Reta Pakaĵa Peranto (NPB) estas ŝaltil-simila ret-aparato, kiu varias laŭ grandeco de porteblaj aparatoj ĝis 1U kaj 2U unuopaj ŝrankoj ĝis grandaj ŝrankoj kaj plataj sistemoj. Male al ŝaltilo, la NPB ne ŝanĝas la trafikon, kiu fluas tra ĝi, iel ajn krom se eksplicite instrukciite. NPB povas ricevi trafikon sur unu aŭ pluraj interfacoj, plenumi kelkajn antaŭdifinitajn funkciojn sur tiu trafiko, kaj poste eligi ĝin al unu aŭ pluraj interfacoj.
Tiuj ofte nomiĝas "iu ajn-al-iu ajn", "iu ajn-al-iu ajn", kaj "iu ajn-al-multaj" havenmapadoj. La funkcioj, kiujn oni povas plenumi, varias de simplaj, kiel plusendado aŭ forĵetado de trafiko, ĝis kompleksaj, kiel filtrado de informoj super tavolo 5 por identigi specifan sesion. Interfacoj ĉe NPB povas esti kupraj kablaj konektoj, sed kutime estas SFP/SFP+ kaj QSFP-kadroj, kiuj permesas al uzantoj uzi diversajn amaskomunikilojn kaj bendolarĝajn rapidojn. La funkcioj de NPB baziĝas sur la principo maksimumigi la efikecon de reta ekipaĵo, precipe monitoradaj, analizaj kaj sekurecaj iloj.
Kiujn funkciojn provizas la Reta Pakaĵa Peranto?
La kapabloj de NPB estas multnombraj kaj povas varii depende de la marko kaj modelo de aparato, kvankam ĉiu pakaĵagento inda je sia salo volos havi kernan aron da kapabloj. Plej multaj NPB (la plej oftaj NPB) funkcias ĉe OSI-tavoloj 2 ĝis 4.
Ĝenerale, vi povas trovi la jenajn funkciojn sur la NPB de L2-4: redirektado de trafiko (aŭ specifaj partoj de ĝi), filtrado de trafiko, replikado de trafiko, protokola forigo, pakaĵotranĉado (tranĉado), komencado aŭ finado de diversaj rettunelprotokoloj, kaj ŝarĝekvilibrigo por trafiko. Kiel atendite, la NPB de L2-4 povas filtri VLAN, MPLS-etikedojn, MAC-adresojn (fonto kaj celo), IP-adresojn (fonto kaj celo), TCP- kaj UDP-pordojn (fonto kaj celo), kaj eĉ TCP-flagojn, same kiel ICMP, SCTP kaj ARP-trafikon. Ĉi tio tute ne estas funkcio uzebla, sed prefere donas ideon pri kiel NPB funkcianta ĉe tavoloj 2 ĝis 4 povas apartigi kaj identigi trafiksubarojn. Ŝlosila postulo, kiun klientoj devus serĉi en NPB, estas ne-bloka malantaŭa plato.
Retpakaĵa peranto devas povi kontentigi la plenan trafikan trairon de ĉiu pordo sur la aparato. En la ĉasiosistemo, la interkonekto kun la malantaŭa plato ankaŭ devas povi kontentigi la plenan trafikŝarĝon de la konektitaj moduloj. Se la NPB forĵetas la pakaĵon, ĉi tiuj iloj ne havos kompletan komprenon pri la reto.
Kvankam la vasta plimulto de NPB baziĝas sur ASIC aŭ FPGA, pro la certeco pri la pakaĵ-prilabora rendimento, vi trovos multajn integriĝojn aŭ CPU-ojn akcepteblajn (per moduloj). La Mylinking™ Network Packet Brokers (NPB) baziĝas sur ASIC-solvo. Ĉi tio kutime provizas flekseblan prilaboradon kaj tial ne povas esti farita sole per aparataro. Tiuj inkluzivas pakaĵ-senduplikadon, tempstampojn, SSL/TLS-malĉifradon, ŝlosilvortan serĉon kaj regulan esprimserĉon. Gravas noti, ke ĝia funkciado dependas de la CPU-rendimento. (Ekzemple, regulaj esprimserĉoj de la sama ŝablono povas doni tre malsamajn rendimentajn rezultojn depende de trafiktipo, kongruiga rapideco kaj bendolarĝo), do ne estas facile determini ĝin antaŭ la fakta efektivigo.
Se CPU-dependaj funkcioj estas ebligitaj, ili fariĝas limiganta faktoro en la ĝenerala agado de la NPB. La apero de procesoroj kaj programeblaj ŝaltilaj blatoj, kiel ekzemple Cavium Xpliant, Barefoot Tofino kaj Innovium Teralynx, ankaŭ formis la bazon de pligrandigita aro da kapabloj por la sekvaj generacioj de retpakaĵagentoj. Ĉi tiuj funkciaj unuoj povas pritrakti trafikon super L4 (ofte nomataj L7-pakaĵagentoj). Inter la supre menciitaj altnivelaj funkcioj, ŝlosilvorta kaj regula esprimo-serĉo estas bonaj ekzemploj de la sekvaj generacioj de kapabloj. La kapablo serĉi pakaĵŝarĝojn provizas ŝancojn filtri trafikon je la seancaj kaj aplikaĵaj niveloj, kaj provizas pli fajnan kontrolon super evoluanta reto ol la L2-4.
Kiel Network Packet Broker integriĝas en la infrastrukturon?
La NPB povas esti instalita en retinfrastrukturon laŭ du malsamaj manieroj:
1- Enlinia
2- Eksterbenda.
Ĉiu aliro havas avantaĝojn kaj malavantaĝojn kaj ebligas trafikmanipuladon laŭ manieroj, kiujn aliaj aliroj ne povas. La enlinia retpaka peranto havas realtempan retan trafikon, kiu trairas la aparaton survoje al sia celloko. Ĉi tio provizas la ŝancon manipuli trafikon en reala tempo. Ekzemple, dum aldono, modifo aŭ forigo de VLAN-etikedoj aŭ ŝanĝo de celaj IP-adresoj, trafiko estas kopiita al dua ligo. Kiel enlinia metodo, NPB ankaŭ povas provizi redundon por aliaj enliniaj iloj, kiel IDS, IPS aŭ fajromuroj. NPB povas monitori la staton de tiaj aparatoj kaj dinamike redirekti trafikon al varma atendoreĝimo en kazo de paneo.
Ĝi provizas grandan flekseblecon pri kiel trafiko estas prilaborata kaj reproduktita al pluraj monitoraj kaj sekurecaj aparatoj sen influi la realtempan reton. Ĝi ankaŭ provizas senprecedencan retan videblecon kaj certigas, ke ĉiuj aparatoj ricevas kopion de la trafiko bezonata por ĝuste pritrakti siajn respondecojn. Ĝi ne nur certigas, ke viaj monitoraj, sekurecaj kaj analizaj iloj ricevas la trafikon, kiun ili bezonas, sed ankaŭ ke via reto estas sekura. Ĝi ankaŭ certigas, ke la aparato ne konsumas rimedojn por nedezirata trafiko. Eble via retanalizilo ne bezonas registri rezervan trafikon, ĉar ĝi okupas valoran diskspacon dum la rezervado. Ĉi tiuj aferoj estas facile filtritaj el la analizilo, konservante la tutan alian trafikon por la ilo. Eble vi havas tutan subreton, kiun vi volas teni kaŝita de iu alia sistemo; denove, ĉi tio estas facile forigebla sur la elektita elira pordo. Fakte, ununura NPB povas prilabori iujn trafikajn ligojn enrete dum prilaborado de alia eksterbenda trafiko.
Afiŝtempo: Mar-09-2022
