Un Network Packet Broker (NPB) es un dispositivo de red similar a un switch, que varía en tamaño desde dispositivos portátiles hasta cajas de unidades de 1U y 2U, pasando por cajas grandes y sistemas de placas. A diferencia de un switch, el NPB no modifica el tráfico que fluye a través de él de ninguna manera, a menos que se le indique explícitamente. El NPB puede recibir tráfico en una o más interfaces, realizar funciones predefinidas sobre dicho tráfico y luego enviarlo a una o más interfaces.
Estos se conocen a menudo como asignaciones de puertos de cualquiera a cualquiera, de muchos a cualquiera y de cualquiera a muchos. Las funciones que pueden realizarse varían desde simples, como reenviar o descartar tráfico, hasta complejas, como filtrar información por encima de la capa 5 para identificar una sesión específica. Las interfaces en NPB pueden ser conexiones de cable de cobre, pero generalmente son tramas SFP/SFP+ y QSFP, que permiten a los usuarios utilizar diversos medios y velocidades de ancho de banda. El conjunto de funciones de NPB se basa en el principio de maximizar la eficiencia de los equipos de red, en particular las herramientas de monitorización, análisis y seguridad.
¿Qué funciones proporciona el Network Packet Broker?
Las capacidades de NPB son numerosas y pueden variar según la marca y el modelo del dispositivo, aunque cualquier agente de paquetes que se precie querrá contar con un conjunto básico de capacidades. La mayoría de los NPB (los más comunes) funcionan en las capas OSI 2 a 4.
En general, el NPB de L2-4 ofrece las siguientes funciones: redirección de tráfico (o partes específicas del mismo), filtrado de tráfico, replicación de tráfico, eliminación de protocolos, segmentación de paquetes (truncamiento), inicio o finalización de varios protocolos de túnel de red y balanceo de carga. Como era de esperar, el NPB de L2-4 puede filtrar VLAN, etiquetas MPLS, direcciones MAC (origen y destino), direcciones IP (origen y destino), puertos TCP y UDP (origen y destino) e incluso indicadores TCP, así como tráfico ICMP, SCTP y ARP. Esta función no se debe utilizar, sino que ofrece una idea de cómo el NPB, operando en las capas 2 a 4, puede separar e identificar subconjuntos de tráfico. Un requisito clave que los clientes deben buscar en el NPB es un backplane sin bloqueo.
El agente de paquetes de red debe ser capaz de gestionar el tráfico total de cada puerto del dispositivo. En el sistema de chasis, la interconexión con la placa base también debe ser capaz de gestionar la carga de tráfico total de los módulos conectados. Si el agente de paquetes de red (NPB) descarta el paquete, estas herramientas no comprenderán completamente la red.
Aunque la gran mayoría de los NPB se basan en ASIC o FPGA, debido a la certeza del rendimiento del procesamiento de paquetes, encontrará muchas integraciones o CPU aceptables (mediante módulos). Los agentes de paquetes de red Mylinking™ (NPB) se basan en una solución ASIC. Esta suele ser una característica que proporciona un procesamiento flexible y, por lo tanto, no puede implementarse únicamente en hardware. Estas incluyen la deduplicación de paquetes, las marcas de tiempo, el descifrado SSL/TLS, la búsqueda de palabras clave y la búsqueda de expresiones regulares. Es importante tener en cuenta que su funcionalidad depende del rendimiento de la CPU. (Por ejemplo, las búsquedas de expresiones regulares del mismo patrón pueden producir resultados de rendimiento muy diferentes según el tipo de tráfico, la tasa de coincidencia y el ancho de banda), por lo que no es fácil determinarlo antes de la implementación real.
Si se habilitan las funciones dependientes de la CPU, estas se convierten en un factor limitante en el rendimiento general del NPB. La llegada de las CPU y los chips de conmutación programables, como Cavium Xpliant, Barefoot Tofino e Innovium Teralynx, también sentó las bases de un conjunto ampliado de capacidades para los agentes de paquetes de red de próxima generación. Estas unidades funcionales pueden gestionar el tráfico por encima de la capa 4 (a menudo denominados agentes de paquetes de capa 7). Entre las funciones avanzadas mencionadas, la búsqueda por palabras clave y expresiones regulares es un buen ejemplo de capacidades de próxima generación. La capacidad de buscar cargas útiles de paquetes ofrece oportunidades para filtrar el tráfico a nivel de sesión y aplicación, y proporciona un control más preciso sobre una red en evolución que las capas 2-4.
¿Cómo encaja Network Packet Broker en la infraestructura?
El NPB se puede instalar en una infraestructura de red de dos maneras diferentes:
1- En línea
2- Fuera de banda.
Cada enfoque tiene ventajas y desventajas, y permite la manipulación del tráfico de maneras que otros no pueden. El agente de paquetes de red en línea gestiona el tráfico de red en tiempo real que atraviesa el dispositivo en su camino hacia su destino. Esto permite manipular el tráfico en tiempo real. Por ejemplo, al agregar, modificar o eliminar etiquetas VLAN o cambiar las direcciones IP de destino, el tráfico se copia a un segundo enlace. Como método en línea, NPB también puede proporcionar redundancia para otras herramientas en línea, como IDS, IPS o firewalls. NPB puede supervisar el estado de dichos dispositivos y redirigir dinámicamente el tráfico a la reserva activa en caso de fallo.
Proporciona una gran flexibilidad en el procesamiento y la replicación del tráfico a múltiples dispositivos de monitorización y seguridad sin afectar la red en tiempo real. Además, proporciona una visibilidad de red sin precedentes y garantiza que todos los dispositivos reciban una copia del tráfico necesario para gestionar adecuadamente sus responsabilidades. No solo garantiza que sus herramientas de monitorización, seguridad y análisis obtengan el tráfico que necesitan, sino que también garantiza la seguridad de su red. Además, garantiza que el dispositivo no consuma recursos con tráfico no deseado. Quizás su analizador de red no necesite registrar el tráfico de copia de seguridad porque ocupa valioso espacio en disco durante la copia de seguridad. Estos elementos se filtran fácilmente del analizador, preservando el resto del tráfico para la herramienta. Quizás tenga una subred completa que desee mantener oculta de otro sistema; nuevamente, esto se elimina fácilmente en el puerto de salida seleccionado. De hecho, un solo NPB puede procesar algunos enlaces de tráfico en línea mientras procesa otro tráfico fuera de banda.
Hora de publicación: 09-mar-2022
