NPB (Network Packet Broker)는 휴대용 장치에서 1U 및 2U 단위 케이스, 대규모 케이스 및 보드 시스템에 이르기까지 크기의 네트워킹 장치와 같은 스위치입니다. 스위치와 달리 NPB는 명시 적으로 지시하지 않는 한 어떤 식 으로든 흐르는 트래픽을 변경하지 않습니다. NPB는 하나 이상의 인터페이스에서 트래픽을 받고 해당 트래픽에서 사전 정의 된 기능을 수행 한 다음 하나 이상의 인터페이스로 출력 할 수 있습니다.
이것들은 종종 모든 것에서, 다수의 포트 매핑이라고 불립니다. 수행 할 수있는 기능은 트래픽 전달 또는 폐기와 같은 간단한 것부터 특정 세션을 식별하기 위해 계층 5 위의 필터링과 같은 단순한 것부터 복잡한 것까지 다양합니다. NPB의 인터페이스는 구리 케이블 연결 일 수 있지만 일반적으로 SFP/SFP + 및 QSFP 프레임이므로 사용자는 다양한 미디어 및 대역폭 속도를 사용할 수 있습니다. NPB의 기능 세트는 네트워크 장비의 효율성, 특히 모니터링, 분석 및 보안 도구를 최대화하는 원리를 기반으로합니다.
네트워크 패킷 브로커는 어떤 기능을 제공합니까?
NPB의 기능은 다양하며 장치 브랜드 및 장치 모델에 따라 다를 수 있지만 Salt의 가치가있는 패키지 에이전트는 핵심 기능 세트를 원할 것입니다. 대부분의 NPB (가장 일반적인 NPB)는 OSI 계층 2에서 4에서 기능합니다.
일반적으로 L2-4의 NPB에서 다음과 같은 기능을 찾을 수 있습니다. 트래픽 (또는 특정 부품) 리디렉션, 트래픽 필터링, 트래픽 복제, 프로토콜 스트리핑, 패킷 슬라이싱 (Truncation), 다양한 네트워크 터널 프로토콜을 시작하거나 종료하며 트래픽을위한로드 밸런싱을 찾을 수 있습니다. 예상대로 L2-4의 NPB는 VLAN, MPLS 레이블, MAC 주소 (소스 및 대상), IP 주소 (소스 및 대상), TCP 및 UDP 포트 (소스 및 대상) 및 ICMP, SCTP 및 ARP 트래픽을 필터링 할 수 있습니다. 이것은 결코 사용되는 기능이 아니라 오히려 레이어 2에서 4에서 NPB가 트래픽 서브 세트를 분리하고 식별 할 수있는 방법에 대한 아이디어를 제공합니다. 고객이 NPB에서 찾아야하는 주요 요구 사항은 차단하지 않는 백플레인입니다.
네트워크 패킷 브로커는 장치의 각 포트의 전체 트래픽 처리량을 충족 할 수 있어야합니다. 섀시 시스템에서 백플레인과의 상호 연결은 또한 연결된 모듈의 전체 트래픽로드를 충족 할 수 있어야합니다. NPB가 패킷을 떨어 뜨리면 이러한 도구는 네트워크를 완전히 이해하지 못합니다.
NPB의 대다수는 ASIC 또는 FPGA를 기반으로하지만 패킷 처리 성능의 확실성으로 인해 많은 통합 또는 CPU가 허용됩니다 (모듈을 통해). MyLinking ™ 네트워크 패킷 브로커 (NPB)는 ASIC 솔루션을 기반으로합니다. 이것은 일반적으로 유연한 처리를 제공하므로 순전히 하드웨어에서 수행 할 수없는 기능입니다. 여기에는 패킷 중복 제거, 타임 스탬프, SSL/TLS 암호 해독, 키워드 검색 및 정규식 검색이 포함됩니다. 기능은 CPU 성능에 따라 다릅니다. (예를 들어, 동일한 패턴의 정규 표현식 검색은 트래픽 유형, 일치 속도 및 대역폭에 따라 매우 다른 성능 결과를 얻을 수 있으므로 실제 구현 전에는 쉽게 결정할 수 없습니다.
CPU 의존적 특징이 활성화되면 NPB의 전반적인 성능에 제한 요소가됩니다. CAVIUM Xpliant, Barefoot Tofino 및 Innovium Teralynx와 같은 CPU 및 프로그래밍 가능한 스위칭 칩의 출현은 차세대 네트워크 패킷 에이전트를위한 확장 된 기능 세트의 기초를 형성했으며,이 기능 단위는 L4 이상의 트래픽을 처리 할 수 있습니다 (종종 L7 패킷 에이전트라고 함). 위에서 언급 한 고급 기능 중 키워드 및 정규 표현식 검색은 차세대 기능의 좋은 예입니다. 패킷 페이로드를 검색하는 기능은 세션 및 애플리케이션 수준에서 트래픽을 필터링 할 수있는 기회를 제공하고 L2-4보다 진화하는 네트워크를 더 잘 제어 할 수 있습니다.
네트워크 패킷 브로커는 인프라에 어떻게 적합합니까?
NPB는 두 가지 방법으로 네트워크 인프라에 설치할 수 있습니다.
1- 인라인
2- 밴드 외.
각 접근 방식에는 장단점이 있으며 다른 접근 방식이 할 수없는 방식으로 트래픽 조작을 가능하게합니다. 인라인 네트워크 패킷 브로커에는 실시간 네트워크 트래픽이있어 대상으로가는 길에 장치를 통과합니다. 이를 통해 트래픽을 실시간으로 조작 할 수 있습니다. 예를 들어, VLAN 태그를 추가, 수정 또는 삭제하거나 대상 IP 주소를 변경하면 트래픽이 두 번째 링크에 복사됩니다. 인라인 방법으로 NPB는 ID, IP 또는 방화벽과 같은 다른 인라인 도구에 중복성을 제공 할 수 있습니다. NPB는 이러한 장치의 상태를 모니터링 할 수 있으며 고장시 트래픽을 핫 스탠드로 동적으로 다시 경로화 할 수 있습니다.
실시간 네트워크에 영향을 미치지 않으면 서 트래픽을 처리하고 여러 모니터링 및 보안 장치로 복제하는 방법에 큰 유연성을 제공합니다. 또한 전례없는 네트워크 가시성을 제공하고 모든 장치가 책임을 올바르게 처리하는 데 필요한 트래픽 사본을 받도록합니다. 모니터링, 보안 및 분석 도구가 필요한 트래픽을 얻을 수있을뿐만 아니라 네트워크가 안전합니다. 또한 장치가 원치 않는 트래픽에서 리소스를 소비하지 않도록합니다. 아마도 네트워크 분석기는 백업 중에 귀중한 디스크 공간을 차지하기 때문에 백업 트래픽을 기록 할 필요가 없을 것입니다. 이러한 것들은 도구의 다른 모든 트래픽을 보존하면서 분석기에서 쉽게 필터링됩니다. 어쩌면 다른 시스템에 숨겨져있는 서브넷 전체가있을 수 있습니다. 다시, 이것은 선택한 출력 포트에서 쉽게 제거됩니다. 실제로 단일 NPB는 일부 트래픽 링크를 인라인으로 처리하면서 다른 대역 외 트래픽을 처리 할 수 있습니다.
시간 후 : 3 월 9 일
