Брокер сетевых пакетов (NPB) — это сетевое устройство, похожее на коммутатор, размеры которого варьируются от портативных устройств до корпусов 1U и 2U, а также больших корпусов и плат. В отличие от коммутатора, NPB никак не изменяет проходящий через него трафик, если на это не дано явное указание. NPB может принимать трафик на одном или нескольких интерфейсах, выполнять с ним предопределённые функции и затем выводить его на один или несколько интерфейсов.
Такие сопоставления портов часто называют «любой-к-любому», «многие-к-любому» и «любой-ко-многим». Выполняемые функции варьируются от простых, таких как пересылка или отбрасывание трафика, до сложных, таких как фильтрация информации выше уровня 5 для идентификации конкретного сеанса. Интерфейсы NPB могут быть подключены по медному кабелю, но обычно представляют собой фреймы SFP/SFP+ и QSFP, что позволяет пользователям использовать различные среды передачи и скорости пропускной способности. Набор функций NPB основан на принципе максимального повышения эффективности сетевого оборудования, в частности, инструментов мониторинга, анализа и безопасности.
Какие функции предоставляет Network Packet Broker?
Возможности NPB многочисленны и могут различаться в зависимости от марки и модели устройства, хотя любому достойному агенту пакетов необходим базовый набор функций. Большинство NPB (наиболее распространённых) функционируют на уровнях OSI со 2-го по 4-й.
В целом, на NPB уровня 2-4 можно найти следующие функции: перенаправление трафика (или его отдельных частей), фильтрация трафика, репликация трафика, очистка протоколов, нарезка пакетов (усечение), запуск или завершение работы различных сетевых туннельных протоколов и балансировка нагрузки для трафика. Как и ожидалось, NPB уровня 2-4 может фильтровать VLAN, метки MPLS, MAC-адреса (источника и цели), IP-адреса (источника и цели), порты TCP и UDP (источника и цели) и даже флаги TCP, а также трафик ICMP, SCTP и ARP. Это ни в коем случае не функция, которую нужно использовать, а скорее дает представление о том, как NPB, работающий на уровнях 2–4, может разделять и идентифицировать подмножества трафика. Ключевым требованием, на которое клиенты должны обращать внимание при выборе NPB, является неблокируемая объединительная плата.
Брокер сетевых пакетов должен быть способен обеспечить полную пропускную способность каждого порта устройства. В системе шасси соединение с объединительной платой также должно быть способно обеспечить полную нагрузку трафика подключенных модулей. Если брокер сетевых пакетов отбрасывает пакет, эти инструменты не смогут получить полное представление о сети.
Хотя подавляющее большинство NPB основано на ASIC или FPGA, благодаря стабильности производительности обработки пакетов, многие интеграционные решения или процессоры (через модули) приемлемы. Сетевые брокеры пакетов Mylinking™ (NPB) основаны на ASIC-решении. Эта функция, как правило, обеспечивает гибкую обработку и, следовательно, не может быть реализована исключительно аппаратно. К ним относятся дедупликация пакетов, временные метки, расшифровка SSL/TLS, поиск по ключевым словам и поиск по регулярным выражениям. Важно отметить, что её функциональность зависит от производительности процессора. (Например, поиск по одному и тому же шаблону с помощью регулярных выражений может давать совершенно разные результаты производительности в зависимости от типа трафика, скорости сопоставления и пропускной способности), поэтому определить её до фактической реализации непросто.
При включении функций, зависящих от ЦП, они становятся ограничивающим фактором общей производительности сетевого блока сетевых пакетов (NPB). Появление процессоров и программируемых микросхем коммутации, таких как Cavium Xpliant, Barefoot Tofino и Innovium Teralynx, также заложило основу для расширенного набора возможностей сетевых пакетных агентов нового поколения. Эти функциональные блоки могут обрабатывать трафик выше уровня 4 (часто называемые пакетными агентами L7). Среди упомянутых выше расширенных функций поиск по ключевым словам и регулярным выражениям является хорошим примером возможностей нового поколения. Возможность поиска по полезной нагрузке пакетов позволяет фильтровать трафик на уровне сеанса и приложения, а также обеспечивает более точный контроль над развивающейся сетью, чем на уровнях L2-4.
Как Network Packet Broker вписывается в инфраструктуру?
NPB можно установить в сетевую инфраструктуру двумя способами:
1- Встроенный
2- Вне диапазона.
Каждый подход имеет свои преимущества и недостатки и позволяет манипулировать трафиком способами, недоступными другим подходам. Встроенный брокер сетевых пакетов обрабатывает сетевой трафик в режиме реального времени, проходящий через устройство по пути к месту назначения. Это даёт возможность манипулировать трафиком в режиме реального времени. Например, при добавлении, изменении или удалении тегов VLAN или изменении IP-адресов назначения трафик копируется на второй канал. В качестве встроенного метода, брокер сетевых пакетов также может обеспечивать резервирование для других встроенных инструментов, таких как системы обнаружения вторжений (IDS), системы предотвращения вторжений (IPS) или межсетевые экраны. Брокер сетевых пакетов может отслеживать состояние таких устройств и динамически перенаправлять трафик на резервное устройство в случае сбоя.
Он обеспечивает высокую гибкость в обработке трафика и его репликации на несколько устройств мониторинга и безопасности, не влияя на работу сети в режиме реального времени. Он также обеспечивает беспрецедентную видимость сети и гарантирует, что все устройства получат копию трафика, необходимую для надлежащего выполнения своих задач. Он не только гарантирует, что ваши инструменты мониторинга, безопасности и анализа получат необходимый трафик, но и безопасность вашей сети. Он также гарантирует, что устройство не будет расходовать ресурсы на нежелательный трафик. Возможно, вашему сетевому анализатору не нужно записывать трафик резервного копирования, поскольку он занимает ценное дисковое пространство во время резервного копирования. Эти данные легко отфильтровываются анализатором, в то время как весь остальной трафик сохраняется для инструмента. Возможно, у вас есть целая подсеть, которую вы хотите скрыть от какой-либо другой системы; опять же, это легко удалить на выбранном выходном порту. Фактически, один брокер сетевых пакетов может обрабатывать часть трафика в режиме реального времени, одновременно обрабатывая другой трафик, не входящий в полосу пропускания.
Время публикации: 09 марта 2022 г.
