Network Packet Broker (NPB) เป็นสวิตช์เช่นอุปกรณ์เครือข่ายที่มีขนาดตั้งแต่อุปกรณ์พกพาไปจนถึง 1U และ 2U ยูนิตไปจนถึงกรณีขนาดใหญ่และระบบบอร์ด ซึ่งแตกต่างจากสวิตช์ NPB จะไม่เปลี่ยนการรับส่งข้อมูลที่ไหลผ่านในทางใดทางหนึ่งเว้นแต่จะได้รับคำสั่งอย่างชัดเจน NPB สามารถรับทราฟฟิกบนอินเทอร์เฟซอย่างน้อยหนึ่งรายการทำฟังก์ชั่นที่กำหนดไว้ล่วงหน้าบางอย่างในทราฟฟิกนั้นแล้วส่งออกไปยังอินเทอร์เฟซอย่างน้อยหนึ่งรายการ
สิ่งเหล่านี้มักถูกเรียกว่าการแมปพอร์ตใด ๆ ที่มีหลายต่อทุกอย่าง ฟังก์ชั่นที่สามารถดำเนินการได้ตั้งแต่ง่ายเช่นการส่งต่อหรือยกเลิกการรับส่งข้อมูลไปยังที่ซับซ้อนเช่นข้อมูลการกรองด้านบนเลเยอร์ 5 เพื่อระบุเซสชันเฉพาะ อินเทอร์เฟซบน NPB สามารถเชื่อมต่อสายเคเบิลทองแดงได้ แต่โดยปกติจะเป็นเฟรม SFP/SFP + และ QSFP ซึ่งช่วยให้ผู้ใช้สามารถใช้สื่อและความเร็วแบนด์วิดท์ที่หลากหลาย ชุดคุณสมบัติของ NPB สร้างขึ้นบนหลักการของการเพิ่มประสิทธิภาพของอุปกรณ์เครือข่ายให้ได้มากที่สุดโดยเฉพาะอย่างยิ่งการตรวจสอบการวิเคราะห์และเครื่องมือรักษาความปลอดภัย
โบรกเกอร์แพ็คเก็ตเครือข่ายมีฟังก์ชั่นอะไรบ้าง?
ความสามารถของ NPB นั้นมีมากมายและอาจแตกต่างกันไปขึ้นอยู่กับแบรนด์และรุ่นของอุปกรณ์แม้ว่าตัวแทนแพ็คเกจใด ๆ ที่คุ้มค่าเกลือของเขาจะต้องการมีความสามารถหลัก ฟังก์ชั่น NPB ส่วนใหญ่ (NPB ที่พบบ่อยที่สุด) ที่ OSI Layers 2 ถึง 4
โดยทั่วไปคุณสามารถค้นหาคุณสมบัติต่อไปนี้ใน NPB ของ L2-4: การจราจร (หรือส่วนเฉพาะของมัน) การเปลี่ยนเส้นทางการกรองการจราจรการจำลองการจราจรการปอกโปรโตคอลการหั่นแพ็คเก็ต (การตัดทอน) เริ่มต้นหรือยกเลิกโปรโตคอลอุโมงค์เครือข่ายต่างๆ ตามที่คาดไว้ NPB ของ L2-4 สามารถกรอง VLAN, ฉลาก MPLS, ที่อยู่ MAC (แหล่งที่มาและเป้าหมาย), ที่อยู่ IP (แหล่งที่มาและเป้าหมาย), พอร์ต TCP และ UDP (แหล่งที่มาและเป้าหมาย) และแม้แต่ธง TCP รวมถึง ICMP, SCTP นี่ไม่ใช่คุณสมบัติที่จะใช้ แต่ให้ความคิดว่าการทำงานของ NPB ที่เลเยอร์ 2 ถึง 4 สามารถแยกและระบุชุดย่อยการจราจรได้อย่างไร ข้อกำหนดที่สำคัญที่ลูกค้าควรมองหาใน NPB คือ backplane ที่ไม่ปิดกั้น
โบรกเกอร์แพ็คเก็ตเครือข่ายจำเป็นต้องสามารถตอบสนองปริมาณการใช้ข้อมูลเต็มรูปแบบของแต่ละพอร์ตบนอุปกรณ์ ในระบบแชสซีการเชื่อมต่อระหว่างกันกับแบ็คเพลนจะต้องสามารถตอบสนองการจราจรเต็มรูปแบบของโมดูลที่เชื่อมต่อได้ หาก NPB ลดลงแพ็คเก็ตเครื่องมือเหล่านี้จะไม่มีความเข้าใจที่สมบูรณ์ของเครือข่าย
แม้ว่า NPB ส่วนใหญ่จะขึ้นอยู่กับ ASIC หรือ FPGA เนื่องจากความแน่นอนของประสิทธิภาพการประมวลผลแพ็กเก็ตคุณจะพบการรวมหรือซีพียูที่ยอมรับได้ (ผ่านโมดูล) MyLinking ™ Network Packet Brokers (NPB) ขึ้นอยู่กับโซลูชัน ASIC นี่เป็นคุณสมบัติที่ให้การประมวลผลที่ยืดหยุ่นและดังนั้นจึงไม่สามารถทำได้อย่างหมดจดในฮาร์ดแวร์ เหล่านี้รวมถึงการขจัดข้อมูลซ้ำซ้อนแพ็คเก็ต, การประทับเวลา, การถอดรหัส SSL/TLS, การค้นหาคำหลักและการค้นหานิพจน์ทั่วไป เป็นสิ่งสำคัญที่จะต้องทราบว่าการทำงานของมันขึ้นอยู่กับประสิทธิภาพของ CPU (ตัวอย่างเช่นการค้นหานิพจน์ปกติของรูปแบบเดียวกันสามารถให้ผลลัพธ์ที่แตกต่างกันมากขึ้นอยู่กับประเภทการจราจรอัตราการจับคู่และแบนด์วิดท์) ดังนั้นจึงไม่ใช่เรื่องง่ายที่จะกำหนดก่อนการใช้งานจริง
หากเปิดใช้งานคุณสมบัติขึ้นอยู่กับ CPU พวกเขาจะกลายเป็นปัจจัย จำกัด ในประสิทธิภาพโดยรวมของ NPB การถือกำเนิดของซีพียูและชิปสลับที่ตั้งโปรแกรมได้เช่น Cavium Xpleliant, Tofino เท้าเปล่าและนวัตกรรม Teralynx ซึ่งเป็นพื้นฐานของชุดความสามารถที่ขยายตัวสำหรับตัวแทนเครือข่ายรุ่นต่อไป ในบรรดาคุณสมบัติขั้นสูงที่กล่าวถึงข้างต้นคำหลักและการค้นหาการแสดงออกปกติเป็นตัวอย่างที่ดีของความสามารถรุ่นต่อไป ความสามารถในการค้นหาแพ็คเก็ต Payloads ให้โอกาสในการกรองปริมาณการใช้งานในระดับเซสชันและแอปพลิเคชันและให้การควบคุมเครือข่ายที่พัฒนาขึ้นอย่างละเอียดกว่า L2-4
นายหน้าแพ็คเก็ตเครือข่ายเข้ากับโครงสร้างพื้นฐานได้อย่างไร
NPB สามารถติดตั้งลงในโครงสร้างพื้นฐานเครือข่ายได้สองวิธี:
1- อินไลน์
2- นอกวง
แต่ละวิธีมีข้อดีและข้อเสียและช่วยให้การจัดการการจราจรในรูปแบบที่วิธีอื่นไม่สามารถทำได้ นายหน้าแพ็คเก็ตเครือข่ายแบบอินไลน์มีการรับส่งข้อมูลเครือข่ายแบบเรียลไทม์ที่ผ่านอุปกรณ์ไปยังปลายทาง สิ่งนี้ให้โอกาสในการจัดการการจราจรแบบเรียลไทม์ ตัวอย่างเช่นเมื่อเพิ่มแก้ไขหรือลบแท็ก VLAN หรือเปลี่ยนที่อยู่ IP ปลายทางการรับส่งข้อมูลจะถูกคัดลอกไปยังลิงค์ที่สอง ในฐานะวิธีการแบบอินไลน์ NPB ยังสามารถให้ความซ้ำซ้อนสำหรับเครื่องมืออินไลน์อื่น ๆ เช่น IDS, IPS หรือไฟร์วอลล์ NPB สามารถตรวจสอบสถานะของอุปกรณ์ดังกล่าวและทราฟฟิกเส้นทางใหม่แบบไดนามิกไปยังสแตนด์บายร้อนในกรณีที่เกิดความล้มเหลว
มันให้ความยืดหยุ่นอย่างมากในการประมวลผลการรับส่งข้อมูลและจำลองแบบไปยังอุปกรณ์ตรวจสอบและอุปกรณ์รักษาความปลอดภัยที่หลากหลายโดยไม่ส่งผลกระทบต่อเครือข่ายแบบเรียลไทม์ นอกจากนี้ยังให้การมองเห็นเครือข่ายที่ไม่เคยมีมาก่อนและทำให้มั่นใจได้ว่าอุปกรณ์ทั้งหมดจะได้รับสำเนาของการรับส่งข้อมูลที่จำเป็นในการจัดการความรับผิดชอบของพวกเขาอย่างเหมาะสม ไม่เพียง แต่ทำให้มั่นใจได้ว่าเครื่องมือตรวจสอบความปลอดภัยและการวิเคราะห์ของคุณจะได้รับการรับส่งข้อมูลที่พวกเขาต้องการ แต่ยังรวมถึงเครือข่ายของคุณที่ปลอดภัย นอกจากนี้ยังช่วยให้มั่นใจได้ว่าอุปกรณ์ไม่ได้ใช้ทรัพยากรในการรับส่งข้อมูลที่ไม่พึงประสงค์ บางทีเครื่องวิเคราะห์เครือข่ายของคุณไม่จำเป็นต้องบันทึกทราฟฟิกสำรองเพราะต้องใช้พื้นที่ดิสก์ที่มีค่าระหว่างการสำรองข้อมูล สิ่งเหล่านี้จะถูกกรองออกจากเครื่องวิเคราะห์ได้อย่างง่ายดายในขณะที่รักษาปริมาณการใช้งานอื่น ๆ ทั้งหมดสำหรับเครื่องมือ บางทีคุณอาจมีซับเน็ตทั้งหมดที่คุณต้องการซ่อนไว้จากระบบอื่น ๆ อีกครั้งนี้จะถูกลบออกได้อย่างง่ายดายบนพอร์ตเอาต์พุตที่เลือก ในความเป็นจริง NPB เดียวสามารถประมวลผลลิงก์การรับส่งข้อมูลแบบอินไลน์ในขณะที่ประมวลผลปริมาณการใช้งานนอกวงอื่น ๆ
เวลาโพสต์: Mar-09-2022
