В условиях цифровой трансформации корпоративные сети перестали быть просто «несколькими кабелями, соединяющими компьютеры». С распространением устройств IoT, переносом сервисов в облако и растущим внедрением удаленной работы сетевой трафик резко возрос, подобно потоку на автомагистрали. Однако этот всплеск трафика также создает проблемы: инструменты безопасности не могут собирать критически важные данные, системы мониторинга перегружены избыточной информацией, а угрозы, скрытые в зашифрованном трафике, остаются незамеченными. Именно здесь на помощь приходит «невидимый помощник» — сетевой пакетный брокер (NPB). Действуя как интеллектуальный мост между сетевым трафиком и инструментами мониторинга, он обрабатывает хаотичный поток трафика по всей сети, точно передавая инструментам мониторинга необходимые им данные, помогая предприятиям решать «невидимые, недоступные» проблемы сети. Сегодня мы представим всестороннее понимание этой ключевой роли в эксплуатации и обслуживании сети.
1. Почему компании сейчас ищут NPB? — «Необходимость обеспечения прозрачности» в сложных сетях
Подумайте вот о чём: когда ваша сеть включает сотни устройств IoT, сотни облачных серверов и сотрудников, получающих к ней удалённый доступ из разных мест, как вы можете гарантировать, что вредоносный трафик не проникнет внутрь? Как вы можете определить, какие каналы перегружены и замедляют работу бизнеса?
Традиционные методы мониторинга уже давно оказались неэффективными: либо инструменты мониторинга могут фокусироваться только на определенных сегментах трафика, упуская ключевые узлы; либо они передают весь трафик инструменту сразу, из-за чего тот не может обработать информацию и снижает эффективность анализа. Кроме того, поскольку более 70% трафика сейчас зашифровано, традиционные инструменты совершенно не способны распознать его содержимое.
Появление NPB решает проблему «отсутствия видимости сети». Они располагаются между точками входа трафика и инструментами мониторинга, агрегируя распределенный трафик, отфильтровывая избыточные данные и в конечном итоге распределяя точный трафик между IDS (системами обнаружения вторжений), SIEM (платформами управления информацией о безопасности), инструментами анализа производительности и другими. Это гарантирует, что инструменты мониторинга не будут испытывать недостатка или перегрузки. NPB также могут расшифровывать и шифровать трафик, защищая конфиденциальные данные и предоставляя предприятиям четкое представление о состоянии их сети.
Можно сказать, что сейчас, когда у предприятия есть потребности в сетевой безопасности, оптимизации производительности или соблюдении нормативных требований, NPB стал неотъемлемым ключевым компонентом.
Что такое NPB? — Простой анализ от архитектуры до основных возможностей.
Многие считают, что термин «пакетный брокер» сопряжен с высоким техническим барьером для понимания. Однако более доступной аналогией является «центр сортировки экспресс-доставки»: сетевой трафик — это «экспресс-посылки», NPB — это «центр сортировки», а инструмент мониторинга — это «пункт приема». Задача NPB — агрегировать разрозненные посылки (агрегация), удалять недействительные посылки (фильтрация) и сортировать их по адресу (распределение). Он также может распаковывать и проверять специальные посылки (дешифрование) и удалять конфиденциальную информацию (обработка) — весь процесс эффективен и точен.
1. Для начала давайте рассмотрим «скелет» NPB: три основных архитектурных модуля.
Рабочий процесс NPB полностью основан на взаимодействии этих трех модулей; ни один из них не может отсутствовать:
○Модуль доступа к транспортуЭто эквивалент «порта экспресс-доставки» и используется специально для приема сетевого трафика с зеркального порта коммутатора (SPAN) или разветвителя (TAP). Независимо от того, идет ли речь о трафике с физического канала или виртуальной сети, он может быть собран единым образом.
○ПроцессорЭто «центральный узел сортировочного центра», отвечающий за наиболее важные процессы обработки, такие как объединение многоканального трафика (агрегация), фильтрация трафика определенного типа IP (фильтрация), копирование одинакового трафика и отправка его на различные устройства (копирование), расшифровка зашифрованного SSL/TLS-трафика (дешифрование) и т. д. Все «тонкие операции» выполняются здесь.
○Модуль распределенияЭто как «курьер», который точно распределяет обработанный трафик между соответствующими инструментами мониторинга, а также может выполнять балансировку нагрузки — например, если инструмент анализа производительности слишком загружен, часть трафика будет распределена на резервный инструмент, чтобы избежать перегрузки одного инструмента.
2. «Основные возможности» NPB: 12 основных функций решают 90% сетевых проблем.
NPB обладает множеством функций, но давайте сосредоточимся на наиболее часто используемых предприятиями. Каждая из них соответствует определенной практической проблеме:
○Репликация/агрегация трафика + фильтрацияНапример, если у предприятия 10 сетевых каналов, NPB сначала объединяет трафик со всех 10 каналов, затем отфильтровывает «дублирующиеся пакеты данных» и «нерелевантный трафик» (например, трафик от сотрудников, просматривающих видео), и направляет в инструмент мониторинга только трафик, связанный с бизнесом, что напрямую повышает эффективность на 300%.
○Расшифровка SSL/TLSВ настоящее время многие вредоносные атаки скрываются в зашифрованном HTTPS-трафике. NPB может безопасно расшифровывать этот трафик, позволяя таким инструментам, как IDS и IPS, «проникать» сквозь зашифрованное содержимое и обнаруживать скрытые угрозы, такие как фишинговые ссылки и вредоносный код.
○Маскирование/обезлимация данныхЕсли трафик содержит конфиденциальную информацию, такую как номера кредитных карт и номера социального страхования, NPB автоматически «удалит» эту информацию перед отправкой в инструмент мониторинга. Это не повлияет на анализ инструмента, но также будет соответствовать требованиям PCI-DSS (соответствие требованиям платежной системы) и HIPAA (соответствие требованиям здравоохранения) для предотвращения утечки данных.
○Балансировка нагрузки + отказоустойчивостьЕсли на предприятии используются три SIEM-системы, NPB равномерно распределит трафик между ними, чтобы предотвратить перегрузку какой-либо из систем. В случае отказа одной из систем NPB немедленно переключит трафик на резервную систему, чтобы обеспечить бесперебойный мониторинг. Это особенно важно для таких отраслей, как финансы и здравоохранение, где простои недопустимы.
○Завершение туннеляVXLAN, GRE и другие «туннельные протоколы» сейчас широко используются в облачных сетях. Традиционные инструменты не могут понимать эти протоколы. NPB может «разбирать» эти туннели и извлекать реальный трафик внутри, позволяя старым инструментам обрабатывать трафик в облачных средах.
Сочетание этих функций позволяет NPB не только «проникать» сквозь зашифрованный трафик, но и «защищать» конфиденциальные данные и «адаптироваться» к различным сложным сетевым средам — именно поэтому он может стать ключевым компонентом.
III. Где используется NPB? — Пять ключевых сценариев, отвечающих реальным потребностям предприятий.
NPB — это не универсальный инструмент; вместо этого он гибко адаптируется к различным сценариям. Будь то центр обработки данных, сеть 5G или облачная среда, он находит точное применение. Рассмотрим несколько типичных случаев, чтобы проиллюстрировать это:
1. Центр обработки данных: ключ к мониторингу трафика между Востоком и Западом.
Традиционные центры обработки данных сосредоточены исключительно на трафике «север-юг» (трафик от серверов к внешнему миру). Однако в виртуализированных центрах обработки данных 80% трафика приходится на трафик «восток-запад» (трафик между виртуальными машинами), который традиционные инструменты просто не могут отследить. Вот тут-то и пригодятся NPB:
Например, крупная интернет-компания использует VMware для создания виртуализированного центра обработки данных. NPB напрямую интегрирован с vSphere (платформой управления VMware) для точного захвата трафика между виртуальными машинами и его распределения в системы обнаружения вторжений (IDS) и инструменты анализа производительности. Это не только устраняет «слепые зоны мониторинга», но и повышает эффективность инструментов на 40% за счет фильтрации трафика, напрямую сокращая среднее время восстановления (MTTR) центра обработки данных вдвое.
Кроме того, NPB может отслеживать нагрузку на серверы и обеспечивать соответствие платежных данных стандарту PCI-DSS, что становится "необходимым требованием для эксплуатации и технического обслуживания" центров обработки данных.
2. Среда SDN/NFV: гибкие роли, адаптирующиеся к программно-определяемым сетям.
Многие компании сейчас используют SDN (программно-определяемые сети) или NFV (виртуализация сетевых функций). Сети перестали быть фиксированным оборудованием и превратились в гибкие программные сервисы. Это требует от сетевых платформ большей гибкости:
Например, университет использует SDN для реализации концепции «используй собственное устройство» (BYOD), позволяющей студентам и преподавателям подключаться к университетской сети с помощью своих телефонов и компьютеров. NPB интегрирован с контроллером SDN (например, OpenDaylight) для обеспечения изоляции трафика между учебными и офисными помещениями, а также для точного распределения трафика из каждого помещения к инструментам мониторинга. Такой подход не влияет на использование сети студентами и преподавателями и позволяет своевременно обнаруживать аномальные подключения, такие как доступ с вредоносных IP-адресов за пределами кампуса.
То же самое относится и к средам NFV. NPB может отслеживать трафик виртуальных межсетевых экранов (vFW) и виртуальных балансировщиков нагрузки (vLB), обеспечивая стабильную работу этих «программных устройств», что значительно гибче, чем традиционный аппаратный мониторинг.
3. Сети 5G: управление сегментированным трафиком и периферийными узлами.
Ключевые особенности 5G — это «высокая скорость, низкая задержка и большие объемы соединений», но это также создает новые проблемы для мониторинга: например, технология «сетевого сегментирования» 5G может разделить одну и ту же физическую сеть на несколько логических сетей (например, сегмент с низкой задержкой для автономного вождения и сегмент с большими объемами соединений для Интернета вещей), и трафик в каждом сегменте должен отслеживаться независимо.
Один из операторов использовал NPB для решения этой проблемы: он развернул независимый мониторинг NPB для каждого сегмента 5G, который позволяет не только отслеживать задержку и пропускную способность каждого сегмента в режиме реального времени, но и своевременно перехватывать аномальный трафик (например, несанкционированный доступ между сегментами), обеспечивая низкие требования к задержке для ключевых отраслей, таких как автономное вождение.
Кроме того, узлы граничных вычислений 5G разбросаны по всей стране, и NPB также может предоставить «облегченную версию», которая развертывается на граничных узлах для мониторинга распределенного трафика и предотвращения задержек, вызванных передачей данных туда и обратно.
4. Облачная среда/гибридные ИТ: преодоление барьеров мониторинга публичных и частных облаков.
В настоящее время большинство предприятий используют гибридную облачную архитектуру — часть операций размещается в Alibaba Cloud или Tencent Cloud (публичные облака), часть — в собственных частных облаках, а часть — на локальных серверах. В этом сценарии трафик распределяется по нескольким средам, что легко приводит к прерыванию мониторинга.
Китайский банк Minsheng использует NPB для решения этой проблемы: его бизнес использует Kubernetes для развертывания контейнеров. NPB может напрямую перехватывать трафик между контейнерами (подами) и сопоставлять трафик между облачными серверами и частными облаками, формируя «сквозной мониторинг» — независимо от того, находится ли бизнес в публичном или частном облаке, при возникновении проблем с производительностью команда эксплуатации и технического обслуживания может использовать данные о трафике NPB для быстрого определения, связана ли проблема с межконтейнерными вызовами или перегрузкой облачных каналов, повышая эффективность диагностики на 60%.
Для многопользовательских публичных облаков NPB также может обеспечить изоляцию трафика между различными предприятиями, предотвратить утечку данных и соответствовать требованиям финансовой отрасли.
В заключение: NPB — это не «вариант», а «необходимость».
После рассмотрения этих сценариев вы обнаружите, что NPB перестала быть нишевой технологией и стала стандартным инструментом для предприятий, позволяющим справляться со сложными сетями. От центров обработки данных до 5G, от частных облаков до гибридных ИТ-систем, NPB может играть важную роль везде, где необходима прозрачность сети.
С ростом распространения ИИ и граничных вычислений сетевой трафик станет еще более сложным, а возможности NPB будут дополнительно усовершенствованы (например, за счет использования ИИ для автоматического выявления аномального трафика и обеспечения более легкой адаптации к граничным узлам). Для предприятий понимание и внедрение NPB на ранних этапах поможет им взять инициативу в свои руки и избежать отклонений в процессе цифровой трансформации.
Сталкивались ли вы когда-нибудь с проблемами мониторинга сети в вашей отрасли? Например, не удается увидеть зашифрованный трафик или прерывается мониторинг гибридного облака? Поделитесь своими мыслями в комментариях, и давайте вместе найдем решения.
Дата публикации: 23 сентября 2025 г.
