Мрежниот брокер за пакети (NPB) е мрежен уред сличен на прекинувач, чија големина се движи од преносни уреди до куќишта од 1U и 2U, па сè до големи куќишта и системи со плочи. За разлика од прекинувачот, NPB не го менува сообраќајот што тече низ него на никаков начин, освен ако не е експлицитно наложено. NPB може да прима сообраќај на еден или повеќе интерфејси, да извршува некои предефинирани функции на тој сообраќај, а потоа да го испраќа до еден или повеќе интерфејси.
Овие често се нарекуваат мапирање на порти од типот „било-на-било“, „многу-на-било“ и „било-на-многу“. Функциите што можат да се извршат се движат од едноставни, како што е пренасочување или отфрлање на сообраќај, до сложени, како што е филтрирање на информации над 5-то ниво за да се идентификува одредена сесија. Интерфејсите на NPB можат да бидат конекции со бакарен кабел, но обично се SFP/SFP + и QSFP рамки, кои им овозможуваат на корисниците да користат различни медиуми и брзини на пропусен опсег. Комплетот функции на NPB е изграден врз принципот на максимизирање на ефикасноста на мрежната опрема, особено алатките за следење, анализа и безбедност.
Кои функции ги нуди мрежниот брокер за пакети?
Можностите на NPB се бројни и може да варираат во зависност од брендот и моделот на уредот, иако секој агент за пакети кој вреди да се цени ќе сака да има основен сет на можности. Повеќето NPB (најчестите NPB) функционираат на OSI нивоата од 2 до 4.
Генерално, на NPB на L2-4 можете да ги најдете следните карактеристики: пренасочување на сообраќајот (или специфични делови од него), филтрирање на сообраќајот, репликација на сообраќајот, отстранување на протоколи, сечење на пакети (скратување), стартување или прекинување на различни протоколи за мрежни тунели и балансирање на оптоварувањето за сообраќај. Како што се очекуваше, NPB на L2-4 може да филтрира VLAN, MPLS етикети, MAC адреси (изворни и целни), IP адреси (изворни и целни), TCP и UDP порти (изворни и целни), па дури и TCP знамиња, како и ICMP, SCTP и ARP сообраќај. Ова во никој случај не е функција што треба да се користи, туку дава идеја за тоа како NPB што работи на нивоа од 2 до 4 може да ги оддели и идентификува подгрупите на сообраќајот. Клучен услов што клиентите треба да го бараат кај NPB е неблокирачка задна плоча.
Брокерите за мрежни пакети треба да бидат способни да го задоволат целосниот проток на сообраќај на секој порт на уредот. Во системот на шасијата, меѓусебното поврзување со задната плоча исто така мора да биде способно да го задоволат целосното оптоварување на сообраќајот на поврзаните модули. Ако NPB го отфрли пакетот, овие алатки нема да имаат целосно разбирање на мрежата.
Иако огромното мнозинство на NPB е базирано на ASIC или FPGA, поради сигурноста на перформансите на обработка на пакети, ќе најдете многу интеграции или процесори кои се прифатливи (преку модули). Mylinking™ Network Packet Brokers (NPB) се базираат на ASIC решение. Ова е обично функција која обезбедува флексибилна обработка и затоа не може да се направи исклучиво во хардвер. Тие вклучуваат дедупликација на пакети, временски ознаки, SSL/TLS декрипција, пребарување на клучни зборови и пребарување со регуларни изрази. Важно е да се напомене дека неговата функционалност зависи од перформансите на процесорот. (На пример, пребарувањата со регуларни изрази со ист образец можат да дадат многу различни резултати од перформансите во зависност од типот на сообраќај, стапката на совпаѓање и пропусниот опсег), па затоа не е лесно да се утврди пред вистинската имплементација.
Доколку се овозможени функции зависни од процесорот, тие стануваат ограничувачки фактор во целокупните перформанси на NPB. Појавата на процесорите и програмабилните чипови за префрлување, како што се Cavium Xpliant, Barefoot Tofino и Innovium Teralynx, исто така ја формираа основата на проширен сет на можности за мрежни агенти за пакети од следната генерација. Овие функционални единици можат да се справат со сообраќај над L4 (честопати нарекувани L7 агенти за пакети). Меѓу напредните функции споменати погоре, пребарувањето со клучни зборови и пребарувањето со регуларни изрази се добри примери за можностите од следната генерација. Способноста за пребарување на пакетни оптоварувања дава можности за филтрирање на сообраќајот на нивоата на сесија и апликација и обезбедува пофина контрола врз мрежата што еволуира отколку L2-4.
Како се вклопува Network Packet Broker во инфраструктурата?
NPB може да се инсталира во мрежна инфраструктура на два различни начина:
1- Вметнато
2- Надвор од опсегот.
Секој пристап има предности и недостатоци и овозможува манипулација со сообраќајот на начини на кои другите пристапи не можат. Вградениот мрежен брокер за пакети има мрежен сообраќај во реално време што минува низ уредот на неговиот пат до неговата дестинација. Ова дава можност за манипулирање со сообраќајот во реално време. На пример, при додавање, модифицирање или бришење на VLAN ознаки или менување на IP адреси на дестинацијата, сообраќајот се копира на втора врска. Како вградлив метод, NPB може да обезбеди и редундантност за други вградливи алатки, како што се IDS, IPS или firewall-ови. NPB може да го следи статусот на таквите уреди и динамички да го пренасочи сообраќајот во режим на подготвеност во случај на дефект.
Овозможува голема флексибилност во начинот на обработка и реплицирање на сообраќајот на повеќе уреди за следење и безбедност без да влијае на мрежата во реално време. Исто така, обезбедува невидена видливост на мрежата и гарантира дека сите уреди добиваат копија од сообраќајот потребен за правилно справување со нивните одговорности. Не само што гарантира дека вашите алатки за следење, безбедност и анализа го добиваат сообраќајот што им е потребен, туку и дека вашата мрежа е безбедна. Исто така, гарантира дека уредот не троши ресурси за несакан сообраќај. Можеби вашиот мрежен анализатор не треба да го снима резервниот сообраќај бидејќи зафаќа вреден простор на дискот за време на резервната копија. Овие работи лесно се филтрираат од анализаторот, додека го зачувуваат целиот друг сообраќај за алатката. Можеби имате цела подмрежа што сакате да ја чувате скриена од некој друг систем; повторно, ова лесно се отстранува на избраната излезна порта. Всушност, еден NPB може да обработува некои сообраќајни врски во линија додека обработува друг сообраќај надвор од опсегот.
Време на објавување: 09.03.2022
