Network Packet Broker (NPB) là một thiết bị mạng giống như switch có kích thước từ thiết bị di động đến các trường hợp đơn vị 1U và 2U đến các trường hợp lớn và hệ thống bo mạch. Không giống như switch, NPB không thay đổi lưu lượng chảy qua nó theo bất kỳ cách nào trừ khi được hướng dẫn rõ ràng. NPB có thể nhận lưu lượng trên một hoặc nhiều giao diện, thực hiện một số chức năng được xác định trước trên lưu lượng đó, sau đó xuất lưu lượng đó ra một hoặc nhiều giao diện.
Những thứ này thường được gọi là ánh xạ cổng any-to-any, many-to-any và any-to-many. Các chức năng có thể thực hiện trải dài từ đơn giản, chẳng hạn như chuyển tiếp hoặc loại bỏ lưu lượng, đến phức tạp, chẳng hạn như lọc thông tin trên lớp 5 để xác định một phiên cụ thể. Giao diện trên NPB có thể là kết nối cáp đồng, nhưng thường là khung SFP/SFP + và QSFP, cho phép người dùng sử dụng nhiều phương tiện và tốc độ băng thông khác nhau. Bộ tính năng của NPB được xây dựng trên nguyên tắc tối đa hóa hiệu quả của thiết bị mạng, đặc biệt là các công cụ giám sát, phân tích và bảo mật.
Network Packet Broker cung cấp những chức năng gì?
Khả năng của NPB rất đa dạng và có thể thay đổi tùy theo thương hiệu và kiểu thiết bị, mặc dù bất kỳ tác nhân đóng gói nào cũng muốn có một bộ khả năng cốt lõi. Hầu hết NPB (NPB phổ biến nhất) hoạt động ở các lớp OSI từ 2 đến 4.
Nhìn chung, bạn có thể tìm thấy các tính năng sau trên NPB của L2-4: chuyển hướng lưu lượng (hoặc các phần cụ thể của lưu lượng), lọc lưu lượng, sao chép lưu lượng, loại bỏ giao thức, cắt gói (cắt ngắn), bắt đầu hoặc kết thúc nhiều giao thức đường hầm mạng khác nhau và cân bằng tải cho lưu lượng. Như mong đợi, NPB của L2-4 có thể lọc VLAN, nhãn MPLS, địa chỉ MAC (nguồn và đích), địa chỉ IP (nguồn và đích), cổng TCP và UDP (nguồn và đích), thậm chí cả cờ TCP, cũng như lưu lượng ICMP, SCTP và ARP. Đây không phải là tính năng cần sử dụng mà chỉ cung cấp ý tưởng về cách NPB hoạt động ở lớp 2 đến lớp 4 có thể tách biệt và xác định các tập hợp con lưu lượng. Một yêu cầu chính mà khách hàng nên tìm kiếm trong NPB là một mặt phẳng nền không chặn.
Network packet Broker cần có khả năng đáp ứng toàn bộ lưu lượng truy cập của từng cổng trên thiết bị. Trong hệ thống khung gầm, kết nối với backplane cũng phải có khả năng đáp ứng toàn bộ lưu lượng truy cập của các mô-đun được kết nối. Nếu NPB loại bỏ gói tin, các công cụ này sẽ không hiểu đầy đủ về mạng.
Mặc dù phần lớn NPB dựa trên ASIC hoặc FPGA, do tính chắc chắn về hiệu suất xử lý gói tin, bạn sẽ thấy nhiều tích hợp hoặc CPU có thể chấp nhận được (thông qua các mô-đun). Mylinking™ Network Packet Brokers (NPB) dựa trên giải pháp ASIC. Đây thường là một tính năng cung cấp khả năng xử lý linh hoạt và do đó không thể thực hiện hoàn toàn bằng phần cứng. Các tính năng này bao gồm loại bỏ trùng lặp gói tin, dấu thời gian, giải mã SSL/TLS, tìm kiếm từ khóa và tìm kiếm biểu thức chính quy. Điều quan trọng cần lưu ý là chức năng của nó phụ thuộc vào hiệu suất CPU. (Ví dụ: tìm kiếm biểu thức chính quy của cùng một mẫu có thể mang lại kết quả hiệu suất rất khác nhau tùy thuộc vào loại lưu lượng, tỷ lệ khớp và băng thông), do đó không dễ để xác định trước khi triển khai thực tế.
Nếu các tính năng phụ thuộc vào CPU được bật, chúng sẽ trở thành yếu tố hạn chế hiệu suất tổng thể của NPB. Sự ra đời của CPU và chip chuyển mạch có thể lập trình, chẳng hạn như Cavium Xpliant, Barefoot Tofino và Innovium Teralynx, cũng hình thành nên cơ sở cho một bộ khả năng mở rộng cho các tác nhân gói mạng thế hệ tiếp theo. Các đơn vị chức năng này có thể xử lý lưu lượng trên L4 (thường được gọi là các tác nhân gói L7). Trong số các tính năng nâng cao được đề cập ở trên, tìm kiếm theo từ khóa và biểu thức chính quy là những ví dụ điển hình về khả năng thế hệ tiếp theo. Khả năng tìm kiếm tải trọng gói cung cấp cơ hội lọc lưu lượng ở cấp độ phiên và ứng dụng, đồng thời cung cấp khả năng kiểm soát tốt hơn đối với mạng đang phát triển so với L2-4.
Network Packet Broker phù hợp với cơ sở hạ tầng như thế nào?
NPB có thể được cài đặt vào cơ sở hạ tầng mạng theo hai cách khác nhau:
1- Nội tuyến
2- Ngoài băng tần.
Mỗi cách tiếp cận đều có ưu điểm và nhược điểm và cho phép thao túng lưu lượng theo những cách mà các cách tiếp cận khác không thể. Bộ môi giới gói tin mạng nội tuyến có lưu lượng mạng thời gian thực đi qua thiết bị trên đường đến đích. Điều này cung cấp cơ hội để thao túng lưu lượng theo thời gian thực. Ví dụ: khi thêm, sửa đổi hoặc xóa thẻ VLAN hoặc thay đổi địa chỉ IP đích, lưu lượng được sao chép vào liên kết thứ hai. Là một phương pháp nội tuyến, NPB cũng có thể cung cấp dự phòng cho các công cụ nội tuyến khác, chẳng hạn như IDS, IPS hoặc tường lửa. NPB có thể theo dõi trạng thái của các thiết bị như vậy và định tuyến lại lưu lượng động đến chế độ chờ nóng trong trường hợp xảy ra lỗi.
Nó cung cấp tính linh hoạt tuyệt vời trong cách xử lý và sao chép lưu lượng đến nhiều thiết bị giám sát và bảo mật mà không ảnh hưởng đến mạng thời gian thực. Nó cũng cung cấp khả năng hiển thị mạng chưa từng có và đảm bảo rằng tất cả các thiết bị đều nhận được bản sao lưu lượng cần thiết để xử lý đúng trách nhiệm của chúng. Nó không chỉ đảm bảo rằng các công cụ giám sát, bảo mật và phân tích của bạn nhận được lưu lượng cần thiết mà còn đảm bảo rằng mạng của bạn được bảo mật. Nó cũng đảm bảo rằng thiết bị không tiêu tốn tài nguyên cho lưu lượng không mong muốn. Có lẽ trình phân tích mạng của bạn không cần ghi lại lưu lượng sao lưu vì nó chiếm dung lượng đĩa có giá trị trong quá trình sao lưu. Những thứ này dễ dàng được lọc ra khỏi trình phân tích trong khi vẫn bảo toàn tất cả lưu lượng khác cho công cụ. Có thể bạn có toàn bộ một mạng con mà bạn muốn ẩn khỏi một số hệ thống khác; một lần nữa, điều này dễ dàng bị xóa trên cổng đầu ra đã chọn. Trên thực tế, một NPB duy nhất có thể xử lý một số liên kết lưu lượng trực tuyến trong khi xử lý lưu lượng ngoài băng tần khác.
Thời gian đăng: 09-03-2022
