Сетевой пакетный брокер (NPB) — это сетевое устройство, похожее на коммутатор, размеры которого варьируются от портативных устройств до корпусов 1U и 2U, а также крупных корпусов и систем на базе плат. В отличие от коммутатора, NPB никак не изменяет проходящий через него трафик, если ему явно не даны соответствующие указания. NPB может принимать трафик на одном или нескольких интерфейсах, выполнять с этим трафиком предопределенные функции, а затем выводить его на один или несколько интерфейсов.
Эти соединения часто называют сопоставлениями портов «любой-любой», «многие-любые» и «любой-многие». Выполняемые функции варьируются от простых, таких как пересылка или отбрасывание трафика, до сложных, например, фильтрация информации выше 5-го уровня для идентификации конкретной сессии. Интерфейсы на NPB могут представлять собой медные кабельные соединения, но обычно это SFP/SFP+ и QSFP-модули, что позволяет пользователям использовать различные среды передачи данных и скорости передачи данных. Функционал NPB основан на принципе максимальной эффективности сетевого оборудования, особенно инструментов мониторинга, анализа и обеспечения безопасности.
Какие функции выполняет сетевой пакетный брокер?
Возможности NPB многочисленны и могут различаться в зависимости от марки и модели устройства, хотя любой уважающий себя агент по упаковке захочет иметь базовый набор функций. Большинство NPB (наиболее распространенные NPB) работают на уровнях OSI со 2-го по 4-й.
В целом, в NPB уровней L2-4 можно найти следующие функции: перенаправление трафика (или его отдельных частей), фильтрация трафика, репликация трафика, удаление протоколов, усечение пакетов (транзисторная обрезка), запуск или завершение различных протоколов сетевых туннелей и балансировка нагрузки для трафика. Как и ожидалось, NPB уровней L2-4 может фильтровать VLAN, метки MPLS, MAC-адреса (источник и цель), IP-адреса (источник и цель), порты TCP и UDP (источник и цель) и даже флаги TCP, а также трафик ICMP, SCTP и ARP. Это ни в коем случае не функция, которую следует использовать, а скорее дает представление о том, как NPB, работающий на уровнях 2-4, может разделять и идентифицировать подмножества трафика. Ключевым требованием, которое клиенты должны учитывать при выборе NPB, является наличие неблокирующей объединительной платы.
Сетевой пакетный брокер должен обеспечивать полную пропускную способность каждого порта устройства. В системе шасси соединение с объединительной платой также должно обеспечивать полную нагрузку на подключенные модули. Если сетевой пакетный брокер отбрасывает пакеты, эти инструменты не смогут в полной мере оценить состояние сети.
Хотя подавляющее большинство сетевых пакетных брокеров (NPB) основаны на ASIC или FPGA, благодаря гарантированной производительности обработки пакетов, вы найдете множество вариантов интеграции или процессоров (через модули). Сетевые пакетные брокеры Mylinking™ (NPB) основаны на решениях ASIC. Обычно это функция, обеспечивающая гибкую обработку, и поэтому ее нельзя реализовать исключительно аппаратно. К ним относятся дедупликация пакетов, метки времени, расшифровка SSL/TLS, поиск по ключевым словам и поиск по регулярным выражениям. Важно отметить, что его функциональность зависит от производительности процессора. (Например, поиск по регулярным выражениям одного и того же шаблона может давать совершенно разные результаты производительности в зависимости от типа трафика, скорости сопоставления и пропускной способности), поэтому определить это до фактической реализации непросто.
Если включены функции, зависящие от ЦП, они становятся ограничивающим фактором в общей производительности NPB. Появление процессоров и программируемых коммутационных чипов, таких как Cavium Xpliant, Barefoot Tofino и Innovium Teralynx, также заложило основу для расширенного набора возможностей сетевых пакетных агентов следующего поколения. Эти функциональные блоки могут обрабатывать трафик выше уровня L4 (часто называемые пакетными агентами L7). Среди упомянутых выше расширенных функций поиск по ключевым словам и регулярным выражениям являются хорошими примерами возможностей следующего поколения. Возможность поиска в полезной нагрузке пакетов предоставляет возможности фильтрации трафика на уровне сессий и приложений и обеспечивает более тонкий контроль над развивающейся сетью, чем уровни L2-4.
Какова роль Network Packet Broker в инфраструктуре?
Устройство NPB можно установить в сетевую инфраструктуру двумя различными способами:
1- Встроенный
2. Внеполосное соединение.
Каждый подход имеет свои преимущества и недостатки и позволяет манипулировать трафиком способами, недоступными другим подходам. Встроенный сетевой пакетный брокер (NPB) обрабатывает сетевой трафик в реальном времени, проходящий через устройство по пути к месту назначения. Это дает возможность манипулировать трафиком в реальном времени. Например, при добавлении, изменении или удалении тегов VLAN или изменении IP-адресов назначения трафик копируется на второй канал связи. Будучи встроенным методом, NPB также может обеспечивать резервирование для других встроенных инструментов, таких как IDS, IPS или межсетевые экраны. NPB может отслеживать состояние таких устройств и динамически перенаправлять трафик на резервный канал в случае сбоя.
Это обеспечивает большую гибкость в обработке и репликации трафика на несколько устройств мониторинга и безопасности без влияния на сеть в режиме реального времени. Это также обеспечивает беспрецедентную прозрачность сети и гарантирует, что все устройства получают копию трафика, необходимую для надлежащего выполнения своих задач. Это не только гарантирует, что ваши инструменты мониторинга, безопасности и анализа получают необходимый трафик, но и обеспечивает безопасность вашей сети. Это также гарантирует, что устройство не будет потреблять ресурсы на нежелательный трафик. Возможно, вашему сетевому анализатору не нужно записывать резервный трафик, поскольку он занимает ценное дисковое пространство во время резервного копирования. Эти данные легко отфильтровываются из анализатора, сохраняя при этом весь остальной трафик для инструмента. Возможно, у вас есть целая подсеть, которую вы хотите скрыть от какой-либо другой системы; опять же, это легко удаляется на выбранном выходном порту. Фактически, один сетевой анализатор может обрабатывать некоторые каналы трафика в режиме реального времени, одновременно обрабатывая другой внеполосный трафик.
Дата публикации: 09 марта 2022 г.
