In Network Packet Broker (NPB) is in switch-achtich netwurkapparaat dat farieart yn grutte fan draachbere apparaten oant 1U- en 2U-ienheidskasten oant grutte kasten en boardsystemen. Oars as in switch feroaret de NPB it ferkear dat der trochhinne streamt op gjin inkelde manier, útsein as it eksplisyt ynstruearre wurdt. In NPB kin ferkear ûntfange op ien of mear ynterfaces, foarôf definieare funksjes útfiere op dat ferkear, en it dan nei ien of mear ynterfaces útfiere.
Dizze wurde faak oantsjutten as any-to-any, many-to-any, en any-to-many port mappings. De funksjes dy't útfierd wurde kinne fariearje fan ienfâldich, lykas it trochstjoeren of fuortsmiten fan ferkear, oant kompleks, lykas it filterjen fan ynformaasje boppe laach 5 om in bepaalde sesje te identifisearjen. Ynterfaces op NPB kinne koperkabelferbiningen wêze, mar binne meastentiids SFP/SFP+ en QSFP-frames, wêrtroch brûkers in ferskaat oan media- en bânbreedtesnelheden brûke kinne. De funksjeset fan NPB is boud op it prinsipe fan it maksimalisearjen fan de effisjinsje fan netwurkapparatuer, benammen monitoring-, analyse- en befeiligingsark.
Hokker funksjes biedt de Network Packet Broker?
De mooglikheden fan NPB binne talryk en kinne ferskille ôfhinklik fan it merk en model fan it apparaat, hoewol elke pakketagent dy't syn sâlt wurdich is, in kearnset fan mooglikheden hawwe wol. De measte NPB (de meast foarkommende NPB) funksjonearret op OSI-lagen 2 oant en mei 4.
Yn 't algemien kinne jo de folgjende funksjes fine op 'e NPB fan L2-4: trochferwizing fan ferkear (of spesifike dielen dêrfan), ferkearsfilterjen, ferkearsreplikaasje, protokolstrippen, pakketslicing (truncation), it starten of beëinigjen fan ferskate netwurktunnelprotokollen, en load balancing foar ferkear. Lykas ferwachte kin de NPB fan L2-4 VLAN, MPLS-labels, MAC-adressen (boarne en doel), IP-adressen (boarne en doel), TCP- en UDP-poarten (boarne en doel), en sels TCP-flaggen filterje, lykas ICMP-, SCTP- en ARP-ferkear. Dit is perfoarst gjin funksje om te brûken, mar jout leaver in idee fan hoe't NPB dy't wurket op lagen 2 oant en mei 4 ferkearssubsets kin skiede en identifisearje. In wichtige eask dêr't klanten nei moatte sykje yn NPB is in net-blokkearjend efterplan.
Netwurkpakketmakelaars moatte de folsleine ferkearstrochfier fan elke poarte op it apparaat kinne behannelje. Yn it chassissysteem moat de ferbining mei it efterplane ek de folsleine ferkearslading fan 'e ferbûne modules kinne behannelje. As de NPB it pakket falt, sille dizze ark gjin folslein begryp hawwe fan it netwurk.
Hoewol't de grutte mearderheid fan NPB basearre is op ASIC of FPGA, sille jo, fanwegen de wissichheid fan pakketferwurkingsprestaasjes, in protte yntegraasjes of CPU's akseptabel fine (fia modules). De Mylinking™ Network Packet Brokers (NPB) binne basearre op in ASIC-oplossing. Dit is meastentiids in funksje dy't fleksibele ferwurking biedt en dêrom net allinich yn hardware dien wurde kin. Dizze omfetsje pakketdeduplikaasje, tiidstempels, SSL/TLS-dekryptering, kaaiwurdsykjen en reguliere útdrukkingssykjen. It is wichtich om te notearjen dat de funksjonaliteit ôfhinklik is fan CPU-prestaasjes. (Bygelyks, reguliere útdrukkingssykjen fan itselde patroan kinne heul ferskillende prestaasjeresultaten opleverje, ôfhinklik fan it ferkearstype, oerienkomstsnelheid en bânbreedte), dus it is net maklik te bepalen foar de werklike ymplemintaasje.
As CPU-ôfhinklike funksjes ynskeakele binne, wurde se in beheinde faktor yn 'e algemiene prestaasjes fan' e NPB. De komst fan CPU's en programmeerbere skeakelchips, lykas Cavium Xpliant, Barefoot Tofino en Innovium Teralynx, foarme ek de basis fan in útwreide set mooglikheden foar netwurkpakketaginten fan 'e folgjende generaasje. Dizze funksjonele ienheden kinne ferkear boppe L4 behannelje (faak oantsjutten as L7-pakketaginten). Under de hjirboppe neamde avansearre funksjes binne sykjen nei kaaiwurden en reguliere útdrukkingen goede foarbylden fan mooglikheden fan 'e folgjende generaasje. De mooglikheid om pakketladingen te sykjen biedt kânsen om ferkear te filterjen op sesje- en applikaasjenivo, en biedt finer kontrôle oer in evoluearjend netwurk as de L2-4.
Hoe past Network Packet Broker yn 'e ynfrastruktuer?
De NPB kin op twa ferskillende manieren yn in netwurkynfrastruktuer ynstalleare wurde:
1- Ynline
2- Bûten de band.
Elke oanpak hat foar- en neidielen en makket ferkearsmanipulaasje mooglik op manieren dy't oare oanpakken net kinne. De inline netwurkpakketbroker hat realtime netwurkferkear dat it apparaat trochkrúst op wei nei syn bestimming. Dit biedt de mooglikheid om ferkear yn realtime te manipulearjen. Bygelyks, by it tafoegjen, wizigjen of wiskjen fan VLAN-tags of it feroarjen fan bestimmings-IP-adressen, wurdt ferkear kopiearre nei in twadde keppeling. As in inline-metoade kin NPB ek redundânsje leverje foar oare inline-ark, lykas IDS, IPS of firewalls. NPB kin de status fan sokke apparaten kontrolearje en ferkear dynamysk omliede nei hot standby yn gefal fan in storing.
It biedt grutte fleksibiliteit yn hoe't ferkear ferwurke en replikearre wurdt nei meardere monitoring- en befeiligingsapparaten sûnder ynfloed te hawwen op it real-time netwurk. It biedt ek noch nea earder sjoen netwurksichtberens en soarget derfoar dat alle apparaten in kopy krije fan it ferkear dat nedich is om har ferantwurdlikheden goed te behanneljen. It soarget net allinich derfoar dat jo monitoring-, befeiligings- en analyse-ark it ferkear krije dat se nedich binne, mar ek dat jo netwurk feilich is. It soarget der ek foar dat it apparaat gjin boarnen brûkt oan net winske ferkear. Miskien hoecht jo netwurkanalysator gjin reservekopyferkear op te nimmen, om't it weardefolle skiifromte ynnimt tidens de reservekopy. Dizze dingen wurde maklik út 'e analysator filtere, wylst al it oare ferkear foar it ark bewarre bliuwt. Miskien hawwe jo in folslein subnet dat jo ferburgen hâlde wolle foar in oar systeem; nochris, dit wurdt maklik fuorthelle op 'e selektearre útfierpoarte. Eins kin in inkele NPB guon ferkearskeppelings ynline ferwurkje, wylst se oar out-of-band ferkear ferwurkje.
Pleatsingstiid: 9 maart 2022
