Network Packet Broker (NPB) เป็นสวิตช์ที่เหมือนกับอุปกรณ์เครือข่ายที่มีขนาดตั้งแต่อุปกรณ์พกพาไปจนถึงเคสยูนิต 1U และ 2U ไปจนถึงเคสขนาดใหญ่และระบบบอร์ด ต่างจากสวิตช์ NPB จะไม่เปลี่ยนการรับส่งข้อมูลที่ไหลผ่านสวิตช์ในทางใดทางหนึ่ง เว้นแต่จะได้รับคำแนะนำอย่างชัดเจน NPB สามารถรับการรับส่งข้อมูลบนอินเทอร์เฟซตั้งแต่หนึ่งอินเทอร์เฟซขึ้นไป ดำเนินการฟังก์ชันที่กำหนดไว้ล่วงหน้าบางอย่างกับการรับส่งข้อมูลนั้น จากนั้นส่งออกไปยังอินเทอร์เฟซหนึ่งรายการขึ้นไป
สิ่งเหล่านี้มักเรียกว่าการแมปพอร์ตแบบใดๆ ต่อใดๆ หลายต่อใดๆ และใดๆ ต่อกลุ่ม ฟังก์ชันที่สามารถทำได้มีตั้งแต่แบบธรรมดา เช่น การส่งต่อหรือละทิ้งการรับส่งข้อมูล ไปจนถึงแบบซับซ้อน เช่น การกรองข้อมูลที่อยู่เหนือเลเยอร์ 5 เพื่อระบุเซสชันเฉพาะ อินเทอร์เฟซบน NPB อาจเป็นการเชื่อมต่อด้วยสายเคเบิลทองแดง แต่โดยปกติจะเป็นเฟรม SFP/SFP + และ QSFP ซึ่งช่วยให้ผู้ใช้สามารถใช้สื่อและความเร็วแบนด์วิธที่หลากหลาย ชุดคุณลักษณะของ NPB สร้างขึ้นบนหลักการเพิ่มประสิทธิภาพสูงสุดให้กับอุปกรณ์เครือข่าย โดยเฉพาะเครื่องมือตรวจสอบ วิเคราะห์ และรักษาความปลอดภัย
Network Packet Broker มีฟังก์ชันอะไรบ้าง?
ความสามารถของ NPB มีมากมายและอาจแตกต่างกันไปขึ้นอยู่กับยี่ห้อและรุ่นของอุปกรณ์ แม้ว่าตัวแทนแพ็คเกจใดๆ ที่คุ้มค่าจะต้องการชุดความสามารถหลักก็ตาม NPB ส่วนใหญ่ (NPB ที่พบบ่อยที่สุด) ทำหน้าที่ที่ OSI เลเยอร์ 2 ถึง 4
โดยทั่วไป คุณสามารถค้นหาคุณสมบัติต่อไปนี้บน NPB ของ L2-4: การเปลี่ยนเส้นทางการรับส่งข้อมูล (หรือบางส่วน) การกรองการรับส่งข้อมูล การจำลองการรับส่งข้อมูล การแยกโปรโตคอล การแยกแพ็คเก็ต (การตัดทอน) การเริ่มต้นหรือสิ้นสุดโปรโตคอลอุโมงค์เครือข่ายต่างๆ และการปรับสมดุลโหลดสำหรับการรับส่งข้อมูล ตามที่คาดไว้ NPB ของ L2-4 สามารถกรอง VLAN, ป้ายกำกับ MPLS, ที่อยู่ MAC (ต้นทางและเป้าหมาย), ที่อยู่ IP (ต้นทางและเป้าหมาย), พอร์ต TCP และ UDP (ต้นทางและเป้าหมาย) และแม้แต่แฟล็ก TCP รวมถึง ICMP การรับส่งข้อมูล SCTP และ ARP นี่ไม่ได้เป็นคุณลักษณะที่จะใช้ แต่เป็นการให้แนวคิดว่าการทำงานของ NPB ที่เลเยอร์ 2 ถึง 4 สามารถแยกและระบุชุดย่อยการรับส่งข้อมูลได้อย่างไร ข้อกำหนดสำคัญที่ลูกค้าควรมองหาใน NPB คือแบ็คเพลนที่ไม่ปิดกั้น
นายหน้าแพ็กเก็ตเครือข่ายจะต้องสามารถตอบสนองการรับส่งข้อมูลแบบเต็มของแต่ละพอร์ตบนอุปกรณ์ ในระบบแชสซี การเชื่อมต่อโครงข่ายกับแบ็คเพลนจะต้องสามารถรองรับปริมาณการรับส่งข้อมูลทั้งหมดของโมดูลที่เชื่อมต่อด้วย หาก NPB ทิ้งแพ็กเก็ต เครื่องมือเหล่านี้จะไม่เข้าใจเครือข่ายอย่างสมบูรณ์
แม้ว่า NPB ส่วนใหญ่จะขึ้นอยู่กับ ASIC หรือ FPGA แต่เนื่องจากความแน่นอนของประสิทธิภาพการประมวลผลแพ็กเก็ต คุณจะพบว่ามีการผสานรวมหรือ CPU จำนวนมากที่ยอมรับได้ (ผ่านโมดูล) Mylinking™ Network Packet Brokers(NPB) ใช้โซลูชัน ASIC โดยปกติจะเป็นคุณลักษณะที่ให้การประมวลผลที่ยืดหยุ่น ดังนั้นจึงไม่สามารถทำได้ในฮาร์ดแวร์เพียงอย่างเดียว ซึ่งรวมถึงการขจัดข้อมูลซ้ำซ้อนของแพ็กเก็ต การประทับเวลา การถอดรหัส SSL/TLS การค้นหาคำหลัก และการค้นหานิพจน์ทั่วไป สิ่งสำคัญคือต้องทราบว่าฟังก์ชันการทำงานขึ้นอยู่กับประสิทธิภาพของ CPU (ตัวอย่างเช่น การค้นหานิพจน์ทั่วไปในรูปแบบเดียวกันอาจให้ผลลัพธ์ประสิทธิภาพที่แตกต่างกันมาก ขึ้นอยู่กับประเภทการรับส่งข้อมูล อัตราการจับคู่ และแบนด์วิดท์) ดังนั้นจึงไม่ใช่เรื่องง่ายที่จะระบุก่อนการใช้งานจริง
หากเปิดใช้งานคุณสมบัติที่ขึ้นอยู่กับ CPU คุณสมบัติเหล่านั้นจะกลายเป็นปัจจัยจำกัดในประสิทธิภาพโดยรวมของ NPB การเกิดขึ้นของซีพียูและชิปสวิตชิ่งที่ตั้งโปรแกรมได้ เช่น Cavium Xpliant, Barefoot Tofino และ Innovium Teralynx ยังก่อให้เกิดพื้นฐานของชุดความสามารถที่ขยายเพิ่มสำหรับเอเจนต์แพ็กเก็ตเครือข่ายรุ่นต่อไป หน่วยการทำงานเหล่านี้สามารถรองรับการรับส่งข้อมูลที่สูงกว่า L4 (มักเรียกว่า เป็นตัวแทนแพ็กเก็ต L7) ในบรรดาคุณลักษณะขั้นสูงที่กล่าวถึงข้างต้น การค้นหาคำหลักและนิพจน์ทั่วไปเป็นตัวอย่างที่ดีของความสามารถรุ่นต่อไป ความสามารถในการค้นหาเพย์โหลดแพ็กเก็ตให้โอกาสในการกรองการรับส่งข้อมูลในระดับเซสชันและแอปพลิเคชัน และให้การควบคุมเครือข่ายที่กำลังพัฒนาได้ละเอียดยิ่งขึ้นกว่า L2-4
Network Packet Broker เหมาะสมกับโครงสร้างพื้นฐานอย่างไร
สามารถติดตั้ง NPB ลงในโครงสร้างพื้นฐานเครือข่ายได้สองวิธี:
1- อินไลน์
2- นอกวง
แต่ละวิธีมีข้อดีและข้อเสีย และช่วยให้สามารถจัดการการรับส่งข้อมูลในลักษณะที่วิธีอื่นไม่สามารถทำได้ นายหน้าแพ็กเก็ตเครือข่ายแบบอินไลน์มีการรับส่งข้อมูลเครือข่ายแบบเรียลไทม์ที่สำรวจอุปกรณ์ระหว่างทางไปยังปลายทาง นี่เป็นโอกาสในการจัดการการรับส่งข้อมูลแบบเรียลไทม์ ตัวอย่างเช่น เมื่อเพิ่ม แก้ไข หรือลบแท็ก VLAN หรือเปลี่ยนที่อยู่ IP ปลายทาง การรับส่งข้อมูลจะถูกคัดลอกไปยังลิงก์ที่สอง สำหรับวิธีการอินไลน์ NPB ยังสามารถจัดเตรียมความซ้ำซ้อนสำหรับเครื่องมืออินไลน์อื่นๆ เช่น IDS, IPS หรือไฟร์วอลล์ NPB สามารถตรวจสอบสถานะของอุปกรณ์ดังกล่าวและกำหนดเส้นทางการรับส่งข้อมูลไปยังโหมดสแตนด์บายแบบไดนามิกแบบไดนามิกในกรณีที่เกิดความล้มเหลว
โดยให้ความยืดหยุ่นอย่างมากในการประมวลผลและจำลองการรับส่งข้อมูลไปยังอุปกรณ์ตรวจสอบและรักษาความปลอดภัยหลายเครื่อง โดยไม่กระทบต่อเครือข่ายแบบเรียลไทม์ นอกจากนี้ยังให้การมองเห็นเครือข่ายที่ไม่เคยมีมาก่อนและรับประกันว่าอุปกรณ์ทั้งหมดจะได้รับสำเนาการรับส่งข้อมูลที่จำเป็นในการจัดการความรับผิดชอบอย่างเหมาะสม ไม่เพียงแต่ทำให้แน่ใจได้ว่าเครื่องมือตรวจสอบ ความปลอดภัย และการวิเคราะห์ของคุณได้รับปริมาณข้อมูลที่ต้องการ แต่ยังทำให้เครือข่ายของคุณปลอดภัยอีกด้วย นอกจากนี้ยังช่วยให้มั่นใจได้ว่าอุปกรณ์จะไม่กินทรัพยากรจากการรับส่งข้อมูลที่ไม่ต้องการ บางทีตัววิเคราะห์เครือข่ายของคุณไม่จำเป็นต้องบันทึกปริมาณข้อมูลสำรองเนื่องจากจะใช้พื้นที่ดิสก์อันมีค่าระหว่างการสำรองข้อมูล สิ่งเหล่านี้จะถูกกรองออกจากเครื่องวิเคราะห์ได้อย่างง่ายดาย ขณะเดียวกันก็รักษาการรับส่งข้อมูลอื่นๆ ทั้งหมดสำหรับเครื่องมือนี้ไว้ บางทีคุณอาจมีซับเน็ตทั้งหมดที่คุณต้องการซ่อนจากระบบอื่น อีกครั้ง สิ่งนี้จะถูกลบออกอย่างง่ายดายบนพอร์ตเอาต์พุตที่เลือก ในความเป็นจริง NPB เดียวสามารถประมวลผลลิงก์การรับส่งข้อมูลแบบอินไลน์ในขณะที่ประมวลผลการรับส่งข้อมูลนอกแบนด์อื่นๆ
เวลาโพสต์: Mar-09-2022
