Select Page
Susisiek su mumis
Jei jus domina mūsų pasiūlymas, naudokite žemiau esančią formą ir užduokite klausimą mūsų specialistui.

Kas yra tinklo paketų brokeris?

Zdjęcie NBP Cubro od frontu

„Network Packet Broker“ yra specialus tinklo jungiklis, kurį galima rasti įvairių formų: nuo nešiojamųjų įrenginių iki 1U arba 2U blokų iki išplėstinių modulinių sistemų (važiuoklės ir ašmenų).

Skirtingai nuo įprasto tinklo jungiklio, NPB netrukdo per jį tekančiam tinklo srautui, nebent to paprašytų tinklo administratorius.

NPB gali priimti tinklo srautą per vieną ar daugiau įvesties (įvesties prievadų), atlikti keletą iš anksto nustatytų operacijų su tuo srautu ir siųsti jį į vieną ar daugiau išvesties prievadų. Paprastai tai vadinama „bet kuris su bet kuriuo“, „daugelis su bet kuriuo“ ir „kiekvienas su daugeliu“ prievadų atvaizdavimo (vienas su vienu, daugelis su vienu ir vienas su daugeliu). Čia reikia pridurti, kad bet kuri iš NPB sąsajų gali būti apibrėžta kaip įvestis arba išvestis.

Operacijos, kurias gali atlikti NPB, svyruoja nuo paprasčiausio srauto persiuntimo į vieną ar kelis pasirinktus prievadus iki sudėtingo filtravimo L5 lygmenyje, siekiant nustatyti konkrečią seansą.

Tinklo paketų brokeriai gali turėti RJ45 varines jungtis, tačiau dažniausiai naudojami SFP/SFP+ arba QSFP prievadai, leidžiantys platesnį medijos ir ryšio greičio diapazoną.

NPB siūlomų funkcijų rinkinys yra skirtas efektyviausiai naudoti tinklo įrenginius tinklo srauto stebėjimui ir analizei bei IT saugumui. NPB kartu su TAP naudojami kuriant sistemas, apibrėžtas kaip tinklo matomumo platforma arba saugos pristatymo platforma.

Kokias galimybes siūlo tinklo paketų brokeriai?

NPB galimybių yra daug ir jos gali skirtis priklausomai nuo įrenginio markės ir modelio, nors tikimasi, kad bet kuris tinkamas NPB turės pagrindinių funkcijų rinkinį. Dažniausiai rinkoje esantys NPB veikia OSI L2-L4 sluoksniuose.

Įprasti L2–L4 NPB komutatoriai turi šias funkcijas: tinklo srauto arba konkrečios jo dalies persiuntimą; tinklo srauto filtravimas; replikacija; protokolo pašalinimas; paketų pjaustymas; įvairių tinklo protokolų inicijavimas ir užbaigimas; ir apkrovos balansavimas. Be to, NPB L2-L4 galimybės apima VLAN žymų filtravimą, MPLS, MAC ir IP adresus (siuntėjas ir imtuvas), TCP ir UDP prievadus (siuntėjas ir imtuvas), TCP vėliavėles ir ICMP, SCTP ir ARP srautą. Pirmiau nurodytos funkcijos nėra vienintelės šiuose įrenginiuose, tačiau jos puikiai parodo, kad NPB, veikiantis nuo 2 iki 4 lygių, gali sklandžiai atskirti tinklo srauto komponentus. Kritinis NPB parametras yra vadinamasis „neblokuojantis backplane” – įrenginio savybė, leidžianti atlikti aukščiau minėtas užduotis visu ryšio greičiu, pvz. 100g. NPB turi palaikyti didžiausią pralaidumą kiekviename iš savo prievadų, nes prie NPB prijungti diagnostikos įrenginiai atlieka savo vaidmenį tiek, kiek jiems perduodamas tinklo srautas. Jei NPB „praras“ paketus, tinklo vaizdas, kurį mato stebėjimo įrenginiai, bus iškreiptas.

Dauguma NPB projektų yra pagrįsti ASIC arba FPGA naudojimu dėl didesnio tokių sprendimų efektyvumo apdorojant paketus. Taip pat yra CPU pagrįstų NPB. Šis metodas naudojamas ten, kur reikalingas lankstumas apibrėžiant funkcionalumą – tai neįmanoma grynai aparatinės įrangos sprendimuose.

Šios funkcijos apima paketų dubliavimo panaikinimą, laiko žymėjimą, SSL/TLS iššifravimą, raktinių žodžių paiešką ir paprastą paiešką. Tačiau yra tam tikrų funkcionalumo apribojimų, kurie priklauso nuo procesoriaus skaičiavimo galios. Jų veikimas labai priklauso nuo daugelio išorinių kintamųjų ir sunku tiksliai nustatyti prieš fizinį įgyvendinimą. Nuo procesoriaus priklausančios funkcijos žymiai sumažina bendrą NPB našumą, kai jos suaktyvintos.

CPU kartu su programuojamais perjungimo lustais (pvz., „Cavium Xpliant“, „Barefoot Tofino“, „Innovium Teralynx“) yra plataus naujos kartos tinklo paketų brokerio (NPB) funkcijų rinkinių pagrindas. NGNPB yra įrenginiai, galintys valdyti srautą virš L4 sluoksnio, paprastai vadinami L7 NPB. Išplėstinės atradimo funkcijos yra geriausias naujos kartos NPB funkcijų pavyzdys.

Naudingosios apkrovos paieškos funkcija suteikia galimybę filtruoti srautą seanso ir taikomosios programos lygiuose ir užtikrina tikslesnį tinklo valdymą nei L2-4 įrenginiai.

Kaip tinklo paketų brokeris sąveikauja su infrastruktūra?

Tinklo paketų tarpininkas (NPB) gali būti įdiegtas dviem būdais: vidinis ir išorinis. Kiekviena iš šių konfigūracijų siūlo skirtingas NPB galimybes, pasiekiamas tik vienoje iš jų.

Įdėta tvarka tinklo srautas teka per įrenginį į paskirties vietą. Tai sukuria galimybę paveikti srautą realiuoju laiku, pvz., kopijuoti srautą į antrą nuorodą, pridedant, pašalinant ar kitaip modifikuojant VLAN žymas arba keičiant paskirties IP adresą. Naudodami integruotą konfigūraciją, galite perjungti ryšį su kitais įtaisytaisiais įrenginiais, pvz., IDS, IPS ar ugniasienė. NPB gali stebėti tokio įrenginio būseną ir, jei jis sugenda, dinamiškai nukreipti srautą į atsarginę nuorodą.

Užjuostinė konfigūracija: tam tikros nuorodos tinklo srautas nukopijuojamas per tinklo TAP arba SPAN / veidrodinį prievadą. Tai leidžia atlikti daugybę operacijų, susijusių su nukopijuoto tinklo srauto paketais, pvz., filtravimo, paketų pjaustymo ir tt, o vėliau šį srautą atkartoti į vieną ar daugiau diagnostikos įrenginių, nepažeidžiant gamybos tinklo. Taip pasiekiamas labai aukštas tinklo „skaidrumo“ lygis ir užtikrinama, kad visi įrenginiai gautų tobulą srauto kopiją, kad galėtų tinkamai atlikti savo funkcijas. Labai svarbus NPB uždavinys – aprūpinti stebėjimo, analizės ir IT saugumo įrenginius tik ta srauto dalimi, kuri yra aktuali įrenginiui ir jo be reikalo neapkrauna. Pavyzdžiui, situacija, kai konkrečiam analizatoriui nereikia analizuoti srauto, susijusio su atsarginėmis kopijomis (tokie duomenys be reikalo užima analizatoriaus disko vietą) ir jį galima nesunkiai išfiltruoti. Be to, jei norime, kad pasirinktas potinklis būtų „nematomas“ kitoms sistemoms, šis srautas taip pat gali būti atmestas pasirinktuose išvesties prievaduose.

Praktiškai atskiras NPB gali sąveikauti su pasirinktomis įterptomis nuorodomis ir tuo pačiu metu valdyti kitą ne juostos srautą.

Kokias svarbiausias problemas sprendžia paketų brokeris?

Ribota diagnostikos įrangos prieiga prie tinklo.

Viena iš pagrindinių problemų, kurias sprendžia NPB, yra ribota prieiga. Kitaip tariant, tinklo srauto kopijos pateikimo kiekvienai IT saugumo ar stebėjimo sistemai, kuriai to reikia, problema. Naudodami SPAN prievadą arba įdiegdami TAP savo aplinkoje, turime vieną tinklo srauto šaltinį, kuris tikriausiai turėtų būti pristatytas į kelis diagnostikos įrankius. Ateityje kiekvienas įrenginys turėtų gauti duomenis iš kelių tinklo taškų, kad būtų pašalintos „negyvos vietos“. NPB šias problemas išsprendžia taip. Jis priima srautą iš nurodytos nuorodos ir atkartoja jį siųsdamas tikslią kopiją į tiek įrenginių, kiek yra prieinamų prievadų. Be to, NPB gali priimti srautą iš skirtingų šaltinių iš atskirų tinklo taškų, sujungti juos į vieną ir siųsti į vieną įrenginį.

Kaip minėta anksčiau, iš srauto galima pašalinti protokolo antraštes, kurių kitu atveju diagnostikos įrankis negalėtų interpretuoti. NPB taip pat gali užbaigti tunelius, tokius kaip GRE, kad eismą juose būtų galima analizuoti įvairiais įrankiais.

Paketų brokeris (NPB) taip pat veikia kaip centrinis centras, palengvinantis naujų įrankių įtraukimą į tinklo aplinką tiek tiesioginiame, tiek išoriniame tinkle. Kito įrenginio prijungimo prie NPB procesas reikalauja tik paprastų konfigūravimo procedūrų ir neturi įtakos tinklo veikimui.

Diagnostikos priemonių efektyvumo optimizavimas

NPB leidžia išnaudoti visas stebėjimo ir IT saugos įrenginių galimybes tiek efektyvumo, tiek investicijų grąžos (IG) požiūriu. Panagrinėkime keletą situacijų, susijusių su šių įrenginių naudojimu.

Pasitaiko, kad jie eikvoja savo gamybinę galią apdorodami tinklo srautą, kuriam jie nėra skirti (pvz., VoIP analizatorius be reikalo tvarko kitus nei VoIP paketus). Taigi gali būti situacija, kai įrenginys pasiekia ribą, apdorodamas tiek mus dominantį srautą, tiek „nepageidaujamą“ srautą. Naudojant paketų brokerį galima filtruoti įrenginiui nereikšmingą srautą (paketus).

Kitas pavyzdys susijęs su įrenginiu, kuris analizuoja tik antraštes. Nukirtę paketo dalį, kurioje yra pagrindiniai duomenys, o vėliau tiekdami tokį sumažintą srautą į įrenginį, žymiai sumažiname jo apkrovą. Tokiu būdu galime prailginti įrenginio eksploatavimo laiką, nereikalaujant jo keisti nauju didesnio pralaidumo ar neatnaujinti.

Kita problema, su kuria galime susidurti, yra nepakankamas tam tikro diagnostikos įrenginio, kuris vis dar turi perteklinę talpą, sąsajų skaičius. Mums padeda NPB tinklo srauto kaupimo funkcija. Sukaupę srautą su NPB galime išnaudoti maksimalią kiekvieno įrenginio prievado talpą. Tokiu būdu optimizuojame pralaidumo naudojimą ir galimų sąsajų skaičių.

Panašus scenarijus nutinka, kai tinklo infrastruktūra buvo perkelta (atnaujinta) į 10G standartą, o mūsų diagnostikos įrenginiai turi tik 1G sąsajas. Įrenginys gali apdoroti srautą tam tikroje nuorodoje, bet negali derėtis dėl skirtingo greičio. Čia NPB gali veikti kaip greičio keitiklis ir perduoti srautą į įrenginį. Jei apkrova tampa per didelė, NPB gali atmesti nesusijusį srautą, naudoti paketų pjaustymą ir paskirstyti likusį srautą per turimas įrenginio sąsajas ir taip prailginti jo eksploatavimo laiką bei žymiai sutaupyti.

Be to, NPB gali būti naudojamas kaip medijos keitiklis tais atvejais, kai diagnostikos įrenginys turi varines sąsajas ir srautas perduodamas šviesolaidinėmis jungtimis.

Apibendrinant išdėstytus punktus, galima daryti išvadą, kad NPB leidžia organizacijai maksimaliai padidinti investicijų į stebėjimo įrangą naudą, pagerina stebėjimo sistemos atsparumą ir IT saugumą gedimams, automatizuoja tinklą ir sumažina personalo sąnaudas.

paklausk stovaris specialisto
apie cubro
grįžti prie visų sprendimų