Network Packet Broker (NPB) là một thiết bị chuyển mạch giống như mạng có kích thước từ thiết bị di động đến hộp đựng đơn vị 1U và 2U cho đến hộp lớn và hệ thống bo mạch.Không giống như switch, NPB không thay đổi lưu lượng đi qua nó theo bất kỳ cách nào trừ khi được hướng dẫn rõ ràng.NPB có thể nhận lưu lượng truy cập trên một hoặc nhiều giao diện, thực hiện một số chức năng được xác định trước trên lưu lượng đó và sau đó xuất nó sang một hoặc nhiều giao diện.
Chúng thường được gọi là ánh xạ cổng bất kỳ với bất kỳ, nhiều với bất kỳ và bất kỳ với nhiều cổng.Các chức năng có thể được thực hiện từ đơn giản, chẳng hạn như chuyển tiếp hoặc loại bỏ lưu lượng truy cập, đến phức tạp, chẳng hạn như lọc thông tin trên lớp 5 để xác định một phiên cụ thể.Các giao diện trên NPB có thể là kết nối cáp đồng, nhưng thường là các khung SFP/SFP+ và QSFP, cho phép người dùng sử dụng nhiều loại phương tiện và tốc độ băng thông.Bộ tính năng của NPB được xây dựng trên nguyên tắc tối đa hóa hiệu quả của thiết bị mạng, đặc biệt là các công cụ giám sát, phân tích và bảo mật.
Network Packet Broker cung cấp những chức năng gì?
Khả năng của NPB rất nhiều và có thể khác nhau tùy thuộc vào thương hiệu và kiểu thiết bị, mặc dù bất kỳ đại lý trọn gói nào xứng đáng với anh ta sẽ muốn có một bộ khả năng cốt lõi.Hầu hết các chức năng NPB (NPB phổ biến nhất) ở lớp 2 đến lớp 4 của OSI.
Nói chung, bạn có thể tìm thấy các tính năng sau trên NPB của L2-4: chuyển hướng lưu lượng (hoặc các phần cụ thể của nó), lọc lưu lượng, sao chép lưu lượng, loại bỏ giao thức, cắt gói (cắt ngắn), bắt đầu hoặc chấm dứt các giao thức đường hầm mạng khác nhau, và cân bằng tải cho lưu lượng.Đúng như mong đợi, NPB của L2-4 có thể lọc nhãn Vlan, MPLS, địa chỉ MAC (nguồn và đích), địa chỉ IP (nguồn và đích), cổng TCP và UDP (nguồn và đích) và thậm chí cả cờ TCP, cũng như ICMP, Lưu lượng SCTP và ARP.Đây hoàn toàn không phải là một tính năng được sử dụng mà chỉ cung cấp ý tưởng về cách NPB hoạt động ở lớp 2 đến lớp 4 có thể phân tách và xác định các tập hợp lưu lượng con.Yêu cầu chính mà khách hàng nên tìm kiếm ở NPB là bảng nối đa năng không chặn.
Nhà môi giới gói mạng cần có khả năng đáp ứng toàn bộ lưu lượng truy cập của từng cổng trên thiết bị.Trong hệ thống khung, kết nối với bảng nối đa năng cũng phải có khả năng đáp ứng toàn bộ tải lưu lượng của các mô-đun được kết nối.Nếu NPB bỏ gói, các công cụ này sẽ không hiểu đầy đủ về mạng.
Mặc dù phần lớn NPB dựa trên ASIC hoặc FPGA, do tính chắc chắn của hiệu suất xử lý gói, bạn sẽ thấy nhiều tích hợp hoặc CPU có thể chấp nhận được (thông qua các mô-đun).Nhà môi giới gói mạng Mylinking™ (NPB) dựa trên giải pháp ASIC.Đây thường là một tính năng cung cấp khả năng xử lý linh hoạt và do đó không thể thực hiện được hoàn toàn bằng phần cứng.Chúng bao gồm chống trùng lặp gói, dấu thời gian, giải mã SSL/TLS, tìm kiếm từ khóa và tìm kiếm biểu thức chính quy.Điều quan trọng cần lưu ý là chức năng của nó phụ thuộc vào hiệu suất của CPU.(Ví dụ: tìm kiếm biểu thức chính quy của cùng một mẫu có thể mang lại kết quả hiệu suất rất khác nhau tùy thuộc vào loại lưu lượng truy cập, tốc độ khớp và băng thông), do đó không dễ xác định trước khi triển khai thực tế.
Nếu các tính năng phụ thuộc vào CPU được bật, chúng sẽ trở thành yếu tố hạn chế hiệu suất tổng thể của NPB.Sự ra đời của CPU và chip chuyển mạch có thể lập trình, chẳng hạn như Cavium Xpliant, Barefoot Tofino và Innovium Teralynx, cũng tạo cơ sở cho một bộ khả năng mở rộng cho các đại lý gói mạng thế hệ tiếp theo. Các đơn vị chức năng này có thể xử lý lưu lượng trên L4 (thường được gọi là như tác nhân gói L7).Trong số các tính năng nâng cao được đề cập ở trên, tìm kiếm từ khóa và biểu thức chính quy là những ví dụ điển hình về các khả năng thế hệ tiếp theo.Khả năng tìm kiếm tải trọng gói cung cấp cơ hội lọc lưu lượng truy cập ở cấp độ phiên và ứng dụng, đồng thời cung cấp khả năng kiểm soát tốt hơn trên mạng đang phát triển so với L2-4.
Network Packet Broker phù hợp với cơ sở hạ tầng như thế nào?
NPB có thể được cài đặt vào cơ sở hạ tầng mạng theo hai cách khác nhau:
1- Nội tuyến
2- Ngoài băng tần.
Mỗi cách tiếp cận đều có ưu điểm và nhược điểm và cho phép thao túng lưu lượng truy cập theo những cách mà các phương pháp khác không thể làm được.Nhà môi giới gói mạng nội tuyến có lưu lượng mạng thời gian thực đi qua thiết bị trên đường đến đích.Điều này cung cấp cơ hội để thao túng lưu lượng truy cập trong thời gian thực.Ví dụ: khi thêm, sửa đổi hoặc xóa thẻ Vlan hoặc thay đổi địa chỉ IP đích, lưu lượng truy cập sẽ được sao chép sang liên kết thứ hai.Là một phương pháp nội tuyến, NPB cũng có thể cung cấp dự phòng cho các công cụ nội tuyến khác, chẳng hạn như IDS, IPS hoặc tường lửa.NPB có thể giám sát trạng thái của các thiết bị đó và tự động định tuyến lại lưu lượng truy cập sang chế độ chờ nóng trong trường hợp xảy ra lỗi.
Nó cung cấp sự linh hoạt cao độ trong cách xử lý và sao chép lưu lượng truy cập sang nhiều thiết bị giám sát và bảo mật mà không ảnh hưởng đến mạng thời gian thực.Nó cũng cung cấp khả năng hiển thị mạng chưa từng có và đảm bảo rằng tất cả các thiết bị đều nhận được bản sao lưu lượng truy cập cần thiết để xử lý đúng trách nhiệm của chúng.Nó không chỉ đảm bảo rằng các công cụ giám sát, bảo mật và phân tích của bạn nhận được lưu lượng truy cập cần thiết mà còn đảm bảo mạng của bạn được an toàn.Nó cũng đảm bảo rằng thiết bị không tiêu tốn tài nguyên trên lưu lượng truy cập không mong muốn.Có lẽ bộ phân tích mạng của bạn không cần ghi lại lưu lượng sao lưu vì nó chiếm dung lượng đĩa có giá trị trong quá trình sao lưu.Những thứ này dễ dàng được lọc ra khỏi máy phân tích trong khi vẫn bảo toàn tất cả lưu lượng truy cập khác cho công cụ.Có thể bạn có toàn bộ mạng con mà bạn muốn ẩn khỏi hệ thống khác;một lần nữa, điều này có thể dễ dàng được loại bỏ trên cổng đầu ra đã chọn.Trên thực tế, một NPB có thể xử lý một số liên kết lưu lượng nội tuyến trong khi xử lý các lưu lượng ngoài băng tần khác.
Thời gian đăng: Mar-09-2022
