Сүлжээний пакет брокер (NPB) нь зөөврийн төхөөрөмжөөс 1U ба 2U нэгж хайрцаг хүртэл том хайрцаг, самбарын систем хүртэлх хэмжээтэй сүлжээний төхөөрөмжтэй адил шилжүүлэгч юм. Шилжүүлэгчээс ялгаатай нь NPB нь тодорхой зааварчилгаагүй бол түүгээр урсах урсгалыг ямар ч байдлаар өөрчилдөггүй. NPB нь нэг буюу хэд хэдэн интерфэйс дээр траффик хүлээн авч, тухайн траффик дээр урьдчилан тодорхойлсон зарим функцийг гүйцэтгэж, дараа нь нэг буюу хэд хэдэн интерфэйс рүү гаргах боломжтой.
Эдгээрийг ихэвчлэн дурын-аас дурын, олон-аас дурын, дурын-олон портын зураглал гэж нэрлэдэг. Гүйцэтгэх боломжтой функцууд нь траффик дамжуулах, хаях гэх мэт энгийнээс эхлээд тодорхой сессийг тодорхойлохын тулд 5-р давхарга дээрх мэдээллийг шүүх гэх мэт нарийн төвөгтэй хүртэл байдаг. NPB дээрх интерфэйсүүд нь зэс кабелийн холболт байж болох ч ихэвчлэн SFP/SFP + болон QSFP хүрээнүүд байдаг бөгөөд энэ нь хэрэглэгчдэд төрөл бүрийн зөөвөрлөгч болон зурвасын хурдыг ашиглах боломжийг олгодог. NPB-ийн онцлог шинж чанарууд нь сүлжээний тоног төхөөрөмж, ялангуяа хяналт шинжилгээ, дүн шинжилгээ, аюулгүй байдлын хэрэгслүүдийн үр ашгийг нэмэгдүүлэх зарчим дээр суурилдаг.
Сүлжээний пакет брокер ямар функцээр хангадаг вэ?
NPB-ийн боломжууд нь маш олон бөгөөд төхөөрөмжийн брэнд, загвараас хамаарч өөр өөр байж болох ч давстай үнэ цэнэтэй аливаа багц агент нь үндсэн чадавхитай байхыг хүсдэг. Ихэнх NPB (хамгийн түгээмэл NPB) OSI 2-оос 4-р давхаргад ажилладаг.
Ерөнхийдөө, та L2-4-ийн NPB дээр дараах функцуудыг олж болно: траффик (эсвэл түүний тодорхой хэсэг) дахин чиглүүлэх, траффик шүүх, траффик хуулбарлах, протокол тайлах, пакет зүсэх (таслах), янз бүрийн сүлжээний туннелийн протоколуудыг эхлүүлэх эсвэл зогсоох, мөн замын хөдөлгөөний ачааллыг тэнцвэржүүлэх. Хүлээгдэж байгаачлан L2-4-ийн NPB нь VLAN, MPLS шошго, MAC хаяг (эх ба зорилт), IP хаяг (эх ба зорилт), TCP болон UDP портууд (эх ба зорилтот), тэр ч байтугай TCP тугуудыг, мөн ICMP, SCTP болон ARP урсгал. Энэ нь ямар ч тохиолдолд ашиглах боломжгүй, харин 2-оос 4-р давхаргад ажилладаг NPB нь замын хөдөлгөөний дэд бүлгүүдийг хэрхэн салгаж, тодорхойлж болох талаар санаа өгдөг. Үйлчлүүлэгчдийн NPB-д хайх ёстой гол шаардлага бол блоклохгүй арын самбар юм.
Сүлжээний багцын брокер нь төхөөрөмж дээрх порт бүрийн урсгалын бүрэн дамжуулалтыг хангах чадвартай байх ёстой. Явах эд ангийн системд арын хавтантай харилцан холболт нь холбогдсон модулиудын хөдөлгөөний ачааллыг бүрэн хангах чадвартай байх ёстой. Хэрэв NPB пакетыг унагавал эдгээр хэрэгслүүд нь сүлжээний талаар бүрэн ойлголтгүй болно.
Хэдийгээр NPB-ийн дийлэнх нь ASIC эсвэл FPGA дээр суурилдаг ч пакет боловсруулалтын гүйцэтгэлийн найдвартай байдлаас шалтгаалан та олон интеграцчлал эсвэл CPU-г (модуль ашиглан) хүлээн авах боломжтой. Mylinking™ Network Packet Brokers(NPB) нь ASIC шийдэл дээр суурилдаг. Энэ нь ихэвчлэн уян хатан боловсруулалтыг хангадаг онцлог тул зөвхөн техник хангамжид хийх боломжгүй юм. Үүнд багцын давхардал, цагийн тэмдэг, SSL/TLS код тайлах, түлхүүр үг хайх, тогтмол илэрхийлэл хайх зэрэг багтана. Түүний үйл ажиллагаа нь CPU-ийн гүйцэтгэлээс хамаардаг гэдгийг анхаарах нь чухал юм. (Жишээ нь, ижил хэв маягийн тогтмол илэрхийллийн хайлт нь хөдөлгөөний төрөл, тохирох хурд, зурвасын өргөнөөс хамааран маш өөр гүйцэтгэлийн үр дүнг өгч болно), тиймээс бодит хэрэгжүүлэхээс өмнө тодорхойлоход амаргүй.
Хэрэв CPU-ээс хамааралтай функцуудыг идэвхжүүлсэн бол тэдгээр нь NPB-ийн ерөнхий гүйцэтгэлийг хязгаарлах хүчин зүйл болдог. Cavium Xpliant, Barefoot Tofino, Innovium Teralynx зэрэг cpus болон программчлагдах сэлгэн залгах чипүүд бий болсон нь дараагийн үеийн сүлжээний пакет агентуудын өргөтгөсөн чадавхийн үндэс суурь болсон. Эдгээр функциональ нэгжүүд нь L4-ээс дээш (ихэвчлэн нэрлэдэг) урсгалыг зохицуулж чаддаг. L7 пакет агентууд). Дээр дурдсан дэвшилтэт боломжуудын дотроос түлхүүр үг болон тогтмол илэрхийллийн хайлт нь дараагийн үеийн боломжуудын сайн жишээ юм. Пакетийн ачааллыг хайх чадвар нь сесс болон хэрэглээний түвшинд урсгалыг шүүх боломжийг олгодог бөгөөд L2-4-ээс илүү хөгжиж буй сүлжээг илүү нарийн хянах боломжийг олгодог.
Сүлжээний пакет брокер нь дэд бүтцэд хэрхэн нийцдэг вэ?
NPB-ийг сүлжээний дэд бүтцэд хоёр өөр аргаар суулгаж болно:
1- Inline
2- Хамтлагаас гадуур.
Арга тус бүр нь давуу болон сул талуудтай бөгөөд бусад аргуудын боломжгүй байдлаар замын хөдөлгөөнийг зохицуулах боломжийг олгодог. Inline сүлжээний пакет брокер нь төхөөрөмжийг зорьсон газар руугаа дайран өнгөрөх бодит цагийн сүлжээний траффиктэй. Энэ нь замын хөдөлгөөнийг бодит цаг хугацаанд зохицуулах боломжийг олгодог. Жишээлбэл, VLAN хаягуудыг нэмэх, өөрчлөх, устгах эсвэл очих IP хаягийг өөрчлөх үед урсгалыг хоёр дахь холбоос руу хуулдаг. Inline аргын хувьд NPB нь IDS, IPS, галт хана зэрэг бусад шугаман хэрэглүүрүүдийн нөөцийг хангах боломжтой. NPB нь ийм төхөөрөмжүүдийн төлөвийг хянаж, доголдол гарсан тохиолдолд урсгалыг халуун зогсолт руу динамикаар шилжүүлэх боломжтой.
Энэ нь бодит цагийн сүлжээнд нөлөөлөхгүйгээр олон хяналт, аюулгүй байдлын төхөөрөмжид траффикийг хэрхэн боловсруулж, хуулбарлах талаар маш уян хатан байдлыг хангадаг. Энэ нь урьд өмнө байгаагүй сүлжээний харагдах байдлыг хангаж, бүх төхөөрөмж үүргээ зохих ёсоор биелүүлэхэд шаардлагатай траффикийн хуулбарыг хүлээн авах боломжийг олгодог. Энэ нь таны хяналт, аюулгүй байдал, шинжилгээний хэрэгслүүд шаардлагатай траффикийг авахаас гадна таны сүлжээний аюулгүй байдлыг баталгаажуулдаг. Энэ нь мөн төхөөрөмж нь хүсээгүй траффик дээр нөөцийг ашиглахгүй байхыг баталгаажуулдаг. Магадгүй таны сүлжээний анализатор нөөцлөх явцад дискний үнэ цэнэтэй зай эзэлдэг тул нөөц траффикийг бүртгэх шаардлагагүй байж магадгүй юм. Эдгээр зүйлсийг анализатороос хялбархан шүүж, багажны бусад бүх урсгалыг хадгалдаг. Магадгүй танд өөр системээс нуухыг хүссэн бүхэл бүтэн дэд сүлжээ байгаа байх; дахин, энэ нь сонгосон гаралтын порт дээр амархан устгагдах болно. Үнэн хэрэгтээ, нэг NPB нь бусад зурвасаас гадуурх урсгалыг боловсруулахын зэрэгцээ зарим урсгалын холбоосыг дотор нь боловсруулж чаддаг.
Шуудангийн цаг: 2022 оны 3-р сарын 09-ний өдөр