Un broker de pachete de rețea (NPB) este un dispozitiv de rețea asemănător unui switch, care variază în dimensiuni, de la dispozitive portabile la carcase de unități 1U și 2U, până la carcase mari și sisteme cu plăci de bază. Spre deosebire de un switch, NPB-ul nu modifică traficul care trece prin el în niciun fel, decât dacă i se oferă instrucțiuni explicite. NPB-ul poate primi trafic pe una sau mai multe interfețe, poate efectua anumite funcții predefinite asupra acelui trafic și apoi îl poate transmite către una sau mai multe interfețe.
Acestea sunt adesea denumite mapări de port de tip „any-to-any”, „many-to-any” și „any-to-many”. Funcțiile care pot fi îndeplinite variază de la simple, cum ar fi redirecționarea sau eliminarea traficului, până la complexe, cum ar fi filtrarea informațiilor deasupra nivelului 5 pentru a identifica o anumită sesiune. Interfețele de pe NPB pot fi conexiuni prin cablu de cupru, dar sunt de obicei cadre SFP/SFP+ și QSFP, care permit utilizatorilor să utilizeze o varietate de medii și viteze de lățime de bandă. Setul de funcții al NPB este construit pe principiul maximizării eficienței echipamentelor de rețea, în special a instrumentelor de monitorizare, analiză și securitate.
Ce funcții oferă Network Packet Broker?
Capacitățile NPB sunt numeroase și pot varia în funcție de marca și modelul dispozitivului, deși orice agent de pachete care merită să fie folosit va dori să aibă un set de bază de capabilități. Majoritatea NPB (cel mai comun NPB) funcționează la nivelurile OSI 2 până la 4.
În general, puteți găsi următoarele caracteristici pe NPB-ul L2-4: redirecționarea traficului (sau a unor părți specifice ale acestuia), filtrarea traficului, replicarea traficului, eliminarea protocoalelor, felierea pachetelor (trunchiere), pornirea sau terminarea diferitelor protocoale de tunel de rețea și echilibrarea încărcării pentru trafic. Așa cum era de așteptat, NPB-ul L2-4 poate filtra VLAN, etichete MPLS, adrese MAC (sursă și țintă), adrese IP (sursă și țintă), porturi TCP și UDP (sursă și țintă) și chiar steaguri TCP, precum și trafic ICMP, SCTP și ARP. Aceasta nu este în niciun caz o caracteristică de utilizat, ci mai degrabă oferă o idee despre cum NPB-ul care funcționează la nivelurile 2 până la 4 poate separa și identifica subseturi de trafic. O cerință cheie pe care clienții ar trebui să o caute la NPB este un backplane neblocant.
Brokerul de pachete de rețea trebuie să poată acoperi întregul debit de trafic al fiecărui port de pe dispozitiv. În sistemul de șasiu, interconectarea cu backplane-ul trebuie să poată acoperi, de asemenea, întreaga sarcină de trafic a modulelor conectate. Dacă NPB-ul elimină pachetul, aceste instrumente nu vor avea o înțelegere completă a rețelei.
Deși marea majoritate a NPB se bazează pe ASIC sau FPGA, datorită certitudinii performanței procesării pachetelor, veți găsi multe integrări sau procesoare acceptabile (prin module). Brokerii de pachete de rețea Mylinking™ (NPB) se bazează pe soluții ASIC. Aceasta este de obicei o caracteristică care oferă o procesare flexibilă și, prin urmare, nu poate fi realizată exclusiv prin hardware. Acestea includ deduplicarea pachetelor, timestamp-urile, decriptarea SSL/TLS, căutarea prin cuvinte cheie și căutarea prin expresii regulate. Este important de reținut că funcționalitatea sa depinde de performanța procesorului. (De exemplu, căutările prin expresii regulate ale aceluiași model pot produce rezultate de performanță foarte diferite în funcție de tipul de trafic, rata de potrivire și lățimea de bandă), deci nu este ușor de determinat înainte de implementarea efectivă.
Dacă sunt activate funcțiile dependente de procesor, acestea devin un factor limitator în performanța generală a NPB. Apariția procesoarelor și a cipurilor de comutare programabile, cum ar fi Cavium Xpliant, Barefoot Tofino și Innovium Teralynx, a format, de asemenea, baza unui set extins de capabilități pentru agenții de pachete de rețea de generație următoare. Aceste unități funcționale pot gestiona traficul peste L4 (adesea denumiți agenți de pachete L7). Printre funcțiile avansate menționate mai sus, căutarea după cuvinte cheie și expresii regulate sunt exemple bune de capabilități de generație următoare. Capacitatea de a căuta sarcini utile de pachete oferă oportunități de filtrare a traficului la nivel de sesiune și aplicație și oferă un control mai fin asupra unei rețele în evoluție decât L2-4.
Cum se integrează Network Packet Broker în infrastructură?
NPB poate fi instalat într-o infrastructură de rețea în două moduri diferite:
1- În linie
2- În afara benzii.
Fiecare abordare are avantaje și dezavantaje și permite manipularea traficului în moduri în care alte abordări nu pot. Brokerul de pachete de rețea inline are trafic de rețea în timp real care traversează dispozitivul în drumul său către destinație. Aceasta oferă oportunitatea de a manipula traficul în timp real. De exemplu, atunci când se adaugă, se modifică sau se șterg etichete VLAN sau se schimbă adresele IP de destinație, traficul este copiat pe o a doua legătură. Ca metodă inline, NPB poate oferi, de asemenea, redundanță pentru alte instrumente inline, cum ar fi IDS, IPS sau firewall-uri. NPB poate monitoriza starea acestor dispozitive și poate redirecționa dinamic traficul către standby fierbinte în cazul unei defecțiuni.
Oferă o flexibilitate deosebită în modul în care traficul este procesat și replicat către mai multe dispozitive de monitorizare și securitate, fără a afecta rețeaua în timp real. De asemenea, oferă o vizibilitate fără precedent asupra rețelei și asigură că toate dispozitivele primesc o copie a traficului necesar pentru a-și gestiona corect responsabilitățile. Nu numai că asigură că instrumentele dvs. de monitorizare, securitate și analiză primesc traficul de care au nevoie, dar și că rețeaua dvs. este securizată. De asemenea, asigură că dispozitivul nu consumă resurse pentru traficul nedorit. Poate că analizorul dvs. de rețea nu trebuie să înregistreze traficul de rezervă, deoarece ocupă spațiu valoros pe disc în timpul copierii de rezervă. Aceste lucruri sunt ușor filtrate din analizor, păstrând în același timp tot restul traficului pentru instrument. Poate că aveți o întreagă subrețea pe care doriți să o păstrați ascunsă de un alt sistem; din nou, acest lucru este ușor de eliminat pe portul de ieșire selectat. De fapt, un singur NPB poate procesa unele legături de trafic inline în timp ce procesează alt trafic în afara benzii.
Data publicării: 09 martie 2022
