Cel mai comun instrument pentru monitorizarea și depanarea rețelelor în prezent este Switch Port Analyzer (SPAN), cunoscut și sub numele de Port mirroring. Acesta ne permite să monitorizăm traficul de rețea în modul bypass out-of-band fără a interfera cu serviciile din rețeaua activă și trimite o copie a traficului monitorizat către dispozitive locale sau la distanță, inclusiv Sniffer, IDS sau alte tipuri de instrumente de analiză a rețelei.
Câteva utilizări tipice sunt:
• Depanarea problemelor de rețea prin urmărirea cadrelor de control/date;
• Analizați latența și jitter-ul prin monitorizarea pachetelor VoIP;
• Analizați latența prin monitorizarea interacțiunilor din rețea;
• Detectarea anomaliilor prin monitorizarea traficului de rețea.
Traficul SPAN poate fi oglindit local către alte porturi de pe același dispozitiv sursă sau oglindit de la distanță către alte dispozitive de rețea adiacente Layer-ului 2 al dispozitivului sursă (RSPAN).
Astăzi vom vorbi despre tehnologia de monitorizare a traficului de internet la distanță, numită ERSPAN (Encapsulated Remote Switch Port Analyzer), care poate fi transmisă prin trei niveluri de IP. Aceasta este o extensie a SPAN la Encapsulated Remote.
Principiile de bază de funcționare ale ERSPAN
Mai întâi, să aruncăm o privire asupra caracteristicilor ERSPAN:
• O copie a pachetului de la portul sursă este trimisă către serverul destinație pentru analiză prin Generic Routing Encapsulation (GRE). Locația fizică a serverului nu este restricționată.
• Cu ajutorul funcției Câmp definit de utilizator (UDF) a cipului, orice offset de la 1 la 126 octeți este efectuat pe baza domeniului de bază prin lista extinsă la nivel de expert, iar cuvintele cheie ale sesiunii sunt potrivite pentru a realiza vizualizarea sesiunii, cum ar fi handshake-ul TCP în trei direcții și sesiunea RDMA;
• Suport pentru setarea ratei de eșantionare;
• Acceptă lungimea de interceptare a pachetelor (Packet Slicing), reducând presiunea asupra serverului țintă.
Cu aceste caracteristici, puteți înțelege de ce ERSPAN este un instrument esențial pentru monitorizarea rețelelor din centrele de date din ziua de azi.
Principalele funcții ale ERSPAN pot fi rezumate în două aspecte:
• Vizibilitatea sesiunii: Folosiți ERSPAN pentru a colecta toate sesiunile TCP și Remote Direct Memory Access (RDMA) noi create pe serverul backend pentru afișare;
• Depanare rețea: Capturează traficul de rețea pentru analiza erorilor atunci când apare o problemă de rețea.
Pentru a realiza acest lucru, dispozitivul de rețea sursă trebuie să filtreze traficul de interes pentru utilizator din fluxul masiv de date, să facă o copie și să încapsuleze fiecare cadru de copie într-un „container superframe” special care conține suficiente informații suplimentare pentru ca acestea să poată fi direcționate corect către dispozitivul receptor. Mai mult, să permită dispozitivului receptor să extragă și să recupereze complet traficul monitorizat original.
Dispozitivul receptor poate fi un alt server care acceptă decapsularea pachetelor ERSPAN.
Analiza tipului și formatului pachetului ERSPAN
Pachetele ERSPAN sunt încapsulate folosind GRE și transmise către orice destinație cu adresa IP prin Ethernet. ERSPAN este utilizat în prezent în principal în rețelele IPv4, iar suportul pentru IPv6 va fi o cerință în viitor.
Pentru structura generală de încapsulare a ERSAPN, următoarea este o captură de pachete în oglindă a pachetelor ICMP:
Protocolul ERSPAN s-a dezvoltat de-a lungul unei perioade lungi de timp și, odată cu îmbunătățirea capacităților sale, au fost create mai multe versiuni, numite „Tipuri ERSPAN”. Diferite tipuri au formate diferite de antet de cadru.
Este definit în primul câmp Version din antetul ERSPAN:
În plus, câmpul Protocol Type din antetul GRE indică și tipul ERSPAN intern. Câmpul Protocol Type 0x88BE indică ERSPAN Type II, iar 0x22EB indică ERSPAN Type III.
1. Tipul I
Cadrul ERSPAN de tip I încapsulează IP și GRE direct peste antetul cadrului oglindă original. Această încapsulare adaugă 38 de octeți peste cadrul original: 14 (MAC) + 20 (IP) + 4 (GRE). Avantajul acestui format este că are o dimensiune compactă a antetului și reduce costul transmisiei. Cu toate acestea, deoarece setează câmpurile GRE Flag și Version la 0, nu conține câmpuri extinse, iar tipul I nu este utilizat pe scară largă, deci nu este nevoie să se extindă mai mult.
Formatul antetului GRE de tip I este următorul:
2. Tipul II
În Tipul II, câmpurile C, R, K, S, S, Recur, Flags și Version din antetul GRE au toate valoarea 0, cu excepția câmpului S. Prin urmare, câmpul Sequence Number este afișat în antetul GRE al Tipului II. Adică, Tipul II poate asigura ordinea primirii pachetelor GRE, astfel încât un număr mare de pachete GRE neordonate să nu poată fi sortate din cauza unei erori de rețea.
Formatul antetului GRE de tip II este următorul:
În plus, formatul cadrului ERSPAN de tip II adaugă un antet ERSPAN de 8 octeți între antetul GRE și cadrul oglindit original.
Formatul antetului ERSPAN pentru tipul II este următorul:
În cele din urmă, imediat după cadrul imaginii originale, se află codul standard de verificare a redundanței ciclice (CRC) Ethernet pe 4 octeți.
Este demn de remarcat faptul că, în implementare, cadrul oglindit nu conține câmpul FCS al cadrului original, în schimb, o nouă valoare CRC este recalculată pe baza întregului ERSPAN. Aceasta înseamnă că dispozitivul receptor nu poate verifica corectitudinea CRC a cadrului original și putem doar presupune că doar cadrele necorupte sunt oglindite.
3. Tipul III
Tipul III introduce un antet compozit mai mare și mai flexibil pentru a aborda scenarii de monitorizare a rețelei din ce în ce mai complexe și diverse, inclusiv, dar fără a se limita la, gestionarea rețelei, detectarea intruziunilor, analiza performanței și a întârzierilor și multe altele. Aceste scene trebuie să cunoască toți parametrii originali ai cadrului oglinzii și să îi includă pe cei care nu sunt prezenți în cadrul original în sine.
Antetul compozit ERSPAN de tip III include un antet obligatoriu de 12 octeți și un subantet opțional de 8 octeți specific platformei.
Formatul antetului ERSPAN pentru tipul III este următorul:
Din nou, după cadrul oglinzii originale este un CRC de 4 octeți.
După cum se poate observa din formatul antetului de tip III, pe lângă păstrarea câmpurilor Ver, VLAN, COS, T și Session ID pe baza tipului II, sunt adăugate multe câmpuri speciale, cum ar fi:
• BSO: utilizat pentru a indica integritatea încărcării cadrelor de date transportate prin ERSPAN. 00 este un cadru bun, 11 este un cadru defect, 01 este un cadru scurt, 11 este un cadru mare;
• Marcaj temporal: exportat din ceasul hardware sincronizat cu ora sistemului. Acest câmp pe 32 de biți acceptă o granularitate a marcajului temporal de cel puțin 100 de microsecunde;
• Tipul de cadru (P) și Tipul de cadru (FT): primul este utilizat pentru a specifica dacă ERSPAN transportă cadre de protocol Ethernet (cadre PDU), iar cel de-al doilea este utilizat pentru a specifica dacă ERSPAN transportă cadre Ethernet sau pachete IP.
• HW ID: identificator unic al motorului ERSPAN în cadrul sistemului;
• Gra (Granularitatea marcajului temporal): Specifică granularitatea marcajului temporal. De exemplu, 00B reprezintă o granularitate de 100 microsecunde, 01B o granularitate de 100 nanosecunde, 10B o granularitate IEEE 1588, iar 11B necesită subanteturi specifice platformei pentru a obține o granularitate mai mare.
• ID platformă vs. informații specifice platformei: Câmpurile cu informații specifice platformei au formate și conținuturi diferite în funcție de valoarea ID-ului platformei.
Trebuie menționat că diversele câmpuri de antet acceptate mai sus pot fi utilizate în aplicațiile ERSPAN obișnuite, chiar și în oglindirea cadrelor de eroare sau a cadrelor BPDU, păstrând în același timp pachetul Trunk original și ID-ul VLAN. În plus, informațiile despre marcajul temporal cheie și alte câmpuri de informații pot fi adăugate la fiecare cadru ERSPAN în timpul oglindirii.
Cu ajutorul antetelor de funcționalități proprii ale ERSPAN, putem realiza o analiză mai rafinată a traficului de rețea și apoi putem monta pur și simplu ACL-ul corespunzător în procesul ERSPAN pentru a se potrivi cu traficul de rețea care ne interesează.
ERSPAN implementează vizibilitatea sesiunii RDMA
Să luăm un exemplu de utilizare a tehnologiei ERSPAN pentru a realiza vizualizarea sesiunii RDMA într-un scenariu RDMA:
RDMAAccesul direct la memorie de la distanță permite adaptorului de rețea al serverului A să citească și să scrie în memoria serverului B utilizând plăci de interfață de rețea inteligente (inics) și switch-uri, atingând o lățime de bandă mare, o latență redusă și o utilizare redusă a resurselor. Este utilizat pe scară largă în scenarii de big data și stocare distribuită de înaltă performanță.
RoCEv2RDMA peste Ethernet convergent versiunea 2. Datele RDMA sunt încapsulate în antetul UDP. Numărul portului de destinație este 4791.
Operarea și întreținerea zilnică a RDMA necesită colectarea unei cantități mari de date, care sunt utilizate pentru a colecta zilnic linii de referință ale nivelului apei și alarme anormale, precum și pentru a localiza probleme anormale. În combinație cu ERSPAN, se pot colecta rapid date masive pentru a obține date privind calitatea redirecționării în microsecunde și starea interacțiunii protocolului cipului de comutare. Prin statistici și analiză a datelor, se poate obține evaluarea și predicția calității redirecționării RDMA end-to-end.
Pentru a realiza vizualizarea sesiunii RDAM, avem nevoie ca ERSPAN să potrivească cuvintele cheie pentru sesiunile de interacțiune RDMA atunci când se oglindește traficul și trebuie să folosim lista extinsă expertă.
Definiția câmpului de potrivire a listei extinse la nivel de expert:
UDF-ul este format din cinci câmpuri: cuvântul cheie UDF, câmpul de bază, câmpul de offset, câmpul de valoare și câmpul de mască. Limitat de capacitatea intrărilor hardware, se pot utiliza un total de opt UDF-uri. Un UDF poate potrivi maximum doi octeți.
• Cuvinte cheie UDF: UDF1... UDF8 Conține opt cuvinte cheie din domeniul de potrivire UDF
• Câmp de bază: identifică poziția inițială a câmpului de potrivire UDF. Următoarele
L4_header (aplicabil pentru RG-S6520-64CQ)
L5_header (pentru RG-S6510-48VS8Cq)
• Offset: indică offset-ul bazat pe câmpul de bază. Valoarea variază de la 0 la 126
• Câmp Value: valoarea corespondentă. Poate fi utilizat împreună cu câmpul Mask pentru a configura valoarea specifică care urmează să fie corespondentă. Bitul valid este de doi octeți
• Câmp mască: mască, bitul valid este de doi octeți
(Adăugare: Dacă se utilizează mai multe intrări în același câmp de potrivire UDF, câmpurile de bază și de offset trebuie să fie aceleași.)
Cele două pachete cheie asociate cu starea sesiunii RDMA sunt Congestion Notification Packet (CNP) și Negative Acknowledgment (NAK):
Primul este generat de receptorul RDMA după primirea mesajului ECN trimis de switch (când bufferul eout atinge pragul), care conține informații despre fluxul sau QP-ul care cauzează congestie. Cel de-al doilea este utilizat pentru a indica faptul că transmisia RDMA are un mesaj de răspuns la pierderea pachetelor.
Să vedem cum putem potrivi aceste două mesaje folosind lista extinsă la nivel de expert:
RDMA extinsă cu listă de acces pentru experți
permite udp orice orice orice ech 4791udf 1 l4_header 8 0x8100 0xFF00(Corespondent RG-S6520-64CQ)
permite udp orice orice orice ech 4791udf 1 l5_header 0 0x8100 0xFF00(RG-S6510-48VS8CQ potrivit)
RDMA extinsă cu listă de acces pentru experți
permite udp orice orice orice ech 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Corespondent RG-S6520-64CQ)
permite udp orice orice orice ech 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(RG-S6510-48VS8CQ potrivit)
Ca pas final, puteți vizualiza sesiunea RDMA prin montarea listei de extensii expert în procesul ERSPAN corespunzător.
Scrie în ultimul
ERSPAN este unul dintre instrumentele indispensabile în rețelele de centre de date din ce în ce mai mari de astăzi, în traficul de rețea din ce în ce mai complex și în cerințele de operare și întreținere a rețelei din ce în ce mai sofisticate.
Odată cu creșterea gradului de automatizare a operațiunilor și întreținerii (O&M), tehnologii precum Netconf, RESTconf și gRPC sunt populare printre studenții O&M în domeniul operațiunilor și întreținerii automate a rețelelor. Utilizarea gRPC ca protocol de bază pentru trimiterea traficului în oglindă are, de asemenea, multe avantaje. De exemplu, bazat pe protocolul HTTP/2, poate suporta mecanismul de push în flux continuu sub aceeași conexiune. Cu codificarea ProtoBuf, dimensiunea informațiilor este redusă la jumătate în comparație cu formatul JSON, ceea ce face ca transmiterea datelor să fie mai rapidă și mai eficientă. Imaginați-vă, dacă utilizați ERSPAN pentru a oglindi fluxurile interesate și apoi le trimiteți către serverul de analiză pe gRPC, va îmbunătăți considerabil capacitatea și eficiența operării și întreținerii automate a rețelei?
Data publicării: 10 mai 2022
