Een Network Packet Broker (NPB) is een switch-achtig netwerkapparaat dat verkrijgbaar is in verschillende formaten, van draagbare apparaten tot 1U- en 2U-units en grote behuizingen en boardsystemen. In tegenstelling tot een switch wijzigt een NPB het verkeer dat erdoorheen stroomt op geen enkele manier, tenzij dit expliciet wordt aangegeven. Een NPB kan verkeer ontvangen op een of meer interfaces, bepaalde vooraf gedefinieerde functies op dat verkeer uitvoeren en het vervolgens weer naar een of meer interfaces doorsturen.
Deze worden vaak aangeduid als any-to-any, many-to-any en any-to-many poorttoewijzingen. De functies die kunnen worden uitgevoerd variëren van eenvoudig, zoals het doorsturen of negeren van verkeer, tot complex, zoals het filteren van informatie boven laag 5 om een specifieke sessie te identificeren. Interfaces op NPB kunnen koperkabelverbindingen zijn, maar zijn meestal SFP/SFP+ en QSFP-frames, waardoor gebruikers een verscheidenheid aan media en bandbreedtesnelheden kunnen gebruiken. De functionaliteit van NPB is gebaseerd op het principe van het maximaliseren van de efficiëntie van netwerkapparatuur, met name monitoring-, analyse- en beveiligingstools.
Welke functies biedt de Network Packet Broker?
De mogelijkheden van NPB zijn talrijk en kunnen variëren afhankelijk van het merk en model van het apparaat, hoewel elke serieuze pakketbeheerder een basisset aan mogelijkheden wil hebben. De meeste NPB's (de meest voorkomende NPB's) functioneren op OSI-lagen 2 tot en met 4.
Over het algemeen vindt u de volgende functies op de NPB van L2-4: omleiding van verkeer (of specifieke delen ervan), verkeersfiltering, verkeersreplicatie, protocolstripping, pakketsplitsing (truncatie), het starten of beëindigen van verschillende netwerktunnelprotocollen en load balancing voor verkeer. Zoals verwacht kan de NPB van L2-4 VLAN's, MPLS-labels, MAC-adressen (bron en doel), IP-adressen (bron en doel), TCP- en UDP-poorten (bron en doel) en zelfs TCP-vlaggen filteren, evenals ICMP-, SCTP- en ARP-verkeer. Dit is geen functie die gebruikt moet worden, maar geeft een idee van hoe NPB op laag 2 tot en met 4 verkeerssubsets kan scheiden en identificeren. Een belangrijke vereiste waar klanten naar moeten zoeken bij een NPB is een niet-blokkerende backplane.
De netwerkpakketbroker moet de volledige doorvoer van elke poort op het apparaat aankunnen. In het chassissysteem moet de verbinding met de backplane ook de volledige verkeersbelasting van de aangesloten modules aankunnen. Als de NPB pakketten laat vallen, krijgen deze tools geen volledig beeld van het netwerk.
Hoewel de overgrote meerderheid van NPB's gebaseerd is op ASIC's of FPGA's, zijn er, vanwege de gegarandeerde prestaties van de pakketverwerking, veel integraties of CPU's acceptabel (via modules). De Mylinking™ Network Packet Brokers (NPB's) zijn gebaseerd op een ASIC-oplossing. Dit is doorgaans een eigenschap die flexibele verwerking mogelijk maakt en daarom niet volledig in hardware kan worden geïmplementeerd. Dit omvat onder andere pakketdeduplicatie, tijdstempels, SSL/TLS-decryptie, zoekopdrachten op trefwoorden en zoekopdrachten met reguliere expressies. Het is belangrijk om te weten dat de functionaliteit afhankelijk is van de CPU-prestaties. (Bijvoorbeeld, zoekopdrachten met reguliere expressies naar hetzelfde patroon kunnen zeer verschillende prestatieresultaten opleveren, afhankelijk van het type verkeer, de overeenkomstsnelheid en de bandbreedte), waardoor het lastig is om dit voorafgaand aan de daadwerkelijke implementatie te bepalen.
Als CPU-afhankelijke functies zijn ingeschakeld, vormen ze een beperkende factor voor de algehele prestaties van de NPB. De komst van CPU's en programmeerbare switchchips, zoals Cavium Xpliant, Barefoot Tofino en Innovium Teralynx, vormde ook de basis voor een uitgebreidere reeks mogelijkheden voor netwerkpakketagenten van de volgende generatie. Deze functionele eenheden kunnen verkeer boven L4 (vaak aangeduid als L7-pakketagenten) verwerken. Van de hierboven genoemde geavanceerde functies zijn zoekopdrachten op basis van trefwoorden en reguliere expressies goede voorbeelden van mogelijkheden van de volgende generatie. De mogelijkheid om pakketpayloads te doorzoeken biedt mogelijkheden om verkeer te filteren op sessie- en applicatieniveau, en biedt een fijnere controle over een evoluerend netwerk dan de L2-4-niveaus.
Hoe past Network Packet Broker in de infrastructuur?
De NPB kan op twee verschillende manieren in een netwerkinfrastructuur worden geïnstalleerd:
1- Inline
2- Buiten de bandbreedte.
Elke aanpak heeft voor- en nadelen en maakt verkeersmanipulatie mogelijk op manieren die andere aanpakken niet kunnen. De inline netwerkpakketbroker (NPB) verwerkt realtime netwerkverkeer dat via het apparaat naar de bestemming gaat. Dit biedt de mogelijkheid om verkeer in realtime te manipuleren. Bijvoorbeeld, bij het toevoegen, wijzigen of verwijderen van VLAN-tags of het wijzigen van bestemmings-IP-adressen, wordt het verkeer naar een tweede link gekopieerd. Als inline-methode kan NPB ook redundantie bieden voor andere inline-tools, zoals IDS, IPS of firewalls. NPB kan de status van dergelijke apparaten bewaken en het verkeer dynamisch omleiden naar de hot standby in geval van een storing.
Het biedt grote flexibiliteit in de manier waarop verkeer wordt verwerkt en gerepliceerd naar meerdere monitoring- en beveiligingsapparaten zonder het realtime netwerk te beïnvloeden. Het biedt ook ongekende netwerkzichtbaarheid en zorgt ervoor dat alle apparaten een kopie ontvangen van het verkeer dat nodig is om hun taken correct uit te voeren. Het zorgt er niet alleen voor dat uw monitoring-, beveiligings- en analysetools het verkeer krijgen dat ze nodig hebben, maar ook dat uw netwerk veilig is. Het zorgt er ook voor dat het apparaat geen resources verbruikt aan ongewenst verkeer. Misschien hoeft uw netwerkanalysator geen back-upverkeer vast te leggen omdat dit waardevolle schijfruimte in beslag neemt tijdens de back-up. Dit soort verkeer kan eenvoudig uit de analysator worden gefilterd, terwijl al het andere verkeer voor de tool behouden blijft. Misschien hebt u een volledig subnet dat u wilt verbergen voor een ander systeem; ook dit kan eenvoudig worden verwijderd via de geselecteerde uitvoerpoort. Sterker nog, een enkele NPB kan bepaalde verkeerslinks inline verwerken, terwijl ander out-of-band verkeer wordt verwerkt.
Geplaatst op: 09-03-2022
