Network Packet Broker (NPB) เป็นอุปกรณ์เครือข่ายคล้ายสวิตช์ที่มีขนาดตั้งแต่อุปกรณ์พกพาไปจนถึงเคสขนาด 1U และ 2U ไปจนถึงเคสขนาดใหญ่และระบบบอร์ด ต่างจากสวิตช์ NPB จะไม่เปลี่ยนแปลงทราฟฟิกที่ไหลผ่าน เว้นแต่จะได้รับคำสั่งอย่างชัดเจน NPB สามารถรับทราฟฟิกบนอินเทอร์เฟซอย่างน้อยหนึ่งอินเทอร์เฟซ ดำเนินการตามฟังก์ชันที่กำหนดไว้ล่วงหน้าบนทราฟฟิกนั้น แล้วส่งออกไปยังอินเทอร์เฟซอย่างน้อยหนึ่งอินเทอร์เฟซ
ฟังก์ชันเหล่านี้มักเรียกว่าการแมปพอร์ตแบบ any-to-any, many-to-any และ any-to-many ฟังก์ชันที่สามารถทำได้มีตั้งแต่แบบง่ายๆ เช่น การส่งต่อหรือยกเลิกทราฟฟิก ไปจนถึงแบบซับซ้อน เช่น การกรองข้อมูลเหนือเลเยอร์ 5 เพื่อระบุเซสชันเฉพาะ อินเทอร์เฟซบน NPB อาจเป็นการเชื่อมต่อด้วยสายเคเบิลทองแดง แต่โดยทั่วไปจะเป็นเฟรม SFP/SFP+ และ QSFP ซึ่งช่วยให้ผู้ใช้สามารถใช้ความเร็วสื่อและแบนด์วิดท์ที่หลากหลาย ชุดคุณสมบัติของ NPB สร้างขึ้นบนหลักการเพิ่มประสิทธิภาพสูงสุดของอุปกรณ์เครือข่าย โดยเฉพาะอย่างยิ่งเครื่องมือตรวจสอบ วิเคราะห์ และรักษาความปลอดภัย
Network Packet Broker มีฟังก์ชั่นอะไรบ้าง?
ความสามารถของ NPB มีมากมายและอาจแตกต่างกันไปขึ้นอยู่กับยี่ห้อและรุ่นของอุปกรณ์ แม้ว่าแพ็กเกจเอเจนต์ใดๆ ก็ตามที่คุ้มค่าย่อมต้องการชุดความสามารถหลัก NPB ส่วนใหญ่ (NPB ที่พบมากที่สุด) ทำงานที่ OSI เลเยอร์ 2 ถึง 4
โดยทั่วไป คุณจะพบคุณสมบัติต่อไปนี้บน NPB ของ L2-4: การรับส่งข้อมูล (หรือบางส่วน) การเปลี่ยนเส้นทาง, การกรองการรับส่งข้อมูล, การจำลองการรับส่งข้อมูล, การแยกโปรโตคอล, การแบ่งแพ็กเก็ต (การตัดทอน), การเริ่มหรือยุติโปรโตคอลอุโมงค์เครือข่ายต่างๆ และการปรับสมดุลภาระการรับส่งข้อมูล ตามที่คาดไว้ NPB ของ L2-4 สามารถกรอง VLAN, ป้ายกำกับ MPLS, ที่อยู่ MAC (ต้นทางและปลายทาง), ที่อยู่ IP (ต้นทางและปลายทาง), พอร์ต TCP และ UDP (ต้นทางและปลายทาง) และแม้แต่แฟล็ก TCP รวมถึงการรับส่งข้อมูล ICMP, SCTP และ ARP คุณสมบัตินี้ไม่ได้หมายความว่าจะใช้งานได้ แต่เป็นเพียงแนวทางในการแยกและระบุชุดย่อยของการรับส่งข้อมูลของ NPB ที่ทำงานในเลเยอร์ 2 ถึง 4 ข้อกำหนดหลักที่ลูกค้าควรพิจารณาใน NPB คือแบ็คเพลนแบบไม่บล็อก
Network packet Broker จำเป็นต้องสามารถรองรับปริมาณการรับส่งข้อมูลทั้งหมดของพอร์ตแต่ละพอร์ตบนอุปกรณ์ได้ ในระบบแชสซี การเชื่อมต่อกับแบ็คเพลนต้องสามารถรองรับปริมาณการรับส่งข้อมูลทั้งหมดของโมดูลที่เชื่อมต่อได้ หาก NPB ละทิ้งแพ็กเก็ต เครื่องมือเหล่านี้จะไม่สามารถเข้าใจเครือข่ายได้อย่างสมบูรณ์
แม้ว่า NPB ส่วนใหญ่จะอิงตาม ASIC หรือ FPGA แต่เนื่องจากประสิทธิภาพการประมวลผลแพ็กเก็ตที่แน่นอน คุณจึงสามารถใช้งานการผสานรวมหรือ CPU ได้หลายตัว (ผ่านโมดูล) Mylinking™ Network Packet Brokers (NPB) ใช้โซลูชัน ASIC ซึ่งโดยปกติแล้วเป็นฟีเจอร์ที่ให้การประมวลผลที่ยืดหยุ่น ดังนั้นจึงไม่สามารถทำผ่านฮาร์ดแวร์เพียงอย่างเดียวได้ ซึ่งรวมถึงการกำจัดข้อมูลซ้ำซ้อนของแพ็กเก็ต การประทับเวลา การถอดรหัส SSL/TLS การค้นหาคำสำคัญ และการค้นหานิพจน์ทั่วไป สิ่งสำคัญคือต้องทราบว่าฟังก์ชันการทำงานขึ้นอยู่กับประสิทธิภาพของ CPU (ตัวอย่างเช่น การค้นหานิพจน์ทั่วไปที่มีรูปแบบเดียวกันอาจให้ผลลัพธ์ประสิทธิภาพที่แตกต่างกันมาก ขึ้นอยู่กับประเภทของทราฟฟิก อัตราการจับคู่ และแบนด์วิดท์) ดังนั้นจึงไม่ใช่เรื่องง่ายที่จะพิจารณาก่อนการใช้งานจริง
หากเปิดใช้งานฟีเจอร์ที่ขึ้นอยู่กับ CPU ฟีเจอร์เหล่านี้จะกลายเป็นปัจจัยจำกัดประสิทธิภาพโดยรวมของ NPB การถือกำเนิดของ CPU และชิปสวิตชิ่งแบบตั้งโปรแกรมได้ เช่น Cavium Xpliant, Barefoot Tofino และ Innovium Teralynx ยังเป็นรากฐานของชุดความสามารถที่ขยายเพิ่มขึ้นสำหรับเอเจนต์แพ็กเก็ตเครือข่ายรุ่นต่อไป หน่วยการทำงานเหล่านี้สามารถรองรับทราฟฟิกที่สูงกว่า L4 (มักเรียกว่าเอเจนต์แพ็กเก็ต L7) ในบรรดาฟีเจอร์ขั้นสูงที่กล่าวถึงข้างต้น การค้นหาด้วยคีย์เวิร์ดและนิพจน์ทั่วไปเป็นตัวอย่างที่ดีของความสามารถรุ่นต่อไป ความสามารถในการค้นหาเพย์โหลดแพ็กเก็ตช่วยเพิ่มโอกาสในการกรองทราฟฟิกในระดับเซสชันและแอปพลิเคชัน และให้การควบคุมเครือข่ายที่กำลังพัฒนาได้ละเอียดกว่า L2-4
Network Packet Broker เข้ากับโครงสร้างพื้นฐานได้อย่างไร
สามารถติดตั้ง NPB ลงในโครงสร้างพื้นฐานเครือข่ายได้ 2 วิธีที่แตกต่างกัน:
1- อินไลน์
2- นอกแบนด์
แต่ละวิธีมีข้อดีและข้อเสีย และช่วยให้สามารถจัดการทราฟฟิกได้ในลักษณะที่วิธีอื่นทำไม่ได้ โบรกเกอร์แพ็กเก็ตเครือข่ายแบบอินไลน์มีทราฟฟิกเครือข่ายแบบเรียลไทม์ที่ส่งผ่านอุปกรณ์ระหว่างทางไปยังปลายทาง ซึ่งทำให้สามารถจัดการทราฟฟิกได้แบบเรียลไทม์ ตัวอย่างเช่น เมื่อเพิ่ม แก้ไข หรือลบแท็ก VLAN หรือเปลี่ยนที่อยู่ IP ปลายทาง ทราฟฟิกจะถูกคัดลอกไปยังลิงก์ที่สอง ในฐานะวิธีการแบบอินไลน์ NPB ยังสามารถให้ความซ้ำซ้อนกับเครื่องมือแบบอินไลน์อื่นๆ เช่น IDS, IPS หรือไฟร์วอลล์ NPB สามารถตรวจสอบสถานะของอุปกรณ์เหล่านี้และเปลี่ยนเส้นทางทราฟฟิกไปยัง Hot Standby แบบไดนามิกในกรณีที่เกิดความล้มเหลว
มอบความยืดหยุ่นอย่างมากในการประมวลผลและจำลองทราฟฟิกไปยังอุปกรณ์ตรวจสอบและรักษาความปลอดภัยหลายเครื่องโดยไม่ส่งผลกระทบต่อเครือข่ายแบบเรียลไทม์ นอกจากนี้ยังให้การมองเห็นเครือข่ายที่เหนือชั้นและมั่นใจได้ว่าอุปกรณ์ทั้งหมดจะได้รับสำเนาทราฟฟิกที่จำเป็นต่อการจัดการความรับผิดชอบอย่างเหมาะสม ไม่เพียงแต่ช่วยให้มั่นใจได้ว่าเครื่องมือตรวจสอบ ความปลอดภัย และการวิเคราะห์ของคุณได้รับทราฟฟิกที่ต้องการเท่านั้น แต่ยังช่วยให้เครือข่ายของคุณปลอดภัยอีกด้วย นอกจากนี้ยังช่วยให้มั่นใจได้ว่าอุปกรณ์จะไม่ใช้ทรัพยากรกับทราฟฟิกที่ไม่ต้องการ บางทีตัววิเคราะห์เครือข่ายของคุณไม่จำเป็นต้องบันทึกทราฟฟิกสำรอง เพราะจะใช้พื้นที่ดิสก์ที่มีค่าระหว่างการสำรองข้อมูล ข้อมูลเหล่านี้สามารถกรองออกจากตัววิเคราะห์ได้อย่างง่ายดาย ในขณะเดียวกันก็รักษาทราฟฟิกอื่นๆ ไว้สำหรับเครื่องมือ คุณอาจมีซับเน็ตทั้งหมดที่คุณต้องการซ่อนจากระบบอื่น ซึ่งอีกครั้ง สิ่งนี้สามารถลบออกจากพอร์ตเอาต์พุตที่เลือกได้อย่างง่ายดาย อันที่จริง NPB เพียงตัวเดียวสามารถประมวลผลลิงก์ทราฟฟิกบางส่วนแบบอินไลน์ได้ ในขณะที่ประมวลผลทราฟฟิกอื่นๆ ที่อยู่นอกแบนด์วิดท์
เวลาโพสต์: 9 มี.ค. 2565
