Tīkla pakešu brokeris (NPB) ir slēdzis, piemēram, tīkla ierīce, kuras izmēri svārstās no pārnēsājamām ierīcēm līdz 1U un 2U vienību korpusiem līdz lieliem korpusiem un dēļu sistēmām. Atšķirībā no slēdža, NPB nekādā veidā nemaina satiksmi, kas plūst caur to, ja vien nav skaidri norādīts. NPB var saņemt trafiku vienā vai vairākās saskarnēs, veikt dažas iepriekš noteiktas funkcijas šajā trafikā un pēc tam izvadīt to vienā vai vairākās saskarnēs.
Tos bieži dēvē par portu kartēšanu “viens pret jebkuru”, “daudzi pret jebkuru” un “viens pret daudziem”. Funkcijas, kuras var veikt, svārstās no vienkāršām, piemēram, trafika pārsūtīšana vai atmešana, līdz sarežģītām, piemēram, informācijas filtrēšana virs 5. slāņa, lai identificētu konkrētu sesiju. NPB saskarnes var būt vara kabeļa savienojumi, bet parasti tie ir SFP/SFP+ un QSFP rāmji, kas ļauj lietotājiem izmantot dažādus datu nesējus un joslas platuma ātrumus. NPB funkciju kopa ir veidota, pamatojoties uz tīkla aprīkojuma, jo īpaši uzraudzības, analīzes un drošības rīku, efektivitātes maksimizēšanas principu.
Kādas funkcijas nodrošina tīkla pakešu brokeris?
NPB iespējas ir daudz un var atšķirties atkarībā no ierīces zīmola un modeļa, lai gan jebkurš iepakojuma aģents, kas ir viņa sāls vērts, vēlēsies iegūt galveno iespēju kopumu. Lielākā daļa NPB (visizplatītākā NPB) darbojas OSI 2. līdz 4. slānī.
Kopumā L2-4 NPB var atrast šādas funkcijas: trafika (vai noteiktas tās daļas) novirzīšana, trafika filtrēšana, trafika replikācija, protokolu noņemšana, pakešu sadalīšana (saīsināšana), dažādu tīkla tuneļa protokolu palaišana vai pārtraukšana, un slodzes līdzsvarošana satiksmei. Kā paredzēts, L2-4 NPB var filtrēt VLAN, MPLS etiķetes, MAC adreses (avots un mērķis), IP adreses (avots un mērķis), TCP un UDP portus (avots un mērķis) un pat TCP karogus, kā arī ICMP, SCTP un ARP trafiku. Tas nekādā gadījumā nav izmantojams līdzeklis, bet gan sniedz priekšstatu par to, kā NPB, kas darbojas 2. līdz 4. slānī, var atdalīt un identificēt trafika apakškopas. Galvenā prasība, kas klientiem jāmeklē NPB, ir nebloķējoša aizmugures plate.
Tīkla pakešu brokerim ir jāspēj nodrošināt katra ierīces porta pilna trafika caurlaidspēja. Šasijas sistēmā starpsavienojumam ar aizmugures plakni arī jāspēj apmierināt visu pievienoto moduļu satiksmes slodzi. Ja NPB nomet paketi, šiem rīkiem nebūs pilnīgas izpratnes par tīklu.
Lai gan lielākā daļa NPB ir balstīta uz ASIC vai FPGA, pakešu apstrādes veiktspējas noteiktības dēļ jūs atradīsiet daudz integrāciju vai centrālo procesoru (izmantojot moduļus). Mylinking™ tīkla pakešu brokeri (NPB) ir balstīti uz ASIC risinājumu. Parasti šī ir funkcija, kas nodrošina elastīgu apstrādi, un tāpēc to nevar veikt tikai aparatūrā. Tie ietver pakešu dublēšanu, laikspiedolus, SSL/TLS atšifrēšanu, atslēgvārdu meklēšanu un regulāro izteiksmju meklēšanu. Ir svarīgi atzīmēt, ka tā funkcionalitāte ir atkarīga no CPU veiktspējas. (Piemēram, viena un tā paša modeļa regulārās izteiksmes meklēšana var sniegt ļoti atšķirīgus veiktspējas rezultātus atkarībā no trafika veida, atbilstības ātruma un joslas platuma), tāpēc to nav viegli noteikt pirms faktiskās ieviešanas.
Ja ir iespējotas no CPU atkarīgās funkcijas, tās kļūst par ierobežojošu faktoru NPB kopējā veiktspējā. CPU un programmējamu komutācijas mikroshēmu, piemēram, Cavium Xpliant, Barefoot Tofino un Innovium Teralynx, parādīšanās arī veidoja pamatu paplašinātam iespēju kopumam nākamās paaudzes tīkla pakešu aģentiem. Šīs funkcionālās vienības var apstrādāt trafiku virs L4 (bieži tiek minētas kā L7 pakešu aģenti). Starp iepriekš minētajām uzlabotajām funkcijām atslēgvārdu un regulāro izteiksmju meklēšana ir labs nākamās paaudzes iespēju piemēri. Iespēja meklēt pakešu lietderīgās slodzes nodrošina iespējas filtrēt trafiku sesijas un lietojumprogrammu līmenī un nodrošina precīzāku vadību pār attīstošo tīklu nekā L2-4.
Kā tīkla pakešu brokeris iekļaujas infrastruktūrā?
NPB var uzstādīt tīkla infrastruktūrā divos dažādos veidos:
1- Iekļauts
2- Ārpus joslas.
Katrai pieejai ir priekšrocības un trūkumi, un tā nodrošina satiksmes manipulācijas tādos veidos, kā citas pieejas nevar. Iekļautajam tīkla pakešu brokerim ir reāllaika tīkla trafiks, kas šķērso ierīci ceļā uz galamērķi. Tas nodrošina iespēju manipulēt ar satiksmi reāllaikā. Piemēram, pievienojot, mainot vai dzēšot VLAN tagus vai mainot galamērķa IP adreses, trafiks tiek kopēts uz otru saiti. Kā iekļauta metode NPB var nodrošināt arī citu iekļauto rīku, piemēram, IDS, IPS vai ugunsmūru, dublēšanu. NPB var pārraudzīt šādu ierīču statusu un kļūmes gadījumā dinamiski novirzīt trafiku uz karsto gaidīšanas režīmu.
Tas nodrošina lielu elastību, kā datplūsma tiek apstrādāta un replicēta vairākās uzraudzības un drošības ierīcēs, neietekmējot reāllaika tīklu. Tas arī nodrošina vēl nebijušu tīkla redzamību un nodrošina, ka visas ierīces saņem trafika kopiju, kas nepieciešama, lai pareizi veiktu savus pienākumus. Tas ne tikai nodrošina, ka jūsu uzraudzības, drošības un analīzes rīki saņem nepieciešamo trafiku, bet arī to, ka jūsu tīkls ir drošs. Tas arī nodrošina, ka ierīce nepatērē resursus nevēlamai trafikai. Iespējams, jūsu tīkla analizatoram nav jāreģistrē dublējuma trafiks, jo dublēšanas laikā tas aizņem vērtīgu vietu diskā. Šīs lietas ir viegli izfiltrētas no analizatora, vienlaikus saglabājot visu pārējo rīka trafiku. Varbūt jums ir viss apakštīkls, kuru vēlaties slēpt no kādas citas sistēmas; atkal to var viegli noņemt atlasītajā izvades portā. Faktiski viens NPB var apstrādāt dažas trafika saites, vienlaikus apstrādājot citu ārpusjoslas trafiku.
Publicēšanas laiks: 09.03.2022