ネットワークパケットブローカー(NPB)は、スイッチのようなネットワーク機器で、ポータブル機器から1U/2Uサイズの筐体、大型筐体、ボードシステムまで、様々なサイズがあります。スイッチとは異なり、NPBは明示的に指示されない限り、通過するトラフィックを一切変更しません。NPBは1つまたは複数のインターフェースでトラフィックを受信し、そのトラフィックに対して事前に定義された処理を実行し、その後、1つまたは複数のインターフェースに出力することができます。
これらは、any-to-any、many-to-any、any-to-many ポートマッピングと呼ばれることがよくあります。実行できる機能は、トラフィックの転送や破棄といった単純なものから、レイヤ 5 より上の情報をフィルタリングして特定のセッションを識別するといった複雑なものまで多岐にわたります。NPB のインターフェースは銅線ケーブル接続の場合もありますが、通常は SFP/SFP+ および QSFP フレームであり、ユーザーはさまざまなメディアと帯域幅速度を使用できます。NPB の機能セットは、ネットワーク機器、特に監視、分析、およびセキュリティ ツールの効率を最大化するという原則に基づいて構築されています。
ネットワークパケットブローカーはどのような機能を提供しますか?
NPBの機能は多岐にわたり、デバイスのブランドやモデルによって異なる場合がありますが、優れたパッケージエージェントであれば、基本的な機能セットを備えている必要があります。ほとんどのNPB(最も一般的なNPB)は、OSI参照モデルのレイヤー2~4で動作します。
一般的に、L2-4 の NPB には、トラフィック (またはその特定の部分) のリダイレクト、トラフィックのフィルタリング、トラフィックの複製、プロトコルのストリッピング、パケットのスライス (切り捨て)、さまざまなネットワーク トンネル プロトコルの開始または終了、およびトラフィックの負荷分散といった機能があります。当然のことながら、L2-4 の NPB は、VLAN、MPLS ラベル、MAC アドレス (送信元と宛先)、IP アドレス (送信元と宛先)、TCP および UDP ポート (送信元と宛先)、さらには TCP フラグ、ICMP、SCTP、および ARP トラフィックをフィルタリングできます。これは、実際に使用する機能ではありませんが、レイヤー 2 から 4 で動作する NPB がトラフィックのサブセットをどのように分離および識別できるかを示すものです。顧客が NPB に求める重要な要件は、ノンブロッキング バックプレーンです。
ネットワークパケットブローカーは、デバイス上の各ポートのトラフィックスループットを最大限に処理できる必要があります。シャーシシステムにおいては、バックプレーンとの相互接続も、接続されたモジュールのトラフィック負荷を最大限に処理できる必要があります。NPBがパケットをドロップした場合、これらのツールはネットワークの状態を完全に把握できなくなります。
NPBの大部分はASICまたはFPGAをベースとしていますが、パケット処理性能の確実性から、多くの統合やCPUが(モジュールを介して)許容範囲内であることがわかります。Mylinking™ネットワークパケットブローカー(NPB)はASICソリューションをベースとしています。これは通常、柔軟な処理を提供する機能であり、そのため純粋にハードウェアで実現することはできません。これには、パケット重複排除、タイムスタンプ、SSL/TLS復号化、キーワード検索、正規表現検索が含まれます。その機能はCPUのパフォーマンスに依存することに注意することが重要です。(たとえば、同じパターンの正規表現検索でも、トラフィックの種類、一致率、帯域幅によってパフォーマンス結果が大きく異なる可能性があります)そのため、実際の実装前に判断するのは容易ではありません。
CPU 依存機能が有効になっている場合、それらは NPB の全体的なパフォーマンスを制限する要因となります。 Cavium Xpliant、Barefoot Tofino、Innovium Teralynx などの CPU およびプログラマブルスイッチングチップの登場は、次世代ネットワークパケットエージェントの機能拡張の基盤も形成しました。これらの機能ユニットは、L4 を超えるトラフィック (L7 パケットエージェントと呼ばれることが多い) を処理できます。 上記の高度な機能の中で、キーワード検索と正規表現検索は、次世代機能の良い例です。パケットペイロードを検索する機能により、セッションレベルとアプリケーションレベルでトラフィックをフィルタリングする機会が得られ、L2-4 よりも進化するネットワークをより細かく制御できます。
ネットワークパケットブローカーは、インフラストラクチャにどのように組み込まれるのでしょうか?
NPBは、ネットワークインフラストラクチャに2つの異なる方法でインストールできます。
1-インライン
2. 帯域外。
それぞれの方式には長所と短所があり、他の方式では不可能な方法でトラフィック操作を可能にします。インラインネットワークパケットブローカーは、宛先に向かう途中でデバイスを通過するリアルタイムのネットワークトラフィックを扱います。これにより、トラフィックをリアルタイムで操作することが可能になります。例えば、VLANタグの追加、変更、削除、または宛先IPアドレスの変更を行うと、トラフィックは別のリンクにコピーされます。インライン方式であるNPBは、IDS、IPS、ファイアウォールなどの他のインラインツールの冗長性も提供できます。NPBはこれらのデバイスの状態を監視し、障害発生時にはトラフィックをホットスタンバイに動的に再ルーティングできます。
リアルタイムネットワークに影響を与えることなく、トラフィックの処理方法や複数の監視・セキュリティデバイスへの複製方法において、優れた柔軟性を提供します。また、比類のないネットワーク可視性を提供し、すべてのデバイスがそれぞれの責任を適切に処理するために必要なトラフィックのコピーを確実に受信できるようにします。監視、セキュリティ、分析ツールが必要なトラフィックを確実に取得できるだけでなく、ネットワークのセキュリティも確保します。さらに、デバイスが不要なトラフィックにリソースを消費しないようにします。たとえば、ネットワークアナライザはバックアップ中に貴重なディスク容量を消費するため、バックアップトラフィックを記録する必要がない場合があります。このようなトラフィックは、ツールに必要な他のすべてのトラフィックを保持したまま、アナライザから簡単にフィルタリングできます。他のシステムから隠したいサブネット全体がある場合も、選択した出力ポートで簡単に削除できます。実際、1つのNPBで、一部のトラフィックリンクをインラインで処理しながら、他の帯域外トラフィックを処理できます。
投稿日時:2022年3月9日
