En Network Packet Broker (NPB) ass en switchähnlecht Netzwierkapparat, dat a Gréisst vu portable Geräter iwwer 1U- an 2U-Eenheetsgehäiser bis hin zu grousse Gehäiser a Boardsystemer reechent. Am Géigesaz zu engem Switch ännert den NPB den Traffic, deen duerch hie fléisst, op keng Manéier, ausser et gëtt explizit uginn. Den NPB kann Traffic op enger oder méi Schnëttstellen empfänken, virdefinéiert Funktiounen op deem Traffic ausféieren an en dann op eng oder méi Schnëttstellen ausginn.
Dës ginn dacks als any-to-any, many-to-any an any-to-many Port Mappings bezeechent. D'Funktiounen, déi ausgefouert kënne ginn, reeche vu einfachen, wéi zum Beispill d'Weiderleitung oder d'Ofweisung vum Traffic, bis zu komplexen, wéi zum Beispill d'Filterung vun Informatiounen iwwer Layer 5 fir eng spezifesch Sessioun z'identifizéieren. Schnëttstellen op NPB kënne Kupferkabelverbindunge sinn, awer si sinn normalerweis SFP/SFP+ a QSFP Frames, déi et de Benotzer erlaben, eng Vielfalt vu Medien- a Bandbreetgeschwindegkeeten ze benotzen. De Feature-Set vun NPB baséiert op dem Prinzip vun der Maximéierung vun der Effizienz vun Netzwierkausrüstung, besonnesch Iwwerwaachungs-, Analyse- a Sécherheetsinstrumenter.
Wéi eng Funktiounen bitt den Network Packet Broker?
D'Méiglechkeete vun NPB si villfälteg a kënne jee no Mark a Modell vum Apparat variéieren, obwuel all Package Agent, deen säi Salz wäert ass, e Kärset vu Funktiounen wëll hunn. Déi meescht NPB (déi heefegst NPB) funktionéieren op OSI Schichten 2 bis 4.
Am Allgemengen fannt Dir déi folgend Funktiounen um NPB vum L2-4: Ëmleitung vum Traffic (oder spezifeschen Deeler dovun), Trafficfilterung, Trafficreplikatioun, Protokollstrippen, Paketschneiden (Trunkatioun), Start oder Beendigung vu verschiddene Netzwierktunnelprotokoller a Lastausgleich fir den Traffic. Wéi erwaart kann den NPB vum L2-4 VLAN, MPLS-Labels, MAC-Adressen (Quell an Zil), IP-Adressen (Quell an Zil), TCP- an UDP-Ports (Quell an Zil), a souguer TCP-Fändelen, souwéi ICMP-, SCTP- an ARP-Traffic filteren. Dëst ass op kee Fall eng Funktioun déi benotzt soll ginn, mee gëtt éischter eng Iddi wéi NPB, déi op de Schichten 2 bis 4 funktionéiert, Traffic-Ënnergruppen trennen an identifizéiere kann. Eng Schlësselfuerderung, op déi d'Clienten am NPB oppasse sollten, ass e net-blockéierende Backplane.
Netzwierkpaketbroker mussen de vollen Trafficduerchlaf vun all Port um Apparat erfëlle kënnen. Am Chassis-System muss d'Verbindung mam Backplane och de vollen Traffic vun de verbonnene Moduler erfëlle kënnen. Wann den NPB de Pakett fale léisst, hunn dës Tools kee komplett Verständnis vum Netzwierk.
Och wann déi grouss Majoritéit vun NPB op ASIC oder FPGA baséiert ass, fannt Dir wéinst der Sécherheet vun der Paketveraarbechtungsleistung vill Integratiounen oder CPUs akzeptabel (iwwer Moduler). D'Mylinking™ Network Packet Brokers (NPB) baséieren op enger ASIC-Léisung. Dëst ass normalerweis eng Funktioun, déi flexibel Veraarbechtung ubitt an dofir net eleng an der Hardware gemaach ka ginn. Dozou gehéieren Pakettduplikatioun, Zäitstempel, SSL/TLS-Entschlësselung, Schlësselwuertsich a regulär Ausdrockssich. Et ass wichteg ze bemierken, datt seng Funktionalitéit vun der CPU-Leistung ofhänkt. (Zum Beispill kënnen regulär Ausdrockssich vum selwechte Muster ganz ënnerschiddlech Leeschtungsresultater erreechen, ofhängeg vum Traffictyp, der Matchingrate an der Bandbreet), sou datt et net einfach ass, et virun der tatsächlecher Ëmsetzung ze bestëmmen.
Wann CPU-ofhängeg Funktiounen aktivéiert sinn, ginn se zu engem limitéierende Faktor an der Gesamtperformance vum NPB. D'Entstoe vu CPUs a programméierbare Switching-Chips, wéi Cavium Xpliant, Barefoot Tofino an Innovium Teralynx, huet och d'Basis fir eng erweidert Palette vu Méiglechkeeten fir Netzwierk-Paket-Agenten vun der nächster Generatioun gebilt. Dës funktionell Eenheeten kënnen den Traffic iwwer L4 handhaben (dacks als L7-Paket-Agenten bezeechent). Ënnert den uewe genannten fortgeschrattene Funktiounen sinn d'Sich no Schlësselwierder a regulären Ausdréck gutt Beispiller vu Méiglechkeeten vun der nächster Generatioun. D'Méiglechkeet, Paket-Payloads ze sichen, bitt Méiglechkeeten, den Traffic op Sessiouns- an Applikatiounsniveau ze filteren, a bitt eng méi fein Kontroll iwwer en evoluéierend Netzwierk wéi den L2-4.
Wéi passt Network Packet Broker an d'Infrastruktur?
Den NPB kann op zwou verschidde Weeër an eng Netzwierkinfrastruktur installéiert ginn:
1- Inline
2- Ausserhalb vun der Band.
All Approche huet Vir- an Nodeeler a mécht et méiglech, den Traffic op eng Manéier ze manipuléieren, déi aner Approchen net kënnen. Den Inline-Netzwierkpaketbroker huet Echtzäit-Netzwierkverkéier, deen den Apparat op sengem Wee op seng Destinatioun duerchquerst. Dëst bitt d'Méiglechkeet, den Traffic a Echtzäit ze manipuléieren. Zum Beispill, wann VLAN-Tags derbäigesat, geännert oder geläscht ginn oder d'Destinatiouns-IP-Adressen geännert ginn, gëtt den Traffic op eng zweet Verbindung kopéiert. Als Inline-Method kann NPB och Redundanz fir aner Inline-Tools ubidden, wéi IDS, IPS oder Firewalls. NPB kann de Status vun esou Apparater iwwerwaachen an den Traffic am Fall vun engem Ausfall dynamesch an den Hot-Standby ëmleeden.
Et bitt eng grouss Flexibilitéit an der Aart a Weis, wéi den Traffic veraarbecht a replizéiert gëtt op verschidde Iwwerwaachungs- a Sécherheetsapparater, ouni datt den Echtzäitnetz beaflosst gëtt. Et bitt och eng ongehéiert Netzwierkvisibilitéit a garantéiert, datt all Apparater eng Kopie vum Traffic kréien, deen néideg ass, fir hir Aufgaben richteg ze erfëllen. Et garantéiert net nëmmen, datt Är Iwwerwaachungs-, Sécherheets- an Analysetools den Traffic kréien, deen se brauchen, mä och datt Äert Netzwierk sécher ass. Et garantéiert och, datt den Apparat keng Ressourcen op ongewollten Traffic verbraucht. Vläicht brauch Ären Netzwierkanalysator keen Backup-Traffic opzehuelen, well en wäertvollen Diskplatz während dem Backup an Usproch hëlt. Dës Saache kënnen einfach aus dem Analysator erausgefiltert ginn, während all den aneren Traffic fir den Tool erhale bleift. Vläicht hutt Dir e ganzt Subnetz, dat Dir virun engem anere System verstoppt wëllt halen; nach eng Kéier, dëst kann einfach um gewielten Outputport ewechgeholl ginn. Tatsächlech kann en eenzegen NPB e puer Trafficlinks inline veraarbechten, während en aneren Out-of-Band-Traffic veraarbecht gëtt.
Zäitpunkt vun der Verëffentlechung: 09. Mäerz 2022
