Ano ang Network Packet Broker at Function sa IT Infrastructure?

Ang Network Packet Broker (NPB) ay isang switch tulad ng networking device na may sukat mula sa mga portable na device hanggang 1U at 2U unit case hanggang sa malalaking case at board system. Hindi tulad ng switch, hindi binabago ng NPB ang trapikong dumadaloy dito sa anumang paraan maliban kung tahasang itinuro. Maaaring makatanggap ang NPB ng trapiko sa isa o higit pang mga interface, magsagawa ng ilang paunang natukoy na mga function sa trapikong iyon, at pagkatapos ay i-output ito sa isa o higit pang mga interface.

Ang mga ito ay madalas na tinutukoy bilang any-to-any, many-to-any, at any-to-many port mappings. Ang mga function na maaaring isagawa ay mula sa simple, tulad ng pagpapasa o pagtatapon ng trapiko, hanggang sa kumplikado, tulad ng pag-filter ng impormasyon sa itaas ng layer 5 upang matukoy ang isang partikular na session. Ang mga interface sa NPB ay maaaring mga tansong cable na koneksyon, ngunit kadalasan ay mga SFP/SFP + at QSFP frame, na nagpapahintulot sa mga user na gumamit ng iba't ibang bilis ng media at bandwidth. Ang hanay ng tampok ng NPB ay binuo sa prinsipyo ng pag-maximize ng kahusayan ng mga kagamitan sa network, partikular na sa pagsubaybay, pagsusuri, at mga tool sa seguridad.

2019050603525011

Anong mga function ang ibinibigay ng Network Packet Broker?

Ang mga kakayahan ng NPB ay marami at maaaring mag-iba depende sa tatak at modelo ng device, bagama't sinumang ahente ng pakete na nagkakahalaga ng kanyang asin ay nais na magkaroon ng isang pangunahing hanay ng mga kakayahan. Karamihan sa NPB (ang pinakakaraniwang NPB) ay gumagana sa OSI layer 2 hanggang 4.

Sa pangkalahatan, mahahanap mo ang mga sumusunod na feature sa NPB ng L2-4: traffic (o mga partikular na bahagi nito) redirection, traffic filtering, traffic replication, protocol stripping, packet slicing (truncation), pagsisimula o pagwawakas ng iba't ibang network tunnel protocols, at load balancing para sa trapiko. Tulad ng inaasahan, ang NPB ng L2-4 ay maaaring mag-filter ng VLAN, MPLS label, MAC address (pinagmulan at target), IP address (pinagmulan at target), TCP at UDP port (pinagmulan at target), at maging ang mga flag ng TCP, pati na rin ang ICMP, SCTP, at trapiko ng ARP. Ito ay hindi nangangahulugang isang tampok na gagamitin, ngunit sa halip ay nagbibigay ng ideya kung paano gumagana ang NPB sa mga layer 2 hanggang 4 ay maaaring maghiwalay at matukoy ang mga subset ng trapiko. Ang isang pangunahing kinakailangan na dapat hanapin ng mga customer sa NPB ay isang hindi nakaharang na backplane.

Kailangang matugunan ng Network packet Broker ang buong traffic throughput ng bawat port sa device. Sa sistema ng chassis, dapat ding matugunan ng interconnection sa backplane ang buong traffic load ng mga konektadong module. Kung ibinaba ng NPB ang packet, ang mga tool na ito ay hindi magkakaroon ng kumpletong pag-unawa sa network.

Bagama't ang karamihan sa NPB ay nakabatay sa ASIC o FPGA, dahil sa katiyakan ng pagganap ng pagpoproseso ng packet, makakakita ka ng maraming integrasyon o mga CPU na katanggap-tanggap (sa pamamagitan ng mga module). Ang Mylinking™ Network Packet Brokers(NPB) ay batay sa ASIC solution. Ito ay karaniwang isang tampok na nagbibigay ng kakayahang umangkop sa pagproseso at samakatuwid ay hindi maaaring gawin nang puro sa hardware. Kabilang dito ang packet deduplication, timestamp, SSL/TLS decryption, paghahanap ng keyword, at regular na paghahanap ng expression. Mahalagang tandaan na ang pag-andar nito ay nakasalalay sa pagganap ng CPU. (Halimbawa, ang mga regular na expression na paghahanap ng parehong pattern ay maaaring magbunga ng ibang-iba ng mga resulta ng pagganap depende sa uri ng trapiko, rate ng pagtutugma, at bandwidth), kaya hindi madaling matukoy bago ang aktwal na pagpapatupad.

shutterstock_

Kung pinagana ang mga feature na umaasa sa CPU, nagiging limiting factor ang mga ito sa pangkalahatang performance ng NPB. Ang pagdating ng cpus at mga programmable switching chips, tulad ng Cavium Xpliant, Barefoot Tofino at Innovium Teralynx, ay naging batayan din ng pinalawak na hanay ng mga kakayahan para sa mga susunod na henerasyong network packet agent, Ang mga functional unit na ito ay maaaring humawak ng trapiko sa itaas ng L4 (madalas na tinutukoy sa bilang mga ahente ng packet ng L7). Kabilang sa mga advanced na feature na binanggit sa itaas, ang paghahanap sa keyword at regular na expression ay magandang halimbawa ng mga kakayahan sa susunod na henerasyon. Ang kakayahang maghanap ng mga packet payload ay nagbibigay ng mga pagkakataong i-filter ang trapiko sa mga antas ng session at application, at nagbibigay ng mas pinong kontrol sa isang umuusbong na network kaysa sa L2-4.

Paano umaangkop ang Network Packet Broker sa imprastraktura?

Maaaring mai-install ang NPB sa isang imprastraktura ng network sa dalawang magkaibang paraan:

1- Inline

2- Out-of-band.

Ang bawat diskarte ay may mga pakinabang at disadvantages at nagbibigay-daan sa pagmamanipula ng trapiko sa mga paraan na hindi magagawa ng ibang mga diskarte. Ang inline na network packet broker ay may real-time na trapiko sa network na bumabagtas sa device patungo sa destinasyon nito. Nagbibigay ito ng pagkakataong manipulahin ang trapiko sa real time. Halimbawa, kapag nagdaragdag, nagbabago, o nagtatanggal ng mga tag ng VLAN o nagbabago ng mga patutunguhang IP address, kinokopya ang trapiko sa pangalawang link. Bilang isang inline na paraan, ang NPB ay maaari ding magbigay ng redundancy para sa iba pang mga inline na tool, gaya ng IDS, IPS, o mga firewall. Maaaring subaybayan ng NPB ang katayuan ng mga naturang device at dynamic na muling iruta ang trapiko sa mainit na standby kung sakaling mabigo.

Mylinking Inline Security NPB Bypass

Nagbibigay ito ng mahusay na kakayahang umangkop sa kung paano pinoproseso at ginagaya ang trapiko sa maraming mga monitoring at security device nang hindi naaapektuhan ang real-time na network. Nagbibigay din ito ng hindi pa nagagawang pagpapakita ng network at tinitiyak na ang lahat ng device ay makakatanggap ng kopya ng trapikong kailangan para maayos na mahawakan ang kanilang mga responsibilidad. Hindi lamang nito tinitiyak na nakukuha ng iyong mga tool sa pagsubaybay, seguridad, at pagsusuri ang trapiko na kailangan nila, ngunit pati na rin ang iyong network ay secure. Tinitiyak din nito na hindi kumonsumo ng mga mapagkukunan ang device sa hindi gustong trapiko. Marahil ay hindi kailangan ng iyong network analyzer na mag-record ng backup na trapiko dahil ito ay tumatagal ng mahalagang puwang sa disk sa panahon ng backup. Ang mga bagay na ito ay madaling na-filter mula sa analyzer habang pinapanatili ang lahat ng iba pang trapiko para sa tool. Marahil mayroon kang isang buong subnet na nais mong panatilihing nakatago mula sa ibang sistema; muli, ito ay madaling maalis sa napiling output port. Sa katunayan, ang isang NPB ay maaaring magproseso ng ilang mga link ng trapiko sa linya habang pinoproseso ang iba pang trapiko sa labas ng banda.


Oras ng post: Mar-09-2022