Home » Network Packet Broker (NPB): Aggregation, Filtering และ Load Balancing
Network Packet Broker (NPB): Aggregation, Filtering และ Load Balancing
Network Packet Broker (NPB): Aggregation, Filtering และ Load Balancing
Network Packet Broker (NPB) เป็น device ที่อยู่ระหว่าง network TAPs/SPAN ports กับ monitoring tools ทำหน้าที่ aggregate traffic จากหลายจุด, filter เฉพาะ traffic ที่ต้องการ, deduplicate packets ซ้ำ และ load balance traffic ไปยัง tools หลายตัว NPB ทำให้ monitoring architecture มี flexibility และ efficiency มากขึ้น
องค์กรที่มี TAPs หลายจุดและ tools หลายตัว (IDS, SIEM, APM, packet recorder) จะเจอปัญหา: TAP output อาจ overwhelm tool, ต้องการแค่ traffic บางส่วน (เช่น แค่ HTTP), duplicate packets จาก multiple TAPs และ tools แต่ละตัวรับ bandwidth ไม่เท่ากัน NPB แก้ทุกปัญหานี้
NPB Functions
| Function |
รายละเอียด |
| Aggregation |
รวม traffic จากหลาย TAPs/SPAN ports → single stream |
| Filtering |
ส่งเฉพาะ traffic ที่ต้องการ (by IP, port, VLAN, protocol) |
| Load Balancing |
กระจาย traffic ไปหลาย tool instances (session-aware) |
| Deduplication |
ลบ duplicate packets (เกิดจาก multiple TAP points) |
| Packet Slicing |
ตัดเหลือแค่ header (ลด bandwidth ไป tools ที่ไม่ต้องการ payload) |
| Timestamping |
เพิ่ม precise timestamp ลงใน packets (nanosecond accuracy) |
| Header Stripping |
ลบ VLAN tags, MPLS labels, GRE headers ก่อนส่ง tools |
| SSL/TLS Decryption |
Decrypt encrypted traffic → ส่ง plaintext ให้ security tools |
| Data Masking |
Mask sensitive data (credit card, PII) ก่อนส่ง tools |
| RegEx Matching |
Filter based on payload content (application-layer filtering) |
NPB Architecture
| Layer |
Component |
Role |
| Access |
TAPs / SPAN ports |
Copy traffic จาก network links |
| Visibility |
Network Packet Broker |
Aggregate, filter, optimize, distribute |
| Tools |
IDS/IPS, SIEM, APM, Recorder |
Analyze, detect, record, alert |
Filtering Capabilities
| Filter Type |
ตัวอย่าง |
| Layer 2 |
MAC address, VLAN ID, EtherType |
| Layer 3 |
Source/Destination IP, IP protocol, DSCP |
| Layer 4 |
Source/Destination port (TCP/UDP) |
| Layer 7 |
Application protocol, URL, payload regex |
| Tunnel |
GRE, VXLAN, GTP inner headers |
| Custom |
Byte offset + value matching |
Load Balancing Methods
| Method |
วิธีทำงาน |
Use Case |
| Round Robin |
กระจาย packets ไป tools สลับกัน |
Simple distribution (ไม่ session-aware) |
| Hash-based |
Hash (src IP + dst IP + ports) → same session → same tool |
Session-aware (IDS ต้องเห็น full session) |
| Weighted |
กระจายตาม weight (tool ที่แรงกว่าได้ traffic มากกว่า) |
Mixed capacity tools |
| Redundancy |
Active-standby: ส่ง tool หลัก → failover ถ้า tool ลง |
High availability monitoring |
NPB Use Cases
| Use Case |
NPB Feature |
Benefit |
| Security monitoring |
Filter + distribute to IDS/SIEM |
ส่งเฉพาะ relevant traffic → ลด tool load |
| Encrypted traffic |
SSL decryption → tools → re-encrypt |
Security tools เห็น decrypted traffic |
| Compliance (PCI) |
Data masking + selective forwarding |
Mask credit card data ก่อนส่ง tools |
| IDS scaling |
Hash-based load balancing to IDS cluster |
Scale IDS horizontally (เพิ่ม instances) |
| Packet recording |
Aggregate + timestamp + forward to recorder |
Complete packet history with accurate timestamps |
| Cloud migration |
Tunnel decapsulation (VXLAN, GRE) |
Strip encapsulation ก่อนส่ง legacy tools |
NPB Vendors
| Vendor |
Product Line |
จุดเด่น |
| Gigamon |
GigaVUE |
Market leader, deep packet inspection, cloud visibility |
| Keysight (Ixia) |
Vision ONE / Vision Edge |
High performance, advanced filtering, NetStack apps |
| APCON |
IntellaFlex |
Modular chassis, high density, good value |
| Corelight |
Sensor + NPB |
Zeek-based NDR + packet brokering |
| Niagara Networks |
Open Visibility Platform |
Open architecture, flexible, cost-effective |
| Arista (DANZ) |
Network switch + DMF |
Switch-based NPB (Arista switches as brokers) |
Sizing Considerations
| Factor |
Consideration |
| Input bandwidth |
Total bandwidth จากทุก TAPs/SPANs → NPB ต้อง handle ได้ |
| Output bandwidth |
Total bandwidth ไปทุก tools → port density sufficient |
| Filter rules |
จำนวน filter rules ที่ต้องการ (hardware-based = fast) |
| Dedup rate |
Duplicate % → NPB ต้อง dedup ที่ line rate |
| SSL sessions |
จำนวน concurrent SSL sessions ที่ต้อง decrypt |
| Port types |
1G, 10G, 25G, 40G, 100G copper/fiber ports |
ทิ้งท้าย: NPB = Optimize Your Monitoring Stack
NPB Sits between TAPs/SPANs and tools: aggregate → filter → distribute Key functions: dedup, packet slicing, timestamping, SSL decrypt, data masking Load balancing: hash-based (session-aware) สำหรับ IDS/IPS scaling Top vendors: Gigamon GigaVUE, Keysight Vision, APCON IntellaFlex Sizing: input bandwidth + output ports + filter rules + SSL capacity
อ่านเพิ่มเติมเกี่ยวกับ Network TAP vs SPAN Port และ Network Traffic Analysis ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
