ქსელის პაკეტის ბროკერი (NPB) არის შეცვლა, როგორიცაა ქსელის მოწყობილობა, რომელიც ზომით მერყეობს პორტატული მოწყობილობებიდან 1U და 2U ერთეულის შემთხვევებში, დიდ შემთხვევებში და დაფის სისტემებამდე. შეცვლისგან განსხვავებით, NPB არ ცვლის ტრეფიკს, რომელიც მის მეშვეობით მიედინება რაიმე ფორმით, თუ აშკარად არ არის მითითებული. NPB– ს შეუძლია მიიღოს ტრეფიკი ერთ ან მეტ ინტერფეისზე, შეასრულოს წინასწარ განსაზღვრული ფუნქცია ამ ტრაფიკზე, შემდეგ კი გამოაქვეყნა იგი ერთ ან მეტ ინტერფეისზე.
მათ ხშირად მოიხსენიებენ, როგორც ნებისმიერი, მრავალჯერადი და მრავალჯერადი პორტის პორტის რუქებს. ფუნქციები, რომელთა შესრულებაც შესაძლებელია, მერყეობს მარტივი, მაგალითად, ტრეფიკის გადაგზავნა ან გაუქმება, რთული, მაგალითად, ფენის მე -5 ინფორმაციის გაფილტვრა, კონკრეტული სესიის იდენტიფიცირებისთვის. NPB– ზე ინტერფეისები შეიძლება იყოს სპილენძის საკაბელო კავშირები, მაგრამ, როგორც წესი, SFP/SFP + და QSFP ჩარჩოებია, რაც მომხმარებლებს საშუალებას აძლევს გამოიყენონ მრავალფეროვანი მედია და სიჩქარის სიჩქარე. NPB– ის მახასიათებლების ნაკრები აგებულია ქსელის აღჭურვილობის ეფექტურობის, განსაკუთრებით მონიტორინგის, ანალიზისა და უსაფრთხოების ინსტრუმენტების მაქსიმალური გამოყენების პრინციპზე.
რა ფუნქციებს უწევს ქსელის პაკეტის ბროკერი?
NPB– ის შესაძლებლობები მრავალრიცხოვანია და შეიძლება განსხვავდებოდეს მოწყობილობის ბრენდისა და მოდელის მიხედვით, თუმცა ნებისმიერი პაკეტის აგენტი, რომელიც მისი მარილის ღირებულია, სურს ჰქონდეს შესაძლებლობების ძირითადი ნაკრები. NPB (ყველაზე გავრცელებული NPB) უმეტესობა ფუნქციონირებს OSI ფენებში 2 -დან 4 -მდე.
ზოგადად, თქვენ შეგიძლიათ იპოვოთ შემდეგი მახასიათებლები L2-4 NPB- ზე: ტრეფიკი (ან მისი სპეციფიკური ნაწილები) გადამისამართება, ტრაფიკის ფილტრაცია, ტრაფიკის რეპლიკაცია, პროტოკოლის დაჭრა, პაკეტის დაჭრა (ნაკრები), ქსელის გვირაბის სხვადასხვა პროტოკოლების დაწყება ან შეწყვეტა და ტრეფიკის დაბალანსება. როგორც მოსალოდნელი იყო, L2-4- ს NPB- ს შეუძლია ფილტრირება VLAN, MPLS ეტიკეტები, MAC მისამართები (წყარო და სამიზნე), IP მისამართები (წყარო და სამიზნე), TCP და UDP პორტები (წყარო და სამიზნე), და კიდევ TCP დროშები, ასევე ICMP, SCTP და ARP ტრეფიკი. ეს არავითარ შემთხვევაში არ არის გამოყენებული თვისება, არამედ იძლევა იდეას, თუ როგორ მოქმედებს NPB, რომელიც მოქმედებს ფენებში 2 - დან 4 - მდე, შეუძლია გამოყოთ და დაადგინოს საგზაო ქვესათაური. მთავარი მოთხოვნა, რომელიც მომხმარებლებმა უნდა მოძებნონ NPB– ში, არის ბლოკირების უკანა პლანზე.
ქსელის პაკეტის ბროკერს უნდა შეეძლოს მოწყობილობის თითოეული პორტის სრული ტრაფიკის გამტარუნარიანობა. შასის სისტემაში, უკანა პლანასთან ურთიერთკავშირს ასევე უნდა შეეძლოს დაკავშირებული მოდულების სრული ტრაფიკის დატვირთვა. თუ NPB ჩამოაგდებს პაკეტს, ამ ინსტრუმენტებს არ ექნებათ ქსელის სრული გაგება.
მიუხედავად იმისა, რომ NPB- ის უმეტესი ნაწილი ემყარება ASIC ან FPGA- ს, პაკეტის დამუშავების შესრულების დარწმუნების გამო, თქვენ ნახავთ ბევრ ინტეგრაციას ან CPU- ს მისაღები (მოდულების საშუალებით). MyLinking ™ ქსელის პაკეტის ბროკერები (NPB) ემყარება ASIC გადაწყვეტას. ეს, როგორც წესი, თვისებაა, რომელიც უზრუნველყოფს მოქნილ დამუშავებას და, შესაბამისად, არ შეიძლება გაკეთდეს მხოლოდ აპარატურაში. ეს მოიცავს პაკეტის დედუქციას, ვადებს, SSL/TLS გაშიფვრას, საკვანძო სიტყვების ძიებას და რეგულარულად გამოხატვის ძიებას. მნიშვნელოვანია აღინიშნოს, რომ მისი ფუნქციონირება დამოკიდებულია CPU– ს შესრულებაზე. (მაგალითად, იმავე ნიმუშის რეგულარულმა გამოხატულებებმა შეიძლება გამოიწვიოს ძალიან განსხვავებული შედეგების შედეგები, დამოკიდებულია ტრეფიკის ტიპზე, შესატყვის სიჩქარეზე და სიჩქარესთან), ასე რომ, ფაქტობრივი განხორციელებამდე ადვილი არ არის დადგენილი.
თუ CPU- ზე დამოკიდებული თვისებები ჩართულია, ისინი გახდებიან შეზღუდვის ფაქტორი NPB– ის საერთო შესრულებაში. CPU– ების და პროგრამირებადი გადართვის ჩიპების მოსვლამ, როგორიცაა Cavium Xpliant, Parefoot Tofino და Innovium Teralynx, ასევე წარმოქმნა შესაძლებლობების გაფართოებული კომპლექტის საფუძველი შემდეგი თაობის ქსელის პაკეტის აგენტებისთვის, ამ ფუნქციურ ერთეულებს შეუძლიათ გაუმკლავდნენ ტრეფიკს L4– ზე მაღლა (ხშირად უწოდებენ როგორც L7 პაკეტის აგენტებს). ზემოთ ჩამოთვლილ მოწინავე მახასიათებლებს შორის, საკვანძო სიტყვა და რეგულარული გამოხატვის ძებნა შემდეგი თაობის შესაძლებლობების კარგი მაგალითებია. პაკეტის დატვირთვის მოძებნის შესაძლებლობა საშუალებას იძლევა ფილტრის გაფილტვრა სხდომაზე და განაცხადის დონეზე, და უზრუნველყოფს განვითარებად ქსელში უფრო უკეთეს კონტროლს, ვიდრე L2-4.
როგორ ჯდება ქსელის პაკეტის ბროკერი ინფრასტრუქტურაში?
NPB შეიძლება დაინსტალირდეს ქსელის ინფრასტრუქტურაში ორი სხვადასხვა გზით:
1- ინლაინი
2- გარედან.
თითოეულ მიდგომას აქვს დადებითი და უარყოფითი მხარეები და საშუალებას აძლევს ტრაფიკის მანიპულირებას ისე, რომ სხვა მიდგომები არ შეიძლება. Inline ქსელის პაკეტის ბროკერს აქვს რეალურ დროში ქსელის ტრაფიკი, რომელიც გადის მოწყობილობას დანიშნულების ადგილზე. ეს საშუალებას იძლევა რეალურ დროში მანიპულირება მოახდინონ ტრეფიკიდან. მაგალითად, VLAN ტეგების დამატების, შეცვლის ან წაშლის ან დანიშნულების IP მისამართების შეცვლისას, ტრეფიკი კოპირებულია მეორე ბმულზე. როგორც ხაზის მეთოდი, NPB- ს შეუძლია ასევე უზრუნველყოს ჭარბი რაოდენობა სხვა ხაზის ინსტრუმენტებისთვის, როგორიცაა პირადობის მოწმობები, IPS ან Firewalls. NPB– ს შეუძლია მონიტორინგი გაუწიოს ასეთი მოწყობილობების სტატუსს და დინამიურად გადააკეთოს ტრეფიკი ცხელ ლოდინზე, წარუმატებლობის შემთხვევაში.
ეს უზრუნველყოფს დიდ მოქნილობას იმაში, თუ როგორ ხდება ტრეფიკის დამუშავება და რეპლიკაცია მრავალჯერადი მონიტორინგისა და უსაფრთხოების მოწყობილობებზე, რეალურ დროში ქსელზე გავლენის გარეშე. იგი ასევე უზრუნველყოფს ქსელის უპრეცედენტო ხილვადობას და უზრუნველყოფს, რომ ყველა მოწყობილობას მიიღოს ტრეფიკის ასლი, რომელიც საჭიროა მათი პასუხისმგებლობის სწორად შესრულების მიზნით. ეს არამარტო უზრუნველყოფს, რომ თქვენი მონიტორინგი, უსაფრთხოება და ანალიზის საშუალებები მიიღონ საჭირო ტრეფიკი, არამედ თქვენი ქსელი უსაფრთხო. ეს ასევე უზრუნველყოფს, რომ მოწყობილობა არ მოიხმარს რესურსებს არასასურველი ტრაფიკისთვის. შესაძლოა, თქვენს ქსელის ანალიზატორს არ სჭირდება სარეზერვო ტრეფიკის ჩაწერა, რადგან ის სარეზერვო დროს იკავებს მნიშვნელოვან დისკს. ეს ყველაფერი ადვილად გაფილტრულია ანალიზატორისგან, ხოლო ხელსაწყოს ყველა სხვა ტრეფიკი შეინარჩუნებს. იქნებ გქონდეთ მთელი ქვესადგური, რომლის დაცვაც გსურთ სხვა სისტემისგან დამალვა; ისევ და ისევ, ეს ადვილად ამოღებულია არჩეულ გამომავალი პორტზე. სინამდვილეში, ერთ NPB– ს შეუძლია დამუშავდეს საგზაო კავშირების რამდენიმე გზა, ხოლო სხვა გარედან ტრეფიკის დამუშავებისას.
პოსტის დრო: მარტი -09-2022
