Мрежни брокер пакета (NPB) је мрежни уређај сличан прекидачу који се креће по величини од преносивих уређаја до кућишта од 1U и 2U, па све до великих кућишта и система плоча. За разлику од прекидача, NPB не мења саобраћај који пролази кроз њега ни на који начин, осим ако није експлицитно наложено. NPB може да прима саобраћај на једном или више интерфејса, да обавља неке унапред дефинисане функције на том саобраћају, а затим га избацује на један или више интерфејса.
Ова се често називају мапирањем портова „било који-на-било који“, „више-на-било који“ и „било који-на-више“. Функције које се могу обављати крећу се од једноставних, као што су прослеђивање или одбацивање саобраћаја, до сложених, као што је филтрирање информација изнад слоја 5 ради идентификације одређене сесије. Интерфејси на NPB-у могу бити бакарне кабловске везе, али су обично SFP/SFP+ и QSFP оквири, који омогућавају корисницима да користе различите брзине медија и пропусног опсега. Скуп функција NPB-а је изграђен на принципу максимизирања ефикасности мрежне опреме, посебно алата за праћење, анализу и безбедност.
Које функције пружа мрежни брокер пакета?
Могућности NPB-а су бројне и могу да варирају у зависности од марке и модела уређаја, иако ће сваки агент за пакете вредан свог капитала желети да има основни скуп могућности. Већина NPB-а (најчешћи NPB) функционише на OSI слојевима од 2 до 4.
Генерално, на NPB-у L2-4 можете пронаћи следеће функције: преусмеравање саобраћаја (или његових одређених делова), филтрирање саобраћаја, репликација саобраћаја, уклањање протокола, скраћивање пакета, покретање или завршавање различитих протокола мрежног тунела и балансирање оптерећења за саобраћај. Као што се очекивало, NPB L2-4 може да филтрира VLAN, MPLS ознаке, MAC адресе (извор и циљ), IP адресе (извор и циљ), TCP и UDP портове (извор и циљ), па чак и TCP заставице, као и ICMP, SCTP и ARP саобраћај. Ово никако није функција која се користи, већ пружа идеју о томе како NPB који ради на слојевима од 2 до 4 може да раздвоји и идентификује подскупове саобраћаја. Кључни захтев који купци треба да траже код NPB-а је неблокирајућа задња плоча.
Мрежни брокер пакета мора бити у стању да задовољи пуни проток саобраћаја сваког порта на уређају. У систему шасије, међусобна веза са задњом плочом такође мора бити у стању да задовољи пуно оптерећење саобраћаја повезаних модула. Ако NPB одбаци пакет, ови алати неће имати потпуно разумевање мреже.
Иако је велика већина NPB-а базирана на ASIC-у или FPGA-у, због сигурности перформанси обраде пакета, наћи ћете многе интеграције или CPU-е прихватљивим (путем модула). Mylinking™ мрежни пакетни брокери (NPB) су базирани на ASIC решењу. Ово је обично функција која пружа флексибилну обраду и стога се не може обавити искључиво у хардверу. То укључује дедупликацију пакета, временске ознаке, SSL/TLS дешифровање, претрагу кључних речи и претрагу регуларних израза. Важно је напоменути да његова функционалност зависи од перформанси CPU-а. (На пример, претраге регуларних израза истог обрасца могу дати веома различите резултате перформанси у зависности од типа саобраћаја, стопе подударања и пропусног опсега), тако да није лако утврдити пре стварне имплементације.
Ако су омогућене функције зависне од процесора, оне постају ограничавајући фактор у укупним перформансама NPB-а. Појава процесора и програмабилних комутационих чипова, као што су Cavium Xpliant, Barefoot Tofino и Innovium Teralynx, такође је формирала основу проширеног скупа могућности за мрежне пакетне агенте следеће генерације. Ове функционалне јединице могу да обрађују саобраћај изнад L4 (често називани L7 пакетним агентима). Међу напредним функцијама поменутим горе, претрага кључних речи и регуларних израза су добри примери могућности следеће генерације. Могућност претраживања корисних садржаја пакета пружа могућности за филтрирање саобраћаја на нивоу сесије и апликације и пружа финију контролу над мрежом која се развија него L2-4.
Како се мрежни брокер пакета уклапа у инфраструктуру?
НПБ се може инсталирати у мрежну инфраструктуру на два различита начина:
1- Унутар
2- Ван опсега.
Сваки приступ има предности и мане и омогућава манипулацију саобраћајем на начине на које други приступи не могу. Инлајн мрежни брокер пакета има мрежни саобраћај у реалном времену који прелази уређај на путу до одредишта. Ово пружа могућност манипулације саобраћајем у реалном времену. На пример, приликом додавања, модификовања или брисања VLAN ознака или промене IP адреса одредишта, саобраћај се копира на другу везу. Као инлајн метод, NPB такође може да обезбеди редундантност за друге инлајн алате, као што су IDS, IPS или заштитни зидови. NPB може да прати статус таквих уређаја и динамички преусмерава саобраћај на вруће стање приправности у случају квара.
Пружа велику флексибилност у начину на који се саобраћај обрађује и реплицира на више уређаја за праћење и безбедност, без утицаја на мрежу у реалном времену. Такође пружа невиђену видљивост мреже и осигурава да сви уређаји добију копију саобраћаја потребну за правилно обављање својих обавеза. Не само да осигурава да ваши алати за праћење, безбедност и анализу добију саобраћај који им је потребан, већ и да је ваша мрежа безбедна. Такође осигурава да уређај не троши ресурсе на нежељени саобраћај. Можда ваш мрежни анализатор не мора да снима саобраћај резервне копије јер заузима драгоцени простор на диску током прављења резервне копије. Ове ствари се лако филтрирају из анализатора, док се сав остали саобраћај чува за алат. Можда имате целу подмрежу коју желите да сакријете од неког другог система; опет, ово се лако уклања на изабраном излазном порту. У ствари, један NPB може да обрађује неке везе саобраћаја директно док обрађује други саобраћај ван опсега.
Време објаве: 09.03.2022.
