Apa itu Network Packet Broker dan Fungsinya pada Infrastruktur IT?

Network Packet Broker (NPB) adalah perangkat jaringan seperti switch yang ukurannya berkisar dari perangkat portabel hingga casing unit 1U dan 2U hingga casing besar dan sistem papan. Berbeda dengan switch, NPB tidak mengubah lalu lintas yang mengalir melaluinya dengan cara apapun kecuali diinstruksikan secara eksplisit. NPB dapat menerima lalu lintas pada satu atau lebih antarmuka, menjalankan beberapa fungsi yang telah ditentukan sebelumnya pada lalu lintas tersebut, dan kemudian mengeluarkannya ke satu atau lebih antarmuka.

Ini sering disebut sebagai pemetaan port any-to-any, many-to-any, dan any-to-many. Fungsi yang dapat dilakukan berkisar dari yang sederhana, seperti meneruskan atau membuang lalu lintas, hingga yang kompleks, seperti memfilter informasi di atas lapisan 5 untuk mengidentifikasi sesi tertentu. Antarmuka pada NPB dapat berupa koneksi kabel tembaga, tetapi biasanya berupa frame SFP/SFP+ dan QSFP, yang memungkinkan pengguna menggunakan berbagai kecepatan media dan bandwidth. Rangkaian fitur NPB dibangun berdasarkan prinsip memaksimalkan efisiensi peralatan jaringan, khususnya alat pemantauan, analisis, dan keamanan.

2019050603525011

Fungsi apa yang disediakan oleh Network Packet Broker?

Kemampuan NPB sangat banyak dan dapat bervariasi tergantung pada merek dan model perangkat, meskipun agen paket mana pun pasti ingin memiliki serangkaian kemampuan inti. Kebanyakan NPB (NPB paling umum) berfungsi pada OSI lapisan 2 hingga 4.

Secara umum, Anda dapat menemukan fitur-fitur berikut pada NPB L2-4: pengalihan lalu lintas (atau bagian tertentu darinya), penyaringan lalu lintas, replikasi lalu lintas, pengupasan protokol, pemotongan paket (pemotongan), memulai atau mengakhiri berbagai protokol terowongan jaringan, dan penyeimbangan beban untuk lalu lintas. Seperti yang diharapkan, NPB L2-4 dapat memfilter VLAN, label MPLS, alamat MAC (sumber dan target), alamat IP (sumber dan target), port TCP dan UDP (sumber dan target), dan bahkan flag TCP, serta ICMP, lalu lintas SCTP, dan ARP. Ini sama sekali bukan fitur yang digunakan, melainkan memberikan gambaran tentang bagaimana NPB yang beroperasi pada lapisan 2 hingga 4 dapat memisahkan dan mengidentifikasi subset lalu lintas. Persyaratan utama yang harus dicari pelanggan di NPB adalah backplane non-blocking.

Broker paket jaringan harus mampu memenuhi throughput lalu lintas penuh dari setiap port pada perangkat. Pada sistem sasis, interkoneksi dengan backplane juga harus mampu memenuhi beban lalu lintas penuh dari modul-modul yang terhubung. Jika NPB menghapus paket, alat ini tidak akan memiliki pemahaman lengkap tentang jaringan.

Meskipun sebagian besar NPB didasarkan pada ASIC atau FPGA, karena kepastian kinerja pemrosesan paket, Anda akan menemukan banyak integrasi atau CPU yang dapat diterima (melalui modul). Broker Paket Jaringan Mylinking™ (NPB) didasarkan pada solusi ASIC. Ini biasanya merupakan fitur yang menyediakan pemrosesan yang fleksibel dan oleh karena itu tidak dapat dilakukan hanya di perangkat keras. Ini termasuk deduplikasi paket, cap waktu, dekripsi SSL/TLS, pencarian kata kunci, dan pencarian ekspresi reguler. Penting untuk dicatat bahwa fungsinya bergantung pada kinerja CPU. (Misalnya, penelusuran ekspresi reguler dengan pola yang sama dapat menghasilkan hasil performa yang sangat berbeda bergantung pada jenis lalu lintas, laju pencocokan, dan bandwidth), sehingga tidak mudah untuk menentukannya sebelum penerapan sebenarnya.

shutterstock_

Jika fitur yang bergantung pada CPU diaktifkan, fitur tersebut menjadi faktor pembatas dalam kinerja NPB secara keseluruhan. Munculnya CPU dan chip switching yang dapat diprogram, seperti Cavium Xpliant, Barefoot Tofino dan Innovium Teralynx, juga membentuk dasar dari serangkaian kemampuan yang diperluas untuk agen paket jaringan generasi berikutnya. Unit fungsional ini dapat menangani lalu lintas di atas L4 (sering disebut sebagai sebagai agen paket L7). Di antara fitur-fitur canggih yang disebutkan di atas, pencarian kata kunci dan ekspresi reguler adalah contoh bagus dari kemampuan generasi berikutnya. Kemampuan untuk mencari muatan paket memberikan peluang untuk memfilter lalu lintas pada tingkat sesi dan aplikasi, dan memberikan kontrol yang lebih baik pada jaringan yang berkembang dibandingkan L2-4.

Bagaimana Network Pack Broker cocok dengan infrastrukturnya?

NPB dapat diinstal ke dalam infrastruktur jaringan dengan dua cara berbeda:

1- Sebaris

2- Di luar band.

Masing-masing pendekatan mempunyai kelebihan dan kekurangan serta memungkinkan manipulasi lalu lintas dengan cara yang tidak dapat dilakukan oleh pendekatan lain. Broker paket jaringan inline memiliki lalu lintas jaringan real-time yang melintasi perangkat dalam perjalanannya ke tujuannya. Ini memberikan kesempatan untuk memanipulasi lalu lintas secara real time. Misalnya, saat menambah, mengubah, atau menghapus tag VLAN atau mengubah alamat IP tujuan, lalu lintas disalin ke link kedua. Sebagai metode inline, NPB juga dapat menyediakan redundansi untuk alat inline lainnya, seperti IDS, IPS, atau firewall. NPB dapat memantau status perangkat tersebut dan secara dinamis merutekan ulang lalu lintas ke hot standby jika terjadi kegagalan.

Bypass NPB Keamanan Inline Mylinking

Ini memberikan fleksibilitas besar dalam cara lalu lintas diproses dan direplikasi ke beberapa perangkat pemantauan dan keamanan tanpa mempengaruhi jaringan real-time. Hal ini juga memberikan visibilitas jaringan yang belum pernah terjadi sebelumnya dan memastikan bahwa semua perangkat menerima salinan lalu lintas yang diperlukan untuk menangani tanggung jawab mereka dengan benar. Ini tidak hanya memastikan bahwa alat pemantauan, keamanan, dan analisis Anda mendapatkan lalu lintas yang dibutuhkan, tetapi juga jaringan Anda aman. Ini juga memastikan bahwa perangkat tidak menghabiskan sumber daya untuk lalu lintas yang tidak diinginkan. Mungkin penganalisis jaringan Anda tidak perlu mencatat lalu lintas cadangan karena memerlukan ruang disk yang berharga selama pencadangan. Hal-hal ini dengan mudah disaring dari penganalisis sambil mempertahankan semua lalu lintas lainnya untuk alat tersebut. Mungkin Anda memiliki seluruh subnet yang ingin Anda sembunyikan dari sistem lain; sekali lagi, ini mudah dihapus pada port keluaran yang dipilih. Faktanya, satu NPB dapat memproses beberapa link lalu lintas secara inline sambil memproses lalu lintas out-of-band lainnya.


Waktu posting: 09-Mar-2022