Network Packet Broker (NPB) é un interruptor como un dispositivo de rede que vai de tamaño desde dispositivos portátiles a casos de unidades 1U e 2U a grandes casos e sistemas de placas. A diferenza dun conmutador, o NPB non cambia o tráfico que flúe por el de ningún xeito, a menos que se instrúe explicitamente. NPB pode recibir tráfico nunha ou varias interfaces, realizar algunhas funcións predefinidas nese tráfico e, a continuación, envialo a unha ou varias interfaces.
A miúdo chámaselles como mapeamentos de portos de calquera, de moitos, e calquera cousa. As funcións que se poden realizar van dende sinxelas, como reenviar ou descartar o tráfico, ata complexos, como filtrar información por encima da capa 5 para identificar unha sesión particular. As interfaces en NPB poden ser conexións de cable de cobre, pero normalmente son cadros SFP/SFP + e QSFP, que permiten aos usuarios usar unha variedade de velocidades de medio e ancho de banda. O conxunto de funcións de NPB está baseado no principio de maximizar a eficiencia dos equipos de rede, especialmente o seguimento, a análise e as ferramentas de seguridade.
Que funcións ofrece o corredor de paquetes de rede?
As capacidades de NPB son numerosas e poden variar segundo a marca e o modelo de dispositivo, aínda que calquera axente de paquetes que paga a súa sal quererá ter un conxunto fundamental de capacidades. A maioría das NPB (o NPB máis comúns) funciona nas capas OSI 2 a 4.
En xeral, podes atopar as seguintes funcións no NPB de L2-4: Redirección de tráfico (ou partes específicas), filtrado de tráfico, replicación de tráfico, desposuído de protocolos, cortado de paquetes (truncamento), inicio ou terminación de varios protocolos de túnel de rede e equilibrio de carga para o tráfico. Como era de esperar, o NPB de L2-4 pode filtrar VLAN, etiquetas MPLS, enderezos MAC (fonte e destino), enderezos IP (fonte e obxectivo), portos TCP e UDP (fonte e destino), e incluso bandeiras TCP, así como ICMP, SCTP e tráfico ARP. Isto non é en absoluto unha característica que se debe empregar, senón que ofrece unha idea de como o NPB que funciona nas capas 2 a 4 pode separar e identificar subconxuntos de tráfico. Un requisito clave que os clientes deben buscar en NPB é un plano posterior non bloqueador.
O corredor de paquetes de rede ten que poder cumprir o rendemento completo de tráfico de cada porto do dispositivo. No sistema de chasis, a interconexión co plano posterior tamén debe ser capaz de cumprir a carga completa de tráfico dos módulos conectados. Se o NPB cae o paquete, estas ferramentas non terán unha comprensión completa da rede.
Aínda que a gran maioría de NPB está baseada en ASIC ou FPGA, debido á certeza do rendemento de procesamento de paquetes, atoparás moitas integracións ou CPU aceptables (a través de módulos). Os corredores de paquetes de rede MyLinking ™ (NPB) están baseados na solución ASIC. Esta é normalmente unha característica que proporciona un procesamento flexible e, polo tanto, non se pode facer puramente en hardware. Estes inclúen deduplicación de paquetes, timestamps, descifrado SSL/TLS, busca de palabras clave e busca de expresión regular. É importante ter en conta que a súa funcionalidade depende do rendemento da CPU. (Por exemplo, as buscas regulares de expresión do mesmo patrón poden producir resultados de rendemento moi diferentes dependendo do tipo de tráfico, da taxa de correspondencia e do ancho de banda), polo que non é fácil determinar antes da implementación real.
Se as características dependentes da CPU están habilitadas, convértense nun factor limitante no rendemento global do NPB. A chegada de CPUs e chips de conmutación programable, como Cavium XPliant, descalzos Tofino e Innovium Teralynx, tamén formaron a base dun conxunto de capacidades ampliado para axentes de paquetes de rede de nova xeración, estas unidades funcionais poden xestionar o tráfico por encima de L4 (a miúdo denominados axentes de paquetes L7). Entre as características avanzadas mencionadas anteriormente, as palabras clave e a busca de expresión regular están os bos exemplos de capacidades de última xeración. A capacidade de busca de paquetes de paquetes ofrece oportunidades para filtrar o tráfico nos niveis de sesión e aplicación e proporciona un control máis fino sobre unha rede en evolución que a L2-4.
Como se encaixa o corredor de paquetes de rede na infraestrutura?
O NPB pódese instalar nunha infraestrutura de rede de dous xeitos diferentes:
1- en liña
2- Fóra de banda.
Cada enfoque ten vantaxes e desvantaxes e permite a manipulación do tráfico de formas que outros enfoques non poden. O corredor de paquetes de rede en liña ten tráfico de rede en tempo real que percorre o dispositivo no seu destino. Isto ofrece a oportunidade de manipular o tráfico en tempo real. Por exemplo, ao engadir, modificar ou eliminar etiquetas VLAN ou cambiar as direccións IP de destino, o tráfico copíase a unha segunda ligazón. Como método en liña, NPB tamén pode proporcionar redundancia para outras ferramentas en liña, como IDS, IPS ou firewalls. NPB pode controlar o estado de tales dispositivos e volver a dar un tráfico dinámico para o standby quente en caso de fallo.
Ofrece unha gran flexibilidade na forma en que o tráfico é procesado e replicado a múltiples dispositivos de seguimento e seguridade sen afectar á rede en tempo real. Tamén ofrece visibilidade de rede sen precedentes e asegura que todos os dispositivos reciban unha copia do tráfico necesario para xestionar correctamente as súas responsabilidades. Non só garante que as súas ferramentas de seguimento, seguridade e análise obteñan o tráfico que precisan, senón tamén que a súa rede estea segura. Tamén garante que o dispositivo non consume recursos en tráfico non desexado. Quizais o seu analizador de rede non precisa rexistrar o tráfico de copia de seguridade porque ocupa un espazo de disco valioso durante a copia de seguridade. Estas cousas son facilmente filtradas do analizador, conservando todo o outro tráfico para a ferramenta. Quizais teña unha subred enteira que desexa manter oculto nalgún outro sistema; De novo, elimínase facilmente no porto de saída seleccionado. De feito, un único NPB pode procesar algúns enlaces de tráfico en liña mentres procesan outro tráfico fóra de banda.
Tempo de publicación: MAR-09-2022
