Network Packet Broker (NPB) este un comutator precum dispozitivul de rețea care variază ca mărime de la dispozitivele portabile la cazurile de unități 1U și 2U la cazuri mari și sisteme de bord. Spre deosebire de un comutator, NPB nu schimbă traficul care îl curge în niciun fel, decât dacă este instruit în mod explicit. NPB poate primi trafic pe una sau mai multe interfețe, să efectueze unele funcții predefinite pe traficul respectiv și apoi să -l dea la una sau la mai multe interfețe.
Acestea sunt adesea denumite mapări portuare, de multe ori, de multe ori și de orice. Funcțiile care pot fi îndeplinite variază de la simplă, cum ar fi redirecționarea sau eliminarea traficului, la complex, cum ar fi filtrarea informațiilor de mai sus a stratului 5 pentru a identifica o anumită sesiune. Interfețele de pe NPB pot fi conexiuni de cablu de cupru, dar sunt de obicei cadre SFP/SFP + și QSFP, care permit utilizatorilor să utilizeze o varietate de viteze media și lățime de bandă. Setul de caracteristici NPB este construit pe principiul maximizării eficienței echipamentelor de rețea, în special a instrumentelor de monitorizare, analiză și securitate.
Ce funcții oferă brokerul de pachete de rețea?
Capacitățile NPB sunt numeroase și pot varia în funcție de marca și modelul dispozitivului, deși orice agent de pachete care merită sarea lui va dori să aibă un set de bază de capacități. Majoritatea NPB (cea mai frecventă NPB) funcționează la straturile OSI 2 până la 4.
În general, puteți găsi următoarele caracteristici pe NPB de L2-4: redirecționare a traficului (sau a unor părți specifice ale acestuia), filtrarea traficului, replicarea traficului, decuparea protocolului, tăierea pachetelor (trunchiere), pornirea sau terminarea diferitelor protocoale de tunel de rețea și echilibrarea sarcinii pentru trafic. Așa cum era de așteptat, NPB de la L2-4 poate filtra VLAN, etichete MPLS, adrese MAC (sursă și țintă), adrese IP (sursă și țintă), porturi TCP și UDP (sursă și țintă) și chiar steaguri TCP, precum și trafic ICMP, SCTP și ARP. Aceasta nu este în niciun caz o caracteristică care trebuie utilizată, ci mai degrabă oferă o idee despre modul în care NPB care operează la straturile 2 până la 4 poate separa și identifica subseturile de trafic. O cerință cheie pe care ar trebui să o caute clienții în NPB este un plan de fundal care nu blochează.
Brokerul de pachete de rețea trebuie să poată îndeplini fluxul complet de trafic al fiecărui port de pe dispozitiv. În sistemul de șasiu, interconectarea cu planul din spate trebuie să poată îndeplini, de asemenea, sarcina completă de trafic a modulelor conectate. Dacă NPB scade pachetul, aceste instrumente nu vor avea o înțelegere completă a rețelei.
Deși marea majoritate a NPB se bazează pe ASIC sau FPGA, datorită certitudinii performanței de procesare a pachetelor, veți găsi numeroase integrări sau procesoare acceptabile (prin module). Brokerii de pachete de rețea MyLinking ™ (NPB) se bazează pe soluția ASIC. Aceasta este de obicei o caracteristică care oferă o prelucrare flexibilă și, prin urmare, nu poate fi făcută doar în hardware. Acestea includ deduplicarea pachetelor, timestamps, decriptarea SSL/TLS, căutarea cuvintelor cheie și căutarea obișnuită a expresiei. Este important de menționat că funcționalitatea sa depinde de performanța procesorului. (De exemplu, căutările de expresie obișnuite ale aceluiași model pot da rezultate de performanță foarte diferite în funcție de tipul de trafic, rata de potrivire și lățimea de bandă), deci nu este ușor de determinat înainte de implementarea reală.
Dacă caracteristicile dependente de CPU sunt activate, acestea devin un factor limitativ în performanța generală a NPB. Apariția CPU-urilor și a cipurilor de comutare programabile, cum ar fi Cavium Xpliant, Barefoot Tofino și Innovium Teralynx, a constituit, de asemenea, baza unui set extins de capacități pentru agenții de pachete de rețea de generație viitoare, aceste unități funcționale pot gestiona traficul deasupra L4 (adesea menționat ca agenți de pachete L7). Printre caracteristicile avansate menționate mai sus, căutarea de cuvinte cheie și de expresie regulată sunt exemple bune de capacități de generație următoare. Posibilitatea de a căuta sarcini utile pentru pachete oferă oportunități de filtrare a traficului la nivel de sesiune și aplicații și oferă un control mai fin asupra unei rețele în evoluție decât L2-4.
Cum se încadrează brokerul de pachete de rețea în infrastructură?
NPB poate fi instalat într -o infrastructură de rețea în două moduri diferite:
1- inline
2- În afara bandei.
Fiecare abordare are avantaje și dezavantaje și permite manipularea traficului în moduri în care alte abordări nu pot. Brokerul de pachete de rețea inline are trafic de rețea în timp real, care traversează dispozitivul în drum spre destinația sa. Aceasta oferă posibilitatea de a manipula traficul în timp real. De exemplu, atunci când adăugați, modificați sau ștergeți etichetele VLAN sau schimbarea adreselor IP de destinație, traficul este copiat într -o a doua legătură. Ca metodă inline, NPB poate oferi, de asemenea, redundanță pentru alte instrumente inline, cum ar fi ID -uri, IPS sau firewall -uri. NPB poate monitoriza starea acestor dispozitive și re-trafic dinamic dinamic către standby la cald în caz de eșec.
Oferă o mare flexibilitate în modul în care traficul este procesat și replicat la mai multe dispozitive de monitorizare și securitate, fără a afecta rețeaua în timp real. De asemenea, oferă o vizibilitate fără precedent a rețelei și se asigură că toate dispozitivele primesc o copie a traficului necesar pentru a -și gestiona corect responsabilitățile. Nu numai că asigură că instrumentele dvs. de monitorizare, securitate și analiză obțin traficul de care au nevoie, dar și că rețeaua dvs. este sigură. De asemenea, se asigură că dispozitivul nu consumă resurse pe traficul nedorit. Poate că analizatorul dvs. de rețea nu trebuie să înregistreze traficul de rezervă, deoarece ocupă un spațiu valoros pe disc în timpul copiilor de rezervă. Aceste lucruri sunt ușor filtrate din analizor, păstrând în același timp tot celălalt trafic pentru instrument. Poate aveți o întreagă subrețea pe care doriți să o țineți ascunsă de un alt sistem; Din nou, acest lucru este eliminat cu ușurință pe portul de ieșire selectat. De fapt, un singur NPB poate prelucra unele legături de trafic în linie în timp ce prelucrează alte trafic din afara benzii.
Timpul post: 09-2022 MAR
