Le Network Packet Broker (NPB) est un périphérique réseau de type commutateur, dont la taille varie des appareils portables aux boîtiers 1U et 2U, en passant par les grands boîtiers et les systèmes sur carte. Contrairement à un commutateur, le NPB ne modifie en rien le trafic qui le traverse, sauf instruction explicite. Il peut recevoir du trafic sur une ou plusieurs interfaces, exécuter des fonctions prédéfinies sur ce trafic, puis le transmettre à une ou plusieurs interfaces.
On les appelle souvent mappages de ports « any-to-any », « many-to-any » et « any-to-many ». Les fonctions réalisables vont du plus simple, comme le transfert ou le rejet de trafic, au plus complexe, comme le filtrage des informations au-dessus de la couche 5 pour identifier une session particulière. Les interfaces sur NPB peuvent être des connexions par câble cuivre, mais il s'agit généralement de trames SFP/SFP+ et QSFP, permettant aux utilisateurs d'utiliser une variété de supports et de débits. L'ensemble des fonctionnalités de NPB repose sur le principe d'optimisation de l'efficacité des équipements réseau, notamment des outils de surveillance, d'analyse et de sécurité.
Quelles fonctions fournit le Network Packet Broker ?
Les fonctionnalités de NPB sont nombreuses et peuvent varier selon la marque et le modèle de l'appareil, mais tout agent de paquetage digne de ce nom souhaitera disposer d'un ensemble de fonctionnalités de base. La plupart des NPB (les plus courants) fonctionnent sur les couches OSI 2 à 4.
En général, le NPB de L2-4 offre les fonctionnalités suivantes : redirection du trafic (ou de parties spécifiques de celui-ci), filtrage du trafic, réplication du trafic, suppression de protocoles, découpage de paquets (troncature), démarrage et arrêt de divers protocoles de tunnel réseau et équilibrage de charge du trafic. Comme prévu, le NPB de L2-4 peut filtrer les VLAN, les étiquettes MPLS, les adresses MAC (source et cible), les adresses IP (source et cible), les ports TCP et UDP (source et cible), et même les indicateurs TCP, ainsi que le trafic ICMP, SCTP et ARP. Il ne s'agit en aucun cas d'une fonctionnalité à utiliser, mais plutôt d'une idée de la manière dont le NPB, opérant sur les couches 2 à 4, peut séparer et identifier les sous-ensembles de trafic. Un fond de panier non bloquant est une exigence clé que les clients doivent rechercher pour le NPB.
Le broker de paquets réseau doit être capable de gérer le débit total de chaque port du périphérique. Dans le système de châssis, l'interconnexion avec le fond de panier doit également être capable de gérer la charge de trafic totale des modules connectés. Si le broker de paquets réseau abandonne le paquet, ces outils n'auront pas une compréhension complète du réseau.
Bien que la grande majorité des NPB soient basés sur des ASIC ou des FPGA, compte tenu de la fiabilité des performances de traitement des paquets, de nombreuses intégrations ou processeurs (via des modules) sont acceptables. Les agents de paquets réseau Mylinking™ (NPB) sont basés sur des solutions ASIC. Cette fonctionnalité offre généralement une grande flexibilité de traitement et ne peut donc pas être réalisée uniquement au niveau matériel. Ces fonctionnalités incluent la déduplication de paquets, l'horodatage, le déchiffrement SSL/TLS, la recherche par mot-clé et la recherche par expression régulière. Il est important de noter que sa fonctionnalité dépend des performances du processeur. (Par exemple, les recherches par expression régulière d'un même modèle peuvent produire des résultats de performances très différents selon le type de trafic, le taux de correspondance et la bande passante), il est donc difficile de la déterminer avant la mise en œuvre.
L'activation de fonctionnalités dépendantes du processeur peut limiter les performances globales du NPB. L'avènement des processeurs et des puces de commutation programmables, telles que Cavium Xpliant, Barefoot Tofino et Innovium Teralynx, a également constitué la base d'un ensemble étendu de fonctionnalités pour les agents de paquets réseau de nouvelle génération. Ces unités fonctionnelles peuvent gérer le trafic au-delà de la couche 4 (souvent appelées agents de paquets de couche 7). Parmi les fonctionnalités avancées mentionnées ci-dessus, la recherche par mots-clés et par expressions régulières est un bon exemple de fonctionnalités de nouvelle génération. La possibilité de rechercher des charges utiles de paquets permet de filtrer le trafic aux niveaux session et application, et offre un contrôle plus précis sur un réseau en évolution que les couches 2 à 4.
Comment Network Packet Broker s'intègre-t-il dans l'infrastructure ?
Le NPB peut être installé dans une infrastructure réseau de deux manières différentes :
1- En ligne
2- Hors bande.
Chaque approche présente des avantages et des inconvénients, et permet une manipulation du trafic plus efficace que les autres. Le courtier de paquets réseau en ligne gère le trafic réseau en temps réel qui traverse l'appareil avant d'atteindre sa destination. Cela permet de manipuler le trafic en temps réel. Par exemple, lors de l'ajout, de la modification ou de la suppression de balises VLAN ou du changement d'adresses IP de destination, le trafic est copié vers un second lien. En tant que méthode en ligne, NPB peut également assurer la redondance d'autres outils en ligne, tels que les IDS, les IPS ou les pare-feu. NPB peut surveiller l'état de ces appareils et rediriger dynamiquement le trafic vers un serveur de secours en cas de panne.
Il offre une grande flexibilité dans le traitement et la réplication du trafic vers plusieurs dispositifs de surveillance et de sécurité, sans affecter le réseau en temps réel. Il offre également une visibilité réseau inégalée et garantit que tous les dispositifs reçoivent une copie du trafic nécessaire à la bonne gestion de leurs responsabilités. Il garantit non seulement que vos outils de surveillance, de sécurité et d'analyse reçoivent le trafic nécessaire, mais aussi la sécurité de votre réseau. Il garantit également que le dispositif ne consomme pas de ressources pour du trafic indésirable. Votre analyseur réseau n'a peut-être pas besoin d'enregistrer le trafic de sauvegarde, car celui-ci occupe un espace disque précieux. Ces éléments sont facilement filtrés par l'analyseur, tout en préservant le reste du trafic pour l'outil. Vous souhaitez peut-être masquer un sous-réseau entier aux autres systèmes ; là encore, il est facile de le supprimer sur le port de sortie sélectionné. En fait, un seul NPB peut traiter certains liens de trafic en ligne tout en traitant le reste du trafic hors bande.
Date de publication : 09/03/2022
