En Network Packet Broker (NPB) er en switch-lignende netværksenhed, der varierer i størrelse fra bærbare enheder til 1U- og 2U-kabinetter til store kabinetter og printkortsystemer. I modsætning til en switch ændrer NPB'en ikke den trafik, der flyder gennem den, på nogen måde, medmindre det udtrykkeligt er angivet. NPB'en kan modtage trafik på en eller flere grænseflader, udføre nogle foruddefinerede funktioner på denne trafik og derefter sende den til en eller flere grænseflader.
Disse omtales ofte som any-to-any, many-to-any og any-to-many portmappings. De funktioner, der kan udføres, spænder fra simple, såsom at videresende eller afvise trafik, til komplekse, såsom at filtrere information over lag 5 for at identificere en bestemt session. Grænseflader på NPB kan være kobberkabelforbindelser, men er normalt SFP/SFP+ og QSFP-rammer, som giver brugerne mulighed for at bruge en række forskellige medier og båndbreddehastigheder. NPB's funktionssæt er bygget på princippet om at maksimere effektiviteten af netværksudstyr, især overvågnings-, analyse- og sikkerhedsværktøjer.
Hvilke funktioner tilbyder Network Packet Broker?
NPB's muligheder er talrige og kan variere afhængigt af enhedens mærke og model, selvom enhver pakkeagent, der er værd at bruge, vil have et kernesæt af muligheder. De fleste NPB'er (de mest almindelige NPB'er) fungerer på OSI-lag 2 til 4.
Generelt kan du finde følgende funktioner på L2-4's NPB: omdirigering af trafik (eller specifikke dele af den), trafikfiltrering, trafikreplikering, protokolstripping, pakkeopdeling (trunkering), start eller afslutning af forskellige netværkstunnelprotokoller og load balancing for trafik. Som forventet kan L2-4's NPB filtrere VLAN, MPLS-etiketter, MAC-adresser (kilde og mål), IP-adresser (kilde og mål), TCP- og UDP-porte (kilde og mål) og endda TCP-flag, samt ICMP-, SCTP- og ARP-trafik. Dette er på ingen måde en funktion, der skal bruges, men giver snarere en idé om, hvordan NPB, der opererer på lag 2 til 4, kan adskille og identificere trafikundergrupper. Et nøglekrav, som kunderne bør kigge efter i NPB, er et ikke-blokerende backplane.
Netværkspakkebrokere skal kunne håndtere den fulde trafikgennemstrømning for hver port på enheden. I chassissystemet skal forbindelsen til backplanet også kunne håndtere den fulde trafikbelastning for de tilsluttede moduler. Hvis NPB'en dropper pakken, vil disse værktøjer ikke have en fuldstændig forståelse af netværket.
Selvom langt størstedelen af NPB er baseret på ASIC eller FPGA, vil du på grund af sikkerheden i pakkebehandlingsydelsen finde mange integrationer eller CPU'er acceptable (via moduler). Mylinking™ Network Packet Brokers (NPB) er baseret på en ASIC-løsning. Dette er normalt en funktion, der giver fleksibel behandling og derfor ikke kan udføres udelukkende i hardware. Disse inkluderer pakkededuplikering, tidsstempler, SSL/TLS-dekryptering, nøgleordssøgning og søgning efter regulære udtryk. Det er vigtigt at bemærke, at dens funktionalitet afhænger af CPU-ydelsen. (For eksempel kan søgninger efter regulære udtryk med det samme mønster give meget forskellige ydelsesresultater afhængigt af trafiktype, matchningshastighed og båndbredde), så det er ikke let at afgøre før den faktiske implementering.
Hvis CPU-afhængige funktioner aktiveres, bliver de en begrænsende faktor for NPB'ens samlede ydeevne. Fremkomsten af CPU'er og programmerbare switchingchips, såsom Cavium Xpliant, Barefoot Tofino og Innovium Teralynx, dannede også grundlag for et udvidet sæt af funktioner til næste generations netværkspakkeagenter. Disse funktionelle enheder kan håndtere trafik over L4 (ofte omtalt som L7-pakkeagenter). Blandt de avancerede funktioner, der er nævnt ovenfor, er søgning efter nøgleord og regulære udtryk gode eksempler på næste generations funktioner. Muligheden for at søge efter pakkenyttelaster giver mulighed for at filtrere trafik på sessions- og applikationsniveau og giver finere kontrol over et netværk i udvikling end L2-4.
Hvordan passer Network Packet Broker ind i infrastrukturen?
NPB'en kan installeres i en netværksinfrastruktur på to forskellige måder:
1- Indlejret
2- Uden for båndet.
Hver tilgang har fordele og ulemper og muliggør trafikmanipulation på måder, som andre tilgange ikke kan. Den indbyggede netværkspakkebroker har netværkstrafik i realtid, der krydser enheden på vej til dens destination. Dette giver mulighed for at manipulere trafik i realtid. For eksempel, når man tilføjer, ændrer eller sletter VLAN-tags eller ændrer destinations-IP-adresser, kopieres trafikken til et andet link. Som en indbygget metode kan NPB også give redundans til andre indbyggede værktøjer, såsom IDS, IPS eller firewalls. NPB kan overvåge status for sådanne enheder og dynamisk omdirigere trafik til hot standby i tilfælde af en fejl.
Det giver stor fleksibilitet i, hvordan trafik behandles og replikeres til flere overvågnings- og sikkerhedsenheder uden at påvirke realtidsnetværket. Det giver også hidtil uset netværkssynlighed og sikrer, at alle enheder modtager en kopi af den trafik, der er nødvendig for at håndtere deres ansvar korrekt. Det sikrer ikke kun, at dine overvågnings-, sikkerheds- og analyseværktøjer får den trafik, de har brug for, men også at dit netværk er sikkert. Det sikrer også, at enheden ikke bruger ressourcer på uønsket trafik. Måske behøver din netværksanalysator ikke at registrere backuptrafik, fordi det optager værdifuld diskplads under backupen. Disse ting filtreres nemt fra analysatoren, mens al anden trafik bevares for værktøjet. Måske har du et helt subnet, som du vil holde skjult for et andet system; igen, dette fjernes nemt på den valgte outputport. Faktisk kan en enkelt NPB behandle nogle trafiklinks inline, mens den behandler anden out-of-band-trafik.
Opslagstidspunkt: 9. marts 2022
