کارگزار بستههای شبکه (NPB) یک دستگاه شبکهای شبیه سوئیچ است که اندازه آن از دستگاههای قابل حمل گرفته تا کیسهای واحد ۱U و ۲U و کیسهای بزرگ و سیستمهای بردی متغیر است. برخلاف سوئیچ، NPB ترافیکی را که از طریق آن جریان مییابد به هیچ وجه تغییر نمیدهد، مگر اینکه صریحاً دستورالعمل داده شود. NPB میتواند ترافیک را روی یک یا چند رابط دریافت کند، برخی از عملکردهای از پیش تعریف شده را روی آن ترافیک انجام دهد و سپس آن را به یک یا چند رابط ارسال کند.
این موارد اغلب به عنوان نگاشت پورتهای any-to-any، many-to-any و any-to-many شناخته میشوند. عملکردهایی که میتوانند انجام شوند از ساده، مانند ارسال یا حذف ترافیک، تا پیچیده، مانند فیلتر کردن اطلاعات بالای لایه ۵ برای شناسایی یک جلسه خاص، متغیر هستند. رابطهای NPB میتوانند اتصالات کابل مسی باشند، اما معمولاً فریمهای SFP/SFP+ و QSFP هستند که به کاربران امکان استفاده از انواع رسانهها و سرعتهای پهنای باند را میدهند. مجموعه ویژگیهای NPB بر اساس اصل به حداکثر رساندن کارایی تجهیزات شبکه، به ویژه ابزارهای نظارت، تجزیه و تحلیل و امنیت ساخته شده است.
کارگزار بسته شبکه چه عملکردهایی را ارائه میدهد؟
قابلیتهای NPB متعدد است و ممکن است بسته به برند و مدل دستگاه متفاوت باشد، اگرچه هر عامل بستهبندی که ارزشش را داشته باشد، میخواهد مجموعهای از قابلیتهای اصلی را داشته باشد. اکثر NPB (رایجترین NPB) در لایههای ۲ تا ۴ OSI عمل میکنند.
به طور کلی، میتوانید ویژگیهای زیر را در NPB لایههای ۲ تا ۴ پیدا کنید: تغییر مسیر ترافیک (یا بخشهای خاصی از آن)، فیلتر کردن ترافیک، تکثیر ترافیک، حذف پروتکل، برش بسته (کوتاهسازی)، شروع یا خاتمه پروتکلهای مختلف تونل شبکه و متعادلسازی بار برای ترافیک. همانطور که انتظار میرود، NPB لایه ۲ تا ۴ میتواند برچسبهای VLAN، MPLS، آدرسهای MAC (منبع و هدف)، آدرسهای IP (منبع و هدف)، پورتهای TCP و UDP (منبع و هدف) و حتی پرچمهای TCP و همچنین ترافیک ICMP، SCTP و ARP را فیلتر کند. این به هیچ وجه یک ویژگی برای استفاده نیست، بلکه ایدهای از نحوه عملکرد NPB در لایههای ۲ تا ۴ برای جداسازی و شناسایی زیرمجموعههای ترافیک ارائه میدهد. یک الزام کلیدی که مشتریان باید در NPB به دنبال آن باشند، یک صفحه پشتی غیر مسدودکننده است.
کارگزار بسته شبکه باید بتواند کل توان ترافیکی هر پورت روی دستگاه را برآورده کند. در سیستم شاسی، اتصال داخلی با صفحه پشتی نیز باید بتواند کل بار ترافیکی ماژولهای متصل را برآورده کند. اگر NPB بسته را رها کند، این ابزارها درک کاملی از شبکه نخواهند داشت.
اگرچه بخش عمدهای از NPB مبتنی بر ASIC یا FPGA است، اما به دلیل اطمینان از عملکرد پردازش بسته، بسیاری از ادغامها یا CPUها (از طریق ماژولها) قابل قبول خواهند بود. Mylinking™ Network Packet Brokers (NPB) مبتنی بر راهکار ASIC هستند. این معمولاً ویژگیای است که پردازش انعطافپذیری را فراهم میکند و بنابراین نمیتواند صرفاً در سختافزار انجام شود. این موارد شامل حذف دادههای تکراری بسته، مهرهای زمانی، رمزگشایی SSL/TLS، جستجوی کلمات کلیدی و جستجوی عبارات منظم است. توجه به این نکته مهم است که عملکرد آن به عملکرد CPU بستگی دارد. (به عنوان مثال، جستجوهای عبارات منظم با الگوی یکسان میتوانند نتایج عملکردی بسیار متفاوتی را بسته به نوع ترافیک، نرخ تطبیق و پهنای باند به همراه داشته باشند)، بنابراین تعیین آن قبل از پیادهسازی واقعی آسان نیست.
اگر ویژگیهای وابسته به CPU فعال شوند، به یک عامل محدودکننده در عملکرد کلی NPB تبدیل میشوند. ظهور CPUها و تراشههای سوئیچینگ قابل برنامهریزی، مانند Cavium Xpliant، Barefoot Tofino و Innovium Teralynx، همچنین اساس مجموعهای گسترده از قابلیتها را برای عاملهای بسته شبکه نسل بعدی تشکیل دادند. این واحدهای عملکردی میتوانند ترافیک بالاتر از L4 (که اغلب به عنوان عاملهای بسته L7 شناخته میشوند) را مدیریت کنند. در میان ویژگیهای پیشرفته ذکر شده در بالا، جستجوی کلمات کلیدی و عبارات منظم نمونههای خوبی از قابلیتهای نسل بعدی هستند. توانایی جستجوی بارهای بسته، فرصتهایی را برای فیلتر کردن ترافیک در سطوح جلسه و برنامه فراهم میکند و کنترل دقیقتری را بر روی یک شبکه در حال تکامل نسبت به L2-4 فراهم میکند.
چگونه Network Packet Broker در زیرساخت جای میگیرد؟
NPB را میتوان به دو روش مختلف در زیرساخت شبکه نصب کرد:
۱- درون خطی
۲- خارج از باند.
هر رویکرد مزایا و معایبی دارد و امکان دستکاری ترافیک را به روشهایی فراهم میکند که سایر رویکردها نمیتوانند. کارگزار بسته شبکه درون خطی، ترافیک شبکه را به صورت بلادرنگ (real-time) از دستگاه در مسیر رسیدن به مقصد عبور میدهد. این امر فرصتی را برای دستکاری ترافیک به صورت بلادرنگ فراهم میکند. به عنوان مثال، هنگام اضافه کردن، تغییر یا حذف برچسبهای VLAN یا تغییر آدرسهای IP مقصد، ترافیک به لینک دوم کپی میشود. به عنوان یک روش درون خطی، NPB همچنین میتواند افزونگی را برای سایر ابزارهای درون خطی مانند IDS، IPS یا فایروالها فراهم کند. NPB میتواند وضعیت چنین دستگاههایی را رصد کند و در صورت بروز خطا، ترافیک را به صورت پویا به حالت آماده به کار (hot standby) هدایت کند.
این قابلیت، انعطافپذیری زیادی در نحوه پردازش و تکثیر ترافیک به چندین دستگاه نظارتی و امنیتی بدون تأثیر بر شبکه در زمان واقعی ارائه میدهد. همچنین قابلیت مشاهده بیسابقهای از شبکه را فراهم میکند و تضمین میکند که همه دستگاهها یک کپی از ترافیک مورد نیاز برای انجام صحیح مسئولیتهای خود دریافت میکنند. این قابلیت نه تنها تضمین میکند که ابزارهای نظارتی، امنیتی و تحلیلی شما ترافیک مورد نیاز خود را دریافت میکنند، بلکه شبکه شما نیز ایمن است. همچنین تضمین میکند که دستگاه منابع را صرف ترافیک ناخواسته نمیکند. شاید تحلیلگر شبکه شما نیازی به ثبت ترافیک پشتیبان نداشته باشد زیرا در طول پشتیبانگیری، فضای دیسک ارزشمندی را اشغال میکند. این موارد به راحتی از تحلیلگر فیلتر میشوند و در عین حال تمام ترافیک دیگر را برای ابزار حفظ میکنند. شاید شما یک زیرشبکه کامل داشته باشید که میخواهید از سیستم دیگری پنهان نگه دارید. باز هم، این به راحتی در پورت خروجی انتخاب شده حذف میشود. در واقع، یک NPB واحد میتواند برخی از لینکهای ترافیک را به صورت درون خطی پردازش کند در حالی که سایر ترافیکهای خارج از باند را پردازش میکند.
زمان ارسال: 9 مارس 2022
