Network Packet Broker (NPB) je sieťové zariadenie podobné prepínaču, ktorého veľkosť sa pohybuje od prenosných zariadení cez 1U a 2U jednotky až po veľké skrinky a dosky s rozhraniami. Na rozdiel od prepínača NPB nijako nemení prevádzku, ktorá cez neho preteká, pokiaľ mu to nie je výslovne nariadené. NPB môže prijímať prevádzku na jednom alebo viacerých rozhraniach, vykonávať na tejto prevádzke niektoré preddefinované funkcie a potom ju odosielať na jedno alebo viac rozhraní.
Tieto sa často označujú ako mapovania portov typu „any-to-any“, „many-to-any“ a „any-to-many“. Funkcie, ktoré je možné vykonávať, siahajú od jednoduchých, ako je presmerovanie alebo zahadzovanie prevádzky, až po zložité, ako je filtrovanie informácií nad vrstvou 5 na identifikáciu konkrétnej relácie. Rozhrania na NPB môžu byť medené káblové pripojenia, ale zvyčajne ide o rámce SFP/SFP+ a QSFP, ktoré umožňujú používateľom používať rôzne rýchlosti médií a šírky pásma. Sada funkcií NPB je postavená na princípe maximalizácie efektívnosti sieťových zariadení, najmä nástrojov na monitorovanie, analýzu a zabezpečenie.
Aké funkcie poskytuje sieťový sprostredkovateľ paketov?
Možnosti NPB sú početné a môžu sa líšiť v závislosti od značky a modelu zariadenia, hoci každý agent balíkov, ktorý si zaslúži svoju hodnotu, bude chcieť mať základnú sadu možností. Väčšina NPB (najbežnejší NPB) funguje na vrstvách OSI 2 až 4.
Vo všeobecnosti nájdete na NPB L2-4 nasledujúce funkcie: presmerovanie prevádzky (alebo jej špecifických častí), filtrovanie prevádzky, replikácia prevádzky, odstraňovanie protokolov, skracovanie paketov, spúšťanie alebo ukončovanie rôznych sieťových tunelových protokolov a vyvažovanie záťaže prevádzky. Ako sa očakávalo, NPB L2-4 dokáže filtrovať VLAN, MPLS štítky, MAC adresy (zdrojové a cieľové), IP adresy (zdrojové a cieľové), TCP a UDP porty (zdrojové a cieľové) a dokonca aj TCP príznaky, ako aj prevádzku ICMP, SCTP a ARP. Toto v žiadnom prípade nie je funkcia, ktorá by sa mala používať, ale skôr poskytuje predstavu o tom, ako NPB pracujúci na vrstvách 2 až 4 dokáže oddeliť a identifikovať podmnožiny prevádzky. Kľúčovou požiadavkou, ktorú by zákazníci mali v NPB hľadať, je neblokujúca backplane.
Broker sieťových paketov musí byť schopný pokryť plnú prenosovú priepustnosť každého portu na zariadení. V systéme šasi musí byť prepojenie so základnou doskou tiež schopné pokryť plnú prenosovú záťaž pripojených modulov. Ak NPB zahodí paket, tieto nástroje nebudú mať úplný prehľad o sieti.
Hoci prevažná väčšina NPB je založená na ASIC alebo FPGA, kvôli istote výkonu spracovania paketov je akceptovateľných mnoho integrácií alebo CPU (prostredníctvom modulov). Sieťové brokery paketov Mylinking™ (NPB) sú založené na riešení ASIC. Zvyčajne ide o funkciu, ktorá poskytuje flexibilné spracovanie, a preto ju nemožno vykonať čisto hardvérovo. Patria sem deduplikácia paketov, časové pečiatky, dešifrovanie SSL/TLS, vyhľadávanie kľúčových slov a vyhľadávanie regulárnych výrazov. Je dôležité poznamenať, že jeho funkčnosť závisí od výkonu CPU. (Napríklad vyhľadávanie regulárnych výrazov rovnakého vzoru môže priniesť veľmi odlišné výsledky výkonu v závislosti od typu prevádzky, miery zhody a šírky pásma), takže nie je ľahké to určiť pred skutočnou implementáciou.
Ak sú povolené funkcie závislé od CPU, stávajú sa limitujúcim faktorom celkového výkonu siete NPB. Príchod CPU a programovateľných prepínacích čipov, ako sú Cavium Xpliant, Barefoot Tofino a Innovium Teralynx, tiež tvoril základ rozšírenej sady funkcií pre sieťových paketových agentov novej generácie. Tieto funkčné jednotky dokážu spracovať prevádzku nad úrovňou L4 (často označované ako paketoví agenti L7). Medzi vyššie uvedenými pokročilými funkciami je vyhľadávanie kľúčových slov a regulárnych výrazov dobrými príkladmi funkcií novej generácie. Schopnosť vyhľadávať užitočné zaťaženie paketov poskytuje príležitosti na filtrovanie prevádzky na úrovni relácie a aplikácie a poskytuje presnejšiu kontrolu nad vyvíjajúcou sa sieťou ako L2-4.
Ako zapadá Network Packet Broker do infraštruktúry?
NPB je možné nainštalovať do sieťovej infraštruktúry dvoma rôznymi spôsobmi:
1- Vložený
2- Mimo pásma.
Každý prístup má výhody a nevýhody a umožňuje manipuláciu s prevádzkou spôsobmi, akými iné prístupy nie sú možné. Inline broker sieťových paketov má k dispozícii sieťovú prevádzku v reálnom čase, ktorá prechádza zariadením na ceste do cieľa. To poskytuje možnosť manipulovať s prevádzkou v reálnom čase. Napríklad pri pridávaní, úprave alebo odstraňovaní značiek VLAN alebo zmene cieľových IP adries sa prevádzka kopíruje na druhý odkaz. Ako inline metóda môže NPB tiež poskytovať redundanciu pre iné inline nástroje, ako sú IDS, IPS alebo firewally. NPB môže monitorovať stav takýchto zariadení a v prípade zlyhania dynamicky presmerovať prevádzku do horúceho pohotovostného režimu.
Poskytuje veľkú flexibilitu v spôsobe spracovania a replikácie prevádzky do viacerých monitorovacích a bezpečnostných zariadení bez ovplyvnenia siete v reálnom čase. Taktiež poskytuje bezprecedentný prehľad o sieti a zabezpečuje, že všetky zariadenia dostanú kópiu prevádzky potrebnej na správne plnenie svojich povinností. Nielenže zabezpečuje, aby vaše monitorovacie, bezpečnostné a analytické nástroje dostávali potrebnú prevádzku, ale aj to, aby bola vaša sieť bezpečná. Zaisťuje tiež, že zariadenie nespotrebúva zdroje na nechcenú prevádzku. Možno váš sieťový analyzátor nemusí zaznamenávať zálohovanú prevádzku, pretože počas zálohovania zaberá cenné miesto na disku. Tieto veci sa dajú z analyzátora ľahko odfiltrovať, pričom sa všetka ostatná prevádzka zachová pre nástroj. Možno máte celú podsieť, ktorú chcete skryť pred iným systémom; opäť sa to dá ľahko odstrániť na vybranom výstupnom porte. V skutočnosti môže jedna NPB spracovať niektoré prevádzkové spojenia priamo a zároveň spracovať inú prevádzku mimo pásma.
Čas uverejnenia: 9. marca 2022
