Network Packet Broker (NPB) — это сетевое устройство, похожее на коммутатор, которое может быть разного размера: от портативных устройств до корпусов 1U и 2U, больших корпусов и системных плат. В отличие от коммутатора, NPB не изменяет проходящий через него трафик каким-либо образом, если на то нет явных указаний. NPB может принимать трафик на одном или нескольких интерфейсах, выполнять некоторые предопределенные функции для этого трафика, а затем выводить его на один или несколько интерфейсов.
Их часто называют сопоставлениями портов any-to-any, many-to-any и any-to-many. Функции, которые могут быть выполнены, варьируются от простых, таких как пересылка или отбрасывание трафика, до сложных, таких как фильтрация информации выше уровня 5 для идентификации конкретного сеанса. Интерфейсы на NPB могут быть соединениями медного кабеля, но обычно это кадры SFP/SFP + и QSFP, которые позволяют пользователям использовать различные скорости среды и полосы пропускания. Набор функций NPB построен на принципе максимизации эффективности сетевого оборудования, в частности, инструментов мониторинга, анализа и безопасности.
Какие функции предоставляет Network Packet Broker?
Возможности NPB многочисленны и могут различаться в зависимости от марки и модели устройства, хотя любой достойный агент пакетов захочет иметь базовый набор возможностей. Большинство NPB (наиболее распространенные NPB) функционируют на уровнях OSI 2–4.
В целом, вы можете найти следующие функции в NPB L2-4: перенаправление трафика (или его отдельных частей), фильтрация трафика, репликация трафика, очистка протоколов, нарезка пакетов (усечение), запуск или завершение различных сетевых туннельных протоколов и балансировка нагрузки для трафика. Как и ожидалось, NPB L2-4 может фильтровать VLAN, метки MPLS, MAC-адреса (источник и цель), IP-адреса (источник и цель), порты TCP и UDP (источник и цель) и даже флаги TCP, а также трафик ICMP, SCTP и ARP. Это ни в коем случае не функция, которую нужно использовать, а скорее дает представление о том, как NPB, работающий на уровнях 2–4, может разделять и идентифицировать подмножества трафика. Ключевое требование, которое клиенты должны искать в NPB, — это неблокируемая объединительная плата.
Брокер сетевых пакетов должен быть в состоянии удовлетворить полную пропускную способность трафика каждого порта на устройстве. В системе шасси взаимосвязь с объединительной платой также должна быть в состоянии удовлетворить полную нагрузку трафика подключенных модулей. Если NPB отбрасывает пакет, эти инструменты не будут иметь полного понимания сети.
Хотя подавляющее большинство NPB основано на ASIC или FPGA, из-за уверенности в производительности обработки пакетов вы найдете много приемлемых интеграций или ЦП (через модули). Сетевые брокеры пакетов Mylinking™ (NPB) основаны на решении ASIC. Обычно это функция, которая обеспечивает гибкую обработку и, следовательно, не может быть реализована исключительно на аппаратном уровне. К ним относятся дедупликация пакетов, временные метки, расшифровка SSL/TLS, поиск по ключевым словам и поиск по регулярным выражениям. Важно отметить, что ее функциональность зависит от производительности ЦП. (Например, поиск по регулярным выражениям одного и того же шаблона может давать совершенно разные результаты производительности в зависимости от типа трафика, скорости сопоставления и пропускной способности), поэтому это нелегко определить до фактической реализации.
Если включены зависящие от ЦП функции, они становятся ограничивающим фактором общей производительности NPB. Появление ЦП и программируемых коммутационных чипов, таких как Cavium Xpliant, Barefoot Tofino и Innovium Teralynx, также сформировало основу расширенного набора возможностей для сетевых пакетных агентов следующего поколения. Эти функциональные блоки могут обрабатывать трафик выше L4 (часто называемые пакетными агентами L7). Среди расширенных функций, упомянутых выше, поиск по ключевым словам и регулярным выражениям являются хорошими примерами возможностей следующего поколения. Возможность поиска полезной нагрузки пакетов предоставляет возможности для фильтрации трафика на уровне сеанса и приложения и обеспечивает более тонкий контроль над развивающейся сетью, чем L2-4.
Как Network Packet Broker вписывается в инфраструктуру?
NPB можно установить в сетевую инфраструктуру двумя способами:
1- Встроенный
2- Внеполосный.
Каждый подход имеет свои преимущества и недостатки и позволяет манипулировать трафиком способами, которые другие подходы не могут. Встроенный сетевой брокер пакетов имеет сетевой трафик в реальном времени, который проходит через устройство по пути к месту назначения. Это дает возможность манипулировать трафиком в реальном времени. Например, при добавлении, изменении или удалении тегов VLAN или изменении IP-адресов назначения трафик копируется на второй канал. Как встроенный метод, NPB также может обеспечивать избыточность для других встроенных инструментов, таких как IDS, IPS или брандмауэры. NPB может отслеживать состояние таких устройств и динамически перенаправлять трафик на горячий резерв в случае сбоя.
Он обеспечивает большую гибкость в том, как трафик обрабатывается и реплицируется на несколько устройств мониторинга и безопасности, не влияя на сеть в реальном времени. Он также обеспечивает беспрецедентную видимость сети и гарантирует, что все устройства получат копию трафика, необходимую для надлежащего выполнения своих обязанностей. Он не только гарантирует, что ваши инструменты мониторинга, безопасности и анализа получат необходимый им трафик, но и что ваша сеть будет защищена. Он также гарантирует, что устройство не будет потреблять ресурсы на нежелательный трафик. Возможно, вашему сетевому анализатору не нужно записывать резервный трафик, поскольку он занимает ценное дисковое пространство во время резервного копирования. Эти вещи легко отфильтровываются из анализатора, сохраняя весь остальной трафик для инструмента. Возможно, у вас есть целая подсеть, которую вы хотите скрыть от какой-то другой системы; опять же, это легко удалить на выбранном выходном порту. Фактически, один NPB может обрабатывать некоторые каналы трафика в режиме inline, одновременно обрабатывая другой внеполосный трафик.
Время публикации: 09-03-2022
