O Network Packet Broker (NPB) é um dispositivo de rede semelhante a um switch, com tamanhos que variam de dispositivos portáteis a gabinetes de 1U e 2U, até grandes gabinetes e sistemas de placas. Ao contrário de um switch, o NPB não altera o tráfego que flui por ele, a menos que seja explicitamente instruído a fazê-lo. O NPB pode receber tráfego em uma ou mais interfaces, executar funções predefinidas nesse tráfego e, em seguida, encaminhá-lo para uma ou mais interfaces.
Essas conexões são frequentemente chamadas de mapeamentos de porta qualquer-para-qualquer, muitos-para-qualquer e qualquer-para-muitos. As funções que podem ser executadas variam de simples, como encaminhar ou descartar tráfego, a complexas, como filtrar informações acima da camada 5 para identificar uma sessão específica. As interfaces no NPB podem ser conexões de cabo de cobre, mas geralmente são frames SFP/SFP+ e QSFP, que permitem aos usuários utilizar uma variedade de mídias e velocidades de banda larga. O conjunto de recursos do NPB é baseado no princípio de maximizar a eficiência dos equipamentos de rede, principalmente as ferramentas de monitoramento, análise e segurança.
Quais funções o Network Packet Broker oferece?
As funcionalidades do NPB são numerosas e podem variar dependendo da marca e do modelo do dispositivo, embora qualquer agente de empacotamento que se preze deseje ter um conjunto básico de funcionalidades. A maioria dos NPBs (os mais comuns) opera nas camadas 2 a 4 do modelo OSI.
Em geral, você pode encontrar os seguintes recursos no NPB das camadas 2 a 4: redirecionamento de tráfego (ou partes específicas dele), filtragem de tráfego, replicação de tráfego, remoção de protocolos, fatiamento de pacotes (truncamento), início ou término de vários protocolos de túnel de rede e balanceamento de carga de tráfego. Como esperado, o NPB das camadas 2 a 4 pode filtrar VLANs, rótulos MPLS, endereços MAC (origem e destino), endereços IP (origem e destino), portas TCP e UDP (origem e destino) e até mesmo flags TCP, bem como tráfego ICMP, SCTP e ARP. Isso não significa que seja um recurso para ser usado diretamente, mas sim que ele oferece uma ideia de como o NPB, operando nas camadas 2 a 4, pode separar e identificar subconjuntos de tráfego. Um requisito fundamental que os clientes devem procurar em um NPB é um backplane não bloqueante.
O Network Packet Broker (NPB) precisa ser capaz de suportar a taxa de transferência total de tráfego de cada porta do dispositivo. No sistema de chassi, a interconexão com o backplane também deve ser capaz de suportar a carga total de tráfego dos módulos conectados. Se o NPB descartar pacotes, essas ferramentas não terão uma compreensão completa da rede.
Embora a grande maioria dos NPBs seja baseada em ASICs ou FPGAs, devido à garantia de desempenho no processamento de pacotes, você encontrará diversas integrações ou CPUs aceitáveis (via módulos). Os Network Packet Brokers (NPBs) da Mylinking™ são baseados em soluções ASIC. Essa característica geralmente proporciona processamento flexível e, portanto, não pode ser implementada puramente em hardware. Entre suas funcionalidades, incluem-se a desduplicação de pacotes, carimbos de data/hora, descriptografia SSL/TLS, busca por palavras-chave e busca por expressões regulares. É importante observar que sua funcionalidade depende do desempenho da CPU. (Por exemplo, buscas por expressões regulares com o mesmo padrão podem apresentar resultados de desempenho muito diferentes, dependendo do tipo de tráfego, da taxa de correspondência e da largura de banda), portanto, não é fácil determinar o desempenho ideal antes da implementação.
Se os recursos dependentes da CPU estiverem habilitados, eles se tornam um fator limitante no desempenho geral do NPB. O advento de CPUs e chips de comutação programáveis, como Cavium Xpliant, Barefoot Tofino e Innovium Teralynx, também formou a base para um conjunto expandido de recursos para agentes de pacotes de rede de próxima geração. Essas unidades funcionais podem lidar com tráfego acima da camada 4 (frequentemente chamadas de agentes de pacotes da camada 7). Entre os recursos avançados mencionados acima, a busca por palavras-chave e expressões regulares são bons exemplos de recursos de próxima geração. A capacidade de pesquisar payloads de pacotes oferece oportunidades para filtrar o tráfego nos níveis de sessão e de aplicação, e proporciona um controle mais preciso sobre uma rede em evolução do que as camadas 2 a 4.
Como o Network Packet Broker se encaixa na infraestrutura?
O NPB pode ser instalado em uma infraestrutura de rede de duas maneiras diferentes:
1- Em linha
2- Fora da banda.
Cada abordagem possui vantagens e desvantagens e permite a manipulação do tráfego de maneiras que outras abordagens não conseguem. O Network Packet Broker (NPB) em linha processa o tráfego de rede em tempo real que atravessa o dispositivo a caminho do seu destino. Isso proporciona a oportunidade de manipular o tráfego em tempo real. Por exemplo, ao adicionar, modificar ou excluir tags VLAN ou alterar endereços IP de destino, o tráfego é copiado para um segundo link. Como um método em linha, o NPB também pode fornecer redundância para outras ferramentas em linha, como IDS, IPS ou firewalls. O NPB pode monitorar o status desses dispositivos e redirecionar dinamicamente o tráfego para um servidor de espera ativo em caso de falha.
Oferece grande flexibilidade na forma como o tráfego é processado e replicado para múltiplos dispositivos de monitoramento e segurança, sem afetar a rede em tempo real. Também proporciona visibilidade de rede sem precedentes e garante que todos os dispositivos recebam uma cópia do tráfego necessário para desempenharem suas funções adequadamente. Isso não só garante que suas ferramentas de monitoramento, segurança e análise recebam o tráfego necessário, como também que sua rede esteja segura. Além disso, assegura que o dispositivo não consuma recursos com tráfego indesejado. Talvez seu analisador de rede não precise registrar o tráfego de backup, pois ele ocupa espaço valioso em disco durante o processo. Esses tráfegos são facilmente filtrados do analisador, preservando todo o restante para a ferramenta. Ou talvez você tenha uma sub-rede inteira que queira manter oculta de algum outro sistema; novamente, isso é facilmente removido na porta de saída selecionada. De fato, um único NPB pode processar alguns links de tráfego em linha enquanto processa outros tráfegos fora da banda.
Data da publicação: 09/03/2022
