Wat is de Network Packet Broker en functies in de IT-infrastructuur?

Network Packet Broker (NPB) is een switchachtig netwerkapparaat dat in grootte varieert van draagbare apparaten tot 1U- en 2U-behuizingen tot grote behuizingen en bordsystemen. In tegenstelling tot een switch verandert de NPB op geen enkele manier het verkeer dat er doorheen stroomt, tenzij expliciet geïnstrueerd. NPB kan verkeer op een of meer interfaces ontvangen, een aantal vooraf gedefinieerde functies op dat verkeer uitvoeren en dit vervolgens naar een of meer interfaces uitvoeren.

Deze worden vaak 'any-to-any', 'many-to-any' en 'any-to-many' poorttoewijzingen genoemd. De functies die kunnen worden uitgevoerd variëren van eenvoudig, zoals het doorsturen of negeren van verkeer, tot complex, zoals het filteren van informatie boven laag 5 om een ​​bepaalde sessie te identificeren. Interfaces op NPB kunnen koperkabelverbindingen zijn, maar zijn meestal SFP/SFP+- en QSFP-frames, waardoor gebruikers een verscheidenheid aan media- en bandbreedtesnelheden kunnen gebruiken. De functieset van NPB is gebaseerd op het principe van het maximaliseren van de efficiëntie van netwerkapparatuur, met name monitoring-, analyse- en beveiligingstools.

2019050603525011

Welke functies biedt de Network Packet Broker?

De mogelijkheden van NPB zijn talrijk en kunnen variëren afhankelijk van het merk en model van het apparaat, hoewel elke pakketagent die zijn geld waard is, over een kernpakket aan mogelijkheden wil beschikken. De meeste NPB (de meest voorkomende NPB) functioneert op OSI-lagen 2 tot en met 4.

Over het algemeen kunt u de volgende functies op de NPB van L2-4 vinden: verkeer (of specifieke delen ervan) omleiden, verkeer filteren, verkeer replicatie, protocol strippen, packet slicing (truncatie), starten of beëindigen van verschillende netwerktunnelprotocollen, en load-balancing voor verkeer. Zoals verwacht kan de NPB van L2-4 VLAN, MPLS-labels, MAC-adressen (bron en doel), IP-adressen (bron en doel), TCP- en UDP-poorten (bron en doel) en zelfs TCP-vlaggen filteren, evenals ICMP. SCTP- en ARP-verkeer. Dit is geenszins een functie die moet worden gebruikt, maar geeft eerder een idee van hoe NPB die op de lagen 2 tot en met 4 werkt, subsets van verkeer kan scheiden en identificeren. Een belangrijke vereiste waar klanten bij NPB naar moeten zoeken, is een niet-blokkerende backplane.

Network Packet Broker moet in staat zijn om de volledige verkeersdoorvoer van elke poort op het apparaat te verwerken. In het chassissysteem moet de verbinding met de backplane ook de volledige verkeersbelasting van de aangesloten modules kunnen opvangen. Als de NPB het pakket laat vallen, zullen deze tools het netwerk niet volledig begrijpen.

Hoewel de overgrote meerderheid van NPB gebaseerd is op ASIC of FPGA, zul je vanwege de zekerheid van pakketverwerkingsprestaties veel integraties of CPU's acceptabel vinden (via modules). De Mylinking™ Network Packet Brokers (NPB) zijn gebaseerd op een ASIC-oplossing. Dit is meestal een functie die flexibele verwerking mogelijk maakt en daarom niet puur hardwarematig kan worden uitgevoerd. Deze omvatten pakketdeduplicatie, tijdstempels, SSL/TLS-decodering, zoeken op trefwoorden en zoeken in reguliere expressies. Het is belangrijk op te merken dat de functionaliteit ervan afhankelijk is van de CPU-prestaties. (Zoekopdrachten met reguliere expressies van hetzelfde patroon kunnen bijvoorbeeld zeer verschillende prestatieresultaten opleveren, afhankelijk van het verkeerstype, de matchingsnelheid en de bandbreedte), dus het is niet eenvoudig om dit vóór de daadwerkelijke implementatie te bepalen.

sluiterstock_

Als CPU-afhankelijke functies zijn ingeschakeld, worden deze een beperkende factor in de algehele prestaties van de NPB. De komst van CPU's en programmeerbare schakelchips, zoals Cavium Xpliant, Barefoot Tofino en Innovium Teralynx, vormde ook de basis van een uitgebreide reeks mogelijkheden voor netwerkpakketagenten van de volgende generatie. Deze functionele eenheden kunnen verkeer boven L4 verwerken (vaak aangeduid als als L7-pakketagenten). Onder de hierboven genoemde geavanceerde functies zijn het zoeken op trefwoorden en reguliere expressies goede voorbeelden van mogelijkheden van de volgende generatie. De mogelijkheid om pakketpayloads te doorzoeken biedt mogelijkheden om verkeer op sessie- en applicatieniveau te filteren, en biedt een fijnere controle over een evoluerend netwerk dan de L2-4.

Hoe past Network Packet Broker in de infrastructuur?

De NPB kan op twee verschillende manieren in een netwerkinfrastructuur worden geïnstalleerd:

1- In lijn

2- Buiten de band.

Elke benadering heeft voor- en nadelen en maakt verkeersmanipulatie mogelijk op manieren die andere benaderingen niet kunnen. De inline netwerkpakketmakelaar beschikt over realtime netwerkverkeer dat het apparaat doorkruist op weg naar zijn bestemming. Dit biedt de mogelijkheid om het verkeer in realtime te manipuleren. Wanneer u bijvoorbeeld VLAN-tags toevoegt, wijzigt of verwijdert of bestemmings-IP-adressen wijzigt, wordt verkeer naar een tweede link gekopieerd. Als inline-methode kan NPB ook redundantie bieden voor andere inline-tools, zoals IDS, IPS of firewalls. NPB kan de status van dergelijke apparaten monitoren en het verkeer dynamisch omleiden naar hot standby in geval van een storing.

Mylinking Inline Beveiliging NPB-bypass

Het biedt grote flexibiliteit in de manier waarop verkeer wordt verwerkt en gerepliceerd naar meerdere bewakings- en beveiligingsapparaten, zonder dat dit invloed heeft op het realtime netwerk. Het biedt ook ongekende netwerkzichtbaarheid en zorgt ervoor dat alle apparaten een kopie ontvangen van het verkeer dat nodig is om hun verantwoordelijkheden goed af te handelen. Het zorgt er niet alleen voor dat uw monitoring-, beveiligings- en analysetools het verkeer krijgen dat ze nodig hebben, maar ook dat uw netwerk veilig is. Het zorgt er ook voor dat het apparaat geen bronnen verbruikt voor ongewenst verkeer. Misschien hoeft uw netwerkanalysator geen back-upverkeer te registreren, omdat dit tijdens de back-up waardevolle schijfruimte in beslag neemt. Deze dingen kunnen eenvoudig uit de analyser worden gefilterd, terwijl al het andere verkeer voor de tool behouden blijft. Misschien heb je een heel subnet dat je verborgen wilt houden voor een ander systeem; nogmaals, dit kan eenvoudig worden verwijderd op de geselecteerde uitgangspoort. In feite kan een enkele NPB sommige verkeersverbindingen inline verwerken, terwijl ander verkeer buiten de band wordt verwerkt.


Posttijd: 09-mrt-2022