Reto Packet Broker (NPB) estas ŝaltilo kiel reta aparato, kiu ampleksas de porteblaj aparatoj ĝis 1U kaj 2U -unuo -kazoj ĝis grandaj kazoj kaj tabulaj sistemoj. Male al ŝaltilo, la NPB ne ŝanĝas la trafikon, kiu iel fluas tra ĝi krom se eksplicite instrukciita. NPB povas ricevi trafikon per unu aŭ pluraj interfacoj, plenumi iujn antaŭdifinitajn funkciojn sur tiu trafiko, kaj poste eligi ĝin al unu aŭ pluraj interfacoj.
Ĉi tiuj estas ofte nomataj kiel ajn-al-ĉiuj, multaj-al-ĉiuj, kaj iuj ajn-multaj havenaj mapoj. La funkcioj realigeblaj de simpla, kiel plusendado aŭ forĵetado de trafiko, ĝis kompleksaj, kiel filtri informojn super tavolo 5 por identigi apartan sesion. Interfacoj sur NPB povas esti kupraj kablaj ligoj, sed kutime estas SFP/SFP + kaj QSFP -kadroj, kiuj permesas al uzantoj uzi diversajn rimedojn kaj larĝajn larĝajn rapidojn. La trajto -aro de NPB baziĝas sur la principo maksimumigi la efikecon de retaj ekipaĵoj, aparte monitorado, analizo kaj sekurecaj iloj.
Kiajn funkciojn provizas la retpakita makleristo?
La kapabloj de NPB estas multnombraj kaj povas varii depende de la marko kaj modelo de aparato, kvankam iu ajn paka agento valoras sian salon volos havi kernan aron da kapabloj. Plej multaj NPB (la plej oftaj NPB) funkcias ĉe OSI -tavoloj 2 ĝis 4.
Ĝenerale, vi povas trovi la jenajn funkciojn en la NPB de L2-4: trafiko (aŭ specifaj partoj de ĝi) redirektado, trafika filtrado, replikado de trafiko, protokola striado, paka tranĉado (tondado), komencante aŭ ĉesigante diversajn retajn tunelajn protokolojn kaj ŝarĝ-ekvilibron por trafiko. Kiel atendite, NPB de L2-4 povas filtri VLAN, MPLS-etikedojn, MAC-adresojn (fonto kaj celo), IP-adresojn (fonto kaj celo), TCP kaj UDP-havenoj (fonto kaj celo), kaj eĉ TCP-flagoj, same kiel ICMP, SCTP, kaj ARP-trafiko. Ĉi tio estas neniel uzebla, sed prefere donas ideon pri kiel NPB funkcianta ĉe tavoloj 2 ĝis 4 povas disigi kaj identigi subarojn de trafiko. Ŝlosila postulo, kiun klientoj devas serĉi en NPB, estas ne-blokanta dorsplano.
Reto -paka makleristo bezonas povi plenumi la plenan trafikan fluon de ĉiu haveno en la aparato. En la ĉasa sistemo, la interkonekto kun la malantaŭa plano ankaŭ devas povi plenumi la plenan trafikan ŝarĝon de la konektitaj moduloj. Se la NPB faligas la pakaĵon, ĉi tiuj iloj ne havos kompletan komprenon de la reto.
Kvankam la granda plimulto de NPB baziĝas sur ASIC aŭ FPGA, pro la certeco de paka prilaborado, vi trovos multajn integriĝojn aŭ CPU -ojn akcepteblajn (per moduloj). La MyLinking ™ Reto -Pakaj Makleristoj (NPB) baziĝas sur ASIC -solvo. Ĉi tio kutime estas ĉefaĵo, kiu provizas flekseblan prilaboron kaj tial ne povas esti farita nur en aparataro. Ĉi tiuj inkluzivas paketan deduplikadon, horloĝojn, malĉifradon de SSL/TLS, serĉvorton kaj regulan esprimon. Gravas rimarki, ke ĝia funkcieco dependas de CPU -agado. (Ekzemple, regulaj esprimaj serĉoj de la sama ŝablono povas produkti tre malsamajn rendimentajn rezultojn depende de trafika tipo, kongrua indico kaj larĝa de bando), do ne estas facile determini antaŭ efektiva efektivigo.
Se CPU-dependaj ecoj estas enŝaltitaj, ili fariĝas limiga faktoro en la ĝenerala agado de la NPB. La apero de CPUoj kaj programeblaj ŝaltaj blatoj, kiel Cavium Xpliant, nudpieda tofino kaj Innovium teralynx, ankaŭ formis la bazon de pligrandigita aro de kapabloj por venontaj generaciaj retaj paketaj agentoj, ĉi tiuj funkciaj unuoj povas pritrakti trafikon super L4 (ofte nomataj L7-paketoj). Inter la altnivelaj funkcioj menciitaj supre, ŝlosilvorto kaj regula esprimo estas bonaj ekzemploj de venontaj generaciaj kapabloj. La kapablo serĉi paketajn ŝarĝojn disponigas ŝancojn filtri trafikon ĉe la sesio kaj aplikaj niveloj, kaj provizas pli fajnan kontrolon pri evolua reto ol la L2-4.
Kiel retpakita makleristo en la infrastrukturo?
La NPB povas esti instalita en retan infrastrukturon laŭ du malsamaj manieroj:
1- INLINE
2- ekster-bando.
Ĉiu alproksimiĝo havas avantaĝojn kaj malavantaĝojn kaj ebligas trafikan manipuladon laŭ manieroj, kiujn aliaj aliroj ne povas. La enreta retpakita makleristo havas realtempan retan trafikon, kiu trairas la aparaton survoje al sia celloko. Ĉi tio donas la ŝancon manipuli trafikon en reala tempo. Ekzemple, aldoninte, modifi aŭ forigi VLAN -etikedojn aŭ ŝanĝi IP -adresojn de destino, trafiko estas kopiita al dua ligo. Kiel inline -metodo, NPB ankaŭ povas provizi redundon por aliaj inline -iloj, kiel IDS, IPS, aŭ fajroŝirmiloj. NPB povas monitori la staton de tiaj aparatoj kaj dinamike re-direkti trafikon al varma atendo en kazo de fiasko.
Ĝi provizas grandan flekseblecon pri kiel prilaborita trafiko kaj replikita al multoblaj monitorado kaj sekurecaj aparatoj sen tuŝi la realtempan reton. Ĝi ankaŭ provizas senprecedencan retan videblecon kaj certigas, ke ĉiuj aparatoj ricevas kopion de la trafiko necesa por konvene pritrakti siajn respondecojn. Ĝi ne nur certigas, ke via monitorado, sekureco kaj analizaj iloj akiras la trafikon, kiun ili bezonas, sed ankaŭ, ke via reto estas sekura. Ĝi ankaŭ certigas, ke la aparato ne konsumas rimedojn pri nedezirata trafiko. Eble via reta analizilo ne bezonas registri rezervan trafikon ĉar ĝi okupas valoran diskan spacon dum la sekurkopio. Ĉi tiuj aferoj estas facile filtritaj el la analizilo konservante la tutan alian trafikon por la ilo. Eble vi havas tutan subreton, kiun vi volas resti kaŝita de iu alia sistemo; Denove, ĉi tio estas facile forigita sur la elektita elira haveno. Fakte, ununura NPB povas prilabori iujn trafikajn ligojn interne dum prilaborado de alia ekster-bando-trafiko.
Afiŝotempo: MAR-09-2022
