Network Packet Broker (NPB) on kytkimen kaltainen verkkolaite, jonka koko vaihtelee kannettavista laitteista 1U ja 2U yksikkökoteloihin suuriin koteloihin ja korttijärjestelmiin. Toisin kuin kytkin, NPB ei muuta sen läpi virtaavaa liikennettä millään tavalla, ellei sitä nimenomaisesti kehoteta. NPB voi vastaanottaa liikennettä yhdellä tai useammalla rajapinnalla, suorittaa joitain ennalta määritettyjä toimintoja kyseiselle liikenteelle ja lähettää sen sitten yhdelle tai useammalle rajapinnalle.
Näitä kutsutaan usein porttivastauksiksi mistä tahansa, monista mihin tahansa ja mistä tahansa moneen. Suoritettavat toiminnot vaihtelevat yksinkertaisista, kuten liikenteen välittäminen tai hylkääminen, monimutkaisiin, kuten kerroksen 5 yläpuolella olevien tietojen suodattaminen tietyn istunnon tunnistamiseksi. NPB:n liitännät voivat olla kuparikaapeliliitäntöjä, mutta ne ovat yleensä SFP/SFP+- ja QSFP-kehyksiä, joiden avulla käyttäjät voivat käyttää erilaisia media- ja kaistanleveysnopeuksia. NPB:n ominaisuussarja on rakennettu verkkolaitteiden, erityisesti valvonta-, analyysi- ja suojaustyökalujen, tehokkuuden maksimoimisen periaatteelle.
Mitä toimintoja Network Packet Broker tarjoaa?
NPB:n ominaisuudet ovat lukuisia, ja ne voivat vaihdella laitteen merkistä ja mallista riippuen, vaikka jokainen suolansa arvoinen pakkausagentti haluaakin saada ydinominaisuuksia. Useimmat NPB:t (yleisin NPB) toimivat OSI-kerroksilla 2–4.
Yleensä L2-4:n NPB:stä löytyy seuraavat ominaisuudet: liikenteen (tai sen tiettyjen osien) uudelleenohjaus, liikenteen suodatus, liikenteen replikointi, protokollien poistaminen, pakettien viipalointi (typistäminen), erilaisten verkkotunneliprotokollien käynnistäminen tai lopettaminen, ja liikenteen kuormituksen tasaus. Kuten odotettiin, L2-4:n NPB voi suodattaa VLAN-, MPLS-tunnisteita, MAC-osoitteita (lähde ja kohde), IP-osoitteita (lähde ja kohde), TCP- ja UDP-portteja (lähde ja kohde) ja jopa TCP-liput sekä ICMP, SCTP- ja ARP-liikenne. Tämä ei suinkaan ole käytettävä ominaisuus, vaan antaa pikemminkin käsityksen siitä, kuinka kerroksilla 2–4 toimiva NPB voi erottaa ja tunnistaa liikenteen osajoukkoja. Keskeinen vaatimus, jota asiakkaiden tulee etsiä NPB:stä, on estävä taustalevy.
Verkkopakettien välittäjän on kyettävä täyttämään laitteen kunkin portin täysi liikenteen suorituskyky. Alustajärjestelmässä yhteenliittämisen taustalevyn kanssa on myös kyettävä vastaamaan kytkettyjen moduulien täysi liikennekuorma. Jos NPB pudottaa paketin, näillä työkaluilla ei ole täydellistä ymmärrystä verkosta.
Vaikka suurin osa NPB:stä perustuu ASIC- tai FPGA-järjestelmään, pakettien käsittelyn suorituskyvyn varmuuden vuoksi monet integraatiot tai suorittimet ovat hyväksyttäviä (moduulien kautta). Mylinking™ Network Packet Brokers (NPB) perustuu ASIC-ratkaisuun. Tämä on yleensä ominaisuus, joka tarjoaa joustavan käsittelyn, eikä sitä siksi voida tehdä pelkästään laitteistossa. Näitä ovat pakettien kopioinnin poisto, aikaleimat, SSL/TLS-salauksen purku, avainsanahaku ja säännöllisten lausekkeiden haku. On tärkeää huomata, että sen toiminnallisuus riippuu suorittimen suorituskyvystä. (Esimerkiksi saman mallin säännöllisten lausekkeiden haut voivat tuottaa hyvin erilaisia suorituskykytuloksia liikenteen tyypistä, vastaavuusnopeudesta ja kaistanleveydestä riippuen), joten sitä ei ole helppo määrittää ennen varsinaista käyttöönottoa.
Jos suorittimesta riippuvat ominaisuudet ovat käytössä, niistä tulee NPB:n yleistä suorituskykyä rajoittava tekijä. Prosessorien ja ohjelmoitavien kytkentäsirujen, kuten Cavium Xpliant, Barefoot Tofino ja Innovium Teralynx, tulo loi pohjan myös seuraavan sukupolven verkkopakettiagenttien laajennetuille ominaisuuksille. Nämä toiminnalliset yksiköt pystyvät käsittelemään L4:n ylittävää liikennettä (usein viitataan L7-pakettiagentteina). Yllä mainituista lisäominaisuuksista avainsana- ja säännöllisten lausekkeiden haku ovat hyviä esimerkkejä seuraavan sukupolven ominaisuuksista. Mahdollisuus etsiä pakettien hyötykuormia tarjoaa mahdollisuuden suodattaa liikennettä istunto- ja sovellustasoilla ja tarjoaa tarkemman hallinnan kehittyvässä verkossa kuin L2-4.
Miten Network Packet Broker sopii infrastruktuuriin?
NPB voidaan asentaa verkkoinfrastruktuuriin kahdella eri tavalla:
1- Inline
2- kaistan ulkopuolinen.
Jokaisella lähestymistavalla on etuja ja haittoja, ja ne mahdollistavat liikenteen manipuloinnin tavoilla, joita muut lähestymistavat eivät pysty. Inline-verkkopakettien välittäjällä on reaaliaikainen verkkoliikenne, joka kulkee laitteen matkalla määränpäähänsä. Tämä tarjoaa mahdollisuuden manipuloida liikennettä reaaliajassa. Esimerkiksi kun lisäät, muokkaat tai poistat VLAN-tageja tai vaihdat kohde-IP-osoitteita, liikenne kopioidaan toiseen linkkiin. Sisäisenä menetelmänä NPB voi tarjota redundanssia myös muille sisäänrakennetuille työkaluille, kuten IDS, IPS tai palomuurit. NPB voi valvoa tällaisten laitteiden tilaa ja reitittää liikenteen dynaamisesti kuumavalmiustilaan vian sattuessa.
Se tarjoaa suuren joustavuuden siinä, miten liikennettä käsitellään ja replikoidaan useisiin valvonta- ja suojauslaitteisiin vaikuttamatta reaaliaikaiseen verkkoon. Se tarjoaa myös ennennäkemättömän verkon näkyvyyden ja varmistaa, että kaikki laitteet saavat kopion liikenteestä, jota tarvitaan niiden tehtävien asianmukaiseen hoitamiseen. Se ei ainoastaan takaa, että valvonta-, suojaus- ja analysointityökalusi saavat tarvitsemansa liikenteen, vaan myös sen, että verkkosi on suojattu. Se myös varmistaa, että laite ei kuluta resursseja ei-toivottuun liikenteeseen. Ehkä verkkoanalysaattorisi ei tarvitse tallentaa varmuuskopioliikennettä, koska se vie arvokasta levytilaa varmuuskopioinnin aikana. Nämä asiat suodatetaan helposti pois analysaattorista säilyttäen samalla kaiken muun työkalun liikenteen. Ehkä sinulla on kokonainen aliverkko, jonka haluat pitää piilossa joltakin toiselta järjestelmältä; tämä on jälleen helppo poistaa valitusta lähtöportista. Itse asiassa yksi NPB voi käsitellä joitain liikennelinkkejä inline-tilassa samalla kun käsittelee muuta kaistan ulkopuolista liikennettä.
Postitusaika: 09.03.2022