Network Packet Broker (NPB) er en switch som netværksenhed, der spænder i størrelse fra bærbare enheder til 1U og 2u enhedssager til store sager og brætsystemer. I modsætning til en switch ændrer NPB ikke den trafik, der strømmer gennem den på nogen måde, medmindre det eksplicit instrueres. NPB kan modtage trafik på en eller flere grænseflader, udføre nogle foruddefinerede funktioner på den trafik og derefter udsende den til en eller flere grænseflader.
Disse omtales ofte som enhver-til-enhver, mange-til-enhver og enhver-til-mange havnekortlægning. De funktioner, der kan udføres, spænder fra enkel, såsom videresendelse eller kassering af trafik, til kompleks, såsom filtreringsinformation over lag 5 for at identificere en bestemt session. Grænseflader på NPB kan være kobberkabelforbindelser, men er normalt SFP/SFP + og QSFP -rammer, som giver brugerne mulighed for at bruge en række medier og båndbreddehastigheder. NPBs funktionssæt er bygget på princippet om at maksimere effektiviteten af netværksudstyr, især overvågning, analyse og sikkerhedsværktøjer.
Hvilke funktioner leverer netværkspakken mægler?
NPBs kapaciteter er adskillige og kan variere afhængigt af mærket og modellen af enhed, selvom enhver pakkeagent, der er værd at hans salt, vil have et kernesæt med kapaciteter. De fleste NPB (de mest almindelige NPB) fungerer på OSI -lag 2 til 4.
Generelt kan du finde følgende funktioner på NPB for L2-4: trafik (eller specifikke dele af det) omdirigering, trafikfiltrering, trafikreplikation, protokolstripping, pakkeopskæring (trunkering), start eller afslutning af forskellige netværkstunnelprotokoller og belastning af balance for trafik. Som forventet kan L2-4s NPB filtrere VLAN, MPLS-etiketter, MAC-adresser (kilde og mål), IP-adresser (kilde og mål), TCP- og UDP-porte (kilde og mål) og endda TCP-flag samt ICMP, SCTP og ARP-trafik. Dette er på ingen måde en funktion, der skal bruges, men giver snarere en idé om, hvordan NPB fungerer i lag 2 til 4 kan adskille og identificere trafikundersæt. Et centralt krav, som kunderne skal kigge efter i NPB, er en ikke-blokerende bagplan.
Netværkspakke mægler skal være i stand til at imødekomme den fulde trafik gennemstrømning af hver port på enheden. I chassisystemet skal sammenkoblingen med bagplanet også være i stand til at opfylde den fulde trafikbelastning af de tilsluttede moduler. Hvis NPB falder pakken, vil disse værktøjer ikke have en fuldstændig forståelse af netværket.
Selvom langt de fleste af NPB er baseret på ASIC eller FPGA på grund af sikkerhed for pakkebehandlingsydelse, finder du mange integrationer eller CPU'er acceptabelt (via moduler). MyLinking ™ Network Packet Brokers (NPB) er baseret på ASIC -løsning. Dette er normalt en funktion, der giver fleksibel behandling og derfor ikke kan udføres rent i hardware. Disse inkluderer pakkereduplikation, tidsstempler, SSL/TLS -dekryptering, søgeordssøgning og regelmæssig udtrykssøgning. Det er vigtigt at bemærke, at dens funktionalitet afhænger af CPU -ydeevne. (For eksempel kan regulære udtrykssøgninger af det samme mønster give meget forskellige ydelsesresultater afhængigt af trafiktype, matchende hastighed og båndbredde), så det er ikke let at bestemme inden den faktiske implementering.
Hvis CPU-afhængige funktioner er aktiveret, bliver de en begrænsende faktor i den samlede ydelse af NPB. Fremkomsten af CPU'er og programmerbare switching chips, såsom Cavium Xpliant, Barefoot Tofino og Innovium teralynx, dannede også grundlaget for et udvidet sæt kapaciteter til næste generations netværkspakkeagenter, disse funktionelle enheder kan håndtere trafik over L4 (ofte benævnt L7-pakkeagenter). Blandt de avancerede funktioner, der er nævnt ovenfor, er nøgleord og regulær udtrykssøgning gode eksempler på næste generations kapacitet. Evnen til at søge pakke-nyttelast giver muligheder for at filtrere trafik på sessionen og applikationsniveauerne og giver finere kontrol over et udviklende netværk end L2-4.
Hvordan passer netværkspakke mægler ind i infrastrukturen?
NPB kan installeres i en netværksinfrastruktur på to forskellige måder:
1- Inline
2- Out-of-Band.
Hver tilgang har fordele og ulemper og muliggør trafikmanipulation på måder, som andre tilgange ikke kan. Den inline netværkspakke mægler har realtidsnetværkstrafik, der krydser enheden på vej til sin destination. Dette giver mulighed for at manipulere trafik i realtid. For eksempel, når du tilføjer, ændrer eller sletter VLAN -tags eller ændrer destinations -IP -adresser, kopieres trafik til et andet link. Som en inline -metode kan NPB også give redundans for andre inline -værktøjer, såsom ID'er, IPS eller Firewalls. NPB kan overvåge status for sådanne enheder og dynamisk omdirigere trafik til varm standby i tilfælde af en fiasko.
Det giver stor fleksibilitet i, hvordan trafik behandles og replikeres til flere overvågnings- og sikkerhedsenheder uden at påvirke realtidsnetværket. Det giver også hidtil uset netværkssynlighed og sikrer, at alle enheder modtager en kopi af den trafik, der er nødvendig for korrekt at håndtere deres ansvar. Det sikrer ikke kun, at din overvågning, sikkerhed og analyseværktøjer får den trafik, de har brug for, men også at dit netværk er sikkert. Det sikrer også, at enheden ikke forbruger ressourcer på uønsket trafik. Måske behøver din netværksanalysator ikke at registrere backup -trafik, fordi den optager værdifuld diskplads under sikkerhedskopien. Disse ting filtreres let ud af analysatoren, mens de bevarer al den anden trafik til værktøjet. Måske har du et helt undernet, som du vil holde skjult for et andet system; Igen fjernes dette let på den valgte outputport. Faktisk kan en enkelt NPB behandle nogle trafikforbindelser på linje, mens den behandler anden uden for båndtrafikken.
Posttid: Mar-09-2022
