Un Network Packet Broker (NPB) hè un dispusitivu di rete simile à un switch chì varieghja in grandezza da dispusitivi purtatili à scatule unitarie 1U è 2U à scatule è sistemi di carte di grande dimensione. À u cuntrariu di un switch, u NPB ùn cambia micca u trafficu chì scorre per ellu in alcun modu, salvu chì ùn sia esplicitamente istruitu. U NPB pò riceve trafficu nantu à una o più interfacce, eseguisce alcune funzioni predefinite nantu à quellu trafficu, è dopu trasmettelu à una o più interfacce.
Quessi sò spessu chjamati mappature di porti any-to-any, many-to-any, è any-to-many. E funzioni chì ponu esse realizate varianu da simplici, cum'è l'inoltru o u scartu di u trafficu, à cumplesse, cum'è u filtraggio di l'infurmazioni sopra u stratu 5 per identificà una sessione particulare. L'interfacce nantu à NPB ponu esse cunnessione di cavi di rame, ma sò generalmente frame SFP/SFP+ è QSFP, chì permettenu à l'utilizatori di utilizà una varietà di media è velocità di larghezza di banda. L'inseme di funzioni di NPB hè custruitu nantu à u principiu di massimizà l'efficienza di l'equipaggiu di rete, in particulare strumenti di monitoraghju, analisi è sicurezza.
Chì funzioni furnisce u Network Packet Broker?
E capacità di NPB sò numerose è ponu varià secondu a marca è u mudellu di u dispusitivu, ancu s'è qualsiasi agente di pacchetti chì si ne và bè vorrà avè un inseme di capacità di basa. A maiò parte di NPB (u NPB u più cumunu) funziona à i livelli OSI da 2 à 4.
In generale, pudete truvà e seguenti caratteristiche nantu à u NPB di L2-4: redirezzione di u trafficu (o parti specifiche di questu), filtrazione di u trafficu, replicazione di u trafficu, stripping di protocolli, packet slicing (truncation), avviu o terminazione di vari protocolli di tunnel di rete è bilanciamentu di u caricu per u trafficu. Cum'è previstu, u NPB di L2-4 pò filtrà VLAN, etichette MPLS, indirizzi MAC (surghjente è destinazione), indirizzi IP (surghjente è destinazione), porte TCP è UDP (surghjente è destinazione), è ancu flag TCP, è ancu trafficu ICMP, SCTP è ARP. Questa ùn hè micca una caratteristica da aduprà, ma piuttostu furnisce una idea di cume NPB chì opera à i strati da 2 à 4 pò separà è identificà i sottoinsiemi di trafficu. Un requisitu chjave chì i clienti devenu circà in NPB hè un backplane non bloccante.
U Network packet Broker deve esse capace di risponde à u trafficu cumpletu di ogni portu di u dispusitivu. In u sistema di chassis, l'interconnessione cù u backplane deve ancu esse capace di risponde à u caricu di trafficu cumpletu di i moduli cunnessi. Se l'NPB abbanduneghja u pacchettu, sti strumenti ùn averanu micca una cunniscenza cumpleta di a rete.
Ancu s'è a grande maggioranza di NPB hè basata annantu à ASIC o FPGA, per via di a certezza di e prestazioni di trasfurmazione di i pacchetti, truverete parechje integrazioni o CPU accettabili (via moduli). I Mylinking™ Network Packet Brokers (NPB) sò basati annantu à a suluzione ASIC. Questa hè di solitu una funzione chì furnisce un trasfurmazione flessibile è dunque ùn pò esse fatta puramente in hardware. Quessi includenu a deduplicazione di pacchetti, timestamp, decrittazione SSL/TLS, ricerca di parole chjave è ricerca di espressioni regulare. Hè impurtante nutà chì a so funziunalità dipende da e prestazioni di a CPU. (Per esempiu, e ricerche di espressioni regulare di u listessu mudellu ponu dà risultati di prestazioni assai diversi secondu u tipu di trafficu, a velocità di currispundenza è a larghezza di banda), dunque ùn hè micca faciule da determinà prima di l'implementazione effettiva.
Sè e funzioni dipendenti da a CPU sò attivate, diventanu un fattore limitante in a prestazione generale di u NPB. L'avventu di i CPU è di i chip di cummutazione programmabili, cum'è Cavium Xpliant, Barefoot Tofino è Innovium Teralynx, hà ancu furmatu a basa di un inseme allargatu di capacità per l'agenti di pacchetti di rete di prossima generazione. Queste unità funziunali ponu gestisce u trafficu sopra L4 (spessu chjamati agenti di pacchetti L7). Trà e funzioni avanzate citate sopra, a ricerca per parole chiave è espressioni regulari sò boni esempi di capacità di prossima generazione. A capacità di circà carichi di pacchetti offre opportunità per filtrà u trafficu à i livelli di sessione è di applicazione, è furnisce un cuntrollu più fine nantu à una rete in evoluzione chè L2-4.
Cumu si integra Network Packet Broker in l'infrastruttura?
L'NPB pò esse installatu in una infrastruttura di rete in dui modi diversi:
1- In linea
2- Fora di banda.
Ogni approcciu hà vantaghji è svantaghji è permette a manipulazione di u trafficu in modi chì altri approcci ùn ponu micca. U broker di pacchetti di rete in linea hà un trafficu di rete in tempu reale chì attraversa u dispusitivu in u so caminu versu a so destinazione. Questu offre l'uppurtunità di manipulà u trafficu in tempu reale. Per esempiu, quandu si aghjunghjenu, si modificanu o si eliminanu tag VLAN o si cambianu l'indirizzi IP di destinazione, u trafficu hè copiatu in un secondu ligame. Cum'è metudu in linea, NPB pò ancu furnisce ridondanza per altri strumenti in linea, cum'è IDS, IPS, o firewall. NPB pò monitorà u statu di tali dispusitivi è reindirizzà dinamicamente u trafficu in standby calda in casu di fallimentu.
Offre una grande flessibilità in u modu in cui u trafficu hè trattatu è replicatu à parechji dispositivi di monitoraghju è di sicurezza senza affettà a rete in tempu reale. Offre ancu una visibilità di rete senza precedenti è assicura chì tutti i dispositivi ricevenu una copia di u trafficu necessariu per gestisce currettamente e so responsabilità. Non solu assicura chì i vostri strumenti di monitoraghju, sicurezza è analisi ottenganu u trafficu chì necessitanu, ma ancu chì a vostra rete sia sicura. Assicura ancu chì u dispositivu ùn cunsuma micca risorse nantu à u trafficu indesideratu. Forse u vostru analizzatore di rete ùn hà micca bisognu di registrà u trafficu di salvezza perchè occupa un preziosu spaziu di discu durante a salvezza. Queste cose sò facilmente filtrate fora di l'analizatore mentre si cunserva tuttu l'altru trafficu per u strumentu. Forse avete una intera sottorete chì vulete tene nascosta da qualchì altru sistema; torna, questu hè facilmente eliminatu nantu à u portu di output sceltu. In fatti, un unicu NPB pò processà alcuni ligami di trafficu in linea mentre processa altru trafficu fora di banda.
Data di publicazione: 09 di marzu di u 2022
