Şəbəkə Paket Brokeri (ŞPB), portativ cihazlardan 1U və 2U vahid korpuslara, böyük korpuslara və lövhə sistemlərinə qədər ölçüləri dəyişən kommutatora bənzər şəbəkə cihazıdır. Kommutatordan fərqli olaraq, ŞPB açıq şəkildə göstəriş verilmədikcə, üzərindən keçən trafiki heç bir şəkildə dəyişdirmir. ŞPB bir və ya daha çox interfeysdə trafik qəbul edə, həmin trafikdə əvvəlcədən təyin edilmiş bəzi funksiyaları yerinə yetirə və sonra onu bir və ya daha çox interfeysə çıxara bilər.
Bunlara tez-tez istənilən-istənilənə, çox-istənilənə və istənilən-çox port xəritələşdirmələri deyilir. Yerinə yetirilə bilən funksiyalar trafikin yönləndirilməsi və ya atılması kimi sadə funksiyalardan tutmuş müəyyən bir sessiyanı müəyyən etmək üçün 5-ci təbəqənin üstündəki məlumatları süzgəcdən keçirmək kimi mürəkkəb funksiyalara qədər dəyişir. NPB-dəki interfeyslər mis kabel bağlantıları ola bilər, lakin adətən istifadəçilərə müxtəlif media və bant genişliyi sürətlərindən istifadə etməyə imkan verən SFP/SFP + və QSFP çərçivələridir. NPB-nin xüsusiyyət dəsti şəbəkə avadanlıqlarının, xüsusən də monitorinq, təhlil və təhlükəsizlik alətlərinin səmərəliliyini maksimum dərəcədə artırmaq prinsipi üzərində qurulub.
Şəbəkə Paket Brokeri hansı funksiyaları təmin edir?
NPB-nin imkanları çoxdur və cihazın markasından və modelindən asılı olaraq dəyişə bilər, baxmayaraq ki, özünə dəyər hər hansı bir paket agenti əsas imkanlar dəstinə sahib olmaq istəyəcək. Əksər NPB (ən çox yayılmış NPB) OSI 2-dən 4-ə qədər səviyyələrdə fəaliyyət göstərir.
Ümumiyyətlə, L2-4 NPB-də aşağıdakı xüsusiyyətləri tapa bilərsiniz: trafik (və ya onun müəyyən hissələri) yönləndirmə, trafik filtrasiyası, trafik replikasiyası, protokolun soyulması, paket dilimlənməsi (kəsilmə), müxtəlif şəbəkə tunel protokollarının başlanması və ya dayandırılması və trafik üçün yük balanslaşdırılması. Gözlənildiyi kimi, L2-4-ün NPB-si VLAN, MPLS etiketlərini, MAC ünvanlarını (mənbə və hədəf), IP ünvanlarını (mənbə və hədəf), TCP və UDP portlarını (mənbə və hədəf) və hətta TCP bayraqlarını, eləcə də ICMP, SCTP və ARP trafikini süzgəcdən keçirə bilər. Bu, heç bir şəkildə istifadə ediləcək bir xüsusiyyət deyil, əksinə 2-4 səviyyələrində işləyən NPB-nin trafik alt dəstlərini necə ayıra və müəyyən edə biləcəyi barədə bir fikir verir. Müştərilərin NPB-də axtarmalı olduqları əsas tələb bloklamayan arxa plandır.
Şəbəkə paket brokeri cihazdakı hər bir portun tam trafik ötürmə qabiliyyətini təmin edə bilməlidir. Şassi sistemində arxa planla qarşılıqlı əlaqə də qoşulmuş modulların tam trafik yükünü təmin edə bilməlidir. Əgər NPB paketi itirərsə, bu alətlər şəbəkəni tam başa düşməyəcəklər.
NPB-nin böyük əksəriyyəti ASIC və ya FPGA-ya əsaslansa da, paket emal performansının dəqiqliyinə görə bir çox inteqrasiya və ya CPU-nu (modullar vasitəsilə) məqbul hesab edəcəksiniz. Mylinking™ Şəbəkə Paket Brokerləri (NPB) ASIC həllinə əsaslanır. Bu, adətən çevik emal təmin edən bir xüsusiyyətdir və buna görə də yalnız aparat təminatında edilə bilməz. Bunlara paket təkrarlanmasının aradan qaldırılması, zaman damğaları, SSL/TLS deşifrəsinin açılması, açar söz axtarışı və müntəzəm ifadə axtarışı daxildir. Qeyd etmək vacibdir ki, onun funksionallığı CPU performansından asılıdır. (Məsələn, eyni modeldəki müntəzəm ifadə axtarışları trafik növündən, uyğunluq sürətindən və bant genişliyindən asılı olaraq çox fərqli performans nəticələri verə bilər), buna görə də faktiki tətbiqdən əvvəl müəyyən etmək asan deyil.
Əgər CPU-dan asılı xüsusiyyətlər aktivləşdirilirsə, onlar NPB-nin ümumi performansında məhdudlaşdırıcı amilə çevrilir. Cavium Xpliant, Barefoot Tofino və Innovium Teralynx kimi CPU və proqramlaşdırıla bilən kommutasiya çiplərinin meydana gəlməsi də yeni nəsil şəbəkə paket agentləri üçün genişləndirilmiş imkanlar dəstinin əsasını təşkil etmişdir. Bu funksional bölmələr L4-dən yuxarı trafiki (çox vaxt L7 paket agentləri adlandırılır) idarə edə bilər. Yuxarıda qeyd olunan inkişaf etmiş xüsusiyyətlər arasında açar söz və müntəzəm ifadə axtarışı yeni nəsil imkanların yaxşı nümunələridir. Paket yüklərini axtarmaq imkanı sessiya və tətbiq səviyyələrində trafiki süzgəcdən keçirmək üçün imkanlar yaradır və inkişaf edən şəbəkə üzərində L2-4-dən daha incə nəzarət təmin edir.
Şəbəkə Paket Brokeri infrastruktura necə uyğunlaşır?
NPB şəbəkə infrastrukturuna iki fərqli şəkildə quraşdırıla bilər:
1- Sətir içi
2- Qrupdan kənar.
Hər bir yanaşmanın üstünlükləri və çatışmazlıqları var və digər yanaşmaların edə bilmədiyi şəkildə trafik manipulyasiyasına imkan verir. Daxili şəbəkə paket brokeri cihazı təyinat yerinə gedərkən keçən real vaxt şəbəkə trafikinə malikdir. Bu, trafiki real vaxt rejimində manipulyasiya etmək imkanı verir. Məsələn, VLAN etiketləri əlavə edildikdə, dəyişdirildikdə və ya silindikdə və ya təyinat IP ünvanları dəyişdirildikdə, trafik ikinci bir keçidə kopyalanır. Daxili metod olaraq, NPB həmçinin IDS, IPS və ya firewall kimi digər daxili alətlər üçün ehtiyat təmin edə bilər. NPB bu cür cihazların vəziyyətini izləyə və nasazlıq halında trafiki dinamik olaraq qaynar gözləmə rejiminə yönləndirə bilər.
Bu, real vaxt şəbəkəsinə təsir etmədən trafikin necə emal edildiyi və çoxsaylı monitorinq və təhlükəsizlik cihazlarına necə təkrarlandığında böyük rahatlıq təmin edir. Həmçinin, misli görünməmiş şəbəkə görünürlüyü təmin edir və bütün cihazların məsuliyyətlərini düzgün yerinə yetirmək üçün lazım olan trafikin surətini almasını təmin edir. Bu, yalnız monitorinq, təhlükəsizlik və təhlil alətlərinizin lazımi trafiki əldə etməsini deyil, həm də şəbəkənizin təhlükəsiz olmasını təmin edir. Həmçinin cihazın istənməyən trafikdə resursları istehlak etməməsini təmin edir. Bəlkə də şəbəkə analizatorunuzun ehtiyat trafikini qeyd etməsinə ehtiyac yoxdur, çünki ehtiyat nüsxələmə zamanı dəyərli disk yerini tutur. Bu şeylər alət üçün bütün digər trafiki qoruyarkən analizatordan asanlıqla süzülür. Bəlkə də başqa bir sistemdən gizlətmək istədiyiniz bütün bir alt şəbəkəniz var; yenə də, bu, seçilmiş çıxış portunda asanlıqla silinir. Əslində, tək bir NPB bəzi trafik əlaqələrini daxili olaraq emal edə bilər, digər zolaqdan kənar trafikləri emal edərkən.
Yazı vaxtı: 09 Mart 2022
