Tarmoq paketlari brokeri (NPB) - bu ko'chma qurilmalardan 1U va 2U blokli korpuslar va katta korpuslar va plata tizimlarigacha bo'lgan o'lchamdagi kommutatorga o'xshash tarmoq qurilmasi. Kommutatordan farqli o'laroq, NPB aniq ko'rsatma berilmaguncha, u orqali o'tadigan trafikni hech qanday tarzda o'zgartirmaydi. NPB bir yoki bir nechta interfeyslarda trafikni qabul qilishi, ushbu trafikda oldindan belgilangan ba'zi funktsiyalarni bajarishi va keyin uni bir yoki bir nechta interfeyslarga chiqarishi mumkin.
Bular ko'pincha istalganidan istalganiga, ko'pdan istalganiga va istalganidan ko'pga port xaritalashlari deb ataladi. Bajarilishi mumkin bo'lgan funktsiyalar oddiydan, masalan, trafikni yo'naltirish yoki tashlab yuborishdan tortib, ma'lum bir sessiyani aniqlash uchun 5-qavat ustidagi ma'lumotlarni filtrlash kabi murakkabgacha bo'ladi. NPBdagi interfeyslar mis kabel ulanishlari bo'lishi mumkin, lekin odatda SFP/SFP + va QSFP ramkalari bo'lib, ular foydalanuvchilarga turli xil media va o'tkazish qobiliyati tezligidan foydalanish imkonini beradi. NPBning funksiyalar to'plami tarmoq uskunalarining, xususan, monitoring, tahlil va xavfsizlik vositalarining samaradorligini maksimal darajada oshirish tamoyiliga asoslangan.
Tarmoq paketlari brokeri qanday funktsiyalarni taqdim etadi?
NPB imkoniyatlari juda ko'p va qurilmaning markasi va modeliga qarab farq qilishi mumkin, garchi o'z mahoratiga arziydigan har qanday paket agenti asosiy imkoniyatlar to'plamiga ega bo'lishni xohlaydi. Ko'pgina NPB (eng keng tarqalgan NPB) OSI 2 dan 4 gacha bo'lgan qatlamlarda ishlaydi.
Umuman olganda, L2-4 NPB da quyidagi xususiyatlarni topishingiz mumkin: trafik (yoki uning muayyan qismlari) yo'naltirish, trafikni filtrlash, trafikni replikatsiya qilish, protokolni ajratish, paketlarni kesish (qisqartirish), turli tarmoq tunnel protokollarini ishga tushirish yoki tugatish va trafik uchun yuklarni muvozanatlash. Kutilganidek, L2-4 ning NPB VLAN, MPLS yorliqlarini, MAC manzillarini (manba va maqsad), IP manzillarini (manba va maqsad), TCP va UDP portlarini (manba va maqsad) va hatto TCP bayroqlarini, shuningdek, ICMP, SCTP va ARP trafikini filtrlashi mumkin. Bu hech qanday tarzda ishlatilishi kerak bo'lgan xususiyat emas, balki 2 dan 4 gacha bo'lgan qatlamlarda ishlaydigan NPB trafik kichik guruhlarini qanday ajratishi va aniqlashi mumkinligi haqida tasavvur beradi. Mijozlar NPBda izlashlari kerak bo'lgan asosiy talab - bu bloklamaydigan orqa panel.
Tarmoq paketi brokeri qurilmadagi har bir portning to'liq trafik o'tkazuvchanligini ta'minlay olishi kerak. Shassi tizimida orqa panel bilan o'zaro bog'liqlik ulangan modullarning to'liq trafik yukini ham ta'minlay olishi kerak. Agar NPB paketni tashlab yuborsa, bu vositalar tarmoq haqida to'liq tushunchaga ega bo'lmaydi.
NPB ning aksariyati ASIC yoki FPGA ga asoslangan bo'lsa-da, paketlarni qayta ishlash samaradorligining aniqligi tufayli siz ko'plab integratsiyalar yoki protsessorlarni (modullar orqali) maqbul deb topasiz. Mylinking™ Network Packet Brokers (NPB) ASIC yechimiga asoslangan. Bu odatda moslashuvchan qayta ishlashni ta'minlaydigan xususiyatdir va shuning uchun uni faqat apparatda amalga oshirish mumkin emas. Bularga paketlarni takrorlashni olib tashlash, vaqt belgilari, SSL/TLS shifrini ochish, kalit so'zlarni qidirish va muntazam ifodalarni qidirish kiradi. Shuni ta'kidlash kerakki, uning funksionalligi protsessor ishlashiga bog'liq. (Masalan, bir xil naqshdagi muntazam ifodalarni qidirish trafik turiga, moslashtirish tezligiga va o'tkazish qobiliyatiga qarab juda boshqacha ishlash natijalarini berishi mumkin), shuning uchun uni amalda amalga oshirishdan oldin aniqlash oson emas.
Agar protsessorga bog'liq funksiyalar yoqilgan bo'lsa, ular NPB ning umumiy ishlashida cheklovchi omilga aylanadi. Cavium Xpliant, Barefoot Tofino va Innovium Teralynx kabi protsessorlar va dasturlashtiriladigan kommutatsiya chiplarining paydo bo'lishi ham keyingi avlod tarmoq paket agentlari uchun kengaytirilgan imkoniyatlar to'plamining asosini tashkil etdi. Ushbu funktsional birliklar L4 dan yuqori trafikni (ko'pincha L7 paket agentlari deb ataladi) qayta ishlashga qodir. Yuqorida aytib o'tilgan ilg'or funksiyalar orasida kalit so'z va muntazam ifodalarni qidirish keyingi avlod imkoniyatlarining yaxshi namunalari hisoblanadi. Paket yuklamalarini qidirish qobiliyati sessiya va dastur darajalarida trafikni filtrlash imkoniyatlarini beradi va L2-4 ga qaraganda rivojlanayotgan tarmoq ustidan aniqroq nazoratni ta'minlaydi.
Tarmoq paketlari brokeri infratuzilmaga qanday mos keladi?
NPB tarmoq infratuzilmasiga ikki xil usulda o'rnatilishi mumkin:
1- Ichki
2- Guruhdan tashqarida.
Har bir yondashuvning afzalliklari va kamchiliklari bor va boshqa yondashuvlar qila olmaydigan usullar bilan trafikni boshqarish imkonini beradi. Ichki tarmoq paket brokeri qurilmani manziliga yetib borish yo'lida kesib o'tadigan real vaqt rejimidagi tarmoq trafikiga ega. Bu trafikni real vaqt rejimida boshqarish imkoniyatini beradi. Masalan, VLAN teglarini qo'shish, o'zgartirish yoki o'chirish yoki manzil IP-manzillarini o'zgartirishda trafik ikkinchi havolaga ko'chiriladi. Ichki usul sifatida NPB IDS, IPS yoki xavfsizlik devorlari kabi boshqa ichki vositalar uchun ham zaxiralashni ta'minlashi mumkin. NPB bunday qurilmalarning holatini kuzatishi va ishlamay qolgan taqdirda trafikni dinamik ravishda issiq kutish rejimiga yo'naltirishi mumkin.
Bu real vaqt rejimida tarmoqqa ta'sir qilmasdan, trafikni qayta ishlash va bir nechta monitoring va xavfsizlik qurilmalariga ko'paytirishda katta moslashuvchanlikni ta'minlaydi. Shuningdek, u misli ko'rilmagan tarmoq ko'rinishini ta'minlaydi va barcha qurilmalar o'z vazifalarini to'g'ri bajarish uchun zarur bo'lgan trafik nusxasini olishini ta'minlaydi. Bu nafaqat monitoring, xavfsizlik va tahlil vositalaringiz kerakli trafikni olishini, balki tarmog'ingiz xavfsizligini ham ta'minlaydi. Shuningdek, u qurilmaning keraksiz trafikda resurslarni iste'mol qilmasligini ta'minlaydi. Ehtimol, sizning tarmoq analizatoringiz zaxira trafikini yozib olishi shart emas, chunki u zaxiralash paytida qimmatli disk maydonini egallaydi. Bu narsalar analizatordan osongina filtrlanadi va vosita uchun boshqa barcha trafikni saqlab qoladi. Ehtimol, sizda boshqa tizimdan yashirmoqchi bo'lgan butun bir kichik tarmoq mavjud; yana, bu tanlangan chiqish portida osongina olib tashlanadi. Aslida, bitta NPB boshqa tarmoqdan tashqari trafikni qayta ishlash bilan birga ba'zi trafik havolalarini inline ishlashi mumkin.
Nashr vaqti: 2022-yil 9-mart
