Network Packet Broker (NPB) sareko gailu bezalako etengailu bat da, gailu eramangarrietatik 1U eta 2U unitate-kaxetaraino, kasu handietara eta plaka-sistemetaraino. Etengailu batek ez bezala, NPBk ez du inola ere aldatzen bertatik igarotzen den trafikoa, berariaz agindu ezean. NPB-k trafikoa interfaze batean edo gehiagotan jaso dezake, trafiko horretan aurrez zehaztutako funtzio batzuk egin ditzake eta, ondoren, interfaze batera edo gehiagotara atera dezake.
Askotan edozein-to-edozein, asko-to-edozein eta edozein-to-askoren portu-mapaketak deitzen dira. Egin daitezkeen funtzioak sinpleak dira, hala nola trafikoa birbidaltzea edo baztertzea, konplexuak, hala nola 5. geruzaren gaineko informazioa iragaztea saio jakin bat identifikatzeko. NPBko interfazeak kobrezko kable bidezko konexioak izan daitezke, baina SFP/SFP + eta QSFP markoak izan ohi dira, erabiltzaileek hainbat euskarri eta banda-zabalera abiadura erabiltzeko aukera ematen dietenak. NPB-ren ezaugarri-multzoa sareko ekipoen eraginkortasuna maximizatzeko printzipioan oinarritzen da, bereziki monitorizazio, analisi eta segurtasun tresnetan.
Zein funtzio eskaintzen ditu Network Packet Broker-ek?
NPBren gaitasunak ugariak dira eta gailuaren marka eta modeloaren arabera alda daitezke, nahiz eta merezi duen pakete-agente guztiek gaitasun-multzo nagusi bat izan nahi duten. NPB gehienek (NPB ohikoena) OSI 2tik 4ra bitarteko geruzetan funtzionatzen dute.
Oro har, ezaugarri hauek aurki ditzakezu L2-4ko NPBan: trafikoa (edo haren zati zehatzak) birbideratzea, trafikoa iragaztea, trafikoaren erreplikazioa, protokoloak kentzea, paketeen zatiketa (mozketa), sareko tunelaren hainbat protokolo abiaraztea edo amaitzea, eta trafikorako karga orekatzea. Espero bezala, L2-4-ren NPB-k VLAN, MPLS etiketak, MAC helbideak (iturburua eta xedea), IP helbideak (iturburua eta xedea), TCP eta UDP atakak (iturburua eta xedea) eta baita TCP banderak ere iragazi ditzake, baita ICMP ere. SCTP eta ARP trafikoa. Hau ez da inola ere erabili beharreko ezaugarria, baizik eta NPBk 2tik 4ra bitarteko geruzetan funtzionatzen duen trafiko-azpimultzoak nola bereizi eta identifikatu ditzakeen jakiteko ideia ematen du. Bezeroek NPBn bilatu behar duten baldintza nagusi bat blokeorik gabeko atzeko planoa da.
Sare-pakete Broker-ek gailuko ataka bakoitzaren trafiko-ekarpen osoa betetzeko gai izan behar du. Xasis-sisteman, atzeko planoarekiko interkonexioak konektatutako moduluen trafiko-karga osoa asetzeko gai izan behar du. NPBk paketea kentzen badu, tresna hauek ez dute sarea guztiz ulertuko.
NPBren gehiengoa ASIC edo FPGAn oinarritzen den arren, paketeen prozesamenduaren errendimenduaren ziurtasuna dela eta, integrazio edo CPU asko onargarriak izango dituzu (moduluen bidez). Mylinking™ Network Packet Brokers (NPB) ASIC soluzioan oinarritzen dira. Hau normalean prozesatzeko malgua eskaintzen duen ezaugarria da eta, beraz, ezin da hardwarean soilik egin. Besteak beste, paketeen desduplicazioa, denbora-zigiluak, SSL/TLS deszifratzea, gako-hitz-bilaketa eta adierazpen erregular bilaketa. Garrantzitsua da bere funtzionaltasuna CPU errendimenduaren araberakoa dela. (Adibidez, eredu bereko adierazpen erregular bilaketak errendimendu-emaitza oso desberdinak eman ditzake trafiko-motaren, bat-etortze-tasaren eta banda-zabaleraren arabera), beraz, ez da erraza benetako inplementazioa baino lehen zehaztea.
CPUren menpeko funtzioak gaituta badaude, NPBren errendimendu orokorraren faktore mugatzaile bihurtzen dira. CPU eta kommutazio-txip programagarrien etorrerak, hala nola Cavium Xpliant, Barefoot Tofino eta Innovium Teralynx, hurrengo belaunaldiko sare-pakete-agenteentzako gaitasun multzo zabal baten oinarria ere osatu zuten. Unitate funtzional hauek L4tik gorako trafikoa kudeatu dezakete (askotan aipatzen dena L7 pakete-agente gisa). Goian aipatutako ezaugarri aurreratuen artean, gako-hitzak eta adierazpen erregularrak bilaketa hurrengo belaunaldiko gaitasunen adibide onak dira. Pakete-kargak bilatzeko gaitasunak trafikoa iragazteko aukerak eskaintzen ditu saio- eta aplikazio-mailetan, eta L2-4-k baino kontrol finagoa eskaintzen du garatzen ari den sare baten gainean.
Nola sartzen da Network Packet Broker azpiegituran?
NPB sareko azpiegitura batean instalatu daiteke bi modu ezberdinetan:
1- Sarean
2- Bandetik kanpo.
Ikuspegi bakoitzak abantailak eta desabantailak ditu eta trafikoa manipulatzea ahalbidetzen du beste ikuspegi batzuek ezin duten moduan. Sareko paketeen artekariak denbora errealeko sareko trafikoa du gailua zeharkatzen duena bere helmugara bidean. Horrek trafikoa denbora errealean manipulatzeko aukera ematen du. Adibidez, VLAN etiketak gehitzean, aldatzean edo ezabatzean edo helmugako IP helbideak aldatzean, trafikoa bigarren esteka batera kopiatzen da. Lineako metodo gisa, NPBk lineako beste tresna batzuen erredundantzia ere eman dezake, hala nola IDS, IPS edo suebakiak. NPB-k gailu horien egoera kontrola dezake eta trafikoa modu dinamikoan birbideratu dezake erreserba berora, hutsegite bat gertatuz gero.
Malgutasun handia ematen du trafikoa nola prozesatu eta erreplikatzen den monitorizazio eta segurtasun gailu anitzetan, denbora errealeko sareari eragin gabe. Aurrekaririk gabeko sarearen ikusgarritasuna ere eskaintzen du eta gailu guztiek beren ardurak behar bezala kudeatzeko behar den trafikoaren kopia bat jasoko dutela bermatzen du. Zure monitorizazio, segurtasun eta analisi tresnek behar duten trafikoa lortzen dutela ziurtatzen du, baita zure sarea segurua dela ere. Gainera, bermatzen du gailuak ez duela baliabiderik kontsumitzen nahi ez den trafikoan. Beharbada, zure sare-analisiatzaileak ez du babeskopia-trafikoa grabatu beharrik, babeskopiak egiten diren bitartean diskoko leku baliotsua hartzen duelako. Gauza hauek analizagailutik erraz iragazten dira tresnarako beste trafiko guztia gordez. Agian beste sistema batzuetatik ezkutatu nahi duzun azpisare oso bat duzu; berriro ere, hau erraz kentzen da hautatutako irteerako atakan. Izan ere, NPB bakar batek trafiko-esteka batzuk linean prozesatu ditzake bandaz kanpoko beste trafiko bat prozesatzen duen bitartean.
Argitalpenaren ordua: 2022-09-09