Network Packet Broker (NPB) เป็นอุปกรณ์เครือข่ายแบบสวิตช์ที่มีขนาดตั้งแต่อุปกรณ์พกพาไปจนถึงเคสหน่วย 1U และ 2U ไปจนถึงเคสขนาดใหญ่และระบบบอร์ด ซึ่งแตกต่างจากสวิตช์ NPB จะไม่เปลี่ยนแปลงปริมาณการรับส่งข้อมูลที่ไหลผ่านมันในทางใดทางหนึ่ง เว้นแต่จะได้รับคำสั่งอย่างชัดเจน NPB สามารถรับปริมาณการรับส่งข้อมูลบนอินเทอร์เฟซหนึ่งรายการหรือมากกว่า ดำเนินการฟังก์ชันที่กำหนดไว้ล่วงหน้าบางอย่างบนปริมาณการรับส่งข้อมูลนั้น จากนั้นจึงส่งออกไปยังอินเทอร์เฟซหนึ่งรายการหรือมากกว่า
สิ่งเหล่านี้มักเรียกว่าการแมปพอร์ตแบบ any-to-any, many-to-any และ any-to-many ฟังก์ชันที่สามารถทำได้มีตั้งแต่แบบง่ายๆ เช่น การส่งต่อหรือยกเลิกทราฟฟิก ไปจนถึงแบบซับซ้อน เช่น การกรองข้อมูลเหนือเลเยอร์ 5 เพื่อระบุเซสชันเฉพาะ อินเทอร์เฟซบน NPB อาจเป็นการเชื่อมต่อด้วยสายทองแดง แต่โดยปกติแล้วจะเป็นเฟรม SFP/SFP+ และ QSFP ซึ่งช่วยให้ผู้ใช้สามารถใช้ความเร็วสื่อและแบนด์วิดท์ที่หลากหลายได้ ชุดคุณสมบัติของ NPB สร้างขึ้นบนหลักการเพิ่มประสิทธิภาพสูงสุดของอุปกรณ์เครือข่าย โดยเฉพาะเครื่องมือตรวจสอบ วิเคราะห์ และรักษาความปลอดภัย
Network Packet Broker มีฟังก์ชั่นอะไรบ้าง?
ความสามารถของ NPB มีมากมายและอาจแตกต่างกันไปขึ้นอยู่กับยี่ห้อและรุ่นของอุปกรณ์ แม้ว่าตัวแทนแพ็คเกจใดๆ ก็ตามที่คุ้มค่าจะต้องมีชุดความสามารถหลัก NPB ส่วนใหญ่ (NPB ที่พบมากที่สุด) ทำงานที่ชั้น 2 ถึง 4 ของ OSI
โดยทั่วไป คุณจะพบคุณสมบัติต่อไปนี้บน NPB ของ L2-4: การรับส่งข้อมูล (หรือส่วนเฉพาะของมัน) การเปลี่ยนเส้นทาง การกรองการรับส่งข้อมูล การจำลองการรับส่งข้อมูล การแยกโปรโตคอล การแบ่งแพ็กเก็ต (การตัดทอน) การเริ่มหรือยุติโปรโตคอลอุโมงค์เครือข่ายต่างๆ และการปรับสมดุลโหลดสำหรับการรับส่งข้อมูล ตามที่คาดไว้ NPB ของ L2-4 สามารถกรอง VLAN, ป้ายชื่อ MPLS, ที่อยู่ MAC (ต้นทางและปลายทาง), ที่อยู่ IP (ต้นทางและปลายทาง), พอร์ต TCP และ UDP (ต้นทางและปลายทาง) และแม้แต่แฟล็ก TCP เช่นเดียวกับการรับส่งข้อมูล ICMP, SCTP และ ARP นี่ไม่ใช่คุณสมบัติที่นำมาใช้ แต่เป็นการให้แนวคิดว่า NPB ที่ทำงานที่เลเยอร์ 2 ถึง 4 สามารถแยกและระบุชุดย่อยของการรับส่งข้อมูลได้อย่างไร ข้อกำหนดสำคัญที่ลูกค้าควรพิจารณาใน NPB คือแบ็คเพลนที่ไม่บล็อก
โบรกเกอร์แพ็กเก็ตเครือข่ายต้องสามารถตอบสนองปริมาณการรับส่งข้อมูลทั้งหมดของพอร์ตแต่ละพอร์ตบนอุปกรณ์ได้ ในระบบแชสซี การเชื่อมต่อกับแบ็คเพลนจะต้องสามารถตอบสนองปริมาณการรับส่งข้อมูลทั้งหมดของโมดูลที่เชื่อมต่อได้ หาก NPB ปล่อยแพ็กเก็ตออกไป เครื่องมือเหล่านี้จะไม่เข้าใจเครือข่ายอย่างสมบูรณ์
แม้ว่า NPB ส่วนใหญ่จะใช้ ASIC หรือ FPGA แต่เนื่องจากประสิทธิภาพการประมวลผลแพ็กเก็ตที่แน่นอน คุณจึงสามารถรวมระบบหรือ CPU หลายๆ ตัวเข้าด้วยกันได้ (ผ่านโมดูล) Mylinking™ Network Packet Brokers (NPB) ใช้โซลูชัน ASIC ซึ่งโดยปกติแล้วจะเป็นฟีเจอร์ที่ให้การประมวลผลที่ยืดหยุ่น ดังนั้นจึงไม่สามารถทำในฮาร์ดแวร์เพียงอย่างเดียวได้ ฟีเจอร์เหล่านี้ได้แก่ การลบข้อมูลซ้ำซ้อนของแพ็กเก็ต การประทับเวลา การถอดรหัส SSL/TLS การค้นหาคำสำคัญ และการค้นหานิพจน์ทั่วไป สิ่งสำคัญคือต้องทราบว่าฟังก์ชันการทำงานนั้นขึ้นอยู่กับประสิทธิภาพของ CPU (ตัวอย่างเช่น การค้นหานิพจน์ทั่วไปที่มีรูปแบบเดียวกันอาจให้ผลลัพธ์ประสิทธิภาพที่แตกต่างกันมาก ขึ้นอยู่กับประเภทของการรับส่งข้อมูล อัตราการจับคู่ และแบนด์วิดท์) ดังนั้นจึงไม่ใช่เรื่องง่ายที่จะระบุได้ก่อนการใช้งานจริง
หากเปิดใช้งานคุณสมบัติที่ขึ้นอยู่กับ CPU คุณสมบัติเหล่านี้จะกลายเป็นปัจจัยจำกัดในประสิทธิภาพโดยรวมของ NPB การถือกำเนิดของ CPU และชิปสวิตชิ่งแบบตั้งโปรแกรมได้ เช่น Cavium Xpliant, Barefoot Tofino และ Innovium Teralynx ยังเป็นพื้นฐานของชุดความสามารถที่ขยายเพิ่มขึ้นสำหรับตัวแทนแพ็กเก็ตเครือข่ายรุ่นถัดไปอีกด้วย หน่วยการทำงานเหล่านี้สามารถจัดการกับปริมาณการรับส่งข้อมูลที่สูงกว่า L4 (มักเรียกว่าตัวแทนแพ็กเก็ต L7) ในบรรดาคุณสมบัติขั้นสูงที่กล่าวถึงข้างต้น การค้นหาคำหลักและนิพจน์ทั่วไปถือเป็นตัวอย่างที่ดีของความสามารถรุ่นถัดไป ความสามารถในการค้นหาเพย์โหลดแพ็กเก็ตช่วยให้สามารถกรองปริมาณการรับส่งข้อมูลในระดับเซสชันและแอปพลิเคชัน และให้การควบคุมที่ละเอียดกว่าเครือข่ายที่กำลังพัฒนามากกว่า L2-4
Network Packet Broker เข้ากับโครงสร้างพื้นฐานได้อย่างไร?
สามารถติดตั้ง NPB ลงในโครงสร้างพื้นฐานเครือข่ายได้ 2 วิธีที่แตกต่างกัน:
1- อินไลน์
2- นอกวง
แต่ละวิธีมีข้อดีและข้อเสีย และช่วยให้สามารถจัดการปริมาณการรับส่งข้อมูลได้ในลักษณะที่วิธีอื่นไม่สามารถทำได้ โบรกเกอร์แพ็กเก็ตเครือข่ายอินไลน์มีปริมาณการรับส่งข้อมูลเครือข่ายแบบเรียลไทม์ที่ส่งผ่านอุปกรณ์ระหว่างทางไปยังปลายทาง ซึ่งทำให้สามารถจัดการปริมาณการรับส่งข้อมูลได้แบบเรียลไทม์ ตัวอย่างเช่น เมื่อเพิ่ม แก้ไข หรือลบแท็ก VLAN หรือเปลี่ยนที่อยู่ IP ปลายทาง ปริมาณการรับส่งข้อมูลจะถูกคัดลอกไปยังลิงก์ที่สอง ในฐานะวิธีอินไลน์ NPB ยังสามารถจัดเตรียมการสำรองข้อมูลสำหรับเครื่องมืออินไลน์อื่นๆ เช่น IDS, IPS หรือไฟร์วอลล์ได้อีกด้วย NPB สามารถตรวจสอบสถานะของอุปกรณ์ดังกล่าวและเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังโหมดสแตนด์บายแบบฮอตสแตนด์บายแบบไดนามิกในกรณีที่เกิดความล้มเหลว
โปรแกรมนี้ให้ความยืดหยุ่นอย่างมากในการประมวลผลและจำลองการรับส่งข้อมูลไปยังอุปกรณ์ตรวจสอบและรักษาความปลอดภัยหลายเครื่องโดยไม่ส่งผลกระทบต่อเครือข่ายแบบเรียลไทม์ นอกจากนี้ยังให้การมองเห็นเครือข่ายที่ไม่เคยมีมาก่อนและรับรองว่าอุปกรณ์ทั้งหมดได้รับสำเนาการรับส่งข้อมูลที่จำเป็นในการจัดการความรับผิดชอบอย่างเหมาะสม ไม่เพียงแต่รับรองว่าเครื่องมือตรวจสอบ ความปลอดภัย และการวิเคราะห์ของคุณได้รับข้อมูลที่ต้องการเท่านั้น แต่ยังรับรองว่าเครือข่ายของคุณปลอดภัยอีกด้วย นอกจากนี้ยังรับรองว่าอุปกรณ์จะไม่ใช้ทรัพยากรกับการรับส่งข้อมูลที่ไม่ต้องการ บางทีเครื่องวิเคราะห์เครือข่ายของคุณไม่จำเป็นต้องบันทึกการรับส่งข้อมูลสำรองเนื่องจากจะใช้พื้นที่ดิสก์ที่มีค่าในระหว่างการสำรองข้อมูล สิ่งเหล่านี้สามารถกรองออกจากเครื่องวิเคราะห์ได้อย่างง่ายดายในขณะที่รักษาการรับส่งข้อมูลอื่นๆ ทั้งหมดสำหรับเครื่องมือ บางทีคุณอาจมีซับเน็ตทั้งหมดที่คุณต้องการซ่อนไว้จากระบบอื่น อีกครั้ง สิ่งนี้สามารถลบออกได้อย่างง่ายดายจากพอร์ตเอาท์พุตที่เลือก ในความเป็นจริง NPB ตัวเดียวสามารถประมวลผลลิงก์การรับส่งข้อมูลบางส่วนแบบอินไลน์ในขณะที่ประมวลผลการรับส่งข้อมูลนอกแบนด์อื่นๆ
เวลาโพสต์ : 09 มี.ค. 2565
