае наступныя функцыі: перанакіраванне трафіку (ці яго асобных частак), фільтрацыя трафіку, рэплікацыя трафіку, выдаленне пратаколаў, разразанне пакетаў (усячэнне), запуск або завяршэнне розных пратаколаў сеткавага тунэля і балансаванне нагрузкі для трафіку. Як і чакалася, NPB L2-4 можа фільтраваць VLAN, меткі MPLS, MAC-адрасы (крыніца і мэта), IP-адрасы (крыніца і мэта), парты TCP і UDP (крыніца і мэта) і нават сцягі TCP, а таксама трафік ICMP, SCTP і ARP. Гэта ні ў якім разе не функцыя для выкарыстання, а хутчэй дае ўяўленне аб тым, як NPB, які працуе на ўзроўнях з 2 па 4, можа аддзяляць і ідэнтыфікаваць падмноства трафіку. Ключавым патрабаваннем, на якое кліенты павінны звярнуць увагу ў NPB, з'яўляецца неблакіруючая аб'яднальная плата.
Брокер сеткавых пакетаў павінен мець магчымасць задавальняць поўную прапускную здольнасць кожнага порта прылады. У сістэме шасі ўзаемасувязь з аб'яднальнай панэллю таксама павінна задавальняць поўную нагрузку трафіку падлучаных модуляў. Калі брокер сеткавых пакетаў страціць пакет, гэтыя інструменты не будуць мець поўнага разумення сеткі.
Нягледзячы на тое, што пераважная большасць NPB заснавана на ASIC або FPGA, з-за ўпэўненасці ў прадукцыйнасці апрацоўкі пакетаў вы знойдзеце мноства інтэграцый або працэсараў прымальнымі (праз модулі). Сеткавыя брокеры пакетаў Mylinking™ (NPB) заснаваны на рашэнні ASIC. Звычайна гэта функцыя, якая забяспечвае гнуткую апрацоўку і таму не можа быць выканана выключна апаратна. Да іх адносяцца дэдуплікацыя пакетаў, часовыя меткі, расшыфроўка SSL/TLS, пошук па ключавых словах і пошук па рэгулярных выразах. Важна адзначыць, што яго функцыянальнасць залежыць ад прадукцыйнасці працэсара. (Напрыклад, пошук па рэгулярных выразах аднаго і таго ж шаблону можа даваць вельмі розныя вынікі прадукцыйнасці ў залежнасці ад тыпу трафіку, хуткасці супадзення і прапускной здольнасці), таму гэта няпроста вызначыць перад фактычнай рэалізацыяй.
Калі ўключаны функцыі, якія залежаць ад працэсара, яны становяцца абмежавальным фактарам агульнай прадукцыйнасці NPB. З'яўленне працэсараў і праграмуемых камутацыйных чыпаў, такіх як Cavium Xpliant, Barefoot Tofino і Innovium Teralynx, таксама заклала аснову для пашыранага набору магчымасцей для сеткавых агентаў пакетаў наступнага пакалення. Гэтыя функцыянальныя блокі могуць апрацоўваць трафік вышэй за L4 (часта званы агентамі пакетаў L7). Сярод вышэйзгаданых пашыраных функцый добрымі прыкладамі магчымасцей наступнага пакалення з'яўляюцца пошук па ключавых словах і рэгулярных выразах. Магчымасць пошуку карысных нагрузак пакетаў дае магчымасці фільтраваць трафік на ўзроўні сеансу і прыкладання, а таксама забяспечвае больш тонкі кантроль над сеткай, якая развіваецца, чым L2-4.
Як Network Packet Broker упісваецца ў інфраструктуру?
NPB можна ўсталяваць у сеткавую інфраструктуру двума рознымі спосабамі:
1- Убудаваны
2. Па-за паласой.
Кожны падыход мае свае перавагі і недахопы і дазваляе маніпуляваць трафікам такім чынам, якім гэта немагчыма ў іншых падыходах. Убудаваны брокер сеткавых пакетаў мае сеткавы трафік у рэжыме рэальнага часу, які перасякае прыладу на шляху да пункта прызначэння. Гэта дае магчымасць маніпуляваць трафікам у рэжыме рэальнага часу. Напрыклад, пры даданні, змене або выдаленні тэгаў VLAN або змене IP-адрасоў прызначэння трафік капіюецца на другую спасылку. Як убудаваны метад, NPB таксама можа забяспечыць рэзерваванне для іншых убудаваных інструментаў, такіх як IDS, IPS або брандмаўэры. NPB можа кантраляваць стан такіх прылад і дынамічна перанакіроўваць трафік у гарачы рэзерв у выпадку збою.
Гэта забяспечвае вялікую гнуткасць у апрацоўцы і рэплікацыі трафіку на некалькі прылад маніторынгу і бяспекі, не ўплываючы на сетку ў рэжыме рэальнага часу. Гэта таксама забяспечвае беспрэцэдэнтную бачнасць сеткі і гарантуе, што ўсе прылады атрымліваюць копію трафіку, неабходную для належнага выканання сваіх абавязкаў. Гэта не толькі гарантуе, што вашы інструменты маніторынгу, бяспекі і аналізу атрымліваюць неабходны трафік, але і бяспеку вашай сеткі. Гэта таксама гарантуе, што прылада не спажывае рэсурсы на непажаданы трафік. Магчыма, вашаму сеткаваму аналізатару не трэба запісваць рэзервовы трафік, таму што ён займае каштоўнае месца на дыску падчас рэзервовага капіявання. Гэтыя рэчы лёгка адфільтроўваюцца з аналізатара, захоўваючы пры гэтым увесь астатні трафік для інструмента. Магчыма, у вас ёсць цэлая падсетка, якую вы хочаце схаваць ад нейкай іншай сістэмы; зноў жа, гэта лёгка выдаліць на выбраным выходным порце. Фактычна, адна NPB можа апрацоўваць некаторыя спасылкі трафіку непасрэдна, апрацоўваючы іншы пазапалосны трафік.
Час публікацыі: 09 сакавіка 2022 г.
