Šta je posrednik mrežnih paketa i funkcije u IT infrastrukturi?

Network Packet Broker (NPB) je uređaj za umrežavanje poput prekidača koji se kreće po veličini od prenosivih uređaja preko 1U i 2U kućišta do velikih kućišta i sistema ploča. Za razliku od prekidača, NPB ne mijenja promet koji teče kroz njega ni na koji način osim ako nije izričito naloženo. NPB može primati promet na jednom ili više sučelja, izvoditi neke unaprijed definirane funkcije na tom prometu, a zatim ga poslati na jedno ili više sučelja.

Oni se često nazivaju mapiranjem portova bilo koji na bilo koji, mnogo na bilo koji i bilo koji na više. Funkcije koje se mogu izvršiti kreću se od jednostavnih, kao što je prosljeđivanje ili odbacivanje prometa, do složenih, kao što je filtriranje informacija iznad sloja 5 za identifikaciju određene sesije. Interfejsi na NPB-u mogu biti bakarne kablovske veze, ali su obično SFP/SFP + i QSFP okviri, koji korisnicima omogućavaju korištenje različitih medija i brzina protoka. NPB-ov skup funkcija je izgrađen na principu maksimiziranja efikasnosti mrežne opreme, posebno alata za praćenje, analizu i sigurnost.

2019050603525011

Koje funkcije nudi broker mrežnih paketa?

Mogućnosti NPB-a su brojne i mogu varirati ovisno o marki i modelu uređaja, iako će svaki agent za pakete vrijedan svoje soli htjeti imati osnovni skup mogućnosti. Većina NPB (najčešći NPB) funkcionira na OSI slojevima 2 do 4.

Općenito, na NPB-u L2-4 možete pronaći sljedeće karakteristike: preusmjeravanje prometa (ili određenih njegovih dijelova), filtriranje prometa, replikacija prometa, uklanjanje protokola, rezanje paketa (skraćenje), pokretanje ili završetak različitih protokola mrežnog tunela, i balansiranje opterećenja za saobraćaj. Kao što se i očekivalo, NPB L2-4 može filtrirati VLAN, MPLS oznake, MAC adrese (izvor i cilj), IP adrese (izvor i cilj), TCP i UDP portove (izvor i cilj), pa čak i TCP zastavice, kao i ICMP, SCTP i ARP saobraćaj. Ovo nikako nije karakteristika koja se koristi, već daje ideju o tome kako NPB koji radi na slojevima 2 do 4 može odvojiti i identificirati podskupove prometa. Ključni zahtjev koji bi korisnici trebali tražiti u NPB-u je neblokirajuća stražnja ploča.

Posrednik mrežnih paketa treba da bude u stanju da zadovolji punu propusnost saobraćaja svakog porta na uređaju. U sistemu šasije, interkonekcija sa zadnjom pločom takođe mora biti u stanju da zadovolji puno saobraćajno opterećenje povezanih modula. Ako NPB ispusti paket, ovi alati neće imati potpuno razumijevanje mreže.

Iako je velika većina NPB bazirana na ASIC-u ili FPGA, zbog sigurnosti performansi obrade paketa, naći ćete mnoge integracije ili CPU prihvatljive (preko modula). Mylinking™ Network Packet Brokers (NPB) bazirani su na ASIC rješenju. Ovo je obično karakteristika koja pruža fleksibilnu obradu i stoga se ne može izvršiti isključivo u hardveru. To uključuje deduplikaciju paketa, vremenske oznake, SSL/TLS dešifriranje, pretraživanje ključnih riječi i pretraživanje regularnih izraza. Važno je napomenuti da njegova funkcionalnost ovisi o performansama procesora. (Na primjer, pretraživanja regularnog izraza istog obrasca mogu dati vrlo različite rezultate performansi ovisno o vrsti prometa, stopi podudaranja i propusnosti), tako da nije lako odrediti prije stvarne implementacije.

shutterstock_

Ako su omogućene karakteristike zavisne od CPU-a, one postaju ograničavajući faktor u ukupnim performansama NPB-a. Pojava procesora i programabilnih komutacijskih čipova, kao što su Cavium Xpliant, Barefoot Tofino i Innovium Teralynx, također je formirala osnovu proširenog skupa mogućnosti za mrežne paketne agente sljedeće generacije. Ove funkcionalne jedinice mogu upravljati prometom iznad L4 (često se naziva kao L7 paketni agenti). Među naprednim funkcijama koje su gore spomenute, pretraživanje po ključnim riječima i regularnim izrazima su dobri primjeri mogućnosti sljedeće generacije. Mogućnost pretraživanja korisnog opterećenja paketa pruža mogućnosti za filtriranje saobraćaja na nivou sesije i aplikacije i pruža bolju kontrolu nad mrežom koja se razvija od L2-4.

Kako se Network Packet Broker uklapa u infrastrukturu?

NPB se može instalirati u mrežnu infrastrukturu na dva različita načina:

1- Inline

2- Van opsega.

Svaki pristup ima prednosti i nedostatke i omogućava manipulaciju prometom na načine na koje drugi pristupi ne mogu. Inline broker mrežnih paketa ima mrežni promet u realnom vremenu koji prolazi kroz uređaj na svom putu do odredišta. Ovo pruža mogućnost manipulacije saobraćajem u realnom vremenu. Na primjer, kada dodajete, mijenjate ili brišete VLAN oznake ili mijenjate odredišne ​​IP adrese, promet se kopira na drugu vezu. Kao inline metoda, NPB također može obezbijediti redundantnost za druge inline alate, kao što su IDS, IPS ili firewall. NPB može pratiti status takvih uređaja i dinamički preusmjeravati promet u hot standby u slučaju kvara.

Mylinking Inline Security NPB Bypass

Pruža veliku fleksibilnost u načinu na koji se promet obrađuje i replicira na više nadzornih i sigurnosnih uređaja bez utjecaja na mrežu u realnom vremenu. Takođe pruža neviđenu vidljivost mreže i osigurava da svi uređaji dobiju kopiju saobraćaja koja je potrebna za pravilno rukovanje svojim odgovornostima. Ne samo da osigurava da vaši alati za praćenje, sigurnost i analizu dobiju promet koji im je potreban, već i da je vaša mreža sigurna. Također osigurava da uređaj ne troši resurse na neželjeni promet. Možda vaš mrežni analizator ne treba da snima promet sigurnosne kopije jer zauzima vrijedan prostor na disku tokom izrade sigurnosne kopije. Ove stvari se lako filtriraju iz analizatora, a čuvaju sav ostali promet za alat. Možda imate čitavu podmrežu koju želite da sakrijete od nekog drugog sistema; opet, ovo se lako uklanja na odabranom izlaznom portu. U stvari, jedan NPB može obraditi neke saobraćajne veze inline dok obrađuje drugi vanpojasni saobraćaj.


Vrijeme objave: Mar-09-2022