ネットワークパケットブローカー(NPB)は、ポータブルデバイスから1Uおよび2Uユニットケース、大型ケース、ボードシステムまで、様々なサイズのスイッチ型ネットワークデバイスです。スイッチとは異なり、NPBは明示的に指示されない限り、通過するトラフィックを一切変更しません。NPBは、1つ以上のインターフェースでトラフィックを受信し、そのトラフィックに対して事前定義された機能を実行し、1つ以上のインターフェースに出力することができます。
これらは、通常、any-to-any、many-to-any、any-to-manyのポートマッピングと呼ばれます。実行できる機能は、トラフィックの転送や破棄などの単純なものから、特定のセッションを識別するためにレイヤー5より上位の情報をフィルタリングするなどの複雑なものまで多岐にわたります。NPBのインターフェースは銅線接続も可能ですが、通常はSFP/SFP+およびQSFPフレームであり、ユーザーはさまざまなメディアと帯域幅速度を利用できます。NPBの機能セットは、ネットワーク機器、特に監視、分析、セキュリティツールの効率を最大化するという原則に基づいて構築されています。
ネットワーク パケット ブローカーはどのような機能を提供しますか?
NPB の機能は多岐にわたり、デバイスのブランドやモデルによって異なりますが、優れたパッケージエージェントであれば、コアとなる機能セットを備えていることが求められます。ほとんどの NPB(最も一般的な NPB)は、OSI レイヤー 2 から 4 で機能します。
一般的に、L2-4 の NPB には、トラフィック (またはその特定の部分) のリダイレクト、トラフィック フィルタリング、トラフィック レプリケーション、プロトコル ストリッピング、パケット スライス (切り捨て)、さまざまなネットワーク トンネル プロトコルの開始または終了、トラフィックの負荷分散などの機能があります。予想どおり、L2-4 の NPB は、VLAN、MPLS ラベル、MAC アドレス (送信元とターゲット)、IP アドレス (送信元とターゲット)、TCP ポートと UDP ポート (送信元とターゲット)、さらには TCP フラグ、ICMP、SCTP、ARP トラフィックをフィルタリングできます。これは、決して使用される機能ではありませんが、レイヤー 2 から 4 で動作する NPB がどのようにトラフィックのサブセットを分離および識別できるかについてのアイディアを提供しています。お客様が NPB に求める重要な要件は、ノンブロッキング バックプレーンです。
ネットワークパケットブローカーは、デバイスの各ポートのトラフィックスループットを完全に満たす必要があります。シャーシシステムでは、バックプレーンとの相互接続も、接続されたモジュールのトラフィック負荷を完全に満たす必要があります。NPBがパケットをドロップした場合、これらのツールはネットワークを完全に把握できなくなります。
NPBの大部分はASICまたはFPGAをベースにしていますが、パケット処理性能の確実性から、多くの統合やCPU(モジュール経由)が許容されます。Mylinking™ Network Packet Brokers(NPB)はASICソリューションをベースにしています。これは通常、柔軟な処理を提供する機能であるため、純粋にハードウェアだけで実行することはできません。これには、パケット重複排除、タイムスタンプ、SSL/TLS復号化、キーワード検索、正規表現検索などが含まれます。その機能はCPU性能に依存することに注意することが重要です。(例えば、同じパターンの正規表現検索は、トラフィックタイプ、一致率、帯域幅によって大きく異なるパフォーマンス結果をもたらす可能性があります。)そのため、実際の実装前に判断することは容易ではありません。
CPU依存機能を有効にすると、NPB全体のパフォーマンスを制限する要因となります。Cavium Xpliant、Barefoot Tofino、Innovium TeralynxといったCPUとプログラマブルスイッチングチップの登場は、次世代ネットワークパケットエージェントの拡張された機能セットの基盤も形成しました。これらの機能ユニットは、L4以上のトラフィック(L7パケットエージェントと呼ばれることが多い)を処理できます。前述の高度な機能の中でも、キーワード検索と正規表現検索は次世代機能の好例です。パケットペイロードを検索する機能により、セッションレベルとアプリケーションレベルでトラフィックをフィルタリングできるようになり、進化するネットワークをL2-4よりも細かく制御できるようになります。
Network Packet Broker はインフラストラクチャにどのように適合しますか?
NPB は、次の 2 つの方法でネットワーク インフラストラクチャにインストールできます。
1-インライン
2- 帯域外。
それぞれのアプローチには長所と短所があり、他のアプローチでは不可能なトラフィック操作を可能にします。インライン・ネットワーク・パケット・ブローカーは、デバイスを通過して宛先に向かう途中でリアルタイムのネットワークトラフィックを処理します。これにより、トラフィックをリアルタイムで操作することが可能になります。例えば、VLANタグの追加、変更、削除、または宛先IPアドレスの変更を行うと、トラフィックは2番目のリンクにコピーされます。インライン方式であるNPBは、IDS、IPS、ファイアウォールなどの他のインラインツールに冗長性を提供することもできます。NPBはこれらのデバイスの状態を監視し、障害発生時にはトラフィックをホットスタンバイに動的に再ルーティングできます。
リアルタイム ネットワークに影響を与えることなく、トラフィックを複数の監視およびセキュリティ デバイスに処理および複製する方法に関して、優れた柔軟性を提供します。また、これまでにないネットワーク可視性を提供し、すべてのデバイスが適切に役割を担うために必要なトラフィックのコピーを受け取ることを保証します。監視、セキュリティ、および分析ツールが必要なトラフィックを取得できるようにするだけでなく、ネットワークのセキュリティを確保します。また、デバイスが不要なトラフィックにリソースを消費しないようにします。ネットワーク アナライザは、バックアップ中に貴重なディスク領域を占有するため、バックアップ トラフィックを記録する必要がない場合があります。これらのトラフィックはアナライザから簡単にフィルタリングできますが、ツールの他のすべてのトラフィックは保持されます。サブネット全体を他のシステムから非表示にしたい場合もありますが、これも選択した出力ポートで簡単に削除できます。実際、単一の NPB で、一部のトラフィック リンクをインラインで処理しながら、他の帯域外トラフィックを処理することができます。
投稿日時: 2022年3月9日
