Hvad er Network Packet Broker og funktioner i IT-infrastruktur?

Network Packet Broker (NPB) er en switch-lignende netværksenhed, der varierer i størrelse fra bærbare enheder til 1U- og 2U-enhedsetuier til store etuier og board-systemer. I modsætning til en switch ændrer NPB ikke på nogen måde den trafik, der flyder gennem den, medmindre det udtrykkeligt bliver instrueret. NPB kan modtage trafik på en eller flere grænseflader, udføre nogle foruddefinerede funktioner på den trafik og derefter udsende den til en eller flere grænseflader.

Disse omtales ofte som enhver-til-enhver, mange-til-enhver og enhver-til-mange port-tilknytninger. De funktioner, der kan udføres, spænder fra simple, såsom videresendelse eller kassering af trafik, til komplekse, såsom filtrering af information over lag 5 for at identificere en bestemt session. Grænseflader på NPB kan være kobberkabelforbindelser, men er normalt SFP/SFP+- og QSFP-rammer, som giver brugerne mulighed for at bruge en række forskellige medie- og båndbreddehastigheder. NPB's funktionssæt er bygget på princippet om at maksimere effektiviteten af ​​netværksudstyr, især overvågnings-, analyse- og sikkerhedsværktøjer.

2019050603525011

Hvilke funktioner tilbyder Network Packet Broker?

NPB's muligheder er talrige og kan variere afhængigt af mærke og model af enheden, selvom enhver pakkeagent, der er salt værd, vil have et kernesæt af muligheder. De fleste NPB (den mest almindelige NPB) fungerer på OSI-lag 2 til 4.

Generelt kan du finde følgende funktioner på NPB af L2-4: trafik (eller specifikke dele af den) omdirigering, trafikfiltrering, trafikreplikering, protokolstripping, pakkeudskæring (trunkering), start eller afslutning af forskellige netværkstunnelprotokoller, og lastbalancering for trafikken. Som forventet kan L2-4's NPB filtrere VLAN, MPLS-etiketter, MAC-adresser (kilde og mål), IP-adresser (kilde og mål), TCP- og UDP-porte (kilde og mål), og endda TCP-flag, samt ICMP, SCTP- og ARP-trafik. Dette er på ingen måde en funktion, der skal bruges, men giver snarere en idé om, hvordan NPB, der opererer på lag 2 til 4, kan adskille og identificere trafikundersæt. Et nøglekrav, som kunderne skal kigge efter i NPB, er et ikke-blokerende backplane.

Network Packet Broker skal være i stand til at opfylde den fulde trafikgennemstrømning af hver port på enheden. I chassissystemet skal sammenkoblingen med backplanen også kunne klare den fulde trafikbelastning af de tilsluttede moduler. Hvis NPB dropper pakken, vil disse værktøjer ikke have en fuldstændig forståelse af netværket.

Selvom langt størstedelen af ​​NPB er baseret på ASIC eller FPGA, vil du på grund af sikkerheden for pakkebehandlingsydelse finde mange integrationer eller CPU'er acceptable (via moduler). Mylinking™ Network Packet Brokers (NPB) er baseret på ASIC-løsning. Dette er normalt en funktion, der giver fleksibel behandling og derfor ikke kan udføres udelukkende i hardware. Disse omfatter pakkededuplikering, tidsstempler, SSL/TLS-dekryptering, søgeordssøgning og regulært udtrykssøgning. Det er vigtigt at bemærke, at dens funktionalitet afhænger af CPU-ydelsen. (For eksempel kan søgninger i regulære udtryk med det samme mønster give meget forskellige resultater afhængigt af trafiktype, matchningshastighed og båndbredde), så det er ikke nemt at bestemme før den faktiske implementering.

shutterstock_

Hvis CPU-afhængige funktioner er aktiveret, bliver de en begrænsende faktor i NPB'ens samlede ydeevne. Fremkomsten af ​​cpu'er og programmerbare switching-chips, såsom Cavium Xpliant, Barefoot Tofino og Innovium Teralynx, dannede også grundlaget for et udvidet sæt af muligheder for næste generations netværkspakkeagenter. Disse funktionelle enheder kan håndtere trafik over L4 (ofte omtalt som som L7-pakkeagenter). Blandt de avancerede funktioner nævnt ovenfor er søgeord og regulært udtrykssøgning gode eksempler på næste generations muligheder. Evnen til at søge i pakkenyttelast giver muligheder for at filtrere trafik på sessions- og applikationsniveauer og giver finere kontrol over et netværk i udvikling end L2-4.

Hvordan passer Network Packet Broker ind i infrastrukturen?

NPB kan installeres i en netværksinfrastruktur på to forskellige måder:

1- Inline

2- Ude af båndet.

Hver tilgang har fordele og ulemper og muliggør trafikmanipulation på måder, som andre tilgange ikke kan. Den inline-netværkspakkemægler har netværkstrafik i realtid, der krydser enheden på vej til sin destination. Dette giver mulighed for at manipulere trafikken i realtid. For eksempel, når du tilføjer, ændrer eller sletter VLAN-tags eller ændrer destinations-IP-adresser, kopieres trafikken til et andet link. Som en inline-metode kan NPB også levere redundans til andre inline-værktøjer, såsom IDS, IPS eller firewalls. NPB kan overvåge status for sådanne enheder og dynamisk omdirigere trafik til hot standby i tilfælde af en fejl.

Mylinking Inline Security NPB Bypass

Det giver stor fleksibilitet i, hvordan trafikken behandles og replikeres til flere overvågnings- og sikkerhedsenheder uden at påvirke realtidsnetværket. Det giver også hidtil uset netværkssynlighed og sikrer, at alle enheder modtager en kopi af den trafik, der er nødvendig for korrekt at håndtere deres ansvar. Det sikrer ikke kun, at dine overvågnings-, sikkerheds- og analyseværktøjer får den trafik, de har brug for, men også at dit netværk er sikkert. Det sikrer også, at enheden ikke bruger ressourcer på uønsket trafik. Måske behøver din netværksanalysator ikke at registrere backup-trafik, fordi den optager værdifuld diskplads under sikkerhedskopieringen. Disse ting filtreres nemt ud af analysatoren, mens al den anden trafik for værktøjet bevares. Måske har du et helt undernet, som du vil holde skjult for et andet system; igen fjernes dette nemt på den valgte udgangsport. Faktisk kan en enkelt NPB behandle nogle trafiklinks inline, mens den behandler anden out-of-band-trafik.


Posttid: Mar-09-2022