Zaznacz stronę
Formularz kontaktowy
Jeśli interesuje Cię nasza oferta, skorzystaj z formularza i zadaj pytanie naszemu specjaliście.

Co to jest Broker Pakietów Sieciowych (Network Packet Broker)?

Network Packet Broker to specjalny rodzaj przełącznika sieciowego występujący pod różnymi postaciami od urządzeń przenośnych przez jednostki wielkości 1U lub 2U aż po rozbudowane systemy modularne (chassis and blade).

W przeciwieństwie do typowego przełącznika sieciowego, NPB nie ingeruje w przepływający przez niego ruch sieciowy, chyba, że zażyczy sobie tego administrator sieci.

NPB może przyjmować ruch sieciowy przez jedno lub kilka wejść (portów wejściowych), dokonać kilku predefiniowanych operacji na tym ruchu i przesłać go do jednego lub wielu portów wyjściowych. Jest to zwykle określane jako mapowanie portów typu „any to any”, „many to any” oraz „any to many” (jeden do jednego, wiele do jednego i jeden do wielu). Należy tu dodać, że każdy z interfejsów NPB – może być zdefiniowany jako wejściowy lub wyjściowy.

Operacje, które mogą być wykonywane przez NPB to począwszy od najprostszego przesyłania ruchu do jednego lub kilku wybranych portów po skomplikowane filtrowanie w warstwie L5 mające na celu identyfikowanie konkretnej sesji.

Network packet brokery mogą posiadać złącza miedziane RJ45, jednak najczęściej spotykane są porty SFP/SFP+ lub QSFP, co umożliwia zastosowanie szerszego zakresu mediów i prędkości połączenia.

Zestaw funkcjonalności oferowanych przez NPB ma na celu umożliwienie jak najbardziej efektywnego wykorzystania urządzeń sieciowych do monitoringu i analizy ruchu sieciowego jak również IT security. NPB wspólnie z TAP’ami służą do budowania systemów określanych jako Network Visibility Platform lub Security Delivery Platform.

Jakie możliwości oferują Network Packet Brokers?

Możliwości NPB są liczne i mogą się różnić w zależności od marki i modelu urządzenia, chociaż od każdego porządnego NPB oczekuje się zestawu podstawowych funkcji. Większość, najczęściej spotykanych na rynku NPB, pracuje w warstwach OSI L2-L4

Typowe przełączniki NPB operujące w warstwach L2-L4 posiadają następujące funkcje: przekierowanie ruchu sieciowego lub jego określonej części; filtrowanie ruchu sieciowego; replikacja; protocol stripping (usuwanie protokołów sieciowych ); packet slicing (przycinanie pakietów); inicjacja i terminacja różnorodnych protokołów sieciowych oraz load balancing (równoważenie obciążenia ruchu sieciowego). Dodatkowo wśród możliwości NPB L2-L4 można spodziewać się filtrowania znaczników VLAN, MPLS, adresów MAC i IP (nadawcy i odbiorcy), portów TCP i UDP (nadawcy i odbiorcy), flag TCP oraz ruchu ICMP, SCTP i ARP. Powyższe funkcje nie są jedynymi które można spotkać w tych urządzeniach, ale dobrze pokazują, że NPB operując na warstwach od 2 od 4, potrafi bezproblemowo wydzielać składniki ruchu sieciowego. Krytycznym parametrem NPB jest tzw. „non blocking backplane” czyli cecha urządzenia umożliwiająca wykonywanie w/w zadań przy pełnej prędkości łącza np. 100G. NPB musi wspierać maksymalną przepustowość  na każdym ze swoich portów ponieważ urządzenia diagnostyczne podłączone do NPB spełniają swoją rolę w takim stopniu i jakości w jakim dostarczany jest do nich ruch sieciowy. Jeżeli NPB „gubi” pakiety, obraz sieci widziany przez urządzenia monitorujące będzie przekłamany.

Większość konstrukcji NPB opiera się na zastosowaniu układów typu ASIC lub FPGA z uwagi na większą wydajność takich rozwiązań w procesie obróbki pakietów. Dostępne są również NPB budowane w oparciu o CPU. Takie podejście jest stosowane tam gdzie wymagana jest elastyczność w definiowaniu funkcjonalności – nie możliwa do uzyskania w rozwiązaniach czysto hardware’owych.

Te funkcjonalności to m.in. deduplikacja  pakietów, znaczniki czasowe (time stamping), deszyfrowanie SSL/TLS, wyszukiwanie słów kluczowych oraz zwykłe wyszukiwanie. Istnieją jednak pewne ograniczenia odnośnie funkcjonalności zależnych od mocy obliczeniowej procesora. Wydajność ich jest mocno uzależniona od wielu zmiennych zewnętrznych i trudna do precyzyjnego określenia przed fizyczną implementacją. Funkcjonalności zależne od CPU znacząco ograniczają ogólną wydajność NPB z chwilą gdy zostaną aktywowane.

CPU wraz z programowalnymi układami przełączającymi (np. Cavium Xpliant, Barefoot Tofino, Innovium Teralynx) służą jako podstawa rozbudowanych zestawów funkcjonalności NPB nowej generacji (Next Generation Network Packet Broker). NGNPB to urządzenia, które mogą obsługiwać ruch powyżej warstwy L4, popularnie określane jako „L7 NPB”. Zaawansowane funkcje wyszukiwania są najlepszym przykładem cech użytkowych NPB nowej generacji.

Funkcja przeszukiwania pakietu (payload) stwarza możliwość filtrowania ruchu w warstwach Sesji i Aplikacji oraz zapewnia bardziej precyzyjną kontrolę sieci niż ma to miejsce w przypadku urządzeń operujących w warstwach L2-4.

Jak Broker Pakietów Sieciowych współpracuje z infrastrukturą?

Broker Pakietów Sieciowych (ang. NPB) może być zainstalowany na dwa sposoby: inline oraz out-of-band. Każda z tych konfiguracji oferuje różne możliwości wykorzystania NPB dostępne tylko w jednej z nich.

W układzie inline ruch sieciowy przepływa przez urządzenie do swojego celu. Stwarza to możliwość oddziaływania na ruch w czasie rzeczywistym, np. replikację ruchu do drugiego łącza, jednocześnie dodając, usuwając lub w inny sposób modyfikując znaczniki VLAN czy zmieniając docelowy adres IP. Konfiguracja inline umożliwia redundancję połączenia dla innych urządzeń typu inline takich jak IDS, IPS lub Firewall. NPB może monitorować stan takiego urządzenia i w przypadku jego uszkodzenia, przekierować dynamicznie ruch do łącza zapasowego.

Konfiguracja Out-of-band: ruch sieciowy w danym łączu jest skopiowany przez TAP sieciowy lub port typu SPAN/Mirror. Pozwala na szereg możliwości operacji na pakietach skopiowanego ruchu sieciowego takich jak filtracja, packet slicing itp., a następnie replikowanie tego ruchu do jednego lub wielu urządzeń diagnostycznych bez oddziaływania na sieć produkcyjną. To z kolei pozwala osiągnąć bardzo wysoki poziom „przezroczystości” sieci i zagwarantować, że wszystkie urządzenia otrzymają doskonała kopię ruchu aby móc właściwie zrealizować swoje funkcje. Bardzo ważnym zadaniem NPB jest dostarczenie urządzeniom monitorującym, analizatorom i IT security tylko tej części ruchu, który jest istotny dla danego urządzenia i niepotrzebnie go nie obciąża. Na przykład, sytuacja w której konkretny analizator nie potrzebuje analizować ruchu związanego z backup’em (takie dane zbędnie zajmują przestrzeń dyskową analizatora) i może on być łatwo odfiltrowany. Dodatkowo, jeżeli chcemy aby wybrana podsieć była „niewidoczna” dla innych systemów to też ten ruch może być odrzucony na wybranych portach wyjściowych.

W praktyce poszczególny NPB może oddziaływać na wybrane łącza inline i jednocześnie obsługiwać inny ruch w trybie out-of-band.

Jakie najważniejsze problemy rozwiązuje Packet Broker?

Ograniczony dostęp do sieci dla urządzeń diagnostycznych.

Jednym z podstawowych problemów, które rozwiązuje NPB jest ograniczony dostęp. Inaczej mówiąc problem z dostarczeniem kopii ruchu sieciowego do każdego systemu IT security lub monitorującego który jej potrzebuje. Korzystając ze SPAN portu lub instalując w naszym środowisku TAP, mamy pojedyncze źródło ruchu sieciowego, który prawdopodobnie powinien być dostarczony do wielu narzędzi diagnostycznych. Idąc dalej, każde z urządzeń powinno dostawać dane z wielu punktów w sieci w celu eliminacji „martwych punktów”. NPB rozwiązuje te problemy w następujący sposób. Przyjmuje ruch z danego łącza i replikuje go wysyłając jego dokładną kopię do tylu urządzeń iloma portami dysponuje. Dodatkowo NPB może przyjąć ruch z różnych źródeł z oddzielnych punktów sieci, połączyć je w jeden i wysłać go do pojedynczego urządzenia.

Jak wspomniano wcześniej, możliwe jest usunięcie nagłówków protokołów z ruchu, który w przeciwnym razie może być niemożliwym do interpretacji przez urządzenie diagnostyczne. NPB może także zakończyć tunele, takie jak GRE, dzięki czemu ruch w nich może zostać przeanalizowany przez różne narzędzia.

Broker Pakietów (NPB) pełni także rolę centralnego hub’a ułatwiającego dodawanie nowych narzędzi do środowiska sieciowego zarówno w trybie inline jak również „out-of-band”. Proces przyłączenia kolejnego urządzenia do NPB wymaga tylko prostych zabiegów konfiguracyjnych i nie ma wpływu na pracę sieci.

Optymalizacja efektywności wykorzystania narzędzi diagnostycznych

NPB pozwala maksymalnie wykorzystać możliwości urządzeń nadzorujących i IT security zarówno z punktu widzenia efektywności jak i zwrotu z inwestycji (ROI). Rozważmy kilka sytuacji związanych z wykorzystaniem tych urządzeń.

Zdarza się, że marnują swoją moc produkcyjną na procesowanie ruchu sieciowego, do którego nie są  przeznaczone (np. analizator VoIP niepotrzebnie zajmuje się innymi pakietami niż VoIP). Może więc wystąpić sytuacja, w której urządzenie osiągnie granicę swojej wydajności procesując ruch nas interesujący jak i ten „niechciany”. Przy pomocy Brokera pakietów można odfiltrować ruch (pakiety), który jest nieistotny z punktu widzenia danego urządzenia.

Kolejny przykład dotyczy urządzenia, które analizuje tylko nagłówki. Odcinając część pakietu zawierającą główne dane, a następnie dostarczając tak okrojony ruch do urządzenia istotnie zmniejszamy jego obciążenie. W ten sposób możemy przedłużyć okres użytkowania danego urządzenia bez potrzeby wymiany na nowe o wyższej przepustowości lub jego upgrade’u.

Kolejny problem z jakim możemy się spotkać to zbyt mała ilość dostępnych interfejsów danego urządzenia diagnostycznego, które w dalszym ciągu dysponuje nadmiarem mocy produkcyjnej. Z pomocą przychodzi nam funkcja agregacji ruchu sieciowego, którą posiada NPB. Agregując ruch przy pomocy NPB możemy wykorzystać maksimum możliwości każdego z portów danego urządzenia. W ten sposób optymalizujemy wykorzystanie przepustowości oraz liczbę dostępnych interfejsów.

Podobny scenariusz występuje, gdy infrastruktura sieciowa została przemigrowana (podniesiona) do standardu 10G podczas gdy nasze urządzenia diagnostyczne mają tylko interfejsy 1G. Urządzenie może być w stanie procesować ruch na danym łączu ale nie może negocjować różnych prędkości. NPB może tu działać jako konwerter szybkości (speed converter) i dostarczać ruch do urządzenia. Jeżeli obciążenie staje się zbyt duże, NPB może odrzucić nieistotny ruch, wykorzystać packet slicing i rozłożyć pozostały ruch na dostępne interfejsy urządzenia i w ten sposób wydłużyć jego okres użytkowania a tym samym uzyskać istotne oszczędności kosztów.

Dodatkowo NPB realizując powyższe funkcje może służyć jako konwerter mediów w sytuacji gdy urządzenie diagnostyczne posiada interfejsy miedziane a badany ruch odbywa się na łączach światłowodowych.

Podsumowując powyższe punkty można stwierdzić, że NPB pozwala danej organizacji na maksymalizację korzyści z inwestycji w urządzenia do monitoringu, poprawia stopień odporności systemu monitoringu i IT security na awarie, automatyzację sieci i zmniejsza koszty personelu.