Network Packet Broker (NPB) is 'n skakelaar soos netwerktoestel wat wissel van draagbare toestelle tot 1U- en 2U -eenheidsgevalle tot groot gevalle en bordstelsels. Anders as 'n skakelaar, verander die NPB nie die verkeer wat daardeur vloei nie, tensy dit eksplisiet opdrag gegee word. NPB kan verkeer op een of meer koppelvlakke ontvang, 'n paar vooraf gedefinieerde funksies op daardie verkeer verrig en dit dan na een of meer koppelvlakke uitvoer.
Daar word dikwels na enige-tot-enige, baie-tot-enige en enige-tot-baie-hawe-kartering verwys. Die funksies wat uitgevoer kan word, wissel van eenvoudig, soos die aanstuur of weggooi van verkeer, tot komplekse, soos om inligting bo laag 5 te filter om 'n spesifieke sessie te identifiseer. Interfaces op NPB kan koperkabelverbindings wees, maar is gewoonlik SFP/SFP + en QSFP -rame, wat gebruikers in staat stel om 'n verskeidenheid media- en bandwydte -snelhede te gebruik. NPB se funksie -stel is gebou op die beginsel om die doeltreffendheid van netwerktoerusting te maksimeer, veral monitering, analise en sekuriteitsinstrumente.
Watter funksies bied die netwerkpakketmakelaar?
Die vermoëns van NPB is talle en kan afhang van die handelsmerk en model van die toestel, hoewel enige pakketagent wat sy sout werd is, 'n kernstel wil hê. Die meeste NPB (die algemeenste NPB) funksies by OSI -lae 2 tot 4.
Oor die algemeen kan u die volgende funksies op die NPB van L2-4 vind: Verkeer (of spesifieke dele daarvan) herleiding, verkeersfiltrering, verkeersreplikasie, protokolstrooiing, pakketsny (afgekap), begin of beëindig van verskillende netwerktunnelprotokolle en lasbalans vir verkeer. Soos verwag, kan L2-4 se NPB VLAN, MPLS-etikette, MAC-adresse (bron en teiken), IP-adresse (bron en teiken), TCP- en UDP-poorte (bron en teiken), en selfs TCP-vlae, sowel as ICMP, SCTP en ARP-verkeer, filter. Dit is geensins 'n funksie wat gebruik moet word nie, maar bied eerder 'n idee van hoe NPB wat by lae 2 tot 4 werk, die verkeersonderdele kan skei en identifiseer. 'N Belangrike vereiste waarna kliënte in NPB moet soek, is 'n nie-blokkerende agterplan.
Netwerkpakketmakelaar moet in staat wees om aan die volle verkeerssyfer van elke poort op die toestel te voldoen. In die onderstelstelsel moet die onderlinge verbinding met die agterplan ook aan die volle verkeerslading van die gekoppelde modules kan voldoen. As die NPB die pakkie laat val, sal hierdie instrumente nie 'n volledige begrip van die netwerk hê nie.
Alhoewel die oorgrote meerderheid van die NPB gebaseer is op ASIC of FPGA, sal u baie integrasies of CPU's aanvaarbaar vind (via modules). Die MyLinking ™ netwerkpakketmakelaars (NPB) is gebaseer op ASIC -oplossing. Dit is gewoonlik 'n funksie wat buigsame verwerking bied en dus nie net in hardeware gedoen kan word nie. Dit sluit in pakkie -deduplikasie, tydstempels, SSL/TLS -dekripsie, sleutelwoordsoek en gereelde uitdrukkingssoek. Dit is belangrik om daarop te let dat die funksionaliteit daarvan afhang van die CPU -prestasie. (Byvoorbeeld, gereelde uitdrukkingssoektogte van dieselfde patroon kan baie verskillende prestasieresultate lewer, afhangende van die verkeerstipe, die ooreenstemmingstempo en bandwydte), dus is dit nie maklik om te bepaal voordat die werklike implementering nie.
As CPU-afhanklike kenmerke geaktiveer is, word dit 'n beperkende faktor in die algehele prestasie van die NPB. Die koms van CPU's en programmeerbare skakelaarskyfies, soos Cavium Xpliant, Barefoot Tofino en Innovium Teralynx, vorm ook die basis van 'n uitgebreide stel vermoëns vir die volgende generasie netwerkpakketagente, en hierdie funksionele eenhede kan die verkeer bo L4 hanteer (dikwels verwys na L7-pakketagente). Onder die gevorderde funksies hierbo genoem, is sleutelwoord en gereelde uitdrukkingssoek goeie voorbeelde van die volgende generasie vermoëns. Die vermoë om pakkieslading te soek, bied geleenthede om verkeer op die sessie- en toepassingsvlak te filter, en bied fyner beheer oor 'n ontwikkelende netwerk as die L2-4.
Hoe pas netwerkpakketmakelaar in die infrastruktuur?
Die NPB kan op twee verskillende maniere in 'n netwerkinfrastruktuur geïnstalleer word:
1- Inline
2- buite-band.
Elke benadering het voordele en nadele en maak verkeersmanipulasie moontlik op maniere waarop ander benaderings nie kan nie. Die Inline Network Packet-makelaar het intydse netwerkverkeer wat die toestel deurkruis op pad na sy bestemming. Dit bied die geleentheid om die verkeer in reële tyd te manipuleer. Byvoorbeeld, wanneer die VLAN -etikette byvoeg, verander of uitvee of die IP -adresse van bestemming verander, word die verkeer na 'n tweede skakel gekopieër. As 'n inline -metode, kan NPB ook oortolligheid bied vir ander inline -instrumente, soos ID's, IP's of firewalls. NPB kan die status van sulke toestelle monitor en die verkeer dinamies weer na warm bystand herlei in die geval van 'n mislukking.
Dit bied 'n groot buigsaamheid in hoe verkeer verwerk en herhaal word na veelvuldige monitering- en sekuriteitstoestelle sonder om die intydse netwerk te beïnvloed. Dit bied ook ongekende netwerk sigbaarheid en verseker dat alle toestelle 'n afskrif van die verkeer ontvang wat nodig is om hul verantwoordelikhede behoorlik te hanteer. Dit verseker nie net dat u monitering-, sekuriteits- en ontledingsinstrumente die verkeer kry wat hulle benodig nie, maar ook dat u netwerk veilig is. Dit verseker ook dat die toestel nie hulpbronne op ongewenste verkeer verbruik nie. Miskien hoef u netwerkanaliseerder nie rugsteunverkeer op te neem nie, want dit verg waardevolle skyfruimte tydens die rugsteun. Hierdie dinge kan maklik uit die ontleder gefiltreer word, terwyl al die ander verkeer vir die werktuig behou word. Miskien het u 'n hele subnet wat u vir 'n ander stelsel wil verberg; Dit word weer maklik op die geselekteerde uitvoerpoort verwyder. In werklikheid kan 'n enkele NPB 'n paar verkeersskakels inlyn verwerk terwyl ander buite-bandverkeer verwerk word.
Postyd: Mar-09-2022
