Un broker de paquets de xarxa (NPB) és un dispositiu de xarxa semblant a un commutador que varia en mida des de dispositius portàtils fins a carcasses d'unitat d'1U i 2U, passant per carcasses grans i sistemes de plaques. A diferència d'un commutador, el NPB no canvia el trànsit que hi flueix de cap manera, tret que se li indiqui explícitament. El NPB pot rebre trànsit en una o més interfícies, realitzar algunes funcions predefinides sobre aquest trànsit i, a continuació, enviar-lo a una o més interfícies.
Sovint es coneixen com a assignacions de ports any-to-any, many-to-any i any-to-many. Les funcions que es poden dur a terme van des de simples, com ara reenviar o descartar trànsit, fins a complexes, com ara filtrar informació per sobre de la capa 5 per identificar una sessió en particular. Les interfícies de NPB poden ser connexions de cable de coure, però normalment són trames SFP/SFP+ i QSFP, que permeten als usuaris utilitzar una varietat de velocitats de suports i amplada de banda. El conjunt de funcions de NPB es basa en el principi de maximitzar l'eficiència dels equips de xarxa, en particular les eines de monitorització, anàlisi i seguretat.
Quines funcions ofereix el Network Packet Broker?
Les capacitats de les NPB són nombroses i poden variar segons la marca i el model del dispositiu, tot i que qualsevol agent de paquets que es preciï voldrà tenir un conjunt bàsic de capacitats. La majoria de les NPB (les més comunes) funcionen a les capes OSI 2 a 4.
En general, podeu trobar les funcions següents a la NPB de L2-4: redirecció del trànsit (o parts específiques d'aquest), filtratge del trànsit, replicació del trànsit, eliminació de protocols, segmentació de paquets (truncament), inici o finalització de diversos protocols de túnels de xarxa i balanceig de càrrega per al trànsit. Com s'esperava, la NPB de L2-4 pot filtrar VLAN, etiquetes MPLS, adreces MAC (origen i destinació), adreces IP (origen i destinació), ports TCP i UDP (origen i destinació) i fins i tot indicadors TCP, així com trànsit ICMP, SCTP i ARP. Aquesta no és en absolut una funció que s'hagi d'utilitzar, sinó que proporciona una idea de com la NPB que funciona a les capes 2 a 4 pot separar i identificar subconjunts de trànsit. Un requisit clau que els clients haurien de buscar en una NPB és una placa posterior no bloquejant.
El broker de paquets de xarxa ha de ser capaç de satisfer tot el rendiment del trànsit de cada port del dispositiu. En el sistema de xassís, la interconnexió amb la placa posterior també ha de ser capaç de satisfer tota la càrrega de trànsit dels mòduls connectats. Si el broker de paquets de xarxa descarta el paquet, aquestes eines no tindran una comprensió completa de la xarxa.
Tot i que la gran majoria de NPB es basa en ASIC o FPGA, a causa de la certesa del rendiment del processament de paquets, trobareu moltes integracions o CPU acceptables (mitjançant mòduls). Els Mylinking™ Network Packet Brokers (NPB) es basen en una solució ASIC. Aquesta sol ser una característica que proporciona un processament flexible i, per tant, no es pot fer purament en maquinari. Aquests inclouen la deduplicació de paquets, les marques de temps, el desxifratge SSL/TLS, la cerca de paraules clau i la cerca d'expressions regulars. És important tenir en compte que la seva funcionalitat depèn del rendiment de la CPU. (Per exemple, les cerques d'expressions regulars del mateix patró poden produir resultats de rendiment molt diferents segons el tipus de trànsit, la taxa de coincidència i l'amplada de banda), per la qual cosa no és fàcil de determinar abans de la implementació real.
Si les funcions dependents de la CPU estan habilitades, es converteixen en un factor limitant en el rendiment general de la NPB. L'arribada de les CPU i els xips de commutació programables, com ara Cavium Xpliant, Barefoot Tofino i Innovium Teralynx, també va formar la base d'un conjunt ampliat de capacitats per als agents de paquets de xarxa de nova generació. Aquestes unitats funcionals poden gestionar el trànsit per sobre de L4 (sovint anomenats agents de paquets L7). Entre les funcions avançades esmentades anteriorment, la cerca de paraules clau i expressions regulars són bons exemples de capacitats de nova generació. La capacitat de cercar càrregues útils de paquets ofereix oportunitats per filtrar el trànsit a nivell de sessió i aplicació, i proporciona un control més precís sobre una xarxa en evolució que la L2-4.
Com s'integra Network Packet Broker a la infraestructura?
L'NPB es pot instal·lar en una infraestructura de xarxa de dues maneres diferents:
1- En línia
2- Fora de banda.
Cada mètode té avantatges i desavantatges i permet la manipulació del trànsit de maneres que altres mètodes no poden. El broker de paquets de xarxa en línia té trànsit de xarxa en temps real que travessa el dispositiu en el seu camí cap a la seva destinació. Això ofereix l'oportunitat de manipular el trànsit en temps real. Per exemple, en afegir, modificar o suprimir etiquetes VLAN o canviar adreces IP de destinació, el trànsit es copia a un segon enllaç. Com a mètode en línia, NPB també pot proporcionar redundància per a altres eines en línia, com ara IDS, IPS o tallafocs. NPB pot supervisar l'estat d'aquests dispositius i redirigir dinàmicament el trànsit a mode de reserva en calent en cas d'error.
Proporciona una gran flexibilitat en la manera com es processa i es replica el trànsit a múltiples dispositius de monitorització i seguretat sense afectar la xarxa en temps real. També proporciona una visibilitat de xarxa sense precedents i garanteix que tots els dispositius rebin una còpia del trànsit necessari per gestionar correctament les seves responsabilitats. No només garanteix que les vostres eines de monitorització, seguretat i anàlisi rebin el trànsit que necessiten, sinó també que la vostra xarxa sigui segura. També garanteix que el dispositiu no consumeixi recursos en trànsit no desitjat. Potser el vostre analitzador de xarxa no necessita registrar el trànsit de còpia de seguretat perquè ocupa un valuós espai en disc durant la còpia de seguretat. Aquestes coses es filtren fàcilment de l'analitzador mentre es conserva tot el trànsit restant per a l'eina. Potser teniu una subxarxa sencera que voleu mantenir oculta d'algun altre sistema; de nou, això s'elimina fàcilment al port de sortida seleccionat. De fet, un sol NPB pot processar alguns enllaços de trànsit en línia mentre processa altre trànsit fora de banda.
Data de publicació: 09 de març de 2022
