Mi az a hálózati csomagközvetítő és mi a funkciói az IT infrastruktúrában?

A Network Packet Broker (NPB) egy kapcsolóhoz hasonló hálózati eszköz, amelynek mérete a hordozható eszközöktől az 1U és 2U egységházakon át a nagy méretű dobozokig és kártyarendszerekig terjed. A kapcsolóval ellentétben az NPB semmilyen módon nem változtatja meg a rajta áthaladó forgalmat, hacsak nincs kifejezetten utasítás. Az NPB egy vagy több interfészen fogadhat forgalmat, bizonyos előre meghatározott funkciókat hajthat végre ezen a forgalomon, majd egy vagy több interfészre kiadhatja azt.

Ezeket gyakran nevezik "bármely-bármihez", "sok-bármelyhez" és "bármely-többhöz" portleképezés. A végrehajtható funkciók az egyszerűtől – például a forgalom továbbítása vagy elvetése – az összetettekig terjednek, mint például az 5. réteg feletti információk szűrése egy adott munkamenet azonosítása érdekében. Az NPB interfészei lehetnek rézkábeles csatlakozások, de általában SFP/SFP+ és QSFP keretek, amelyek lehetővé teszik a felhasználók számára, hogy különféle médiát és sávszélességet használjanak. Az NPB szolgáltatáskészlete a hálózati berendezések, különösen a megfigyelési, elemzési és biztonsági eszközök hatékonyságának maximalizálására épül.

2019050603525011

Milyen funkciókat biztosít a Network Packet Broker?

Az NPB képességei számosak, és az eszköz márkájától és modelljétől függően változhatnak, bár minden olyan csomagügynök, aki megéri a sót, szüksége van egy alapvető képességkészletre. A legtöbb NPB (a leggyakoribb NPB) az OSI 2–4. rétegében működik.

Általánosságban az L2-4 NPB-jén a következő funkciók találhatók: forgalom (vagy annak meghatározott részei) átirányítás, forgalomszűrés, forgalom replikáció, protokoll leválasztás, csomagszeletelés (csonkítás), különböző hálózati alagút protokollok indítása vagy leállítása, és terheléselosztás a forgalom számára. Ahogy az várható volt, az L2-4 NPB-je képes kiszűrni a VLAN-t, MPLS-címkéket, MAC-címeket (forrás és cél), IP-címeket (forrás és cél), TCP- és UDP-portokat (forrás és cél), sőt TCP-jelzőket, valamint ICMP-t, SCTP és ARP forgalom. Ez semmiképpen nem használható szolgáltatás, hanem inkább képet ad arról, hogy a 2–4. rétegekben működő NPB hogyan tudja elkülöníteni és azonosítani a forgalmi részhalmazokat. Az egyik kulcsfontosságú követelmény, amelyet az ügyfeleknek az NPB-ben kell keresniük, egy nem blokkoló hátlap.

A hálózati csomagközvetítőnek képesnek kell lennie az eszköz egyes portjainak teljes forgalmi átvitelére. Az alvázrendszerben a hátlappal való összekapcsolásnak is ki kell tudnia elégíteni a csatlakoztatott modulok teljes forgalmi terhelését. Ha az NPB eldobja a csomagot, ezek az eszközök nem ismerik teljes mértékben a hálózatot.

Bár az NPB túlnyomó többsége ASIC-en vagy FPGA-n alapul, a csomagfeldolgozási teljesítmény bizonyossága miatt számos integrációt vagy CPU-t elfogadhatónak talál (modulokon keresztül). A Mylinking™ Network Packet Brokers (NPB) ASIC megoldáson alapul. Ez általában egy olyan funkció, amely rugalmas feldolgozást biztosít, és ezért nem lehet pusztán hardveresen megvalósítani. Ide tartozik a csomagduplikáció, az időbélyegek, az SSL/TLS visszafejtés, a kulcsszavas keresés és a reguláris kifejezések keresése. Fontos megjegyezni, hogy funkcionalitása a CPU teljesítményétől függ. (Például az azonos mintával végzett reguláris kifejezések keresése a forgalom típusától, az egyezési aránytól és a sávszélességtől függően nagyon eltérő teljesítményt eredményezhet), ezért nem könnyű meghatározni a tényleges megvalósítás előtt.

shutterstock_

Ha a CPU-függő funkciók engedélyezve vannak, akkor ezek korlátozó tényezővé válnak az NPB általános teljesítményében. A processzorok és a programozható kapcsolóchipek, mint például a Cavium Xpliant, a Barefoot Tofino és az Innovium Teralynx megjelenése egyben az alapját képezte a következő generációs hálózati csomagügynökök bővített képességeinek. Ezek a funkcionális egységek képesek kezelni az L4 feletti forgalmat (gyakran hivatkoznak rájuk mint L7 csomagügynökök). A fent említett speciális funkciók közül a kulcsszavas és reguláris kifejezések keresése jó példa a következő generációs képességekre. A csomagokban való keresés lehetősége lehetőséget biztosít a forgalom szűrésére a munkamenet és az alkalmazás szintjén, és finomabb vezérlést biztosít a fejlődő hálózat felett, mint az L2-4.

Hogyan illeszkedik a Network Packet Broker az infrastruktúrába?

Az NPB kétféle módon telepíthető a hálózati infrastruktúrába:

1- Soron belüli

2- sávon kívüli.

Mindegyik megközelítésnek megvannak az előnyei és hátrányai, és lehetővé teszik a forgalom olyan módon történő manipulálását, ahogy más megközelítések nem. A beépített hálózati csomagközvetítő valós idejű hálózati forgalommal rendelkezik, amely áthalad az eszközön a cél felé vezető úton. Ez lehetőséget ad a forgalom valós idejű manipulálására. Például VLAN-címkék hozzáadásakor, módosításakor vagy törlésekor, vagy a cél IP-címének módosításakor a forgalom egy második hivatkozásra másolódik. Beépített módszerként az NPB redundanciát is biztosíthat más beépített eszközök, például IDS, IPS vagy tűzfalak számára. Az NPB képes figyelni az ilyen eszközök állapotát, és hiba esetén dinamikusan átirányítja a forgalmat hot standby-be.

Mylinking Inline Security NPB Bypass

Nagy rugalmasságot biztosít a forgalom feldolgozásában és replikálásában több felügyeleti és biztonsági eszközre anélkül, hogy ez befolyásolná a valós idejű hálózatot. Példátlan hálózati láthatóságot is biztosít, és biztosítja, hogy minden eszköz megkapja a feladatai megfelelő ellátásához szükséges forgalom másolatát. Nemcsak azt biztosítja, hogy a megfigyelő, biztonsági és elemző eszközei megkapják a szükséges forgalmat, hanem azt is, hogy hálózata biztonságos legyen. Azt is biztosítja, hogy az eszköz ne használjon erőforrásokat a nem kívánt forgalomhoz. Lehet, hogy a hálózati elemzőnek nem kell biztonsági mentési forgalmat rögzítenie, mert értékes lemezterületet foglal el a biztonsági mentés során. Ezek a dolgok könnyen kiszűrhetők az analizátorból, miközben megőrzik az eszköz összes többi forgalmát. Lehet, hogy van egy teljes alhálózata, amelyet rejtve szeretne tartani más rendszerek elől; ez is könnyen eltávolítható a kiválasztott kimeneti porton. Valójában egyetlen NPB képes feldolgozni néhány forgalmi kapcsolatot, miközben feldolgozza a többi sávon kívüli forgalmat.


Feladás időpontja: 2022-09-09