Network Packet Broker (NPB) är en switch som nätverksenhet som sträcker sig i storlek från bärbara enheter till 1U- och 2U -enhetsfall till stora fall och kortsystem. Till skillnad från en switch ändrar NPB inte trafiken som rinner genom den på något sätt såvida inte uttryckligen instrueras. NPB kan ta emot trafik på ett eller flera gränssnitt, utföra några fördefinierade funktioner på den trafiken och sedan mata ut den till ett eller flera gränssnitt.
Dessa benämns ofta alla till alla, många-till-alla och alla portar. De funktioner som kan utföras sträcker sig från enkla, till exempel vidarebefordran eller kassering av trafik, till komplex, såsom filtreringsinformation ovanför lager 5 för att identifiera en viss session. Gränssnitt på NPB kan vara kopparkabelanslutningar, men är vanligtvis SFP/SFP + och QSFP -ramar, som gör det möjligt för användare att använda olika media- och bandbreddhastigheter. NPB: s funktionsuppsättning bygger på principen att maximera effektiviteten i nätverksutrustning, särskilt övervakning, analys och säkerhetsverktyg.
Vilka funktioner tillhandahåller nätverkspaketmäklaren?
NPB: s kapacitet är många och kan variera beroende på varumärke och modell för enhet, även om alla paketagent som är värda hans salt vill ha en kärnuppsättning kapacitet. De flesta NPB (de vanligaste NPB) -funktionerna vid OSI -skikt 2 till 4.
I allmänhet kan du hitta följande funktioner på NPB för L2-4: Trafik (eller specifika delar av den) omdirigering, trafikfiltrering, trafikreplikation, protokollstrippning, paketskivning (trunkering), starta eller avsluta olika nätverkstunnelprotokoll och lastbalansering för trafik. Som förväntat kan L2-4: s NPB filtrera VLAN, MPLS-etiketter, MAC-adresser (källa och mål), IP-adresser (källa och mål), TCP- och UDP-portar (källa och mål) och till och med TCP-flaggor, samt ICMP, SCTP och ARP-trafik. Detta är inte alls en funktion som ska användas, utan ger snarare en uppfattning om hur NPB fungerar vid lager 2 till 4 kan separera och identifiera trafikundergrupper. Ett viktigt krav som kunder ska leta efter i NPB är ett icke-blockerande backplan.
Nätverkspaketmäklare måste kunna möta hela trafikgenomgången för varje port på enheten. I chassisystemet måste sammankopplingen med bakplanet också kunna möta den fulla trafikbelastningen för de anslutna modulerna. Om NPB tappar paketet kommer dessa verktyg inte att ha en fullständig förståelse av nätverket.
Även om den stora majoriteten av NPB är baserad på ASIC eller FPGA, på grund av säkerheten i paketbehandlingsprestanda, hittar du många integrationer eller CPU: er acceptabla (via moduler). MyLinking ™ Network Packet Brokers (NPB) är baserade på ASIC -lösning. Detta är vanligtvis en funktion som ger flexibel bearbetning och därför inte kan göras rent i hårdvara. Dessa inkluderar paketavdelning, tidsstämplar, SSL/TLS -dekryptering, sökordssökning och regelbunden expressionssökning. Det är viktigt att notera att dess funktionalitet beror på CPU -prestanda. (Till exempel kan regelbundna uttryckssökningar på samma mönster ge mycket olika resultatresultat beroende på trafiktyp, matchningshastighet och bandbredd), så det är inte lätt att bestämma innan den faktiska implementeringen.
Om CPU-beroende funktioner är aktiverade blir de en begränsande faktor i NPB: s övergripande prestanda. Tillkomsten av CPU: er och programmerbara switchchips, såsom Cavium Xpliant, Barefoot Tofino och Innovium Teralynx, utformade också grunden för en utvidgad uppsättning kapacitet för nästa generations nätverkspaketagenter, dessa funktionella enheter kan hantera trafik över L4 (ofta kallad L7-paketagenter). Bland de avancerade funktionerna som nämns ovan är nyckelord och regelbunden expressionssökning bra exempel på nästa generations kapacitet. Möjligheten att söka paket nyttolaster ger möjligheter att filtrera trafik vid sessionen och applikationsnivåerna och ger finare kontroll över ett utvecklande nätverk än L2-4.
Hur passar nätverkspaketmäklare in i infrastrukturen?
NPB kan installeras i en nätverksinfrastruktur på två olika sätt:
1- inline
2- Out-of-band.
Varje tillvägagångssätt har fördelar och nackdelar och möjliggör trafikmanipulation på sätt som andra tillvägagångssätt inte kan. Inline Network Packet-mäklaren har realtidsnätverkstrafik som korsar enheten på väg till sin destination. Detta ger möjlighet att manipulera trafik i realtid. Till exempel, när du lägger till, modifierar eller tar bort VLAN -taggar eller ändrar destinationens IP -adresser, kopieras trafiken till en andra länk. Som en inline -metod kan NPB också tillhandahålla redundans för andra inline -verktyg, såsom ID: er, IPS eller brandväggar. NPB kan övervaka statusen för sådana enheter och dynamiskt omdirigera trafik till Hot Standby i händelse av fel.
Det ger stor flexibilitet i hur trafiken behandlas och replikeras till flera övervaknings- och säkerhetsenheter utan att påverka nätverket i realtid. Det ger också enastående nätverkssynlighet och säkerställer att alla enheter får en kopia av den trafik som krävs för att på ett korrekt sätt hantera sitt ansvar. Det säkerställer inte bara att dina övervaknings-, säkerhets- och analysverktyg får den trafik de behöver, utan också att ditt nätverk är säkert. Det säkerställer också att enheten inte konsumerar resurser för oönskad trafik. Kanske behöver din nätverksanalysator inte spela in säkerhetskopieringstrafik eftersom den tar värdefullt diskutrymme under säkerhetskopian. Dessa saker filtreras enkelt ut från analysatorn medan du bevarar all annan trafik för verktyget. Kanske har du ett helt undernät som du vill hålla dold för något annat system; Återigen tas detta lätt bort på den valda utgångsporten. I själva verket kan en enda NPB behandla vissa trafiklänkar inline medan man bearbetar annan trafik utanför band.
Posttid: Mar-09-2022
