Network Packet Broker (NPB) — это сетевое устройство, подобное коммутатору, размер которого варьируется от портативных устройств до корпусов высотой 1U и 2U, а также больших корпусов и системных плат. В отличие от коммутатора, NPB не изменяет трафик, проходящий через него, без явного указания. NPB может получать трафик на один или несколько интерфейсов, выполнять некоторые предопределенные функции с этим трафиком, а затем выводить его на один или несколько интерфейсов.
Их часто называют сопоставлениями портов «любой-к-любому», «многие-к-любому» и «любой-ко-многим». Функции, которые можно выполнять, варьируются от простых, таких как пересылка или отбрасывание трафика, до сложных, таких как фильтрация информации выше уровня 5 для идентификации конкретного сеанса. Интерфейсы на NPB могут представлять собой соединения по медному кабелю, но обычно это кадры SFP/SFP+ и QSFP, которые позволяют пользователям использовать различные среды передачи и скорости полосы пропускания. Набор функций NPB построен на принципе максимизации эффективности сетевого оборудования, в частности инструментов мониторинга, анализа и безопасности.
Какие функции предоставляет Network Packet Broker?
Возможности NPB многочисленны и могут различаться в зависимости от марки и модели устройства, хотя любой достойный пакетный агент захочет иметь базовый набор возможностей. Большинство NPB (наиболее распространенный NPB) функционирует на уровнях OSI со 2 по 4.
В целом на NPB уровня L2-4 можно найти следующие функции: перенаправление трафика (или отдельных его частей), фильтрация трафика, репликация трафика, разделение протоколов, нарезка (усечение) пакетов, запуск или завершение различных протоколов сетевых туннелей, и балансировка нагрузки для трафика. Как и ожидалось, NPB L2-4 может фильтровать VLAN, метки MPLS, MAC-адреса (источник и цель), IP-адреса (источник и цель), порты TCP и UDP (источник и цель) и даже флаги TCP, а также ICMP. SCTP и ARP-трафик. Эту функцию ни в коем случае нельзя использовать, она скорее дает представление о том, как NPB, работающий на уровнях 2–4, может разделять и идентифицировать подмножества трафика. Ключевое требование, на которое клиенты должны обратить внимание при выборе NPB, — это неблокируемая объединительная плата.
Брокер сетевых пакетов должен обеспечивать полную пропускную способность каждого порта устройства. В системе шасси соединение с объединительной платой также должно обеспечивать полную нагрузку трафика подключенных модулей. Если NPB отбрасывает пакет, эти инструменты не смогут полностью понять сеть.
Хотя подавляющее большинство NPB основано на ASIC или FPGA, из-за уверенности в производительности обработки пакетов вы найдете приемлемыми многие интеграции или процессоры (через модули). Брокеры сетевых пакетов Mylinking™ (NPB) основаны на решении ASIC. Обычно это функция, которая обеспечивает гибкую обработку и поэтому не может быть реализована исключительно аппаратно. К ним относятся дедупликация пакетов, метки времени, расшифровка SSL/TLS, поиск по ключевым словам и поиск по регулярным выражениям. Важно отметить, что его функциональность зависит от производительности процессора. (Например, поиск по одному и тому же шаблону с помощью регулярных выражений может давать очень разные результаты производительности в зависимости от типа трафика, скорости сопоставления и пропускной способности), поэтому определить его перед фактической реализацией непросто.
Если включены функции, зависящие от ЦП, они становятся ограничивающим фактором общей производительности NPB. Появление процессоров и программируемых коммутационных микросхем, таких как Cavium Xpliant, Barefoot Tofino и Innovium Teralynx, также легло в основу расширенного набора возможностей сетевых пакетных агентов следующего поколения. Эти функциональные блоки могут обрабатывать трафик выше уровня L4 (часто называемый в качестве пакетных агентов L7). Среди упомянутых выше расширенных функций поиск по ключевым словам и регулярным выражениям является хорошим примером возможностей нового поколения. Возможность поиска полезной нагрузки пакетов дает возможность фильтровать трафик на уровне сеанса и приложения, а также обеспечивает более точный контроль над развивающейся сетью, чем L2-4.
Как Network Packet Broker вписывается в инфраструктуру?
NPB можно установить в сетевую инфраструктуру двумя различными способами:
1- Встроенный
2- Внеполосный.
Каждый подход имеет преимущества и недостатки и позволяет манипулировать трафиком способами, недоступными другим подходам. Встроенный сетевой брокер пакетов передает сетевой трафик в режиме реального времени, который проходит через устройство на пути к месту назначения. Это дает возможность манипулировать трафиком в режиме реального времени. Например, при добавлении, изменении или удалении тегов VLAN или изменении IP-адресов назначения трафик копируется во второй канал. В качестве встроенного метода NPB также может обеспечить избыточность для других встроенных инструментов, таких как IDS, IPS или межсетевые экраны. NPB может отслеживать состояние таких устройств и динамически перенаправлять трафик на горячий резерв в случае сбоя.
Он обеспечивает большую гибкость в обработке и репликации трафика на несколько устройств мониторинга и безопасности, не затрагивая сеть реального времени. Это также обеспечивает беспрецедентную прозрачность сети и гарантирует, что все устройства получат копию трафика, необходимую для надлежащего выполнения своих обязанностей. Это не только гарантирует, что ваши инструменты мониторинга, безопасности и анализа получат необходимый им трафик, но также и безопасность вашей сети. Это также гарантирует, что устройство не потребляет ресурсы на нежелательный трафик. Возможно, вашему сетевому анализатору не нужно записывать трафик резервного копирования, поскольку во время резервного копирования он занимает ценное дисковое пространство. Эти вещи легко отфильтровываются анализатором, сохраняя при этом весь остальной трафик для инструмента. Возможно, у вас есть целая подсеть, которую вы хотите скрыть от другой системы; опять же, это легко удалить на выбранном выходном порту. Фактически, один NPB может обрабатывать некоторые каналы трафика в режиме реального времени, одновременно обрабатывая другой внеполосный трафик.
Время публикации: 9 марта 2022 г.