Der Network Packet Broker (NPB) ist ein Switch-ähnliches Netzwerkgerät, dessen Größe von tragbaren Geräten über 1HE- und 2HE-Gehäuse bis hin zu großen Gehäusen und Boardsystemen reicht. Im Gegensatz zu einem Switch verändert der NPB den durch ihn fließenden Datenverkehr nicht, es sei denn, er wird ausdrücklich dazu aufgefordert. Der NPB kann Datenverkehr über eine oder mehrere Schnittstellen empfangen, bestimmte vordefinierte Funktionen darauf ausführen und ihn anschließend an eine oder mehrere Schnittstellen ausgeben.
Diese werden oft als Any-to-Any-, Many-to-Any- und Any-to-Many-Port-Mappings bezeichnet. Die ausführbaren Funktionen reichen von einfachen Funktionen wie der Weiterleitung oder Verwerfung von Datenverkehr bis hin zu komplexen Funktionen wie dem Filtern von Informationen oberhalb von Layer 5 zur Identifizierung einer bestimmten Sitzung. Schnittstellen auf NPB können Kupferkabelverbindungen sein, sind aber in der Regel SFP/SFP+- und QSFP-Frames, die die Nutzung unterschiedlicher Medien und Bandbreitengeschwindigkeiten ermöglichen. Der Funktionsumfang von NPB basiert auf dem Prinzip der maximalen Effizienz von Netzwerkgeräten, insbesondere von Überwachungs-, Analyse- und Sicherheitstools.
Welche Funktionen bietet der Network Packet Broker?
Die Funktionen von NPB sind vielfältig und können je nach Marke und Modell des Geräts variieren. Jeder Paketagent, der etwas auf sich hält, sollte jedoch über einen Kernsatz an Funktionen verfügen. Die meisten NPB-Funktionen (die gängigsten) befinden sich auf den OSI-Schichten 2 bis 4.
Im Allgemeinen bietet der NPB von L2-4 folgende Funktionen: Umleitung des Datenverkehrs (oder bestimmter Teile davon), Datenverkehrsfilterung, Datenverkehrsreplikation, Protokoll-Stripping, Paket-Slicing (Trunkierung), Starten oder Beenden verschiedener Netzwerktunnelprotokolle und Lastenausgleich für den Datenverkehr. Wie erwartet kann der NPB von L2-4 VLAN, MPLS-Labels, MAC-Adressen (Quelle und Ziel), IP-Adressen (Quelle und Ziel), TCP- und UDP-Ports (Quelle und Ziel) und sogar TCP-Flags sowie ICMP-, SCTP- und ARP-Datenverkehr filtern. Dies ist keine Funktion, die direkt genutzt werden kann, sondern vermittelt vielmehr einen Eindruck davon, wie NPB auf den Ebenen 2 bis 4 Datenverkehrsteilmengen trennen und identifizieren kann. Eine wichtige Anforderung an den NPB ist eine nicht blockierende Backplane.
Netzwerkpaketbroker müssen den vollen Datendurchsatz jedes Ports des Geräts bewältigen können. Im Chassis-System muss die Verbindung mit der Backplane ebenfalls die volle Datenlast der angeschlossenen Module bewältigen können. Wenn der NPB das Paket verwirft, verfügen diese Tools nicht über ein vollständiges Verständnis des Netzwerks.
Obwohl die überwiegende Mehrheit der NPBs auf ASIC oder FPGA basiert, sind aufgrund der hohen Paketverarbeitungsleistung viele Integrationen oder CPUs (über Module) akzeptabel. Die Mylinking™ Network Packet Broker (NPB) basieren auf einer ASIC-Lösung. Diese Funktion ermöglicht in der Regel flexible Verarbeitung und kann daher nicht rein hardwarebasiert umgesetzt werden. Zu den Funktionen gehören Paketdeduplizierung, Zeitstempel, SSL/TLS-Entschlüsselung, Stichwortsuche und Suche mit regulären Ausdrücken. Wichtig zu beachten ist, dass die Funktionalität von der CPU-Leistung abhängt. (So können beispielsweise Suchen mit regulären Ausdrücken desselben Musters je nach Verkehrstyp, Trefferquote und Bandbreite zu sehr unterschiedlichen Leistungsergebnissen führen.) Daher ist dies vor der tatsächlichen Implementierung nicht einfach zu bestimmen.
Sind CPU-abhängige Funktionen aktiviert, werden sie zu einem limitierenden Faktor für die Gesamtleistung des NPB. Die Einführung von CPUs und programmierbaren Switching-Chips wie Cavium Xpliant, Barefoot Tofino und Innovium Teralynx bildete zudem die Grundlage für erweiterte Funktionen für Netzwerk-Paketagenten der nächsten Generation. Diese Funktionseinheiten können Datenverkehr oberhalb von L4 verarbeiten (oft als L7-Paketagenten bezeichnet). Zu den oben genannten erweiterten Funktionen zählen die Stichwortsuche und die Suche nach regulären Ausdrücken, die gute Beispiele für Funktionen der nächsten Generation sind. Die Möglichkeit, Paketnutzdaten zu durchsuchen, ermöglicht die Filterung des Datenverkehrs auf Sitzungs- und Anwendungsebene und ermöglicht eine feinere Kontrolle über ein sich entwickelndes Netzwerk als L2-4.
Wie passt Network Packet Broker in die Infrastruktur?
Die NPB kann auf zwei verschiedene Arten in eine Netzwerkinfrastruktur installiert werden:
1- Inline
2- Außerhalb des Bandes.
Jeder Ansatz hat Vor- und Nachteile und ermöglicht eine Manipulation des Datenverkehrs, die anderen Ansätzen nicht möglich ist. Der Inline-Netzwerkpaketbroker erfasst den Netzwerkverkehr in Echtzeit, der das Gerät auf dem Weg zu seinem Ziel durchläuft. Dies bietet die Möglichkeit, den Datenverkehr in Echtzeit zu manipulieren. Beispielsweise wird beim Hinzufügen, Ändern oder Löschen von VLAN-Tags oder beim Ändern der Ziel-IP-Adressen der Datenverkehr auf eine zweite Verbindung kopiert. Als Inline-Methode bietet NPB zudem Redundanz für andere Inline-Tools wie IDS, IPS oder Firewalls. NPB kann den Status solcher Geräte überwachen und den Datenverkehr im Fehlerfall dynamisch auf den Hot-Standby-Modus umleiten.
Es bietet hohe Flexibilität bei der Verarbeitung und Replikation des Datenverkehrs auf mehrere Überwachungs- und Sicherheitsgeräte, ohne das Echtzeitnetzwerk zu beeinträchtigen. Es bietet zudem beispiellose Netzwerktransparenz und stellt sicher, dass alle Geräte eine Kopie des Datenverkehrs erhalten, den sie für die ordnungsgemäße Erfüllung ihrer Aufgaben benötigen. Es stellt nicht nur sicher, dass Ihre Überwachungs-, Sicherheits- und Analysetools den benötigten Datenverkehr erhalten, sondern auch, dass Ihr Netzwerk sicher ist. Es stellt außerdem sicher, dass das Gerät keine Ressourcen für unerwünschten Datenverkehr verbraucht. Möglicherweise muss Ihr Netzwerkanalysator den Backup-Datenverkehr nicht aufzeichnen, da dieser während der Sicherung wertvollen Speicherplatz belegt. Diese Daten lassen sich problemlos aus dem Analysator herausfiltern, während der gesamte übrige Datenverkehr für das Tool erhalten bleibt. Vielleicht haben Sie ein ganzes Subnetz, das Sie vor einem anderen System verbergen möchten; auch dies lässt sich am ausgewählten Ausgabeport einfach entfernen. Tatsächlich kann ein einzelner NPB einige Verkehrsverbindungen inline verarbeiten, während anderer Out-of-Band-Datenverkehr verarbeitet wird.
Beitragszeit: 09.03.2022