Network Packet Broker (NPB) je síťové zařízení podobné přepínači, jehož velikost sahá od přenosných zařízení přes 1U a 2U jednotky až po velké skříně a deskové systémy. Na rozdíl od přepínače NPB nijak nemění provoz, který jím protéká, pokud k tomu není výslovně uveden. NPB může přijímat provoz na jednom nebo více rozhraních, provádět na tomto provozu některé předdefinované funkce a poté jej odesílat na jedno nebo více rozhraní.
Ty se často označují jako mapování portů typu „any-to-any“, „many-to-any“ a „any-to-many“. Funkce, které lze provádět, sahají od jednoduchých, jako je přesměrování nebo zahazování provozu, až po složité, jako je filtrování informací nad vrstvou 5 za účelem identifikace konkrétní relace. Rozhraní na NPB mohou být měděná kabelová připojení, ale obvykle se jedná o rámce SFP/SFP+ a QSFP, které uživatelům umožňují používat různá média a rychlosti šířky pásma. Sada funkcí NPB je postavena na principu maximalizace efektivity síťového zařízení, zejména nástrojů pro monitorování, analýzu a zabezpečení.
Jaké funkce nabízí Network Packet Broker?
Možnosti NPB jsou četné a mohou se lišit v závislosti na značce a modelu zařízení, ačkoli každý agent pro tvorbu balíčků, který si zaslouží uznání, bude chtít mít základní sadu funkcí. Většina NPB (nejběžnější NPB) funguje na vrstvách OSI 2 až 4.
Obecně lze na NPB řídicí vrstvy L2-4 nalézt následující funkce: přesměrování provozu (nebo jeho specifických částí), filtrování provozu, replikace provozu, odstraňování protokolů, dělení paketů (zkrácení), spouštění nebo ukončování různých protokolů síťových tunelů a vyvažování zátěže provozu. Jak se očekávalo, NPB řídicí vrstvy L2-4 dokáže filtrovat VLAN, MPLS štítky, MAC adresy (zdrojové a cílové), IP adresy (zdrojové a cílové), TCP a UDP porty (zdrojové a cílové) a dokonce i TCP příznaky, stejně jako provoz ICMP, SCTP a ARP. V žádném případě se nejedná o funkci, která by se měla používat, ale spíše o představu o tom, jak NPB pracující na vrstvách 2 až 4 dokáže oddělit a identifikovat podmnožiny provozu. Klíčovým požadavkem, který by zákazníci měli u NPB hledat, je neblokující propojovací rovina.
Zprostředkovatel síťových paketů musí být schopen zvládnout plnou propustnost provozu každého portu na zařízení. V systému šasi musí být propojení s backplane také schopno zvládnout plnou propustnost provozu připojených modulů. Pokud NPB paket zahodí, tyto nástroje nebudou mít úplné pochopení sítě.
Přestože je drtivá většina NPB založena na ASIC nebo FPGA, vzhledem k jistotě výkonu zpracování paketů je mnoho integrací nebo CPU akceptovatelných (prostřednictvím modulů). Mylinking™ Network Packet Brokers (NPB) jsou založeny na řešení ASIC. Obvykle se jedná o funkci, která poskytuje flexibilní zpracování, a proto ji nelze provádět čistě hardwarově. Patří mezi ně deduplikace paketů, časová razítka, dešifrování SSL/TLS, vyhledávání pomocí klíčových slov a vyhledávání pomocí regulárních výrazů. Je důležité si uvědomit, že jeho funkčnost závisí na výkonu CPU. (Například vyhledávání pomocí regulárních výrazů stejného vzoru může vést k velmi odlišným výsledkům v závislosti na typu provozu, míře shody a šířce pásma), takže to není snadné určit před skutečnou implementací.
Pokud jsou povoleny funkce závislé na CPU, stávají se omezujícím faktorem celkového výkonu NPB. Příchod CPU a programovatelných přepínacích čipů, jako jsou Cavium Xpliant, Barefoot Tofino a Innovium Teralynx, také tvořil základ rozšířené sady funkcí pro síťové paketové agenty nové generace. Tyto funkční jednotky dokáží zpracovávat provoz nad úrovní L4 (často označované jako paketové agenti L7). Mezi výše zmíněné pokročilé funkce patří vyhledávání pomocí klíčových slov a regulárních výrazů, což jsou dobré příklady funkcí nové generace. Schopnost prohledávat datové části paketů poskytuje příležitosti k filtrování provozu na úrovni relace a aplikace a poskytuje jemnější kontrolu nad vyvíjející se sítí než L2-4.
Jak se Network Packet Broker začleňuje do infrastruktury?
NPB lze do síťové infrastruktury nainstalovat dvěma různými způsoby:
1- Řadový
2- Mimo pásmo.
Každý přístup má své výhody i nevýhody a umožňuje manipulaci s provozem způsoby, které jiné přístupy nemohou. Inline síťový broker paketů má k dispozici síťový provoz v reálném čase, který prochází zařízením na cestě k cíli. To poskytuje možnost manipulovat s provozem v reálném čase. Například při přidávání, úpravě nebo mazání značek VLAN nebo změně cílových IP adres je provoz kopírován na druhý odkaz. Jako inline metoda může NPB také poskytovat redundanci pro další inline nástroje, jako jsou IDS, IPS nebo firewally. NPB může monitorovat stav takových zařízení a v případě selhání dynamicky přesměrovat provoz do horkého standby.
Poskytuje velkou flexibilitu ve způsobu zpracování a replikace provozu do více monitorovacích a bezpečnostních zařízení, aniž by to ovlivnilo síť v reálném čase. Poskytuje také bezprecedentní přehled o síti a zajišťuje, že všechna zařízení obdrží kopii provozu potřebnou k řádnému plnění svých povinností. Nejenže zajišťuje, že vaše monitorovací, bezpečnostní a analytické nástroje získají potřebný provoz, ale také že vaše síť je bezpečná. Zajišťuje také, že zařízení nespotřebovává zdroje na nežádoucí provoz. Možná váš síťový analyzátor nemusí zaznamenávat zálohovaný provoz, protože během zálohování zabírá cenné místo na disku. Tyto věci lze z analyzátoru snadno odfiltrovat a zároveň zachovat veškerý ostatní provoz pro nástroj. Možná máte celou podsíť, kterou chcete skrýt před jiným systémem; i to lze snadno odstranit na vybraném výstupním portu. Ve skutečnosti může jeden NPB zpracovávat některé provozní odkazy inline a zároveň zpracovávat jiný provoz mimo pásmo.
Čas zveřejnění: 9. března 2022
