Mis on võrgupakettide vahendaja?
Network Packet Broker on eriline võrgukommutaator, mida võib leida eri vormides, alates portatiivsetest seadmetest kuni 1U või 2U üksuste ja laiendatud moodulsüsteemide (šassii ja blade) kaudu.
Erinevalt tüüpilisest võrgukommutaatorist ei sekku läbi võrgu liikumisse, kui võrguadministraator seda ei nõua.
NPB võib võtta vastu võrguliiklust ühe või mitme sisendi (sisendportide) kaudu, teha selle võrguliikluse suhtes mitmeid eelnevalt määratletud toiminguid ja saata selle ühte või mitmesse väljundporti. Seda nimetatakse tavaliselt „mis tahes-mis tahes”, „paljud-mis tahes” ja „mis tahes-mitmele” portide kaardistamiseks (üks-ühele, paljud-ühele ja üks-mitmele). Siinkohal tuleb lisada, et iga NPB-liides – võib olla määratletud sisend- või väljundliidesena.
Operatsioonid, mida NPB saab teostada, ulatuvad lihtsast liikluse edastamisest ühele või mõnele valitud sadamale kuni keerulise filtreerimiseni L5-kihil, et tuvastada konkreetne seanss.
Võrgupakettide vahendajatel võivad olla RJ45 vaskühendused, kuid kõige levinumad on SFP/SFP+ või QSFP-portid, mis võimaldavad suuremat valikut meediume ja ühenduskiirusi.
NPB pakettpakettide pakutavate funktsioonide kogum on suunatud võrguseadmete võimalikult tõhusale kasutamisele võrguliikluse jälgimiseks ja analüüsimiseks ning IT-turvalisuse tagamiseks. NPBd kasutatakse koos TAPidega süsteemide loomiseks, mida määratletakse kui Network Visibility Platform või Security Delivery Platform.
Milliseid võimalusi pakuvad Network Packet Brokers?
NPB-de võimalused on arvukad ja võivad sõltuvalt seadme margist ja mudelist erineda, kuigi igal korralikul NPB-l on eeldatavasti teatavad põhifunktsioonid. Enamik turul levinud NPB-d töötavad OSI L2-L4 kihtidel.
Tüüpilistel L2-L4 NPB-kommutaatoritel on järgmised omadused: võrguliikluse või selle konkreetse osa edastamine; võrguliikluse filtreerimine; replikatsioon; protokollide eemaldamine; pakettide tükeldamine; erinevate võrguprotokollide algatamine ja lõpetamine ning koormuse tasakaalustamine. Lisaks sellele hõlmavad NPB L2-L4 funktsioonid VLAN-tähe filtreerimist, MPLS-i, MAC- ja IP-aadresse (saatja ja vastuvõtja), TCP- ja UDP-porti (saatja ja vastuvõtja), TCP-lippe ning ICMP-, SCTP- ja ARP-liiklust. Ülaltoodud funktsioonid ei ole ainsad, mida nendes seadmetes leidub, kuid need näitavad hästi, et NPB, mis töötab 2. kuni 4. kihil, suudab võrguliikluse komponente sujuvalt eraldada. NPB kriitiline parameeter on nn „mitteblokeeriv tagaplaat” – seadme omadus, mis võimaldab eespool nimetatud ülesandeid täita täieliku ühenduskiiruse, nt 100G juures. NPB peab toetama maksimaalset läbilaskevõimet igas oma pordis, sest NPB-ga ühendatud diagnostikaseadmed täidavad oma rolli selles ulatuses ja kvaliteedis, mida võrguliikluse edastamine neile võimaldab. Kui NPB „kaotab” pakette, on jälgimisseadmete poolt vaadeldav võrgupilt moonutatud.
Enamik NPB projekte põhineb ASICide või FPGAde kasutamisel, kuna sellised lahendused on pakettide töötlemisel tõhusamad. Saadaval on ka protsessoripõhised NPB-d. Seda lähenemisviisi kasutatakse siis, kui on vaja paindlikkust funktsionaalsuse määratlemisel, mis ei ole võimalik puhtalt riistvaraliste lahenduste puhul.
Nende funktsioonide hulka kuuluvad pakettide deduplikatsioon, ajatempel, SSL/TLS-dekrüpteerimine, märksõnade otsing ja lihtne otsing. Funktsionaalsusel on siiski mõned piirangud, mis sõltuvad protsessori arvutusvõimsusest. Nende jõudlus sõltub suuresti paljudest välistest muutujatest ja seda on raske enne füüsilist rakendamist täpselt kindlaks määrata. Protsessorist sõltuvad funktsioonid vähendavad oluliselt NPB üldist jõudlust, kui need on aktiveeritud.
Protsessorid koos programmeeritavate kommutatsioonikiipidega (nt Cavium Xpliant, Barefoot Tofino, Innovium Teralynx) on aluseks ulatuslikule järgmise põlvkonna võrgupakettide vahendaja (NPB) funktsioonikogumile. NGNPB-d on seadmed, mis suudavad töödelda L4-kihist kõrgemal asuvat liiklust, mida tavaliselt nimetatakse „L7 NPB-deks”. Täiustatud avastusfunktsioonid on parim näide järgmise põlvkonna NPB funktsioonidest.
Kaskoormuse otsingu funktsioon võimaldab filtreerida liiklust istungi- ja rakenduskihil ning pakub täpsemat võrgukontrolli kui L2-4 seadmed.
Kuidas suhtleb võrgupakettide vahendaja infrastruktuuriga?
Network Packet Broker’i (NPB) saab paigaldada kahel viisil: liinisiseselt ja liiniväliselt. Kumbki neist konfiguratsioonidest pakub erinevaid NPB võimalusi, mis on saadaval ainult ühes neist.
Inline-korralduse puhul voolab võrguliiklus läbi seadme sihtkohta. See loob võimaluse mõjutada liiklust reaalajas, näiteks korrata liiklust teisele lingile, lisades, eemaldades või muul viisil muutes VLAN-tähiseid või muutes sihtkoha IP-aadressi. Sisekonfiguratsioon võimaldab ühenduse redundantsust teiste sisekonfiguratsiooniga seadmete, näiteks IDSi, IPSi või tulemüüri jaoks. NPB saab jälgida sellise seadme seisundit ja selle rikke korral suunata liikluse dünaamiliselt ümber varulinkile.
Out-of-band-konfiguratsioon: võrguliiklus antud lingil kopeeritakse üle võrgu TAPi või SPAN/Mirror-porti. See võimaldab mitmeid võimalusi kopeeritud võrguliikluse pakettidega tehtavateks toiminguteks, nagu filtreerimine, pakettide tükeldamine jne, ning seejärel selle liikluse replitseerimine ühele või mitmele diagnostikaseadmele, ilma et see mõjutaks tootmisvõrku. Sellega saavutatakse omakorda väga kõrge võrgu „läbipaistvuse” tase ja tagatakse, et kõik seadmed saavad liikluse täiusliku koopia, et nad saaksid oma ülesandeid nõuetekohaselt täita. NPB väga oluline ülesanne on edastada seire-, analüüsi- ja IT-turvalisuse seadmetele ainult see osa liiklusest, mis on seadme jaoks oluline ja ei koorma seda tarbetult. Näiteks olukord, kus konkreetne analüsaator ei pea analüüsima varundamisega seotud liiklust (sellised andmed hõivavad asjatult analüsaatori kettaruumi) ja neid saab hõlpsasti välja filtreerida. Lisaks, kui me tahame, et valitud alamvõrk oleks teiste süsteemide jaoks „nähtamatu”, võib selle liikluse ka valitud väljundportidel tagasi lükata.
Praktikas võib üks NPB suhelda valitud sisevõrkude linkidega ja samal ajal käsitleda ka muud võrguvälise liikluse liiklust.
Millised on kõige olulisemad probleemid, mida Packet Broker lahendab?
Piiratud juurdepääs võrgule diagnostikaseadmete jaoks.
Üks peamisi probleeme, mida NPB lahendab, on piiratud juurdepääs. Teisisõnu, probleem, mis seisneb selles, et võrguliikluse koopia on vaja edastada igale IT-turbe- või seiresüsteemile, mis seda vajab. Kasutades SPAN-porti või paigaldades TAP-i meie keskkonda, on meil üks võrguliikluse allikas, mis tuleks tõenäoliselt edastada mitmele diagnostikavahendile. Edaspidi peaks iga seade saama andmeid mitmest võrgu punktist, et kõrvaldada „surnud kohad”. NPB lahendab need probleemid järgmiselt. See võtab vastu liikluse antud lingilt ja kordab seda, saates täpse koopia nii paljudele seadmetele, kui palju porte on saadaval. Lisaks sellele võib NPB võtta vastu liiklust erinevatest allikatest võrgu eri punktidest, ühendada need üheks ja saata selle ühte seadmesse.
Nagu eespool mainitud, on võimalik eemaldada liiklusest protokolli päised, mida diagnostikavahendil oleks muidu võimatu tõlgendada. NPB saab ka tunneleid, näiteks GRE-tunneleid, lõpetada, nii et erinevate tööriistade abil saab neis toimuvat liiklust analüüsida.
Packet Broker (NPB) toimib ka keskse sõlmpunktina, mis hõlbustab uute vahendite lisamist võrgukeskkonda nii võrgusiseselt kui ka „out-of-band” . Teise seadme ühendamine NPB-ga nõuab ainult lihtsaid konfiguratsiooniprotseduure ja ei mõjuta võrgu toimimist.
Diagnostikavahendite tõhususe optimeerimine
NPB võimaldab teil saada oma järelevalve- ja IT-turvalisuse seadmetest kõige rohkem kasu nii tõhususe kui ka investeeringu tasuvuse (ROI) seisukohast. Vaatleme mõnda olukorda, mis on seotud nende seadmete kasutamisega.
Juhtub, et nad raiskavad oma tootmisvõimsust võrguliikluse töötlemiseks, milleks nad ei ole mõeldud (nt VoIP-analüsaator tegeleb asjatult muude pakettidega kui VoIP). Seega võib tekkida olukord, kus seade jõuab oma jõudluse piirini, töödeldes nii meid huvitavat kui ka „soovimatut” liiklust. Packet Broker’i abil on võimalik filtreerida seadme jaoks ebaolulist liiklust (pakette).
Teine näide puudutab seadet, mis analüüsib ainult päiseid. Lõigates ära põhilisi andmeid sisaldava osa paketist ja edastades seejärel sellist vähendatud liiklust seadmele, vähendame oluliselt selle koormust. Sel viisil saame pikendada seadme eluiga, ilma et oleks vaja asendada see uue, suurema läbilaskevõimega seadmega või uuendada seda.
Teine probleem, millega me võime kokku puutuda, on konkreetse diagnostikaseadme ebapiisav arv olemasolevaid liideseid, millel on veel liigne võimsus. NPB võrguliikluse koondamise funktsioon tuleb meile appi. NPB abil liikluse koondamisega saame kasutada seadme iga pordi maksimaalset läbilaskevõimet. Nii optimeerime ribalaiuse kasutamist ja olemasolevate liideste arvu.
Sarnane stsenaarium tekib siis, kui võrguinfrastruktuur on üle viidud (uuendatud) 10G standardile, kuid meie diagnostikaseadmetel on ainult 1G liidesed. Seade võib olla võimeline töötlema liiklust antud lingil, kuid ei saa pidada läbirääkimisi erinevate kiiruste üle. Siin võib NPB toimida kiiruse muundurina ja edastada liiklust seadmesse. Kui koormus muutub liiga suureks, võib NPB ebaolulise liikluse kõrvale jätta, kasutada pakettide tükeldamist ja jaotada ülejäänud liikluse seadme olemasolevate liideste vahel ning seega pikendada seadme kasutusiga ja saavutada märkimisväärset kulude kokkuhoidu.
Lisaks saab NPB-d kasutada meediamuundurina olukordades, kus diagnostikaseadmel on vaskliidesed ja liiklus toimub valguskaabelühenduste kaudu.
Eespool esitatud punktide kokkuvõttes võib järeldada, et NPB võimaldab organisatsioonil maksimeerida järelevalveseadmetesse tehtud investeeringutest saadavat kasu, parandab järelevalvesüsteemi ja IT-turvalisuse vastupidavust rikete suhtes, automatiseerib võrgu ja vähendab personalikulusid.
