Pakiet sieciowy (NPB) to przełącznik, taki jak urządzenie sieciowe, które waha się od urządzeń przenośnych po przypadki jednostek 1U i 2U po duże skrzynie i systemy planszy. W przeciwieństwie do przełącznika, NPB nie zmienia ruchu, który przepływa przez niego w żaden sposób, chyba że jest wyraźnie pouczona. NPB może odbierać ruch na jednym lub większej liczbie interfejsów, wykonywać niektóre predefiniowane funkcje na tym ruchu, a następnie wysyłać je na jeden lub więcej interfejsów.
Są one często określane jako mapowania portów w dowolnym, wiele do mnóstwa i mnóstwo. Funkcje, które można wykonać, obejmują proste, takie jak przekazywanie lub odrzucanie ruchu, po złożone, takie jak filtrowanie informacji powyżej warstwy 5 w celu zidentyfikowania określonej sesji. Interfejsy na NPB mogą być miedzianymi połączeniami kablowymi, ale zwykle są ramkami SFP/SFP + i QSFP, które pozwalają użytkownikom korzystać z różnych prędkości mediów i przepustowości. Zestaw funkcji NPB opiera się na zasadzie maksymalizacji wydajności sprzętu sieciowego, szczególnie narzędzi monitorowania, analizy i bezpieczeństwa.
Jakie funkcje zapewnia broker pakietów sieciowych?
Możliwości NPB są liczne i mogą się różnić w zależności od marki i modelu urządzenia, chociaż każdy agent pakietu wart jego soli będzie chciał mieć podstawowy zestaw możliwości. Większość NPB (najczęstsza NPB) działa w warstwach OSI od 2 do 4.
Ogólnie rzecz biorąc, można znaleźć następujące funkcje NPB L2-4: Traffic (lub określone części IT) przekierowanie, filtrowanie ruchu, replikacja ruchu, usuwanie protokołu, krojenie pakietów (obcięcie), uruchamianie lub zakończenie różnych protokołów tunelu sieciowego oraz równoważenie obciążenia dla ruchu. Zgodnie z oczekiwaniami, NPB L2-4 może filtrować VLAN, etykiety MPLS, adresy MAC (źródło i cel), adresy IP (źródło i cel), porty TCP i UDP (źródło i cel), a nawet flagi TCP, a także ruch ICMP, SCTP i ARP. Nie jest to wcale funkcja, którą należy użyć, ale zapewnia wyobrażenie o tym, jak NPB działające w warstwach od 2 do 4 może oddzielić i identyfikować podgrupy ruchu. Kluczowym wymogiem, na które klienci powinni szukać w NPB, jest niekaskująca płyta backing.
Broker pakietu sieci musi być w stanie spełnić pełną przepustowość ruchu każdego portu na urządzeniu. W systemie podwozia wzajemne połączenie z płytą backningową musi być również w stanie spełnić pełne obciążenie ruchu podłączonych modułów. Jeśli NPB upuszczy pakiet, narzędzia te nie będą miały pełnego zrozumienia sieci.
Chociaż zdecydowana większość NPB opiera się na ASIC lub FPGA, ze względu na pewność wydajności przetwarzania pakietów, znajdziesz wiele integracji lub procesorów (za pośrednictwem modułów). Brokerzy pakietów sieci Mylinking ™ (NPB) oparte są na rozwiązaniu ASIC. Jest to zwykle funkcja, która zapewnia elastyczne przetwarzanie i dlatego nie można jej wykonywać wyłącznie sprzętowymi. Obejmują one deduplikację pakietów, znaczniki czasu, deszyfrowanie SSL/TLS, wyszukiwanie słów kluczowych i wyszukiwanie wyrażeń regularnych. Należy zauważyć, że jego funkcjonalność zależy od wydajności procesora. (Na przykład, wyszukiwania wyrażeń regularnych tego samego wzorca mogą dawać bardzo różne wyniki wydajności w zależności od rodzaju ruchu, szybkości dopasowania i przepustowości), więc nie jest łatwe do ustalenia przed faktyczną wdrożeniem.
Jeśli funkcje zależne od procesora są włączone, stają się one czynnikiem ograniczającym ogólną wydajność NPB. Pojawienie się CPU i programowalnych układów przełączających, takich jak Cavium Xpliant, Barefoot Tofino i Innovium Teralynx, stanowiło również podstawę rozszerzonego zestawu możliwości dla agentów sieciowych nowej generacji, jednostki funkcjonalne mogą obsługiwać ruch powyżej L4 (często nazywane agentami pakietów L7). Wśród wymienionych wyżej zaawansowanych funkcji słowo kluczowe i wyrażenia regularne są dobre przykłady możliwości nowej generacji. Możliwość wyszukiwania ładunków pakietów zapewnia możliwość filtrowania ruchu na poziomie sesji i aplikacji oraz zapewnia lepszą kontrolę nad ewoluującą siecią niż L2-4.
W jaki sposób broker pakietów sieci pasuje do infrastruktury?
NPB można zainstalować w infrastrukturze sieciowej na dwa różne sposoby:
1- one
2- poza pasmem.
Każde podejście ma zalety i wady i umożliwia manipulację ruchem w sposób, którego inne podejścia nie mogą. Wbudowany broker pakietu sieci ma ruch sieciowy w czasie rzeczywistym, który przemierza urządzenie w drodze do miejsca docelowego. Daje to możliwość manipulowania ruchem w czasie rzeczywistym. Na przykład przy dodawaniu, modyfikowaniu lub usuwaniu tagów VLAN lub zmianie adresów IP docelowych, ruch jest kopiowany do drugiego linku. Jako metodę wbudowaną, NPB może również zapewnić redundancję dla innych narzędzi wbudowanych, takich jak IDS, IPS lub zapory ogniowe. NPB może monitorować status takich urządzeń i dynamicznie przetwarzać ruch na gorąco w przypadku awarii.
Zapewnia dużą elastyczność w zakresie przetwarzania ruchu i replikacji na wiele urządzeń monitorowania i bezpieczeństwa bez wpływu na sieć w czasie rzeczywistym. Zapewnia również bezprecedensową widoczność sieci i zapewnia, że wszystkie urządzenia otrzymują kopię ruchu potrzebnego do właściwego poradzenia sobie z ich obowiązkami. Zapewnia to nie tylko narzędzia monitorowania, bezpieczeństwa i analizy, które potrzebują potrzebny ruch, ale także, że Twoja sieć jest bezpieczna. Zapewnia również, że urządzenie nie konsumuje zasobów na niechcianym ruchu. Być może twój analizator sieci nie musi rejestrować ruchu kopii zapasowej, ponieważ podczas kopii zapasowej zajmuje on cenne miejsce na dysku. Te rzeczy można łatwo odfiltrować z analizatora, jednocześnie zachowując cały pozostały ruch dla narzędzia. Może masz całą podsieć, którą chcesz ukryć przed innym systemem; Ponownie można go łatwo usunąć na wybranym porcie wyjściowym. W rzeczywistości pojedynczy NPB może przetwarzać pewne linki ruchu, jednocześnie przetwarzając inny ruch poza pasmem.
Czas po: Mar-09-2022
