Network Packet Broker(NPB)は、ポータブルデバイスから1Uおよび2Uユニットのケース、大規模なケースおよびボードシステムまでのサイズの範囲のネットワークデバイスのようなスイッチです。スイッチとは異なり、NPBは明示的に指示されない限り、何らかの形で流れるトラフィックを変更しません。 NPBは、1つ以上のインターフェイスでトラフィックを受信し、そのトラフィックでいくつかの事前定義された関数を実行してから、1つ以上のインターフェイスに出力できます。
これらは、多くの場合、何に対しても、多面的で、多くのポートマッピングと呼ばれます。実行できる機能は、トラフィックの転送や廃棄などの単純なものから、レイヤー5の上の情報をフィルタリングして特定のセッションを識別するなど、複雑なものまでさまざまです。 NPB上のインターフェイスは銅ケーブル接続にすることができますが、通常はSFP/SFP +およびQSFPフレームであり、ユーザーはさまざまなメディアと帯域幅の速度を使用できます。 NPBの機能セットは、ネットワーク機器、特に監視、分析、セキュリティツールの効率を最大化するという原則に基づいて構築されています。
ネットワークパケットブローカーはどのような機能を提供しますか?
NPBの機能は多数あり、デバイスのブランドとモデルによって異なる場合がありますが、彼の塩に値するパッケージエージェントは、コアセットの機能を持ちたいと考えています。ほとんどのNPB(最も一般的なNPB)は、OSIレイヤー2〜4で機能します。
一般に、L2-4のNPBで次の機能を見つけることができます。トラフィック(またはその特定の部分)のリダイレクト、トラフィックフィルタリング、トラフィックレプリケーション、プロトコルストリッピング、パケットスライス(切り捨て)、さまざまなネットワークトンネルプロトコルの開始または終了、およびトラフィックの負荷バランス。予想どおり、L2-4のNPBは、VLAN、MPLSラベル、MACアドレス(ソースとターゲット)、IPアドレス(ソースとターゲット)、TCPおよびUDPポート(ソースとターゲット)、さらにはTCPフラグ、さらにはICMP、SCTP、およびARPトラフィックをフィルタリングできます。これは決して使用される機能ではありませんが、レイヤー2〜4で動作するNPBがトラフィックサブセットを分離して識別する方法を示しています。顧客がNPBで探すべき重要な要件は、非ブロッキングバックプレーンです。
ネットワークパケットブローカーは、デバイス上の各ポートの完全なトラフィックスループットを満たすことができる必要があります。シャーシシステムでは、バックプレーンとの相互接続は、接続モジュールの完全なトラフィック負荷を満たすこともできなければなりません。 NPBがパケットをドロップした場合、これらのツールはネットワークを完全に理解していません。
NPBの大部分はASICまたはFPGAに基づいていますが、パケット処理パフォーマンスの確実性により、多くの統合またはCPUが許容できる(モジュール経由)。 MyLinking™ネットワークパケットブローカー(NPB)は、ASICソリューションに基づいています。これは通常、柔軟な処理を提供する機能であるため、純粋にハードウェアで実行することはできません。これらには、パケット重複排除、タイムスタンプ、SSL/TLS復号化、キーワード検索、および正規表現検索が含まれます。その機能はCPUのパフォーマンスに依存することに注意することが重要です。 (たとえば、同じパターンの正規表現検索では、トラフィックの種類、一致レート、帯域幅に応じて非常に異なるパフォーマンスの結果が得られる可能性があります)したがって、実際の実装前に判断するのは簡単ではありません。
CPU依存の機能が有効になっている場合、それらはNPBの全体的なパフォーマンスの制限要因になります。 Cavium Xpliant、Barefoot Tofino、Innovium TeralynxなどのCPUおよびプログラム可能なスイッチングチップの出現も、次世代ネットワークパケットエージェントの拡張された一連の機能の基礎を形成しました。上記の高度な機能の中で、キーワードと正規表現の検索は、次世代機能の良い例です。パケットペイロードを検索する機能は、セッションとアプリケーションレベルでトラフィックをフィルタリングする機会を提供し、L2-4よりも進化するネットワークをより細かく制御できます。
ネットワークパケットブローカーはインフラストラクチャにどのように適合しますか?
NPBは、2つの異なる方法でネットワークインフラストラクチャにインストールできます。
1-インライン
2-帯域外。
各アプローチには利点と短所があり、他のアプローチではできない方法で交通操作を可能にします。インラインネットワークパケットブローカーには、リアルタイムネットワークトラフィックがあり、その目的地に向かう途中でデバイスを横断します。これにより、トラフィックをリアルタイムで操作する機会が提供されます。たとえば、VLANタグを追加、変更、または削除したり、宛先IPアドレスを変更したりすると、トラフィックが2番目のリンクにコピーされます。インライン方法として、NPBはID、IPS、ファイアウォールなどの他のインラインツールに冗長性を提供することもできます。 NPBは、このようなデバイスのステータスを監視し、障害が発生した場合にトラフィックをホットスタンバイに動的に再ルーティングできます。
リアルタイムネットワークに影響を与えることなく、複数の監視およびセキュリティデバイスにトラフィックがどのように処理および複製されたかに大きな柔軟性を提供します。また、前例のないネットワークの可視性を提供し、すべてのデバイスが責任を適切に処理するために必要なトラフィックのコピーを受け取ることを保証します。監視、セキュリティ、および分析ツールが必要なトラフィックを取得することを保証するだけでなく、ネットワークが安全であることも保証されます。また、デバイスが不要なトラフィックでリソースを消費しないことを保証します。おそらく、ネットワークアナライザーは、バックアップ中に貴重なディスクスペースを占めるため、バックアップトラフィックを記録する必要はありません。これらのことは、ツールの他のすべてのトラフィックを保存しながら、アナライザーから簡単に除外されます。たぶん、あなたは他のシステムから隠し続けたいサブネット全体を持っています。繰り返しますが、これは選択した出力ポートで簡単に削除できます。実際、単一のNPBは、他のバンド外のトラフィックを処理しながら、一部のトラフィックリンクをインラインで処理できます。
投稿時間:3月9日 - 2022年
