Czym jest broker pakietów sieciowych i jakie funkcje pełni w infrastrukturze IT?

Network Packet Broker (NPB) to urządzenie sieciowe przypominające przełącznik, którego rozmiary wahają się od urządzeń przenośnych, przez obudowy jednostkowe 1U i 2U, aż po duże obudowy i systemy płytkowe. W przeciwieństwie do przełącznika, NPB nie zmienia w żaden sposób ruchu, który przez niego przepływa, chyba że zostanie wyraźnie poinstruowany. Funkcja NPB może odbierać ruch na jednym lub większej liczbie interfejsów, wykonywać na nim pewne predefiniowane funkcje, a następnie wysyłać go do jednego lub większej liczby interfejsów.

Są one często określane jako mapowania portów dowolny do dowolnego, wiele do dowolnego i dowolny do wielu. Funkcje, które można wykonać, obejmują zarówno proste, takie jak przekazywanie lub odrzucanie ruchu, jak i złożone, takie jak filtrowanie informacji powyżej warstwy 5 w celu identyfikacji konkretnej sesji. Interfejsy w urządzeniu NPB mogą być połączeniami za pomocą kabla miedzianego, ale zazwyczaj są to ramki SFP/SFP + i QSFP, które umożliwiają użytkownikom korzystanie z różnych mediów i szybkości przepustowości. Zestaw funkcji NPB opiera się na zasadzie maksymalizacji wydajności sprzętu sieciowego, w szczególności narzędzi monitorowania, analizy i bezpieczeństwa.

2019050603525011

Jakie funkcje udostępnia Broker pakietów sieciowych?

Możliwości NPB są liczne i mogą się różnić w zależności od marki i modelu urządzenia, chociaż każdy warty swojej uwagi agent zajmujący się pakietami będzie chciał mieć podstawowy zestaw możliwości. Większość NPB (najczęstszy NPB) działa w warstwach OSI od 2 do 4.

Ogólnie rzecz biorąc, w NPB L2-4 można znaleźć następujące funkcje: przekierowywanie ruchu (lub jego określonych części), filtrowanie ruchu, replikacja ruchu, usuwanie protokołów, dzielenie pakietów (obcinanie), uruchamianie lub kończenie różnych protokołów tunelowych sieci, i równoważenie obciążenia dla ruchu. Zgodnie z oczekiwaniami, NPB L2-4 może filtrować sieci VLAN, etykiety MPLS, adresy MAC (źródłowe i docelowe), adresy IP (źródłowe i docelowe), porty TCP i UDP (źródłowe i docelowe), a nawet flagi TCP, a także ICMP, Ruch SCTP i ARP. W żadnym wypadku nie jest to funkcja, której należy używać, ale raczej daje wyobrażenie o tym, w jaki sposób NPB działające na warstwach od 2 do 4 mogą oddzielać i identyfikować podzbiory ruchu. Kluczowym wymaganiem, którego klienci powinni szukać w NPB, jest nieblokująca płyta montażowa.

Broker pakietów sieciowych musi być w stanie obsłużyć pełną przepustowość każdego portu urządzenia. W systemie podwozia połączenie z płytą montażową musi również być w stanie wytrzymać pełne obciążenie podłączonych modułów. Jeśli bank NPB odrzuci pakiet, narzędzia te nie będą w stanie w pełni zrozumieć sieci.

Chociaż zdecydowana większość NPB opiera się na ASIC lub FPGA, ze względu na pewność wydajności przetwarzania pakietów, akceptowalnych będzie wiele integracji lub procesorów (poprzez moduły). Brokerzy pakietów sieciowych Mylinking™ (NPB) bazują na rozwiązaniu ASIC. Zwykle jest to funkcja zapewniająca elastyczne przetwarzanie i dlatego nie można jej wykonać wyłącznie sprzętowo. Należą do nich deduplikacja pakietów, znaczniki czasu, deszyfrowanie SSL/TLS, wyszukiwanie słów kluczowych i wyszukiwanie wyrażeń regularnych. Należy zauważyć, że jego funkcjonalność zależy od wydajności procesora. (Na przykład wyszukiwanie wyrażeń regularnych tego samego wzorca może dawać bardzo różne wyniki wydajności w zależności od rodzaju ruchu, szybkości dopasowania i przepustowości), więc nie jest łatwo to określić przed faktyczną implementacją.

Shutterstock_

Jeśli włączone są funkcje zależne od procesora, stają się one czynnikiem ograniczającym ogólną wydajność procesora NPB. Pojawienie się procesorów i programowalnych układów przełączających, takich jak Cavium Xpliant, Barefoot Tofino i Innovium Teralynx, również stworzyło podstawę rozszerzonego zestawu możliwości agentów pakietów sieciowych nowej generacji. Te jednostki funkcjonalne mogą obsługiwać ruch powyżej L4 (często określany jako jako agenci pakietów L7). Wśród wyżej wymienionych zaawansowanych funkcji dobrym przykładem możliwości nowej generacji jest wyszukiwanie słów kluczowych i wyrażeń regularnych. Możliwość wyszukiwania ładunków pakietów zapewnia możliwość filtrowania ruchu na poziomie sesji i aplikacji oraz zapewnia lepszą kontrolę nad rozwijającą się siecią niż w przypadku L2-4.

Jak Network Packet Broker pasuje do infrastruktury?

Urządzenie NPB można zainstalować w infrastrukturze sieciowej na dwa różne sposoby:

1- Wbudowany

2- Poza pasmem.

Każde podejście ma zalety i wady oraz umożliwia manipulowanie ruchem w sposób, którego inne podejścia nie mogą. Wbudowany broker pakietów sieciowych obsługuje ruch sieciowy w czasie rzeczywistym, który przechodzi przez urządzenie w drodze do miejsca docelowego. Daje to możliwość manipulowania ruchem w czasie rzeczywistym. Na przykład podczas dodawania, modyfikowania lub usuwania znaczników VLAN lub zmiany docelowych adresów IP ruch jest kopiowany do drugiego łącza. Jako metoda inline, NPB może również zapewnić redundancję dla innych narzędzi inline, takich jak IDS, IPS lub zapory ogniowe. NPB może monitorować stan takich urządzeń i w przypadku awarii dynamicznie przekierowywać ruch do trybu gotowości.

Obejście Mylinking Inline Security NPB

Zapewnia dużą elastyczność przetwarzania i replikowania ruchu do wielu urządzeń monitorujących i zabezpieczających bez wpływu na sieć czasu rzeczywistego. Zapewnia także niespotykaną widoczność sieci i gwarantuje, że wszystkie urządzenia otrzymają kopię ruchu potrzebną do prawidłowego wykonywania swoich obowiązków. Zapewnia nie tylko, że narzędzia do monitorowania, bezpieczeństwa i analizy uzyskają potrzebny ruch, ale także bezpieczeństwo Twojej sieci. Zapewnia również, że urządzenie nie zużywa zasobów na niechciany ruch. Być może Twój analizator sieci nie musi rejestrować ruchu związanego z kopią zapasową, ponieważ podczas tworzenia kopii zapasowej zajmuje cenne miejsce na dysku. Te rzeczy można łatwo odfiltrować z analizatora, zachowując jednocześnie cały pozostały ruch narzędzia. Być może masz całą podsieć, którą chcesz ukryć przed innym systemem; ponownie, można to łatwo usunąć na wybranym porcie wyjściowym. W rzeczywistości pojedynczy bank NPB może przetwarzać niektóre łącza ruchu w trybie inline, jednocześnie przetwarzając inny ruch poza pasmem.


Czas publikacji: 09 marca 2022 r