Co je to Network Packet Broker a funkce v IT infrastruktuře?

Network Packet Broker (NPB) je síťové zařízení podobné přepínači, jehož velikost se pohybuje od přenosných zařízení přes skříňky 1U a 2U až po velké skříně a deskové systémy. Na rozdíl od přepínače NPB žádným způsobem nemění provoz, který jím prochází, pokud nedostane výslovný pokyn. NPB může přijímat provoz na jednom nebo více rozhraních, provádět na tomto provozu některé předdefinované funkce a poté jej odesílat na jedno nebo více rozhraní.

Ty se často označují jako mapování portů any-to-any, many-to-any a any-to-many. Funkce, které lze provádět, se pohybují od jednoduchých, jako je předávání nebo vyřazování provozu, až po složité, jako je filtrování informací nad vrstvou 5 pro identifikaci konkrétní relace. Rozhraní na NPB mohou být připojení měděným kabelem, ale obvykle se jedná o rámce SFP/SFP + a QSFP, které uživatelům umožňují používat různé rychlosti médií a šířky pásma. Sada funkcí NPB je postavena na principu maximalizace efektivity síťových zařízení, zejména monitorovacích, analytických a bezpečnostních nástrojů.

2019050603525011

Jaké funkce poskytuje Network Packet Broker?

Schopnosti NPB jsou četné a mohou se lišit v závislosti na značce a modelu zařízení, ačkoli každý agent balíčků, který stojí za to, bude chtít mít základní sadu schopností. Většina NPB (nejběžnější NPB) funguje na vrstvách OSI 2 až 4.

Obecně lze na NPB L2-4 nalézt následující funkce: přesměrování provozu (nebo jeho specifických částí), filtrování provozu, replikace provozu, stripování protokolu, dělení paketů (zkrácení), spouštění nebo ukončování různých protokolů síťového tunelu, a vyrovnávání zatížení dopravy. Jak se očekávalo, NPB L2-4 může filtrovat VLAN, MPLS štítky, MAC adresy (zdrojové a cílové), IP adresy (zdrojové a cílové), TCP a UDP porty (zdrojové a cílové) a dokonce i TCP příznaky, stejně jako ICMP, Provoz SCTP a ARP. Toto v žádném případě není funkce, která by měla být použita, ale spíše poskytuje představu o tom, jak NPB pracující na vrstvách 2 až 4 může oddělit a identifikovat podmnožiny provozu. Klíčovým požadavkem, který by zákazníci měli v NPB hledat, je neblokující backplane.

Zprostředkovatel síťových paketů musí být schopen zajistit plnou propustnost provozu každého portu na zařízení. V systému podvozku musí být propojení se základní deskou také schopno pokrýt plné provozní zatížení připojených modulů. Pokud NPB paket zahodí, tyto nástroje nebudou mít úplné pochopení sítě.

Přestože je naprostá většina NPB založena na ASIC nebo FPGA, vzhledem k jistotě výkonu zpracování paketů najdete mnoho integrací nebo CPU přijatelných (přes moduly). Mylinking™ Network Packet Brokers (NPB) jsou založeny na řešení ASIC. Obvykle se jedná o funkci, která poskytuje flexibilní zpracování, a proto ji nelze provést čistě hardwarově. Patří mezi ně deduplikace paketů, časová razítka, dešifrování SSL/TLS, vyhledávání klíčových slov a vyhledávání regulárních výrazů. Je důležité si uvědomit, že jeho funkčnost závisí na výkonu CPU. (Například vyhledávání regulárních výrazů stejného vzoru může přinést velmi odlišné výsledky výkonu v závislosti na typu provozu, míře shody a šířce pásma), takže není snadné určit před skutečnou implementací.

shutterstock_

Pokud jsou povoleny funkce závislé na CPU, stávají se omezujícím faktorem v celkovém výkonu NPB. Nástup procesorů a programovatelných přepínacích čipů, jako jsou Cavium Xpliant, Barefoot Tofino a Innovium Teralynx, také vytvořil základ rozšířené sady schopností pro agenty síťových paketů nové generace. Tyto funkční jednotky dokážou zpracovat provoz nad L4 (často označované jako jako agenti paketů L7). Mezi pokročilé funkce uvedené výše jsou dobrým příkladem možností nové generace vyhledávání klíčových slov a regulárních výrazů. Schopnost vyhledávat užitečné zatížení paketů poskytuje příležitosti k filtrování provozu na úrovni relace a aplikace a poskytuje jemnější kontrolu nad vyvíjející se sítí než L2-4.

Jak Network Packet Broker zapadá do infrastruktury?

NPB lze nainstalovat do síťové infrastruktury dvěma různými způsoby:

1- Inline

2- Mimo pásmo.

Každý přístup má výhody a nevýhody a umožňuje manipulaci s provozem způsobem, který jiné přístupy nemohou. Inline síťový zprostředkovatel paketů má síťový provoz v reálném čase, který prochází zařízením na jeho cestě k cíli. To poskytuje možnost manipulovat s provozem v reálném čase. Například při přidávání, úpravách nebo odstraňování značek VLAN nebo změně cílových IP adres se provoz zkopíruje na druhý odkaz. Jako inline metoda může NPB také poskytovat redundanci pro další inline nástroje, jako jsou IDS, IPS nebo firewally. NPB může monitorovat stav takových zařízení a v případě poruchy dynamicky přesměrovat provoz do pohotovostního režimu.

Mylinking Inline Security NPB Bypass

Poskytuje velkou flexibilitu v tom, jak je provoz zpracováván a replikován do více monitorovacích a bezpečnostních zařízení, aniž by to ovlivnilo síť v reálném čase. Poskytuje také bezprecedentní viditelnost sítě a zajišťuje, že všechna zařízení obdrží kopii provozu potřebného k řádnému plnění svých povinností. Nejenže zajišťuje, že vaše nástroje pro monitorování, zabezpečení a analýzu získávají provoz, který potřebují, ale také že vaše síť je zabezpečená. Zajišťuje také, že zařízení nespotřebovává zdroje na nežádoucí provoz. Možná váš síťový analyzátor nemusí zaznamenávat provoz zálohování, protože během zálohování zabírá cenné místo na disku. Tyto věci lze z analyzátoru snadno odfiltrovat a zároveň zachovat veškerý ostatní provoz pro nástroj. Možná máte celou podsíť, kterou chcete skrýt před jiným systémem; opět lze snadno odstranit na zvoleném výstupním portu. Ve skutečnosti může jeden NPB zpracovávat některé provozní linky inline, zatímco zpracovává jiný provoz mimo pásmo.


Čas odeslání: březen-09-2022