Što je mrežni paketni posrednik i funkcije u IT infrastrukturi?

Network Packet Broker (NPB) mrežni je uređaj poput preklopnika čija veličina varira od prijenosnih uređaja do kućišta jedinica od 1U i 2U do velikih kućišta i sustava ploča. Za razliku od prekidača, NPB ne mijenja promet koji teče kroz njega ni na koji način osim ako to nije izričito naloženo. NPB može primati promet na jednom ili više sučelja, izvoditi neke predefinirane funkcije na tom prometu, a zatim ga poslati na jedno ili više sučelja.

Oni se često nazivaju bilo koji-svakome, više-svakim i bilo koji-na-više preslikavanja portova. Funkcije koje se mogu izvesti kreću se od jednostavnih, kao što je prosljeđivanje ili odbacivanje prometa, do složenih, kao što je filtriranje informacija iznad sloja 5 za identifikaciju određene sesije. Sučelja na NPB-u mogu biti veze bakrenog kabela, ali su obično SFP/SFP + i QSFP okviri, koji korisnicima omogućuju korištenje različitih medija i brzina pojasa. Skup značajki NPB-a izgrađen je na principu maksimiziranja učinkovitosti mrežne opreme, posebice alata za praćenje, analizu i sigurnost.

2019050603525011

Koje funkcije nudi Network Packet Broker?

Mogućnosti NPB-a su brojne i mogu varirati ovisno o marki i modelu uređaja, iako će svaki paketni agent vrijedan svoje pažnje htjeti imati temeljni skup mogućnosti. Većina NPB (najčešći NPB) funkcionira na OSI slojevima 2 do 4.

Općenito, možete pronaći sljedeće značajke na NPB-u L2-4: preusmjeravanje prometa (ili njegovih specifičnih dijelova), filtriranje prometa, replikacija prometa, skidanje protokola, rezanje paketa (skraćivanje), pokretanje ili prekid raznih protokola mrežnog tunela, i uravnoteženje opterećenja za promet. Kao što se i očekivalo, NPB L2-4 može filtrirati VLAN, MPLS oznake, MAC adrese (izvor i cilj), IP adrese (izvor i cilj), TCP i UDP portove (izvor i cilj), pa čak i TCP oznake, kao i ICMP, SCTP i ARP promet. Ovo nikako nije značajka koja se koristi, već daje ideju o tome kako NPB koji radi na slojevima od 2 do 4 može odvojiti i identificirati podskupove prometa. Ključni zahtjev koji bi korisnici trebali tražiti u NPB-u je stražnja ploča koja ne blokira.

Posrednik mrežnih paketa mora moći zadovoljiti punu propusnost prometa svakog priključka na uređaju. U sustavu šasije, međupovezanost s stražnjom pločom također mora moći zadovoljiti puno prometno opterećenje povezanih modula. Ako NPB odbaci paket, ovi alati neće imati potpuno razumijevanje mreže.

Iako se velika većina NPB-a temelji na ASIC-u ili FPGA-u, zbog sigurnosti performansi obrade paketa, naći ćete prihvatljive mnoge integracije ili CPU-ove (putem modula). Mylinking™ mrežni paketni posrednici (NPB) temelje se na ASIC rješenju. To je obično značajka koja pruža fleksibilnu obradu i stoga se ne može izvesti isključivo hardverski. To uključuje deduplikaciju paketa, vremenske oznake, SSL/TLS dešifriranje, pretraživanje ključnih riječi i pretraživanje regularnih izraza. Važno je napomenuti da njegova funkcionalnost ovisi o performansama procesora. (Na primjer, pretraživanja regularnih izraza prema istom uzorku mogu dati vrlo različite rezultate izvedbe ovisno o vrsti prometa, stopi podudaranja i propusnosti), tako da to nije lako odrediti prije stvarne implementacije.

shutterstock_

Ako su omogućene značajke ovisne o CPU-u, one postaju ograničavajući čimbenik u ukupnoj izvedbi NPB-a. Pojava procesora i programabilnih preklopnih čipova, kao što su Cavium Xpliant, Barefoot Tofino i Innovium Teralynx, također je stvorila osnovu proširenog skupa mogućnosti za mrežne paketne agente sljedeće generacije. Ove funkcionalne jedinice mogu upravljati prometom iznad L4 (često se naziva kao L7 paketni agenti). Među gore spomenutim naprednim značajkama, pretraživanje po ključnim riječima i regularnim izrazima dobri su primjeri mogućnosti sljedeće generacije. Sposobnost pretraživanja sadržaja paketa pruža prilike za filtriranje prometa na razini sesije i aplikacije te pruža finiju kontrolu nad mrežom koja se razvija od L2-4.

Kako se Network Packet Broker uklapa u infrastrukturu?

NPB se može instalirati u mrežnu infrastrukturu na dva različita načina:

1- Inline

2- Izvanpojasni.

Svaki pristup ima prednosti i nedostatke i omogućuje manipulaciju prometom na načine na koje drugi pristupi ne mogu. Inline mrežni posrednik paketa ima mrežni promet u stvarnom vremenu koji prolazi uređajem na putu do odredišta. To pruža mogućnost manipuliranja prometom u stvarnom vremenu. Na primjer, kada dodajete, mijenjate ili brišete VLAN oznake ili mijenjate odredišnu IP adresu, promet se kopira na drugu vezu. Kao ugrađena metoda, NPB također može osigurati redundantnost za druge ugrađene alate, kao što su IDS, IPS ili vatrozidi. NPB može nadzirati status takvih uređaja i dinamički preusmjeravati promet na vruću pripravnost u slučaju kvara.

Mylinking Inline Security NPB Bypass

Omogućuje veliku fleksibilnost u načinu na koji se promet obrađuje i replicira na više nadzornih i sigurnosnih uređaja bez utjecaja na mrežu u stvarnom vremenu. Također pruža neviđenu mrežnu vidljivost i osigurava da svi uređaji prime kopiju prometa potrebnog za ispravno rukovanje svojim odgovornostima. Ne samo da osigurava da vaši alati za praćenje, sigurnost i analizu dobivaju promet koji im je potreban, već i da je vaša mreža sigurna. Također osigurava da uređaj ne troši resurse na neželjeni promet. Možda vaš mrežni analizator ne treba bilježiti promet sigurnosne kopije jer zauzima dragocjeni prostor na disku tijekom izrade sigurnosne kopije. Te se stvari lako filtriraju iz analizatora, a da se sav drugi promet sačuva za alat. Možda imate cijelu podmrežu koju želite držati skrivenom od nekog drugog sustava; opet, to se lako uklanja na odabranom izlaznom priključku. Zapravo, jedan NPB može obrađivati ​​neke prometne veze inline dok obrađuje drugi izvanpojasni promet.


Vrijeme objave: 9. ožujka 2022