Брокер сетевых пакетов

Брокер сетевых пакетов (англ. network packet broker) — это сетевое устройство, предназначенное для организации эффективного способа подключения средств мониторинга и анализа трафика к компьютерной сети и централизованного выполнения общих задач по обработке трафика. Позволяет снизить затраты на мониторинг компьютерной сети в случае наличия большого количества точек сбора трафика, высоких скоростей передачи данных и необходимости подключения к сети нескольких средств мониторинга и анализа.

На вход брокера сетевых пакетов поступает трафик с TAP-устройств и SPAN-портов сетевого оборудования. Брокер сетевых пакетов анализирует содержимое каждого пакета сетевого трафика по многим критериям, таким как принадлежность к определенному сегменту сети, TCP-сессии, протоколу или приложению, и др. Критерии могут быть как предустановлены производителем оборудования, так и заданы администратором. С пакетами, соответствующими установленным критериям выполняется настраиваемый набор операций, таких как фильтрация, модификация пакетов, обрезка сессий. Далее трафик распределяется по выходным портам устройства, при необходимости — с применением балансировки нагрузки. Таким образом, брокер сетевых пакетов обеспечивает контролируемую загрузку подключенных средств мониторинга и анализа и централизовано выполняет общие задачи обработки, выделяя и подготавливая необходимый трафик.

Брокеры сетевых пакетов выпускаются в форм-факторе 1U (иногда 2U) для стандартной 19-дюймовой серверной стойки. На передней панели устройства обычно располагается большое количество (до 40 и более) сетевых интерфейсов (портов). Некоторые брокеры сетевых пакетов поддерживают стекирование, что позволяет собирать виртуальные устройства с сотнями портов.

Брокеры сетевых пакетов - это сравнительно новый класс устройств и соответствующий стек технологий. Существует несколько разных подходов к реализации программных и аппаратных частей этих устройств, поэтому каждый продукт обладает рядом преимуществ и отличается от конкурентов. Наиболее общими являются функции ^[1][2][3]:

• Коммутация трафика с любого количества входных портов на любое количество выходных с возможностью настройки параметров коммутации в реальном времени и внесения различных изменений в поток пакетов.
• Фильтрация на уровнях с L2 до L4 модели OSI. В правила фильтрации могут входить такие поля как VLAN-тег, MAC-адрес, IP-адрес, TCP/UDP-порт и др.
• Агрегация и распределение. Трафик с нескольких низкоскоростных интерфейсов, например, 10G, может быть собран и отправлен по интерфейсу 100G. И наоборот, трафик полученный с интерфейса 100G может быть распределен по нескольким 10G интерфейсам.
• Обрезка пакетов, что позволяет отправлять на средства анализа только необходимую часть данных для максимально эффективного использования, например, только заголовки.
• Балансировка нагрузки между несколькими выходными портами. При балансировке, пакеты, принадлежащие одной сессии, могут отправляться на один выходной порт.
• Дедупликация повторяющихся пакетов для оптимизации потока трафика и снижения нагрузки на системы анализа или хранения данных.
• Ограничение скорости трафика в соответствии с возможностями средства анализа и мониторинга.
• Управление безопасностью (контроль доступа пользователей к настройкам, разрешения для отдельных портов и т.д.)

Брокеры сетевых пакетов поддерживают один или несколько интерфейсов управления:

• Текстовый интерфейс командной строки, к которому с помощью программы эмуляции терминала можно получить доступ локально через последовательный порт, или удаленно через защищенное сетевое подключение (например, SSH).
• Графический веб-интерфейс. Многие продукты реализуют веб-интерфейс, в том числе в интуитивно понятном стиле drag&drop, и предоставляют ряд графических функций, упрощающих процесс настройки устройства.

Также могут быть доступны следующие внешние интерфейсы:

• Сервер централизованного управления - используется при стекировании для управления большим количеством устройств через единый общий интерфейс.
• Интерфейс SNMP. Удобен в окружениях с централизованными системами управления, такими как IBM Tivoli или HP OpenView.

• Облегчают централизованный контроль сетевого трафика в Центре управления сетью (ЦУС).
• Экономят время и деньги при установке средств анализа и мониторинга.
• Упрощают совместное использование средств мониторинга различными подразделениями.
• Позволяют использовать средства мониторинга с производительностью 1G и 10G в 100G сетях. А также позволяют 10G устройствам мониторинга исследовать трафик, агрегированый с 1G соединений.
• Снижают нагрузку на средства мониторинга.
• Благодаря более высокой плотности портов, чем в отдельных TAP-устройствах, позволяют экономить место в стойке и электроэнергию, что ведёт к меньшей стоимости за порт.

• Являются дорогими и сложными в настройке устройствами, обладающими большим набором сложных функций, которые могут быть не нужны в конкретном случае.
• Различные устройства даже одного производителя могут работать и управляться по-разному вследствие отсутствия стандарта.
• Высокая минимальная стоимость - в случае необходимости использования всего нескольких портов цена за порт будет высока.

• Deep Packet Inspection (сокр. DPI) — Технология обработки трафика.
• СОРМ — Система технических средств для обеспечения функций оперативно-розыскных мероприятий ФСБ России.

• Мониторинг сети ЦОД. Алексей Засецкий, Владимир Шельгов. Журнал сетевых решений/LAN, 2013 № 05
• Пакетные брокеры: решаемые проблемы и варианты реализации. Анна Михайлова. www.anti-malware.ru

На эту статью не ссылаются другие статьи Википедии. Пожалуйста, установите ссылки в соответствии с принятыми рекомендациями.