Network Packet Broker (NPB) etengailu baten antzeko sareko gailu bat da, gailu eramangarrietatik hasi eta 1U eta 2U unitate-kaxetaraino, kaxa handietaraino eta plaka-sistemetaraino doana. Etengailu bat ez bezala, NPB-k ez du inola ere aldatzen bertatik igarotzen den trafikoa, esplizituki agindu ezean. NPB-k trafikoa jaso dezake interfaze batean edo gehiagotan, trafiko horretan aurrez definitutako funtzio batzuk egin ditzake eta, ondoren, interfaze batera edo gehiagotara bidali.
Hauek askotan edozein-edozein, asko-edozein eta edozein-asko ataka-mapeatze gisa aipatzen dira. Egin daitezkeen funtzioak sinpleetatik hasi eta, hala nola trafikoa birbidaltzea edo baztertzea, konplexuetaraino doaz, hala nola 5. geruzatik gorako informazioa iragaztea saio jakin bat identifikatzeko. NPBko interfazeak kobrezko kable-konexioak izan daitezke, baina normalean SFP/SFP + eta QSFP markoak dira, eta horiei esker, erabiltzaileek hainbat euskarri eta banda-zabalera-abiadura erabil ditzakete. NPBren funtzio-multzoa sareko ekipamenduen eraginkortasuna maximizatzeko printzipioan oinarritzen da, batez ere monitorizazio, analisi eta segurtasun tresnenetan.
Zer funtzio eskaintzen ditu Network Packet Broker-ek?
NPBren gaitasunak ugariak dira eta gailuaren markaren eta modeloaren arabera alda daitezke, nahiz eta bere gustuko pakete-agente orok oinarrizko gaitasun multzo bat izan nahi izango duen. NPB gehienak (NPB ohikoenak) OSI 2tik 4ra bitarteko geruzetan funtzionatzen dute.
Oro har, L2-4-ren NPB-an ezaugarri hauek aurki ditzakezu: trafikoaren (edo haren zati espezifikoak) birbideratzea, trafikoaren iragazketa, trafikoaren erreplikazioa, protokoloen kentzea, paketeen mozketa (mozketa), sareko tunel-protokolo desberdinak abiaraztea edo amaitzea eta trafikoaren karga-orekatzea. Espero bezala, L2-4-ren NPB-ak VLAN, MPLS etiketak, MAC helbideak (iturria eta helburua), IP helbideak (iturria eta helburua), TCP eta UDP atakak (iturria eta helburua) eta baita TCP banderak ere iragaz ditzake, baita ICMP, SCTP eta ARP trafikoa ere. Hau ez da inola ere erabiltzeko ezaugarri bat, baizik eta 2. eta 4. geruzetan funtzionatzen duen NPB-k trafiko azpimultzoak nola bereizi eta identifikatu ditzakeen ideia bat ematen du. Bezeroek NPB-n bilatu beharko luketen baldintza nagusietako bat blokeatzen ez duen atzeko planoa da.
Sareko paketeen bitartekariak gailuko portu bakoitzaren trafiko-zama osoa asetzeko gai izan behar du. Txasis-sisteman, atzeko planoarekiko interkonexioak konektatutako moduluen trafiko-karga osoa asetzeko gai izan behar du. NPB-ak paketea galtzen badu, tresna hauek ez dute sarearen ulermen osoa izango.
NPB gehienak ASIC edo FPGA-n oinarritzen diren arren, paketeen prozesamenduaren errendimenduaren ziurtasunagatik, integrazio edo CPU asko onargarriak izango dira (moduluen bidez). Mylinking™ Network Packet Brokers (NPB) sistemak ASIC soluzioan oinarritzen dira. Hau normalean prozesamendu malgua eskaintzen duen funtzioa da eta, beraz, ezin da hardwarean soilik egin. Horien artean daude paketeen deduplikazioa, denbora-zigiluak, SSL/TLS deszifratzea, gako-hitz bilaketa eta adierazpen erregularren bilaketa. Garrantzitsua da kontuan izatea bere funtzionaltasuna CPUaren errendimenduaren araberakoa dela. (Adibidez, eredu beraren adierazpen erregularren bilaketek errendimendu-emaitza oso desberdinak eman ditzakete trafiko motaren, bat etortze-tasaren eta banda-zabaleraren arabera), beraz, ez da erraza zehaztea benetako inplementazioa egin aurretik.
CPUaren araberako funtzioak gaituta badaude, NPBren errendimendu orokorrean faktore mugatzaile bihurtzen dira. CPUen eta kommutazio-txipen etorrerak, hala nola Cavium Xpliant, Barefoot Tofino eta Innovium Teralynx, hurrengo belaunaldiko sare-pakete-agenteentzako gaitasun multzo zabaldu baten oinarria ere osatu zuen. Unitate funtzional hauek L4-tik gorako trafikoa kudea dezakete (askotan L7 pakete-agente deitzen zaie). Goian aipatutako funtzio aurreratuen artean, gako-hitz eta adierazpen erregularren bilaketa hurrengo belaunaldiko gaitasunen adibide onak dira. Pakete-zama bilatzeko gaitasunak saio eta aplikazio mailetan trafikoa iragazteko aukerak eskaintzen ditu, eta sare ebolutibo baten gaineko kontrol finagoa eskaintzen du L2-4-k baino.
Nola egokitzen da Network Packet Broker azpiegituran?
NPB bi modu ezberdinetan instala daiteke sare-azpiegitura batean:
1- Lerroan
2- Bandatik kanpo.
Ikuspegi bakoitzak abantailak eta desabantailak ditu eta trafikoaren manipulazioa ahalbidetzen du beste ikuspegi batzuek ezin duten moduan. Sareko pakete-bitartekariak denbora errealeko sare-trafikoa du, gailua zeharkatzen duena helmugara bidean. Horrek trafikoa denbora errealean manipulatzeko aukera ematen du. Adibidez, VLAN etiketak gehitzean, aldatzean edo ezabatzean edo helmugako IP helbideak aldatzean, trafikoa bigarren esteka batera kopiatzen da. Lerroko metodo gisa, NPB-k erredundantzia ere eman dezake beste tresna batzuetarako, hala nola IDS, IPS edo suebakietarako. NPB-k gailu horien egoera kontrolatu dezake eta trafikoa dinamikoki birbideratu bero-itxaropen modura, hutsegite baten kasuan.
Malgutasun handia eskaintzen du trafikoa prozesatzeko eta hainbat monitorizazio eta segurtasun gailutara erreplikatzeko, denbora errealeko sarea eragin gabe. Gainera, sarearen ikusgarritasun paregabea eskaintzen du eta gailu guztiek beren erantzukizunak behar bezala kudeatzeko behar duten trafikoaren kopia jasotzen dutela ziurtatzen du. Zure monitorizazio, segurtasun eta analisi tresnek behar duten trafikoa jasotzen dutela ziurtatzen du ez ezik, zure sarea segurua dela ere. Gailuak nahi ez den trafikoan baliabiderik ez kontsumitzea ere bermatzen du. Agian zure sare analizatzaileak ez du babeskopiako trafikoa grabatu beharrik, babeskopia egiten ari den bitartean disko espazio baliotsua hartzen duelako. Gauza hauek erraz iragazten dira analizatzailetik, tresnarentzako gainerako trafiko guztia mantenduz. Agian azpisare oso bat duzu beste sistema batetik ezkutuan mantendu nahi duzuna; berriro ere, hau erraz kentzen da hautatutako irteera atakan. Izan ere, NPB bakar batek trafiko esteka batzuk linean prozesatu ditzake, bandaz kanpoko beste trafiko bat prozesatzen duen bitartean.
Argitaratze data: 2022ko martxoaren 9a
