Tīkla pakešu brokeris (NPB) ir komutatoram līdzīga tīkla ierīce, kuras izmēri ir dažādi — sākot no pārnēsājamām ierīcēm līdz 1U un 2U korpusiem, kā arī lieliem korpusiem un plates sistēmām. Atšķirībā no komutatora, NPB nekādā veidā nemaina caur to plūstošo datplūsmu, ja vien nav skaidri norādīts citādi. NPB var saņemt datplūsmu vienā vai vairākās saskarnēs, veikt dažas iepriekš definētas funkcijas šajā datplūsmā un pēc tam to izvadīt uz vienu vai vairākām saskarnēm.
Tos bieži sauc par jebkura-pret-jebkuru, daudziem-pret-jebkuru un jebkura-pret-daudziem portu kartējumiem. Veicamo funkciju klāsts ir no vienkāršām, piemēram, datplūsmas pārsūtīšanas vai atmešanas, līdz sarežģītām, piemēram, informācijas filtrēšana virs 5. slāņa, lai identificētu konkrētu sesiju. NPB saskarnes var būt vara kabeļu savienojumi, bet parasti ir SFP/SFP+ un QSFP kadri, kas ļauj lietotājiem izmantot dažādus multivides un joslas platuma ātrumus. NPB funkciju kopums ir veidots, pamatojoties uz tīkla iekārtu, jo īpaši uzraudzības, analīzes un drošības rīku, efektivitātes maksimizēšanas principu.
Kādas funkcijas nodrošina tīkla pakešu brokeris?
NPB iespējas ir daudzas un var atšķirties atkarībā no ierīces zīmola un modeļa, lai gan jebkurš pakotņu aģents, kas ir savas prasmes vērts, vēlēsies pamata iespēju kopumu. Lielākā daļa NPB (visizplatītākie NPB) darbojas OSI 2. līdz 4. slānī.
Kopumā L2-4 NPB var atrast šādas funkcijas: datplūsmas (vai atsevišķu tās daļu) novirzīšana, datplūsmas filtrēšana, datplūsmas replikācija, protokolu noņemšana, pakešu sagriešana (saīsināšana), dažādu tīkla tuneļu protokolu sākšana vai pārtraukšana un datplūsmas slodzes līdzsvarošana. Kā paredzēts, L2-4 NPB var filtrēt VLAN, MPLS etiķetes, MAC adreses (avota un mērķa), IP adreses (avota un mērķa), TCP un UDP portus (avota un mērķa) un pat TCP karodziņus, kā arī ICMP, SCTP un ARP datplūsmu. Šī nekādā ziņā nav funkcija, kas jāizmanto, bet gan sniedz priekšstatu par to, kā NPB, kas darbojas 2. līdz 4. slānī, var atdalīt un identificēt datplūsmas apakškopas. Galvenā prasība, kas klientiem jāmeklē NPB, ir nebloķējoša aizmugures plakne.
Tīkla pakešu brokerim ir jāspēj nodrošināt katra ierīces porta pilnu datplūsmas caurlaidspēju. Šasijas sistēmā savienojumam ar aizmugures paneli ir jāspēj nodrošināt arī pievienoto moduļu pilnu datplūsmas slodzi. Ja NPB pārtrauc paketi, šiem rīkiem nebūs pilnīgas izpratnes par tīklu.
Lai gan lielākā daļa NPB ir balstītas uz ASIC vai FPGA, pateicoties pakešu apstrādes veiktspējas noteiktībai, daudzas integrācijas vai centrālie procesori (izmantojot moduļus) ir pieņemamas. Mylinking™ tīkla pakešu brokeri (NPB) ir balstīti uz ASIC risinājumu. Šī parasti ir funkcija, kas nodrošina elastīgu apstrādi, un tāpēc to nevar izdarīt tikai aparatūrā. Tie ietver pakešu deduplikāciju, laika zīmogus, SSL/TLS atšifrēšanu, atslēgvārdu meklēšanu un regulāro izteiksmju meklēšanu. Ir svarīgi atzīmēt, ka tās funkcionalitāte ir atkarīga no centrālā procesora veiktspējas. (Piemēram, regulāro izteiksmju meklēšana pēc viena un tā paša modeļa var dot ļoti atšķirīgus veiktspējas rezultātus atkarībā no datplūsmas veida, atbilstības ātruma un joslas platuma), tāpēc to nav viegli noteikt pirms faktiskās ieviešanas.
Ja tiek iespējotas no centrālā procesora (CPU) atkarīgas funkcijas, tās kļūst par ierobežojošu faktoru NPB kopējai veiktspējai. Centrālo procesoru un programmējamu komutācijas mikroshēmu, piemēram, Cavium Xpliant, Barefoot Tofino un Innovium Teralynx, parādīšanās arī veidoja pamatu paplašinātam nākamās paaudzes tīkla pakešu aģentu iespēju kopumam. Šīs funkcionālās vienības var apstrādāt datplūsmu virs L4 (bieži sauktas par L7 pakešu aģentiem). Starp iepriekš minētajām uzlabotajām funkcijām atslēgvārdu un regulāro izteiksmju meklēšana ir labi nākamās paaudzes iespēju piemēri. Iespēja meklēt pakešu lietderīgo slodzi sniedz iespējas filtrēt datplūsmu sesijas un lietojumprogrammu līmenī un nodrošina precīzāku kontroli pār mainīgo tīklu nekā L2-4.
Kā tīkla pakešu brokeris iederas infrastruktūrā?
NPB var instalēt tīkla infrastruktūrā divos dažādos veidos:
1. — Iekļauts rindā
2. Ārpusjoslas.
Katrai pieejai ir priekšrocības un trūkumi, un tā ļauj manipulēt ar datplūsmu tā, kā to nevar citas pieejas. Iekšējais tīkla pakešu brokeris reāllaikā apstrādā ierīci, pārvietojoties uz tās galamērķi. Tas sniedz iespēju manipulēt ar datplūsmu reāllaikā. Piemēram, pievienojot, modificējot vai dzēšot VLAN tagus vai mainot galamērķa IP adreses, datplūsma tiek kopēta uz otro saiti. Kā iekļauta metode, NPB var arī nodrošināt redundanci citiem iekļautajiem rīkiem, piemēram, IDS, IPS vai ugunsmūriem. NPB var uzraudzīt šādu ierīču statusu un kļūmes gadījumā dinamiski novirzīt datplūsmu uz karsto rezerves režīmu.
Tas nodrošina lielu elastību datplūsmas apstrādē un replicēšanā uz vairākām uzraudzības un drošības ierīcēm, neietekmējot reāllaika tīklu. Tas arī nodrošina nepieredzētu tīkla redzamību un nodrošina, ka visas ierīces saņem datplūsmas kopiju, kas nepieciešama, lai pareizi veiktu savus pienākumus. Tas ne tikai nodrošina, ka jūsu uzraudzības, drošības un analīzes rīki saņem nepieciešamo datplūsmu, bet arī to, ka jūsu tīkls ir drošs. Tas arī nodrošina, ka ierīce nepatērē resursus nevēlamai datplūsmai. Varbūt jūsu tīkla analizatoram nav jāreģistrē dublējuma datplūsma, jo tā dublēšanas laikā aizņem vērtīgu vietu diskā. Šīs lietas var viegli izfiltrēt no analizatora, vienlaikus saglabājot visu pārējo datplūsmu rīkam. Varbūt jums ir viss apakštīkls, kuru vēlaties paslēpt no kādas citas sistēmas; atkal, to var viegli noņemt atlasītajā izejas portā. Faktiski viens NPB var apstrādāt dažas datplūsmas saites tiešsaistē, vienlaikus apstrādājot citu ārpusjoslas datplūsmu.
Publicēšanas laiks: 2022. gada 9. marts
