Network Packet Broker (NPB) הוא מתג כמו התקן רשת, שגודלו נע בין מכשירים ניידים למארזי יחידות 1U ו-2U למארזים גדולים ומערכות לוח. בניגוד למתג, ה-NPB אינו משנה את התעבורה הזורמת דרכו בשום צורה אלא אם כן הוראה מפורשות. NPB יכול לקבל תעבורה על ממשק אחד או יותר, לבצע כמה פונקציות מוגדרות מראש על התעבורה הזו, ואז להוציא אותה לממשק אחד או יותר.
מיפויים אלה מכונה לעתים קרובות כל-לכל, רבים-לכל וכל-לרבים מיפויי יציאות. הפונקציות שניתן לבצע נעות בין פשוטות, כמו העברה או ביטול של תעבורה, למורכבות, כמו סינון מידע מעל שכבה 5 לזיהוי הפעלה מסוימת. ממשקים ב-NPB יכולים להיות חיבורי כבלי נחושת, אבל הם בדרך כלל מסגרות SFP/SFP + ו-QSFP, המאפשרות למשתמשים להשתמש במגוון מהירויות מדיה ורוחב פס. מערך התכונות של NPB בנוי על העיקרון של מיצוי היעילות של ציוד הרשת, במיוחד כלי ניטור, ניתוח ואבטחה.
אילו פונקציות מספק Network Packet Broker?
היכולות של NPB הן רבות ועשויות להשתנות בהתאם למותג ולדגם של המכשיר, אם כי כל סוכן חבילה ששווה את המלח שלו ירצה להיות בעל סט יכולות ליבה. רוב ה-NPB (ה-NPB הנפוץ ביותר) מתפקד בשכבות OSI 2 עד 4.
באופן כללי, אתה יכול למצוא את התכונות הבאות ב-NPB של L2-4: הפניית תעבורה (או חלקים ספציפיים ממנה), סינון תעבורה, שכפול תעבורה, הפשטת פרוטוקולים, חיתוך מנות (קטיעה), הפעלה או סיום של פרוטוקולים שונים של מנהרות רשת ואיזון עומסים לתעבורה. כצפוי, ה-NPB של L2-4 יכול לסנן תוויות VLAN, MPLS, כתובות MAC (מקור ויעד), כתובות IP (מקור ויעד), יציאות TCP ו-UDP (מקור ויעד), ואפילו דגלי TCP, כמו גם תעבורת ICMP, SCTP ו-ARP. זו בשום אופן לא תכונה שיש להשתמש בה, אלא מספקת מושג כיצד NPB הפועל בשכבות 2 עד 4 יכול להפריד ולזהות תת-קבוצות של תעבורה. דרישה מרכזית שלקוחות צריכים לחפש ב-NPB היא מטוס אחורי לא חוסם.
Network Packet Broker צריך להיות מסוגל לעמוד בתפוקת התעבורה המלאה של כל יציאה במכשיר. במערכת השלדה, החיבור עם המטוס האחורי חייב להיות מסוגל לעמוד בעומס התעבורה המלא של המודולים המחוברים. אם ה-NPB יפיל את החבילה, הכלים האלה לא יבינו את הרשת בצורה מלאה.
למרות שהרוב המכריע של NPB מבוסס על ASIC או FPGA, בשל הוודאות של ביצועי עיבוד מנות, תמצא אינטגרציות רבות או מעבדים מקובלים (באמצעות מודולים). Mylinking™ Network Packet Brokers (NPB) מבוססים על פתרון ASIC. זוהי בדרך כלל תכונה המספקת עיבוד גמיש ולכן לא ניתן לבצע אותה אך ורק בחומרה. אלה כוללים מניעת כפילויות של מנות, חותמות זמן, פענוח SSL/TLS, חיפוש מילות מפתח וחיפוש ביטוי רגולרי. חשוב לציין שהפונקציונליות שלו תלויה בביצועי המעבד. (לדוגמה, חיפושי ביטוי רגולרי מאותו דפוס יכולים להניב תוצאות ביצועים שונות מאוד בהתאם לסוג התעבורה, קצב ההתאמה ורוחב הפס), כך שלא קל לקבוע זאת לפני היישום בפועל.
אם תכונות התלויות במעבד מופעלות, הן הופכות לגורם מגביל בביצועים הכוללים של ה-NPB. הופעת המעבד ושבבי המיתוג הניתנים לתכנות, כגון Cavium Xpliant, Barefoot Tofino ו-Innovium Teralynx, היוו גם את הבסיס לסט מורחב של יכולות עבור סוכני מנות רשת מהדור הבא. יחידות פונקציונליות אלו יכולות לטפל בתעבורה מעל L4 (המכונה לעתים קרובות סוכני מנות L7). בין התכונות המתקדמות שהוזכרו לעיל, חיפוש מילות מפתח וביטויים רגולריים הם דוגמאות טובות ליכולות הדור הבא. היכולת לחפש עומסי מנות מספקת הזדמנויות לסנן תעבורה ברמת ההפעלה והאפליקציה, ומספקת שליטה עדינה יותר על רשת מתפתחת מאשר ה-L2-4.
איך Network Packet Broker משתלב בתשתית?
ניתן להתקין את ה-NPB בתשתית רשת בשתי דרכים שונות:
1- מוטבע
2- מחוץ ללהקה.
לכל גישה יש יתרונות וחסרונות והיא מאפשרת מניפולציה של תנועה בדרכים שגישות אחרות לא יכולות. לברוקר מנות הרשת המוטבע יש תעבורת רשת בזמן אמת שחוצה את המכשיר בדרכו ליעדו. זה מספק את ההזדמנות לתפעל את התנועה בזמן אמת. לדוגמה, בעת הוספה, שינוי או מחיקה של תגי VLAN או שינוי כתובות IP של יעד, התעבורה מועתקת לקישור שני. כשיטה מוטבעת, NPB יכולה לספק יתירות גם עבור כלים מוטבעים אחרים, כגון IDS, IPS או חומות אש. NPB יכולה לנטר את המצב של מכשירים כאלה ולנתב מחדש באופן דינמי את התנועה למצב המתנה חם במקרה של תקלה.
זה מספק גמישות רבה באופן עיבוד התעבורה ושכפול למספר התקני ניטור ואבטחה מבלי להשפיע על הרשת בזמן אמת. זה גם מספק נראות חסרת תקדים ברשת ומבטיח שכל המכשירים יקבלו עותק של התעבורה הדרושה כדי לטפל כראוי באחריות שלהם. זה לא רק מבטיח שכלי הניטור, האבטחה והניתוח שלך מקבלים את התעבורה שהם צריכים, אלא גם שהרשת שלך מאובטחת. זה גם מבטיח שהמכשיר לא צורך משאבים על תעבורה לא רצויה. אולי מנתח הרשת שלך לא צריך להקליט תעבורת גיבוי מכיוון שהוא תופס שטח דיסק יקר במהלך הגיבוי. הדברים האלה מסוננים בקלות מהנתח תוך שמירה על כל שאר התעבורה עבור הכלי. אולי יש לך תת רשת שלמה שברצונך לשמור מוסתרת ממערכת אחרת; שוב, זה מוסר בקלות ביציאת הפלט שנבחרה. למעשה, NPB יחיד יכול לעבד כמה קישורי תעבורה בשורה תוך עיבוד תעבורה אחרת מחוץ לפס.
זמן פרסום: מרץ-09-2022
