Network Packet Broker (NPB) on kytkimen kaltainen verkkolaite, jonka koko vaihtelee kannettavista laitteista 1U- ja 2U-yksikkökoteloihin sekä suuriin koteloihin ja piirilevyjärjestelmiin. Toisin kuin kytkin, NPB ei muuta sen läpi kulkevaa liikennettä millään tavalla, ellei sitä nimenomaisesti ohjeisteta. NPB voi vastaanottaa liikennettä yhdellä tai useammalla rajapinnalla, suorittaa kyseiselle liikenteelle joitakin ennalta määritettyjä toimintoja ja sitten lähettää sen yhteen tai useampaan rajapintaan.
Näitä kutsutaan usein porttikartoituksiksi mistä tahansa mihin tahansa, monesta mihin tahansa ja mistä tahansa moneen. Suoritettavat toiminnot vaihtelevat yksinkertaisista, kuten liikenteen edelleenlähettämisestä tai hylkäämisestä, monimutkaisiin, kuten tiedon suodattamiseen kerroksen 5 yläpuolella tietyn istunnon tunnistamiseksi. NPB:n rajapinnat voivat olla kuparikaapeliyhteyksiä, mutta yleensä ne ovat SFP/SFP+- ja QSFP-kehyksiä, joiden avulla käyttäjät voivat käyttää erilaisia medioita ja kaistanleveyksiä. NPB:n ominaisuusjoukko perustuu verkkolaitteiden, erityisesti valvonta-, analyysi- ja tietoturvatyökalujen, tehokkuuden maksimointiperiaatteeseen.
Mitä toimintoja verkkopakettien välittäjä tarjoaa?
NPB:n ominaisuudet ovat lukuisat ja voivat vaihdella laitteen merkin ja mallin mukaan, vaikka jokainen asiansa arvoinen pakettiagentti haluaakin omata perusominaisuudet. Useimmat NPB:t (yleisin NPB) toimivat OSI-kerroksilla 2–4.
Yleisesti ottaen L2-4:n NPB:stä löytyy seuraavat ominaisuudet: liikenteen (tai sen tiettyjen osien) uudelleenohjaus, liikenteen suodatus, liikenteen replikointi, protokollien stripping, pakettien viipalointi (katkaisu), erilaisten verkkotunneliprotokollien aloittaminen tai lopettaminen sekä liikenteen kuormituksen tasapainotus. Kuten odotettua, L2-4:n NPB voi suodattaa VLAN-, MPLS-tunnisteita, MAC-osoitteita (lähde ja kohde), IP-osoitteita (lähde ja kohde), TCP- ja UDP-portteja (lähde ja kohde) ja jopa TCP-lippuja, sekä ICMP-, SCTP- ja ARP-liikennettä. Tämä ei ole missään nimessä ominaisuus, jota pitäisi käyttää, vaan se antaa pikemminkin kuvan siitä, miten kerroksilla 2–4 toimivat NPB:t voivat erottaa ja tunnistaa liikenteen osajoukkoja. Keskeinen vaatimus, jota asiakkaiden tulisi etsiä NPB:ssä, on estämätön taustalevy.
Verkkopakettien välittäjän on kyettävä vastaamaan laitteen jokaisen portin täyteen liikenteen läpäisykykyyn. Runkojärjestelmässä taustalevyn kanssa tapahtuvan yhteenliitännän on myös kyettävä vastaamaan liitettyjen moduulien täyteen liikennekuormaan. Jos NPB pudottaa paketin, näillä työkaluilla ei ole täydellistä ymmärrystä verkosta.
Vaikka valtaosa NPB-järjestelmistä perustuu ASIC- tai FPGA-piireihin, pakettien käsittelyn suorituskyvyn varmuuden vuoksi monet integraatiot tai suorittimet ovat hyväksyttäviä (moduulien kautta). Mylinking™ Network Packet Brokers (NPB) perustuvat ASIC-ratkaisuun. Tämä on yleensä ominaisuus, joka tarjoaa joustavaa käsittelyä, eikä sitä siksi voida tehdä pelkästään laitteistossa. Näitä ovat pakettien deduplikaatio, aikaleimat, SSL/TLS-salauksen purku, avainsanahaku ja säännöllisten lausekkeiden haku. On tärkeää huomata, että sen toiminnallisuus riippuu suorittimen suorittimen suorituskyvystä. (Esimerkiksi saman kaavan säännöllisten lausekkeiden haut voivat tuottaa hyvin erilaisia suorituskykytuloksia liikennetyypistä, vastaavuussuhteesta ja kaistanleveydestä riippuen), joten niiden määrittäminen ennen varsinaista käyttöönottoa ei ole helppoa.
Jos suorittimesta riippuvat ominaisuudet ovat käytössä, niistä tulee NPB:n kokonaissuorituskykyä rajoittava tekijä. Suorittimien ja ohjelmoitavien kytkentäsirujen, kuten Cavium Xpliantin, Barefoot Tofinon ja Innovium Teralynxin, tulo muodosti myös perustan seuraavan sukupolven verkkopakettiagenttien laajennetuille ominaisuuksille. Nämä toiminnalliset yksiköt pystyvät käsittelemään L4-tason yläpuolella olevaa liikennettä (joita usein kutsutaan L7-pakettiagenteiksi). Edellä mainituista edistyneistä ominaisuuksista avainsana- ja säännöllisten lausekkeiden haku ovat hyviä esimerkkejä seuraavan sukupolven ominaisuuksista. Mahdollisuus hakea pakettihyötykuormia tarjoaa mahdollisuuksia suodattaa liikennettä istunto- ja sovellustasolla ja tarjoaa tarkempaa hallintaa kehittyvässä verkossa kuin L2-4.
Miten Network Packet Broker sopii infrastruktuuriin?
NPB voidaan asentaa verkkoinfrastruktuuriin kahdella eri tavalla:
1- Rivissä
2 - Kaistan ulkopuolinen.
Jokaisella lähestymistavalla on etuja ja haittoja, ja ne mahdollistavat liikenteen manipuloinnin tavoilla, joihin muut lähestymistavat eivät pysty. Sisäänrakennetulla verkkopakettien välittäjällä on reaaliaikainen verkkoliikenne, joka kulkee laitteen läpi matkalla määränpäähänsä. Tämä tarjoaa mahdollisuuden manipuloida liikennettä reaaliajassa. Esimerkiksi VLAN-tunnisteita lisättäessä, muokatessa tai poistettaessa tai kohde-IP-osoitteita muutettaessa liikenne kopioidaan toiseen linkkiin. Sisäänrakennettuna menetelmänä NPB voi myös tarjota redundanssia muille sisäisille työkaluille, kuten IDS:lle, IPS:lle tai palomuureille. NPB voi valvoa tällaisten laitteiden tilaa ja reitittää liikenteen dynaamisesti uudelleen valmiustilaan vian sattuessa.
Se tarjoaa suurta joustavuutta liikenteen käsittelyssä ja replikoinnissa useille valvonta- ja tietoturvalaitteille vaikuttamatta reaaliaikaiseen verkkoon. Se tarjoaa myös ennennäkemättömän verkon näkyvyyden ja varmistaa, että kaikki laitteet saavat kopion liikenteestä, jota ne tarvitsevat tehtäviensä asianmukaiseen hoitamiseen. Se ei ainoastaan varmista, että valvonta-, tietoturva- ja analyysityökalusi saavat tarvitsemansa liikenteen, vaan myös että verkkosi on suojattu. Se varmistaa myös, että laite ei kuluta resursseja ei-toivotulle liikenteelle. Ehkä verkkoanalysaattorisi ei tarvitse tallentaa varmuuskopioliikennettä, koska se vie arvokasta levytilaa varmuuskopioinnin aikana. Nämä asiat suodatetaan helposti pois analysaattorista, samalla kun kaikki muu liikenne säilyy työkalulle. Ehkä sinulla on kokonainen aliverkko, jonka haluat pitää piilossa joltain muulta järjestelmältä; jälleen kerran tämä on helppo poistaa valitussa lähtöportissa. Itse asiassa yksi NPB voi käsitellä joitakin liikennelinkkejä inline-tilassa samalla kun se käsittelee muuta kaistan ulkopuolista liikennettä.
Julkaisun aika: 09.03.2022
