O que é o Network Packet Broker e as funções na infraestrutura de TI?

O Network Packet Broker (NPB) é um dispositivo de rede semelhante a um switch que varia em tamanho, desde dispositivos portáteis até gabinetes de unidades de 1U e 2U, até gabinetes grandes e sistemas de placa. Ao contrário de um switch, o NPB não altera o tráfego que flui através dele de forma alguma, a menos que seja explicitamente instruído. O NPB pode receber tráfego em uma ou mais interfaces, executar algumas funções predefinidas nesse tráfego e, em seguida, enviá-lo para uma ou mais interfaces.

Eles são frequentemente chamados de mapeamentos de porta qualquer-para-qualquer, muitos-para-qualquer e qualquer-para-muitos. As funções que podem ser executadas variam desde simples, como encaminhar ou descartar tráfego, até complexas, como filtrar informações acima da camada 5 para identificar uma sessão específica. As interfaces no NPB podem ser conexões de cabo de cobre, mas geralmente são quadros SFP/SFP + e QSFP, que permitem aos usuários usar uma variedade de mídias e velocidades de largura de banda. O conjunto de recursos do NPB baseia-se no princípio de maximizar a eficiência dos equipamentos de rede, especialmente ferramentas de monitoramento, análise e segurança.

2019050603525011

Quais funções o Network Packet Broker oferece?

Os recursos do NPB são numerosos e podem variar dependendo da marca e modelo do dispositivo, embora qualquer agente de pacotes que se preze deseje ter um conjunto básico de recursos. A maioria dos NPB (o NPB mais comum) funciona nas camadas OSI 2 a 4.

Em geral, você pode encontrar os seguintes recursos no NPB de L2-4: redirecionamento de tráfego (ou partes específicas dele), filtragem de tráfego, replicação de tráfego, remoção de protocolo, fatiamento de pacotes (truncamento), início ou encerramento de vários protocolos de túnel de rede, e balanceamento de carga para tráfego. Como esperado, o NPB do L2-4 pode filtrar VLAN, rótulos MPLS, endereços MAC (origem e destino), endereços IP (origem e destino), portas TCP e UDP (origem e destino) e até sinalizadores TCP, bem como ICMP, Tráfego SCTP e ARP. Este não é de forma alguma um recurso a ser usado, mas fornece uma ideia de como o NPB operando nas camadas 2 a 4 pode separar e identificar subconjuntos de tráfego. Um requisito importante que os clientes devem procurar no NPB é um backplane sem bloqueio.

O corretor de pacotes de rede precisa ser capaz de atender à taxa de transferência total do tráfego de cada porta do dispositivo. No sistema de chassis, a interligação com o backplane também deve ser capaz de atender a carga total de tráfego dos módulos conectados. Se o NPB descartar o pacote, essas ferramentas não terão um entendimento completo da rede.

Embora a grande maioria do NPB seja baseada em ASIC ou FPGA, devido à certeza do desempenho do processamento de pacotes, você encontrará muitas integrações ou CPUs aceitáveis ​​(via módulos). Os Mylinking™ Network Packet Brokers (NPB) são baseados na solução ASIC. Geralmente, esse é um recurso que fornece processamento flexível e, portanto, não pode ser feito apenas em hardware. Isso inclui desduplicação de pacotes, carimbos de data/hora, descriptografia SSL/TLS, pesquisa por palavra-chave e pesquisa por expressão regular. É importante observar que sua funcionalidade depende do desempenho da CPU. (Por exemplo, pesquisas de expressões regulares do mesmo padrão podem produzir resultados de desempenho muito diferentes dependendo do tipo de tráfego, taxa de correspondência e largura de banda), portanto não é fácil determinar antes da implementação real.

obturador_

Se os recursos dependentes da CPU estiverem habilitados, eles se tornarão um fator limitante no desempenho geral do NPB. O advento de CPUs e chips de comutação programáveis, como Cavium Xpliant, Barefoot Tofino e Innovium Teralynx, também formou a base de um conjunto expandido de capacidades para agentes de pacotes de rede de próxima geração. Essas unidades funcionais podem lidar com tráfego acima de L4 (frequentemente referido como como agentes de pacotes L7). Entre os recursos avançados mencionados acima, a pesquisa por palavras-chave e expressões regulares são bons exemplos de recursos de próxima geração. A capacidade de pesquisar cargas úteis de pacotes oferece oportunidades para filtrar o tráfego nos níveis de sessão e aplicativo e fornece controle mais preciso sobre uma rede em evolução do que o L2-4.

Como o Network Packet Broker se encaixa na infraestrutura?

O NPB pode ser instalado numa infraestrutura de rede de duas maneiras diferentes:

1- Em linha

2- Fora de banda.

Cada abordagem tem vantagens e desvantagens e permite a manipulação do tráfego de uma forma que outras abordagens não conseguem. O corretor de pacotes de rede embutido possui tráfego de rede em tempo real que atravessa o dispositivo a caminho de seu destino. Isso oferece a oportunidade de manipular o tráfego em tempo real. Por exemplo, ao adicionar, modificar ou excluir tags VLAN ou alterar endereços IP de destino, o tráfego é copiado para um segundo link. Como método inline, o NPB também pode fornecer redundância para outras ferramentas inline, como IDS, IPS ou firewalls. O NPB pode monitorar o status de tais dispositivos e redirecionar dinamicamente o tráfego para hot standby em caso de falha.

Mylinking Inline Security NPB Bypass

Ele oferece grande flexibilidade na forma como o tráfego é processado e replicado para vários dispositivos de monitoramento e segurança sem afetar a rede em tempo real. Ele também fornece visibilidade de rede sem precedentes e garante que todos os dispositivos recebam uma cópia do tráfego necessário para lidar adequadamente com suas responsabilidades. Ele não apenas garante que suas ferramentas de monitoramento, segurança e análise obtenham o tráfego necessário, mas também que sua rede esteja segura. Também garante que o dispositivo não consuma recursos em tráfego indesejado. Talvez o seu analisador de rede não precise registrar o tráfego de backup porque ele ocupa um espaço valioso em disco durante o backup. Essas coisas são facilmente filtradas do analisador, preservando todo o outro tráfego da ferramenta. Talvez você tenha uma sub-rede inteira que deseja manter oculta de algum outro sistema; novamente, isso é facilmente removido na porta de saída selecionada. Na verdade, um único NPB pode processar alguns links de tráfego em linha enquanto processa outro tráfego fora de banda.


Horário da postagem: 09/03/2022