Il Network Packet Broker (NPB) è un dispositivo di rete simile a uno switch, disponibile in diverse dimensioni, dai dispositivi portatili ai case unitari 1U e 2U, fino a case di grandi dimensioni e sistemi a scheda. A differenza di uno switch, l'NPB non modifica in alcun modo il traffico che lo attraversa, a meno che non venga esplicitamente richiesto. L'NPB può ricevere traffico su una o più interfacce, eseguire su tale traffico alcune funzioni predefinite e quindi inviarlo a una o più interfacce.
Queste vengono spesso definite mappature di porte any-to-any, many-to-any e any-to-many. Le funzioni che possono essere eseguite spaziano da quelle semplici, come l'inoltro o il blocco del traffico, a quelle complesse, come il filtraggio delle informazioni al di sopra del livello 5 per identificare una sessione specifica. Le interfacce su NPB possono essere connessioni tramite cavo in rame, ma solitamente si tratta di frame SFP/SFP+ e QSFP, che consentono agli utenti di utilizzare una varietà di supporti e velocità di banda. Il set di funzionalità di NPB si basa sul principio di massimizzare l'efficienza delle apparecchiature di rete, in particolare degli strumenti di monitoraggio, analisi e sicurezza.
Quali funzioni svolge il Network Packet Broker?
Le funzionalità di un NPB sono numerose e possono variare a seconda della marca e del modello del dispositivo, sebbene qualsiasi agente di packaging che si rispetti desideri disporre di un set di funzionalità di base. La maggior parte degli NPB (gli NPB più comuni) opera ai livelli da 2 a 4 del modello OSI.
In generale, le seguenti funzionalità si trovano sul backplane non bloccante (NPB) di livello 2-4: reindirizzamento del traffico (o di parti specifiche di esso), filtraggio del traffico, replica del traffico, rimozione dei protocolli, troncamento dei pacchetti, avvio o terminazione di vari protocolli di tunnel di rete e bilanciamento del carico. Come previsto, l'NPB di livello 2-4 può filtrare VLAN, etichette MPLS, indirizzi MAC (origine e destinazione), indirizzi IP (origine e destinazione), porte TCP e UDP (origine e destinazione) e persino flag TCP, nonché traffico ICMP, SCTP e ARP. Questa non è una funzionalità da utilizzare, ma fornisce piuttosto un'idea di come l'NPB operante ai livelli da 2 a 4 possa separare e identificare sottoinsiemi di traffico. Un requisito fondamentale che i clienti dovrebbero ricercare in un NPB è un backplane non bloccante.
Il Network Packet Broker (NPB) deve essere in grado di gestire l'intero throughput di traffico di ciascuna porta del dispositivo. Nel sistema chassis, l'interconnessione con il backplane deve inoltre essere in grado di gestire l'intero carico di traffico dei moduli collegati. Se l'NPB perde i pacchetti, questi strumenti non avranno una comprensione completa della rete.
Sebbene la stragrande maggioranza degli NPB sia basata su ASIC o FPGA, data la certezza delle prestazioni di elaborazione dei pacchetti, si possono trovare molte integrazioni o CPU compatibili (tramite moduli). I Network Packet Broker (NPB) di Mylinking™ si basano su soluzioni ASIC. Questa è solitamente una caratteristica che offre un'elaborazione flessibile e che quindi non può essere realizzata esclusivamente in hardware. Tra le funzionalità utilizzate figurano la deduplicazione dei pacchetti, i timestamp, la decrittazione SSL/TLS, la ricerca per parole chiave e la ricerca tramite espressioni regolari. È importante notare che la sua funzionalità dipende dalle prestazioni della CPU (ad esempio, le ricerche tramite espressioni regolari dello stesso pattern possono produrre risultati di prestazioni molto diversi a seconda del tipo di traffico, della frequenza di corrispondenza e della larghezza di banda), quindi non è facile determinarlo prima dell'implementazione effettiva.
Se le funzionalità dipendenti dalla CPU sono abilitate, diventano un fattore limitante per le prestazioni complessive dell'NPB. L'avvento delle CPU e dei chip di switching programmabili, come Cavium Xpliant, Barefoot Tofino e Innovium Teralynx, ha anche costituito la base per un set ampliato di funzionalità per gli agenti di pacchetto di rete di nuova generazione. Queste unità funzionali possono gestire il traffico al di sopra del livello 4 (spesso indicati come agenti di pacchetto L7). Tra le funzionalità avanzate menzionate in precedenza, la ricerca per parole chiave ed espressioni regolari sono buoni esempi di funzionalità di nuova generazione. La capacità di cercare i payload dei pacchetti offre l'opportunità di filtrare il traffico a livello di sessione e di applicazione e fornisce un controllo più preciso su una rete in evoluzione rispetto ai livelli 2-4.
Come si inserisce Network Packet Broker nell'infrastruttura?
L'NPB può essere installato in un'infrastruttura di rete in due modi diversi:
1- In linea
2- Fuori banda.
Ogni approccio presenta vantaggi e svantaggi e consente la manipolazione del traffico in modi che altri approcci non permettono. Il Network Packet Broker (NPB) in linea gestisce il traffico di rete in tempo reale che attraversa il dispositivo per raggiungere la sua destinazione. Ciò offre l'opportunità di manipolare il traffico in tempo reale. Ad esempio, quando si aggiungono, modificano o eliminano tag VLAN o si cambiano gli indirizzi IP di destinazione, il traffico viene copiato su un secondo collegamento. Essendo un metodo in linea, l'NPB può anche fornire ridondanza per altri strumenti in linea, come IDS, IPS o firewall. L'NPB può monitorare lo stato di tali dispositivi e reindirizzare dinamicamente il traffico verso un dispositivo di standby attivo in caso di guasto.
Offre grande flessibilità nella gestione e replicazione del traffico verso più dispositivi di monitoraggio e sicurezza, senza influire sulla rete in tempo reale. Garantisce inoltre una visibilità di rete senza precedenti e assicura che tutti i dispositivi ricevano una copia del traffico necessario per svolgere correttamente le proprie funzioni. Non solo garantisce che gli strumenti di monitoraggio, sicurezza e analisi ricevano il traffico di cui hanno bisogno, ma anche che la rete sia sicura. Inoltre, impedisce che il dispositivo consumi risorse per traffico indesiderato. Ad esempio, l'analizzatore di rete potrebbe non aver bisogno di registrare il traffico di backup perché questo occupa spazio prezioso su disco. Questi dati possono essere facilmente filtrati dall'analizzatore, preservando tutto il resto del traffico per lo strumento. Oppure, si potrebbe voler mantenere nascosta un'intera sottorete da altri sistemi; anche in questo caso, è possibile rimuoverla facilmente dalla porta di uscita selezionata. Un singolo NPB, infatti, può elaborare alcuni collegamenti di traffico in linea, mentre elabora altro traffico fuori banda.
Data di pubblicazione: 9 marzo 2022
