Network Packet Broker (NPB) est un dispositif de mise en réseau comme un commutateur qui varie des appareils portables aux caisses d'unité 1U et 2U à de grands cas et à des systèmes de carte. Contrairement à un interrupteur, le NPB ne modifie pas le trafic qui le traverse de quelque manière que ce soit à moins d'instructions explicitement. NPB peut recevoir du trafic sur une ou plusieurs interfaces, effectuer des fonctions prédéfinies sur ce trafic, puis la publier vers une ou plusieurs interfaces.
Ceux-ci sont souvent appelés mappages portuaires à tout, à toute autre, à toute autre et à plusieurs. Les fonctions qui peuvent être effectuées varient de simples, telles que le transfert ou la suppression du trafic, vers le complexe, tels que le filtrage des informations au-dessus de la couche 5 pour identifier une session particulière. Les interfaces sur NPB peuvent être des connexions de câbles en cuivre, mais sont généralement des trames SFP / SFP + et QSFP, qui permettent aux utilisateurs d'utiliser une variété de vitesses de support et de bande passante. L'ensemble de fonctionnalités de NPB est construit sur le principe de maximisation de l'efficacité de l'équipement du réseau, en particulier des outils de surveillance, d'analyse et de sécurité.
Quelles fonctions le courtier de paquets réseau fournit-il?
Les capacités de NPB sont nombreuses et peuvent varier en fonction de la marque et du modèle de dispositif, bien que tout agent de package valant son sel souhaitera avoir un ensemble de capacités de base. La plupart des NPB (le NPB le plus commun) fonctionnent aux couches OSI 2 à 4.
En général, vous pouvez trouver les fonctionnalités suivantes sur le NPB de L2-4: le trafic (ou les parties spécifiques de l'informatique), le filtrage du trafic, la réplication du trafic, le décapage du protocole, le découpage des paquets (troncature), le démarrage ou la fin de divers protocoles de tunnel réseau et l'équilibrage de charge pour le trafic. Comme prévu, le NPB de L2-4 peut filtrer le VLAN, les étiquettes MPLS, les adresses MAC (source et cible), les adresses IP (source et cible), les ports TCP et UDP (source et cible), et même les indicateurs TCP, ainsi que le trafic ICMP, SCTP et ARP. Ce n'est en aucun cas une fonctionnalité à utiliser, mais fournit plutôt une idée de la façon dont le NPB fonctionne aux couches 2 à 4 peut séparer et identifier les sous-ensembles de trafic. Une exigence clé que les clients devraient rechercher dans NPB est un fond de panier non bloquant.
Le courtier de paquets réseau doit être en mesure de respecter le débit complet du trafic de chaque port sur l'appareil. Dans le système de châssis, l'interconnexion avec le fond de panier doit également être en mesure de respecter la charge de trafic complète des modules connectés. Si le NPB abandonne le paquet, ces outils n'auront pas une compréhension complète du réseau.
Bien que la grande majorité du NPB soit basée sur l'ASIC ou le FPGA, en raison de la certitude des performances de traitement des paquets, vous trouverez de nombreuses intégrations ou CPU acceptables (via des modules). Les courtiers de paquets réseau MyLinking ™ (NPB) sont basés sur une solution ASIC. Il s'agit généralement d'une fonctionnalité qui fournit un traitement flexible et ne peut donc pas être fait uniquement dans le matériel. Ceux-ci incluent la déduplication des paquets, les horodatages, le décryptage SSL / TLS, la recherche de mots clés et la recherche d'expression régulière. Il est important de noter que sa fonctionnalité dépend des performances du processeur. (Par exemple, les recherches d'expression régulières du même modèle peuvent produire des résultats de performances très différents en fonction du type de trafic, du taux de correspondance et de la bande passante), il n'est donc pas facile à déterminer avant la mise en œuvre réelle.
Si les fonctionnalités dépendantes du processeur sont activées, elles deviennent un facteur limitant dans les performances globales du NPB. L'avènement des processeurs et des puces de commutation programmables, tels que Cavium Xpliant, Barefoot Tofino et Innovium Teralynx, a également constitué la base d'un ensemble élargi de capacités pour les agents de paquets de réseau de nouvelle génération, ces unités fonctionnelles peuvent gérer le trafic au-dessus de L4 (souvent appelé agents de paquets L7). Parmi les fonctionnalités avancées mentionnées ci-dessus, le mot-clé et la recherche d'expression régulière sont de bons exemples de capacités de nouvelle génération. La possibilité de rechercher les charges utiles des paquets offre des opportunités de filtrer le trafic aux niveaux de session et d'application, et offre un contrôle plus fin sur un réseau évolutif que le L2-4.
Comment Network Packet Broker s'intégre-t-il dans l'infrastructure?
Le NPB peut être installé dans une infrastructure réseau de deux manières différentes:
1- en ligne
2- hors bande.
Chaque approche présente des avantages et des inconvénients et permet la manipulation du trafic d'une manière que d'autres approches ne peuvent pas. Le courtier de paquets réseau en ligne a un trafic réseau en temps réel qui traverse l'appareil sur sa destination. Cela offre la possibilité de manipuler le trafic en temps réel. Par exemple, lors de l'ajout, de la modification ou de la suppression des balises VLAN ou de la modification des adresses IP de destination, le trafic est copié sur un deuxième lien. En tant que méthode en ligne, NPB peut également fournir une redondance pour d'autres outils en ligne, tels que les ID, les IPS ou les pare-feu. NPB peut surveiller l'état de ces appareils et réacheminer dynamiquement le trafic vers un standby chaud en cas de défaillance.
Il offre une grande flexibilité dans la façon dont le trafic est traité et reproduit à plusieurs dispositifs de surveillance et de sécurité sans affecter le réseau en temps réel. Il offre également une visibilité sur le réseau sans précédent et garantit que tous les appareils reçoivent une copie du trafic nécessaire pour gérer correctement leurs responsabilités. Il garantit non seulement que vos outils de surveillance, de sécurité et d'analyse obtiennent le trafic dont ils ont besoin, mais aussi que votre réseau est sécurisé. Il garantit également que l'appareil ne consomme pas de ressources sur le trafic indésirable. Peut-être que votre analyseur de réseau n'a pas besoin d'enregistrer le trafic de sauvegarde car il occupe un espace de disque précieux pendant la sauvegarde. Ces choses sont facilement filtrées hors de l'analyseur tout en préservant tous les autres trafics pour l'outil. Peut-être que vous avez un sous-réseau entier que vous souhaitez garder caché à un autre système; Encore une fois, ceci est facilement supprimé sur le port de sortie sélectionné. En fait, un seul NPB peut traiter certaines liaisons de trafic en ligne lors du traitement d'un autre trafic hors bande.
Heure du poste: mars 09-2022
