네트워크 패킷 브로커(NPB)는 휴대용 장치부터 1U 및 2U 유닛 케이스, 대형 케이스 및 보드 시스템에 이르기까지 다양한 크기를 가진 스위치와 유사한 네트워킹 장치입니다. 스위치와 달리 NPB는 명시적인 지시가 없는 한 자신을 통과하는 트래픽을 어떤 방식으로도 변경하지 않습니다. NPB는 하나 이상의 인터페이스에서 트래픽을 수신하고, 해당 트래픽에 대해 미리 정의된 기능을 수행한 다음, 하나 이상의 인터페이스로 출력할 수 있습니다.
이러한 포트 매핑은 흔히 any-to-any, many-to-any, any-to-many 등으로 불립니다. 수행 가능한 기능은 트래픽 전달이나 차단과 같은 간단한 작업부터 특정 세션을 식별하기 위해 레이어 5 이상의 정보를 필터링하는 것과 같은 복잡한 작업까지 다양합니다. NPB의 인터페이스는 구리 케이블 연결일 수도 있지만, 일반적으로 SFP/SFP+ 및 QSFP 프레임을 사용하므로 사용자는 다양한 미디어와 대역폭 속도를 활용할 수 있습니다. NPB의 기능은 특히 모니터링, 분석 및 보안 도구와 같은 네트워크 장비의 효율성을 극대화하는 것을 원칙으로 합니다.
네트워크 패킷 브로커는 어떤 기능을 제공합니까?
NPB의 기능은 매우 다양하며 기기의 브랜드와 모델에 따라 다를 수 있지만, 유능한 패키지 에이전트라면 핵심 기능 세트를 갖추고 있어야 합니다. 대부분의 NPB(가장 일반적인 NPB)는 OSI 계층 2~4에서 작동합니다.
일반적으로 L2-4 계층의 NPB(Non-Blocking Backplane)에서는 트래픽(또는 특정 부분) 리디렉션, 트래픽 필터링, 트래픽 복제, 프로토콜 제거, 패킷 분할(잘림), 다양한 네트워크 터널 프로토콜 시작 또는 종료, 트래픽 로드 밸런싱 등의 기능을 제공합니다. 예상대로 L2-4 계층의 NPB는 VLAN, MPLS 레이블, MAC 주소(소스 및 대상), IP 주소(소스 및 대상), TCP 및 UDP 포트(소스 및 대상), TCP 플래그는 물론 ICMP, SCTP, ARP 트래픽까지 필터링할 수 있습니다. 이는 실제로 사용해야 하는 기능은 아니지만, 2~4 계층에서 작동하는 NPB가 트래픽 하위 집합을 어떻게 분리하고 식별하는지 보여주는 예시입니다. 고객이 NPB를 선택할 때 가장 중요하게 고려해야 할 사항은 논블로킹 백플레인입니다.
네트워크 패킷 브로커(NPB)는 장치의 각 포트에서 발생하는 최대 트래픽 처리량을 충족할 수 있어야 합니다. 섀시 시스템에서 백플레인과의 상호 연결 또한 연결된 모듈의 최대 트래픽 부하를 처리할 수 있어야 합니다. NPB가 패킷을 손실하면 이러한 도구들은 네트워크를 완벽하게 파악할 수 없게 됩니다.
대부분의 NPB는 ASIC 또는 FPGA 기반이지만, 패킷 처리 성능의 안정성 때문에 다양한 통합 솔루션이나 CPU(모듈을 통해)를 사용할 수 있습니다. Mylinking™ 네트워크 패킷 브로커(NPB)는 ASIC 솔루션을 기반으로 합니다. 이는 일반적으로 유연한 처리를 제공하는 기능으로, 순수 하드웨어 구현이 불가능한 경우가 많습니다. 이러한 기능에는 패킷 중복 제거, 타임스탬프, SSL/TLS 복호화, 키워드 검색, 정규 표현식 검색 등이 포함됩니다. 이러한 기능은 CPU 성능에 따라 크게 달라질 수 있다는 점에 유의해야 합니다. (예를 들어, 동일한 패턴에 대한 정규 표현식 검색은 트래픽 유형, 일치율, 대역폭에 따라 성능이 크게 달라질 수 있습니다.) 따라서 실제 구현 전에 성능을 정확히 예측하기는 어렵습니다.
CPU 의존적인 기능이 활성화되면 NPB의 전반적인 성능에 제약 요인이 됩니다. Cavium Xpliant, Barefoot Tofino, Innovium Teralynx와 같은 CPU 및 프로그래밍 가능한 스위칭 칩의 등장으로 차세대 네트워크 패킷 에이전트의 기능이 확장되었습니다. 이러한 기능 장치는 L4 이상의 트래픽(흔히 L7 패킷 에이전트라고 함)을 처리할 수 있습니다. 위에서 언급한 고급 기능 중 키워드 및 정규 표현식 검색은 차세대 기능의 좋은 예입니다. 패킷 페이로드를 검색하는 기능은 세션 및 애플리케이션 수준에서 트래픽을 필터링할 수 있는 기회를 제공하며, L2-4보다 진화하는 네트워크를 더욱 세밀하게 제어할 수 있도록 합니다.
네트워크 패킷 브로커는 인프라에 어떻게 통합되나요?
NPB는 두 가지 다른 방식으로 네트워크 인프라에 설치할 수 있습니다.
1- 인라인
2. 대역 외.
각 접근 방식에는 장단점이 있으며, 다른 방식으로는 불가능한 트래픽 조작을 가능하게 합니다. 인라인 네트워크 패킷 브로커(NPB)는 장치를 통과하여 목적지로 향하는 실시간 네트워크 트래픽을 처리합니다. 이를 통해 실시간으로 트래픽을 조작할 수 있습니다. 예를 들어, VLAN 태그를 추가, 수정 또는 삭제하거나 목적지 IP 주소를 변경할 때 트래픽을 두 번째 링크로 복사합니다. 인라인 방식인 NPB는 IDS, IPS 또는 방화벽과 같은 다른 인라인 도구에 대한 이중화 기능도 제공할 수 있습니다. NPB는 이러한 장치의 상태를 모니터링하고 장애 발생 시 트래픽을 핫 스탠바이 장치로 동적으로 재라우팅할 수 있습니다.
이 기술은 실시간 네트워크에 영향을 주지 않고 트래픽을 처리하고 여러 모니터링 및 보안 장치로 복제하는 방식에 뛰어난 유연성을 제공합니다. 또한 전례 없는 네트워크 가시성을 제공하고 모든 장치가 각자의 역할을 제대로 수행하는 데 필요한 트래픽 사본을 수신하도록 보장합니다. 이를 통해 모니터링, 보안 및 분석 도구가 필요한 트래픽을 확보할 뿐만 아니라 네트워크 보안도 강화할 수 있습니다. 또한 장치가 불필요한 트래픽에 리소스를 낭비하지 않도록 합니다. 예를 들어, 네트워크 분석기가 백업 중에 디스크 공간을 차지하는 백업 트래픽을 기록할 필요가 없는 경우, 이러한 트래픽은 분석기에서 쉽게 필터링하여 제거하고 다른 모든 트래픽은 도구에 그대로 유지할 수 있습니다. 특정 서브넷을 다른 시스템에서 숨기고 싶은 경우에도 선택한 출력 포트에서 해당 서브넷을 쉽게 제거할 수 있습니다. 실제로 단일 NPB는 일부 트래픽 링크를 인라인으로 처리하는 동시에 다른 대역 외 트래픽도 처리할 수 있습니다.
게시 시간: 2022년 3월 9일
