Què és el Network Packet Broker i les funcions a la infraestructura de TI?

Network Packet Broker (NPB) és un commutador com un dispositiu de xarxa que varia des de dispositius portàtils fins a caixes d'1U i 2U fins a caixes grans i sistemes de placa. A diferència d'un commutador, l'NPB no modifica el trànsit que hi circula de cap manera, tret que s'indiqui explícitament. NPB pot rebre trànsit en una o més interfícies, realitzar algunes funcions predefinides en aquest trànsit i després enviar-lo a una o més interfícies.

Sovint s'anomena mapes de ports de qualsevol a qualsevol, de molts a qualsevol i de qualsevol a molts. Les funcions que es poden dur a terme van des de simples, com reenviar o descartar trànsit, fins a complexes, com filtrar informació per sobre de la capa 5 per identificar una sessió concreta. Les interfícies de NPB poden ser connexions de cable de coure, però normalment són trames SFP/SFP + i QSFP, que permeten als usuaris utilitzar diversos mitjans i velocitats d'ample de banda. El conjunt de funcions de NPB es basa en el principi de maximitzar l'eficiència dels equips de xarxa, especialment les eines de monitorització, anàlisi i seguretat.

2019050603525011

Quines funcions ofereix el Network Packet Broker?

Les capacitats de NPB són nombroses i poden variar segons la marca i el model del dispositiu, tot i que qualsevol agent de paquets que valgui la pena voldrà tenir un conjunt bàsic de capacitats. La majoria de NPB (el NPB més comú) funciona a les capes OSI 2 a 4.

En general, podeu trobar les funcions següents a l'NPB de L2-4: redirecció del trànsit (o parts específiques d'aquest), filtratge de trànsit, replicació del trànsit, eliminació de protocols, segmentació de paquets (truncament), inici o finalització de diversos protocols de túnel de xarxa, i equilibri de càrrega per al trànsit. Com era d'esperar, el NPB de L2-4 pot filtrar VLAN, etiquetes MPLS, adreces MAC (origen i destinació), adreces IP (font i destinació), ports TCP i UDP (font i destinació) i fins i tot senyals TCP, així com ICMP, Trànsit SCTP i ARP. Aquesta no és de cap manera una característica que s'ha d'utilitzar, sinó que proporciona una idea de com NPB que opera a les capes 2 a 4 pot separar i identificar subconjunts de trànsit. Un requisit clau que els clients haurien de buscar a NPB és un pla posterior sense bloqueig.

El broker de paquets de xarxa ha de poder satisfer el rendiment total del trànsit de cada port del dispositiu. En el sistema de xassís, la interconnexió amb el pla posterior també ha de poder satisfer la càrrega de trànsit total dels mòduls connectats. Si l'NPB deixa caure el paquet, aquestes eines no tindran una comprensió completa de la xarxa.

Tot i que la gran majoria de NPB es basa en ASIC o FPGA, a causa de la certesa del rendiment del processament de paquets, trobareu moltes integracions o CPU acceptables (mitjançant mòduls). Els corredors de paquets de xarxa Mylinking™ (NPB) es basen en la solució ASIC. Aquesta és generalment una característica que proporciona un processament flexible i, per tant, no es pot fer només en maquinari. Aquests inclouen la deduplicació de paquets, les marques de temps, el desxifrat SSL/TLS, la cerca de paraules clau i la cerca d'expressions regulars. És important tenir en compte que la seva funcionalitat depèn del rendiment de la CPU. (Per exemple, les cerques d'expressions regulars del mateix patró poden produir resultats de rendiment molt diferents segons el tipus de trànsit, la velocitat de concordança i l'ample de banda), de manera que no és fàcil determinar-ho abans de la implementació real.

shutterstock_

Si s'activen les funcions que depenen de la CPU, es converteixen en un factor limitant en el rendiment general de la NPB. L'arribada de CPU i xips de commutació programables, com Cavium Xpliant, Barefoot Tofino i Innovium Teralynx, també van formar la base d'un conjunt ampliat de capacitats per als agents de paquets de xarxa de nova generació. Aquestes unitats funcionals poden gestionar trànsit per sobre de L4 (sovint esmentat com a agents de paquets L7). Entre les funcions avançades esmentades anteriorment, la cerca de paraules clau i expressions regulars són bons exemples de les capacitats de la propera generació. La capacitat de cercar càrregues útils de paquets ofereix oportunitats per filtrar el trànsit als nivells de sessió i d'aplicació, i proporciona un control més fi sobre una xarxa en evolució que la L2-4.

Com s'adapta Network Packet Broker a la infraestructura?

El NPB es pot instal·lar en una infraestructura de xarxa de dues maneres diferents:

1- En línia

2- Fora de banda.

Cada enfocament té avantatges i desavantatges i permet la manipulació del trànsit d'una manera que altres enfocaments no poden. El corredor de paquets de xarxa en línia té trànsit de xarxa en temps real que travessa el dispositiu en el seu camí cap a la seva destinació. Això ofereix l'oportunitat de manipular el trànsit en temps real. Per exemple, en afegir, modificar o suprimir etiquetes VLAN o canviar les adreces IP de destinació, el trànsit es copia a un segon enllaç. Com a mètode en línia, NPB també pot proporcionar redundància per a altres eines en línia, com ara IDS, IPS o tallafocs. NPB pot supervisar l'estat d'aquests dispositius i redirigir dinàmicament el trànsit a l'espera en calent en cas d'error.

Mylinking Inline Security NPB Bypass

Proporciona una gran flexibilitat en com es processa el trànsit i es replica a diversos dispositius de control i seguretat sense afectar la xarxa en temps real. També ofereix una visibilitat de la xarxa sense precedents i assegura que tots els dispositius rebin una còpia del trànsit necessari per gestionar correctament les seves responsabilitats. No només garanteix que les vostres eines de supervisió, seguretat i anàlisi obtinguin el trànsit que necessiten, sinó també que la vostra xarxa sigui segura. També garanteix que el dispositiu no consumeixi recursos en trànsit no desitjat. Potser el vostre analitzador de xarxa no necessita registrar el trànsit de còpia de seguretat perquè ocupa un valuós espai al disc durant la còpia de seguretat. Aquestes coses es filtren fàcilment de l'analitzador alhora que es preserva tot el trànsit de l'eina. Potser teniu una subxarxa sencera que voleu mantenir oculta d'algun altre sistema; de nou, això s'elimina fàcilment al port de sortida seleccionat. De fet, un únic NPB pot processar alguns enllaços de trànsit en línia mentre processa un altre trànsit fora de banda.


Hora de publicació: Mar-09-2022