Network Packet Broker (NPB) là một thiết bị mạng dạng switch, có kích thước đa dạng, từ thiết bị di động, case 1U và 2U, đến case lớn và hệ thống bo mạch. Không giống như switch, NPB không thay đổi lưu lượng truyền qua nó theo bất kỳ cách nào trừ khi được chỉ định rõ ràng. NPB có thể nhận lưu lượng trên một hoặc nhiều giao diện, thực hiện một số chức năng được xác định trước trên lưu lượng đó, rồi xuất ra một hoặc nhiều giao diện.
Các giao thức này thường được gọi là ánh xạ cổng any-to-any, many-to-any và any-to-many. Các chức năng có thể được thực hiện trải dài từ đơn giản, chẳng hạn như chuyển tiếp hoặc loại bỏ lưu lượng, đến phức tạp, chẳng hạn như lọc thông tin trên lớp 5 để xác định một phiên cụ thể. Giao diện trên NPB có thể là kết nối cáp đồng, nhưng thường là khung SFP/SFP+ và QSFP, cho phép người dùng sử dụng nhiều loại phương tiện và tốc độ băng thông khác nhau. Bộ tính năng của NPB được xây dựng dựa trên nguyên tắc tối đa hóa hiệu quả của thiết bị mạng, đặc biệt là các công cụ giám sát, phân tích và bảo mật.
Network Packet Broker cung cấp những chức năng gì?
Khả năng của NPB rất đa dạng và có thể khác nhau tùy thuộc vào thương hiệu và kiểu thiết bị, mặc dù bất kỳ tác nhân đóng gói nào cũng sẽ muốn có một bộ khả năng cốt lõi. Hầu hết NPB (NPB phổ biến nhất) hoạt động ở các lớp từ 2 đến 4 của OSI.
Nhìn chung, bạn có thể tìm thấy các tính năng sau trên NPB của L2-4: chuyển hướng lưu lượng (hoặc các phần cụ thể của lưu lượng), lọc lưu lượng, sao chép lưu lượng, loại bỏ giao thức, cắt gói (cắt ngắn), khởi động hoặc kết thúc các giao thức đường hầm mạng khác nhau và cân bằng tải cho lưu lượng. Như mong đợi, NPB của L2-4 có thể lọc VLAN, nhãn MPLS, địa chỉ MAC (nguồn và đích), địa chỉ IP (nguồn và đích), cổng TCP và UDP (nguồn và đích), và thậm chí cả cờ TCP, cũng như lưu lượng ICMP, SCTP và ARP. Đây không phải là một tính năng cần sử dụng, mà chỉ cung cấp ý tưởng về cách NPB hoạt động ở các lớp 2 đến 4 có thể phân tách và xác định các tập hợp con lưu lượng. Một yêu cầu quan trọng mà khách hàng nên tìm kiếm ở NPB là một backplane không chặn.
Network Packet Broker cần có khả năng đáp ứng toàn bộ lưu lượng truy cập của từng cổng trên thiết bị. Trong hệ thống khung gầm, kết nối với backplane cũng phải có khả năng đáp ứng toàn bộ lưu lượng truy cập của các mô-đun được kết nối. Nếu NPB loại bỏ gói tin, các công cụ này sẽ không hiểu đầy đủ về mạng.
Mặc dù phần lớn NPB dựa trên ASIC hoặc FPGA, nhưng do hiệu suất xử lý gói tin chắc chắn, bạn sẽ thấy nhiều tích hợp hoặc CPU được chấp nhận (thông qua các mô-đun). Mylinking™ Network Packet Brokers (NPB) dựa trên giải pháp ASIC. Đây thường là một tính năng cung cấp khả năng xử lý linh hoạt và do đó không thể thực hiện hoàn toàn bằng phần cứng. Các tính năng này bao gồm loại bỏ trùng lặp gói tin, dấu thời gian, giải mã SSL/TLS, tìm kiếm từ khóa và tìm kiếm biểu thức chính quy. Điều quan trọng cần lưu ý là chức năng của nó phụ thuộc vào hiệu suất CPU. (Ví dụ: tìm kiếm biểu thức chính quy cùng một mẫu có thể mang lại kết quả hiệu suất rất khác nhau tùy thuộc vào loại lưu lượng, tỷ lệ khớp và băng thông), vì vậy không dễ để xác định trước khi triển khai thực tế.
Nếu các tính năng phụ thuộc CPU được bật, chúng sẽ trở thành một yếu tố hạn chế hiệu suất tổng thể của NPB. Sự ra đời của CPU và chip chuyển mạch lập trình, chẳng hạn như Cavium Xpliant, Barefoot Tofino và Innovium Teralynx, cũng tạo thành nền tảng cho một bộ khả năng mở rộng dành cho các tác nhân gói mạng thế hệ tiếp theo. Các đơn vị chức năng này có thể xử lý lưu lượng trên L4 (thường được gọi là tác nhân gói L7). Trong số các tính năng nâng cao được đề cập ở trên, tìm kiếm bằng từ khóa và biểu thức chính quy là những ví dụ điển hình về khả năng thế hệ tiếp theo. Khả năng tìm kiếm tải trọng gói mang lại cơ hội lọc lưu lượng ở cấp độ phiên và ứng dụng, đồng thời cung cấp khả năng kiểm soát mạng tốt hơn so với L2-4.
Network Packet Broker phù hợp với cơ sở hạ tầng như thế nào?
NPB có thể được cài đặt vào cơ sở hạ tầng mạng theo hai cách khác nhau:
1- Nội tuyến
2- Ngoài băng tần.
Mỗi phương pháp đều có ưu điểm và nhược điểm riêng, cho phép điều khiển lưu lượng theo những cách mà các phương pháp khác không thể. Bộ môi giới gói tin mạng nội tuyến (inline network packet broker) có lưu lượng mạng thời gian thực đi qua thiết bị trên đường đến đích. Điều này mang lại khả năng điều khiển lưu lượng theo thời gian thực. Ví dụ: khi thêm, sửa đổi hoặc xóa thẻ VLAN hoặc thay đổi địa chỉ IP đích, lưu lượng sẽ được sao chép sang một liên kết thứ hai. Là một phương pháp nội tuyến, NPB cũng có thể cung cấp khả năng dự phòng cho các công cụ nội tuyến khác, chẳng hạn như IDS, IPS hoặc tường lửa. NPB có thể giám sát trạng thái của các thiết bị đó và tự động định tuyến lại lưu lượng đến chế độ chờ nóng (hot standby) trong trường hợp xảy ra sự cố.
Nó cung cấp tính linh hoạt tuyệt vời trong cách xử lý và sao chép lưu lượng đến nhiều thiết bị giám sát và bảo mật mà không ảnh hưởng đến mạng thời gian thực. Nó cũng cung cấp khả năng hiển thị mạng chưa từng có và đảm bảo rằng tất cả các thiết bị đều nhận được bản sao lưu lượng cần thiết để xử lý đúng trách nhiệm của chúng. Nó không chỉ đảm bảo rằng các công cụ giám sát, bảo mật và phân tích của bạn nhận được lưu lượng cần thiết mà còn đảm bảo mạng của bạn được bảo mật. Nó cũng đảm bảo rằng thiết bị không tiêu tốn tài nguyên cho lưu lượng không mong muốn. Có lẽ trình phân tích mạng của bạn không cần ghi lại lưu lượng sao lưu vì nó chiếm dung lượng đĩa có giá trị trong quá trình sao lưu. Những thứ này dễ dàng được lọc ra khỏi trình phân tích trong khi vẫn bảo toàn tất cả lưu lượng khác cho công cụ. Có thể bạn có toàn bộ một mạng con mà bạn muốn ẩn khỏi một số hệ thống khác; một lần nữa, điều này dễ dàng được xóa trên cổng đầu ra đã chọn. Trên thực tế, một NPB duy nhất có thể xử lý một số liên kết lưu lượng trực tuyến trong khi xử lý lưu lượng ngoài băng tần khác.
Thời gian đăng: 09-03-2022
