Cos'è il Network Packet Broker e le sue funzioni nell'infrastruttura IT?

Network Packet Broker (NPB) è un dispositivo di rete simile a uno switch di dimensioni variabili, dai dispositivi portatili ai contenitori unitari da 1U e 2U, ai contenitori di grandi dimensioni e ai sistemi di schede. A differenza di uno switch, l'NPB non modifica in alcun modo il traffico che lo attraversa, a meno che non venga esplicitamente indicato. NPB può ricevere traffico su una o più interfacce, eseguire alcune funzioni predefinite su quel traffico e quindi inviarlo a una o più interfacce.

Questi vengono spesso definiti mappature di porte any-to-any, many-to-any e any-to-many. Le funzioni che possono essere eseguite vanno da semplici, come inoltrare o eliminare traffico, a complesse, come filtrare le informazioni sopra il livello 5 per identificare una particolare sessione. Le interfacce su NPB possono essere connessioni via cavo in rame, ma solitamente sono frame SFP/SFP + e QSFP, che consentono agli utenti di utilizzare una varietà di velocità multimediali e di larghezza di banda. Il set di funzionalità di NPB si basa sul principio di massimizzare l'efficienza delle apparecchiature di rete, in particolare degli strumenti di monitoraggio, analisi e sicurezza.

2019050603525011

Quali funzioni fornisce il Network Packet Broker?

Le funzionalità di NPB sono numerose e possono variare a seconda della marca e del modello del dispositivo, sebbene qualsiasi agente di pacchetto degno di questo nome vorrà disporre di un insieme di funzionalità fondamentali. La maggior parte degli NPB (gli NPB più comuni) funzionano ai livelli OSI da 2 a 4.

In generale, è possibile trovare le seguenti funzionalità sull'NPB di L2-4: reindirizzamento del traffico (o parti specifiche di esso), filtraggio del traffico, replica del traffico, stripping del protocollo, suddivisione dei pacchetti (troncamento), avvio o terminazione di vari protocolli di tunnel di rete, e bilanciamento del carico per il traffico. Come previsto, l'NPB di L2-4 può filtrare VLAN, etichette MPLS, indirizzi MAC (sorgente e destinazione), indirizzi IP (sorgente e destinazione), porte TCP e UDP (sorgente e destinazione) e persino flag TCP, nonché ICMP, Traffico SCTP e ARP. Questa non è affatto una funzionalità da utilizzare, ma piuttosto fornisce un’idea di come l’NPB che opera ai livelli da 2 a 4 può separare e identificare i sottoinsiemi di traffico. Un requisito chiave che i clienti dovrebbero cercare in NPB è un backplane non bloccante.

Il broker di pacchetti di rete deve essere in grado di soddisfare l'intero throughput del traffico di ciascuna porta sul dispositivo. Nel sistema chassis l'interconnessione con il backplane deve essere in grado di far fronte anche all'intero carico di traffico dei moduli collegati. Se l’NPB rilascia il pacchetto, questi strumenti non avranno una comprensione completa della rete.

Sebbene la stragrande maggioranza di NPB sia basata su ASIC o FPGA, a causa della certezza delle prestazioni di elaborazione dei pacchetti, troverai molte integrazioni o CPU accettabili (tramite moduli). I Mylinking™ Network Packet Brokers (NPB) sono basati sulla soluzione ASIC. Solitamente si tratta di una funzionalità che fornisce un'elaborazione flessibile e pertanto non può essere eseguita esclusivamente tramite hardware. Questi includono la deduplicazione dei pacchetti, i timestamp, la decrittografia SSL/TLS, la ricerca per parole chiave e la ricerca di espressioni regolari. È importante notare che la sua funzionalità dipende dalle prestazioni della CPU. (Ad esempio, le ricerche di espressioni regolari dello stesso modello possono produrre risultati di prestazioni molto diversi a seconda del tipo di traffico, della velocità di corrispondenza e della larghezza di banda), quindi non è facile determinarlo prima dell'effettiva implementazione.

otturatore_

Se le funzionalità dipendenti dalla CPU sono abilitate, diventano un fattore limitante nelle prestazioni complessive dell'NPB. L'avvento delle CPU e dei chip di commutazione programmabili, come Cavium Xpliant, Barefoot Tofino e Innovium Teralynx, ha costituito anche la base di un insieme ampliato di funzionalità per gli agenti di pacchetto di rete di prossima generazione. Queste unità funzionali possono gestire il traffico superiore a L4 (spesso indicato come come agenti di pacchetto L7). Tra le funzionalità avanzate sopra menzionate, la ricerca di parole chiave ed espressioni regolari sono buoni esempi di funzionalità di prossima generazione. La capacità di cercare i payload dei pacchetti offre l'opportunità di filtrare il traffico a livello di sessione e di applicazione e fornisce un controllo più preciso su una rete in evoluzione rispetto a L2-4.

Come si inserisce Network Packet Broker nell'infrastruttura?

L’NPB può essere installato in un’infrastruttura di rete in due modi diversi:

1- In linea

2- Fuori banda.

Ciascun approccio presenta vantaggi e svantaggi e consente la manipolazione del traffico in modi che altri approcci non possono fare. Il broker di pacchetti di rete in linea dispone di traffico di rete in tempo reale che attraversa il dispositivo nel suo percorso verso la destinazione. Ciò offre l’opportunità di manipolare il traffico in tempo reale. Ad esempio, quando si aggiungono, modificano o eliminano tag VLAN o si modificano gli indirizzi IP di destinazione, il traffico viene copiato su un secondo collegamento. Come metodo in linea, NPB può anche fornire ridondanza per altri strumenti in linea, come IDS, IPS o firewall. NPB può monitorare lo stato di tali dispositivi e reindirizzare dinamicamente il traffico verso l'hot standby in caso di guasto.

Mylinking Inline Security NPB Bypass

Fornisce una grande flessibilità nel modo in cui il traffico viene elaborato e replicato su più dispositivi di monitoraggio e sicurezza senza influire sulla rete in tempo reale. Fornisce inoltre una visibilità della rete senza precedenti e garantisce che tutti i dispositivi ricevano una copia del traffico necessario per gestire correttamente le proprie responsabilità. Non solo garantisce che i tuoi strumenti di monitoraggio, sicurezza e analisi ricevano il traffico di cui hanno bisogno, ma anche che la tua rete sia sicura. Garantisce inoltre che il dispositivo non consumi risorse nel traffico indesiderato. Forse il tuo analizzatore di rete non ha bisogno di registrare il traffico di backup perché occupa spazio prezioso su disco durante il backup. Queste cose vengono facilmente filtrate dall'analizzatore preservando tutto il resto del traffico per lo strumento. Forse hai un'intera sottorete che vuoi tenere nascosta a qualche altro sistema; ancora una volta, questo può essere facilmente rimosso dalla porta di uscita selezionata. Infatti, una singola NPB può elaborare alcuni collegamenti di traffico in linea mentre elabora altro traffico fuori banda.


Orario di pubblicazione: 09-marzo-2022