Network Packet Broker (NPB) は、ポータブル デバイスから 1U および 2U のユニット ケース、大型ケースやボード システムまで、さまざまなサイズのネットワーク デバイスのようなスイッチです。スイッチとは異なり、NPB は、明示的に指示されない限り、そこを通過するトラフィックを変更しません。NPB は、1 つまたは複数のインターフェイスでトラフィックを受信し、そのトラフィックに対していくつかの事前定義された機能を実行して、それを 1 つまたは複数のインターフェイスに出力できます。
これらは、多くの場合、任意対任意、多対任意、および任意対多のポート マッピングと呼ばれます。実行できる機能は、トラフィックの転送や破棄などの単純なものから、特定のセッションを識別するためのレイヤー 5 上の情報のフィルタリングなどの複雑なものまで多岐にわたります。NPB 上のインターフェイスは銅線ケーブル接続にすることもできますが、通常は SFP/SFP + および QSFP フレームであり、ユーザーはさまざまなメディア速度と帯域幅速度を使用できます。NPB の機能セットは、ネットワーク機器、特に監視、分析、セキュリティ ツールの効率を最大化するという原則に基づいて構築されています。
Network Packet Broker はどのような機能を提供しますか?
NPB の機能は多数あり、デバイスのブランドやモデルによって異なる場合がありますが、価値のあるパッケージ エージェントであれば、コアとなる機能セットが必要になるでしょう。ほとんどの NPB (最も一般的な NPB) は、OSI レイヤ 2 ~ 4 で機能します。
一般に、L2-4 の NPB には、トラフィック (またはその特定の部分) リダイレクト、トラフィック フィルタリング、トラフィック レプリケーション、プロトコル ストリッピング、パケット スライシング (切り捨て)、さまざまなネットワーク トンネル プロトコルの開始または終了、トラフィックの負荷分散も可能です。予想どおり、L2-4 の NPB は、VLAN、MPLS ラベル、MAC アドレス (ソースとターゲット)、IP アドレス (ソースとターゲット)、TCP および UDP ポート (ソースとターゲット)、さらには TCP フラグ、さらには ICMP をフィルタリングできます。 SCTP および ARP トラフィック。これは決して使用すべき機能ではなく、レイヤ 2 ~ 4 で動作する NPB がトラフィック サブセットをどのように分離して識別できるかについてのアイデアを提供します。顧客が NPB で求める重要な要件は、ノンブロッキング バックプレーンです。
ネットワーク パケット ブローカーは、デバイス上の各ポートのトラフィック スループットをすべて満たすことができる必要があります。シャーシ システムでは、バックプレーンとの相互接続も、接続されたモジュールのトラフィック負荷をすべて満たすことができなければなりません。NPB がパケットをドロップすると、これらのツールはネットワークを完全には理解できなくなります。
NPB の大部分は ASIC または FPGA に基づいていますが、パケット処理パフォーマンスの確実性により、(モジュール経由で) 多くの統合または CPU が受け入れられることがわかります。Mylinking™ ネットワーク パケット ブローカー (NPB) は、ASIC ソリューションに基づいています。これは通常、柔軟な処理を提供する機能であるため、純粋にハードウェアで実行することはできません。これらには、パケットの重複排除、タイムスタンプ、SSL/TLS 復号化、キーワード検索、正規表現検索が含まれます。その機能は CPU のパフォーマンスに依存することに注意することが重要です。(たとえば、同じパターンの正規表現検索では、トラフィックの種類、一致率、帯域幅に応じて非常に異なるパフォーマンス結果が得られる可能性があります)、そのため、実際の実装前に判断するのは簡単ではありません。
CPU に依存する機能が有効になっている場合、それらは NPB の全体的なパフォーマンスの制限要因になります。Cavium Xpliant、Barefoot Tofino、Innovium Teralynx などの CPU とプログラマブル スイッチング チップの出現も、次世代ネットワーク パケット エージェントの拡張機能セットの基礎を形成しました。これらの機能ユニットは、L4 (多くの場合、 L7 パケット エージェントとして)。前述の高度な機能の中でも、キーワード検索と正規表現検索は次世代機能の好例です。パケット ペイロードを検索する機能により、セッション レベルおよびアプリケーション レベルでトラフィックをフィルタリングする機会が提供され、進化するネットワーク上で L2-4 よりも詳細な制御が可能になります。
Network Packet Broker はインフラストラクチャにどのように適合しますか?
NPB は、次の 2 つの異なる方法でネットワーク インフラストラクチャにインストールできます。
1- インライン
2- 帯域外。
各アプローチには長所と短所があり、他のアプローチではできない方法でトラフィックを操作できます。インライン ネットワーク パケット ブローカーには、宛先に向かう途中でデバイスを通過するリアルタイムのネットワーク トラフィックがあります。これにより、トラフィックをリアルタイムで操作する機会が得られます。たとえば、VLAN タグを追加、変更、削除したり、宛先 IP アドレスを変更したりすると、トラフィックは 2 番目のリンクにコピーされます。インライン方式として、NPB は、IDS、IPS、ファイアウォールなどの他のインライン ツールに冗長性を提供することもできます。NPB は、そのようなデバイスのステータスを監視し、障害が発生した場合にトラフィックをホット スタンバイに動的に再ルーティングできます。
リアルタイム ネットワークに影響を与えることなく、トラフィックを処理し、複数の監視およびセキュリティ デバイスに複製する方法に優れた柔軟性を提供します。また、これまでにないネットワークの可視性を提供し、すべてのデバイスがその責任を適切に処理するために必要なトラフィックのコピーを確実に受信できるようにします。これにより、監視、セキュリティ、分析ツールが必要なトラフィックを確実に取得できるだけでなく、ネットワークの安全性も確保されます。また、デバイスが不要なトラフィックでリソースを消費しないようにします。おそらく、ネットワーク アナライザーはバックアップ中に貴重なディスク領域を占有するため、バックアップ トラフィックを記録する必要がありません。これらは、ツールの他のすべてのトラフィックを維持しながら、アナライザーから簡単に除外されます。サブネット全体を他のシステムから隠しておきたい場合もあります。繰り返しますが、これは選択した出力ポートで簡単に削除できます。実際、単一の NPB は、他の帯域外トラフィックを処理しながら、一部のトラフィック リンクをインラインで処理できます。
投稿時間: 2022 年 3 月 9 日
