Ağ Paket Aracısı (NPB), boyutları taşınabilir cihazlardan 1U ve 2U ünite kasalarına, büyük kasalara ve kart sistemlerine kadar değişen, anahtar benzeri bir ağ cihazıdır. Bir anahtardan farklı olarak NPB, açıkça talimat verilmedikçe içinden geçen trafiği hiçbir şekilde değiştirmez. NPB, bir veya daha fazla arayüz üzerinden trafik alabilir, bu trafik üzerinde önceden tanımlanmış bazı işlevleri gerçekleştirebilir ve ardından bunu bir veya daha fazla arayüze gönderebilir.
Bunlara genellikle herhangi birinden herhangi birine, çoktan herhangi birine ve herhangi birinden çoğa bağlantı noktası eşlemeleri denir. Gerçekleştirilebilecek işlevler, trafiğin iletilmesi veya atılması gibi basit işlevlerden, belirli bir oturumu tanımlamak için 5. katmanın üzerindeki bilgilerin filtrelenmesi gibi karmaşık işlevlere kadar değişir. NPB'deki arayüzler bakır kablo bağlantıları olabilir, ancak genellikle kullanıcıların çeşitli medya ve bant genişliği hızlarını kullanmasına olanak tanıyan SFP/SFP + ve QSFP çerçeveleridir. NPB'nin özellik seti, başta izleme, analiz ve güvenlik araçları olmak üzere ağ ekipmanlarının verimliliğini en üst düzeye çıkarma ilkesi üzerine kurulmuştur.
Ağ Paket Aracısı hangi işlevleri sağlar?
NPB'nin yetenekleri çok sayıdadır ve cihazın markasına ve modeline bağlı olarak değişebilir, ancak her paket acentesi, bir dizi temel yeteneğe sahip olmak isteyecektir. Çoğu NPB (en yaygın NPB), OSI katmanları 2'den 4'e kadar çalışır.
Genel olarak, L2-4'ün NPB'sinde aşağıdaki özellikleri bulabilirsiniz: trafiğin (veya belirli bölümlerinin) yeniden yönlendirilmesi, trafik filtreleme, trafik çoğaltma, protokol ayırma, paket dilimleme (kesme), çeşitli ağ tüneli protokollerini başlatma veya sonlandırma, ve trafik için yük dengeleme. Beklendiği gibi L2-4'ün NPB'si, ICMP'nin yanı sıra VLAN'ı, MPLS etiketlerini, MAC adreslerini (kaynak ve hedef), IP adreslerini (kaynak ve hedef), TCP ve UDP bağlantı noktalarını (kaynak ve hedef) ve hatta TCP bayraklarını filtreleyebilir. SCTP ve ARP trafiği. Bu kesinlikle kullanılacak bir özellik değildir; daha ziyade 2'den 4'e kadar katmanlarda çalışan NPB'nin trafik alt kümelerini nasıl ayırıp tanımlayabildiğine dair bir fikir sağlar. Müşterilerin NPB'de araması gereken temel gereksinim, engellenmeyen bir arka paneldir.
Ağ Paket Aracısının, cihazdaki her bağlantı noktasının tam trafik verimini karşılayabilmesi gerekir. Şasi sisteminde arka panel ile ara bağlantının da bağlı modüllerin tüm trafik yükünü karşılayabilmesi gerekir. NPB paketi bırakırsa bu araçlar ağı tam olarak anlayamayacaktır.
NPB'nin büyük çoğunluğu ASIC veya FPGA'ya dayalı olmasına rağmen, paket işleme performansının kesinliği nedeniyle, birçok entegrasyonun veya CPU'nun (modüller aracılığıyla) kabul edilebilir olduğunu göreceksiniz. Mylinking™ Ağ Paket Aracıları (NPB), ASIC çözümünü temel alır. Bu genellikle esnek işlem sağlayan bir özelliktir ve bu nedenle yalnızca donanımda yapılamaz. Bunlar arasında paket veri tekilleştirme, zaman damgaları, SSL/TLS şifre çözme, anahtar kelime arama ve normal ifade arama yer alır. İşlevselliğinin CPU performansına bağlı olduğunu unutmamak önemlidir. (Örneğin, aynı modeldeki normal ifade aramaları, trafik türüne, eşleşme oranına ve bant genişliğine bağlı olarak çok farklı performans sonuçları verebilir), dolayısıyla fiili uygulamadan önce bunu belirlemek kolay değildir.
CPU'ya bağlı özellikler etkinleştirilirse, bunlar NPB'nin genel performansında sınırlayıcı bir faktör haline gelir. Cavium Xpliant, Barefoot Tofino ve Innovium Teralynx gibi işlemcilerin ve programlanabilir anahtarlama çiplerinin ortaya çıkışı, aynı zamanda yeni nesil ağ paketi aracıları için genişletilmiş bir dizi yeteneğin temelini oluşturdu. L7 paket aracıları olarak). Yukarıda bahsedilen gelişmiş özellikler arasında anahtar kelime ve düzenli ifade araması, yeni nesil yeteneklerin güzel örnekleridir. Paket veri yüklerini arama yeteneği, trafiği oturum ve uygulama düzeyinde filtreleme fırsatları sağlar ve gelişen bir ağ üzerinde L2-4'e göre daha hassas kontrol sağlar.
Network Packet Broker altyapıya nasıl uyum sağlar?
NPB bir ağ altyapısına iki farklı şekilde kurulabilir:
1- Satır içi
2- Bant dışı.
Her yaklaşımın avantajları ve dezavantajları vardır ve diğer yaklaşımların yapamayacağı şekillerde trafik manipülasyonuna olanak sağlar. Satır içi ağ paket komisyoncusu, hedefine giden yolda aygıtın üzerinden geçen gerçek zamanlı ağ trafiğine sahiptir. Bu, trafiği gerçek zamanlı olarak manipüle etme fırsatı sağlar. Örneğin, VLAN etiketlerini eklerken, değiştirirken veya silerken ya da hedef IP adreslerini değiştirirken trafik ikinci bir bağlantıya kopyalanır. Satır içi bir yöntem olarak NPB ayrıca IDS, IPS veya güvenlik duvarları gibi diğer satır içi araçlar için de yedeklilik sağlayabilir. NPB, bu tür cihazların durumunu izleyebilir ve bir arıza durumunda trafiği dinamik olarak sıcak bekleme moduna yeniden yönlendirebilir.
Gerçek zamanlı ağı etkilemeden trafiğin nasıl işlendiği ve birden fazla izleme ve güvenlik cihazına kopyalandığı konusunda büyük esneklik sağlar. Aynı zamanda benzeri görülmemiş bir ağ görünürlüğü sağlar ve tüm cihazların, sorumluluklarını doğru bir şekilde yerine getirmek için gereken trafiğin bir kopyasını almasını sağlar. Yalnızca izleme, güvenlik ve analiz araçlarınızın ihtiyaç duydukları trafiği almasını sağlamakla kalmaz, aynı zamanda ağınızın güvenli olmasını da sağlar. Ayrıca cihazın istenmeyen trafikte kaynak tüketmemesini de sağlar. Belki de ağ analizörünüzün yedekleme trafiğini kaydetmesine gerek yoktur çünkü yedekleme sırasında değerli disk alanını kaplar. Bu şeyler, aracın diğer tüm trafiğini korurken analizörden kolayca filtrelenir. Belki başka bir sistemden gizlemek istediğiniz bir alt ağınızın tamamı vardır; yine bu, seçilen çıkış bağlantı noktasından kolayca kaldırılır. Aslında tek bir NPB, bant dışı trafiği işlerken bazı trafik bağlantılarını satır içi olarak işleyebilir.
Gönderim zamanı: Mart-09-2022