Network Packet Broker (NPB) เป็นอุปกรณ์เครือข่ายคล้ายสวิตช์ที่มีขนาดหลากหลาย ตั้งแต่อุปกรณ์พกพาไปจนถึงเคสขนาด 1U และ 2U รวมถึงเคสขนาดใหญ่และระบบแบบบอร์ด แต่ต่างจากสวิตช์ตรงที่ NPB จะไม่เปลี่ยนแปลงข้อมูลที่ไหลผ่านมันแต่อย่างใด เว้นแต่จะได้รับคำสั่งอย่างชัดเจน NPB สามารถรับข้อมูลผ่านอินเทอร์เฟซหนึ่งหรือหลายอินเทอร์เฟซ ดำเนินการตามฟังก์ชันที่กำหนดไว้ล่วงหน้ากับข้อมูลนั้น แล้วส่งออกไปยังอินเทอร์เฟซหนึ่งหรือหลายอินเทอร์เฟซ
โดยทั่วไปแล้ว มักเรียกการแมปพอร์ตเหล่านี้ว่าแบบใดก็ได้ต่อใดก็ได้ แบบหลายต่อใดก็ได้ และแบบใดก็ได้ต่อหลาย ฟังก์ชันที่สามารถทำได้มีตั้งแต่แบบง่าย เช่น การส่งต่อหรือการทิ้งข้อมูล ไปจนถึงแบบซับซ้อน เช่น การกรองข้อมูลที่สูงกว่าเลเยอร์ 5 เพื่อระบุเซสชันเฉพาะ อินเทอร์เฟซบน NPB อาจเป็นการเชื่อมต่อด้วยสายทองแดง แต่โดยปกติจะเป็นเฟรม SFP/SFP+ และ QSFP ซึ่งช่วยให้ผู้ใช้สามารถใช้สื่อและความเร็วแบนด์วิดท์ที่หลากหลาย ชุดคุณสมบัติของ NPB สร้างขึ้นบนหลักการของการเพิ่มประสิทธิภาพของอุปกรณ์เครือข่ายให้สูงสุด โดยเฉพาะอย่างยิ่งเครื่องมือตรวจสอบ วิเคราะห์ และรักษาความปลอดภัย
Network Packet Broker ทำหน้าที่อะไรบ้าง?
ความสามารถของ NPB นั้นมีมากมายและอาจแตกต่างกันไปขึ้นอยู่กับยี่ห้อและรุ่นของอุปกรณ์ แม้ว่าตัวแทนแพ็กเกจที่ดีจะต้องมีชุดความสามารถหลัก ๆ ก็ตาม NPB ส่วนใหญ่ (NPB ที่พบได้ทั่วไป) ทำงานที่เลเยอร์ OSI 2 ถึง 4
โดยทั่วไปแล้ว คุณจะพบคุณสมบัติต่อไปนี้บน NPB ของเลเยอร์ 2-4: การเปลี่ยนเส้นทางการรับส่งข้อมูล (หรือส่วนเฉพาะของการรับส่งข้อมูล), การกรองการรับส่งข้อมูล, การจำลองการรับส่งข้อมูล, การตัดโปรโตคอล, การแบ่งแพ็กเก็ต (การตัดทอน), การเริ่มต้นหรือยุติโปรโตคอลอุโมงค์เครือข่ายต่างๆ และการกระจายโหลดสำหรับการรับส่งข้อมูล ตามที่คาดไว้ NPB ของเลเยอร์ 2-4 สามารถกรอง VLAN, ป้ายกำกับ MPLS, ที่อยู่ MAC (ต้นทางและปลายทาง), ที่อยู่ IP (ต้นทางและปลายทาง), พอร์ต TCP และ UDP (ต้นทางและปลายทาง) และแม้แต่แฟล็ก TCP รวมถึงการรับส่งข้อมูล ICMP, SCTP และ ARP นี่ไม่ใช่คุณสมบัติที่จะนำไปใช้งานจริง แต่เป็นการแสดงให้เห็นว่า NPB ที่ทำงานในเลเยอร์ 2 ถึง 4 สามารถแยกและระบุชุดย่อยของการรับส่งข้อมูลได้อย่างไร ข้อกำหนดสำคัญที่ลูกค้าควรพิจารณาใน NPB คือแบ็คเพลนที่ไม่ปิดกั้น (non-blocking backplane)
ตัวกลางจัดการแพ็กเก็ตเครือข่าย (Network Packet Broker หรือ NPB) ต้องสามารถรองรับปริมาณการรับส่งข้อมูลสูงสุดของแต่ละพอร์ตบนอุปกรณ์ได้ ในระบบแชสซี การเชื่อมต่อกับแบ็คเพลนก็ต้องสามารถรองรับปริมาณการรับส่งข้อมูลสูงสุดของโมดูลที่เชื่อมต่ออยู่ได้เช่นกัน หาก NPB ทิ้งแพ็กเก็ต เครื่องมือเหล่านี้จะไม่สามารถเข้าใจเครือข่ายได้อย่างสมบูรณ์
แม้ว่า NPB ส่วนใหญ่จะใช้ ASIC หรือ FPGA เป็นพื้นฐาน แต่เนื่องจากประสิทธิภาพการประมวลผลแพ็กเก็ตที่แน่นอน คุณจะพบว่าการรวมระบบหรือ CPU จำนวนมากสามารถใช้งานได้ (ผ่านโมดูล) Mylinking™ Network Packet Brokers (NPB) ใช้โซลูชัน ASIC ซึ่งโดยปกติแล้วเป็นคุณสมบัติที่ให้การประมวลผลที่ยืดหยุ่น และดังนั้นจึงไม่สามารถทำได้ด้วยฮาร์ดแวร์เพียงอย่างเดียว คุณสมบัติเหล่านี้รวมถึงการกำจัดแพ็กเก็ตซ้ำ การประทับเวลา การถอดรหัส SSL/TLS การค้นหาคำหลัก และการค้นหาด้วยนิพจน์ปกติ สิ่งสำคัญคือต้องทราบว่าฟังก์ชันการทำงานขึ้นอยู่กับประสิทธิภาพของ CPU (ตัวอย่างเช่น การค้นหานิพจน์ปกติของรูปแบบเดียวกันอาจให้ผลลัพธ์ที่แตกต่างกันมาก ขึ้นอยู่กับประเภทของทราฟฟิก อัตราการจับคู่ และแบนด์วิดท์) ดังนั้นจึงไม่ใช่เรื่องง่ายที่จะกำหนดก่อนการใช้งานจริง
หากเปิดใช้งานคุณสมบัติที่ขึ้นอยู่กับ CPU คุณสมบัติเหล่านั้นจะกลายเป็นปัจจัยจำกัดประสิทธิภาพโดยรวมของ NPB การเกิดขึ้นของ CPU และชิปสวิตช์แบบโปรแกรมได้ เช่น Cavium Xpliant, Barefoot Tofino และ Innovium Teralynx ยังเป็นพื้นฐานของชุดความสามารถที่ขยายตัวสำหรับเอเจนต์แพ็กเก็ตเครือข่ายรุ่นใหม่ หน่วยการทำงานเหล่านี้สามารถจัดการทราฟฟิกที่สูงกว่า L4 (มักเรียกว่าเอเจนต์แพ็กเก็ต L7) ในบรรดาคุณสมบัติขั้นสูงที่กล่าวถึงข้างต้น การค้นหาคำหลักและนิพจน์ปกติเป็นตัวอย่างที่ดีของความสามารถรุ่นใหม่ ความสามารถในการค้นหาเพย์โหลดแพ็กเก็ตช่วยให้สามารถกรองทราฟฟิกในระดับเซสชันและแอปพลิเคชัน และให้การควบคุมที่ละเอียดกว่าในเครือข่ายที่กำลังพัฒนามากกว่า L2-4
Network Packet Broker เข้ากับโครงสร้างพื้นฐานได้อย่างไร?
สามารถติดตั้ง NPB เข้ากับโครงสร้างพื้นฐานเครือข่ายได้สองวิธี:
1- อินไลน์
2. นอกแบนด์วิดท์
แต่ละแนวทางมีข้อดีและข้อเสีย และช่วยให้สามารถจัดการการรับส่งข้อมูลได้ในแบบที่แนวทางอื่นทำไม่ได้ ตัวกลางจัดการแพ็กเก็ตเครือข่ายแบบอินไลน์ (NPB) จะจัดการการรับส่งข้อมูลเครือข่ายแบบเรียลไทม์ที่ผ่านอุปกรณ์ระหว่างทางไปยังปลายทาง ซึ่งเปิดโอกาสให้สามารถจัดการการรับส่งข้อมูลได้แบบเรียลไทม์ ตัวอย่างเช่น เมื่อเพิ่ม แก้ไข หรือลบแท็ก VLAN หรือเปลี่ยนที่อยู่ IP ปลายทาง การรับส่งข้อมูลจะถูกคัดลอกไปยังลิงก์ที่สอง ในฐานะที่เป็นวิธีการแบบอินไลน์ NPB ยังสามารถให้ความซ้ำซ้อนสำหรับเครื่องมืออินไลน์อื่นๆ เช่น IDS, IPS หรือไฟร์วอลล์ NPB สามารถตรวจสอบสถานะของอุปกรณ์ดังกล่าวและกำหนดเส้นทางการรับส่งข้อมูลใหม่ไปยังอุปกรณ์สำรองโดยอัตโนมัติในกรณีที่เกิดความล้มเหลว
อุปกรณ์นี้ให้ความยืดหยุ่นอย่างมากในการประมวลผลและจำลองการรับส่งข้อมูลไปยังอุปกรณ์ตรวจสอบและรักษาความปลอดภัยหลายตัวโดยไม่กระทบต่อเครือข่ายแบบเรียลไทม์ นอกจากนี้ยังให้การมองเห็นเครือข่ายที่ไม่เคยมีมาก่อนและรับประกันว่าอุปกรณ์ทั้งหมดจะได้รับสำเนาของการรับส่งข้อมูลที่จำเป็นเพื่อจัดการหน้าที่ของตนได้อย่างถูกต้อง ไม่เพียงแต่รับประกันว่าเครื่องมือตรวจสอบ รักษาความปลอดภัย และวิเคราะห์ของคุณจะได้รับการรับส่งข้อมูลที่ต้องการเท่านั้น แต่ยังรับประกันว่าเครือข่ายของคุณปลอดภัยอีกด้วย นอกจากนี้ยังรับประกันว่าอุปกรณ์จะไม่ใช้ทรัพยากรกับการรับส่งข้อมูลที่ไม่ต้องการ ตัวอย่างเช่น เครื่องมือวิเคราะห์เครือข่ายของคุณอาจไม่จำเป็นต้องบันทึกการรับส่งข้อมูลสำรองเนื่องจากใช้พื้นที่ดิสก์อันมีค่าในระหว่างการสำรองข้อมูล สิ่งเหล่านี้สามารถกรองออกจากเครื่องมือวิเคราะห์ได้อย่างง่ายดายในขณะที่ยังคงรักษาการรับส่งข้อมูลอื่นๆ ทั้งหมดไว้สำหรับเครื่องมือ หรือบางทีคุณอาจมีซับเน็ตทั้งหมดที่คุณต้องการซ่อนจากระบบอื่น สิ่งนี้สามารถลบออกได้อย่างง่ายดายบนพอร์ตเอาต์พุตที่เลือก อันที่จริง NPB ตัวเดียวสามารถประมวลผลลิงก์การรับส่งข้อมูลบางส่วนแบบอินไลน์ในขณะที่ประมวลผลการรับส่งข้อมูลนอกแบนด์อื่นๆ ได้
วันที่โพสต์: 9 มีนาคม 2022
