NPB может передавать собранный трафик со SPAN-портов и TAP-устройств различным системам мониторинга и безопасности:
● Network Performance Monitoring (NPM) — для измерения и анализа различных параметров сети. ● Application Performance Monitoring (APM) — для изучения эффективности приложений в сети. ● Network Behavior Anomaly Detection Tools — для обнаружения аномального поведения в сети и потенциальных угроз безопасности. ● Security Information and Event Management (SIEM) — для анализа событий и обеспечения безопасности сети. ● Data Loss Prevention (DLP) — для мониторинга и управления утечкой конфиденциальной информации. ● Intrusion Detection and Prevention Systems (IDS/IPS) — для обнаружения и предотвращения вторжений в сеть. ● Firewall/Next-Gen Firewall — для контроля и фильтрации трафика, а также организации безопасности. ● Web Application Firewall (WAF) — для защиты веб-приложений от атак

Сетевые пакетные брокеры играют решающую роль в повышении производительности, безопасности и возможностей мониторинга сети. Они могут манипулировать данными пакетов, нарезая или маскируя определенные части, обнаруживать и устранять дубликаты пакетов, а также интеллектуально распределять сетевой трафик на основе определенных сеансов или соединений.

Особенности работы брокера сетевых пакетов

Сетевой пакетный брокер решает проблемы, связанные с управлением, мониторингом и оптимизацией сетевого трафика, делая его более эффективным и доступным для анализа различными инструментами без значительных потерь данных. Вот некоторые из этих проблем:
● Сверхнагрузка на инструменты мониторинга и безопасности. Слишком большой поток данных может перегружать системы нерелевантной информацией. NPB выполняет такие функции, как дедупликация и балансировка нагрузки, оптимизируя использование инструментов мониторинга и повышая точность анализа сети. ● Слепые зоны. Инструменты мониторинга не видят некоторые участки в сети, часто из-за неспособности перехватывать или анализировать определенные типы трафика. NPB фильтруют и пересылают сетевые пакеты к инструментам мониторинга, улучшая видимость и гарантируя, что инструменты анализа получают доступ к нужным им данным, тем самым устраняя слепые зоны в сети. Эффективно распределенные данные также позволяют администраторам быстро выявлять инциденты безопасности и реагировать на них. ● Использование большого количества инструментов и сложность управления ими. NPB помогает консолидировать инструменты мониторинга и безопасности. Они могут распределять сетевой трафик между несколькими инструментами, что обеспечивает решение соответствующей долей нагрузки данных и предотвращает возникновение узких мест. NPB также упрощает управление такими инструментами, и повышает эффективность. ● Перегрузка трафика. NPB могут эффективно агрегировать и распределять сетевой трафик, предотвращая перегрузку определенных сетевых каналов и обеспечивая сбалансированный поток данных. Тем самым они увеличивают производительность и уменьшают потенциальные простои. Также благодаря этому компании могут сэкономить средства: вам не понадобится увеличивать ресурс решения по мониторингу или безопасности, то есть не надо будет покупать дополнительные лицензии. ● Организация безопасности. Обнаружение угроз безопасности в режиме реального времени может быть сложной задачей без полной видимости сетевого трафика. NPB позволяет устройствам безопасности проверять соответствующие пакеты, облегчая обнаружение аномалий, злонамеренных действий и потенциальных нарушений безопасности. Более того, некоторые пакетные брокеры способны блокировать злокачественный трафик и не пропускать его дальше. ● Обеспечение конфиденциальности данных. Через сеть может передаваться чувствительная информация, что создает риски для безопасности. NPB может выборочно фильтровать или маскировать такие данные, защищая конфиденциальность и обеспечивая соответствие нормам защиты данных. ● Устранение неисправностей и анализ. Определение первопричины сетевых проблем может занять много времени без детального анализа на уровне пакетов. NPB обеспечивает видимость на уровне пакетов, что позволяет сетевым инженерам эффективнее устранять неисправности и анализировать поток данных через сеть.
Таким образом, сетевые пакетные брокеры играют решающую роль в преодолении проблем, связанных с прозрачностью, безопасностью, производительностью и эффективностью сети. Благодаря интеллектуальному управлению и распределению сетевого трафика, NPB способствуют повышению общей надежности и эффективности современных сетевых инфраструктур.

С чего состоит NPB?

Обычно NPB состоит из следующего набора характеристик:
● Порт данных — со скоростями 1GE, 10GE, 40GE, 100GE с соответствующими модулями SFP, SFP+, QSFP+ и CFP. ● Порт управления — чаще всего это порты RJ-45 10/100/1000. Управление обычно осуществляется удаленно через API, CLI, GUI, по протоколам HTTP, SSH, Telnet или SNMP. ● Базовые и расширенные функции — базовыми функциями считаются агрегация трафика и фильтрация за полями, тогда как к расширенным относят балансировку нагрузки, зеркалирование трафика, модификацию и классификацию данных.

Расширенные функции пакетных брокеров

NPB-устройства позволяют выборочно переадресовывать определенные пакеты на основе определенных критериев, что позволяет эффективно использовать сетевые ресурсы и гарантирует, что в инструменты мониторинга попадают только релевантные данные.

Генерация NetFlow/IPFIX

Генерация NetFlow/IPFIX означает сбор широкого перечня статистики по проходящему трафику и его передачу на средства анализа.
NetFlow — это протокол, который обеспечивает видимость сетевого трафика путем сбора и экспорта информации об IP-потоках в сети. Он включает такие детали, как IP-адреса источника и назначения, порты, типы протоколов и объемы передачи данных.
IPFIX — это стандартизированная версия NetFlow, определенная IETF (Internet Engineering Task Force). Этот протокол обеспечивает общий формат для экспорта информации о потоке, что делает его совместимым с различными сетевыми устройствами и поставщиками.
●  Мониторинг и анализ. Выявление тенденций и выполнение анализа безопасности позволяет сетевым администраторам получить представление о структуре трафика, выявить аномалии и устранить неисправности. ● Интеграция с системами управления сетью и коллекторами потока. Улучшает общую видимость сети и облегчает корреляцию данных о потоке с другими показателями производительности сети. ● Оптимизация ресурсов. Это позволяет администраторам принимать обоснованные решения по использованию пропускной способности, производительности приложений и общего состояния сети.

Фильтрация пакетов (packet filtering)

Входящие пакеты можно фильтровать с помощью заданных правил. Фильтрация пакетов является ключевой функцией, которая помогает контролировать, какие пакеты перенаправляются к инструментам мониторинга или устройствам безопасности. Вот некоторые общие критерии, используемые для фильтрации пакетов NPB:
● IP-адреса источника и назначения — позволяет NPB пропускать только те пакеты, которые отвечают указанным адресам. Это может быть полезным для направления трафика из или в определенные сегменты сети. ● Тип протокола (например, TCP, UDP, ICMP) — позволяет NPB сосредоточиться на конкретных типах трафика для анализа или мониторинга. ● Номера портов источника или назначения — часто используется для направления трафика, связанного с определенными программами или сервисами. ● Размер пакетов — NPB управляет трафиком, разрешая или блокируя пакеты определенного диапазона размеров. ● Время суток — позволяет администраторам определять конкретные периоды времени, в течение которых применяются определенные правила фильтрации.

Применяя правила фильтрации пакетов, NPB помогают оптимизировать использование инструментов мониторинга и безопасности, направляя на них только релевантный трафик. Это особенно важно в сетях с высоким трафиком, где непрактично отправлять все пакеты каждому инструменту мониторинга. Фильтрация пакетов повышает эффективность и результативность сетевого мониторинга, анализа и операций по обеспечению безопасности.

Модификация трафика

Модификация трафика — это способность NPB изменять определенные аспекты проходящего через них сетевого трафика. Эта функция позволяет брокерам сетевых пакетов адаптировать, оптимизировать или улучшать поток трафика в соответствии с конкретными требованиями инструментов мониторинга, систем безопасности или других сетевых устройств. Ниже приведены несколько вариантов модификации трафика для снижения нагрузки на средства анализа и повышения их эффективности:
● Удаление payload. Фактически payload является мусором, поэтому его удаление предоставляет дополнительное пространство средствам анализа. ● Детунелирование. Это удаление заголовков, обозначающих и идентифицирующих туннели. ● Удаление частей заголовков пакетов. Это такие части, как MPLS-метки, VLAN, специфические поля стороннего оборудования и тому подобное. ● Маскирование частей заголовков. Это обеспечивает анонимизацию трафика. ● Добавление в пакет служебной информации. Это такие данные, как метки времени, входящего порта, метки класса трафика и т. д.

Уменьшение пакетов (packet slicing)

Некоторым устройствам мониторинга нужна определенная информация из пакета, его определенная часть. При этом просмотр всего пакета займет лишние ресурсы. Packet slicing используется для уменьшения объема данных, которые обрабатываются этими инструментами, тем самым оптимизируя их производительность и использование ресурсов. Вот как обычно работает нарезка пакетов в NPB:
● Уменьшения размера пакета. Вместо пересылки всего пакета, NPB уменьшает его, удаляя определенную часть полезной нагрузки. Это может включать отбрасывание части пакета с начала или с конца. ● Сохранение заголовка. Часто заголовок пакета (который содержит важную информацию, такую как адреса источника и назначения, тип протокола и т.д.) сохраняется во время разбиения на части полезной нагрузки. Это гарантирует, что важная информация остается доступной для анализа. ● Кастомный анализ. NPB обычно предоставляет администраторам гибкость в настройке параметров анализа в соответствии с их конкретными требованиями. Это может включать установку размера сохраненной части, определение того, должна ли нарезка происходить в начале или в конце пакета и т. д.

Нарезка пакетов полезна в тех случаях, когда полное содержимое каждого пакета не является необходимым для анализа или мониторинга. Отправляя только уменьшенные пакеты в инструменты, NPB могут помочь оптимизировать использование пропускной способности, уменьшить накладные расходы на обработку и продлить срок службы инструментов мониторинга и анализа.
Стоит отметить, что хотя нарезка пакетов может быть полезной для определенных случаев использования, она может не подходить для приложений, которые требуют проверки всей полезной нагрузки пакета, например, глубокой проверки пакетов в целях безопасности. Администраторы должны тщательно учитывать свои конкретные потребности в мониторинге и анализе при настройке нарезки пакетов в NPB.

Маркирование портов (port stamping)

Маркирование портов предусматривает добавление метаданных или тегов к сетевым пакетам, когда они проходят через NPB. NPB идентифицирует порты источника и назначения, связанные с каждым сетевым пакетом, добавляет метаданные или теги к пакету, указывая информацию о порте источника и/или назначения. Вот как это может быть полезным:
● Улучшеная видимость. Маркируя пакеты, инструменты мониторинга могут легко идентифицировать сетевые порты, связанные с каждым пакетом. Это улучшает видимость сети и помогает в анализе шаблонов трафика. ● Содействие балансировке нагрузки. Добавляя метаданные, связанные с портами, NPB может помочь равномерно распределить сетевой трафик между несколькими инструментами мониторинга или безопасности, подключенными к разным портам. ● Упрощенное устранение неисправностей. Маркировка предоставляет контекст о путях связи между сетевыми устройствами, облегчая выявление потенциальных проблем.

Маркировка портов — это форма манипуляции с пакетами, которая улучшает видимость и управляемость сетевого трафика для целей мониторинга, анализа и безопасности. Конкретные функции и возможности маркировки портов могут отличаться в различных решениях NPB, и администраторы могут настраивать маркировку портов в соответствии со своими конкретными требованиями к мониторингу и архитектуре сети.

Маркирование времени (time stamping)

Маркировка времени предусматривает добавление отметки времени или информации, связанной со временем, к сетевым пакетам, когда они проходят через NPB. Эта отметка времени предоставляет точную временную информацию о том, когда пакет был захвачен или обработан. Отметка времени является важной функцией в мониторинге и анализе сети по разным причинам:
● Точный анализ времени — помогает диагностировать проблемы задержки, отслеживать сетевой джиттер и анализировать общую производительность сети. ● Кореляция событий — помогает восстановить хронологический порядок событий для более точного анализа. ● Устранение неисправностей и криминалистика — позволяет проводить детальный криминалистический анализ, а именно определить, когда произошли определенные события, и проследить последовательность действий. ● Синхронизация между инструментами — отметка времени в NPB гарантирует, что пакеты, которые пересылаются в инструменты, имеют согласованные и синхронизированные временные метки, что облегчает скоординированный анализ. ● Соответствие и отчетность — обеспечивает достоверную запись того, когда произошли события в сети, что часто необходимо для аудиторских отчетов и комплаенса. ● Мониторинг качества обслуживания (QoS) — помогает обеспечить соответствие сетевых служб требованиям к производительности и соглашениям об уровне обслуживания (SLA).

Точность отметки времени является критически важной, и современные NPB часто используют точные часовые механизмы для достижения синхронизации с сетевыми протоколами времени (такими как NTP или PTP).

Дедупликация пакетов (packet dedublication)

Дедупликация пакетов — это процесс обнаружения и устранения дубликатов сетевых пакетов в потоке трафика. Дубликаты пакетов могут возникать в сетевом трафике по разным причинам, таким как сетевые петли, избыточные пути или конфигурации зеркалирования. Дедупликация помогает оптимизировать использование инструментов мониторинга и анализа, гарантируя, что эти инструменты обрабатывают только уникальные пакеты, уменьшая ненужную обработку и повышая общую эффективность. Вот как это обычно работает:
● Идентификация дубликатов пакетов. NPB исследует входящий сетевой трафик и обнаруживает пакеты, которые идентичны тем, что уже обработаны или пересланы. Дублирование может происходить из-за топологии сети, зеркалирования пакетов или других факторов. ● Хеширование или сравнение. NPB часто использует алгоритмы хеширования или методы прямого сравнения пакетов, чтобы определить, является ли пакет дубликатом. Это включает в себя создание уникального хеш-значения для каждого пакета и проверку его по базе данных уже известных хешей. ● Устранение дубликатов. После обнаружения дубликатов пакетов NPB удаляет или устраняет их из потока трафика. Затем дедуплицированный трафик перенаправляется к инструментам мониторинга или анализа.

Важно отметить, что хотя дедупликация пакетов полезна во многих сценариях, могут быть специфические случаи использования, когда дубликаты пакетов намеренно сохраняются для целей анализа. В таких случаях администраторы могут настроить NPB на пропуск дедупликации для определенных потоков трафика.

Дешифровка SSL-трафика

Дешифровка SSL-трафика позволяет проверять зашифрованный трафик, предоставляя инструментам безопасности видимость, необходимую для обнаружения и реагирования на потенциальные угрозы безопасности в зашифрованных SSL-коммуникациях. Эта функция работает при условии предварительной загрузки сертификата и ключей в брокер сетевых пакетов и предоставляет следующие преимущества:
● Углубленная проверка пакетов. После дешифровки SSL-трафика NPB может выполнять глубокую проверку пакетов, что позволяет инструментам безопасности анализировать содержимое трафика на наличие потенциальных угроз, вредоносного программного обеспечения или других проблем с безопасностью. ● Анализ и мониторинг безопасности. Дешифрованный SSL-трафик предоставляет инструментам безопасности необходимую видимость для выявления и уменьшения угроз безопасности в зашифрованной связи. Это включает обнаружение злонамеренных действий, проверку полезной нагрузки на наличие вредоносного программного обеспечения и применение политик безопасности. ● Внедрение политики безопасности. Дешифровка SSL-трафика также делает возможным применение политик безопасности, позволяя организациям внедрять фильтрацию содержимого, предотвращение потери данных (DLP) и другие меры безопасности для зашифрованного трафика.

Виды брокеров сетевых пакетов

NPB — это активные устройства, которые отправляют пакеты необработанных данных в определенные сетевые инструменты мониторинга и безопасности. Однако все брокеры делятся на три категории:

● Стационарные сетевые брокеры пакетов — устройства небольшого формата, которые вписываются в четко определенную сетевую топологию для объединения внешних пассивных TAP, портов SPAN и устройств безопасности/мониторинга. Они обеспечивают специфические функции, такие как агрегация трафика, фильтрация или балансировка нагрузки. Обычно они предлагают выделенные аппаратные ресурсы для эффективной обработки пакетов, легко развертываются с минимальными требованиями к конфигурации. ● Модульные сетевые брокеры пакетов — единое многоцелевое устройство, которое организации могут настраивать в соответствии с конкретными требованиями к мониторингу. Он состоит из взаимозаменяемых модулей, которые можно добавлять или модернизировать для масштабирования, гибкости функций и возможностей, адаптации к изменяющимся требованиям сети. Модульный NPB часто предлагает расширенные функции, такие как глубокий анализ пакетов и преобразование протоколов. ● Гибридный пакетный брокер/bypass — комбинированное устройство "все в одном", сочетающее в себе функции и преимущества bypass-коммутаторов и пакетных брокеров, обеспечивая этим широкие возможности фильтрации, распределения, агрегации и зеркалирования пакетов для любого сегмента сети. Гибридный NPB/bypass обеспечивает высокую доступность и бесперебойное подключение к сети во время сбоев, а также сетевую безопасность благодаря перехвату и анализу сетевого трафика.