Network Packet Broker (NPB) es un dispositivo de red similar a un conmutador que varía en tamaño, desde dispositivos portátiles hasta cajas unitarias de 1U y 2U, hasta cajas grandes y sistemas de placa. A diferencia de un conmutador, el NPB no cambia el tráfico que fluye a través de él de ninguna manera a menos que se indique explícitamente. NPB puede recibir tráfico en una o más interfaces, realizar algunas funciones predefinidas en ese tráfico y luego enviarlo a una o más interfaces.
A menudo se les denomina asignaciones de puertos cualquiera a cualquiera, muchos a cualquiera y cualquiera a muchos. Las funciones que se pueden realizar van desde simples, como reenviar o descartar tráfico, hasta complejas, como filtrar información por encima de la capa 5 para identificar una sesión particular. Las interfaces en NPB pueden ser conexiones de cable de cobre, pero generalmente son marcos SFP/SFP + y QSFP, que permiten a los usuarios utilizar una variedad de medios y velocidades de ancho de banda. El conjunto de funciones de NPB se basa en el principio de maximizar la eficiencia de los equipos de red, en particular las herramientas de monitoreo, análisis y seguridad.
¿Qué funciones proporciona Network Packet Broker?
Las capacidades de NPB son numerosas y pueden variar según la marca y el modelo del dispositivo, aunque cualquier agente de paquetes que se precie querrá tener un conjunto básico de capacidades. La mayoría de los NPB (el NPB más común) funcionan en las capas OSI 2 a 4.
En general, puede encontrar las siguientes características en el NPB de L2-4: redirección de tráfico (o partes específicas del mismo), filtrado de tráfico, replicación de tráfico, eliminación de protocolos, división de paquetes (truncamiento), inicio o finalización de varios protocolos de túnel de red, y equilibrio de carga para el tráfico. Como era de esperar, el NPB de L2-4 puede filtrar VLAN, etiquetas MPLS, direcciones MAC (origen y destino), direcciones IP (origen y destino), puertos TCP y UDP (origen y destino) e incluso indicadores TCP, así como ICMP. Tráfico SCTP y ARP. Esta no es de ninguna manera una característica que deba usarse, sino que proporciona una idea de cómo NPB que opera en las capas 2 a 4 puede separar e identificar subconjuntos de tráfico. Un requisito clave que los clientes deben buscar en NPB es un backplane sin bloqueo.
El corredor de paquetes de red debe poder satisfacer el rendimiento total del tráfico de cada puerto del dispositivo. En el sistema de chasis, la interconexión con el backplane también debe poder soportar la carga de tráfico total de los módulos conectados. Si el NPB descarta el paquete, estas herramientas no tendrán una comprensión completa de la red.
Aunque la gran mayoría de NPB se basa en ASIC o FPGA, debido a la certeza del rendimiento del procesamiento de paquetes, encontrará muchas integraciones o CPU aceptables (a través de módulos). Los agentes de paquetes de red (NPB) Mylinking™ se basan en una solución ASIC. Esta suele ser una característica que proporciona un procesamiento flexible y, por lo tanto, no se puede realizar únicamente en hardware. Estos incluyen deduplicación de paquetes, marcas de tiempo, descifrado SSL/TLS, búsqueda de palabras clave y búsqueda de expresiones regulares. Es importante señalar que su funcionalidad depende del rendimiento de la CPU. (Por ejemplo, las búsquedas con expresiones regulares del mismo patrón pueden generar resultados de rendimiento muy diferentes según el tipo de tráfico, la tasa de coincidencia y el ancho de banda), por lo que no es fácil determinarlo antes de la implementación real.
Si las funciones dependientes de la CPU están habilitadas, se convierten en un factor limitante en el rendimiento general del NPB. La llegada de CPU y chips de conmutación programables, como Cavium Xpliant, Barefoot Tofino e Innovium Teralynx, también formó la base de un conjunto ampliado de capacidades para los agentes de paquetes de red de próxima generación. Estas unidades funcionales pueden manejar tráfico por encima de L4 (a menudo denominado como agentes de paquetes L7). Entre las funciones avanzadas mencionadas anteriormente, la búsqueda de palabras clave y expresiones regulares son buenos ejemplos de capacidades de próxima generación. La capacidad de buscar cargas útiles de paquetes brinda oportunidades para filtrar el tráfico en los niveles de sesión y aplicación, y proporciona un control más preciso sobre una red en evolución que el L2-4.
¿Cómo encaja Network Packet Broker en la infraestructura?
El NPB se puede instalar en una infraestructura de red de dos maneras diferentes:
1- en línea
2- Fuera de banda.
Cada enfoque tiene ventajas y desventajas y permite la manipulación del tráfico de maneras que otros enfoques no pueden. El intermediario de paquetes de red en línea tiene tráfico de red en tiempo real que atraviesa el dispositivo en su camino hacia su destino. Esto brinda la oportunidad de manipular el tráfico en tiempo real. Por ejemplo, al agregar, modificar o eliminar etiquetas VLAN o cambiar las direcciones IP de destino, el tráfico se copia a un segundo enlace. Como método en línea, NPB también puede proporcionar redundancia para otras herramientas en línea, como IDS, IPS o firewalls. NPB puede monitorear el estado de dichos dispositivos y redirigir dinámicamente el tráfico al modo de espera activo en caso de falla.
Proporciona una gran flexibilidad en la forma en que se procesa y replica el tráfico en múltiples dispositivos de monitoreo y seguridad sin afectar la red en tiempo real. También proporciona una visibilidad de red sin precedentes y garantiza que todos los dispositivos reciban una copia del tráfico necesario para manejar adecuadamente sus responsabilidades. No solo garantiza que sus herramientas de monitoreo, seguridad y análisis obtengan el tráfico que necesitan, sino también que su red esté segura. También garantiza que el dispositivo no consuma recursos en tráfico no deseado. Quizás su analizador de red no necesite registrar el tráfico de la copia de seguridad porque ocupa un valioso espacio en el disco durante la copia de seguridad. Estas cosas se filtran fácilmente del analizador y al mismo tiempo se preservan todo el resto del tráfico de la herramienta. Tal vez tenga una subred completa que desee mantener oculta de algún otro sistema; Nuevamente, esto se elimina fácilmente en el puerto de salida seleccionado. De hecho, un único NPB puede procesar algunos enlaces de tráfico en línea mientras procesa otro tráfico fuera de banda.
Hora de publicación: 09-mar-2022