Брокер за мрежни пакети (NPB) е прекинувач како мрежен уред кој се движи во големина од преносни уреди до случаи на единици 1U и 2U до големи случаи и системи на табли. За разлика од прекинувачот, НПБ не го менува сообраќајот што тече низ него на кој било начин, освен ако не е експлицитно наложено. НПБ може да добие сообраќај на една или повеќе интерфејси, да изврши некои претходно дефинирани функции на тој сообраќај, а потоа да го испорача на една или повеќе интерфејси.
Овие честопати се нарекуваат како и да е, многу-на-и-такви и во секое пристаниште. Функциите што можат да се извршат се движат од едноставни, како што се пренасочување или отфрлање на сообраќајот, до комплексен, како што се филтрирање на информации над слојот 5 за да се идентификува одредена сесија. Интерфејсите на NPB можат да бидат бакарни кабелски врски, но обично се рамки SFP/SFP + и QSFP, кои им овозможуваат на корисниците да користат различни брзини на медиуми и ширина на опсег. Комплетот за карактеристики на НПБ е изграден врз принципот на максимизирање на ефикасноста на мрежната опрема, особено мониторингот, анализата и безбедносните алатки.
Какви функции обезбедува брокер за мрежни пакети?
Способностите на НПБ се многубројни и може да се разликуваат во зависност од марката и моделот на уредот, иако секој агент за пакети вредни за неговата сол ќе сака да има основен сет на можности. Повеќето NPB (најчестите НПБ) функционираат во OSI слоевите 2 до 4.
Општо, можете да ги најдете следниве карактеристики на NPB на L2-4: сообраќај (или специфични делови од ИТ) пренасочување, филтрирање во сообраќајот, репликација на сообраќајот, соблекување на протоколот, намалување на пакетите (скратување), започнување или прекинување на разни протоколи за мрежни тунели и балансирање на оптоварување за сообраќај. Како што се очекуваше, NPB на L2-4 може да ги филтрира VLAN, MPLS етикетите, MAC адресите (извор и цел), IP адреси (извор и цел), TCP и UDP порти (извор и цел), па дури и знамиња на TCP, како и ICMP, SCTP и ARP сообраќај. Ова во никој случај не е карактеристика што треба да се користи, туку дава идеја за тоа како НПБ работи во слоеви 2 до 4 може да ги оддели и идентификува подмножествата во сообраќајот. Клучен услов што клиентите треба да го бараат во НПБ е не-блокада на плочката.
Брокерот за мрежни пакети треба да може да ја исполни целосната моќност на сообраќајот на секоја порта на уредот. Во системот за шасии, интерконекцијата со задната плоча, исто така, мора да може да го исполни целосното сообраќајно оптоварување на поврзаните модули. Ако НПБ го испушти пакетот, овие алатки нема да имаат целосно разбирање на мрежата.
Иако огромното мнозинство на НПБ се заснова на ASIC или FPGA, заради сигурноста на перформансите за обработка на пакетите, ќе најдете многу интеграции или процесорот прифатливи (преку модули). Брокерите за мрежни пакети MyLinking (NPB) се засноваат на решението ASIC. Ова е обично карактеристика што обезбедува флексибилна обработка и затоа не може да се направи чисто во хардвер. Овие вклучуваат дедупција на пакетите, временски ознаки, декрипција на SSL/TLS, пребарување на клучни зборови и редовно пребарување на изразување. Важно е да се напомене дека неговата функционалност зависи од перформансите на процесорот. (На пример, редовните пребарувања на изразување на истата шема можат да дадат многу различни резултати од перформансите во зависност од видот на сообраќајот, стапката на појавување и широчината на опсегот), така што не е лесно да се утврди пред реалното спроведување.
Ако се овозможат карактеристики зависни од процесорот, тие стануваат ограничувачки фактор во целокупната изведба на НПБ. Доаѓањето на процесорот и програмабилните чипови за преклопување, како што се Cavium Xpliant, Barefoot Tofino и Innovium Teralynx, исто така ја формираа основата на проширен сет на можности за агенти за мрежни пакети од следната генерација, овие функционални единици можат да се справат со сообраќајот над L4 (честопати се однесуваат на AS L7 пакети). Меѓу напредните карактеристики споменати погоре, клучниот збор и редовното пребарување на изразување се добри примери на можности за следната генерација. Способноста за пребарување на оптоварување на пакетите обезбедува можности за филтрирање на сообраќајот на сесијата и нивото на апликација и обезбедува пофина контрола врз мрежата што се развива од L2-4.
Како брокерот за мрежни пакети се вклопува во инфраструктурата?
НПБ може да се инсталира во мрежна инфраструктура на два различни начина:
1- Внатре
2- надвор од опсегот.
Секој пристап има предности и недостатоци и овозможува манипулација со сообраќајот на начини на кои другите пристапи не можат. Брокерот за мрежни пакети во рамките на мрежата има мрежен сообраќај што го поминува уредот на патот до својата дестинација. Ова дава можност да се манипулира со сообраќајот во реално време. На пример, при додавање, модифицирање или бришење на ознаки VLAN или менување на IP адресите на дестинацијата, сообраќајот се копира на втора врска. Како вметнат метод, НПБ исто така може да обезбеди вишок за други вметнати алатки, како што се IDS, IPS или заштитни идови. НПБ може да го следи статусот на таквите уреди и динамички повторно да го пренасочи сообраќајот кон топла подготвеност во случај на неуспех.
Обезбедува голема флексибилност во начинот на обработка и реплициран сообраќај на повеќе уреди за набудување и безбедност, без да влијае на мрежата во реално време. Исто така, обезбедува невидена видливост на мрежата и гарантира дека сите уреди добиваат копија од сообраќајот потребна за правилно справување со нивните одговорности. Тоа не само што гарантира дека вашите алатки за набудување, безбедност и анализа го добиваат потребниот сообраќај, туку и дека вашата мрежа е безбедна. Исто така, гарантира дека уредот не троши ресурси на несакан сообраќај. Можеби вашиот мрежен анализатор не треба да снима резервен сообраќај затоа што зазема вреден простор на дискот за време на резервната копија. Овие работи лесно се филтрираат од анализаторот додека го зачувуваат целиот други сообраќај за алатката. Можеби имате цела подмрежа што сакате да ја задржите скриена од некој друг систем; Повторно, ова лесно се отстранува на избраната излезна порта. Всушност, единечна НПБ може да обработи некои сообраќајни врски вметнати при обработка на друг сообраќај надвор од опсегот.
Време на објавување: март-09-2022
