Ein Network Packet Broker (NPB) ist ein switchähnliches Netzwerkgerät, dessen Größe von tragbaren Geräten über 1U- und 2U-Gehäuse bis hin zu großen Gehäusen und Platinen reicht. Im Gegensatz zu einem Switch verändert der NPB den durchfließenden Datenverkehr nur dann, wenn dies explizit angeordnet wird. Ein NPB kann Datenverkehr über eine oder mehrere Schnittstellen empfangen, vordefinierte Funktionen darauf anwenden und ihn anschließend über eine oder mehrere Schnittstellen ausgeben.
Diese Portzuordnungen werden häufig als Any-to-Any-, Many-to-Any- und Any-to-Many-Portzuordnungen bezeichnet. Die möglichen Funktionen reichen von einfachen Vorgängen wie dem Weiterleiten oder Verwerfen von Datenverkehr bis hin zu komplexen Vorgängen wie dem Filtern von Informationen oberhalb von Schicht 5 zur Identifizierung einer bestimmten Sitzung. Die Schnittstellen von NPB können Kupferkabelverbindungen sein, sind aber üblicherweise SFP/SFP+- und QSFP-Frames, die die Nutzung verschiedener Medien und Bandbreiten ermöglichen. Der Funktionsumfang von NPB basiert auf dem Prinzip der Maximierung der Effizienz von Netzwerkgeräten, insbesondere von Überwachungs-, Analyse- und Sicherheitstools.
Welche Funktionen bietet der Netzwerk-Paketbroker?
Die Fähigkeiten von NPBs sind vielfältig und können je nach Marke und Modell des Geräts variieren. Jeder professionelle Gehäusehersteller wird jedoch einen grundlegenden Funktionsumfang benötigen. Die meisten NPBs (insbesondere die gängigsten) arbeiten auf den OSI-Schichten 2 bis 4.
Im Allgemeinen bietet die NPB der Schichten 2 bis 4 folgende Funktionen: Umleitung des Datenverkehrs (oder bestimmter Teile davon), Filterung und Replikation des Datenverkehrs, Protokollentfernung, Paket-Slicing (Abschneiden), Starten und Beenden verschiedener Netzwerk-Tunnelprotokolle sowie Lastverteilung. Wie erwartet, kann die NPB der Schicht 2 bis 4 VLANs, MPLS-Labels, MAC-Adressen (Quell- und Zieladresse), IP-Adressen (Quell- und Zieladresse), TCP- und UDP-Ports (Quell- und Zieladresse) und sogar TCP-Flags sowie ICMP-, SCTP- und ARP-Datenverkehr filtern. Diese Funktion ist nicht zur praktischen Anwendung gedacht, sondern veranschaulicht lediglich, wie die NPB auf den Schichten 2 bis 4 Datenverkehrs-Teilmengen trennen und identifizieren kann. Ein wichtiges Kriterium für Kunden bei der Auswahl einer NPB ist eine nicht-blockierende Backplane.
Netzwerkpaketbroker müssen den vollen Datendurchsatz jedes Ports des Geräts bewältigen können. Im Chassis-System muss die Verbindung zur Backplane ebenfalls die volle Last der angeschlossenen Module aushalten. Wenn der Netzwerkpaketbroker Pakete verwirft, können diese Tools das Netzwerk nicht vollständig erfassen.
Obwohl die überwiegende Mehrheit der NPB-Systeme auf ASICs oder FPGAs basiert, sind aufgrund der zuverlässigen Paketverarbeitungsleistung viele Integrationen oder CPUs (über Module) akzeptabel. Die Mylinking™ Network Packet Broker (NPB) basieren auf einer ASIC-Lösung. Dies ist üblicherweise eine Funktion, die eine flexible Verarbeitung ermöglicht und daher nicht rein hardwarebasiert realisiert werden kann. Dazu gehören Paketdeduplizierung, Zeitstempel, SSL/TLS-Entschlüsselung, Stichwortsuche und Suche mit regulären Ausdrücken. Es ist wichtig zu beachten, dass die Funktionalität von der CPU-Leistung abhängt. (Beispielsweise können reguläre Ausdruckssuchen nach demselben Muster je nach Verkehrstyp, Trefferrate und Bandbreite sehr unterschiedliche Ergebnisse liefern.) Daher ist die Leistung vor der eigentlichen Implementierung schwer vorherzusagen.
Sind CPU-abhängige Funktionen aktiviert, beeinträchtigen sie die Gesamtleistung des NPB. Die Entwicklung von CPUs und programmierbaren Switching-Chips wie Cavium Xpliant, Barefoot Tofino und Innovium Teralynx bildete die Grundlage für erweiterte Funktionen von Netzwerkpaketagenten der nächsten Generation. Diese Funktionseinheiten können Datenverkehr oberhalb von Schicht 4 verarbeiten (oft als Schicht-7-Paketagenten bezeichnet). Zu den oben genannten erweiterten Funktionen zählen die Stichwort- und reguläre Ausdruckssuche. Die Möglichkeit, Paketnutzdaten zu durchsuchen, bietet Optionen zum Filtern des Datenverkehrs auf Sitzungs- und Anwendungsebene und ermöglicht eine präzisere Steuerung eines sich entwickelnden Netzwerks als die Schichten 2 bis 4.
Wie fügt sich Network Packet Broker in die Infrastruktur ein?
Der NPB kann auf zwei verschiedene Arten in eine Netzwerkinfrastruktur installiert werden:
1- Inline
2- Außerhalb des Frequenzbandes.
Jeder Ansatz hat Vor- und Nachteile und ermöglicht eine Steuerung des Datenverkehrs, die mit anderen Ansätzen nicht möglich ist. Der Inline-Netzwerkpaketbroker (NPB) verarbeitet den Netzwerkverkehr in Echtzeit, der das Gerät auf seinem Weg zum Ziel durchläuft. Dadurch kann der Datenverkehr in Echtzeit manipuliert werden. Beispielsweise wird beim Hinzufügen, Ändern oder Löschen von VLAN-Tags oder beim Ändern von Ziel-IP-Adressen der Datenverkehr auf eine zweite Verbindung umgeleitet. Als Inline-Methode kann der NPB zudem Redundanz für andere Inline-Tools wie IDS, IPS oder Firewalls bereitstellen. Der NPB kann den Status dieser Geräte überwachen und den Datenverkehr im Fehlerfall dynamisch auf einen Hot-Standby-Server umleiten.
Es bietet hohe Flexibilität bei der Verarbeitung und Replikation des Datenverkehrs an mehrere Überwachungs- und Sicherheitsgeräte, ohne das Echtzeitnetzwerk zu beeinträchtigen. Zudem ermöglicht es eine beispiellose Netzwerktransparenz und stellt sicher, dass alle Geräte eine Kopie des benötigten Datenverkehrs erhalten, um ihre Aufgaben ordnungsgemäß zu erfüllen. So wird nicht nur gewährleistet, dass Ihre Überwachungs-, Sicherheits- und Analysetools den benötigten Datenverkehr erhalten, sondern auch, dass Ihr Netzwerk sicher ist. Darüber hinaus wird sichergestellt, dass das Gerät keine Ressourcen für unerwünschten Datenverkehr verbraucht. Möglicherweise muss Ihr Netzwerk-Analyzer keinen Backup-Datenverkehr aufzeichnen, da dieser während der Sicherung wertvollen Speicherplatz belegt. Dieser Datenverkehr kann einfach aus dem Analyzer herausgefiltert werden, während der übrige Datenverkehr für das Tool erhalten bleibt. Vielleicht möchten Sie ein ganzes Subnetz vor anderen Systemen verbergen; auch dies lässt sich einfach über den ausgewählten Ausgabeport entfernen. Tatsächlich kann ein einzelner NPB einige Datenverkehrsverbindungen inline verarbeiten, während anderer Datenverkehr außerhalb des Bandes verarbeitet wird.
Veröffentlichungsdatum: 09. März 2022
