Брокер сеткавага пакета (NPB) - гэта перамыкач, падобны на сеткавую прыладу, якая вар'іруецца ад партатыўных прылад да 1U і 2U адзінак выпадкаў да вялікіх выпадкаў і сістэм дошкі. У адрозненне ад перамыкача, NPB не мяняе трафік, які праходзіць праз яго, калі дакладна не даручана. NPB можа атрымліваць трафік на адным або некалькіх інтэрфейсах, выконваць некаторыя загадзя вызначаныя функцыі па гэтым трафіку, а затым вывесці яго на адзін або некалькі інтэрфейсаў.
Іх часта называюць любая да любой, шмат-да-чыгую, і любы-шмат-партатычныя адлюстраванні. Функцыі, якія могуць выконвацца, дыяпазон ад простага, напрыклад, пераадрасацыі або адкідання трафіку, да складанага, напрыклад, фільтрацыі інфармацыі вышэй за ўзровень 5, каб вызначыць той ці іншы сеанс. Інтэрфейсы на NPB могуць быць меднымі кабельнымі злучэннямі, але звычайна з'яўляюцца кадрамі SFP/SFP + і QSFP, якія дазваляюць карыстальнікам выкарыстоўваць розныя носьбіты інфармацыі і хуткасці прапускной здольнасці. Набор функцый NPB пабудаваны на прынцыпе максімальнага эфектыўнасці сеткавага абсталявання, у прыватнасці, маніторынгу, аналізу і інструментаў бяспекі.
Якія функцыі брокер сеткавага пакета?
Магчымасці NPB шматлікія і могуць мяняцца ў залежнасці ад брэнда і мадэлі прылады, хаця любы пакет -агент, які варта яго солі, захоча мець асноўны набор магчымасцей. Большасць NPB (найбольш распаўсюджаных NPB) функцыянуе на пластах OSI з 2 па 4.
Увогуле, вы можаце знайсці наступныя функцыі на NPB L2-4: трафік (або пэўныя яго часткі) перанакіравання, фільтрацыі дарожнага руху, рэплікацыя руху, зачыстка пратакола, нарэзка пакетаў (усячэнне), запуск або спыненне розных сеткавых пратаколаў тунэляў і балансаванне нагрузкі для трафіку. Як і чакалася, NPB L2-4 можа фільтраваць VLAN, MPLS-этыкеткі, MAC-адрасы (крыніца і мэта), IP-адрасы (крыніца і мэта), TCP і UDP-парты (крыніца і мэта) і нават сцягі TCP, а таксама трафік ICMP, SCTP і ARP. Гэта зусім не функцыя, якую трэба выкарыстоўваць, а дае ўяўленне пра тое, як NPB, які працуе на пластах з 2 па 4, можа аддзяліць і вызначыць падмноствы трафіку. Ключавым патрабаваннем, якое кліенты павінны шукаць у NPB,-гэта неблокавальная задняя плоскасць.
Брокер сеткавага пакета павінен мець магчымасць адпавядаць поўнай прапускной здольнасці кожнага порта на прыладзе. У сістэме шасі ўзаемасувязь з задняй плоскасцю таксама павінна мець магчымасць адпавядаць поўнай нагрузцы падключаных модуляў. Калі NPB апускае пакет, гэтыя інструменты не будуць мець поўнага разумення сеткі.
Хоць пераважная большасць NPB заснавана на ASIC або FPGA, дзякуючы пэўнасці прадукцыйнасці апрацоўкі пакетаў, вы знойдзеце шмат інтэграцый або працэсараў прымальных (праз модулі). Брокеры сеткавых пакетаў MyLinking ™ (NPB) заснаваны на рашэнні ASIC. Звычайна гэта функцыя, якая забяспечвае гнуткую апрацоўку і таму не можа быць зроблена выключна ў абсталяванні. Сюды ўваходзяць дэдуплікацыя пакета, часовыя пазнакі, расшыфроўку SSL/TLS, пошук ключавых слоў і рэгулярны пошук выразаў. Важна адзначыць, што яго функцыянальнасць залежыць ад прадукцыйнасці працэсара. (Напрыклад, рэгулярныя пошукі выражэння аднолькавай карціны могуць прынесці зусім розныя вынікі прадукцыйнасці ў залежнасці ад тыпу трафіку, узроўню адпаведнасці і прапускной здольнасці), таму перад рэальнай рэалізацыяй гэта няпроста вызначыць.
Калі функцыі, якія залежаць ад працэсара, уключаны, яны становяцца абмежавальным фактарам у агульнай прадукцыйнасці NPB. З'яўленне працэсараў і праграмуемых пераключэнняў, такіх як Cavium XPliant, Tofino Barefoot і Innovium Teralynx, таксама стварылі аснову пашыранага набору магчымасцей для сеткавых пакетаў наступнага пакалення, гэтыя функцыянальныя падраздзяленні могуць апрацоўваць трафік над L4 (часта называюць агентамі L7). Сярод прасунутых прыведзеных вышэй функцый, ключавыя словы і рэгулярны пошук выразаў-добрыя прыклады магчымасцей наступнага пакалення. Магчымасць пошуку карысных нагрузак пакетаў дае магчымасці для фільтрацыі трафіку на ўзроўні сесіі і прыкладанняў, а таксама забяспечвае больш высокі кантроль над развіваецца сеткай, чым L2-4.
Як сеткавы брокер упісваецца ў інфраструктуру?
NPB можа быць усталяваны ў сеткавую інфраструктуру двума рознымі спосабамі:
1- Убудаваны
2- па-за межамі дыяпазону.
Кожны падыход мае перавагі і недахопы і дазваляе маніпуляваць руху спосабамі, якія іншыя падыходы не могуць. Брокер убудаванай сеткі мае сеткавы трафік у рэжыме рэальнага часу, які праходзіць прыладу на шляху да месца прызначэння. Гэта дае магчымасць маніпуляваць трафікам у рэжыме рэальнага часу. Напрыклад, пры даданні, мадыфікацыі або выдаленні тэгаў VLAN або змены IP -адрасоў прызначэння, трафік капіруецца на другую спасылку. У якасці ўбудаванага метаду NPB таксама можа забяспечыць залішнюю колькасць іншых убудаваных інструментаў, такіх як IDS, IPS або брандмаўэры. NPB можа сачыць за станам такіх прылад і дынамічна перанакіраваць трафік у гарачы рэжым чакання ў выпадку адмовы.
Гэта забяспечвае вялікую гнуткасць у тым, як перапрацоўваецца трафік і паўтараецца на некалькі прылад маніторынгу і бяспекі, не закранаючы сетку ў рэжыме рэальнага часу. Ён таксама забяспечвае беспрэцэдэнтную бачнасць сеткі і гарантуе, што ўсе прылады атрымаюць копію трафіку, неабходнага для належнай апрацоўкі сваіх абавязкаў. Гэта не толькі гарантуе, што вашы інструменты маніторынгу, бяспекі і аналізу атрымаюць патрэбны трафік, але і ў бяспецы вашай сеткі. Гэта таксама гарантуе, што прылада не ўжывае рэсурсы на непажаданы трафік. Магчыма, ваш сеткавы аналізатар не павінен запісваць рэзервовы трафік, таму што ён займае каштоўную дыскавую прастору падчас рэзервовай копіі. Гэтыя рэчы лёгка фільтруюцца з аналізатара, захоўваючы ўвесь іншы трафік для інструмента. Магчыма, у вас ёсць цэлая падсетка, якую вы хочаце захаваць ад нейкай іншай сістэмы; Зноў жа, гэта лёгка выдаляецца на выбраным выходным порце. На самай справе, адзін NPB можа апрацоўваць некаторыя трафічныя спасылкі ў працэсе апрацоўкі іншага па-за дыяпазонам.
Час паведамлення: сакавік 09-2022
