Сетевой пакет Broker (NPB) - это переключатель, подобный сетевому устройству, которое варьируется в размерах от портативных устройств до 1U и 2U. В отличие от переключателя, NPB не изменяет трафик, который протекает через него каким -либо образом, если не будет четко указано. NPB может получать трафик на одном или нескольких интерфейсах, выполнять некоторые предопределенные функции на этом трафике, а затем выводить его на один или несколько интерфейсов.
Их часто называют как с любовью, сопоставлением с множеством и любопытом. Функции, которые могут быть выполнены, варьируются от простых, таких как пересылка или отбрасывание трафика, до сложного, таких как фильтрация информации над уровнем 5 до идентификации конкретного сеанса. Интерфейсы на NPB могут быть медными кабельными подключениями, но обычно представляют собой кадры SFP/SFP + и QSFP, которые позволяют пользователям использовать различные скорости среды и полосы пропускания. Набор функций NPB основан на принципе максимизации эффективности сетевого оборудования, особенно мониторинга, анализа и инструментов безопасности.
Какие функции предоставляет брокер сетевого пакета?
Возможности NPB многочисленны и могут варьироваться в зависимости от бренда и модели устройства, хотя любой агент пакета, который стоит его соли, захочет иметь основной набор возможностей. Большинство функций NPB (наиболее распространенных NPB) на слоях OSI с 2 по 4.
В целом, вы можете найти следующие функции на NPB L2-4: трафик (или конкретные его части) перенаправление, фильтрацию трафика, репликацию трафика, очистку протокола, нарезание пакетов (усечение), запуск или завершение различных протоколов сетевого туннеля и балансировку нагрузки для трафика. Как и ожидалось, NPB L2-4 может фильтровать VLAN, метки MPLS, MAC-адреса (источник и цель), IP-адреса (источник и цель), порты TCP и UDP (источник и цель) и даже флаги TCP, а также ICMP, SCTP и ARP-трафик. Это ни в коем случае не используется функция, а скорее дает представление о том, как NPB, работающий на уровнях с 2 по 4, может разделять и идентифицировать подмножества трафика. Ключевым требованием, которое клиенты должны искать в NPB, является неблокирующая плана.
Broker Network Packet должен иметь возможность выполнять полную пропускную способность каждого порта на устройстве. В системе шасси взаимосвязь с задним планом также должна быть в состоянии соответствовать полной нагрузке с подключенными модулями. Если NPB выбросит пакет, эти инструменты не будут иметь полного понимания сети.
Хотя подавляющее большинство NPB основано на ASIC или FPGA, из -за уверенности в производительности обработки пакетов вы найдете много интеграций или процессоров приемлемых (через модули). Сетевые пакетные брокеры MyLinging ™ (NPB) основаны на решении ASIC. Обычно это функция, которая обеспечивает гибкую обработку и, следовательно, не может быть сделана исключительно в оборудовании. К ним относятся дедупликация пакетов, временные метки, дешифрование SSL/TLS, поиск ключевых слов и обычное поиск. Важно отметить, что его функциональность зависит от производительности процессора. (Например, обычные поиски выражения по одной и той же шаблоне могут дать очень разные результаты производительности в зависимости от типа трафика, скорости соответствия и пропускной способности), поэтому перед фактической реализацией нелегко определить.
Если CPU-зависимые функции включены, они становятся ограничивающим фактором в общей производительности NPB. Появление процессоров и программируемых переключающих чипов, таких как Cavium xpliant, Barefoot Tofino и Innovium Teralynx, также составляли основу расширенного набора возможностей для агентов сетевых пакетов следующего поколения, эти функциональные единицы могут обрабатывать трафик выше L4 (часто называемые как пакетные агенты L7). Среди расширенных функций, упомянутых выше, ключевые слова и обычное поиск выражения являются хорошими примерами возможностей следующего поколения. Возможность поиска пакетов предоставляет возможности для фильтрации трафика на уровнях сеанса и применения и обеспечивает более тонкий контроль над развивающейся сетью, чем L2-4.
Как сетевой пакет брокер вписывается в инфраструктуру?
NPB может быть установлен в сетевую инфраструктуру двумя разными способами:
1- Встроенный
2- внеполосный.
Каждый подход имеет преимущества и недостатки и позволяет манипулировать трафиком способами, которыми не могут другие подходы. Встроенный сетевой пакет-брокер имеет сетевой трафик в реальном времени, который проходит устройство на пути к месту назначения. Это дает возможность манипулировать трафиком в режиме реального времени. Например, при добавлении, изменении или удалении тегов VLAN или изменении IP -адресов назначения трафик копируется на вторую ссылку. В качестве встроенного метода, NPB также может обеспечить избыточность для других встроенных инструментов, таких как IDS, IPS или брандмауэры. NPB может отслеживать состояние таких устройств и динамически перерастое трафик в горячем резерве в случае сбоя.
Он обеспечивает большую гибкость в том, как обрабатывается трафик и реплицируется на несколько устройств мониторинга и безопасности, не влияя на сеть в реальном времени. Он также обеспечивает беспрецедентную видимость сети и гарантирует, что все устройства получают копию трафика, необходимое для правильного решения своих обязанностей. Это не только гарантирует, что ваши инструменты мониторинга, безопасности и анализа получают необходимый им трафик, но и в том, что ваша сеть безопасна. Это также гарантирует, что устройство не потребляет ресурсы на нежелательный трафик. Возможно, вашему сетевому анализатору не нужно записывать резервное движение, потому что он занимает ценное пространство дискового пространства во время резервного копирования. Эти вещи легко отфильтрованы из анализатора при сохранении всего остального трафика для инструмента. Может быть, у вас есть целая подсеть, которую вы хотите скрыть от какой -то другой системы; Опять же, это легко удаляется в выбранном выходном порте. Фактически, один NPB может обрабатывать некоторые встроенные канатные ссылки при обработке другого внеполосного трафика.
Пост времени: марта 09-2022
