Le Network Packet Broker (NPB) est un dispositif réseau de type commutateur, disponible en différentes tailles, des appareils portables aux boîtiers 1U et 2U, en passant par les grands boîtiers et les systèmes sur carte. Contrairement à un commutateur, le NPB ne modifie en rien le trafic qui le traverse, sauf instruction contraire. Il peut recevoir du trafic sur une ou plusieurs interfaces, effectuer des opérations prédéfinies sur ce trafic, puis le redistribuer vers une ou plusieurs interfaces.
Ces mappages sont souvent désignés comme mappages de ports « any-to-any », « many-to-any » et « any-to-many ». Les fonctions réalisables vont des plus simples, comme le transfert ou le blocage de trafic, aux plus complexes, comme le filtrage des informations au-dessus de la couche 5 pour identifier une session particulière. Les interfaces du NPB peuvent être des connexions par câble cuivre, mais utilisent généralement des modules SFP/SFP+ et QSFP, permettant ainsi aux utilisateurs de choisir parmi différents supports et débits. L'ensemble des fonctionnalités du NPB est conçu pour optimiser l'efficacité des équipements réseau, notamment des outils de surveillance, d'analyse et de sécurité.
Quelles sont les fonctions assurées par le courtier de paquets réseau ?
Les fonctionnalités des NPB sont nombreuses et peuvent varier selon la marque et le modèle du dispositif, mais tout agent d'encapsulation compétent se doit de posséder un ensemble de fonctionnalités de base. La plupart des NPB (les plus courants) fonctionnent aux couches OSI 2 à 4.
En général, le NPB des couches 2 à 4 offre les fonctionnalités suivantes : redirection du trafic (ou de certaines parties de celui-ci), filtrage du trafic, réplication du trafic, suppression des protocoles, découpage des paquets (troncature), démarrage et terminaison de divers protocoles de tunnel réseau, et répartition de charge. Comme prévu, le NPB des couches 2 à 4 peut filtrer les VLAN, les étiquettes MPLS, les adresses MAC (source et cible), les adresses IP (source et cible), les ports TCP et UDP (source et cible), et même les indicateurs TCP, ainsi que le trafic ICMP, SCTP et ARP. Il ne s'agit en aucun cas d'une fonctionnalité à utiliser, mais plutôt d'une illustration de la manière dont le NPB, opérant aux couches 2 à 4, peut séparer et identifier des sous-ensembles de trafic. Une exigence essentielle pour les clients concernant le NPB est l'absence de blocage du fond de panier.
Le courtier de paquets réseau (NPB) doit pouvoir gérer le débit maximal de chaque port du périphérique. Dans le système châssis, l'interconnexion avec le fond de panier doit également pouvoir supporter la charge de trafic totale des modules connectés. Si le NPB perd des paquets, ces outils n'auront pas une vision complète du réseau.
Bien que la grande majorité des NPB repose sur des ASIC ou des FPGA, la fiabilité du traitement des paquets permet d'utiliser de nombreux processeurs (via des modules). Les courtiers de paquets réseau Mylinking™ (NPB) sont basés sur une solution ASIC. Cette technologie offre une grande flexibilité de traitement et ne peut donc pas être implémentée uniquement au niveau matériel. Parmi les fonctionnalités figurent la déduplication des paquets, l'horodatage, le déchiffrement SSL/TLS, la recherche par mot-clé et la recherche par expression régulière. Il est important de noter que leur fonctionnement dépend des performances du processeur. (Par exemple, la recherche d'un même motif par expression régulière peut donner des résultats très différents selon le type de trafic, le taux de correspondance et la bande passante). Il est donc difficile de les déterminer avant la mise en œuvre.
Si les fonctionnalités dépendantes du processeur sont activées, elles deviennent un facteur limitant les performances globales du NPB. L'avènement des processeurs et des puces de commutation programmables, telles que Cavium Xpliant, Barefoot Tofino et Innovium Teralynx, a également constitué la base d'un ensemble étendu de capacités pour les agents de paquets réseau de nouvelle génération. Ces unités fonctionnelles peuvent gérer le trafic au-delà de la couche 4 (souvent appelées agents de paquets L7). Parmi les fonctionnalités avancées mentionnées ci-dessus, la recherche par mots-clés et expressions régulières illustre parfaitement les capacités de nouvelle génération. La possibilité de rechercher dans le contenu des paquets offre des opportunités de filtrage du trafic aux niveaux session et application, et permet un contrôle plus précis d'un réseau en constante évolution que les couches 2 à 4.
Comment Network Packet Broker s'intègre-t-il à l'infrastructure ?
Le NPB peut être installé dans une infrastructure réseau de deux manières différentes :
1- En ligne
2- Hors bande.
Chaque approche présente des avantages et des inconvénients et permet une manipulation du trafic que les autres ne permettent pas. Le courtier de paquets réseau intégré (NPB) traite le trafic réseau en temps réel, qui traverse le périphérique pour atteindre sa destination. Ceci offre la possibilité de manipuler le trafic en temps réel. Par exemple, lors de l'ajout, de la modification ou de la suppression d'étiquettes VLAN ou du changement d'adresse IP de destination, le trafic est copié sur une seconde liaison. En tant que méthode intégrée, le NPB peut également assurer la redondance d'autres outils intégrés, tels que les systèmes de détection d'intrusion (IDS), de prévention d'intrusion (IPS) ou les pare-feu. Le NPB peut surveiller l'état de ces périphériques et rediriger dynamiquement le trafic vers un système de secours actif en cas de panne.
Il offre une grande flexibilité dans le traitement et la réplication du trafic vers plusieurs dispositifs de surveillance et de sécurité, sans impacter le réseau en temps réel. Il assure également une visibilité réseau sans précédent et garantit que chaque dispositif reçoive une copie du trafic nécessaire à son bon fonctionnement. Il garantit non seulement que vos outils de surveillance, de sécurité et d'analyse reçoivent le trafic dont ils ont besoin, mais aussi que votre réseau est sécurisé. Il évite également la consommation de ressources par le dispositif pour un trafic inutile. Par exemple, votre analyseur de réseau n'a peut-être pas besoin d'enregistrer le trafic de sauvegarde, car celui-ci occupe un espace disque précieux pendant la sauvegarde. Ces données sont facilement filtrées de l'analyseur, préservant ainsi le reste du trafic pour l'outil. Vous avez peut-être un sous-réseau entier que vous souhaitez masquer à un autre système ; là encore, il est facilement supprimé sur le port de sortie sélectionné. En effet, un seul NPB peut traiter certains liens de trafic en ligne tout en traitant d'autres liens hors bande.
Date de publication : 9 mars 2022
