Broker pakietów sieciowych (NPB) to urządzenie sieciowe przypominające przełącznik, którego rozmiary wahają się od urządzeń przenośnych, przez obudowy 1U i 2U, po duże obudowy i systemy płyt głównych. W przeciwieństwie do przełącznika, NPB nie zmienia w żaden sposób przesyłanego przez niego ruchu, chyba że zostanie wyraźnie poinstruowany. NPB może odbierać ruch na jednym lub kilku interfejsach, wykonywać na nim predefiniowane funkcje, a następnie przekazywać go do jednego lub kilku interfejsów.
Są one często określane jako mapowania portów typu dowolny-do-dowolnego, wiele-do-dowolnego i dowolny-do-wielu. Funkcje, które można realizować, obejmują zarówno proste, takie jak przekazywanie lub odrzucanie ruchu, jak i złożone, takie jak filtrowanie informacji powyżej warstwy 5 w celu identyfikacji konkretnej sesji. Interfejsy w NPB mogą być połączeniami w postaci kabli miedzianych, ale zazwyczaj są to ramki SFP/SFP+ i QSFP, które pozwalają użytkownikom korzystać z różnych mediów i prędkości pasma. Zestaw funkcji NPB opiera się na zasadzie maksymalizacji wydajności urządzeń sieciowych, w szczególności narzędzi do monitorowania, analizy i bezpieczeństwa.
Jakie funkcje zapewnia Network Packet Broker?
Możliwości NPB są liczne i mogą się różnić w zależności od marki i modelu urządzenia, chociaż każdy agent pakietów szanujący się na rynku będzie chciał mieć podstawowy zestaw funkcji. Większość NPB (najbardziej powszechny NPB) działa w warstwach OSI od 2 do 4.
Ogólnie rzecz biorąc, w NPB warstwy 2-4 można znaleźć następujące funkcje: przekierowywanie ruchu (lub jego określonych części), filtrowanie ruchu, replikacja ruchu, stripping protokołów, segmentowanie pakietów (obcinanie), uruchamianie lub kończenie różnych protokołów tunelowania sieciowego oraz równoważenie obciążenia ruchu. Zgodnie z oczekiwaniami, NPB warstwy 2-4 może filtrować VLAN, etykiety MPLS, adresy MAC (źródłowy i docelowy), adresy IP (źródłowy i docelowy), porty TCP i UDP (źródłowy i docelowy), a nawet flagi TCP, a także ruch ICMP, SCTP i ARP. Nie jest to w żadnym wypadku funkcja do użytku, ale raczej daje wyobrażenie o tym, jak NPB działający w warstwach od 2 do 4 może rozdzielać i identyfikować podzbiory ruchu. Kluczowym wymaganiem, na które klienci powinni zwrócić uwagę w przypadku NPB, jest nieblokująca płyta główna.
Broker pakietów sieciowych musi być w stanie obsłużyć pełną przepustowość każdego portu urządzenia. W systemie chassis, połączenie z płytą główną również musi być w stanie obsłużyć pełne obciążenie ruchem podłączonych modułów. Jeśli NPB odrzuci pakiet, narzędzia te nie będą w stanie w pełni zrozumieć sieci.
Chociaż zdecydowana większość NPB oparta jest na układach ASIC lub FPGA, ze względu na pewność wydajności przetwarzania pakietów, można znaleźć wiele integracji lub akceptowalnych procesorów (za pośrednictwem modułów). Brokery pakietów sieciowych Mylinking™ (NPB) oparte są na rozwiązaniach ASIC. Jest to zazwyczaj funkcja zapewniająca elastyczne przetwarzanie, dlatego nie może być realizowana wyłącznie sprzętowo. Należą do nich deduplikacja pakietów, znaczniki czasu, deszyfrowanie SSL/TLS, wyszukiwanie słów kluczowych i wyszukiwanie wyrażeń regularnych. Należy pamiętać, że funkcjonalność tej funkcji zależy od wydajności procesora. (Na przykład wyszukiwanie wyrażeń regularnych tego samego wzorca może dawać bardzo różne wyniki wydajności w zależności od rodzaju ruchu, szybkości dopasowania i przepustowości), dlatego trudno jest to określić przed faktycznym wdrożeniem.
Włączenie funkcji zależnych od procesora staje się czynnikiem ograniczającym ogólną wydajność NPB. Pojawienie się procesorów i programowalnych układów przełączających, takich jak Cavium Xpliant, Barefoot Tofino i Innovium Teralynx, stworzyło również podstawę dla rozszerzonego zestawu możliwości dla agentów pakietów sieciowych nowej generacji. Te jednostki funkcjonalne mogą obsługiwać ruch powyżej poziomu L4 (często nazywane agentami pakietów L7). Spośród wymienionych wyżej zaawansowanych funkcji, wyszukiwanie za pomocą słów kluczowych i wyrażeń regularnych jest dobrym przykładem możliwości nowej generacji. Możliwość wyszukiwania pakietów umożliwia filtrowanie ruchu na poziomie sesji i aplikacji oraz zapewnia lepszą kontrolę nad ewoluującą siecią niż w przypadku poziomów L2-4.
Jak Network Packet Broker wpisuje się w infrastrukturę?
NPB można zainstalować w infrastrukturze sieciowej na dwa różne sposoby:
1- W linii
2- Poza pasmem.
Każde podejście ma swoje zalety i wady, a także umożliwia manipulację ruchem w sposób niedostępny dla innych. Broker pakietów sieciowych inline (NPB) przetwarza ruch sieciowy w czasie rzeczywistym, który przechodzi przez urządzenie w drodze do celu. Daje to możliwość manipulacji ruchem w czasie rzeczywistym. Na przykład, podczas dodawania, modyfikowania lub usuwania tagów VLAN lub zmiany docelowych adresów IP, ruch jest kopiowany do drugiego łącza. Jako metoda inline, NPB może również zapewnić redundancję dla innych narzędzi inline, takich jak systemy IDS, IPS czy zapory sieciowe. NPB może monitorować stan takich urządzeń i dynamicznie przekierowywać ruch do trybu gorącej rezerwy w przypadku awarii.
Zapewnia dużą elastyczność w sposobie przetwarzania i replikacji ruchu do wielu urządzeń monitorujących i zabezpieczających bez wpływu na sieć w czasie rzeczywistym. Zapewnia również bezprecedensową widoczność sieci i gwarantuje, że wszystkie urządzenia otrzymują kopię ruchu potrzebną do prawidłowego wykonywania swoich obowiązków. Nie tylko gwarantuje, że narzędzia do monitorowania, bezpieczeństwa i analizy otrzymują potrzebny im ruch, ale także, że sieć jest bezpieczna. Zapewnia również, że urządzenie nie zużywa zasobów na niepożądany ruch. Być może Twój analizator sieci nie musi rejestrować ruchu zapasowego, ponieważ zajmuje on cenne miejsce na dysku podczas tworzenia kopii zapasowej. Te rzeczy są łatwo filtrowane z analizatora, zachowując jednocześnie cały pozostały ruch dla narzędzia. Być może masz całą podsieć, którą chcesz ukryć przed innym systemem; również tę można łatwo usunąć na wybranym porcie wyjściowym. W rzeczywistości pojedynczy NPB może przetwarzać niektóre łącza ruchu inline, jednocześnie przetwarzając inny ruch poza pasmem.
Czas publikacji: 09-03-2022
