Network Packet Broker (NPB) este un comutator asemănător unui dispozitiv de rețea care variază în dimensiune de la dispozitive portabile la carcase de unități 1U și 2U până la carcase mari și sisteme de bord. Spre deosebire de un comutator, NPB nu modifică în niciun fel traficul care circulă prin el, cu excepția cazului în care este instrucționat în mod explicit. NPB poate primi trafic pe una sau mai multe interfețe, poate efectua unele funcții predefinite pe acel trafic și apoi îl poate transmite către una sau mai multe interfețe.
Acestea sunt adesea denumite mapări de porturi any-to-any, many-to-any și any-to-many. Funcțiile care pot fi efectuate variază de la simple, cum ar fi redirecționarea sau eliminarea traficului, la complexe, cum ar fi filtrarea informațiilor deasupra stratului 5 pentru a identifica o anumită sesiune. Interfețele de pe NPB pot fi conexiuni prin cablu de cupru, dar sunt de obicei cadre SFP/SFP + și QSFP, care permit utilizatorilor să utilizeze o varietate de viteze media și lățime de bandă. Setul de caracteristici NPB este construit pe principiul maximizării eficienței echipamentelor de rețea, în special a instrumentelor de monitorizare, analiză și securitate.
Ce funcții oferă Network Packet Broker?
Capacitățile NPB sunt numeroase și pot varia în funcție de marca și modelul dispozitivului, deși orice agent de ambalare care merită să-și dorească să aibă un set de bază de capabilități. Majoritatea NPB (cel mai comun NPB) funcționează la straturile OSI 2 până la 4.
În general, puteți găsi următoarele caracteristici pe NPB din L2-4: redirecționarea traficului (sau părți specifice ale acestuia), filtrarea traficului, replicarea traficului, eliminarea protocolului, tăierea pachetelor (trunchierea), pornirea sau terminarea diferitelor protocoale de tunel de rețea, și echilibrarea încărcăturii pentru trafic. După cum era de așteptat, NPB-ul lui L2-4 poate filtra VLAN, etichete MPLS, adrese MAC (sursă și țintă), adrese IP (sursă și țintă), porturi TCP și UDP (sursă și țintă) și chiar steaguri TCP, precum și ICMP, Trafic SCTP și ARP. Aceasta nu este în niciun caz o caracteristică care trebuie utilizată, ci oferă mai degrabă o idee despre modul în care NPB care operează la straturile 2 până la 4 poate separa și identifica subseturile de trafic. O cerință cheie pe care clienții ar trebui să o caute în NPB este un backplane care nu blochează.
Brokerul de pachete de rețea trebuie să poată îndeplini volumul total de trafic al fiecărui port de pe dispozitiv. În sistemul de șasiu, interconectarea cu backplane-ul trebuie să poată face față, de asemenea, întregii sarcini de trafic a modulelor conectate. Dacă NPB renunță la pachet, aceste instrumente nu vor avea o înțelegere completă a rețelei.
Deși marea majoritate a NPB se bazează pe ASIC sau FPGA, datorită siguranței performanței de procesare a pachetelor, veți găsi multe integrări sau procesoare acceptabile (prin module). Mylinking™ Network Packet Brokers (NPB) se bazează pe soluția ASIC. Aceasta este de obicei o caracteristică care oferă o procesare flexibilă și, prin urmare, nu poate fi realizată doar în hardware. Acestea includ deduplicarea pachetelor, marcajele de timp, decriptarea SSL/TLS, căutarea prin cuvinte cheie și căutarea cu expresii regulate. Este important de reținut că funcționalitatea sa depinde de performanța procesorului. (De exemplu, căutările cu expresii regulate ale aceluiași model pot produce rezultate de performanță foarte diferite în funcție de tipul de trafic, rata de potrivire și lățimea de bandă), așa că nu este ușor de determinat înainte de implementarea efectivă.
Dacă funcțiile dependente de CPU sunt activate, ele devin un factor limitator în performanța generală a NPB. Apariția CPU-urilor și a cipurilor de comutare programabile, cum ar fi Cavium Xpliant, Barefoot Tofino și Innovium Teralynx, au format, de asemenea, baza unui set extins de capabilități pentru agenții de pachete de rețea de generație următoare. Aceste unități funcționale pot gestiona traficul peste L4 (deseori denumit ca agenți de pachete L7). Printre caracteristicile avansate menționate mai sus, căutarea prin cuvinte cheie și expresii regulate sunt exemple bune de capabilități de generație următoare. Abilitatea de a căuta încărcături utile de pachete oferă oportunități de filtrare a traficului la nivel de sesiune și de aplicație și oferă un control mai fin asupra unei rețele în evoluție decât L2-4.
Cum se încadrează Network Packet Broker în infrastructură?
NPB poate fi instalat într-o infrastructură de rețea în două moduri diferite:
1- Inline
2- În afara benzii.
Fiecare abordare are avantaje și dezavantaje și permite manipularea traficului în moduri în care alte abordări nu pot. Brokerul de pachete de rețea inline are trafic de rețea în timp real care traversează dispozitivul în drum spre destinație. Acest lucru oferă posibilitatea de a manipula traficul în timp real. De exemplu, la adăugarea, modificarea sau ștergerea etichetelor VLAN sau schimbarea adreselor IP de destinație, traficul este copiat pe o a doua legătură. Ca metodă inline, NPB poate oferi, de asemenea, redundanță pentru alte instrumente inline, cum ar fi IDS, IPS sau firewall-uri. NPB poate monitoriza starea unor astfel de dispozitive și poate redirecționa dinamic traficul către standby în caz de defecțiune.
Oferă o mare flexibilitate în modul în care traficul este procesat și replicat pe mai multe dispozitive de monitorizare și securitate, fără a afecta rețeaua în timp real. De asemenea, oferă o vizibilitate fără precedent în rețea și asigură că toate dispozitivele primesc o copie a traficului necesar pentru a-și gestiona în mod corespunzător responsabilitățile. Nu numai că se asigură că instrumentele dvs. de monitorizare, securitate și analiză obțin traficul de care au nevoie, ci și că rețeaua dvs. este securizată. De asemenea, se asigură că dispozitivul nu consumă resurse pentru traficul nedorit. Poate că analizatorul dumneavoastră de rețea nu trebuie să înregistreze traficul de rezervă, deoarece ocupă spațiu valoros pe disc în timpul copiei de rezervă. Aceste lucruri sunt ușor filtrate din analizor, păstrând tot restul traficului pentru instrument. Poate aveți o întreagă subrețea pe care doriți să o păstrați ascunsă de un alt sistem; din nou, acest lucru este ușor de eliminat pe portul de ieșire selectat. De fapt, un singur NPB poate procesa unele legături de trafic în linie în timp ce procesează alte trafic în afara benzii.
Ora postării: Mar-09-2022