Ağ Paket Aracısı (NPB), taşınabilir cihazlardan 1U ve 2U ünite kasalarına, büyük kasalara ve kart sistemlerine kadar değişen boyutlarda, anahtar benzeri bir ağ cihazıdır. Bir anahtarın aksine, NPB, açıkça belirtilmedikçe içinden geçen trafiği hiçbir şekilde değiştirmez. NPB, bir veya daha fazla arayüzden trafik alabilir, bu trafik üzerinde önceden tanımlanmış bazı işlevleri gerçekleştirebilir ve ardından bir veya daha fazla arayüze çıktı verebilir.
Bunlar genellikle herhangi bir bağlantı noktasından herhangi birine, çoktan herhangi birine ve herhangi bir bağlantı noktasından çoka bağlantı noktası eşlemeleri olarak adlandırılır. Gerçekleştirilebilecek işlevler, trafiği iletme veya silme gibi basit işlevlerden, belirli bir oturumu tanımlamak için 5. katmanın üzerinde bilgi filtreleme gibi karmaşık işlevlere kadar çeşitlilik gösterir. NPB üzerindeki arayüzler bakır kablo bağlantıları olabilir, ancak genellikle kullanıcıların çeşitli ortam ve bant genişliği hızlarını kullanmalarına olanak tanıyan SFP/SFP + ve QSFP çerçeveleridir. NPB'nin özellik seti, özellikle izleme, analiz ve güvenlik araçları olmak üzere ağ ekipmanlarının verimliliğini en üst düzeye çıkarma ilkesi üzerine kuruludur.
Ağ Paket Brokerı hangi işlevleri sağlar?
NPB'nin yetenekleri çok çeşitlidir ve cihazın markasına ve modeline göre değişiklik gösterebilir; ancak işini bilen her paket yöneticisi, temel yeteneklere sahip olmak ister. Çoğu NPB (en yaygın NPB), OSI 2 ila 4 katmanlarında çalışır.
Genel olarak, L2-4'ün NPB'sinde şu özellikleri bulabilirsiniz: trafik (veya belirli kısımları) yönlendirme, trafik filtreleme, trafik çoğaltma, protokol soyma, paket dilimleme (kesme), çeşitli ağ tüneli protokollerini başlatma veya sonlandırma ve trafik için yük dengeleme. Beklendiği gibi, L2-4'ün NPB'si VLAN, MPLS etiketleri, MAC adresleri (kaynak ve hedef), IP adresleri (kaynak ve hedef), TCP ve UDP portları (kaynak ve hedef) ve hatta TCP bayraklarının yanı sıra ICMP, SCTP ve ARP trafiğini filtreleyebilir. Bu, kullanılacak bir özellik değildir, ancak 2 ila 4. katmanlarda çalışan NPB'nin trafik alt kümelerini nasıl ayırıp tanımlayabileceğine dair bir fikir verir. Müşterilerin NPB'de araması gereken temel gereksinimlerden biri, engellemeyen bir arka paneldir.
Ağ paketi aracısının, cihazdaki her portun tam trafik verimini karşılayabilmesi gerekir. Şasi sisteminde, arka panelle olan bağlantı da bağlı modüllerin tam trafik yükünü karşılayabilmelidir. NPB paketi düşürürse, bu araçlar ağ hakkında tam bir anlayışa sahip olmayacaktır.
NPB'nin büyük çoğunluğu ASIC veya FPGA tabanlı olsa da, paket işleme performansının kesinliği nedeniyle birçok entegrasyon veya CPU'yu (modüller aracılığıyla) kabul edilebilir bulacaksınız. Mylinking™ Ağ Paket Aracıları (NPB), ASIC çözümüne dayanmaktadır. Bu genellikle esnek işleme sağlayan bir özelliktir ve bu nedenle yalnızca donanımda gerçekleştirilemez. Bunlar arasında paket çoğaltma, zaman damgaları, SSL/TLS şifre çözme, anahtar kelime araması ve düzenli ifade araması bulunur. İşlevselliğinin CPU performansına bağlı olduğunu unutmamak önemlidir. (Örneğin, aynı desende yapılan düzenli ifade aramaları, trafik türüne, eşleştirme oranına ve bant genişliğine bağlı olarak çok farklı performans sonuçları verebilir), bu nedenle gerçek uygulamadan önce bunu belirlemek kolay değildir.
CPU'ya bağlı özellikler etkinleştirildiğinde, NPB'nin genel performansında sınırlayıcı bir faktör haline gelirler. Cavium Xpliant, Barefoot Tofino ve Innovium Teralynx gibi CPU'ların ve programlanabilir anahtarlama yongalarının ortaya çıkışı, yeni nesil ağ paket aracıları için genişletilmiş bir yetenek setinin temelini de oluşturmuştur. Bu işlevsel birimler, L4 üstü trafiği (genellikle L7 paket aracıları olarak anılır) işleyebilir. Yukarıda belirtilen gelişmiş özellikler arasında, anahtar kelime ve düzenli ifade araması, yeni nesil yeteneklere iyi örneklerdir. Paket yüklerini arama yeteneği, trafiği oturum ve uygulama düzeylerinde filtreleme olanağı sağlar ve gelişen bir ağ üzerinde L2-4'ten daha hassas kontrol sağlar.
Network Packet Broker altyapıya nasıl uyum sağlar?
NPB, bir ağ altyapısına iki farklı şekilde kurulabilir:
1- Satır içi
2- Bant dışı.
Her yaklaşımın avantajları ve dezavantajları vardır ve trafiğin diğer yaklaşımların yapamadığı şekillerde yönetilmesini sağlar. Satır içi ağ paket aracısı, hedefine giderken cihazdan geçen gerçek zamanlı ağ trafiğine sahiptir. Bu, trafiği gerçek zamanlı olarak yönetme olanağı sağlar. Örneğin, VLAN etiketleri eklerken, değiştirirken veya silerken ya da hedef IP adreslerini değiştirirken trafik ikinci bir bağlantıya kopyalanır. Satır içi bir yöntem olarak NPB, IDS, IPS veya güvenlik duvarları gibi diğer satır içi araçlar için yedeklilik de sağlayabilir. NPB, bu tür cihazların durumunu izleyebilir ve bir arıza durumunda trafiği dinamik olarak yedekli konuma yönlendirebilir.
Gerçek zamanlı ağı etkilemeden trafiğin nasıl işlenip birden fazla izleme ve güvenlik cihazına kopyalanacağı konusunda büyük esneklik sağlar. Ayrıca, benzeri görülmemiş bir ağ görünürlüğü sağlar ve tüm cihazların sorumluluklarını düzgün bir şekilde yerine getirmeleri için gereken trafiğin bir kopyasını almasını sağlar. Yalnızca izleme, güvenlik ve analiz araçlarınızın ihtiyaç duydukları trafiği almasını sağlamakla kalmaz, aynı zamanda ağınızın güvenli olmasını da sağlar. Ayrıca cihazın istenmeyen trafikte kaynak tüketmemesini sağlar. Belki de ağ analizörünüzün yedekleme trafiğini kaydetmesi gerekmiyordur çünkü yedekleme sırasında değerli disk alanı kaplar. Bu şeyler, araç için diğer tüm trafiği korurken analizörden kolayca filtrelenir. Belki de başka bir sistemden gizlemek istediğiniz tüm bir alt ağınız vardır; yine, bu, seçilen çıkış portunda kolayca kaldırılır. Aslında, tek bir NPB, diğer bant dışı trafiği işlerken bazı trafik bağlantılarını satır içi olarak işleyebilir.
Gönderi zamanı: 09 Mart 2022
