Network Packet Broker (NPB) je mrežni uređaj sličan prekidaču koji varira u veličini od prenosivih uređaja do 1U i 2U kućišta, velikih kućišta i sistema matičnih ploča. Za razliku od prekidača, NPB ne mijenja promet koji prolazi kroz njega ni na koji način, osim ako nije eksplicitno instruirano. NPB može primati promet na jednom ili više interfejsa, obavljati neke unaprijed definirane funkcije na tom prometu, a zatim ga poslati na jedan ili više interfejsa.
Ovo se često naziva mapiranjem portova "bilo koji-na-bilo koji", "mnogi-na-bilo koji" i "bilo koji-na-mnogi". Funkcije koje se mogu izvršavati kreću se od jednostavnih, kao što su prosljeđivanje ili odbacivanje prometa, do složenih, kao što je filtriranje informacija iznad sloja 5 radi identifikacije određene sesije. Interfejsi na NPB-u mogu biti bakrene kablovske veze, ali su obično SFP/SFP+ i QSFP okviri, koji korisnicima omogućavaju korištenje različitih medija i brzina propusnog opsega. Skup funkcija NPB-a izgrađen je na principu maksimiziranja efikasnosti mrežne opreme, posebno alata za nadzor, analizu i sigurnost.
Koje funkcije pruža Network Packet Broker?
Mogućnosti NPB-a su brojne i mogu varirati ovisno o marki i modelu uređaja, iako će svaki vrijedan agent za pakete htjeti imati osnovni skup mogućnosti. Većina NPB-a (najčešći NPB) funkcionira na OSI slojevima od 2 do 4.
Općenito, na NPB-u L2-4 možete pronaći sljedeće funkcije: preusmjeravanje prometa (ili određenih dijelova prometa), filtriranje prometa, replikacija prometa, uklanjanje protokola, skraćivanje paketa, pokretanje ili prekidanje različitih protokola mrežnog tunela i balansiranje opterećenja prometa. Kao što se i očekivalo, NPB L2-4 može filtrirati VLAN, MPLS oznake, MAC adrese (izvor i cilj), IP adrese (izvor i cilj), TCP i UDP portove (izvor i cilj), pa čak i TCP zastavice, kao i ICMP, SCTP i ARP promet. Ovo nipošto nije funkcija koja se koristi, već pruža ideju o tome kako NPB koji radi na slojevima od 2 do 4 može odvojiti i identificirati podskupove prometa. Ključni zahtjev koji kupci trebaju tražiti u NPB-u je neblokirajuća backplane.
Broker mrežnih paketa mora biti u stanju da zadovolji puni protok prometa svakog porta na uređaju. U sistemu šasije, međusobna veza sa zadnjom pločom također mora biti u stanju da zadovolji puni protok prometa povezanih modula. Ako NPB odbaci paket, ovi alati neće imati potpuno razumijevanje mreže.
Iako je velika većina NPB-a zasnovana na ASIC-u ili FPGA-i, zbog sigurnosti performansi obrade paketa, mnoge integracije ili CPU-i su prihvatljivi (putem modula). Mylinking™ Network Packet Brokers (NPB) su zasnovani na ASIC rješenju. Ovo je obično funkcija koja omogućava fleksibilnu obradu i stoga se ne može obaviti isključivo hardverski. To uključuje deduplikaciju paketa, vremenske oznake, SSL/TLS dešifriranje, pretraživanje ključnih riječi i pretraživanje regularnih izraza. Važno je napomenuti da njegova funkcionalnost zavisi od performansi CPU-a. (Na primjer, pretraživanja regularnih izraza istog obrasca mogu dati vrlo različite rezultate performansi ovisno o vrsti prometa, stopi podudaranja i propusnom opsegu), tako da to nije lako utvrditi prije stvarne implementacije.
Ako su omogućene funkcije koje zavise od CPU-a, one postaju ograničavajući faktor u ukupnim performansama NPB-a. Pojava CPU-a i programabilnih komutacijskih čipova, kao što su Cavium Xpliant, Barefoot Tofino i Innovium Teralynx, također je formirala osnovu proširenog skupa mogućnosti za mrežne paketne agente sljedeće generacije. Ove funkcionalne jedinice mogu obraditi promet iznad L4 (često nazivane L7 paketnim agentima). Među naprednim funkcijama spomenutim gore, pretraživanje ključnih riječi i regularnih izraza su dobri primjeri mogućnosti sljedeće generacije. Mogućnost pretraživanja paketnih podataka pruža mogućnosti filtriranja prometa na nivou sesije i aplikacije, te pruža finiju kontrolu nad mrežom koja se razvija nego L2-4.
Kako se Network Packet Broker uklapa u infrastrukturu?
NPB se može instalirati u mrežnu infrastrukturu na dva različita načina:
1- U liniji
2- Izvan opsega.
Svaki pristup ima prednosti i nedostatke i omogućava manipulaciju prometom na načine na koje drugi pristupi ne mogu. Inline mrežni broker paketa ima mrežni promet u stvarnom vremenu koji prelazi preko uređaja na putu do odredišta. Ovo pruža mogućnost manipulacije prometom u stvarnom vremenu. Na primjer, prilikom dodavanja, mijenjanja ili brisanja VLAN oznaka ili promjene IP adresa odredišta, promet se kopira na drugu vezu. Kao inline metoda, NPB također može osigurati redundanciju za druge inline alate, kao što su IDS, IPS ili zaštitni zidovi. NPB može pratiti status takvih uređaja i dinamički preusmjeravati promet u vrući standby u slučaju kvara.
Pruža veliku fleksibilnost u načinu na koji se promet obrađuje i replicira na više uređaja za nadzor i sigurnost bez utjecaja na mrežu u stvarnom vremenu. Također pruža neviđenu vidljivost mreže i osigurava da svi uređaji dobiju kopiju prometa potrebnu za pravilno obavljanje svojih odgovornosti. Ne samo da osigurava da vaši alati za nadzor, sigurnost i analizu dobiju promet koji im je potreban, već i da je vaša mreža sigurna. Također osigurava da uređaj ne troši resurse na neželjeni promet. Možda vaš mrežni analizator ne treba snimati sigurnosnu kopiju prometa jer zauzima vrijedan prostor na disku tokom sigurnosne kopije. Ove stvari se lako filtriraju iz analizatora, a istovremeno se sav ostali promet čuva za alat. Možda imate cijelu podmrežu koju želite sakriti od nekog drugog sistema; opet, ovo se lako uklanja na odabranom izlaznom portu. U stvari, jedan NPB može obraditi neke prometne veze inline dok obrađuje drugi promet izvan opsega.
Vrijeme objave: 09.03.2022.
