O que é o Network Packet Broker e suas funções na infraestrutura de TI?

O Network Packet Broker (NPB) é um dispositivo de rede semelhante a um switch, que varia em tamanho, desde dispositivos portáteis a gabinetes de unidades 1U e 2U, passando por gabinetes grandes e sistemas de placa. Ao contrário de um switch, o NPB não altera o tráfego que flui por ele de forma alguma, a menos que seja explicitamente instruído. O NPB pode receber tráfego em uma ou mais interfaces, executar algumas funções predefinidas nesse tráfego e, em seguida, enviá-lo para uma ou mais interfaces.

Esses mapeamentos são frequentemente chamados de mapeamentos de portas "qualquer-para-qualquer", "muitos-para-qualquer" e "qualquer-para-muitos". As funções que podem ser executadas variam de simples, como encaminhar ou descartar tráfego, a complexas, como filtrar informações acima da camada 5 para identificar uma sessão específica. As interfaces no NPB podem ser conexões de cabo de cobre, mas geralmente são quadros SFP/SFP+ e QSFP, que permitem aos usuários usar uma variedade de mídias e velocidades de largura de banda. O conjunto de recursos do NPB baseia-se no princípio de maximizar a eficiência dos equipamentos de rede, especialmente ferramentas de monitoramento, análise e segurança.

2019050603525011

Quais funções o Network Packet Broker fornece?

Os recursos do NPB são numerosos e podem variar dependendo da marca e do modelo do dispositivo, embora qualquer agente de pacotes que se preze deseje ter um conjunto básico de recursos. A maioria dos NPBs (os mais comuns) funciona nas camadas OSI 2 a 4.

Em geral, você pode encontrar os seguintes recursos no NPB de L2-4: redirecionamento de tráfego (ou partes específicas dele), filtragem de tráfego, replicação de tráfego, remoção de protocolos, fatiamento de pacotes (truncamento), início ou término de vários protocolos de túnel de rede e balanceamento de carga para tráfego. Como esperado, o NPB de L2-4 pode filtrar VLAN, rótulos MPLS, endereços MAC (origem e destino), endereços IP (origem e destino), portas TCP e UDP (origem e destino) e até mesmo sinalizadores TCP, bem como tráfego ICMP, SCTP e ARP. Este não é de forma alguma um recurso a ser utilizado, mas fornece uma ideia de como o NPB operando nas camadas 2 a 4 pode separar e identificar subconjuntos de tráfego. Um requisito fundamental que os clientes devem procurar no NPB é um backplane não bloqueante.

O Network Packet Broker precisa ser capaz de atender à taxa de transferência total de tráfego de cada porta do dispositivo. No sistema de chassi, a interconexão com o backplane também deve ser capaz de atender à carga total de tráfego dos módulos conectados. Se o NPB descartar o pacote, essas ferramentas não terão um entendimento completo da rede.

Embora a grande maioria dos NPBs seja baseada em ASIC ou FPGA, devido à certeza do desempenho do processamento de pacotes, você encontrará muitas integrações ou CPUs aceitáveis ​​(via módulos). Os Network Packet Brokers (NPBs) Mylinking™ são baseados em soluções ASIC. Este é geralmente um recurso que oferece processamento flexível e, portanto, não pode ser feito apenas em hardware. Estes incluem desduplicação de pacotes, carimbos de data/hora, descriptografia SSL/TLS, busca por palavras-chave e busca por expressões regulares. É importante observar que sua funcionalidade depende do desempenho da CPU. (Por exemplo, buscas por expressões regulares do mesmo padrão podem produzir resultados de desempenho muito diferentes dependendo do tipo de tráfego, taxa de correspondência e largura de banda), portanto, não é fácil determiná-lo antes da implementação real.

shutterstock_

Se recursos dependentes de CPU forem habilitados, eles se tornarão um fator limitante no desempenho geral do NPB. O advento de CPUs e chips de comutação programáveis, como Cavium Xpliant, Barefoot Tofino e Innovium Teralynx, também formou a base de um conjunto expandido de recursos para agentes de pacotes de rede de próxima geração. Essas unidades funcionais podem lidar com tráfego acima do nível 4 (frequentemente chamados de agentes de pacotes do nível 7). Entre os recursos avançados mencionados acima, a busca por palavras-chave e expressões regulares são bons exemplos de recursos de próxima geração. A capacidade de buscar payloads de pacotes oferece oportunidades para filtrar o tráfego nos níveis de sessão e de aplicativo, além de proporcionar um controle mais preciso sobre uma rede em evolução do que o nível 2-4.

Como o Network Packet Broker se encaixa na infraestrutura?

O NPB pode ser instalado em uma infraestrutura de rede de duas maneiras diferentes:

1- Em linha

2- Fora de banda.

Cada abordagem tem vantagens e desvantagens e permite a manipulação do tráfego de maneiras que outras abordagens não conseguem. O agente de pacotes de rede em linha possui tráfego de rede em tempo real que atravessa o dispositivo a caminho do seu destino. Isso oferece a oportunidade de manipular o tráfego em tempo real. Por exemplo, ao adicionar, modificar ou excluir tags de VLAN ou alterar endereços IP de destino, o tráfego é copiado para um segundo link. Como um método em linha, o NPB também pode fornecer redundância para outras ferramentas em linha, como IDS, IPS ou firewalls. O NPB pode monitorar o status desses dispositivos e redirecionar dinamicamente o tráfego para o modo de espera ativo em caso de falha.

Bypass de segurança em linha NPB do Mylinking

Ele oferece grande flexibilidade na forma como o tráfego é processado e replicado para múltiplos dispositivos de monitoramento e segurança sem afetar a rede em tempo real. Também proporciona visibilidade de rede sem precedentes e garante que todos os dispositivos recebam uma cópia do tráfego necessário para lidar adequadamente com suas responsabilidades. Ele não apenas garante que suas ferramentas de monitoramento, segurança e análise recebam o tráfego necessário, mas também que sua rede esteja segura. Também garante que o dispositivo não consuma recursos com tráfego indesejado. Talvez seu analisador de rede não precise registrar o tráfego de backup porque ele ocupa um espaço valioso em disco durante o backup. Esses dados são facilmente filtrados do analisador, preservando todo o restante do tráfego para a ferramenta. Talvez você tenha uma sub-rede inteira que deseja manter oculta de algum outro sistema; novamente, isso é facilmente removido na porta de saída selecionada. De fato, um único NPB pode processar alguns links de tráfego em linha enquanto processa outro tráfego fora de banda.


Horário da postagem: 09/03/2022