Network Packet Broker (NPB) یک دستگاه شبکه مانند سوئیچ است که در اندازه های مختلف از دستگاه های قابل حمل تا کیس های واحد 1U و 2U تا کیس های بزرگ و سیستم های برد متغیر است. برخلاف سوئیچ، NPB به هیچ وجه ترافیکی را که از آن عبور می کند تغییر نمی دهد، مگر اینکه به صراحت دستور داده شود. NPB می تواند ترافیک را در یک یا چند اینترفیس دریافت کند، برخی از عملکردهای از پیش تعریف شده را روی آن ترافیک انجام دهد و سپس آن را به یک یا چند اینترفیس خروجی دهد.
اینها اغلب به عنوان نگاشت پورت هر به هر، چند به هر، و هر به چند می گویند. عملکردهایی که می توان انجام داد از ساده، مانند ارسال یا حذف ترافیک، تا پیچیده، مانند فیلتر کردن اطلاعات بالای لایه 5 برای شناسایی یک جلسه خاص، متغیر است. رابطهای NPB میتوانند اتصالات کابل مسی باشند، اما معمولاً فریمهای SFP/SFP + و QSFP هستند که به کاربران امکان استفاده از رسانهها و سرعتهای پهنای باند مختلف را میدهند. مجموعه ویژگی های NPB بر اساس اصل به حداکثر رساندن کارایی تجهیزات شبکه، به ویژه ابزارهای نظارت، تجزیه و تحلیل و امنیتی ساخته شده است.
کارگزار بسته شبکه چه عملکردهایی را ارائه می دهد؟
قابلیتهای NPB متعدد است و ممکن است بسته به برند و مدل دستگاه متفاوت باشد، اگرچه هر عامل بستهای که ارزش آن را دارد میخواهد مجموعهای از قابلیتهای اصلی داشته باشد. بیشتر NPB (متداول ترین NPB) در لایه های OSI 2 تا 4 عمل می کند.
به طور کلی، میتوانید ویژگیهای زیر را در NPB L2-4 بیابید: تغییر مسیر ترافیک (یا بخشهای خاصی از آن)، فیلتر کردن ترافیک، تکرار ترافیک، حذف پروتکل، برش بسته (قطع)، راهاندازی یا پایان دادن به پروتکلهای مختلف تونل شبکه، و تعادل بار برای ترافیک. همانطور که انتظار می رود، NPB L2-4 می تواند VLAN، برچسب های MPLS، آدرس های MAC (منبع و هدف)، آدرس های IP (منبع و هدف)، پورت های TCP و UDP (منبع و هدف)، و حتی پرچم های TCP و همچنین ICMP را فیلتر کند. ترافیک SCTP و ARP این به هیچ وجه یک ویژگی برای استفاده نیست، بلکه ایده ای را ارائه می دهد که چگونه NPB که در لایه های 2 تا 4 کار می کند می تواند زیر مجموعه های ترافیک را جدا و شناسایی کند. یکی از الزامات کلیدی که مشتریان باید در NPB به دنبال آن باشند، یک backplane غیر مسدود کننده است.
کارگزار بستههای شبکه باید بتواند ظرفیت ترافیک کامل هر پورت روی دستگاه را برآورده کند. در سیستم شاسی، اتصال متقابل با هواپیمای پشتی نیز باید بتواند بار ترافیکی کامل ماژول های متصل را برآورده کند. اگر NPB بسته را رها کند، این ابزارها درک کاملی از شبکه نخواهند داشت.
اگرچه اکثریت قریب به اتفاق NPB مبتنی بر ASIC یا FPGA است، به دلیل اطمینان از عملکرد پردازش بسته، بسیاری از ادغام ها یا CPU ها (از طریق ماژول ها) قابل قبول هستند. کارگزاران بسته شبکه Mylinking™ (NPB) بر اساس راه حل ASIC هستند. این معمولاً یک ویژگی است که پردازش انعطاف پذیری را ارائه می دهد و بنابراین نمی تواند صرفاً در سخت افزار انجام شود. این موارد شامل حذف مجدد بسته ها، مهرهای زمانی، رمزگشایی SSL/TLS، جستجوی کلمات کلیدی و جستجوی عبارات منظم است. لازم به ذکر است که عملکرد آن به عملکرد CPU بستگی دارد. (به عنوان مثال، جستجوهای عبارت منظم از یک الگو می توانند نتایج عملکرد بسیار متفاوتی را بسته به نوع ترافیک، نرخ تطبیق و پهنای باند به دست آورند)، بنابراین تعیین آن قبل از اجرای واقعی آسان نیست.
اگر ویژگی های وابسته به CPU فعال شوند، به یک عامل محدود کننده در عملکرد کلی NPB تبدیل می شوند. ظهور پردازندههای مرکزی و تراشههای سوئیچینگ قابل برنامهریزی، مانند Cavium Xpliant، Barefoot Tofino و Innovium Teralynx، همچنین اساس مجموعه گستردهای از قابلیتها را برای عوامل بسته شبکه نسل بعدی تشکیل میدهد، این واحدهای کاربردی میتوانند ترافیک بالاتر از L4 (اغلب به آنها اشاره شود) را مدیریت کنند. به عنوان عوامل بسته L7). در میان ویژگی های پیشرفته ذکر شده در بالا، جستجوی کلمات کلیدی و عبارات منظم نمونه های خوبی از قابلیت های نسل بعدی هستند. توانایی جستجوی بارهای بسته فرصت هایی را برای فیلتر کردن ترافیک در سطوح جلسه و برنامه فراهم می کند و کنترل دقیق تری را بر روی یک شبکه در حال تکامل نسبت به L2-4 فراهم می کند.
چگونه Network Packet Broker در زیرساخت قرار می گیرد؟
NPB را می توان به دو روش مختلف در زیرساخت شبکه نصب کرد:
1- درون خطی
2- خارج از باند.
هر رویکرد دارای مزایا و معایبی است و امکان دستکاری ترافیک را به شیوههایی فراهم میکند که روشهای دیگر نمیتوانند. کارگزار بسته شبکه درون خطی دارای ترافیک شبکه بلادرنگ است که دستگاه را در مسیر خود به مقصد طی می کند. این فرصت را برای دستکاری ترافیک در زمان واقعی فراهم می کند. به عنوان مثال، هنگام افزودن، اصلاح یا حذف تگ های VLAN یا تغییر آدرس های IP مقصد، ترافیک به پیوند دوم کپی می شود. به عنوان یک روش درون خطی، NPB همچنین می تواند افزونگی را برای سایر ابزارهای درون خطی مانند IDS، IPS یا فایروال ها فراهم کند. NPB می تواند وضعیت چنین دستگاه هایی را نظارت کند و در صورت خرابی، ترافیک را به صورت پویا به حالت آماده به کار هدایت کند.
این انعطاف پذیری زیادی را در نحوه پردازش و تکثیر ترافیک به چندین دستگاه نظارتی و امنیتی بدون تأثیر بر شبکه بلادرنگ فراهم می کند. همچنین دید شبکه بیسابقهای را فراهم میکند و تضمین میکند که همه دستگاهها یک کپی از ترافیک مورد نیاز برای انجام صحیح مسئولیتهای خود را دریافت میکنند. این نه تنها تضمین می کند که ابزارهای نظارت، امنیت و تجزیه و تحلیل شما ترافیک مورد نیاز خود را دریافت می کنند، بلکه امنیت شبکه شما را نیز تضمین می کند. همچنین تضمین می کند که دستگاه منابع را در ترافیک ناخواسته مصرف نمی کند. شاید تحلیلگر شبکه شما نیازی به ضبط ترافیک پشتیبان نداشته باشد زیرا در حین پشتیبان گیری فضای دیسک ارزشمندی را اشغال می کند. این موارد به راحتی از آنالیزور فیلتر می شوند و در عین حال ترافیک دیگر ابزار را حفظ می کنند. شاید شما یک زیرشبکه کامل داشته باشید که بخواهید آن را از سیستم دیگری مخفی نگه دارید. دوباره، این به راحتی در پورت خروجی انتخاب شده حذف می شود. در واقع، یک NPB واحد میتواند برخی از پیوندهای ترافیکی را به صورت درون خطی پردازش کند در حالی که سایر ترافیکهای خارج از باند را پردازش میکند.
زمان ارسال: مارس-09-2022
