Brokeri i paketave të rrjetit (NPB) është një pajisje rrjeti e ngjashme me ndërprerësin që varion në madhësi nga pajisjet portative në kutitë e njësive 1U dhe 2U deri te kasetat e mëdha dhe sistemet e bordit. Ndryshe nga një ndërprerës, NPB nuk e ndryshon trafikun që rrjedh përmes tij në asnjë mënyrë, përveç nëse udhëzohet në mënyrë të qartë. NPB mund të marrë trafik në një ose më shumë ndërfaqe, të kryejë disa funksione të paracaktuara në atë trafik dhe më pas ta nxjerrë atë në një ose më shumë ndërfaqe.
Këto shpesh referohen si harta portesh çdo-për-çdo, shumë-për-çdo, dhe çdo-për-shumë. Funksionet që mund të kryhen variojnë nga të thjeshta, të tilla si përcjellja ose heqja e trafikut, deri te komplekset, siç është filtrimi i informacionit mbi shtresën 5 për të identifikuar një sesion të caktuar. Ndërfaqet në NPB mund të jenë lidhje me kabllo bakri, por zakonisht janë korniza SFP/SFP + dhe QSFP, të cilat i lejojnë përdoruesit të përdorin një sërë mediash dhe shpejtësi të gjerësi bande. Kompleti i veçorive të NPB është ndërtuar mbi parimin e maksimizimit të efikasitetit të pajisjeve të rrjetit, veçanërisht të monitorimit, analizës dhe mjeteve të sigurisë.
Çfarë funksionesh ofron ndërmjetësi i paketave të rrjetit?
Aftësitë e NPB-së janë të shumta dhe mund të ndryshojnë në varësi të markës dhe modelit të pajisjes, megjithëse çdo agjent paketimi që ia vlen kripa e tij do të dëshirojë të ketë një grup aftësish thelbësore. Shumica e NPB (NPB më e zakonshme) funksionojnë në shtresat OSI 2 deri në 4.
Në përgjithësi, mund të gjeni veçoritë e mëposhtme në NPB të L2-4: ridrejtimi i trafikut (ose pjesë të veçanta të tij), filtrimi i trafikut, përsëritja e trafikut, heqja e protokollit, prerja e paketave (shkurtimi), fillimi ose përfundimi i protokolleve të ndryshme të tunelit të rrjetit, dhe balancimin e ngarkesës për trafikun. Siç pritej, NPB e L2-4 mund të filtrojë etiketat VLAN, MPLS, adresat MAC (burimi dhe objektivi), adresat IP (burimi dhe objektivi), portet TCP dhe UDP (burimi dhe objektivi), madje edhe flamujt TCP, si dhe ICMP. SCTP dhe trafiku ARP. Kjo nuk është aspak një veçori për t'u përdorur, por ofron një ide se si NPB që operon në shtresat 2 deri në 4 mund të ndajë dhe identifikojë nëngrupet e trafikut. Një kërkesë kryesore që klientët duhet të kërkojnë në NPB është një plan prapa jo-bllokues.
Ndërmjetësi i paketave të rrjetit duhet të jetë në gjendje të përmbushë qarkullimin e plotë të trafikut të çdo porti në pajisje. Në sistemin e shasisë, ndërlidhja me planin e pasmë duhet gjithashtu të jetë në gjendje të përmbushë ngarkesën e plotë të trafikut të moduleve të lidhura. Nëse NPB heq paketën, këto mjete nuk do të kenë një kuptim të plotë të rrjetit.
Megjithëse pjesa dërrmuese e NPB bazohet në ASIC ose FPGA, për shkak të sigurisë së performancës së përpunimit të paketave, do të gjeni shumë integrime ose CPU të pranueshme (nëpërmjet moduleve). Brokerat e paketave të rrjetit Mylinking™ (NPB) bazohen në zgjidhjen ASIC. Kjo është zakonisht një veçori që siguron përpunim fleksibël dhe për këtë arsye nuk mund të bëhet thjesht në harduer. Këto përfshijnë heqjen e dyfishimit të paketave, vulat kohore, dekriptimin SSL/TLS, kërkimin e fjalëve kyçe dhe kërkimin e shprehjeve të rregullta. Është e rëndësishme të theksohet se funksionaliteti i tij varet nga performanca e CPU-së. (Për shembull, kërkimet me shprehje të rregullta të të njëjtit model mund të japin rezultate shumë të ndryshme të performancës në varësi të llojit të trafikut, shpejtësisë së përputhjes dhe gjerësisë së brezit), kështu që nuk është e lehtë të përcaktohet përpara zbatimit aktual.
Nëse aktivizohen veçoritë e varura nga CPU, ato bëhen një faktor kufizues në performancën e përgjithshme të NPB. Ardhja e CPU-së dhe çipave komutues të programueshëm, si Cavium Xpliant, Barefoot Tofino dhe Innovium Teralynx, formuan gjithashtu bazën e një grupi të zgjeruar aftësish për agjentët e paketave të rrjetit të gjeneratës së ardhshme. Këto njësi funksionale mund të trajtojnë trafikun mbi L4 (shpesh referuar si agjentë të paketave L7). Ndër veçoritë e avancuara të përmendura më lart, kërkimi i fjalëve kyçe dhe shprehjeve të rregullta janë shembuj të mirë të aftësive të gjeneratës së ardhshme. Aftësia për të kërkuar ngarkesat e paketave ofron mundësi për të filtruar trafikun në nivelet e sesionit dhe aplikacionit dhe siguron kontroll më të mirë mbi një rrjet në zhvillim sesa L2-4.
Si përshtatet ndërmjetësi i paketave të rrjetit në infrastrukturë?
NPB mund të instalohet në një infrastrukturë rrjeti në dy mënyra të ndryshme:
1- Inline
2- Jashtë brezit.
Çdo qasje ka avantazhe dhe disavantazhe dhe mundëson manipulimin e trafikut në mënyra që qasjet e tjera nuk munden. Ndërmjetësi i paketave të rrjetit inline ka trafik rrjeti në kohë reale që përshkon pajisjen në rrugën e saj drejt destinacionit të saj. Kjo ofron mundësinë për të manipuluar trafikun në kohë reale. Për shembull, kur shtoni, modifikoni ose fshini etiketat VLAN ose ndryshoni adresat IP të destinacionit, trafiku kopjohet në një lidhje të dytë. Si një metodë inline, NPB mund të sigurojë gjithashtu tepricë për mjete të tjera inline, si IDS, IPS ose mure zjarri. NPB mund të monitorojë statusin e pajisjeve të tilla dhe të ridrejtojë në mënyrë dinamike trafikun në gatishmëri të nxehtë në rast të një dështimi.
Ai siguron fleksibilitet të madh në mënyrën se si trafiku përpunohet dhe përsëritet në pajisje të shumta monitorimi dhe sigurie pa ndikuar në rrjetin në kohë reale. Ai gjithashtu siguron shikueshmëri të paprecedentë të rrjetit dhe siguron që të gjitha pajisjet të marrin një kopje të trafikut të nevojshëm për të trajtuar siç duhet përgjegjësitë e tyre. Ai jo vetëm që siguron që mjetet tuaja të monitorimit, sigurisë dhe analizës të marrin trafikun që u nevojitet, por gjithashtu që rrjeti juaj të jetë i sigurt. Gjithashtu siguron që pajisja të mos konsumojë burime në trafikun e padëshiruar. Ndoshta analizuesi i rrjetit tuaj nuk ka nevojë të regjistrojë trafikun rezervë sepse merr hapësirë të vlefshme në disk gjatë kopjimit. Këto gjëra filtrohen lehtësisht nga analizuesi duke ruajtur të gjithë trafikun tjetër për mjetin. Ndoshta ju keni një nënrrjet të tërë që dëshironi ta mbani të fshehur nga ndonjë sistem tjetër; përsëri, kjo hiqet lehtësisht në portën e zgjedhur të daljes. Në fakt, një NPB e vetme mund të përpunojë disa lidhje trafiku në linjë ndërsa përpunon trafik të tjerë jashtë brezit.
Koha e postimit: Mar-09-2022