Network Packet Broker (NPB) es un interruptor como el dispositivo de red que varía en tamaño desde dispositivos portátiles hasta casos de unidades 1U y 2U a grandes casos y sistemas de tablas. A diferencia de un interruptor, el NPB no cambia el tráfico que fluye a través de él de ninguna manera a menos que se instruya explícitamente. NPB puede recibir tráfico en una o más interfaces, realizar algunas funciones predefinidas en ese tráfico y luego emitirlo a una o más interfaces.
A menudo se les conoce como mapeos portuarios de cualquiera a cualquier otro, y de cualquiera. Las funciones que se pueden realizar van desde simples, como reenviar o descartar el tráfico, hasta complejos, como el filtrado de información sobre la capa 5 para identificar una sesión en particular. Las interfaces en NPB pueden ser conexiones de cable de cobre, pero generalmente son marcos SFP/SFP + y QSFP, que permiten a los usuarios usar una variedad de medios y velocidades de ancho de banda. El conjunto de características de NPB se basa en el principio de maximizar la eficiencia de los equipos de red, particularmente las herramientas de monitoreo, análisis y seguridad.
¿Qué funciones proporciona el corredor de paquetes de red?
Las capacidades de NPB son numerosas y pueden variar según la marca y el modelo de dispositivo, aunque cualquier agente de paquete que valga la pena querrá tener un conjunto central de capacidades. La mayoría de las funciones NPB (la NPB más común) en las capas OSI 2 a 4.
En general, puede encontrar las siguientes características en el NPB de L2-4: redirección de tráfico (o partes específicas), filtrado de tráfico, replicación de tráfico, eliminación de protocolo, corte de paquetes (truncamiento), comenzando o terminando varios protocolos de túnel de red y equilibrio de carga para el tráfico. Como se esperaba, el NPB de L2-4 puede filtrar VLAN, etiquetas MPLS, direcciones MAC (fuente y destino), direcciones IP (fuente y destino), puertos TCP y UDP (fuente y destino), e incluso indicadores TCP, así como ICMP, SCTP y tráfico ARP. Esta no es una característica que se utilizará, sino que proporciona una idea de cómo el funcionamiento de NPB en las capas 2 a 4 puede separar e identificar subconjuntos de tráfico. Un requisito clave que los clientes deben buscar en NPB es un plano posterior sin bloqueo.
Network Packet Broker debe poder cumplir con el rendimiento de tráfico completo de cada puerto en el dispositivo. En el sistema de chasis, la interconexión con el plano posterior también debe poder cumplir con la carga de tráfico completa de los módulos conectados. Si el NPB deja caer el paquete, estas herramientas no tendrán una comprensión completa de la red.
Aunque la gran mayoría de NPB se basa en ASIC o FPGA, debido a la certeza del rendimiento del procesamiento de paquetes, encontrará muchas integraciones o CPU aceptables (a través de módulos). Los Brokers de paquetes de red MyLinking ™ (NPB) se basan en una solución ASIC. Esta suele ser una característica que proporciona un procesamiento flexible y, por lo tanto, no se puede hacer exclusivamente en hardware. Estos incluyen deduplicación de paquetes, marcas de tiempo, descifrado SSL/TLS, búsqueda de palabras clave y búsqueda de expresión regular. Es importante tener en cuenta que su funcionalidad depende del rendimiento de la CPU. (Por ejemplo, las búsquedas de expresión regulares del mismo patrón pueden producir resultados de rendimiento muy diferentes según el tipo de tráfico, la tasa de coincidencia y el ancho de banda), por lo que no es fácil de determinar antes de la implementación real.
Si las características dependientes de la CPU están habilitadas, se convierten en un factor limitante en el rendimiento general de la NPB. El advenimiento de las CPU y los chips de conmutación programables, como Cavium Xpliant, Barefoot Tofino e Innovium Teralynx, también formaron la base de un conjunto ampliado de capacidades para los agentes de paquetes de red de próxima generación, estas unidades funcionales pueden manejar el tráfico por encima de L4 (a menudo referidos como agentes de paquetes L7). Entre las características avanzadas mencionadas anteriormente, las palabras clave y la búsqueda de expresión regular son buenos ejemplos de capacidades de próxima generación. La capacidad de buscar cargas útiles de paquetes brinda oportunidades para filtrar el tráfico en los niveles de sesión y aplicación, y proporciona un control más fino sobre una red en evolución que el L2-4.
¿Cómo encaja el corredor de paquetes de redes en la infraestructura?
El NPB se puede instalar en una infraestructura de red de dos maneras diferentes:
1- en línea
2- fuera de banda.
Cada enfoque tiene ventajas y desventajas y permite la manipulación del tráfico de manera que otros enfoques no puedan. El corredor de paquetes de red en línea tiene tráfico de red en tiempo real que atraviesa el dispositivo en su camino a su destino. Esto brinda la oportunidad de manipular el tráfico en tiempo real. Por ejemplo, al agregar, modificar o eliminar etiquetas VLAN o cambiar las direcciones IP de destino, el tráfico se copia a un segundo enlace. Como método en línea, NPB también puede proporcionar redundancia para otras herramientas en línea, como IDS, IPS o firewalls. NPB puede monitorear el estado de dichos dispositivos y volver a redactar dinámicamente el tráfico a Hot Standby en caso de una falla.
Proporciona una gran flexibilidad en cómo se procesa y se replica el tráfico a múltiples dispositivos de monitoreo y seguridad sin afectar la red en tiempo real. También proporciona visibilidad de la red sin precedentes y garantiza que todos los dispositivos reciban una copia del tráfico necesario para manejar adecuadamente sus responsabilidades. No solo garantiza que sus herramientas de monitoreo, seguridad y análisis obtengan el tráfico que necesitan, sino también que su red sea segura. También garantiza que el dispositivo no consuma recursos en el tráfico no deseado. Quizás su analizador de red no necesite registrar el tráfico de copia de seguridad porque ocupa un valioso espacio en el disco durante la copia de seguridad. Estas cosas se filtran fácilmente del analizador mientras preservan todo el otro tráfico para la herramienta. Tal vez tenga una subred completa que desee mantener oculta de algún otro sistema; Nuevamente, esto se elimina fácilmente en el puerto de salida seleccionado. De hecho, un solo NPB puede procesar algunos enlaces de tráfico en línea mientras procesa otro tráfico fuera de banda.
Tiempo de publicación: mar-09-2022
