'n Netwerkpakketmakelaar (NPB) is 'n skakelaaragtige netwerktoestel wat in grootte wissel van draagbare toestelle tot 1U- en 2U-eenheidskaste tot groot kaste en bordstelsels. Anders as 'n skakelaar, verander die NPB nie die verkeer wat daardeur vloei op enige manier nie, tensy dit eksplisiet opdrag gegee word. 'n NPB kan verkeer op een of meer koppelvlakke ontvang, voorafbepaalde funksies op daardie verkeer uitvoer en dit dan na een of meer koppelvlakke uitvoer.
Hierdie word dikwels na verwys as enige-tot-enige, baie-tot-enige, en enige-tot-baie poortkarterings. Die funksies wat uitgevoer kan word, wissel van eenvoudig, soos die aanstuur of weggooi van verkeer, tot kompleks, soos die filter van inligting bo laag 5 om 'n spesifieke sessie te identifiseer. Koppelvlakke op NPB kan koperkabelverbindings wees, maar is gewoonlik SFP/SFP+ en QSFP-rame, wat gebruikers toelaat om 'n verskeidenheid media- en bandwydtespoed te gebruik. NPB se funksiestel is gebou op die beginsel van die maksimalisering van die doeltreffendheid van netwerktoerusting, veral monitering-, analise- en sekuriteitsinstrumente.
Watter funksies bied die Netwerkpakketmakelaar?
NPB se vermoëns is talryk en kan wissel na gelang van die handelsmerk en model van die toestel, alhoewel enige pakketagent wat sy sout werd is, 'n kernstel vermoëns sal wil hê. Die meeste NPB (die mees algemene NPB) funksioneer op OSI-lae 2 tot 4.
Oor die algemeen kan jy die volgende kenmerke op die NPB van L2-4 vind: verkeer (of spesifieke dele daarvan) herleiding, verkeersfiltrering, verkeersreplikasie, protokolstroop, pakkie-afkorting (afkorting), begin of beëindiging van verskeie netwerktonnelprotokolle, en lasbalansering vir verkeer. Soos verwag, kan L2-4 se NPB VLAN, MPLS-etikette, MAC-adresse (bron en teiken), IP-adresse (bron en teiken), TCP- en UDP-poorte (bron en teiken), en selfs TCP-vlae, sowel as ICMP-, SCTP- en ARP-verkeer filter. Dit is geensins 'n kenmerk wat gebruik moet word nie, maar gee eerder 'n idee van hoe NPB wat op lae 2 tot 4 werk, verkeerssubgroepe kan skei en identifiseer. 'n Sleutelvereiste waarna kliënte in NPB moet soek, is 'n nie-blokkerende agtervlak.
Netwerkpakketmakelaars moet die volle verkeersdeurset van elke poort op die toestel kan hanteer. In die onderstelstelsel moet die interkonneksie met die agtervlak ook die volle verkeerslading van die gekoppelde modules kan hanteer. As die NPB die pakket laat val, sal hierdie gereedskap nie 'n volledige begrip van die netwerk hê nie.
Alhoewel die oorgrote meerderheid van NPB gebaseer is op ASIC of FPGA, sal jy, as gevolg van die sekerheid van pakkieverwerkingsprestasie, baie integrasies of SVE's aanvaarbaar vind (via modules). Die Mylinking™ Network Packet Brokers (NPB) is gebaseer op 'n ASIC-oplossing. Dit is gewoonlik 'n kenmerk wat buigsame verwerking bied en kan dus nie suiwer in hardeware gedoen word nie. Dit sluit in pakkie-deduplikasie, tydstempels, SSL/TLS-dekripsie, sleutelwoordsoektog en gereelde uitdrukkingsoektog. Dit is belangrik om daarop te let dat die funksionaliteit daarvan afhang van SVE-prestasie. (Byvoorbeeld, gereelde uitdrukkingsoektogte van dieselfde patroon kan baie verskillende prestasieresultate lewer, afhangende van die verkeertipe, ooreenstemmingstempo en bandwydte), dus is dit nie maklik om te bepaal voor werklike implementering nie.
Indien SVE-afhanklike funksies geaktiveer word, word hulle 'n beperkende faktor in die algehele werkverrigting van die NPB. Die koms van SVE's en programmeerbare skakelskyfies, soos Cavium Xpliant, Barefoot Tofino en Innovium Teralynx, het ook die basis gevorm van 'n uitgebreide stel vermoëns vir volgende-generasie netwerkpakketagente. Hierdie funksionele eenhede kan verkeer bo L4 hanteer (dikwels na verwys as L7-pakketagente). Onder die gevorderde funksies wat hierbo genoem word, is sleutelwoord- en gereelde uitdrukkingsoektog goeie voorbeelde van volgende-generasie vermoëns. Die vermoë om pakketvragte te deursoek, bied geleenthede om verkeer op sessie- en toepassingsvlakke te filter, en bied fyner beheer oor 'n ontwikkelende netwerk as die L2-4.
Hoe pas Network Packet Broker in die infrastruktuur in?
Die NPB kan op twee verskillende maniere in 'n netwerkinfrastruktuur geïnstalleer word:
1- Inlyn
2- Buite die band.
Elke benadering het voor- en nadele en maak verkeersmanipulasie moontlik op maniere wat ander benaderings nie kan nie. Die inlyn-netwerkpakketmakelaar het intydse netwerkverkeer wat die toestel deurkruis op pad na sy bestemming. Dit bied die geleentheid om verkeer intyds te manipuleer. Byvoorbeeld, wanneer VLAN-etikette bygevoeg, gewysig of verwyder word of bestemmings-IP-adresse verander word, word verkeer na 'n tweede skakel gekopieer. As 'n inlyn-metode kan NPB ook redundansie bied vir ander inlyn-gereedskap, soos IDS, IPS of firewalls. NPB kan die status van sulke toestelle monitor en verkeer dinamies na warm bystand herlei in die geval van 'n mislukking.
Dit bied groot buigsaamheid in hoe verkeer verwerk en gerepliseer word na verskeie moniterings- en sekuriteitstoestelle sonder om die intydse netwerk te beïnvloed. Dit bied ook ongekende netwerksigbaarheid en verseker dat alle toestelle 'n kopie van die verkeer ontvang wat nodig is om hul verantwoordelikhede behoorlik te hanteer. Dit verseker nie net dat jou moniterings-, sekuriteits- en analise-instrumente die verkeer kry wat hulle benodig nie, maar ook dat jou netwerk veilig is. Dit verseker ook dat die toestel nie hulpbronne op ongewenste verkeer verbruik nie. Miskien hoef jou netwerkontleder nie rugsteunverkeer op te neem nie, want dit neem waardevolle skyfspasie tydens die rugsteun op. Hierdie dinge word maklik uit die ontleder gefiltreer terwyl al die ander verkeer vir die instrument behoue bly. Miskien het jy 'n hele subnet wat jy vir 'n ander stelsel weggesteek wil hou; weereens, dit word maklik op die gekose uitvoerpoort verwyder. Trouens, 'n enkele NPB kan sommige verkeerskakels inlyn verwerk terwyl ander buite-bandverkeer verwerk word.
Plasingstyd: 9 Maart 2022
