Мережевий пакетний брокер (NPB) — це комутатор, схожий на мережевий пристрій, розмір якого варіюється від портативних пристроїв до блоків 1U та 2U до великих корпусів і систем плат. На відміну від комутатора, NPB жодним чином не змінює трафік, який проходить через нього, якщо немає явних вказівок. NPB може отримувати трафік на одному або кількох інтерфейсах, виконувати певні попередньо визначені функції щодо цього трафіку, а потім виводити його на один або декілька інтерфейсів.
Їх часто називають відображеннями портів будь-який-будь-який, багато-будь-якому та будь-який-багатьом. Функції, які можна виконувати, варіюються від простих, таких як пересилання або відхилення трафіку, до складних, таких як фільтрація інформації вище рівня 5 для ідентифікації конкретного сеансу. Інтерфейси на NPB можуть бути з’єднаннями мідного кабелю, але зазвичай це кадри SFP/SFP + і QSFP, які дозволяють користувачам використовувати різні носії та швидкості пропускання. Набір функцій NPB побудований на принципі максимізації ефективності мережевого обладнання, зокрема інструментів моніторингу, аналізу та безпеки.
Які функції надає Network Packet Broker?
Можливості NPB численні та можуть відрізнятися залежно від марки та моделі пристрою, хоча будь-який пакетний агент захоче мати базовий набір можливостей. Більшість NPB (найпоширеніший NPB) працює на рівнях 2–4 OSI.
Загалом, ви можете знайти такі функції на NPB L2-4: перенаправлення трафіку (або певних його частин), фільтрація трафіку, реплікація трафіку, видалення протоколу, нарізка пакетів (усічення), запуск або завершення різних мережевих тунельних протоколів, і балансування навантаження для трафіку. Як і очікувалося, NPB L2-4 може фільтрувати VLAN, мітки MPLS, MAC-адреси (джерело та ціль), IP-адреси (джерело та ціль), порти TCP та UDP (джерело та ціль), і навіть прапори TCP, а також ICMP, Трафік SCTP і ARP. Це ні в якому разі не функція, яку можна використовувати, а радше дає уявлення про те, як NPB, що працює на рівнях 2–4, може відокремлювати та ідентифікувати підмножини трафіку. Ключовою вимогою, на яку клієнти повинні звернути увагу в NPB, є неблокуюча об’єднавча плата.
Посередник мережевих пакетів повинен мати можливість забезпечити повну пропускну здатність кожного порту пристрою. У системі шасі з’єднання з об’єднавчою платою також має задовольняти повне навантаження трафіку під’єднаних модулів. Якщо NPB скидає пакет, ці інструменти не матимуть повного розуміння мережі.
Незважаючи на те, що переважна більшість NPB базується на ASIC або FPGA, через впевненість у продуктивності обробки пакетів ви знайдете багато інтеграцій або ЦП прийнятними (через модулі). Мережні пакетні брокери Mylinking™ (NPB) засновані на рішенні ASIC. Зазвичай це функція, яка забезпечує гнучку обробку, і тому не може бути виконана виключно апаратно. До них належать дедуплікація пакетів, часові мітки, розшифровка SSL/TLS, пошук за ключовими словами та пошук за регулярними виразами. Важливо відзначити, що його функціональність залежить від продуктивності ЦП. (Наприклад, пошук регулярних виразів за одним шаблоном може давати дуже різні результати продуктивності залежно від типу трафіку, швидкості відповідності та пропускної здатності), тому це нелегко визначити до фактичного впровадження.
Якщо функції, що залежать від ЦП, увімкнено, вони стають обмежуючим фактором загальної продуктивності NPB. Поява процесорів і програмованих комутаційних чіпів, таких як Cavium Xpliant, Barefoot Tofino та Innovium Teralynx, також лягла в основу розширеного набору можливостей для мережевих пакетних агентів нового покоління. Ці функціональні блоки можуть обробляти трафік вище L4 (часто називають як пакетні агенти L7). Серед згаданих вище розширених функцій пошук за ключовими словами та регулярними виразами є хорошими прикладами можливостей наступного покоління. Можливість пошуку корисного навантаження пакетів надає можливості для фільтрації трафіку на рівнях сесії та додатків, а також забезпечує точніший контроль над мережею, що розвивається, ніж L2-4.
Як Network Packet Broker вписується в інфраструктуру?
NPB можна встановити в мережеву інфраструктуру двома різними способами:
1- Вбудований
2- Поза смуги.
Кожен підхід має переваги та недоліки та дозволяє маніпулювати трафіком у спосіб, яким не можуть скористатися інші підходи. Вбудований мережевий брокер пакетів має мережевий трафік у реальному часі, який проходить через пристрій на шляху до місця призначення. Це дає можливість маніпулювати трафіком у режимі реального часу. Наприклад, під час додавання, зміни чи видалення тегів VLAN або зміни IP-адрес призначення трафік копіюється на друге посилання. Як вбудований метод, NPB також може забезпечити резервування для інших вбудованих інструментів, таких як IDS, IPS або брандмауери. NPB може відстежувати стан таких пристроїв і динамічно перенаправляти трафік у гарячий резерв у разі збою.
Він забезпечує велику гнучкість у тому, як трафік обробляється та реплікується на кілька пристроїв моніторингу та безпеки, не впливаючи на мережу в реальному часі. Він також забезпечує безпрецедентну видимість мережі та гарантує, що всі пристрої отримають копію трафіку, необхідного для належного виконання своїх обов’язків. Це не тільки гарантує, що ваші інструменти моніторингу, безпеки та аналізу отримають необхідний трафік, але й забезпечує безпеку вашої мережі. Це також гарантує, що пристрій не споживає ресурси на небажаний трафік. Можливо, вашому мережевому аналізатору не потрібно записувати резервний трафік, оскільки він займає цінний дисковий простір під час резервного копіювання. Ці речі легко відфільтрувати з аналізатора, зберігаючи весь інший трафік для інструменту. Можливо, у вас є ціла підмережа, яку ви хочете приховати від іншої системи; знову ж таки, це легко видалити на вибраному вихідному порту. Насправді, один NPB може обробляти деякі канали трафіку всередині каналу, одночасно обробляючи інший позасмуговий трафік.
Час публікації: 09 березня 2022 р