Network Packet Broker (NPB) to urządzenie sieciowe podobne do przełącznika, którego rozmiary wahają się od urządzeń przenośnych do obudów jednostek 1U i 2U, dużych obudów i systemów płyt. W przeciwieństwie do przełącznika, NPB nie zmienia w żaden sposób ruchu, który przez niego przepływa, chyba że zostanie wyraźnie poinstruowany. NPB może odbierać ruch na jednym lub większej liczbie interfejsów, wykonywać pewne wstępnie zdefiniowane funkcje na tym ruchu, a następnie wyprowadzać go na jeden lub większą liczbę interfejsów.
Są one często określane jako mapowania portów typu any-to-any, many-to-any i any-to-many. Funkcje, które można wykonać, wahają się od prostych, takich jak przekazywanie lub odrzucanie ruchu, do złożonych, takich jak filtrowanie informacji powyżej warstwy 5 w celu zidentyfikowania konkretnej sesji. Interfejsy w NPB mogą być połączeniami kabli miedzianych, ale zwykle są to ramki SFP/SFP + i QSFP, które pozwalają użytkownikom korzystać z różnych prędkości mediów i przepustowości. Zestaw funkcji NPB opiera się na zasadzie maksymalizacji wydajności sprzętu sieciowego, w szczególności narzędzi do monitorowania, analizy i bezpieczeństwa.
Jakie funkcje zapewnia Network Packet Broker?
Możliwości NPB są liczne i mogą się różnić w zależności od marki i modelu urządzenia, chociaż każdy agent pakietów wart swojej soli będzie chciał mieć podstawowy zestaw możliwości. Większość NPB (najbardziej powszechny NPB) działa na warstwach OSI od 2 do 4.
Ogólnie rzecz biorąc, na NPB L2-4 można znaleźć następujące funkcje: przekierowywanie ruchu (lub jego określonych części), filtrowanie ruchu, replikacja ruchu, stripping protokołu, segmentowanie pakietów (obcinanie), uruchamianie lub kończenie różnych protokołów tunelowania sieciowego i równoważenie obciążenia dla ruchu. Zgodnie z oczekiwaniami, NPB L2-4 może filtrować VLAN, etykiety MPLS, adresy MAC (źródłowe i docelowe), adresy IP (źródłowe i docelowe), porty TCP i UDP (źródłowe i docelowe), a nawet flagi TCP, a także ruch ICMP, SCTP i ARP. Nie jest to w żadnym wypadku funkcja do wykorzystania, ale raczej daje wyobrażenie o tym, jak NPB działający na warstwach od 2 do 4 może oddzielać i identyfikować podzbiory ruchu. Kluczowym wymogiem, którego klienci powinni szukać w NPB, jest nieblokująca płyta tylna.
Broker pakietów sieciowych musi być w stanie sprostać pełnej przepustowości ruchu każdego portu na urządzeniu. W systemie chassis połączenie z płytą główną musi być również w stanie sprostać pełnemu obciążeniu ruchem podłączonych modułów. Jeśli NPB upuści pakiet, narzędzia te nie będą miały pełnego zrozumienia sieci.
Chociaż zdecydowana większość NPB opiera się na ASIC lub FPGA, ze względu na pewność wydajności przetwarzania pakietów, znajdziesz wiele integracji lub procesorów CPU (za pośrednictwem modułów). Brokerzy pakietów sieciowych Mylinking™ (NPB) opierają się na rozwiązaniu ASIC. Jest to zazwyczaj funkcja, która zapewnia elastyczne przetwarzanie i dlatego nie może być wykonywana wyłącznie sprzętowo. Należą do nich deduplikacja pakietów, znaczniki czasu, odszyfrowanie SSL/TLS, wyszukiwanie słów kluczowych i wyszukiwanie wyrażeń regularnych. Ważne jest, aby pamiętać, że jej funkcjonalność zależy od wydajności procesora CPU. (Na przykład wyszukiwanie wyrażeń regularnych tego samego wzorca może dawać bardzo różne wyniki wydajności w zależności od typu ruchu, szybkości dopasowania i przepustowości), więc nie jest łatwo to określić przed faktyczną implementacją.
Jeśli funkcje zależne od procesora są włączone, stają się czynnikiem ograniczającym ogólną wydajność NPB. Pojawienie się procesorów i programowalnych układów przełączających, takich jak Cavium Xpliant, Barefoot Tofino i Innovium Teralynx, stanowiło również podstawę rozszerzonego zestawu możliwości dla agentów pakietów sieciowych nowej generacji. Te jednostki funkcjonalne mogą obsługiwać ruch powyżej L4 (często określane jako agenci pakietów L7). Spośród zaawansowanych funkcji wymienionych powyżej, wyszukiwanie według słów kluczowych i wyrażeń regularnych jest dobrym przykładem możliwości nowej generacji. Możliwość wyszukiwania ładunków pakietów zapewnia możliwości filtrowania ruchu na poziomie sesji i aplikacji oraz zapewnia dokładniejszą kontrolę nad rozwijającą się siecią niż L2-4.
W jaki sposób Network Packet Broker wpisuje się w infrastrukturę?
NPB można zainstalować w infrastrukturze sieciowej na dwa różne sposoby:
1- W linii
2- Poza pasmem.
Każde podejście ma swoje zalety i wady i umożliwia manipulację ruchem w sposób, w jaki inne podejścia nie potrafią. Inline network packet broker ma ruch sieciowy w czasie rzeczywistym, który przechodzi przez urządzenie w drodze do miejsca docelowego. Daje to możliwość manipulowania ruchem w czasie rzeczywistym. Na przykład podczas dodawania, modyfikowania lub usuwania tagów VLAN lub zmiany docelowych adresów IP ruch jest kopiowany do drugiego łącza. Jako metoda inline, NPB może również zapewnić redundancję dla innych narzędzi inline, takich jak IDS, IPS lub zapory sieciowe. NPB może monitorować stan takich urządzeń i dynamicznie przekierowywać ruch do gorącej gotowości w przypadku awarii.
Zapewnia dużą elastyczność w sposobie przetwarzania i replikacji ruchu do wielu urządzeń monitorujących i zabezpieczających bez wpływu na sieć w czasie rzeczywistym. Zapewnia również bezprecedensową widoczność sieci i gwarantuje, że wszystkie urządzenia otrzymują kopię ruchu potrzebną do prawidłowego wykonywania swoich obowiązków. Nie tylko zapewnia, że Twoje narzędzia do monitorowania, bezpieczeństwa i analizy otrzymują potrzebny im ruch, ale także, że Twoja sieć jest bezpieczna. Zapewnia również, że urządzenie nie zużywa zasobów na niechciany ruch. Być może Twój analizator sieci nie musi rejestrować ruchu kopii zapasowej, ponieważ zajmuje on cenne miejsce na dysku podczas tworzenia kopii zapasowej. Te rzeczy są łatwo filtrowane z analizatora, zachowując jednocześnie cały pozostały ruch dla narzędzia. Być może masz całą podsieć, którą chcesz ukryć przed innym systemem; ponownie, jest to łatwo usuwane na wybranym porcie wyjściowym. W rzeczywistości pojedynczy NPB może przetwarzać niektóre łącza ruchu inline, jednocześnie przetwarzając inny ruch poza pasmem.
Czas publikacji: 09-03-2022
