מתווך מנות רשת (NPB) הוא מתג כמו התקן רשת שנע בין מכשירים ניידים למארזים של 1U ו- 2U למקרים גדולים ומערכות לוח. בניגוד למתג, ה- NPB אינו משנה את התנועה הזורמת דרכה בשום דרך אלא אם כן הונחה במפורש. NPB יכול לקבל תנועה בממשק אחד או יותר, לבצע כמה פונקציות מוגדרות מראש על אותה תנועה ואז לפלט אותו לממשק אחד או יותר.
לרוב מכונים אלה מיפויי נמל לכל אחד לכל אחד, לכל אחד, לכל אחד, לכל אחד מהם. הפונקציות שניתן לבצע נעות בין פשוטות, כגון העברה או השלכת תנועה, למורכב, כגון סינון מידע מעל לשכבה 5 לזיהוי מפגש מסוים. ממשקים ב- NPB יכולים להיות חיבורי כבלים נחושת, אך בדרך כלל הם מסגרות SFP/SFP + ו- QSFP, המאפשרות למשתמשים להשתמש במגוון מהירויות מדיה ורוחב פס. מערך התכונות של NPB בנוי על העיקרון של מקסום היעילות של ציוד רשת, במיוחד כלי ניטור, ניתוח ואבטחה.
אילו פונקציות מספקת מתווך מנות הרשת?
היכולות של NPB הן רבות ועשויות להשתנות בהתאם למותג ובדגם של המכשיר, אם כי כל סוכן חבילה ששווה את המלח שלו ירצה להיות מערך ליבה של יכולות. רוב ה- NPB (ה- NPB הנפוץ ביותר) מתפקד בשכבות OSI 2 עד 4.
באופן כללי, אתה יכול למצוא את התכונות הבאות ב- NPB של L2-4: תנועה (או חלקים ספציפיים ממנה) ניתוב מחדש, סינון תנועה, שכפול תנועה, הפשטת פרוטוקול, פרוסת מנות (גיזום), התחלת או סיום פרוטוקולי מנהרות רשת שונות, ואיזון עומסים לתנועה. כצפוי, ה- NPB של L2-4 יכול לסנן VLAN, תוויות MPLS, כתובות MAC (מקור ויעד), כתובות IP (מקור ויעד), יציאות TCP ו- UDP (מקור ויעד) ואפילו דגלי TCP, כמו גם ICMP, SCTP ותעבורת ARP. זו בשום אופן לא תכונה שיש להשתמש בה, אלא מספקת מושג כיצד NPB הפועלת בשכבות 2 עד 4 יכולה להפריד ולזהות תת -קבוצות תנועה. דרישת מפתח שהלקוחות צריכים לחפש ב- NPB היא מטוס אחורי שאינו חוסם.
מתווך מנות רשת צריך להיות מסוגל לעמוד בתפוקת התנועה המלאה של כל יציאה במכשיר. במערכת השלדה, הקשר בין המטוס האחורי חייב להיות מסוגל לעמוד בעומס התנועה המלא של המודולים המחוברים. אם ה- NPB מפיל את המנה, לכלים אלה לא תהיה הבנה מלאה של הרשת.
למרות שהרוב המכריע של NPB מבוסס על ASIC או FPGA, בשל הוודאות של ביצועי עיבוד המנות, תוכלו למצוא שילובים רבים או מעבדים מקובלים (באמצעות מודולים). מתווכי מנות הרשת Mylinking ™ (NPB) מבוססים על פתרון ASIC. בדרך כלל זו תכונה המספקת עיבוד גמיש ולכן לא ניתן לעשות זאת אך ורק בחומרה. אלה כוללים כפילויות מנות, חותמות זמן, פענוח SSL/TLS, חיפוש מילות מפתח וחיפוש ביטוי רגיל. חשוב לציין כי הפונקציונליות שלה תלויה בביצועי ה- CPU. (לדוגמה, חיפושים בביטוי רגילים מאותה דפוס יכולים להניב תוצאות ביצועים שונות מאוד בהתאם לסוג התנועה, בקצב ההתאמה ורוחב הפס), כך שלא קל לקבוע לפני היישום בפועל.
אם מאפיינים תכונות תלויות מעבד, הן הופכות לגורם מגביל בביצועים הכוללים של ה- NPB. כניסתם של מעבדים ושבבי מיתוג ניתנים לתכנות, כמו Cavium Xpliant, Tofino יחפה ו- Innovium Tarelynx, היוותה גם בסיס של מערך יכולות מורחב לסוכני מנות רשת מהדור הבא, יחידות פונקציונליות אלה יכולות להתמודד עם תנועה מעל L4 (המכונה לעתים קרובות סוכני מנות L7). בין התכונות המתקדמות שהוזכרו לעיל, מילות מפתח וחיפוש ביטוי רגיל הם דוגמאות טובות ליכולות הדור הבא. היכולת לחפש עומסי המשאית מספקת הזדמנויות לסינון תנועה ברמות ההפעלה והיישום, ומספקת שליטה טובה יותר על רשת מתפתחת מאשר ה- L2-4.
כיצד מתווך מנות רשת משתלב בתשתית?
ניתן להתקין את ה- NPB בתשתית רשת בשתי דרכים שונות:
1- inline
2- מחוץ ללהקה.
לכל גישה יש יתרונות וחסרונות ומאפשרת מניפולציה של תנועה בדרכים שגישות אחרות אינן יכולות. למתווך מנות הרשת המוטבעות יש תנועת רשת בזמן אמת החוצה את המכשיר בדרך ליעדו. זה מספק את ההזדמנות לתפעל תנועה בזמן אמת. לדוגמה, בעת הוספת, שינוי או מחיקה של תגיות VLAN או שינוי כתובות IP של היעד, התנועה מועתקת לקישור שני. כשיטה מוטבעת, NPB יכולה גם לספק יתירות לכלים מוטבעים אחרים, כגון IDS, IPS או חומות אש. NPB יכול לפקח על הסטטוס של מכשירים כאלה ולנתב מחדש באופן דינמי לתעבורה למתחם חם במקרה של כישלון.
זה מספק גמישות רבה כיצד מעובד התנועה ומשוכפלים למכשירי ניטור ואבטחה מרובים מבלי להשפיע על הרשת בזמן אמת. זה גם מספק נראות רשת חסרת תקדים ומבטיח שכל המכשירים יקבלו עותק של התנועה הדרושה כדי לטפל נכון באחריותם. זה לא רק מבטיח שכלי הניטור, האבטחה והניתוח שלך יקבלו את התנועה שהם צריכים, אלא גם שהרשת שלך מאובטחת. זה גם מבטיח שהמכשיר לא יצרוך משאבים לתנועה לא רצויה. אולי מנתח הרשת שלך אינו צריך להקליט תנועת גיבוי מכיוון שהוא תופס שטח דיסק יקר במהלך הגיבוי. דברים אלה מסוננים בקלות מהמנתח תוך שמירה על כל התנועה האחרת לכלי. אולי יש לך רשת משנה שלמה שאתה רוצה לשמור על מוסתר ממערכת אחרת; שוב, זה מוסר בקלות ביציאת הפלט שנבחרה. למעשה, NPB יחיד יכול לעבד קישורי תנועה מסוימים תוך עיבוד תנועה אחרת מחוץ ללהקה.
זמן ההודעה: MAR-09-2022
