El Network Packet Broker (NPB) es un dispositivo de red tipo conmutador que varía en tamaño, desde dispositivos portátiles hasta unidades de 1U y 2U, e incluso sistemas de placas de circuito impreso de gran tamaño. A diferencia de un conmutador, el NPB no modifica el tráfico que lo atraviesa a menos que se le indique explícitamente. El NPB puede recibir tráfico en una o más interfaces, realizar funciones predefinidas sobre dicho tráfico y, posteriormente, enviarlo a una o más interfaces.
A menudo se las denomina asignaciones de puertos de cualquier a cualquier, de muchos a cualquier y de cualquier a muchos. Las funciones que se pueden realizar van desde simples, como reenviar o descartar tráfico, hasta complejas, como filtrar información por encima de la capa 5 para identificar una sesión específica. Las interfaces en NPB pueden ser conexiones de cable de cobre, pero generalmente son tramas SFP/SFP+ y QSFP, lo que permite a los usuarios utilizar una variedad de medios y velocidades de ancho de banda. El conjunto de características de NPB se basa en el principio de maximizar la eficiencia de los equipos de red, en particular las herramientas de monitoreo, análisis y seguridad.
¿Qué funciones proporciona el Network Packet Broker?
Las capacidades de NPB son numerosas y pueden variar según la marca y el modelo del dispositivo, aunque cualquier agente de empaquetado competente querrá contar con un conjunto básico de capacidades. La mayoría de las funciones de NPB (las más comunes) operan en las capas 2 a 4 del modelo OSI.
En general, en el NPB de L2-4 se pueden encontrar las siguientes características: redirección de tráfico (o partes específicas del mismo), filtrado de tráfico, replicación de tráfico, eliminación de protocolos, segmentación de paquetes (truncamiento), inicio o finalización de varios protocolos de túnel de red y balanceo de carga para el tráfico. Como era de esperar, el NPB de L2-4 puede filtrar VLAN, etiquetas MPLS, direcciones MAC (origen y destino), direcciones IP (origen y destino), puertos TCP y UDP (origen y destino), e incluso indicadores TCP, así como tráfico ICMP, SCTP y ARP. Esta no es una característica que deba utilizarse, sino que proporciona una idea de cómo el NPB que opera en las capas 2 a 4 puede separar e identificar subconjuntos de tráfico. Un requisito clave que los clientes deben buscar en el NPB es un backplane sin bloqueo.
El gestor de paquetes de red debe ser capaz de gestionar el flujo de tráfico completo de cada puerto del dispositivo. En el sistema de chasis, la interconexión con el plano posterior también debe ser capaz de gestionar la carga de tráfico completa de los módulos conectados. Si el gestor de paquetes de red descarta un paquete, estas herramientas no tendrán una comprensión completa de la red.
Aunque la gran mayoría de los NPB se basan en ASIC o FPGA, debido a la certeza del rendimiento del procesamiento de paquetes, encontrará muchas integraciones o CPU aceptables (a través de módulos). Los NPB (Network Packet Brokers) de Mylinking™ se basan en una solución ASIC. Esta es una característica que generalmente proporciona un procesamiento flexible y, por lo tanto, no se puede realizar únicamente en hardware. Esto incluye la deduplicación de paquetes, marcas de tiempo, descifrado SSL/TLS, búsqueda por palabras clave y búsqueda por expresiones regulares. Es importante tener en cuenta que su funcionalidad depende del rendimiento de la CPU. (Por ejemplo, las búsquedas de expresiones regulares del mismo patrón pueden arrojar resultados de rendimiento muy diferentes según el tipo de tráfico, la tasa de coincidencia y el ancho de banda), por lo que no es fácil determinarlo antes de la implementación real.
Si se habilitan las funciones dependientes de la CPU, se convierten en un factor limitante en el rendimiento general del NPB. La llegada de las CPU y los chips de conmutación programables, como Cavium Xpliant, Barefoot Tofino e Innovium Teralynx, también sentó las bases de un conjunto ampliado de capacidades para los agentes de paquetes de red de próxima generación. Estas unidades funcionales pueden gestionar el tráfico por encima de la capa 4 (a menudo denominados agentes de paquetes de capa 7). Entre las funciones avanzadas mencionadas anteriormente, la búsqueda por palabras clave y expresiones regulares son buenos ejemplos de capacidades de próxima generación. La capacidad de buscar cargas útiles de paquetes ofrece oportunidades para filtrar el tráfico a nivel de sesión y aplicación, y proporciona un control más preciso sobre una red en evolución que las capas 2 a 4.
¿Cómo se integra Network Packet Broker en la infraestructura?
El NPB se puede instalar en una infraestructura de red de dos maneras diferentes:
1- En línea
2- Fuera de banda.
Cada enfoque tiene ventajas y desventajas, y permite manipular el tráfico de maneras que otros métodos no permiten. El intermediario de paquetes de red en línea (NPB) gestiona el tráfico de red en tiempo real que atraviesa el dispositivo en su camino hacia el destino. Esto brinda la oportunidad de manipular el tráfico en tiempo real. Por ejemplo, al agregar, modificar o eliminar etiquetas VLAN o cambiar direcciones IP de destino, el tráfico se copia a un segundo enlace. Como método en línea, el NPB también puede proporcionar redundancia para otras herramientas en línea, como sistemas de detección de intrusiones (IDS), sistemas de prevención de intrusiones (IPS) o firewalls. El NPB puede monitorear el estado de estos dispositivos y redirigir dinámicamente el tráfico a la red de reserva activa en caso de falla.
Ofrece una gran flexibilidad en el procesamiento y la replicación del tráfico a múltiples dispositivos de monitorización y seguridad sin afectar a la red en tiempo real. Además, proporciona una visibilidad de red sin precedentes y garantiza que todos los dispositivos reciban una copia del tráfico necesario para gestionar correctamente sus funciones. No solo asegura que sus herramientas de monitorización, seguridad y análisis reciban el tráfico que necesitan, sino también que su red sea segura. Asimismo, garantiza que el dispositivo no consuma recursos en tráfico no deseado. Quizás su analizador de red no necesite registrar el tráfico de copia de seguridad porque ocupa un valioso espacio en disco durante el proceso. Este tráfico se filtra fácilmente del analizador, conservando el resto del tráfico para la herramienta. Tal vez tenga una subred completa que desee mantener oculta a otros sistemas; de nuevo, esto se elimina fácilmente en el puerto de salida seleccionado. De hecho, un único NPB puede procesar algunos enlaces de tráfico en línea mientras procesa otro tráfico fuera de banda.
Fecha de publicación: 9 de marzo de 2022
