Cel mai frecvent instrument pentru monitorizarea rețelei și depanarea astăzi este comutatorul Port Analyzer (SPAN), cunoscut și sub denumirea de oglindire port. Ne permite să monitorizăm traficul de rețea în modul de bandă, fără a interfera cu serviciile din rețeaua live și trimite o copie a traficului monitorizat către dispozitive locale sau la distanță, inclusiv sniffer, IDS sau alte tipuri de instrumente de analiză a rețelei.
Unele utilizări tipice sunt:
• Depanarea problemelor de rețea prin urmărirea cadrelor de control/date;
• Analizați latența și bruiajul prin monitorizarea pachetelor VoIP;
• Analizați latența prin monitorizarea interacțiunilor de rețea;
• Detectați anomalii prin monitorizarea traficului de rețea.
Traficul de span poate fi oglindit local în alte porturi de pe același dispozitiv sursă, sau oglindit de la distanță către alte dispozitive de rețea adiacente stratului 2 al dispozitivului sursă (RSPAN).
Astăzi vom vorbi despre tehnologia de monitorizare a traficului de internet la distanță, numită ERSPAN (Analizatorul de port al comutatorului de la distanță încapsulat) care poate fi transmis pe trei straturi de IP. Aceasta este o extensie a intervalului la telecomanda încapsulată.
Principiile de funcționare de bază ale erspanului
În primul rând, să aruncăm o privire asupra caracteristicilor lui Erspan:
• O copie a pachetului din portul sursă este trimisă către serverul de destinație pentru analizarea prin încapsulare de rutare generică (GRE). Locația fizică a serverului nu este restricționată.
• Cu ajutorul caracteristicii de câmp definite de utilizator (UDF) a cipului, orice compensare de la 1 la 126 de octeți se realizează pe baza domeniului de bază prin lista extinsă la nivel de expert, iar cuvintele cheie ale sesiunii sunt potrivite pentru a realiza vizualizarea sesiunii, cum ar fi sesiunea TCP cu trei sensuri și sesiunea RDMA;
• Suport setarea ratei de eșantionare;
• Suportă lungimea interceptării pachetelor (feliere de pachete), reducând presiunea pe serverul țintă.
Cu aceste caracteristici, puteți vedea de ce ErSpan este un instrument esențial pentru monitorizarea rețelelor din interiorul centrelor de date astăzi.
Principalele funcții ale lui Erspan pot fi rezumate în două aspecte:
• vizibilitatea sesiunii: utilizați ERSPAN pentru a colecta toate sesiunile noi create de TCP și de acces la distanță de memorie directă (RDMA) la serverul de back-end pentru afișare;
• Depanare a rețelei: Captează traficul de rețea pentru analiza erorilor atunci când apare o problemă de rețea.
Pentru a face acest lucru, dispozitivul de rețea sursă trebuie să filtreze traficul de interes către utilizator de la fluxul masiv de date, să facă o copie și să încapsuleze fiecare cadru de copie într -un „container superframe” special care poartă suficiente informații suplimentare, astfel încât să poată fi dirijat corect către dispozitivul de recepție. Mai mult, permiteți dispozitivului primitor să extragă și să recupereze complet traficul monitorizat original.
Dispozitivul de primire poate fi un alt server care acceptă decapsularea pachetelor ERSPAN.
Tipul erspan și analiza formatului pachetului
Pachetele ERSPAN sunt încapsulate folosind GRE și transmise către orice destinație adresată IP peste Ethernet. ERSPAN este utilizat în prezent în principal pe rețelele IPv4, iar suportul IPv6 va fi o cerință în viitor.
Pentru structura generală de încapsulare a ERSAPN, următoarele sunt o captare de pachete oglindă a pachetelor ICMP:
În plus, câmpul de tip protocol din antetul GRE indică, de asemenea, tipul intern ERSPAN. Câmpul de tip protocol 0x88BE indică erSpan tip II, iar 0x22eb indică tipul IRSPAN III.
1. Tip I.
Cadrul de tip Erspan de tip I încapsulează IP și GRE direct peste antetul cadrului oglinzii originale. Această încapsulare adaugă 38 de octeți peste cadrul original: 14 (Mac) + 20 (IP) + 4 (GRE). Avantajul acestui format este că are o dimensiune compactă a antetului și reduce costul transmisiei. Cu toate acestea, deoarece setează câmpurile GRE Flag și Version la 0, nu poartă câmpuri extinse și tipul I nu este utilizat pe scară largă, deci nu este nevoie să se extindă mai mult.
Formatul de antet GRE de tip I este următorul:
2. Tipul II
În câmpurile de tip II, C, R, K, S, S, Reap, Steaguri și Versiunea din antetul GRE sunt toate 0, cu excepția câmpului S. Prin urmare, câmpul numărului de secvență este afișat în antetul GRE de tip II. Adică, tipul II poate asigura ordinea de a primi pachete GRE, astfel încât un număr mare de pachete GRE în afara ordinului nu pot fi sortate din cauza unei defecțiuni de rețea.
Formatul antetului GRE de tip II este următorul:
În plus, formatul cadrului de tip II ERSPAN adaugă un antet ERSPAN cu 8 biți între antetul GRE și cadrul original oglindit.
Formatul antetului ERSPAN pentru tipul II este următorul:
În cele din urmă, imediat urmând cadrul original al imaginii, este codul standard de verificare a redundanței Ethernet Ciclic Ethernet (CRC).
Este demn de remarcat faptul că, în implementare, cadrul oglinzii nu conține câmpul FCS al cadrului inițial, în schimb o nouă valoare CRC este recalculată pe baza întregului erSpan. Aceasta înseamnă că dispozitivul de recepție nu poate verifica corectitudinea CRC a cadrului original și putem presupune doar că doar cadrele necoruptate sunt oglindite.
3. Tipul III
Tipul III introduce un antet compozit mai mare și mai flexibil pentru a aborda scenarii din ce în ce mai complexe și diverse de monitorizare a rețelei, inclusiv, dar fără a se limita la gestionarea rețelei, detectarea intruziunilor, analiza performanței și întârzierii și multe altele. Aceste scene trebuie să cunoască toți parametrii originali ai cadrului oglinzii și să includă cele care nu sunt prezente în cadrul inițial în sine.
Antetul compozit de tip ERSPAN III include un antet obligatoriu de 12 biți și un sub-subecient opțional cu 8 biți specific platformei.
Formatul antetului ERSPAN pentru tipul III este următorul:
Din nou, după ce cadrul original oglindă este un CRC de 4 biți.
După cum se poate observa din formatul antetului de tip III, pe lângă păstrarea câmpurilor VL, VLAN, COS, T și SESIUNE pe baza de tip II, se adaugă multe câmpuri speciale, cum ar fi:
• BSO: utilizat pentru a indica integritatea de încărcare a cadrelor de date transportate prin erSpan. 00 este un cadru bun, 11 este un cadru rău, 01 este un cadru scurt, 11 este un cadru mare;
• Timestamp: exportat din ceasul hardware sincronizat cu timpul sistemului. Acest câmp pe 32 de biți acceptă cel puțin 100 de microsecunde de granularitate de timp;
• Tip de cadru (P) și tip de cadru (FT): Primul este utilizat pentru a specifica dacă ERSPAN poartă cadre de protocol Ethernet (cadre PDU), iar cel de -al doilea este utilizat pentru a specifica dacă erSpan poartă cadre Ethernet sau pachete IP.
• ID HW: identificator unic al motorului erspan în cadrul sistemului;
• GRA (Granularitate de timp de timp): Specifică granularitatea timestamp. De exemplu, 00B reprezintă 100 de granularitate microsecundă, 01b 100 granularitate nanosecundă, 10b IEEE 1588 granularitate și 11b necesită sub-headers specifici platformei pentru a obține o granularitate mai mare.
• PLATF ID vs. Informații specifice platformei: Câmpurile de informații specifice PLATF au formate și conținuturi diferite în funcție de valoarea ID PLATF.
Trebuie menționat că diferitele câmpuri de antet acceptate mai sus pot fi utilizate în aplicațiile ERSPAN obișnuite, chiar și în cadre de eroare de oglindire sau cadre BPDU, menținând în același timp pachetul Trunk original și ID -ul VLAN. În plus, informațiile cheie de timp și alte câmpuri de informații pot fi adăugate la fiecare cadru ERSPAN în timpul oglinditorului.
Cu anteturile proprii ale caracteristicilor Erspan, putem realiza o analiză mai rafinată a traficului de rețea și apoi să montăm pur și simplu ACL -ul corespunzător în procesul ERSPAN pentru a se potrivi cu traficul de rețea de care suntem interesați.
ErSpan implementează vizibilitatea sesiunii RDMA
Să luăm un exemplu de utilizare a tehnologiei ERSPAN pentru a realiza vizualizarea sesiunii RDMA într -un scenariu RDMA:
RDMA: Accesul de memorie directă la distanță permite adaptorului de rețea al serverului A să citească și să scrie memoria serverului B folosind carduri inteligente de interfață de rețea (INICS) și comutatoare, obținând o lățime de bandă ridicată, latență scăzută și utilizarea scăzută a resurselor. Este utilizat pe scară largă în scenarii de stocare distribuite de înaltă performanță.
Rocev2: RDMA peste versiunea Ethernet convergentă 2. Datele RDMA sunt încapsulate în antetul UDP. Numărul portului de destinație este 4791.
Funcționarea zilnică și întreținerea RDMA necesită colectarea multor date, care sunt utilizate pentru a colecta zilnic linii de referință la nivel de apă și alarme anormale, precum și baza pentru localizarea problemelor anormale. Combinate cu ERSPAN, datele masive pot fi capturate rapid pentru a obține datele de redirecționare a calității microsecunde și starea de interacțiune a protocolului cipului de comutare. Prin statistici și analize a datelor, se poate obține RDMA End-to-End Evaluarea calității și predicția calității.
Pentru a realiza vizualizarea sesiunii RDAM, avem nevoie de ERSPAN pentru a se potrivi cu cuvintele cheie pentru sesiunile de interacțiune RDMA atunci când reflectă traficul și trebuie să folosim lista extinsă de experți.
Definiția câmpului de potrivire a listei extinse la nivel de expert:
UDF este format din cinci câmpuri: cuvânt cheie UDF, câmp de bază, câmp offset, câmp de valoare și câmp de mască. Limitată de capacitatea intrărilor hardware, se pot utiliza un total de opt UDF -uri. Un UDF se poate potrivi cu maximum doi octeți.
• Cuvânt cheie UDF: UDF1 ... UDF8 conține opt cuvinte cheie ale domeniului de potrivire UDF
• Câmp de bază: identifică poziția de pornire a câmpului de potrivire UDF. Următoarele
L4_header (aplicabil RG-S6520-64CQ)
L5_header (pentru RG-S6510-48VS8CQ)
• Offset: indică compensarea pe baza câmpului de bază. Valoarea variază de la 0 la 126
• Câmp de valoare: valoare potrivită. Poate fi utilizat împreună cu câmpul de mască pentru a configura valoarea specifică care trebuie potrivită. Bitul valid este de doi octeți
• Câmp de mască: mască, bit valabil este de doi octeți
(Adăugați: Dacă mai multe intrări sunt utilizate în același câmp de potrivire a UDF, câmpurile de bază și compensare trebuie să fie aceleași.)
Cele două pachete cheie asociate cu starea sesiunii RDMA sunt pachetul de notificare de congestie (CNP) și recunoașterea negativă (NAK):
Prima este generată de receptorul RDMA după ce a primit mesajul ECN trimis de comutator (când tamponul EOUT atinge pragul), care conține informații despre fluxul sau QP care provoacă congestie. Acesta din urmă este utilizat pentru a indica transmisia RDMA are un mesaj de răspuns la pierderea pachetelor.
Să ne uităm la cum să potrivim aceste două mesaje folosind lista extinsă la nivel de expert:
expert în lista de acces RDMA extinsă
Permiteți UDP orice vreun EQ 4791UDF 1 L4_HEADER 8 0x8100 0xff00(Potrivirea RG-S6520-64CQ)
Permiteți UDP orice vreun EQ 4791udf 1 l5_header 0 0x8100 0xff00(Potrivirea RG-S6510-48VS8CQ)
expert în lista de acces RDMA extinsă
Permiteți UDP orice vreun EQ 4791UDF 1 l4_header 8 0x1100 0xff00 udf 2 l4_header 20 0x6000 0xff00(Potrivirea RG-S6520-64CQ)
Permiteți UDP orice vreun EQ 4791UDF 1 L5_HEADER 0 0x1100 0XFF00 UDF 2 L5_HEADER 12 0x6000 0xff00(Potrivirea RG-S6510-48VS8CQ)
Ca un pas final, puteți vizualiza sesiunea RDMA prin montarea listei de extensii de experți în procesul ERSPAN corespunzător.
Scrie în ultimul
ErSpan este unul dintre instrumentele indispensabile din rețelele de centru de date din ce în ce mai mari, traficul de rețea din ce în ce mai complex și cerințele de operare și întreținere a rețelei din ce în ce mai sofisticate.
Odată cu creșterea gradului de automatizare O&M, tehnologii precum NetConf, RestConf și GRPC sunt populare în rândul studenților O&M în rețea automată O&M. Utilizarea GRPC ca protocol de bază pentru trimiterea traficului de oglinzi înapoi are, de asemenea, multe avantaje. De exemplu, pe baza protocolului HTTP/2, poate suporta mecanismul de streaming sub aceeași conexiune. Odată cu codificarea protobuf, dimensiunea informațiilor este redusă cu jumătate în comparație cu formatul JSON, ceea ce face ca transmiterea datelor să fie mai rapidă și mai eficientă. Imaginați -vă, dacă utilizați erspan pentru a reflecta fluxurile interesate și apoi trimiteți -le la serverul de analiză de pe GRPC, va îmbunătăți mult capacitatea și eficiența funcționării și întreținerii automate a rețelei?
Timpul post: 10-2022 mai