En Network Packet Broker (NPB) är en switchliknande nätverksenhet som varierar i storlek från bärbara enheter till 1U- och 2U-enhetschassin till stora chassin och kortsystem. Till skillnad från en switch ändrar inte NPB:n trafiken som flyter genom den på något sätt om inte uttryckligen instrueras. NPB kan ta emot trafik på ett eller flera gränssnitt, utföra vissa fördefinierade funktioner på den trafiken och sedan mata ut den till ett eller flera gränssnitt.
Dessa kallas ofta för portmappningar av typen any-to-any, many-to-any och any-to-many. Funktionerna som kan utföras varierar från enkla, som att vidarebefordra eller ignorera trafik, till komplexa, som att filtrera information ovanför lager 5 för att identifiera en viss session. Gränssnitt på NPB kan vara kopparkabelanslutningar, men är vanligtvis SFP/SFP+ och QSFP-ramar, vilket gör det möjligt för användare att använda en mängd olika media- och bandbreddshastigheter. NPB:s funktionsuppsättning bygger på principen att maximera effektiviteten hos nätverksutrustning, särskilt övervaknings-, analys- och säkerhetsverktyg.
Vilka funktioner erbjuder Network Packet Broker?
NPB:s funktioner är många och kan variera beroende på enhetsmärke och modell, även om alla paketagenter värda sitt salt vill ha en kärnuppsättning funktioner. De flesta NPB (den vanligaste NPB) fungerar på OSI-lager 2 till 4.
Generellt sett hittar du följande funktioner på NPB: omdirigering av trafik (eller specifika delar av den), trafikfiltrering, trafikreplikering, protokollstrippning, paketdelning (trunkering), start eller avslutande av olika nätverkstunnelprotokoll och lastbalansering för trafik. Som förväntat kan L2-4:s NPB filtrera VLAN, MPLS-etiketter, MAC-adresser (källa och mål), IP-adresser (källa och mål), TCP- och UDP-portar (källa och mål), och till och med TCP-flaggor, samt ICMP-, SCTP- och ARP-trafik. Detta är inte på något sätt en funktion som ska användas, utan ger snarare en uppfattning om hur NPB som fungerar på lager 2 till 4 kan separera och identifiera trafikundergrupper. Ett viktigt krav som kunder bör leta efter i NPB är ett icke-blockerande bakplan.
Nätverkspaketmäklare måste kunna hantera den fulla trafikgenomströmningen för varje port på enheten. I chassisystemet måste sammankopplingen med bakplanet också kunna hantera den fulla trafikbelastningen för de anslutna modulerna. Om NPB:n tappar paketet kommer dessa verktyg inte att ha en fullständig förståelse för nätverket.
Även om den stora majoriteten av NPB är baserad på ASIC eller FPGA, på grund av säkerheten i paketbehandlingsprestanda, kommer du att hitta många integrationer eller CPU:er acceptabla (via moduler). Mylinking™ Network Packet Brokers (NPB) är baserade på ASIC-lösningar. Detta är vanligtvis en funktion som ger flexibel bearbetning och kan därför inte göras enbart i hårdvara. Dessa inkluderar paketdeduplicering, tidsstämplar, SSL/TLS-dekryptering, nyckelordssökning och sökning efter reguljära uttryck. Det är viktigt att notera att dess funktionalitet beror på CPU-prestanda. (Till exempel kan sökningar efter reguljära uttryck med samma mönster ge mycket olika prestandaresultat beroende på trafiktyp, matchningshastighet och bandbredd), så det är inte lätt att avgöra före faktisk implementering.
Om CPU-beroende funktioner aktiveras blir de en begränsande faktor för NPB:ns totala prestanda. Tillkomsten av processorer och programmerbara switchchip, såsom Cavium Xpliant, Barefoot Tofino och Innovium Teralynx, låg också till grund för en utökad uppsättning funktioner för nästa generations nätverkspaketagenter. Dessa funktionella enheter kan hantera trafik över nivå 4 (ofta kallade L7-paketagenter). Bland de avancerade funktioner som nämns ovan är sökord och sökning efter reguljära uttryck bra exempel på nästa generations funktioner. Möjligheten att söka efter paketnyttolaster ger möjligheter att filtrera trafik på sessions- och applikationsnivå och ger finare kontroll över ett nätverk som utvecklas än L2-4.
Hur passar Network Packet Broker in i infrastrukturen?
NPB kan installeras i en nätverksinfrastruktur på två olika sätt:
1- Inline
2- Utanför bandet.
Varje metod har fördelar och nackdelar och möjliggör trafikmanipulation på sätt som andra metoder inte kan. Den inline nätverkspaketmäklaren har realtidsnätverkstrafik som passerar enheten på väg till sin destination. Detta ger möjlighet att manipulera trafik i realtid. Till exempel, när man lägger till, ändrar eller tar bort VLAN-taggar eller ändrar destinationens IP-adresser, kopieras trafiken till en andra länk. Som en inline-metod kan NPB också tillhandahålla redundans för andra inline-verktyg, såsom IDS, IPS eller brandväggar. NPB kan övervaka statusen för sådana enheter och dynamiskt omdirigera trafik till standbyläge vid ett fel.
Det ger stor flexibilitet i hur trafik bearbetas och replikeras till flera övervaknings- och säkerhetsenheter utan att påverka realtidsnätverket. Det ger också oöverträffad nätverksinsyn och säkerställer att alla enheter får en kopia av den trafik som behövs för att korrekt hantera sina uppgifter. Det säkerställer inte bara att dina övervaknings-, säkerhets- och analysverktyg får den trafik de behöver, utan också att ditt nätverk är säkert. Det säkerställer också att enheten inte förbrukar resurser på oönskad trafik. Kanske behöver din nätverksanalysator inte registrera säkerhetskopieringstrafik eftersom det tar upp värdefullt diskutrymme under säkerhetskopieringen. Dessa saker filtreras enkelt bort från analysatorn samtidigt som all annan trafik bevaras för verktyget. Kanske har du ett helt subnät som du vill hålla dolt från något annat system; återigen, detta tas enkelt bort på den valda utgångsporten. Faktum är att en enda NPB kan bearbeta vissa trafiklänkar inline samtidigt som annan out-of-band-trafik bearbetas.
Publiceringstid: 9 mars 2022
