En Network Packet Broker (NPB) er en svitsjlignende nettverksenhet som varierer i størrelse fra bærbare enheter til 1U- og 2U-enhetskabinetter til store kabinetter og kortsystemer. I motsetning til en svitsj endrer ikke NPB trafikken som flyter gjennom den på noen måte med mindre det er eksplisitt instruert. NPB kan motta trafikk på ett eller flere grensesnitt, utføre noen forhåndsdefinerte funksjoner på den trafikken, og deretter sende den ut til ett eller flere grensesnitt.
Disse blir ofte referert til som porttilordninger av typen «any-to-any», «many-to-any» og «any-to-many». Funksjonene som kan utføres varierer fra enkle, som å videresende eller forkaste trafikk, til komplekse, som å filtrere informasjon over lag 5 for å identifisere en bestemt økt. Grensesnitt på NPB kan være kobberkabelforbindelser, men er vanligvis SFP/SFP+ og QSFP-rammer, som lar brukere bruke en rekke medie- og båndbreddehastigheter. NPBs funksjonssett er bygget på prinsippet om å maksimere effektiviteten til nettverksutstyr, spesielt overvåkings-, analyse- og sikkerhetsverktøy.
Hvilke funksjoner tilbyr Network Packet Broker?
NPBs funksjoner er mange og kan variere avhengig av enhetsmerke og -modell, selv om enhver pakkeagent verdt saltet sitt vil ønske å ha et kjernesett med funksjoner. De fleste NPB (de vanligste NPB-ene) fungerer på OSI-lag 2 til 4.
Generelt sett finner du følgende funksjoner på NPB-en til L2-4: omdirigering av trafikk (eller spesifikke deler av den), trafikkfiltrering, trafikkreplikering, protokollstripping, pakkeslicing (trunkering), start eller terminering av ulike nettverkstunnelprotokoller og lastbalansering for trafikk. Som forventet kan L2-4s NPB filtrere VLAN, MPLS-etiketter, MAC-adresser (kilde og mål), IP-adresser (kilde og mål), TCP- og UDP-porter (kilde og mål), og til og med TCP-flagg, samt ICMP-, SCTP- og ARP-trafikk. Dette er på ingen måte en funksjon som skal brukes, men gir snarere en idé om hvordan NPB som opererer på lag 2 til 4 kan skille og identifisere trafikkundersett. Et viktig krav som kunder bør se etter i NPB er et ikke-blokkerende bakplan.
Nettverkspakkemeglere må kunne håndtere full trafikkgjennomstrømning for hver port på enheten. I chassissystemet må sammenkoblingen med bakplanet også kunne håndtere full trafikkbelastning for de tilkoblede modulene. Hvis NPB mister pakken, vil ikke disse verktøyene ha full forståelse av nettverket.
Selv om de aller fleste NPB-er er basert på ASIC eller FPGA, vil du finne mange integrasjoner eller CPU-er akseptable (via moduler) på grunn av sikkerheten i pakkebehandlingsytelsen. Mylinking™ Network Packet Brokers (NPB) er basert på ASIC-løsninger. Dette er vanligvis en funksjon som gir fleksibel behandling og kan derfor ikke gjøres utelukkende i maskinvare. Disse inkluderer pakkededuplisering, tidsstempler, SSL/TLS-dekryptering, nøkkelordsøk og søk etter regulære uttrykk. Det er viktig å merke seg at funksjonaliteten avhenger av CPU-ytelsen. (For eksempel kan søk etter regulære uttrykk med samme mønster gi svært forskjellige ytelsesresultater avhengig av trafikktype, samsvarshastighet og båndbredde), så det er ikke lett å avgjøre før faktisk implementering.
Hvis CPU-avhengige funksjoner aktiveres, blir de en begrensende faktor for den generelle ytelsen til NPB. Fremveksten av CPUer og programmerbare svitsjebrikker, som Cavium Xpliant, Barefoot Tofino og Innovium Teralynx, dannet også grunnlaget for et utvidet sett med muligheter for neste generasjons nettverkspakkeagenter. Disse funksjonelle enhetene kan håndtere trafikk over L4 (ofte referert til som L7-pakkeagenter). Blant de avanserte funksjonene nevnt ovenfor, er nøkkelord- og regulære uttrykksøk gode eksempler på neste generasjons muligheter. Muligheten til å søke i pakkenyttelaster gir muligheter til å filtrere trafikk på sesjons- og applikasjonsnivå, og gir finere kontroll over et nettverk i utvikling enn L2-4.
Hvordan passer Network Packet Broker inn i infrastrukturen?
NPB-en kan installeres i en nettverksinfrastruktur på to forskjellige måter:
1- Innebygd
2- Utenfor båndet.
Hver tilnærming har fordeler og ulemper og muliggjør trafikkmanipulering på måter som andre tilnærminger ikke kan. Den innebygde nettverkspakkemegleren har sanntids nettverkstrafikk som krysser enheten på vei til destinasjonen. Dette gir muligheten til å manipulere trafikk i sanntid. For eksempel, når du legger til, endrer eller sletter VLAN-tagger eller endrer destinasjons-IP-adresser, kopieres trafikken til en andre lenke. Som en innebygd metode kan NPB også gi redundans for andre innebygde verktøy, for eksempel IDS, IPS eller brannmurer. NPB kan overvåke statusen til slike enheter og dynamisk omdirigere trafikk til varm standby i tilfelle en feil.
Det gir stor fleksibilitet i hvordan trafikk behandles og replikeres til flere overvåkings- og sikkerhetsenheter uten å påvirke sanntidsnettverket. Det gir også enestående nettverkssynlighet og sikrer at alle enheter mottar en kopi av trafikken som er nødvendig for å håndtere sine oppgaver på riktig måte. Det sikrer ikke bare at overvåkings-, sikkerhets- og analyseverktøyene dine får trafikken de trenger, men også at nettverket ditt er sikkert. Det sikrer også at enheten ikke bruker ressurser på uønsket trafikk. Kanskje nettverksanalysatoren din ikke trenger å registrere sikkerhetskopieringstrafikk fordi den tar opp verdifull diskplass under sikkerhetskopieringen. Disse tingene filtreres enkelt ut av analysatoren samtidig som all annen trafikk bevares for verktøyet. Kanskje du har et helt delnett som du vil holde skjult for et annet system; igjen, dette fjernes enkelt på den valgte utgangsporten. Faktisk kan en enkelt NPB behandle noen trafikklenker inline mens den behandler annen trafikk utenfor båndet.
Publisert: 09.03.2022
