מתווך חבילות רשת (NPB) הוא התקן רשת דמוי מתג, שגודלו נע בין מכשירים ניידים למארזי יחידות בגודל 1U ו-2U, למארזים גדולים ולמערכות לוחות מודפסים. בניגוד למתג, ה-NPB אינו משנה את התעבורה הזורמת דרכו בשום צורה אלא אם כן ניתנה הוראה מפורשת. ה-NPB יכול לקבל תעבורה בממשק אחד או יותר, לבצע פונקציות מוגדרות מראש על תעבורה זו, ולאחר מכן לשלוח אותה לממשק אחד או יותר.
אלה מכונים לעתים קרובות מיפויי פורטים מסוג any-to-any, many-to-any, ו-any-to-many. הפונקציות שניתן לבצע נעות בין פשוטות, כגון העברה או דחיית תעבורה, למורכבות, כגון סינון מידע מעל שכבה 5 כדי לזהות סשן מסוים. ממשקים ב-NPB יכולים להיות חיבורי כבל נחושת, אך בדרך כלל הם מסגרות SFP/SFP + ו-QSFP, המאפשרות למשתמשים להשתמש במגוון מהירויות מדיה ורוחב פס. מערך התכונות של NPB בנוי על עקרון מקסום היעילות של ציוד רשת, ובמיוחד כלי ניטור, ניתוח ואבטחה.
אילו פונקציות מספק מתווך חבילות הרשת?
היכולות של NPB רבות ועשויות להשתנות בהתאם למותג ולדגם של המכשיר, אם כי כל סוכן חבילות שווה את מלבו ירצה שיהיה לו סט ליבה של יכולות. רוב NPB (ה-NPB הנפוץ ביותר) פועל בשכבות OSI 2 עד 4.
באופן כללי, ניתן למצוא את התכונות הבאות ב-NPB של L2-4: ניתוב מחדש של תעבורה (או חלקים ספציפיים ממנה), סינון תעבורה, שכפול תעבורה, הסרת פרוטוקולים, חיתוך מנות (truncation), הפעלה או סיום של פרוטוקולי מנהרה שונים ברשת, ואיזון עומסים עבור תעבורה. כצפוי, ה-NPB של L2-4 יכול לסנן VLAN, תוויות MPLS, כתובות MAC (מקור ויעד), כתובות IP (מקור ויעד), פורטים של TCP ו-UDP (מקור ויעד), ואפילו דגלי TCP, כמו גם תעבורת ICMP, SCTP ו-ARP. זו בשום אופן לא תכונה לשימוש, אלא מספקת מושג כיצד NPB הפועל בשכבות 2 עד 4 יכול להפריד ולזהות תת-קבוצות תעבורה. דרישה מרכזית שלקוחות צריכים לחפש ב-NPB היא משטח אחורי שאינו חוסם.
מתווך חבילות הרשת צריך להיות מסוגל לעמוד בתפוקת התעבורה המלאה של כל פורט במכשיר. במערכת המארז, החיבור עם הלוח האחורי חייב להיות מסוגל גם לעמוד בעומס התעבורה המלא של המודולים המחוברים. אם ה-NPB יפטר את החבילה, כלים אלה לא יוכלו להבין באופן מלא את הרשת.
למרות שרובם המכריע של NPB מבוסס על ASIC או FPGA, בשל הוודאות של ביצועי עיבוד חבילות, תמצאו אינטגרציות או מעבדים רבים מקובלים (דרך מודולים). מתווכי חבילות הרשת של Mylinking™ (NPB) מבוססים על פתרון ASIC. זוהי בדרך כלל תכונה המספקת עיבוד גמיש ולכן לא ניתן לבצעה אך ורק בחומרה. אלה כוללים ביטול כפילויות חבילות, חותמות זמן, פענוח SSL/TLS, חיפוש מילות מפתח וחיפוש ביטויים רגולריים. חשוב לציין שהפונקציונליות שלה תלויה בביצועי המעבד. (לדוגמה, חיפושי ביטויים רגולריים של אותו דפוס יכולים להניב תוצאות ביצועים שונות מאוד בהתאם לסוג התעבורה, קצב ההתאמה ורוחב הפס), כך שלא קל לקבוע זאת לפני היישום בפועל.
אם תכונות תלויות-מעבד מופעלות, הן הופכות לגורם מגביל בביצועים הכוללים של ה-NPB. הופעתם של מעבדים ושבבי מיתוג ניתנים לתכנות, כגון Cavium Xpliant, Barefoot Tofino ו-Innovium Teralynx, היוותה גם את הבסיס למערך מורחב של יכולות עבור סוכני חבילות רשת מהדור הבא. יחידות פונקציונליות אלו יכולות להתמודד עם תעבורה מעל L4 (המכונות לעתים קרובות סוכני חבילות L7). בין התכונות המתקדמות שהוזכרו לעיל, חיפוש מילות מפתח וביטויים רגולריים הן דוגמאות טובות ליכולות מהדור הבא. היכולת לחפש עומסי חבילות מספקת הזדמנויות לסנן תעבורה ברמות הסשן והאפליקציה, ומספקת שליטה עדינה יותר על רשת מתפתחת בהשוואה ל-L2-4.
כיצד Network Packet Broker משתלב בתשתית?
ניתן להתקין את ה-NPB בתשתית רשת בשתי דרכים שונות:
1- בתוך השורה
2- מחוץ ללהקה.
לכל גישה יתרונות וחסרונות והיא מאפשרת מניפולציה של תעבורה בדרכים שגישות אחרות לא יכולות. מתווך חבילות הרשת המוטבע (inline network packet broker) מכיל תעבורת רשת בזמן אמת שעוברת את המכשיר בדרכו ליעדו. זה מספק את ההזדמנות לתפעל תעבורה בזמן אמת. לדוגמה, בעת הוספה, שינוי או מחיקה של תגי VLAN או שינוי כתובות IP של יעד, התעבורה מועתקת לקישור שני. כשיטה מוטבעת, NPB יכול גם לספק יתירות עבור כלים מוטבעים אחרים, כגון IDS, IPS או חומות אש. NPB יכול לנטר את מצבם של התקנים כאלה ולנתב מחדש באופן דינמי תעבורה למצב המתנה חם במקרה של כשל.
זה מספק גמישות רבה באופן שבו תעבורה מעובדת ומשכפלת למספר התקני ניטור ואבטחה מבלי להשפיע על הרשת בזמן אמת. זה גם מספק נראות רשת חסרת תקדים ומבטיח שכל ההתקנים מקבלים עותק של התעבורה הדרושה כדי לטפל כראוי באחריותם. זה לא רק מבטיח שכלי הניטור, האבטחה והניתוח שלך מקבלים את התעבורה הדרושה להם, אלא גם שהרשת שלך מאובטחת. זה גם מבטיח שההתקן לא צורך משאבים על תעבורה לא רצויה. אולי מנתח הרשת שלך לא צריך להקליט תעבורת גיבוי מכיוון שהיא תופסת שטח דיסק יקר במהלך הגיבוי. דברים אלה מסוננים בקלות מהמנתח תוך שמירה על כל התעבורה האחרת עבור הכלי. אולי יש לך תת-רשת שלמה שאתה רוצה להסתיר ממערכת אחרת; שוב, זה מוסר בקלות ביציאת הפלט שנבחרה. למעשה, NPB יחיד יכול לעבד כמה קישורי תעבורה באופן מקוון תוך עיבוד תעבורה אחרת מחוץ לפס.
זמן פרסום: 09 במרץ 2022
