Ang Network Packet Broker (NPB) ay isang aparatong pang-network na parang switch na may iba't ibang laki mula sa mga portable device hanggang sa mga 1U at 2U unit case hanggang sa malalaking case at board system. Hindi tulad ng switch, hindi binabago ng NPB ang trapikong dumadaloy dito sa anumang paraan maliban kung may hayagang tagubilin. Maaaring tumanggap ang NPB ng trapiko sa isa o higit pang mga interface, magsagawa ng ilang paunang natukoy na mga function sa trapikong iyon, at pagkatapos ay i-output ito sa isa o higit pang mga interface.
Ang mga ito ay madalas na tinutukoy bilang any-to-any, many-to-any, at any-to-many port mappings. Ang mga tungkuling maaaring isagawa ay mula sa simple, tulad ng pagpapasa o pagtatapon ng trapiko, hanggang sa kumplikado, tulad ng pagsala ng impormasyon sa itaas ng layer 5 upang matukoy ang isang partikular na sesyon. Ang mga interface sa NPB ay maaaring mga koneksyon ng copper cable, ngunit kadalasan ay mga SFP/SFP + at QSFP frame, na nagbibigay-daan sa mga user na gumamit ng iba't ibang media at bilis ng bandwidth. Ang feature set ng NPB ay binuo sa prinsipyo ng pag-maximize ng kahusayan ng mga kagamitan sa network, lalo na ang pagsubaybay, pagsusuri, at mga tool sa seguridad.
Anu-anong mga tungkulin ang ibinibigay ng Network Packet Broker?
Marami ang kakayahan ng NPB at maaaring mag-iba depende sa tatak at modelo ng device, bagama't ang sinumang package agent na sulit sa kanyang serbisyo ay gugustuhing magkaroon ng isang pangunahing hanay ng mga kakayahan. Karamihan sa NPB (ang pinakakaraniwang NPB) ay gumagana sa mga OSI layer 2 hanggang 4.
Sa pangkalahatan, makikita mo ang mga sumusunod na tampok sa NPB ng L2-4: pag-redirect ng trapiko (o mga partikular na bahagi nito), pagsala ng trapiko, pagkopya ng trapiko, pagtanggal ng protocol, paghiwa-hiwalay ng packet (truncation), pagsisimula o pagtatapos ng iba't ibang protocol ng network tunnel, at pagbabalanse ng load para sa trapiko. Gaya ng inaasahan, maaaring i-filter ng NPB ng L2-4 ang VLAN, mga label ng MPLS, mga MAC address (pinagmulan at target), mga IP address (pinagmulan at target), mga TCP at UDP port (pinagmulan at target), at maging ang mga TCP flag, pati na rin ang trapiko ng ICMP, SCTP, at ARP. Hindi ito isang tampok na gagamitin, ngunit sa halip ay nagbibigay ng ideya kung paano maaaring paghiwalayin at tukuyin ng NPB na tumatakbo sa mga layer 2 hanggang 4 ang mga subset ng trapiko. Ang isang pangunahing kinakailangan na dapat hanapin ng mga customer sa NPB ay isang non-blocking backplane.
Kailangang matugunan ng network packet Broker ang buong throughput ng trapiko ng bawat port sa device. Sa chassis system, dapat ding matugunan ng interconnection sa backplane ang buong traffic load ng mga konektadong module. Kung ihihinto ng NPB ang packet, hindi magkakaroon ng kumpletong pag-unawa ang mga tool na ito sa network.
Bagama't ang karamihan sa NPB ay nakabatay sa ASIC o FPGA, dahil sa katiyakan ng pagganap ng packet processing, makikita mong maraming integrasyon o CPU ang katanggap-tanggap (sa pamamagitan ng mga module). Ang Mylinking™ Network Packet Brokers (NPB) ay nakabatay sa solusyon ng ASIC. Ito ay karaniwang isang tampok na nagbibigay ng flexible na pagproseso at samakatuwid ay hindi maaaring gawin nang puro sa hardware. Kabilang dito ang packet deduplication, mga timestamp, SSL/TLS decryption, paghahanap ng keyword, at paghahanap ng regular expression. Mahalagang tandaan na ang functionality nito ay nakadepende sa pagganap ng CPU. (Halimbawa, ang mga paghahanap ng regular expression na may parehong pattern ay maaaring magbunga ng ibang-iba na resulta ng pagganap depende sa uri ng trapiko, matching rate, at bandwidth), kaya hindi madaling matukoy bago ang aktwal na implementasyon.
Kung pinagana ang mga tampok na nakadepende sa CPU, nagiging isang salik na naglilimita sa pangkalahatang pagganap ng NPB ang mga ito. Ang pagdating ng mga CPU at programmable switching chips, tulad ng Cavium Xpliant, Barefoot Tofino at Innovium Teralynx, ay bumuo rin ng batayan ng isang pinalawak na hanay ng mga kakayahan para sa mga susunod na henerasyon ng mga network packet agent. Ang mga functional unit na ito ay maaaring humawak ng trapiko sa itaas ng L4 (madalas na tinutukoy bilang mga L7 packet agent). Kabilang sa mga advanced na tampok na nabanggit sa itaas, ang paghahanap ng keyword at regular expression ay magagandang halimbawa ng mga kakayahan sa susunod na henerasyon. Ang kakayahang maghanap ng mga packet payload ay nagbibigay ng mga pagkakataon upang i-filter ang trapiko sa mga antas ng session at application, at nagbibigay ng mas mahusay na kontrol sa isang umuusbong na network kaysa sa L2-4.
Paano umaangkop ang Network Packet Broker sa imprastraktura?
Ang NPB ay maaaring mai-install sa isang imprastraktura ng network sa dalawang magkaibang paraan:
1- Inline
2- Labas-sa-banda.
Ang bawat pamamaraan ay may mga kalamangan at kahinaan at nagbibigay-daan sa manipulasyon ng trapiko sa mga paraang hindi magagawa ng ibang mga pamamaraan. Ang inline network packet broker ay may real-time na trapiko sa network na tumatawid sa device patungo sa destinasyon nito. Nagbibigay ito ng pagkakataong manipulahin ang trapiko sa real time. Halimbawa, kapag nagdaragdag, nagbabago, o nagtatanggal ng mga VLAN tag o nagpapalit ng mga destination IP address, ang trapiko ay kinokopya sa isang pangalawang link. Bilang isang inline na pamamaraan, ang NPB ay maaari ring magbigay ng redundancy para sa iba pang mga inline na tool, tulad ng IDS, IPS, o mga firewall. Maaaring subaybayan ng NPB ang katayuan ng mga naturang device at dynamic na i-redirect ang trapiko sa hot standby kung sakaling magkaroon ng pagkabigo.
Nagbibigay ito ng mahusay na kakayahang umangkop sa kung paano pinoproseso at kinokopya ang trapiko sa maraming device sa pagsubaybay at seguridad nang hindi naaapektuhan ang real-time na network. Nagbibigay din ito ng walang kapantay na visibility ng network at tinitiyak na ang lahat ng device ay makakatanggap ng kopya ng trapiko na kailangan upang maayos na mapangasiwaan ang kanilang mga responsibilidad. Hindi lamang nito tinitiyak na ang iyong mga tool sa pagsubaybay, seguridad, at pagsusuri ay nakakakuha ng trapikong kailangan nila, kundi pati na rin na ang iyong network ay ligtas. Tinitiyak din nito na ang device ay hindi kumokonsumo ng mga mapagkukunan sa mga hindi gustong trapiko. Marahil ay hindi kailangang i-record ng iyong network analyzer ang backup na trapiko dahil kumukuha ito ng mahalagang espasyo sa disk habang nagba-backup. Ang mga bagay na ito ay madaling sinasala palabas ng analyzer habang pinapanatili ang lahat ng iba pang trapiko para sa tool. Marahil ay mayroon kang isang buong subnet na gusto mong itago mula sa ibang sistema; muli, madali itong maalis sa napiling output port. Sa katunayan, ang isang NPB ay maaaring magproseso ng ilang mga link ng trapiko nang inline habang pinoproseso ang iba pang out-of-band na trapiko.
Oras ng pag-post: Mar-09-2022
