Network Packet Broker (NPB) je mrežni uređaj sličan preklopniku koji varira u veličini od prijenosnih uređaja do 1U i 2U kućišta, velikih kućišta i matičnih sustava. Za razliku od preklopnika, NPB ne mijenja promet koji prolazi kroz njega ni na koji način, osim ako nije izričito navedeno. NPB može primati promet na jednom ili više sučelja, izvršavati neke unaprijed definirane funkcije na tom prometu, a zatim ga poslati na jedno ili više sučelja.
To se često naziva mapiranjem portova bilo koji-na-bilo koji, mnogi-na-bilo koji i bilo koji-na-mnogo. Funkcije koje se mogu izvršavati kreću se od jednostavnih, poput prosljeđivanja ili odbacivanja prometa, do složenih, poput filtriranja informacija iznad sloja 5 radi identifikacije određene sesije. Sučelja na NPB-u mogu biti bakrene kabelske veze, ali obično su to SFP/SFP+ i QSFP okviri, koji korisnicima omogućuju korištenje različitih medija i brzina propusnosti. Skup značajki NPB-a izgrađen je na principu maksimiziranja učinkovitosti mrežne opreme, posebno alata za nadzor, analizu i sigurnost.
Koje funkcije pruža Network Packet Broker?
Mogućnosti NPB-a su brojne i mogu varirati ovisno o marki i modelu uređaja, iako će svaki vrijedan agent za pakete htjeti imati osnovni skup mogućnosti. Većina NPB-a (najčešći NPB) funkcionira na OSI slojevima od 2 do 4.
Općenito, na NPB-u L2-4 možete pronaći sljedeće značajke: preusmjeravanje prometa (ili određenih dijelova prometa), filtriranje prometa, replikacija prometa, uklanjanje protokola, skraćivanje paketa, pokretanje ili prekidanje različitih protokola mrežnog tunela i uravnoteženje opterećenja za promet. Kao što se i očekivalo, NPB L2-4 može filtrirati VLAN, MPLS oznake, MAC adrese (izvor i cilj), IP adrese (izvor i cilj), TCP i UDP portove (izvor i cilj), pa čak i TCP zastavice, kao i ICMP, SCTP i ARP promet. Ovo nipošto nije značajka koja se koristi, već pruža ideju o tome kako NPB koji radi na slojevima 2 do 4 može odvojiti i identificirati podskupove prometa. Ključni zahtjev koji kupci trebaju tražiti u NPB-u je neblokirajuća backplane.
Broker mrežnih paketa mora biti u mogućnosti zadovoljiti puni protok prometa svakog porta na uređaju. U sustavu kućišta, međusobna veza s backplaneom također mora biti u mogućnosti zadovoljiti puni prometni teret spojenih modula. Ako NPB odbaci paket, ovi alati neće imati potpuno razumijevanje mreže.
Iako se velika većina NPB-a temelji na ASIC-u ili FPGA-i, zbog sigurnosti performansi obrade paketa, mnoge integracije ili CPU-i su prihvatljivi (putem modula). Mylinking™ Network Packet Brokers (NPB) temelje se na ASIC rješenju. To je obično značajka koja omogućuje fleksibilnu obradu i stoga se ne može obaviti isključivo u hardveru. To uključuje deduplikaciju paketa, vremenske oznake, SSL/TLS dešifriranje, pretraživanje ključnih riječi i pretraživanje regularnih izraza. Važno je napomenuti da njegova funkcionalnost ovisi o performansama CPU-a. (Na primjer, pretraživanja regularnih izraza istog uzorka mogu dati vrlo različite rezultate performansi ovisno o vrsti prometa, stopi podudaranja i propusnosti), tako da to nije lako odrediti prije stvarne implementacije.
Ako su omogućene značajke ovisne o CPU-u, one postaju ograničavajući faktor u ukupnim performansama NPB-a. Pojava CPU-a i programabilnih preklopnih čipova, kao što su Cavium Xpliant, Barefoot Tofino i Innovium Teralynx, također je formirala osnovu proširenog skupa mogućnosti za mrežne paketne agente sljedeće generacije. Ove funkcionalne jedinice mogu obraditi promet iznad L4 (često nazivane L7 paketnim agentima). Među gore spomenutim naprednim značajkama, pretraživanje ključnih riječi i regularnih izraza dobri su primjeri mogućnosti sljedeće generacije. Mogućnost pretraživanja paketnih sadržaja pruža mogućnosti filtriranja prometa na razini sesije i aplikacije te pruža finiju kontrolu nad mrežom u razvoju nego L2-4.
Kako se Network Packet Broker uklapa u infrastrukturu?
NPB se može instalirati u mrežnu infrastrukturu na dva različita načina:
1- U liniji
2- Izvan opsega.
Svaki pristup ima prednosti i nedostatke te omogućuje manipulaciju prometom na načine na koje drugi pristupi ne mogu. Inline mrežni broker paketa ima mrežni promet u stvarnom vremenu koji prolazi kroz uređaj na putu do odredišta. To pruža mogućnost manipuliranja prometom u stvarnom vremenu. Na primjer, prilikom dodavanja, mijenjanja ili brisanja VLAN oznaka ili promjene IP adresa odredišta, promet se kopira na drugu vezu. Kao inline metoda, NPB također može osigurati redundanciju za druge inline alate, kao što su IDS, IPS ili vatrozidovi. NPB može pratiti status takvih uređaja i dinamički preusmjeravati promet u vruće stanje pripravnosti u slučaju kvara.
Pruža veliku fleksibilnost u načinu obrade i replikacije prometa na više uređaja za nadzor i sigurnost bez utjecaja na mrežu u stvarnom vremenu. Također pruža neviđenu vidljivost mreže i osigurava da svi uređaji prime kopiju prometa potrebnu za pravilno obavljanje svojih odgovornosti. Ne samo da osigurava da vaši alati za nadzor, sigurnost i analizu dobiju promet koji im je potreban, već i da je vaša mreža sigurna. Također osigurava da uređaj ne troši resurse na neželjeni promet. Možda vaš mrežni analizator ne treba snimati sigurnosnu kopiju prometa jer zauzima vrijedan prostor na disku tijekom sigurnosne kopije. Te se stvari lako filtriraju iz analizatora, a sav ostali promet se čuva za alat. Možda imate cijelu podmrežu koju želite sakriti od nekog drugog sustava; opet, to se lako uklanja na odabranom izlaznom portu. Zapravo, jedan NPB može obraditi neke prometne veze inline dok obrađuje drugi izvanpojasni promet.
Vrijeme objave: 09.03.2022.
