Сүлжээний пакет зуучлагч (NPB) нь зөөврийн төхөөрөмжөөс 1U ба 2U нэгжийн хайрцаг, том хайрцаг, самбарын систем хүртэл хэмжээтэй свитч маягийн сүлжээний төхөөрөмж юм. Свитчээс ялгаатай нь NPB нь тодорхой зааварчилгаа өгөөгүй л бол өөрөөр дамжин урсаж буй урсгалыг ямар ч байдлаар өөрчлөхгүй. NPB нь нэг буюу хэд хэдэн интерфэйс дээр урсгал хүлээн авч, тухайн урсгал дээр урьдчилан тодорхойлсон зарим функцийг гүйцэтгэж, дараа нь нэг буюу хэд хэдэн интерфэйс рүү гаргаж чадна.
Эдгээрийг ихэвчлэн аль нэгээс аль нэг рүү, олоноос аль нэг рүү, аль нэгээс олон руу портын зураглал гэж нэрлэдэг. Гүйцэтгэж болох функцууд нь урсгалыг дамжуулах эсвэл хаях гэх мэт энгийнээс эхлээд тодорхой сессийг тодорхойлохын тулд 5-р давхаргын дээрх мэдээллийг шүүх гэх мэт нарийн төвөгтэй хүртэл хэлбэлздэг. NPB дээрх интерфэйсүүд нь зэс кабелийн холболт байж болох ч ихэвчлэн SFP/SFP + болон QSFP фрэймүүд байдаг бөгөөд энэ нь хэрэглэгчдэд янз бүрийн медиа болон зурвасын хурдыг ашиглах боломжийг олгодог. NPB-ийн функцын багц нь сүлжээний тоног төхөөрөмжийн үр ашгийг дээд зэргээр нэмэгдүүлэх зарчим дээр суурилдаг, ялангуяа хяналт, шинжилгээ, аюулгүй байдлын хэрэгслүүд.
Сүлжээний пакет брокер ямар функцуудыг санал болгодог вэ?
NPB-ийн чадавхи нь олон янз бөгөөд төхөөрөмжийн брэнд болон загвараас хамааран өөр өөр байж болох ч үнэ цэнэтэй аливаа багцын агент үндсэн чадавхитай байхыг хүсэх болно. Ихэнх NPB (хамгийн түгээмэл NPB) нь OSI-ийн 2-4-р давхаргад ажилладаг.
Ерөнхийдөө та L2-4-ийн NPB дээр дараах функцуудыг олж болно: урсгал (эсвэл түүний тодорхой хэсгүүд) дахин чиглүүлэлт, урсгалыг шүүх, урсгалыг хуулбарлах, протоколыг хуулах, пакетыг зүсэх (таслах), янз бүрийн сүлжээний туннелийн протоколуудыг эхлүүлэх эсвэл дуусгах, урсгалын ачааллыг тэнцвэржүүлэх. Хүлээгдэж байсанчлан, L2-4-ийн NPB нь VLAN, MPLS шошго, MAC хаягууд (эх үүсвэр ба зорилтот), IP хаягууд (эх үүсвэр ба зорилтот), TCP болон UDP портууд (эх үүсвэр ба зорилтот), тэр ч байтугай TCP тугуудыг, мөн ICMP, SCTP, болон ARP урсгалыг шүүж чаддаг. Энэ нь огт ашиглах функц биш бөгөөд харин 2-4-р давхаргад ажиллаж буй NPB нь урсгалын дэд хэсгүүдийг хэрхэн салгаж, тодорхойлж чадах талаар ойлголт өгдөг. Хэрэглэгчдийн NPB-д хайх ёстой гол шаардлага бол хаалтгүй арын хавтгай юм.
Сүлжээний пакет зуучлагч нь төхөөрөмж дээрх порт бүрийн бүрэн урсгалын нэвтрүүлэх чадварыг хангах чадвартай байх шаардлагатай. Явах эд ангийн системд арын самбартай холбогдох нь холбогдсон модулиудын бүрэн урсгалын ачааллыг хангах чадвартай байх ёстой. Хэрэв NPB пакетийг унагавал эдгээр хэрэгслүүд сүлжээний талаар бүрэн ойлголттой болохгүй.
NPB-ийн дийлэнх нь ASIC эсвэл FPGA дээр суурилдаг боловч пакет боловсруулалтын гүйцэтгэлийн тодорхой байдлаас шалтгаалан та олон интеграцчилал эсвэл CPU-г (модулиудаар дамжуулан) хүлээн авах боломжтой гэж үзэх болно. Mylinking™ Сүлжээний Пакет Брокерууд (NPB) нь ASIC шийдэл дээр суурилдаг. Энэ нь ихэвчлэн уян хатан боловсруулалтыг хангадаг онцлог шинж чанартай тул зөвхөн техник хангамжид хийх боломжгүй юм. Үүнд пакетийн давхардлыг арилгах, цагийн тэмдэг, SSL/TLS тайлах, түлхүүр үг хайх, тогтмол илэрхийллийн хайлт орно. Үүний функц нь CPU-ийн гүйцэтгэлээс хамаардаг гэдгийг тэмдэглэх нь чухал юм. (Жишээлбэл, ижил хэв маягийн тогтмол илэрхийллийн хайлтууд нь урсгалын төрөл, тохирох хурд, зурвасын өргөнөөс хамааран маш өөр гүйцэтгэлийн үр дүнг өгч болно) тул бодит хэрэгжилтийн өмнө тодорхойлоход амаргүй байдаг.
Хэрэв CPU-ээс хамааралтай функцуудыг идэвхжүүлсэн бол тэдгээр нь NPB-ийн нийт гүйцэтгэлд хязгаарлах хүчин зүйл болдог. Cavium Xpliant, Barefoot Tofino, Innovium Teralynx зэрэг CPU болон програмчлагдах боломжтой шилжүүлэгч чипүүдийн гарч ирснээр дараагийн үеийн сүлжээний пакет агентуудын өргөтгөсөн боломжуудын үндэс суурь болсон. Эдгээр функциональ нэгжүүд нь L4-ээс дээш урсгалыг (ихэвчлэн L7 пакет агентууд гэж нэрлэдэг) зохицуулж чаддаг. Дээр дурдсан дэвшилтэт боломжуудын дунд түлхүүр үг болон тогтмол илэрхийллийн хайлт нь дараагийн үеийн боломжуудын сайн жишээ юм. Пакетийн ачааллыг хайх чадвар нь сесс болон програмын түвшинд урсгалыг шүүх боломжийг олгодог бөгөөд L2-4-ээс илүү хөгжиж буй сүлжээнд илүү нарийн хяналтыг олгодог.
Сүлжээний пакет брокер нь дэд бүтцэд хэрхэн нийцдэг вэ?
NPB-г сүлжээний дэд бүтцэд хоёр өөр аргаар суулгаж болно:
1- Шугаман дотор
2- Хамтлагаас гарсан.
Арга тус бүр давуу болон сул талуудтай бөгөөд бусад аргуудын хийж чадахгүй аргаар урсгалыг удирдах боломжийг олгодог. Дотоод сүлжээний пакет брокер нь төхөөрөмжийг очих газар руугаа явах замдаа дайран өнгөрдөг бодит цагийн сүлжээний урсгалтай байдаг. Энэ нь урсгалыг бодит цаг хугацаанд удирдах боломжийг олгодог. Жишээлбэл, VLAN шошгыг нэмэх, өөрчлөх, устгах эсвэл очих IP хаягийг өөрчлөх үед урсгалыг хоёр дахь холбоос руу хуулдаг. Дотоод аргын хувьд NPB нь IDS, IPS эсвэл галт хана зэрэг бусад дотоод хэрэгслүүдэд нөөцлөлтийг хангаж чаддаг. NPB нь ийм төхөөрөмжүүдийн төлөвийг хянаж, алдаа гарсан тохиолдолд урсгалыг халуун бэлэн байдалд динамикаар дахин чиглүүлж чаддаг.
Энэ нь бодит цагийн сүлжээнд нөлөөлөхгүйгээр олон хяналт, аюулгүй байдлын төхөөрөмж рүү урсгалыг хэрхэн боловсруулж, хуулбарлах талаар маш их уян хатан байдлыг хангадаг. Энэ нь мөн урьд өмнө байгаагүй сүлжээний харагдах байдлыг хангаж, бүх төхөөрөмж үүрэг хариуцлагаа зохих ёсоор гүйцэтгэхэд шаардлагатай урсгалын хуулбарыг хүлээн авахыг баталгаажуулдаг. Энэ нь таны хяналт, аюулгүй байдал, дүн шинжилгээний хэрэгслүүд шаардлагатай урсгалыг авахаас гадна таны сүлжээ аюулгүй байхыг баталгаажуулдаг. Энэ нь мөн төхөөрөмж хүсээгүй урсгал дээр нөөцийг ашиглахгүй байхыг баталгаажуулдаг. Магадгүй таны сүлжээний анализатор нөөцлөлтийн явцад үнэ цэнэтэй дискний зай эзэлдэг тул нөөцлөлтийн урсгалыг бүртгэх шаардлагагүй байж магадгүй юм. Эдгээр зүйлсийг анализатороос амархан шүүж, хэрэгслийн бусад бүх урсгалыг хадгалдаг. Магадгүй танд өөр системээс нуухыг хүссэн бүхэл бүтэн дэд сүлжээ байгаа байх; дахин хэлэхэд, үүнийг сонгосон гаралтын порт дээр амархан арилгадаг. Үнэндээ ганц NPB нь зарим урсгалын холбоосыг шугаман дотор боловсруулж, бусад зурвасын гаднах урсгалыг боловсруулж чадна.
Нийтэлсэн цаг: 2022 оны 3-р сарын 9
