Que é o Network Packet Broker e funcións na infraestrutura de TI?

Network Packet Broker (NPB) é un dispositivo de rede de conmutador que varía en tamaño desde dispositivos portátiles ata caixas de unidades de 1U e 2U ata estuches grandes e sistemas de placas. A diferenza dun interruptor, o NPB non cambia de ningún xeito o tráfico que circula por el a non ser que se indique expresamente. NPB pode recibir tráfico nunha ou máis interfaces, realizar algunhas funcións predefinidas nese tráfico e, a continuación, emitilo a unha ou máis interfaces.

A miúdo denomínanse mapas de portos de calquera a calquera, de moitos a calquera e de calquera a moitos. As funcións que se poden realizar van desde simples, como reenviar ou descartar tráfico, ata complexas, como filtrar información sobre a capa 5 para identificar unha sesión concreta. As interfaces en NPB poden ser conexións por cable de cobre, pero normalmente son marcos SFP/SFP + e QSFP, que permiten aos usuarios utilizar unha variedade de medios e velocidades de ancho de banda. O conxunto de funcións de NPB baséase no principio de maximizar a eficiencia dos equipos de rede, especialmente as ferramentas de vixilancia, análise e seguridade.

2019050603525011

Que funcións ofrece o Network Packet Broker?

As capacidades de NPB son numerosas e poden variar dependendo da marca e do modelo de dispositivo, aínda que calquera axente de paquetes que valga a pena quererá ter un conxunto básico de capacidades. A maioría das NPB (o NPB máis común) funcionan nas capas OSI 2 a 4.

En xeral, podes atopar as seguintes características no NPB de L2-4: redirección de tráfico (ou partes específicas do mesmo), filtrado de tráfico, replicación de tráfico, eliminación de protocolos, corte de paquetes (truncamento), inicio ou finalización de varios protocolos de túnel de rede, e equilibrio de carga para o tráfico. Como era de esperar, o NPB de L2-4 pode filtrar VLAN, etiquetas MPLS, enderezos MAC (fonte e destino), enderezos IP (fonte e destino), portos TCP e UDP (fonte e destino) e incluso bandeiras TCP, así como ICMP, Tráfico SCTP e ARP. Esta non é de ningún xeito unha característica a utilizar, senón que ofrece unha idea de como NPB que opera nas capas 2 a 4 pode separar e identificar subconxuntos de tráfico. Un requisito clave que os clientes deben buscar en NPB é un backplane sen bloqueo.

O intermediario de paquetes de rede debe ser capaz de satisfacer o rendemento total de tráfico de cada porto do dispositivo. No sistema de chasis, a interconexión co plano posterior tamén debe ser capaz de cubrir a carga de tráfico total dos módulos conectados. Se o NPB elimina o paquete, estas ferramentas non terán unha comprensión completa da rede.

Aínda que a gran maioría dos NPB están baseados en ASIC ou FPGA, debido á certeza do rendemento do procesamento de paquetes, atoparás moitas integracións ou CPU aceptables (a través de módulos). Mylinking™ Network Packet Brokers (NPB) baséase na solución ASIC. Esta é xeralmente unha característica que proporciona un procesamento flexible e, polo tanto, non se pode facer exclusivamente en hardware. Estes inclúen a deduplicación de paquetes, marcas de tempo, descifrado SSL/TLS, busca de palabras clave e busca de expresións regulares. É importante ter en conta que a súa funcionalidade depende do rendemento da CPU. (Por exemplo, as buscas de expresións regulares do mesmo patrón poden producir resultados de rendemento moi diferentes segundo o tipo de tráfico, a taxa de coincidencia e o ancho de banda), polo que non é doado determinalo antes da implementación real.

shutterstock_

Se se activan as funcións dependentes da CPU, convértense nun factor limitante no rendemento xeral do NPB. A chegada de CPU e chips de conmutación programables, como Cavium Xpliant, Barefoot Tofino e Innovium Teralynx, tamén constituíu a base dun conxunto ampliado de capacidades para axentes de paquetes de rede de próxima xeración. Estas unidades funcionais poden xestionar o tráfico superior a L4 como axentes de paquetes L7). Entre as funcións avanzadas mencionadas anteriormente, a busca por palabras clave e expresións regulares son bos exemplos de capacidades de próxima xeración. A capacidade de buscar cargas útiles de paquetes ofrece oportunidades para filtrar o tráfico a nivel de sesión e aplicación, e ofrece un control máis fino sobre unha rede en evolución que a L2-4.

Como encaixa Network Packet Broker na infraestrutura?

O NPB pódese instalar nunha infraestrutura de rede de dúas formas diferentes:

1- En liña

2- Fóra de banda.

Cada enfoque ten vantaxes e inconvenientes e permite a manipulación do tráfico dun xeito que outros enfoques non poden. O intermediario de paquetes de rede en liña ten tráfico de rede en tempo real que atravesa o dispositivo no seu camiño cara ao seu destino. Isto ofrece a oportunidade de manipular o tráfico en tempo real. Por exemplo, ao engadir, modificar ou eliminar etiquetas VLAN ou cambiar os enderezos IP de destino, o tráfico cópiase nunha segunda ligazón. Como método en liña, NPB tamén pode proporcionar redundancia para outras ferramentas en liña, como IDS, IPS ou cortalumes. NPB pode supervisar o estado destes dispositivos e redireccionar dinámicamente o tráfico ao modo de espera en quente en caso de falla.

Mylinking Inline Security NPB Bypass

Ofrece unha gran flexibilidade na forma en que o tráfico se procesa e replícase a varios dispositivos de vixilancia e seguridade sen afectar á rede en tempo real. Tamén ofrece unha visibilidade da rede sen precedentes e garante que todos os dispositivos reciban unha copia do tráfico necesario para xestionar correctamente as súas responsabilidades. Non só garante que as túas ferramentas de vixilancia, seguridade e análise obteñan o tráfico que necesitan, senón tamén que a túa rede estea segura. Tamén garante que o dispositivo non consuma recursos no tráfico non desexado. Quizais o teu analizador de rede non necesite rexistrar o tráfico de copia de seguranza porque ocupa un espazo valioso no disco durante a copia de seguridade. Estas cousas son facilmente filtradas do analizador mentres se preserva todo o outro tráfico para a ferramenta. Quizais teñas unha subrede enteira que queres manter oculta dalgún outro sistema; de novo, isto elimínase facilmente no porto de saída seleccionado. De feito, un só NPB pode procesar algunhas ligazóns de tráfico en liña mentres procesa outro tráfico fóra de banda.


Hora de publicación: Mar-09-2022