Un axente de paquetes de rede (NPB) é un dispositivo de rede tipo conmutador que varía en tamaño desde dispositivos portátiles ata caixas unitarias de 1U e 2U, pasando por caixas grandes e sistemas de placas. A diferenza dun conmutador, o NPB non modifica o tráfico que flúe a través del de ningún xeito a menos que se lle indique explicitamente. O NPB pode recibir tráfico nunha ou máis interfaces, realizar algunhas funcións predefinidas nese tráfico e, a seguir, envialo a unha ou máis interfaces.
A miúdo denomínanse mapeamentos de portos de calquera a calquera, moitos a calquera e calquera a moitos. As funcións que se poden realizar van desde sinxelas, como o reenvío ou descarte de tráfico, ata complexas, como filtrar información por riba da capa 5 para identificar unha sesión en particular. As interfaces en NPB poden ser conexións de cable de cobre, pero normalmente son tramas SFP/SFP+ e QSFP, que permiten aos usuarios usar unha variedade de medios e velocidades de ancho de banda. O conxunto de funcións de NPB baséase no principio de maximizar a eficiencia dos equipos de rede, en particular as ferramentas de monitorización, análise e seguridade.
Que funcións ofrece o Network Packet Broker?
As capacidades das NPB son numerosas e poden variar dependendo da marca e do modelo do dispositivo, aínda que calquera axente de paquetes que se precie quererá ter un conxunto básico de capacidades. A maioría das NPB (as máis comúns) funcionan nas capas OSI 2 a 4.
En xeral, pódense atopar as seguintes características no NPB de L2-4: redirección do tráfico (ou partes específicas del), filtrado do tráfico, replicación do tráfico, eliminación de protocolos, corte de paquetes (truncamento), inicio ou finalización de varios protocolos de túneles de rede e balanceo de carga para o tráfico. Como era de esperar, o NPB de L2-4 pode filtrar VLAN, etiquetas MPLS, enderezos MAC (orixe e destino), enderezos IP (orixe e destino), portos TCP e UDP (orixe e destino) e mesmo indicadores TCP, así como tráfico ICMP, SCTP e ARP. Esta non é en absoluto unha característica que se deba usar, senón que proporciona unha idea de como o NPB que funciona nas capas 2 a 4 pode separar e identificar subconxuntos de tráfico. Un requisito clave que os clientes deben buscar nun NPB é un backplane non bloqueante.
O axente de paquetes de rede debe ser capaz de xestionar o rendemento total do tráfico de cada porto do dispositivo. No sistema de chasis, a interconexión co backplane tamén debe ser capaz de xestionar a carga de tráfico total dos módulos conectados. Se o NPB descarta o paquete, estas ferramentas non terán unha comprensión completa da rede.
Aínda que a gran maioría dos NPB baséanse en ASIC ou FPGA, debido á certeza do rendemento do procesamento de paquetes, atoparás moitas integracións ou CPU aceptables (a través de módulos). Os Mylinking™ Network Packet Brokers (NPB) baséanse nunha solución ASIC. Esta é normalmente unha característica que proporciona un procesamento flexible e, polo tanto, non se pode facer unicamente no hardware. Entre elas inclúense a deduplicación de paquetes, as marcas de tempo, o descifrado SSL/TLS, a busca de palabras clave e a busca de expresións regulares. É importante ter en conta que a súa funcionalidade depende do rendemento da CPU. (Por exemplo, as buscas de expresións regulares do mesmo patrón poden producir resultados de rendemento moi diferentes dependendo do tipo de tráfico, a taxa de coincidencia e o ancho de banda), polo que non é doado determinalo antes da implementación real.
Se as funcións dependentes da CPU están activadas, convértense nun factor limitante no rendemento xeral do NPB. A chegada das CPU e dos chips de conmutación programables, como Cavium Xpliant, Barefoot Tofino e Innovium Teralynx, tamén formou a base dun conxunto ampliado de capacidades para os axentes de paquetes de rede de próxima xeración. Estas unidades funcionais poden xestionar o tráfico por riba de L4 (a miúdo denominados axentes de paquetes L7). Entre as funcións avanzadas mencionadas anteriormente, a busca por palabras clave e expresións regulares son bos exemplos das capacidades de próxima xeración. A capacidade de buscar cargas útiles de paquetes ofrece oportunidades para filtrar o tráfico nos niveis de sesión e aplicación, e proporciona un control máis preciso sobre unha rede en evolución que o L2-4.
Como encaixa Network Packet Broker na infraestrutura?
A NPB pódese instalar nunha infraestrutura de rede de dúas maneiras diferentes:
1- En liña
2- Fóra de banda.
Cada enfoque ten vantaxes e desvantaxes e permite a manipulación do tráfico de xeitos que outros enfoques non poden. O intermediario de paquetes de rede en liña ten tráfico de rede en tempo real que atravesa o dispositivo no seu camiño cara ao seu destino. Isto ofrece a oportunidade de manipular o tráfico en tempo real. Por exemplo, ao engadir, modificar ou eliminar etiquetas VLAN ou cambiar enderezos IP de destino, o tráfico cópiase a unha segunda ligazón. Como método en liña, NPB tamén pode proporcionar redundancia para outras ferramentas en liña, como IDS, IPS ou cortafuegos. NPB pode supervisar o estado destes dispositivos e redirixir dinamicamente o tráfico a modo de espera quente en caso de fallo.
Ofrece unha gran flexibilidade na forma en que o tráfico se procesa e se replica en varios dispositivos de monitorización e seguridade sen afectar á rede en tempo real. Tamén proporciona unha visibilidade da rede sen precedentes e garante que todos os dispositivos reciban unha copia do tráfico necesario para xestionar correctamente as súas responsabilidades. Non só garante que as túas ferramentas de monitorización, seguridade e análise reciban o tráfico que necesitan, senón tamén que a túa rede sexa segura. Tamén garante que o dispositivo non consuma recursos en tráfico non desexado. Quizais o teu analizador de rede non precise rexistrar o tráfico de copia de seguridade porque ocupa un valioso espazo en disco durante a copia de seguridade. Estas cousas fíltranse facilmente do analizador mentres se conserva todo o resto do tráfico para a ferramenta. Quizais teñas unha subrede enteira que queiras manter oculta doutro sistema; de novo, isto elimínase facilmente no porto de saída seleccionado. De feito, un único NPB pode procesar algunhas ligazóns de tráfico en liña mentres procesa outro tráfico fóra de banda.
Data de publicación: 09-03-2022
