Un Network Packet Broker (NPB) è un dispositivo di rete simile a uno switch, le cui dimensioni variano da dispositivi portatili a case unitari da 1U e 2U, fino a case di grandi dimensioni e sistemi a scheda. A differenza di uno switch, l'NPB non modifica in alcun modo il traffico che lo attraversa, a meno che non venga esplicitamente indicato. L'NPB può ricevere traffico su una o più interfacce, eseguire alcune funzioni predefinite su tale traffico e quindi inviarlo a una o più interfacce.
Questi sono spesso definiti come "any-to-any", "many-to-any" e "any-to-many". Le funzioni che possono essere eseguite vanno da semplici, come l'inoltro o l'eliminazione del traffico, a complesse, come il filtraggio delle informazioni al di sopra del livello 5 per identificare una particolare sessione. Le interfacce su NPB possono essere connessioni via cavo in rame, ma solitamente sono frame SFP/SFP+ e QSFP, che consentono agli utenti di utilizzare una varietà di supporti e velocità di banda. Il set di funzionalità di NPB si basa sul principio di massimizzare l'efficienza delle apparecchiature di rete, in particolare degli strumenti di monitoraggio, analisi e sicurezza.
Quali funzioni fornisce il Network Packet Broker?
Le capacità dell'NPB sono numerose e possono variare a seconda della marca e del modello del dispositivo, sebbene qualsiasi agente di pacchetto degno di questo nome desideri disporre di un set di funzionalità di base. La maggior parte degli NPB (quelli più comuni) opera ai livelli OSI da 2 a 4.
In generale, sull'NPB di L2-4 sono disponibili le seguenti funzionalità: reindirizzamento del traffico (o parti specifiche), filtraggio del traffico, replicazione del traffico, protocol stripping, packet slicing (troncamento), avvio o terminazione di vari protocolli di tunnel di rete e bilanciamento del carico per il traffico. Come previsto, l'NPB di L2-4 può filtrare VLAN, etichette MPLS, indirizzi MAC (sorgente e destinazione), indirizzi IP (sorgente e destinazione), porte TCP e UDP (sorgente e destinazione) e persino flag TCP, nonché traffico ICMP, SCTP e ARP. Questa non è in alcun modo una funzionalità da utilizzare, ma piuttosto fornisce un'idea di come l'NPB, operando ai livelli da 2 a 4, possa separare e identificare i sottoinsiemi di traffico. Un requisito fondamentale che i clienti dovrebbero ricercare nell'NPB è un backplane non bloccante.
Il broker di pacchetti di rete deve essere in grado di gestire l'intero throughput di traffico di ciascuna porta del dispositivo. Nel sistema chassis, anche l'interconnessione con il backplane deve essere in grado di gestire l'intero carico di traffico dei moduli connessi. Se l'NPB perde il pacchetto, questi strumenti non avranno una comprensione completa della rete.
Sebbene la stragrande maggioranza degli NPB sia basata su ASIC o FPGA, data la certezza delle prestazioni di elaborazione dei pacchetti, troverete molte integrazioni o CPU accettabili (tramite moduli). I Network Packet Broker (NPB) Mylinking™ si basano su soluzioni ASIC. Questa è solitamente una funzionalità che offre un'elaborazione flessibile e pertanto non può essere realizzata esclusivamente in hardware. Tra queste funzionalità sono incluse la deduplicazione dei pacchetti, i timestamp, la decrittazione SSL/TLS, la ricerca per parole chiave e la ricerca di espressioni regolari. È importante notare che la sua funzionalità dipende dalle prestazioni della CPU. (Ad esempio, le ricerche di espressioni regolari con lo stesso pattern possono produrre risultati prestazionali molto diversi a seconda del tipo di traffico, della velocità di corrispondenza e della larghezza di banda), quindi non è facile determinarne il funzionamento prima dell'implementazione effettiva.
Se le funzionalità dipendenti dalla CPU sono abilitate, diventano un fattore limitante per le prestazioni complessive dell'NPB. L'avvento delle CPU e dei chip di commutazione programmabili, come Cavium Xpliant, Barefoot Tofino e Innovium Teralynx, ha inoltre costituito la base di un set ampliato di funzionalità per gli agenti di pacchetto di rete di nuova generazione. Queste unità funzionali possono gestire il traffico al di sopra del livello L4 (spesso denominati agenti di pacchetto L7). Tra le funzionalità avanzate menzionate in precedenza, la ricerca per parole chiave ed espressioni regolari sono buoni esempi di funzionalità di nuova generazione. La capacità di ricercare i payload dei pacchetti offre l'opportunità di filtrare il traffico a livello di sessione e di applicazione e fornisce un controllo più preciso su una rete in evoluzione rispetto al livello L2-4.
Come si inserisce Network Packet Broker nell'infrastruttura?
L'NPB può essere installato in un'infrastruttura di rete in due modi diversi:
1- In linea
2- Fuori banda.
Ogni approccio presenta vantaggi e svantaggi e consente la manipolazione del traffico in modi che altri approcci non sono in grado di fare. Il broker di pacchetti di rete in linea gestisce il traffico di rete in tempo reale che attraversa il dispositivo nel suo percorso verso la destinazione. Ciò offre l'opportunità di manipolare il traffico in tempo reale. Ad esempio, quando si aggiungono, modificano o eliminano tag VLAN o si cambiano gli indirizzi IP di destinazione, il traffico viene copiato su un secondo collegamento. Come metodo in linea, NPB può anche fornire ridondanza per altri strumenti in linea, come IDS, IPS o firewall. NPB può monitorare lo stato di tali dispositivi e reindirizzare dinamicamente il traffico verso l'hot standby in caso di guasto.
Offre un'elevata flessibilità nell'elaborazione e nella replicazione del traffico su più dispositivi di monitoraggio e sicurezza, senza influire sulla rete in tempo reale. Offre inoltre una visibilità di rete senza precedenti e garantisce che tutti i dispositivi ricevano una copia del traffico necessaria per gestire correttamente le proprie responsabilità. Non solo garantisce che gli strumenti di monitoraggio, sicurezza e analisi ricevano il traffico di cui hanno bisogno, ma anche che la rete sia sicura. Garantisce inoltre che il dispositivo non consumi risorse per traffico indesiderato. Forse l'analizzatore di rete non ha bisogno di registrare il traffico di backup perché occupa prezioso spazio su disco durante il backup. Questi dati possono essere facilmente filtrati dall'analizzatore, preservando tutto il resto del traffico per lo strumento. Si potrebbe avere un'intera sottorete che si desidera mantenere nascosta ad altri sistemi; anche in questo caso, la rimozione avviene facilmente sulla porta di uscita selezionata. Infatti, un singolo NPB può elaborare alcuni collegamenti di traffico in linea mentre elabora altro traffico fuori banda.
Data di pubblicazione: 09-03-2022
