네트워크 패킷 브로커(NPB)는 휴대용 장치부터 1U 및 2U 유닛 케이스, 대형 케이스 및 보드 시스템에 이르기까지 다양한 크기의 스위치와 유사한 네트워킹 장치입니다. 스위치와 달리 NPB는 명시적인 지시가 없는 한, 이를 통과하는 트래픽을 어떤 방식으로도 변경하지 않습니다. NPB는 하나 이상의 인터페이스에서 트래픽을 수신하고, 해당 트래픽에 대해 미리 정의된 기능을 수행한 후, 하나 이상의 인터페이스로 출력할 수 있습니다.
이러한 매핑은 종종 임의 대 임의(any-to-any), 다대 임의(many-to-any), 임의 대 다(any-to-many) 포트 매핑이라고 합니다. 수행할 수 있는 기능은 트래픽 전달 또는 삭제와 같은 간단한 기능부터 특정 세션을 식별하기 위해 5계층 이상의 정보를 필터링하는 것과 같은 복잡한 기능까지 다양합니다. NPB의 인터페이스는 구리 케이블 연결일 수도 있지만, 일반적으로 SFP/SFP+ 및 QSFP 프레임을 사용하므로 사용자는 다양한 미디어 및 대역폭 속도를 사용할 수 있습니다. NPB의 기능 세트는 네트워크 장비, 특히 모니터링, 분석 및 보안 도구의 효율성을 극대화한다는 원칙을 기반으로 구축되었습니다.
네트워크 패킷 브로커는 어떤 기능을 제공합니까?
NPB의 기능은 다양하며 기기의 브랜드와 모델에 따라 다를 수 있습니다. 하지만 실력 있는 패키지 에이전트라면 핵심 기능 세트를 갖추고 싶어 할 것입니다. 대부분의 NPB(가장 일반적인 NPB)는 OSI 2계층부터 4계층까지 작동합니다.
일반적으로 L2-4의 NPB에서는 트래픽(또는 특정 부분) 리디렉션, 트래픽 필터링, 트래픽 복제, 프로토콜 스트리핑, 패킷 슬라이싱(잘라내기), 다양한 네트워크 터널 프로토콜 시작 또는 종료, 트래픽 부하 분산 등의 기능을 제공합니다. 예상대로 L2-4의 NPB는 VLAN, MPLS 레이블, MAC 주소(소스 및 대상), IP 주소(소스 및 대상), TCP 및 UDP 포트(소스 및 대상), 심지어 TCP 플래그까지 필터링할 수 있으며, ICMP, SCTP, ARP 트래픽도 필터링할 수 있습니다. 이는 반드시 사용해야 하는 기능은 아니지만, 2~4 계층에서 작동하는 NPB가 트래픽 하위 집합을 어떻게 분리하고 식별할 수 있는지에 대한 아이디어를 제공합니다. 고객이 NPB에서 찾아야 할 핵심 요구 사항은 비차단 백플레인입니다.
네트워크 패킷 브로커(NPB)는 장치의 각 포트에서 최대 트래픽 처리량을 충족할 수 있어야 합니다. 섀시 시스템에서는 백플레인과의 상호 연결도 연결된 모듈의 최대 트래픽 부하를 감당할 수 있어야 합니다. NPB가 패킷을 삭제하면 이러한 도구는 네트워크를 완전히 이해하지 못하게 됩니다.
NPB의 대부분은 ASIC 또는 FPGA 기반이지만, 패킷 처리 성능의 확실성으로 인해 모듈을 통해 다양한 통합 또는 CPU 사용이 가능합니다. Mylinking™ 네트워크 패킷 브로커(NPB)는 ASIC 솔루션을 기반으로 합니다. 이는 일반적으로 유연한 처리 기능을 제공하므로 하드웨어만으로는 구현할 수 없습니다. 여기에는 패킷 중복 제거, 타임스탬프, SSL/TLS 복호화, 키워드 검색, 정규 표현식 검색 등이 포함됩니다. 이 기능은 CPU 성능에 따라 달라진다는 점에 유의해야 합니다. (예를 들어, 동일한 패턴의 정규 표현식 검색이라도 트래픽 유형, 매칭률, 대역폭에 따라 성능 결과가 크게 달라질 수 있습니다.) 따라서 실제 구현 전에는 성능 차이를 판단하기 어렵습니다.
CPU 의존 기능이 활성화되면 NPB의 전반적인 성능을 제한하는 요인이 됩니다. Cavium Xpliant, Barefoot Tofino, Innovium Teralynx와 같은 CPU 및 프로그래밍 가능 스위칭 칩의 등장은 차세대 네트워크 패킷 에이전트의 확장된 기능 세트의 기반을 마련했습니다. 이러한 기능 유닛은 L4 이상의 트래픽(종종 L7 패킷 에이전트라고 함)을 처리할 수 있습니다. 위에서 언급한 고급 기능 중 키워드 및 정규 표현식 검색은 차세대 기능의 좋은 예입니다. 패킷 페이로드 검색 기능은 세션 및 애플리케이션 수준에서 트래픽을 필터링할 수 있는 기회를 제공하고, L2-4보다 진화하는 네트워크를 더욱 세밀하게 제어할 수 있도록 합니다.
네트워크 패킷 브로커는 인프라에 어떻게 들어맞나요?
NPB는 두 가지 방법으로 네트워크 인프라에 설치할 수 있습니다.
1- 인라인
2- 대역외.
각 접근 방식에는 장단점이 있으며, 다른 접근 방식에서는 불가능한 방식으로 트래픽을 조작할 수 있습니다. 인라인 네트워크 패킷 브로커는 목적지까지 이동하는 동안 장치를 통과하는 실시간 네트워크 트래픽을 처리합니다. 이를 통해 실시간으로 트래픽을 조작할 수 있습니다. 예를 들어, VLAN 태그를 추가, 수정 또는 삭제하거나 대상 IP 주소를 변경할 때 트래픽은 두 번째 링크로 복사됩니다. 인라인 방식인 NPB는 IDS, IPS 또는 방화벽과 같은 다른 인라인 도구에 대한 이중화를 제공할 수도 있습니다. NPB는 이러한 장치의 상태를 모니터링하고 장애 발생 시 트래픽을 상시 대기 상태로 동적으로 재라우팅할 수 있습니다.
실시간 네트워크에 영향을 주지 않으면서 트래픽을 처리하고 여러 모니터링 및 보안 장치에 복제하는 방식에 있어 뛰어난 유연성을 제공합니다. 또한 전례 없는 네트워크 가시성을 제공하고 모든 장치가 해당 작업을 제대로 처리하는 데 필요한 트래픽 사본을 수신하도록 보장합니다. 모니터링, 보안 및 분석 도구가 필요한 트래픽을 수신할 뿐만 아니라 네트워크 보안도 유지합니다. 또한 장치가 원치 않는 트래픽에 리소스를 소모하지 않도록 보장합니다. 네트워크 분석기가 백업 중에 귀중한 디스크 공간을 차지하기 때문에 백업 트래픽을 기록할 필요가 없을 수도 있습니다. 이러한 항목은 분석기에서 쉽게 필터링되고 다른 모든 트래픽은 도구에 보존됩니다. 다른 시스템에서 숨기려는 전체 서브넷이 있을 수도 있습니다. 이 경우에도 선택한 출력 포트에서 쉽게 제거할 수 있습니다. 실제로 단일 NPB는 다른 대역 외 트래픽을 처리하는 동안 일부 트래픽 링크를 인라인으로 처리할 수 있습니다.
게시 시간: 2022년 3월 9일
