Ağ Paket Aracısı (NPB), taşınabilir cihazlardan 1U ve 2U ünite kasalarına, büyük kasalara ve kart sistemlerine kadar çeşitli boyutlarda olabilen, anahtar benzeri bir ağ aygıtıdır. Bir anahtarın aksine, NPB, açıkça talimat verilmedikçe, üzerinden geçen trafiği hiçbir şekilde değiştirmez. NPB, bir veya daha fazla arayüzde trafik alabilir, bu trafik üzerinde önceden tanımlanmış bazı işlevleri yerine getirebilir ve ardından bunu bir veya daha fazla arayüze iletebilir.
Bunlara genellikle herhangi bir-herkes, çoktan-herkes ve herhangi bir-çok port eşlemeleri denir. Gerçekleştirilebilen işlevler, trafiği iletme veya atma gibi basit işlemlerden, belirli bir oturumu tanımlamak için 5. katmanın üzerindeki bilgileri filtreleme gibi karmaşık işlemlere kadar değişir. NPB'deki arayüzler bakır kablo bağlantıları olabilir, ancak genellikle kullanıcıların çeşitli ortam ve bant genişliği hızlarını kullanmasına olanak tanıyan SFP/SFP+ ve QSFP çerçeveleridir. NPB'nin özellik seti, özellikle izleme, analiz ve güvenlik araçları olmak üzere ağ ekipmanının verimliliğini en üst düzeye çıkarma ilkesine dayanmaktadır.
Ağ Paket Aracısı (Network Packet Broker) hangi işlevleri sağlar?
NPB'nin yetenekleri çok çeşitlidir ve cihazın marka ve modeline bağlı olarak değişebilir; ancak işini iyi yapan her paket yöneticisi temel bir dizi yeteneğe sahip olmak isteyecektir. Çoğu NPB (en yaygın NPB) OSI katmanları 2 ila 4 arasında çalışır.
Genel olarak, L2-4 katmanlarının NPB'sinde şu özellikler bulunur: trafik (veya belirli kısımları) yönlendirme, trafik filtreleme, trafik çoğaltma, protokol ayıklama, paket dilimleme (kısaltma), çeşitli ağ tünel protokollerinin başlatılması veya sonlandırılması ve trafik için yük dengeleme. Beklendiği gibi, L2-4'ün NPB'si VLAN, MPLS etiketleri, MAC adresleri (kaynak ve hedef), IP adresleri (kaynak ve hedef), TCP ve UDP portları (kaynak ve hedef) ve hatta TCP bayraklarının yanı sıra ICMP, SCTP ve ARP trafiğini de filtreleyebilir. Bu, kullanılacak bir özellik olmaktan ziyade, 2 ila 4. katmanlarda çalışan NPB'nin trafik alt kümelerini nasıl ayırıp tanımlayabileceğine dair bir fikir vermektedir. Müşterilerin NPB'de araması gereken önemli bir gereksinim, engellemeyen bir arka plan (non-blocking backplane) olmasıdır.
Ağ paket aracısının (NPB), cihazdaki her portun tam trafik verimini karşılayabilmesi gerekir. Şasi sisteminde, arka panel ile olan bağlantının da bağlı modüllerin tam trafik yükünü karşılayabilmesi şarttır. Eğer NPB paketi düşürürse, bu araçlar ağın tamamını tam olarak anlayamazlar.
NPB'lerin büyük çoğunluğu ASIC veya FPGA tabanlı olsa da, paket işleme performansının kesinliği nedeniyle birçok entegrasyon veya CPU'nun (modüller aracılığıyla) kabul edilebilir olduğunu göreceksiniz. Mylinking™ Ağ Paket Aracıları (NPB) ASIC çözümüne dayanmaktadır. Bu genellikle esnek işleme sağlayan ve bu nedenle tamamen donanımda yapılamayan bir özelliktir. Bunlar arasında paket tekilleştirme, zaman damgaları, SSL/TLS şifre çözme, anahtar kelime arama ve düzenli ifade araması yer alır. İşlevselliğinin CPU performansına bağlı olduğunu belirtmek önemlidir. (Örneğin, aynı desenin düzenli ifade aramaları, trafik türüne, eşleşme oranına ve bant genişliğine bağlı olarak çok farklı performans sonuçları verebilir), bu nedenle gerçek uygulamadan önce belirlemek kolay değildir.
CPU'ya bağımlı özellikler etkinleştirilirse, bunlar NPB'nin genel performansında sınırlayıcı bir faktör haline gelir. Cavium Xpliant, Barefoot Tofino ve Innovium Teralynx gibi CPU'ların ve programlanabilir anahtarlama çiplerinin ortaya çıkışı, yeni nesil ağ paket aracıları için genişletilmiş bir dizi yeteneğin temelini de oluşturmuştur. Bu işlevsel birimler, L4'ün üzerindeki trafiği işleyebilir (genellikle L7 paket aracıları olarak adlandırılır). Yukarıda bahsedilen gelişmiş özellikler arasında, anahtar kelime ve düzenli ifade araması, yeni nesil yeteneklerin iyi örnekleridir. Paket yüklerini arama yeteneği, oturum ve uygulama düzeylerinde trafiği filtreleme fırsatları sunar ve gelişen bir ağ üzerinde L2-4'ten daha hassas kontrol sağlar.
Ağ Paket Aracısı (Network Packet Broker) altyapıya nasıl entegre oluyor?
NPB, ağ altyapısına iki farklı şekilde kurulabilir:
1- Satır İçi
2- Bant dışı.
Her yaklaşımın avantajları ve dezavantajları vardır ve diğer yaklaşımların sağlayamayacağı şekillerde trafik manipülasyonuna olanak tanır. Hat içi ağ paket aracıcısı (NPB), hedefine doğru giderken cihaz üzerinden geçen gerçek zamanlı ağ trafiğine sahiptir. Bu, trafiği gerçek zamanlı olarak manipüle etme fırsatı sağlar. Örneğin, VLAN etiketleri eklenirken, değiştirilirken veya silinirken ya da hedef IP adresleri değiştirilirken, trafik ikinci bir bağlantıya kopyalanır. Hat içi bir yöntem olarak NPB, IDS, IPS veya güvenlik duvarları gibi diğer hat içi araçlar için yedeklilik de sağlayabilir. NPB, bu tür cihazların durumunu izleyebilir ve bir arıza durumunda trafiği dinamik olarak yedek cihaza yönlendirebilir.
Bu, gerçek zamanlı ağı etkilemeden trafiğin nasıl işleneceği ve birden fazla izleme ve güvenlik cihazına nasıl çoğaltılacağı konusunda büyük bir esneklik sağlar. Ayrıca, benzeri görülmemiş bir ağ görünürlüğü sağlar ve tüm cihazların sorumluluklarını düzgün bir şekilde yerine getirmek için ihtiyaç duydukları trafiğin bir kopyasını almalarını sağlar. İzleme, güvenlik ve analiz araçlarınızın ihtiyaç duydukları trafiği almalarını sağlamakla kalmaz, aynı zamanda ağınızın da güvenli olmasını sağlar. Ayrıca, cihazın istenmeyen trafik için kaynak tüketmemesini de sağlar. Belki de ağ analiz cihazınızın yedekleme sırasında değerli disk alanını kapladığı için yedekleme trafiğini kaydetmesine gerek yoktur. Bu tür şeyler, analiz cihazından kolayca filtrelenirken, diğer tüm trafik araç için korunur. Belki de başka bir sistemden gizli tutmak istediğiniz bir alt ağınız vardır; yine, bu seçilen çıkış portundan kolayca kaldırılır. Aslında, tek bir NPB, diğer bant dışı trafiği işlerken bazı trafik bağlantılarını hat üzerinde işleyebilir.
Yayın tarihi: 09 Mart 2022
