Network Packet Broker (NPB) ist ein Switch-ähnliches Netzwerkgerät, dessen Größe von tragbaren Geräten über 1U- und 2U-Gehäuse bis hin zu großen Gehäusen und Platinensystemen reicht. Im Gegensatz zu einem Switch ändert der NPB den durch ihn fließenden Datenverkehr in keiner Weise, es sei denn, es wird ausdrücklich dazu aufgefordert. NPB kann Datenverkehr auf einer oder mehreren Schnittstellen empfangen, einige vordefinierte Funktionen für diesen Datenverkehr ausführen und ihn dann an eine oder mehrere Schnittstellen ausgeben.
Diese werden oft als Any-to-Any-, Many-to-Any- und Any-to-Many-Portzuordnungen bezeichnet. Die ausführbaren Funktionen reichen von einfachen Funktionen wie dem Weiterleiten oder Verwerfen von Datenverkehr bis hin zu komplexen Funktionen wie dem Filtern von Informationen über Schicht 5, um eine bestimmte Sitzung zu identifizieren. Schnittstellen auf NPB können Kupferkabelverbindungen sein, in der Regel handelt es sich jedoch um SFP/SFP+- und QSFP-Frames, die Benutzern die Nutzung verschiedener Medien und Bandbreitengeschwindigkeiten ermöglichen. Der Funktionsumfang von NPB basiert auf dem Prinzip der Maximierung der Effizienz von Netzwerkgeräten, insbesondere Überwachungs-, Analyse- und Sicherheitstools.
Welche Funktionen bietet der Network Packet Broker?
Die Funktionen von NPB sind zahlreich und können je nach Marke und Modell des Geräts variieren, obwohl jeder Paketdienstleister, der etwas drauf hat, über einen Kernsatz an Funktionen verfügen möchte. Die meisten NPB (die gebräuchlichste NPB) funktionieren auf den OSI-Schichten 2 bis 4.
Im Allgemeinen finden Sie auf dem NPB von L2-4 die folgenden Funktionen: Verkehrsumleitung (oder bestimmte Teile davon), Verkehrsfilterung, Verkehrsreplikation, Protokollentfernung, Paketaufteilung (Trunkierung), Starten oder Beenden verschiedener Netzwerktunnelprotokolle, und Lastausgleich für den Datenverkehr. Wie erwartet kann der NPB von L2-4 VLAN, MPLS-Labels, MAC-Adressen (Quelle und Ziel), IP-Adressen (Quelle und Ziel), TCP- und UDP-Ports (Quelle und Ziel) und sogar TCP-Flags sowie ICMP filtern. SCTP- und ARP-Verkehr. Hierbei handelt es sich keineswegs um eine zu verwendende Funktion, sondern um eine Vorstellung davon, wie NPB, das auf den Schichten 2 bis 4 arbeitet, Verkehrsteilmengen trennen und identifizieren kann. Eine wichtige Anforderung, auf die Kunden bei NPB achten sollten, ist eine nicht blockierende Rückwandplatine.
Der Netzwerkpaket-Broker muss in der Lage sein, den vollen Datendurchsatz jedes Ports auf dem Gerät zu bewältigen. Im Chassis-System muss die Verbindung mit der Backplane auch die volle Verkehrslast der angeschlossenen Module bewältigen können. Wenn der NPB das Paket verwirft, können diese Tools das Netzwerk nicht vollständig verstehen.
Obwohl die überwiegende Mehrheit von NPB auf ASIC oder FPGA basiert, sind aufgrund der sicheren Paketverarbeitungsleistung viele Integrationen oder CPUs akzeptabel (über Module). Die Mylinking™ Network Packet Brokers (NPB) basieren auf einer ASIC-Lösung. Dabei handelt es sich in der Regel um eine Funktion, die eine flexible Verarbeitung ermöglicht und daher nicht rein in der Hardware möglich ist. Dazu gehören Paketdeduplizierung, Zeitstempel, SSL/TLS-Entschlüsselung, Schlüsselwortsuche und Suche nach regulären Ausdrücken. Es ist wichtig zu beachten, dass seine Funktionalität von der CPU-Leistung abhängt. (Beispielsweise kann die Suche nach regulären Ausdrücken nach demselben Muster je nach Verkehrstyp, Übereinstimmungsrate und Bandbreite zu sehr unterschiedlichen Leistungsergebnissen führen), daher ist es nicht einfach, dies vor der tatsächlichen Implementierung zu bestimmen.
Wenn CPU-abhängige Funktionen aktiviert sind, werden sie zu einem begrenzenden Faktor für die Gesamtleistung des NPB. Das Aufkommen von CPUs und programmierbaren Switching-Chips wie Cavium als L7-Paketagenten). Unter den oben erwähnten erweiterten Funktionen sind die Suche nach Schlüsselwörtern und regulären Ausdrücken gute Beispiele für Funktionen der nächsten Generation. Die Möglichkeit, Paketnutzlasten zu durchsuchen, bietet Möglichkeiten zum Filtern des Datenverkehrs auf Sitzungs- und Anwendungsebene und bietet eine feinere Kontrolle über ein sich entwickelndes Netzwerk als L2-4.
Wie passt Network Packet Broker in die Infrastruktur?
Der NPB kann auf zwei verschiedene Arten in eine Netzwerkinfrastruktur installiert werden:
1- Inline
2- Out-of-Band.
Jeder Ansatz hat Vor- und Nachteile und ermöglicht eine Verkehrsmanipulation auf eine Weise, die andere Ansätze nicht können. Der Inline-Netzwerk-Paketbroker verfügt über Echtzeit-Netzwerkverkehr, der das Gerät auf seinem Weg zu seinem Ziel durchquert. Dies bietet die Möglichkeit, den Verkehr in Echtzeit zu manipulieren. Wenn Sie beispielsweise VLAN-Tags hinzufügen, ändern oder löschen oder Ziel-IP-Adressen ändern, wird der Datenverkehr auf einen zweiten Link kopiert. Als Inline-Methode kann NPB auch Redundanz für andere Inline-Tools wie IDS, IPS oder Firewalls bereitstellen. NPB kann den Status solcher Geräte überwachen und im Falle eines Ausfalls den Datenverkehr dynamisch in den Hot-Standby umleiten.
Es bietet große Flexibilität bei der Verarbeitung und Replikation des Datenverkehrs auf mehrere Überwachungs- und Sicherheitsgeräte, ohne das Echtzeitnetzwerk zu beeinträchtigen. Es bietet außerdem eine beispiellose Netzwerktransparenz und stellt sicher, dass alle Geräte eine Kopie des Datenverkehrs erhalten, der zur ordnungsgemäßen Erfüllung ihrer Aufgaben erforderlich ist. Es stellt nicht nur sicher, dass Ihre Überwachungs-, Sicherheits- und Analysetools den benötigten Datenverkehr erhalten, sondern auch, dass Ihr Netzwerk sicher ist. Es stellt außerdem sicher, dass das Gerät keine Ressourcen durch unerwünschten Datenverkehr verbraucht. Möglicherweise muss Ihr Netzwerkanalysator den Backup-Verkehr nicht aufzeichnen, da er während der Sicherung wertvollen Speicherplatz beansprucht. Diese Dinge lassen sich leicht aus dem Analysator herausfiltern, während der gesamte andere Datenverkehr für das Tool erhalten bleibt. Vielleicht haben Sie ein ganzes Subnetz, das Sie vor einem anderen System verbergen möchten; Auch dies lässt sich am ausgewählten Ausgangsport leicht entfernen. Tatsächlich kann ein einzelner NPB einige Verkehrsverbindungen inline verarbeiten, während er anderen Out-of-Band-Verkehr verarbeitet.
Zeitpunkt der Veröffentlichung: 09.03.2022