Čo je to sprostredkovateľ sieťových paketov a funkcie v IT infraštruktúre?

Network Packet Broker (NPB) je sieťové zariadenie podobné prepínaču, ktorého veľkosť sa pohybuje od prenosných zariadení cez skrinky s veľkosťou 1U a 2U až po veľké skrinky a doskové systémy. Na rozdiel od prepínača NPB žiadnym spôsobom nemení premávku, ktorá ním prechádza, pokiaľ nedostane výslovný pokyn. NPB môže prijímať prevádzku na jednom alebo viacerých rozhraniach, vykonávať niektoré preddefinované funkcie na tejto prevádzke a potom ju odosielať na jedno alebo viacero rozhraní.

Tieto sú často označované ako mapovania portov typu any-to-any, many-to-any a any-to-many. Funkcie, ktoré možno vykonávať, siahajú od jednoduchých, ako je presmerovanie alebo vyradenie prevádzky, až po zložité, ako je filtrovanie informácií nad vrstvou 5 na identifikáciu konkrétnej relácie. Rozhraniami na NPB môžu byť medené káblové spojenia, ale zvyčajne sú to rámce SFP/SFP + a QSFP, ktoré používateľom umožňujú používať rôzne rýchlosti médií a šírky pásma. Sada funkcií NPB je postavená na princípe maximalizácie efektivity sieťových zariadení, najmä monitorovacích, analytických a bezpečnostných nástrojov.

2019050603525011

Aké funkcie poskytuje Network Packet Broker?

Možnosti NPB sú početné a môžu sa líšiť v závislosti od značky a modelu zariadenia, hoci každý agent balíka, ktorý stojí za to, bude chcieť mať základnú sadu schopností. Väčšina NPB (najbežnejšie NPB) funguje na vrstvách OSI 2 až 4.

Vo všeobecnosti môžete na NPB L2-4 nájsť nasledujúce funkcie: presmerovanie prevádzky (alebo jej špecifických častí), filtrovanie prevádzky, replikácia prevádzky, odstraňovanie protokolov, delenie paketov (skrátenie), spúšťanie alebo ukončovanie rôznych protokolov sieťového tunela, a vyrovnávanie zaťaženia pre dopravu. Ako sa očakávalo, NPB L2-4 dokáže filtrovať VLAN, MPLS štítky, MAC adresy (zdrojové a cieľové), IP adresy (zdrojové a cieľové), TCP a UDP porty (zdrojové a cieľové) a dokonca aj TCP príznaky, ako aj ICMP, Prevádzka SCTP a ARP. Toto nie je v žiadnom prípade funkcia, ktorá sa má použiť, ale skôr poskytuje predstavu o tom, ako NPB pracujúce na vrstvách 2 až 4 môže oddeliť a identifikovať podmnožiny prevádzky. Kľúčovou požiadavkou, ktorú by zákazníci mali v NPB hľadať, je neblokujúca základná doska.

Sprostredkovateľ sieťových paketov musí byť schopný splniť plnú priepustnosť prenosu každého portu na zariadení. V systéme podvozku musí byť prepojenie so základnou doskou schopné pokryť aj plné dopravné zaťaženie pripojených modulov. Ak NPB zahodí paket, tieto nástroje nebudú úplne rozumieť sieti.

Aj keď je veľká väčšina NPB založená na ASIC alebo FPGA, kvôli istote výkonu spracovania paketov nájdete mnoho integrácií alebo CPU prijateľných (cez moduly). Mylinking™ Network Packet Brokers (NPB) sú založené na riešení ASIC. Zvyčajne ide o funkciu, ktorá poskytuje flexibilné spracovanie, a preto ju nemožno vykonať čisto hardvérovo. Patria sem deduplikácia paketov, časové značky, dešifrovanie SSL/TLS, vyhľadávanie kľúčových slov a vyhľadávanie regulárnych výrazov. Je dôležité poznamenať, že jeho funkčnosť závisí od výkonu procesora. (Napríklad vyhľadávanie pomocou regulárneho výrazu rovnakého vzoru môže priniesť veľmi odlišné výsledky výkonu v závislosti od typu návštevnosti, miery zhody a šírky pásma), takže nie je ľahké určiť pred skutočnou implementáciou.

shutterstock_

Ak sú povolené funkcie závislé od CPU, stávajú sa limitujúcim faktorom celkového výkonu NPB. Nástup procesorov a programovateľných prepínacích čipov, ako sú Cavium Xpliant, Barefoot Tofino a Innovium Teralynx, tiež vytvoril základ rozšírenej sady schopností pre sieťových paketových agentov novej generácie. Tieto funkčné jednotky dokážu spracovať prevádzku nad L4 (často označované ako ako agenti paketov L7). Spomedzi vyššie uvedených pokročilých funkcií sú dobrým príkladom možností novej generácie vyhľadávanie kľúčových slov a regulárnych výrazov. Schopnosť vyhľadávať užitočné zaťaženia paketov poskytuje príležitosti na filtrovanie prevádzky na úrovni relácie a aplikácie a poskytuje jemnejšiu kontrolu nad rozvíjajúcou sa sieťou ako L2-4.

Ako zapadá Network Packet Broker do infraštruktúry?

NPB môže byť inštalovaný do sieťovej infraštruktúry dvoma rôznymi spôsobmi:

1- Inline

2- Mimo pásma.

Každý prístup má výhody a nevýhody a umožňuje manipuláciu s dopravou spôsobom, ktorý iné prístupy nedokážu. Inline sieťový sprostredkovateľ paketov má sieťovú prevádzku v reálnom čase, ktorá prechádza zariadením na ceste do cieľa. To poskytuje možnosť manipulovať s premávkou v reálnom čase. Napríklad pri pridávaní, úprave alebo odstraňovaní značiek VLAN alebo zmene cieľových IP adries sa prevádzka skopíruje na druhý odkaz. Ako inline metóda môže NPB poskytnúť redundanciu aj pre iné inline nástroje, ako sú IDS, IPS alebo firewally. NPB dokáže monitorovať stav takýchto zariadení a v prípade poruchy dynamicky presmerovať prevádzku do pohotovostného režimu.

Mylinking Inline Security NPB Bypass

Poskytuje veľkú flexibilitu v tom, ako sa prevádzka spracováva a replikuje do viacerých monitorovacích a bezpečnostných zariadení bez ovplyvnenia siete v reálnom čase. Poskytuje tiež bezprecedentnú viditeľnosť siete a zabezpečuje, že všetky zariadenia dostanú kópiu prevádzky potrebnej na správne zvládnutie svojich povinností. Nielenže zaisťuje, že vaše monitorovacie, bezpečnostné a analytické nástroje získajú potrebný prenos, ale aj to, že vaša sieť je bezpečná. Zabezpečuje tiež, že zariadenie nespotrebováva zdroje nežiaducou prevádzkou. Váš sieťový analyzátor nemusí zaznamenávať záložnú prevádzku, pretože počas zálohovania zaberá cenné miesto na disku. Tieto veci sa z analyzátora jednoducho odfiltrujú, pričom sa zachová všetka ostatná prevádzka nástroja. Možno máte celú podsieť, ktorú chcete skryť pred iným systémom; opäť sa to dá jednoducho odstrániť na zvolenom výstupnom porte. V skutočnosti môže jeden NPB spracovať niektoré prevádzkové spojenia inline, zatiaľ čo inú prevádzku mimo pásma.


Čas odoslania: Mar-09-2022