Hva er Network Packet Broker og funksjoner i IT-infrastruktur?

Network Packet Broker (NPB) er en svitsjlignende nettverksenhet som varierer i størrelse fra bærbare enheter til 1U og 2U enhetsdeksler til store deksler og tavlesystemer. I motsetning til en svitsj, endrer ikke NPB trafikken som flyter gjennom den på noen måte med mindre det er eksplisitt instruert. NPB kan motta trafikk på ett eller flere grensesnitt, utføre noen forhåndsdefinerte funksjoner på den trafikken, og deretter sende den til ett eller flere grensesnitt.

Disse blir ofte referert til som enhver-til-enhver, mange-til-enhver og hvilken som helst-til-mange portkartlegginger. Funksjonene som kan utføres varierer fra enkle, som å videresende eller forkaste trafikk, til komplekse, som å filtrere informasjon over lag 5 for å identifisere en bestemt økt. Grensesnitt på NPB kan være kobberkabelforbindelser, men er vanligvis SFP/SFP+- og QSFP-rammer, som lar brukere bruke en rekke medier og båndbreddehastigheter. NPBs funksjonssett er bygget på prinsippet om å maksimere effektiviteten til nettverksutstyr, spesielt overvåking, analyse og sikkerhetsverktøy.

2019050603525011

Hvilke funksjoner tilbyr Network Packet Broker?

NPBs muligheter er mange og kan variere avhengig av merke og modell av enheten, selv om enhver pakkeagent som er verdt saltet vil ønske å ha et kjernesett med funksjoner. De fleste NPB (den vanligste NPB) fungerer ved OSI-lag 2 til 4.

Generelt kan du finne følgende funksjoner på NPB til L2-4: trafikk (eller spesifikke deler av den) omdirigering, trafikkfiltrering, trafikkreplikering, protokollstripping, pakkeskjæring (trunkering), start eller avslutning av ulike nettverkstunnelprotokoller, og lastbalansering for trafikk. Som forventet kan L2-4s NPB filtrere VLAN, MPLS-etiketter, MAC-adresser (kilde og mål), IP-adresser (kilde og mål), TCP- og UDP-porter (kilde og mål), og til og med TCP-flagg, samt ICMP, SCTP- og ARP-trafikk. Dette er på ingen måte en funksjon som skal brukes, men gir snarere en ide om hvordan NPB som opererer på lag 2 til 4 kan skille og identifisere trafikkundersett. Et sentralt krav som kunder bør se etter i NPB er et ikke-blokkerende bakplan.

Network Packet Broker må være i stand til å møte den fulle trafikkgjennomstrømningen til hver port på enheten. I chassissystemet skal sammenkoblingen med bakplanet også kunne møte den fulle trafikkbelastningen til de tilkoblede modulene. Hvis NPB slipper pakken, vil disse verktøyene ikke ha en fullstendig forståelse av nettverket.

Selv om det store flertallet av NPB er basert på ASIC eller FPGA, vil du finne mange integrasjoner eller CPU-er akseptable (via moduler), på grunn av sikkerheten for pakkebehandlingsytelse. Mylinking™ Network Packet Brokers (NPB) er basert på ASIC-løsning. Dette er vanligvis en funksjon som gir fleksibel behandling og kan derfor ikke gjøres rent maskinvare. Disse inkluderer pakkededuplisering, tidsstempler, SSL/TLS-dekryptering, nøkkelordsøk og regulære uttrykkssøk. Det er viktig å merke seg at funksjonaliteten avhenger av CPU-ytelsen. (For eksempel kan søk med regulære uttrykk med samme mønster gi svært forskjellige ytelsesresultater avhengig av trafikktype, samsvarsfrekvens og båndbredde), så det er ikke lett å fastslå før faktisk implementering.

shutterstock_

Hvis CPU-avhengige funksjoner er aktivert, blir de en begrensende faktor i den generelle ytelsen til NPB. Fremkomsten av prosessorer og programmerbare svitsjebrikker, som Cavium Xpliant, Barefoot Tofino og Innovium Teralynx, dannet også grunnlaget for et utvidet sett med muligheter for neste generasjons nettverkspakkeagenter. Disse funksjonelle enhetene kan håndtere trafikk over L4 (ofte referert til som L7-pakkeagenter). Blant de avanserte funksjonene som er nevnt ovenfor, er søkeord- og regulære uttrykkssøk gode eksempler på neste generasjons muligheter. Muligheten til å søke i pakkenyttelast gir muligheter til å filtrere trafikk på økt- og applikasjonsnivå, og gir finere kontroll over et nettverk i utvikling enn L2-4.

Hvordan passer Network Packet Broker inn i infrastrukturen?

NPB kan installeres i en nettverksinfrastruktur på to forskjellige måter:

1- Inline

2- Utenfor bandet.

Hver tilnærming har fordeler og ulemper og muliggjør trafikkmanipulering på måter som andre tilnærminger ikke kan. Den innebygde nettverkspakkemegleren har sanntidsnettverkstrafikk som krysser enheten på vei til destinasjonen. Dette gir muligheten til å manipulere trafikk i sanntid. For eksempel, når du legger til, endrer eller sletter VLAN-tagger eller endrer destinasjons-IP-adresser, kopieres trafikk til en annen kobling. Som en innebygd metode kan NPB også gi redundans for andre innebygde verktøy, som IDS, IPS eller brannmurer. NPB kan overvåke statusen til slike enheter og dynamisk omdirigere trafikk til hot standby i tilfelle feil.

Mylinking Inline Security NPB Bypass

Det gir stor fleksibilitet i hvordan trafikk behandles og replikeres til flere overvåkings- og sikkerhetsenheter uten å påvirke sanntidsnettverket. Det gir også enestående nettverkssynlighet og sikrer at alle enheter mottar en kopi av trafikken som trengs for å håndtere sitt ansvar på riktig måte. Det sikrer ikke bare at overvåkings-, sikkerhets- og analyseverktøyene dine får trafikken de trenger, men også at nettverket ditt er sikkert. Det sikrer også at enheten ikke bruker ressurser på uønsket trafikk. Kanskje trenger ikke nettverksanalysatoren å registrere backuptrafikk fordi den tar opp verdifull diskplass under sikkerhetskopieringen. Disse tingene filtreres enkelt ut av analysatoren samtidig som all annen trafikk for verktøyet bevares. Kanskje du har et helt undernett som du vil holde skjult for et annet system; igjen, dette fjernes enkelt på den valgte utgangsporten. Faktisk kan en enkelt NPB behandle noen trafikkkoblinger inline mens den behandler annen trafikk utenfor båndet.


Innleggstid: Mar-09-2022