Желілік пакет брокері (ЖПБ) - портативті құрылғылардан бастап 1U және 2U блоктық корпустарға және үлкен корпустар мен плата жүйелеріне дейін өлшемдері бойынша өзгеретін коммутатор тәрізді желілік құрылғы. Коммутатордан айырмашылығы, ЖПБ нақты нұсқау берілмесе, ол арқылы өтетін трафикті ешқандай жолмен өзгертпейді. ЖПБ бір немесе бірнеше интерфейстерде трафикті қабылдай алады, сол трафикте алдын ала анықталған кейбір функцияларды орындай алады, содан кейін оны бір немесе бірнеше интерфейстерге шығара алады.
Бұлар көбінесе кез келген-кез келгенге, көп-кез келгенге және кез келген-көпке порттық бейнелеу деп аталады. Орындауға болатын функциялар трафикті бағыттау немесе тастау сияқты қарапайымнан бастап, белгілі бір сеансты анықтау үшін 5-деңгейден жоғары ақпаратты сүзу сияқты күрделіге дейін болады. NPB интерфейстері мыс кабельдік қосылымдар болуы мүмкін, бірақ әдетте пайдаланушыларға әртүрлі медиа және өткізу қабілеттілігі жылдамдықтарын пайдалануға мүмкіндік беретін SFP/SFP + және QSFP кадрлары болып табылады. NPB функциялар жиынтығы желілік жабдықтың, әсіресе мониторинг, талдау және қауіпсіздік құралдарының тиімділігін барынша арттыру принципіне негізделген.
Желілік пакет брокері қандай функцияларды орындайды?
NPB мүмкіндіктері сан алуан және құрылғының бренді мен моделіне байланысты өзгеруі мүмкін, дегенмен кез келген пакет агенті негізгі мүмкіндіктер жиынтығына ие болғысы келеді. Көптеген NPB (ең көп таралған NPB) OSI 2-ден 4-ке дейінгі деңгейлерде жұмыс істейді.
Жалпы алғанда, L2-4 NPB-де келесі мүмкіндіктерді табуға болады: трафикті (немесе оның белгілі бір бөліктерін) қайта бағыттау, трафикті сүзу, трафикті репликациялау, хаттаманы жою, пакеттерді кесу (қию), әртүрлі желілік туннель хаттамаларын іске қосу немесе тоқтату және трафик үшін жүктемені теңестіру. Күтілгендей, L2-4 NPB VLAN, MPLS белгілерін, MAC мекенжайларын (бастапқы және мақсатты), IP мекенжайларын (бастапқы және мақсатты), TCP және UDP порттарын (бастапқы және мақсатты), тіпті TCP жалауларын, сондай-ақ ICMP, SCTP және ARP трафигін сүзгілей алады. Бұл ешқандай жағдайда қолданылатын мүмкіндік емес, керісінше 2-ден 4-ке дейінгі деңгейлерде жұмыс істейтін NPB трафиктің ішкі жиынтықтарын қалай бөліп, анықтай алатыны туралы түсінік береді. Тұтынушылар NPB-де іздеуі керек негізгі талап - бұғаттамайтын артқы панель.
Желілік пакет брокері құрылғыдағы әрбір порттың толық трафик өткізу қабілетін қамтамасыз ете алуы керек. Шасси жүйесінде артқы панельмен өзара байланыс қосылған модульдердің толық трафик жүктемесін де қамтамасыз ете алуы керек. Егер NPB пакетті тастап кетсе, бұл құралдар желіні толық түсінбейді.
NPB басым көпшілігі ASIC немесе FPGA негізінде жасалғанымен, пакеттерді өңдеу өнімділігінің сенімділігіне байланысты көптеген интеграцияларды немесе процессорларды (модульдер арқылы) қолайлы деп санауға болады. Mylinking™ желілік пакет брокерлері (NPB) ASIC шешіміне негізделген. Бұл әдетте икемді өңдеуді қамтамасыз ететін мүмкіндік, сондықтан оны тек аппараттық құралда жасау мүмкін емес. Оларға пакеттерді қайталауды алып тастау, уақыт белгілері, SSL/TLS шифрын ашу, кілт сөздерді іздеу және тұрақты өрнектерді іздеу кіреді. Оның функционалдығы процессордың өнімділігіне байланысты екенін ескеру маңызды. (Мысалы, бірдей үлгідегі тұрақты өрнектерді іздеу трафик түріне, сәйкестендіру жылдамдығына және өткізу қабілеттілігіне байланысты өте әртүрлі өнімділік нәтижелерін бере алады), сондықтан нақты енгізу алдында анықтау оңай емес.
Егер процессорға тәуелді мүмкіндіктер қосылса, олар NPB жалпы өнімділігін шектейтін факторға айналады. Cavium Xpliant, Barefoot Tofino және Innovium Teralynx сияқты процессорлар мен бағдарламаланатын коммутациялық чиптердің пайда болуы келесі буын желілік пакет агенттері үшін кеңейтілген мүмкіндіктер жиынтығының негізін қалады. Бұл функционалдық блоктар L4-тен жоғары трафикті (көбінесе L7 пакет агенттері деп аталады) өңдей алады. Жоғарыда аталған кеңейтілген мүмкіндіктердің ішінде кілт сөзді және тұрақты өрнектерді іздеу келесі буын мүмкіндіктерінің жақсы мысалдары болып табылады. Пакеттік жүктемелерді іздеу мүмкіндігі сессия және қолданба деңгейлерінде трафикті сүзуге мүмкіндік береді және L2-4-ке қарағанда дамып келе жатқан желіні жақсы басқаруды қамтамасыз етеді.
Network Packet Broker инфрақұрылымға қалай сәйкес келеді?
NPB желілік инфрақұрылымға екі түрлі жолмен орнатылуы мүмкін:
1- Кіріктірілген
2- Топтан тыс.
Әрбір тәсілдің артықшылықтары мен кемшіліктері бар және басқа тәсілдер жасай алмайтын жолдармен трафикті басқаруға мүмкіндік береді. Кірістірілген желілік пакет брокерінде құрылғыны мақсатты жерге апаратын жолда өтетін нақты уақыт режиміндегі желілік трафик бар. Бұл трафикті нақты уақыт режимінде басқару мүмкіндігін береді. Мысалы, VLAN тегтерін қосқанда, өзгерткенде немесе жойғанда немесе мақсатты IP мекенжайларын өзгерткенде трафик екінші сілтемеге көшіріледі. Кірістірілген әдіс ретінде NPB IDS, IPS немесе брандмауэрлер сияқты басқа кірістірілген құралдар үшін резервтік мүмкіндіктер бере алады. NPB мұндай құрылғылардың күйін бақылай алады және істен шыққан жағдайда трафикті динамикалық түрде ыстық күту режиміне қайта бағыттай алады.
Бұл трафиктің нақты уақыт режиміндегі желіге әсер етпестен бірнеше бақылау және қауіпсіздік құрылғыларына қалай өңделетіні және көшірілетіні бойынша үлкен икемділік береді. Сондай-ақ, ол бұрын-соңды болмаған желілік көрінуді қамтамасыз етеді және барлық құрылғылардың өз міндеттерін дұрыс орындау үшін қажетті трафиктің көшірмесін алуын қамтамасыз етеді. Бұл сіздің бақылау, қауіпсіздік және талдау құралдарыңыздың қажетті трафикті алуын ғана емес, сонымен қатар желіңіздің қауіпсіздігін де қамтамасыз етеді. Сондай-ақ, құрылғының қажетсіз трафикке ресурстарды тұтынбауын қамтамасыз етеді. Мүмкін, сіздің желілік анализаторыңыз резервтік көшірме трафигін жазудың қажеті жоқ шығар, себебі ол резервтік көшірме жасау кезінде бағалы дискілік кеңістікті алады. Бұл заттар құрал үшін барлық басқа трафикті сақтай отырып, анализатордан оңай сүзіледі. Мүмкін, сізде басқа жүйеден жасырғыңыз келетін тұтас ішкі желі бар шығар; тағы да, бұл таңдалған шығыс портында оңай жойылады. Шын мәнінде, бір NPB басқа жолақтан тыс трафикті өңдей отырып, кейбір трафик байланыстарын желі ішінде өңдей алады.
Жарияланған уақыты: 09.03.2022
