Мережевий брокер пакетів (NPB) – це мережевий пристрій, подібний до комутатора, розміри якого варіюються від портативних пристроїв до корпусів 1U та 2U, великих корпусів та плат. На відміну від комутатора, NPB жодним чином не змінює трафік, що проходить через нього, якщо інше не вказано окремо. NPB може отримувати трафік на одному або кількох інтерфейсах, виконувати деякі попередньо визначені функції над цим трафіком, а потім виводити його на один або кілька інтерфейсів.
Їх часто називають зіставленнями портів «будь-який-до-будь-якого», «багато-до-будь-якого» та «будь-який-до-багатьох». Функції, які можна виконувати, варіюються від простих, таких як переадресація або відкидання трафіку, до складних, таких як фільтрація інформації вище рівня 5 для ідентифікації певного сеансу. Інтерфейси на NPB можуть бути мідними кабельними з'єднаннями, але зазвичай це кадри SFP/SFP+ та QSFP, які дозволяють користувачам використовувати різноманітні швидкості носіїв та пропускної здатності. Набір функцій NPB побудовано на принципі максимізації ефективності мережевого обладнання, зокрема інструментів моніторингу, аналізу та безпеки.
Які функції надає брокер мережевих пакетів?
Можливості NPB численні та можуть відрізнятися залежно від марки та моделі пристрою, хоча будь-який агент пакетів, який має певний рівень знань, захоче мати базовий набір можливостей. Більшість NPB (найпоширеніших NPB) функціонують на рівнях OSI з 2 по 4.
Загалом, на NPB L2-4 можна знайти такі функції: перенаправлення трафіку (або його окремих частин), фільтрація трафіку, реплікація трафіку, видалення протоколів, розділення пакетів (усічення), запуск або завершення різних протоколів мережевого тунелю та балансування навантаження для трафіку. Як і очікувалося, NPB L2-4 може фільтрувати VLAN, мітки MPLS, MAC-адреси (джерело та ціль), IP-адреси (джерело та ціль), порти TCP та UDP (джерело та ціль) і навіть прапорці TCP, а також трафік ICMP, SCTP та ARP. Це аж ніяк не функція, яку можна використовувати, а радше дає уявлення про те, як NPB, що працює на рівнях з 2 по 4, може розділяти та ідентифікувати підмножини трафіку. Ключовою вимогою, на яку клієнти повинні звернути увагу в NPB, є неблокуюча об'єднувальна плата.
Брокер мережевих пакетів повинен бути здатним забезпечити повну пропускну здатність кожного порту на пристрої. У системі шасі з'єднання з об'єднувальною платою також повинно бути здатним забезпечити повне навантаження трафіку підключених модулів. Якщо NPB втрачає пакет, ці інструменти не матимуть повного розуміння мережі.
Хоча переважна більшість NPB базується на ASIC або FPGA, через гарантованість продуктивності обробки пакетів, ви знайдете багато прийнятних інтеграцій або процесорів (через модулі). Мережеві брокери пакетів Mylinking™ (NPB) базуються на рішенні ASIC. Зазвичай це функція, яка забезпечує гнучку обробку і тому не може бути виконана виключно на апаратному рівні. До них належать дедуплікація пакетів, часові позначки, розшифрування SSL/TLS, пошук за ключовими словами та пошук за регулярними виразами. Важливо зазначити, що його функціональність залежить від продуктивності процесора. (Наприклад, пошук за регулярними виразами одного й того ж шаблону може давати дуже різні результати продуктивності залежно від типу трафіку, коефіцієнта збігу та пропускної здатності), тому це нелегко визначити перед фактичним впровадженням.
Якщо ввімкнено функції, що залежать від процесора, вони стають обмежувальним фактором загальної продуктивності мережевої платіжної мережі (NPB). Поява процесорів та програмованих комутаційних чіпів, таких як Cavium Xpliant, Barefoot Tofino та Innovium Teralynx, також лягла в основу розширеного набору можливостей для мережевих пакетних агентів наступного покоління. Ці функціональні блоки можуть обробляти трафік вище рівня L4 (часто їх називають пакетними агентами L7). Серед розширених функцій, згаданих вище, пошук за ключовими словами та регулярними виразами є гарними прикладами можливостей наступного покоління. Можливість пошуку корисних даних пакетів надає можливості фільтрувати трафік на рівні сеансу та програми, а також забезпечує точніший контроль над мережею, що розвивається, ніж L2-4.
Як мережевий пакетний брокер вписується в інфраструктуру?
NPB можна встановити в мережеву інфраструктуру двома різними способами:
1- Вбудований
2. Поза діапазоном.
Кожен підхід має свої переваги та недоліки і дозволяє маніпулювати трафіком способами, недоступними для інших підходів. Вбудований брокер мережевих пакетів має мережевий трафік у режимі реального часу, який проходить через пристрій на шляху до місця призначення. Це надає можливість маніпулювати трафіком у режимі реального часу. Наприклад, під час додавання, змінення або видалення тегів VLAN або зміни IP-адрес призначення трафік копіюється на друге посилання. Як вбудований метод, NPB також може забезпечити резервування для інших вбудованих інструментів, таких як IDS, IPS або брандмауери. NPB може контролювати стан таких пристроїв і динамічно перенаправляти трафік у гарячий резерв у разі збою.
Це забезпечує велику гнучкість у обробці та реплікації трафіку на кілька пристроїв моніторингу та безпеки, не впливаючи на мережу в режимі реального часу. Це також забезпечує безпрецедентну видимість мережі та гарантує, що всі пристрої отримують копію трафіку, необхідного для належного виконання своїх обов'язків. Це не тільки гарантує, що ваші інструменти моніторингу, безпеки та аналізу отримують необхідний трафік, але й безпеку вашої мережі. Це також гарантує, що пристрій не споживає ресурси на небажаний трафік. Можливо, вашому мережевому аналізатору не потрібно записувати резервний трафік, оскільки він займає цінний дисковий простір під час резервного копіювання. Ці речі легко відфільтрувати з аналізатора, зберігаючи весь інший трафік для інструменту. Можливо, у вас є ціла підмережа, яку ви хочете приховати від якоїсь іншої системи; знову ж таки, це легко видалити на вибраному вихідному порту. Фактично, один NPB може обробляти деякі канали трафіку безпосередньо, обробляючи інший позасмуговий трафік.
Час публікації: 09 березня 2022 р.
