A Network Packet Broker (NPB) egy kapcsolószerű hálózati eszköz, amelynek mérete a hordozható eszközöktől az 1U és 2U méretű egységeken át a nagyméretű házakig és alaplapi rendszerekig terjed. A kapcsolóval ellentétben az NPB semmilyen módon nem változtatja meg a rajta átfolyó forgalmat, kivéve, ha erre kifejezett utasítást kap. Az NPB képes forgalmat fogadni egy vagy több interfészen, előre meghatározott funkciókat végrehajtani ezen a forgalmon, majd azt egy vagy több interfészre továbbítani.
Ezeket gyakran bármely-bármelyikhez, sok-bármelyikhez és bármely-többhöz portleképezéseknek nevezik. Az elvégezhető funkciók az egyszerűektől, például a forgalom továbbításától vagy eldobásától, az összetettekig terjednek, például az 5. réteg feletti információk szűrése egy adott munkamenet azonosítása érdekében. Az NPB interfészei lehetnek rézkábeles csatlakozások, de általában SFP/SFP+ és QSFP keretek, amelyek lehetővé teszik a felhasználók számára, hogy különféle média- és sávszélesség-sebességeket használjanak. Az NPB funkciókészlete a hálózati berendezések, különösen a monitorozó, elemző és biztonsági eszközök hatékonyságának maximalizálására épül.
Milyen funkciókat biztosít a hálózati csomagközvetítő?
Az NPB képességei számosak, és az eszköz márkájától és modelljétől függően változhatnak, bár minden hozzáértő csomagkezelőnek rendelkeznie kell bizonyos alapvető képességekkel. A legtöbb NPB (a leggyakoribb NPB) az OSI 2–4. rétegeiben működik.
Általánosságban elmondható, hogy az L2-4 NPB-jén a következő funkciók találhatók: forgalom (vagy annak meghatározott részeinek) átirányítása, forgalomszűrés, forgalomreplikáció, protokollszedés, csomagszeletelés (csonkítás), különféle hálózati alagútprotokollok indítása vagy leállítása, valamint forgalom terheléselosztása. A várakozásoknak megfelelően az L2-4 NPB-je képes szűrni a VLAN-t, MPLS-címkéket, MAC-címeket (forrás és cél), IP-címeket (forrás és cél), TCP- és UDP-portokat (forrás és cél), sőt még a TCP-jelzőket is, valamint az ICMP, SCTP és ARP forgalmat. Ez semmiképpen sem egy használható funkció, hanem inkább egy képet ad arról, hogyan tudják a 2–4. rétegekben működő NPB-k elkülöníteni és azonosítani a forgalom részhalmazait. Az ügyfeleknek egy kulcsfontosságú követelményt kell keresniük az NPB-ben a nem blokkoló hátlap.
A hálózati csomagközvetítőnek képesnek kell lennie az eszköz minden egyes portjának teljes forgalmi átviteli sebességének kielégítésére. A házrendszerben a hátlappal való összeköttetésnek is képesnek kell lennie a csatlakoztatott modulok teljes forgalmi terhelésének kielégítésére. Ha az NPB eldobja a csomagot, ezek az eszközök nem fogják teljes mértékben megérteni a hálózatot.
Bár az NPB-k túlnyomó többsége ASIC-on vagy FPGA-n alapul, a csomagfeldolgozási teljesítmény bizonyossága miatt számos integráció vagy CPU elfogadható (modulokon keresztül). A Mylinking™ hálózati csomagbrókerek (NPB) ASIC megoldáson alapulnak. Ez általában egy olyan funkció, amely rugalmas feldolgozást biztosít, ezért nem valósítható meg tisztán hardveresen. Ilyenek például a csomagdeduplikáció, az időbélyegek, az SSL/TLS visszafejtés, a kulcsszókeresés és a reguláris kifejezések keresése. Fontos megjegyezni, hogy a funkcionalitása a CPU teljesítményétől függ. (Például az azonos mintázatú reguláris kifejezések keresése nagyon eltérő teljesítményeredményeket hozhat a forgalom típusától, az egyezési aránytól és a sávszélességtől függően), ezért a tényleges megvalósítás előtt nem könnyű meghatározni.
Ha a CPU-függő funkciók engedélyezve vannak, azok korlátozó tényezővé válnak az NPB általános teljesítményében. A processzorok és programozható kapcsolóchipek, mint például a Cavium Xpliant, a Barefoot Tofino és az Innovium Teralynx megjelenése a következő generációs hálózati csomagügynökök kibővített képességeinek alapját is képezte. Ezek a funkcionális egységek képesek kezelni az L4 feletti forgalmat (gyakran L7 csomagügynököknek nevezik őket). A fent említett fejlett funkciók közül a kulcsszó- és reguláris kifejezéskeresés jó példái a következő generációs képességeknek. A csomagok hasznos adatainak keresésének képessége lehetőséget ad a forgalom szűrésére munkamenet- és alkalmazásszinten, és finomabb vezérlést biztosít a fejlődő hálózat felett, mint az L2-4.
Hogyan illeszkedik a Network Packet Broker az infrastruktúrába?
Az NPB kétféleképpen telepíthető egy hálózati infrastruktúrába:
1- Beágyazott
2- Sávon kívüli.
Mindegyik megközelítésnek vannak előnyei és hátrányai, és olyan módon teszi lehetővé a forgalom manipulálását, amire más megközelítések nem képesek. Az inline hálózati csomagközvetítő valós idejű hálózati forgalommal rendelkezik, amely áthalad az eszközön a célállomás felé vezető úton. Ez lehetőséget ad a forgalom valós idejű manipulálására. Például VLAN-címkék hozzáadásakor, módosításakor vagy törlésekor, illetve a cél IP-címek módosításakor a forgalom egy második kapcsolatra másolódik. Inline módszerként az NPB redundanciát is biztosíthat más inline eszközök, például IDS, IPS vagy tűzfalak számára. Az NPB figyelheti az ilyen eszközök állapotát, és hiba esetén dinamikusan átirányíthatja a forgalmat a forró készenléti állapotba.
Nagy rugalmasságot biztosít a forgalom feldolgozásában és replikálásában több megfigyelő és biztonsági eszközre anélkül, hogy befolyásolná a valós idejű hálózatot. Emellett példátlan hálózati láthatóságot biztosít, és biztosítja, hogy minden eszköz megkapja a feladatai megfelelő ellátásához szükséges forgalom másolatát. Nemcsak azt biztosítja, hogy a megfigyelő, biztonsági és elemző eszközök megkapják a szükséges forgalmat, hanem azt is, hogy a hálózat biztonságos. Azt is biztosítja, hogy az eszköz ne fogyaszt erőforrásokat a nem kívánt forgalomra. Lehet, hogy a hálózati analizátornak nem kell rögzítenie a biztonsági mentési forgalmat, mert értékes lemezterületet foglal el a biztonsági mentés során. Ezek a dolgok könnyen kiszűrhetők az analizátorból, miközben az összes többi forgalom megmarad az eszköz számára. Lehet, hogy van egy teljes alhálózata, amelyet rejtve szeretne tartani egy másik rendszer elől; ez ismét könnyen eltávolítható a kiválasztott kimeneti porton. Valójában egyetlen NPB képes feldolgozni bizonyos forgalmi linkeket soron belül, miközben más, sávon kívüli forgalmat dolgoz fel.
Közzététel ideje: 2022. márc. 9.
