Network Packet Broker (NPB)

Un Network Packet Broker (NPB) est une appliance dédiée agrégeant le trafic mirroré (SPAN, TAP) depuis multiples sources, le filtrant, le load-balancing, et le distribuant vers multiples tools d'analyse (IDS, NPM, SIEM, forensics, application performance monitoring). Évite que chaque tool ait sa propre infrastructure TAP/SPAN.

Fonctionnalités : (1) **Aggregation** — combine inputs multiples ; (2) **Filtering** — filter packets non-pertinents (e.g. encrypted traffic that analyzer can't inspect, large media flows) — réduit charge analyzer ; (3) **Load balancing** — distribuer trafic entre cluster analyzers selon hash 5-tuple ; (4) **Deduplication** — éliminer paquets dupliqués (SPAN sees both directions = duplicates) ; (5) **Slicing** — keep only first N bytes (headers, drop payload) — pour metadata-only analysis ; (6) **Time-stamping** précis ; (7) **TLS decryption** (TLS visibility) avec keys ; (8) **VLAN/MPLS tag handling** ; (9) **Tunneling** (GRE, VXLAN encapsulation/decap) ; (10) **NetFlow/IPFIX generation**.

Leaders marché : Gigamon, cPacket Networks, Garland Technology, NetScout (LinkProof), Keysight Ixia, Cubro, Fortinet FortiAIOps. High-end : 100G/400G interfaces, ASICs custom pour line-rate processing.

Use cases : (1) enterprise SOC consolidation ; (2) financial trading firms (forensics, compliance) ; (3) telco visibility infrastructure ; (4) cloud monitoring scale-out ; (5) lawful interception. Souvent combiné avec TAP matériel passifs en upstream pour capture exhaustive. Compétences CySA+, CCNP, CISSP.