Network Packet Broker (NPB) è uno switch come un dispositivo di networking che varia da dimensioni dai dispositivi portatili ai casi di unità 1U e 2U a grandi casi e sistemi di scheda. A differenza di un interruttore, l'NPB non cambia il traffico che scorre attraverso di esso in alcun modo se non esplicitamente istruito. NPB può ricevere traffico su una o più interfacce, eseguire alcune funzioni predefinite su quel traffico e quindi superarlo su una o più interfacce.
Questi sono spesso indicati come mapping di porto per qualsiasi cosa, molti a qualsiasi e ogni persona. Le funzioni che possono essere eseguite vanno da semplici, come inoltro o scartare il traffico, a complesse, come il filtraggio di informazioni al di sopra del livello 5 per identificare una sessione particolare. Le interfacce su NPB possono essere connessioni del cavo in rame, ma di solito sono frame SFP/SFP + e QSFP, che consentono agli utenti di utilizzare una varietà di velocità di media e larghezza di banda. Il set di funzionalità di NPB è basato sul principio di massimizzare l'efficienza delle apparecchiature di rete, in particolare gli strumenti di monitoraggio, analisi e sicurezza.
Quali funzioni fornisce il broker di pacchetti di rete?
Le funzionalità di NPB sono numerose e possono variare a seconda del marchio e del modello di dispositivo, sebbene qualsiasi agente di pacchetto degno del suo sale vorrà avere un set di capacità di base. La maggior parte delle funzioni NPB (il NPB più comuni) negli strati OSI da 2 a 4.
In generale, è possibile trovare le seguenti funzionalità sull'NPB di L2-4: traffico (o parti specifiche di esso), filtraggio del traffico, replica del traffico, stripping del protocollo, taglio dei pacchetti (troncamento), avviamento o terminazione di vari protocolli di tunnel di rete e bilanciamento del carico per il traffico. Come previsto, NPB di L2-4 può filtrare le etichette VLAN, MPLS, gli indirizzi MAC (sorgente e target), gli indirizzi IP (sorgente e target), le porte TCP e UDP (sorgente e target) e persino flag TCP, nonché traffico ICMP, SCTP e ARP. Questa non è affatto una funzionalità da utilizzare, ma piuttosto fornisce un'idea di come NPB operativo a livello da 2 a 4 può separare e identificare i sottoinsiemi del traffico. Un requisito chiave che i clienti dovrebbero cercare in NPB è un backplane non bloccante.
Network Packet Broker deve essere in grado di soddisfare il throughput del traffico completo di ciascuna porta sul dispositivo. Nel sistema di telaio, l'interconnessione con il backplane deve anche essere in grado di soddisfare il carico traffico completo dei moduli collegati. Se l'NPB rilascia il pacchetto, questi strumenti non avranno una comprensione completa della rete.
Sebbene la stragrande maggioranza di NPB sia basata su ASIC o FPGA, a causa della certezza delle prestazioni di elaborazione dei pacchetti, troverai accettabili molte integrazioni o CPU (tramite moduli). I broker di pacchetti di rete Mylinking ™ (NPB) si basano su una soluzione ASIC. Questa è di solito una funzionalità che fornisce elaborazione flessibile e pertanto non può essere eseguita esclusivamente nell'hardware. Questi includono deduplicazione dei pacchetti, timestamp, decryption SSL/TLS, ricerca di parole chiave e ricerca di espressione regolare. È importante notare che la sua funzionalità dipende dalle prestazioni della CPU. (Ad esempio, le ricerche di espressione regolari dello stesso modello possono produrre risultati di prestazioni molto diversi a seconda del tipo di traffico, del tasso di corrispondenza e della larghezza di banda), quindi non è facile da determinare prima dell'implementazione effettiva.
Se le caratteristiche dipendenti dalla CPU sono abilitate, diventano un fattore limitante nelle prestazioni complessive dell'NPB. L'avvento delle CPU e dei chip di commutazione programmabile, come Cavium Xplant, Barefoot Tofino e Innoum Teralynx, hanno anche costituito la base di una serie ampliata di capacità per gli agenti di pacchetti di rete di prossima generazione, queste unità funzionali possono gestire il traffico sopra L4 (spesso indicate come agenti di pacchetti L7). Tra le funzionalità avanzate sopra menzionate, la parola chiave e la ricerca di espressione regolare sono buoni esempi di funzionalità di prossima generazione. La possibilità di cercare payload di pacchetti offre l'opportunità di filtrare il traffico a livello di sessione e dell'applicazione e fornisce un controllo più fine su una rete in evoluzione rispetto alla L2-4.
In che modo il broker di pacchetti di rete si inserisce nell'infrastruttura?
L'NPB può essere installato in un'infrastruttura di rete in due modi diversi:
1- inline
2- out-of-band.
Ogni approccio presenta vantaggi e svantaggi e consente la manipolazione del traffico in modi che altri approcci non possono. Il broker di pacchetti di rete in linea ha un traffico di rete in tempo reale che attraversa il dispositivo sulla sua destinazione. Ciò offre l'opportunità di manipolare il traffico in tempo reale. Ad esempio, quando si aggiungono, si modificano o eliminano i tag VLAN o si modificano gli indirizzi IP di destinazione, il traffico viene copiato in un secondo collegamento. Come metodo in linea, NPB può anche fornire ridondanza per altri strumenti in linea, come ID, IPS o firewall. NPB può monitorare lo stato di tali dispositivi e reindirizzare dinamicamente il traffico a Hot Standby in caso di guasto.
Offre una grande flessibilità nel modo in cui il traffico viene elaborato e replicato a più dispositivi di monitoraggio e sicurezza senza influire sulla rete in tempo reale. Fornisce inoltre visibilità di rete senza precedenti e garantisce che tutti i dispositivi ricevano una copia del traffico necessario per gestire correttamente le proprie responsabilità. Non solo garantisce che gli strumenti di monitoraggio, sicurezza e analisi ottengono il traffico di cui hanno bisogno, ma anche che la tua rete sia sicura. Assicura inoltre che il dispositivo non consumi risorse sul traffico indesiderato. Forse il tuo analizzatore di rete non ha bisogno di registrare il traffico di backup perché occupa uno spazio su disco prezioso durante il backup. Queste cose vengono facilmente filtrate dall'analizzatore preservando tutto l'altro traffico per lo strumento. Forse hai un'intera sottorete che vuoi mantenere nascosto da qualche altro sistema; Ancora una volta, questo viene facilmente rimosso sulla porta di uscita selezionata. In effetti, un singolo NPB può elaborare alcuni collegamenti a traffico in linea durante l'elaborazione di altri traffico fuori banda.
Tempo post: MAR-09-2022
