В условиях цифровой трансформации корпоративные сети больше не представляют собой просто «несколько кабелей, соединяющих компьютеры». С распространением устройств Интернета вещей, миграцией сервисов в облако и растущим распространением удалённой работы сетевой трафик резко возрос, словно движение на автомагистрали. Однако этот всплеск трафика создаёт и проблемы: средства безопасности не могут захватить критически важные данные, системы мониторинга перегружены избыточной информацией, а угрозы, скрытые в зашифрованном трафике, остаются незамеченными. Именно здесь на помощь приходит «невидимый дворецкий», называемый брокером сетевых пакетов (NPB). Выступая в качестве интеллектуального моста между сетевым трафиком и инструментами мониторинга, он управляет хаотичным потоком трафика по всей сети, предоставляя инструментам мониторинга точные данные, помогая предприятиям решать «невидимые, недоступные» сетевые проблемы. Сегодня мы подробно рассмотрим эту ключевую роль в эксплуатации и обслуживании сетей.
1. Почему компании сейчас ищут NPB? — «Необходимость видимости» сложных сетей
Подумайте об этом: когда в вашей сети работают сотни устройств Интернета вещей, сотни облачных серверов и сотрудники, получающие к ней удалённый доступ из любой точки мира, как вы можете гарантировать отсутствие проникновения вредоносного трафика? Как определить, какие каналы перегружены и замедляют работу компании?
Традиционные методы мониторинга уже давно неэффективны: инструменты мониторинга либо способны фокусироваться только на отдельных сегментах трафика, упуская ключевые узлы, либо передают весь трафик сразу, что не позволяет инструменту обрабатывать информацию и снижает эффективность анализа. Более того, поскольку более 70% трафика теперь зашифровано, традиционные инструменты совершенно не способны анализировать его содержимое.
Появление брокеров сетевых пакетов решает проблему «отсутствия видимости сети». Они располагаются между точками входа трафика и инструментами мониторинга, агрегируя распределённый трафик, отфильтровывая избыточные данные и, в конечном итоге, распределяя точный трафик между системами обнаружения вторжений (IDS), SIEM (платформами управления информацией безопасности), инструментами анализа производительности и другими системами. Это гарантирует, что инструменты мониторинга не будут ни перегружены, ни перегружены. Брокеры сетевых пакетов также могут расшифровывать и шифровать трафик, защищая конфиденциальные данные и предоставляя предприятиям чёткую картину состояния своей сети.
Можно сказать, что теперь, когда у предприятия есть потребности в сетевой безопасности, оптимизации производительности или соблюдении норм, NPB стал неизбежным основным компонентом.
Что такое NPB? — Простой анализ от архитектуры до основных возможностей
Многие считают, что термин «брокер пакетов» имеет высокий технический барьер для входа. Однако более доступная аналогия — это «сортировочный центр экспресс-доставки»: сетевой трафик — это «экспресс-посылки», брокер пакетов — «сортировочный центр», а инструмент мониторинга — «точка приёма». Задача брокера пакетов — объединять разрозненные посылки (агрегация), удалять недействительные посылки (фильтрация) и сортировать их по адресам (распределение). Он также может распаковывать и проверять особые посылки (дешифрование) и удалять конфиденциальную информацию (массинг) — весь процесс эффективен и точен.
1. Сначала давайте рассмотрим «скелет» NPB: три основных архитектурных модуля
Рабочий процесс NPB полностью основан на взаимодействии этих трех модулей; ни один из них не может отсутствовать:
○Модуль доступа к трафику: Он эквивалентен «порту экспресс-доставки» и используется для получения сетевого трафика с порта зеркалирования коммутатора (SPAN) или сплиттера (TAP). Независимо от того, идёт ли речь о трафике из физического канала или виртуальной сети, его можно собирать унифицированным образом.
○Процессор обработки:Это «мозговой центр сортировочного центра», который отвечает за наиболее критическую «обработку», такую как объединение многоканального трафика (агрегация), фильтрация трафика с определенного типа IP-адресов (фильтрация), копирование того же трафика и отправка его на различные инструменты (копирование), расшифровка зашифрованного трафика SSL/TLS (расшифровка) и т. д. Здесь выполняются все «тонкие операции».
○Распределительный модуль: Он подобен «курьеру», который аккуратно распределяет обработанный трафик по соответствующим инструментам мониторинга, а также может выполнять балансировку нагрузки — например, если инструмент анализа производительности слишком занят, часть трафика будет распределена на резервный инструмент, чтобы избежать перегрузки одного инструмента.
2. «Основные возможности» NPB: 12 основных функций решают 90% сетевых проблем.
У NPB множество функций, но давайте сосредоточимся на наиболее часто используемых предприятиями. Каждая из них соответствует определённой практической проблеме:
○Репликация трафика / Агрегация + ФильтрацияНапример, если на предприятии имеется 10 сетевых соединений, то брокер сетевых пакетов сначала объединяет трафик 10 соединений, затем отфильтровывает «дублирующиеся пакеты данных» и «нерелевантный трафик» (например, трафик от сотрудников, просматривающих видео) и отправляет на средство мониторинга только бизнес-трафик, что напрямую повышает эффективность на 300%.
○Расшифровка SSL/TLS: В настоящее время многие вредоносные атаки скрыты в зашифрованном HTTPS-трафике. NPB может безопасно расшифровать этот трафик, позволяя таким инструментам, как IDS и IPS, «видеть сквозь» зашифрованный контент и выявлять скрытые угрозы, такие как фишинговые ссылки и вредоносный код.
○Маскировка данных / десенсибилизация: Если трафик содержит конфиденциальную информацию, такую как номера кредитных карт и номера социального страхования, NPB автоматически «удалит» эту информацию перед отправкой в инструмент мониторинга. Это не повлияет на анализ инструмента, но также позволит соблюдать требования PCI-DSS (соответствие требованиям к платежам) и HIPAA (соответствие требованиям здравоохранения) для предотвращения утечки данных.
○Балансировка нагрузки + отказоустойчивостьЕсли на предприятии установлено три SIEM-инструмента, NPB равномерно распределит трафик между ними, чтобы предотвратить перегрузку какого-либо инструмента. В случае сбоя одного из инструментов NPB немедленно переключит трафик на резервный, обеспечивая непрерывный мониторинг. Это особенно важно для таких отраслей, как финансы и здравоохранение, где простои недопустимы.
○Окончание туннеля: VXLAN, GRE и другие «туннельные протоколы» теперь широко используются в облачных сетях. Традиционные инструменты не могут распознать эти протоколы. NPB может «разбирать» эти туннели и извлекать из них реальный трафик, позволяя старым инструментам обрабатывать трафик в облачных средах.
Сочетание этих функций позволяет NPB не только «видеть насквозь» зашифрованный трафик, но и «защищать» конфиденциальные данные и «адаптироваться» к различным сложным сетевым средам — вот почему он может стать основным компонентом.
III. Где используется NPB? — Пять ключевых сценариев, отвечающих реальным потребностям предприятий
NPB не является универсальным инструментом; он гибко адаптируется к различным сценариям. Будь то центр обработки данных, сеть 5G или облачная среда, он находит точные применения. Давайте рассмотрим несколько типичных случаев, чтобы проиллюстрировать это:
1. Центр обработки данных: ключ к мониторингу трафика Восток-Запад
Традиционные центры обработки данных фокусируются исключительно на трафике «север-юг» (трафике от серверов во внешний мир). Однако в виртуализированных центрах обработки данных 80% трафика приходится на трафик «восток-запад» (трафик между виртуальными машинами), который традиционные инструменты просто не могут уловить. Именно здесь пригодятся брокеры сетевых пакетов:
Например, крупная интернет-компания использует VMware для создания виртуализированного центра обработки данных. NPB напрямую интегрирован с vSphere (платформой управления VMware) для точного сбора трафика между виртуальными машинами и его распределения между IDS и инструментами контроля производительности. Это не только устраняет «слепые зоны» мониторинга, но и повышает эффективность инструментов на 40% за счёт фильтрации трафика, что напрямую сокращает среднее время восстановления (MTTR) центра обработки данных вдвое.
Кроме того, NPB может контролировать нагрузку на сервер и гарантировать, что платежные данные соответствуют стандарту PCI-DSS, что становится «важнейшим требованием к эксплуатации и обслуживанию» для центров обработки данных.
2. Среда SDN/NFV: гибкие роли, адаптирующиеся к программно-определяемым сетям
Многие компании сейчас используют SDN (программно-определяемые сети) или NFV (виртуализация сетевых функций). Сети больше не являются фиксированным оборудованием, а представляют собой гибкие программные сервисы. Это требует от поставщиков сетевых функций (NPB) большей гибкости:
Например, университет использует SDN для реализации концепции «принеси своё устройство» (BYOD), позволяющей студентам и преподавателям подключаться к кампусной сети с помощью своих телефонов и компьютеров. NPB интегрирован с контроллером SDN (например, OpenDaylight), что обеспечивает изоляцию трафика между учебными и офисными помещениями, а также точное распределение трафика из каждой зоны к средствам мониторинга. Такой подход не влияет на работу студентов и преподавателей и позволяет своевременно выявлять нестандартные подключения, например, доступ с вредоносных IP-адресов за пределами кампуса.
То же самое справедливо и для сред NFV. NPB может отслеживать трафик виртуальных межсетевых экранов (vFW) и виртуальных балансировщиков нагрузки (vLB), обеспечивая стабильную работу этих «программных устройств», что гораздо более гибко, чем традиционный аппаратный мониторинг.
3. Сети 5G: управление сегментированным трафиком и периферийными узлами
Основными характеристиками 5G являются «высокая скорость, низкая задержка и большие соединения», но это также создает новые проблемы для мониторинга: например, технология «сетевого разделения» 5G может разделить одну и ту же физическую сеть на несколько логических сетей (например, слой с низкой задержкой для автономного вождения и слой с большим количеством соединений для IoT), и трафик в каждом слое должен отслеживаться независимо.
Один оператор решил эту проблему с помощью NPB: он развернул независимый мониторинг NPB для каждого сегмента 5G, который позволяет не только отслеживать задержку и пропускную способность каждого сегмента в режиме реального времени, но и своевременно перехватывать ненормальный трафик (например, несанкционированный доступ между сегментами), обеспечивая выполнение требований к низкой задержке для таких ключевых направлений бизнеса, как автономное вождение.
Кроме того, периферийные вычислительные узлы 5G разбросаны по всей стране, и NPB также может предоставить «облегченную версию», которая развертывается на периферийных узлах для мониторинга распределенного трафика и предотвращения задержек, вызванных передачей данных туда и обратно.
4. Облачная среда/гибридные ИТ: устранение барьеров мониторинга публичных и частных облаков
Большинство предприятий сейчас используют гибридную облачную архитектуру: часть операций выполняется в Alibaba Cloud или Tencent Cloud (публичных облаках), часть — в их собственных частных облаках, а часть — на локальных серверах. В этом случае трафик рассредоточен по нескольким средам, что затрудняет мониторинг.
China Minsheng Bank использует NPB для решения этой проблемы: его бизнес использует Kubernetes для контейнерного развертывания. NPB может напрямую захватывать трафик между контейнерами (Pod) и сопоставлять его между облачными серверами и частными облаками, обеспечивая «сквозной мониторинг». Независимо от того, находится ли бизнес в публичном или частном облаке, при наличии проблем с производительностью команда эксплуатации и обслуживания может использовать данные о трафике NPB для быстрого определения того, связана ли проблема с межконтейнерными вызовами или перегрузкой облачных каналов связи, что повышает эффективность диагностики на 60%.
Для многопользовательских публичных облаков NPB также может обеспечить изоляцию трафика между различными предприятиями, предотвратить утечку данных и соответствовать требованиям финансовой отрасли.
В заключение: НПБ — это не «опция», а «обязательность».
Изучив эти сценарии, вы обнаружите, что NPB — это уже не узкоспециализированная технология, а стандартный инструмент для предприятий, позволяющий им работать со сложными сетями. От центров обработки данных до сетей 5G, от частных облаков до гибридных ИТ-систем — NPB может играть важную роль везде, где требуется прозрачность сети.
С ростом популярности искусственного интеллекта и периферийных вычислений сетевой трафик станет ещё сложнее, а возможности брокеров сетевых пакетов (NPB) будут и дальше совершенствоваться (например, использование ИИ для автоматического выявления аномального трафика и обеспечение более лёгкой адаптации к периферийным узлам). Для предприятий понимание принципов работы брокеров сетевых пакетов и их раннее внедрение помогут им перехватить инициативу в работе сети и избежать отклонений в процессе цифровой трансформации.
Сталкивались ли вы когда-нибудь с проблемами сетевого мониторинга в вашей отрасли? Например, не видно зашифрованного трафика или мониторинг гибридного облака прерывается? Поделитесь своими мыслями в комментариях, и давайте вместе найдём решения.
Время публикации: 23 сентября 2025 г.
