Network Packet Broker (NPB) är en switchliknande nätverksenhet som varierar i storlek från bärbara enheter till 1U och 2U enhetsfodral till stora fodral och kortsystem. Till skillnad från en växel, ändrar NPB inte trafiken som flyter genom den på något sätt om det inte uttryckligen instrueras. NPB kan ta emot trafik på ett eller flera gränssnitt, utföra vissa fördefinierade funktioner på den trafiken och sedan mata ut den till ett eller flera gränssnitt.
Dessa hänvisas ofta till som alla-till-alla, många-till-alla och valfri-till-många portmappningar. Funktionerna som kan utföras sträcker sig från enkla, som att vidarebefordra eller kassera trafik, till komplexa, som att filtrera information ovanför lager 5 för att identifiera en viss session. Gränssnitt på NPB kan vara kopparkabelanslutningar, men är vanligtvis SFP/SFP+- och QSFP-ramar, som tillåter användare att använda en mängd olika media- och bandbreddshastigheter. NPB:s funktionsuppsättning bygger på principen att maximera effektiviteten hos nätverksutrustning, särskilt övervaknings-, analys- och säkerhetsverktyg.
Vilka funktioner tillhandahåller Network Packet Broker?
NPB:s möjligheter är många och kan variera beroende på märke och modell av enheten, även om alla paketagenter som är värda sitt salt kommer att vilja ha en kärnuppsättning av kapacitet. De flesta NPB (den vanligaste NPB) fungerar på OSI-lager 2 till 4.
I allmänhet kan du hitta följande funktioner på NPB för L2-4: trafik (eller specifika delar av den) omdirigering, trafikfiltrering, trafikreplikering, protokollstrippning, paketdelning (trunkering), start eller avslutning av olika nätverkstunnelprotokoll, och lastbalansering för trafik. Som förväntat kan L2-4:s NPB filtrera VLAN, MPLS-etiketter, MAC-adresser (källa och mål), IP-adresser (källa och mål), TCP- och UDP-portar (källa och mål), och även TCP-flaggor, såväl som ICMP, SCTP- och ARP-trafik. Detta är inte på något sätt en funktion som ska användas, utan ger snarare en uppfattning om hur NPB som arbetar på lager 2 till 4 kan separera och identifiera trafikundergrupper. Ett nyckelkrav som kunder bör leta efter i NPB är ett icke-blockerande bakplan.
Nätverkspaketmäklare måste kunna möta den fulla trafikgenomströmningen för varje port på enheten. I chassisystemet måste även sammankopplingen med bakplanet klara de anslutna modulernas fulla trafikbelastning. Om NPB tappar paketet kommer dessa verktyg inte att ha en fullständig förståelse för nätverket.
Även om den stora majoriteten av NPB är baserad på ASIC eller FPGA, på grund av säkerheten för paketbehandlingsprestanda, kommer du att finna många integrationer eller CPU:er acceptabla (via moduler). Mylinking™ Network Packet Brokers (NPB) är baserade på ASIC-lösning. Detta är vanligtvis en funktion som ger flexibel bearbetning och därför inte kan göras enbart i hårdvara. Dessa inkluderar paketdeduplicering, tidsstämplar, SSL/TLS-dekryptering, nyckelordssökning och reguljära uttryckssökningar. Det är viktigt att notera att dess funktionalitet beror på CPU-prestanda. (Till exempel kan sökningar med reguljära uttryck med samma mönster ge mycket olika prestandaresultat beroende på trafiktyp, matchningshastighet och bandbredd), så det är inte lätt att avgöra innan den faktiska implementeringen.
Om CPU-beroende funktioner är aktiverade blir de en begränsande faktor för NPB:s totala prestanda. Tillkomsten av processorer och programmerbara switchchips, såsom Cavium Xpliant, Barefoot Tofino och Innovium Teralynx, utgjorde också grunden för en utökad uppsättning möjligheter för nästa generations nätverkspaketagenter. Dessa funktionella enheter kan hantera trafik över L4 (ofta hänvisad till som L7-paketagenter). Bland de avancerade funktionerna som nämns ovan är sökord och reguljära uttryck goda exempel på nästa generations funktioner. Möjligheten att söka paketnyttolaster ger möjligheter att filtrera trafik på sessions- och applikationsnivåer, och ger finare kontroll över ett nätverk under utveckling än L2-4.
Hur passar Network Packet Broker in i infrastrukturen?
NPB kan installeras i en nätverksinfrastruktur på två olika sätt:
1- Inline
2- Utanför bandet.
Varje tillvägagångssätt har för- och nackdelar och möjliggör trafikmanipulation på sätt som andra tillvägagångssätt inte kan. Den inbyggda nätverkspaketmäklaren har nätverkstrafik i realtid som passerar enheten på väg till sin destination. Detta ger möjlighet att manipulera trafiken i realtid. Till exempel, när du lägger till, ändrar eller tar bort VLAN-taggar eller ändrar destinations-IP-adresser, kopieras trafik till en andra länk. Som en inline-metod kan NPB även tillhandahålla redundans för andra inline-verktyg, såsom IDS, IPS eller brandväggar. NPB kan övervaka statusen för sådana enheter och dynamiskt dirigera om trafik till hot standby i händelse av ett fel.
Det ger stor flexibilitet i hur trafik bearbetas och replikeras till flera övervaknings- och säkerhetsenheter utan att påverka realtidsnätverket. Det ger också oöverträffad nätverkssynlighet och säkerställer att alla enheter får en kopia av den trafik som behövs för att korrekt hantera sina ansvarsområden. Det säkerställer inte bara att dina övervaknings-, säkerhets- och analysverktyg får den trafik de behöver, utan också att ditt nätverk är säkert. Det säkerställer också att enheten inte förbrukar resurser på oönskad trafik. Din nätverksanalysator behöver kanske inte spela in säkerhetskopieringstrafik eftersom den tar upp värdefullt diskutrymme under säkerhetskopieringen. Dessa saker filtreras enkelt bort från analysatorn samtidigt som all annan trafik för verktyget bevaras. Kanske har du ett helt undernät som du vill hålla dold från något annat system; återigen tas detta enkelt bort på den valda utgångsporten. Faktum är att en enda NPB kan bearbeta vissa trafiklänkar inline samtidigt som annan out-of-band-trafik bearbetas.
Posttid: 2022-09-09