Cel mai comun instrument pentru monitorizarea și depanarea rețelei astăzi este Switch Port Analyzer (SPAN), cunoscut și sub numele de Port mirroring. Ne permite să monitorizăm traficul de rețea în modul bypass out of band fără a interfera cu serviciile din rețeaua live și trimite o copie a traficului monitorizat către dispozitive locale sau la distanță, inclusiv Sniffer, IDS sau alte tipuri de instrumente de analiză a rețelei.
Câteva utilizări tipice sunt:
• Depanați problemele de rețea prin urmărirea cadrelor de control/date;
• Analizați latența și fluctuația prin monitorizarea pachetelor VoIP;
• Analizați latența prin monitorizarea interacțiunilor rețelei;
• Detectați anomalii prin monitorizarea traficului de rețea.
Traficul SPAN poate fi oglindit local în alte porturi de pe același dispozitiv sursă sau poate fi reflectat de la distanță pe alte dispozitive de rețea adiacente stratului 2 al dispozitivului sursă (RSPAN).
Astăzi vom vorbi despre tehnologia de monitorizare a traficului Internet de la distanță numită ERSPAN (Encapsulated Remote Switch Port Analyzer) care poate fi transmisă pe trei straturi de IP. Aceasta este o extensie a SPAN la Encapsulated Remote.
Principiile de bază de funcționare ale ERSPAN
Mai întâi, să aruncăm o privire la caracteristicile ERSPAN:
• O copie a pachetului de la portul sursă este trimisă la serverul de destinație pentru analizare prin Generic Routing Encapsulation (GRE). Locația fizică a serverului nu este restricționată.
• Cu ajutorul caracteristicii User Defined Field (UDF) a cipului, orice offset de la 1 la 126 de octeți este efectuat pe baza domeniului de bază prin lista extinsă la nivel de expert, iar cuvintele cheie ale sesiunii sunt potrivite pentru a realiza vizualizarea sesiunii, cum ar fi handshake-ul în trei căi TCP și sesiunea RDMA;
• Suport pentru setarea ratei de eșantionare;
• Suportă lungimea interceptării pachetelor (Packet Slicing), reducând presiunea asupra serverului țintă.
Cu aceste caracteristici, puteți vedea de ce ERSPAN este un instrument esențial pentru monitorizarea rețelelor din centrele de date astăzi.
Principalele funcții ale ERSPAN pot fi rezumate în două aspecte:
• Vizibilitatea sesiunii: Utilizați ERSPAN pentru a colecta toate sesiunile TCP noi și RDMA (Remote Direct Memory Access) create pe serverul back-end pentru afișare;
• Depanare de rețea: Captează traficul de rețea pentru analiza defecțiunilor atunci când apare o problemă de rețea.
Pentru a face acest lucru, dispozitivul de rețea sursă trebuie să filtreze traficul de interes pentru utilizator din fluxul masiv de date, să facă o copie și să încapsuleze fiecare cadru de copiere într-un „container supercadru” special care transportă suficiente informații suplimentare, astfel încât să poată fi direcționat corect către dispozitivul receptor. În plus, permiteți dispozitivului receptor să extragă și să recupereze complet traficul monitorizat inițial.
Dispozitivul de recepție poate fi un alt server care acceptă decapsularea pachetelor ERSPAN.
Analiza tipului și formatului pachetului ERSPAN
Pachetele ERSPAN sunt încapsulate folosind GRE și redirecționate către orice destinație IP adresabilă prin Ethernet. În prezent, ERSPAN este utilizat în principal pe rețelele IPv4, iar suportul IPv6 va fi o cerință în viitor.
Pentru structura generală de încapsulare a ERSAPN, următoarea este o captură de pachete în oglindă a pachetelor ICMP:
Protocolul ERSPAN s-a dezvoltat pe o perioadă lungă de timp, iar odată cu îmbunătățirea capacităților sale s-au format mai multe versiuni, numite „Tipuri ERSPAN”. Diferite tipuri au formate diferite de antet de cadru.
Este definit în primul câmp Versiune din antetul ERSPAN:
În plus, câmpul Protocol Type din antetul GRE indică și tipul intern ERSPAN. Câmpul Protocol Type 0x88BE indică ERSPAN Tip II, iar 0x22EB indică ERSPAN Tip III.
1. Tipul I
Cadrul ERSPAN de tip I încapsulează IP și GRE direct peste antetul cadrului oglindă original. Această încapsulare adaugă 38 de octeți peste cadrul original: 14(MAC) + 20 (IP) + 4(GRE). Avantajul acestui format este că are o dimensiune compactă a antetului și reduce costul transmisiei. Cu toate acestea, deoarece setează câmpurile GRE Flag și Version la 0, nu conține câmpuri extinse, iar Tipul I nu este utilizat pe scară largă, deci nu este nevoie să se extindă mai mult.
Formatul antetului GRE de tip I este următorul:
2. Tipul II
În Tipul II, câmpurile C, R, K, S, S, Recur, Flags și Version din antetul GRE sunt toate 0, cu excepția câmpului S. Prin urmare, câmpul Număr de secvență este afișat în antetul GRE de tip II. Adică, Tipul II poate asigura ordinea de primire a pachetelor GRE, astfel încât un număr mare de pachete GRE necomandate nu pot fi sortate din cauza unei erori de rețea.
Formatul antetului GRE de tip II este următorul:
În plus, formatul de cadru ERSPAN de tip II adaugă un antet ERSPAN de 8 octeți între antetul GRE și cadrul oglindit original.
Formatul antetului ERSPAN pentru Tipul II este următorul:
În cele din urmă, imediat după cadrul de imagine original, este codul standard de verificare a redundanței ciclice Ethernet de 4 octeți (CRC).
Este de remarcat faptul că în implementare, cadrul oglindă nu conține câmpul FCS al cadrului original, în schimb o nouă valoare CRC este recalculată pe baza întregului ERSPAN. Aceasta înseamnă că dispozitivul de recepție nu poate verifica corectitudinea CRC a cadrului original și putem presupune doar că numai cadrele necorupte sunt oglindite.
3. Tipul III
Tipul III introduce un antet compozit mai mare și mai flexibil pentru a aborda scenarii de monitorizare a rețelei din ce în ce mai complexe și diverse, inclusiv, dar fără a se limita la, managementul rețelei, detectarea intruziunilor, analiza performanței și întârzierilor și multe altele. Aceste scene trebuie să cunoască toți parametrii originali ai cadrului oglinzii și să includă pe cei care nu sunt prezenți în cadrul original în sine.
Antetul compus ERSPAN de tip III include un antet obligatoriu de 12 octeți și un subantet opțional de 8 octeți specific platformei.
Formatul antetului ERSPAN pentru Tipul III este următorul:
Din nou, după cadru oglindă original este un CRC de 4 octeți.
După cum se poate vedea din formatul antetului de tip III, pe lângă păstrarea câmpurilor Ver, VLAN, COS, T și Session ID pe baza Tipului II, sunt adăugate multe câmpuri speciale, cum ar fi:
• BSO: utilizat pentru a indica integritatea încărcării cadrelor de date transportate prin ERSPAN. 00 este un cadru bun, 11 este un cadru prost, 01 este un cadru scurt, 11 este un cadru mare;
• Timp: exportat de la ceasul hardware sincronizat cu ora sistemului. Acest câmp pe 32 de biți acceptă cel puțin 100 de microsecunde de granularitate a marcajului de timp;
• Frame Type (P) și Frame Type (FT): primul este utilizat pentru a specifica dacă ERSPAN transportă cadre de protocol Ethernet (cadre PDU), iar cel de-al doilea este utilizat pentru a specifica dacă ERSPAN transportă cadre Ethernet sau pachete IP.
• HW ID: identificatorul unic al motorului ERSPAN din cadrul sistemului;
• Gra (Granularitate marcaj de timp): Specifică granularitatea marcajului de timp. De exemplu, 00B reprezintă granularitatea de 100 de microsecunde, 01B granularitatea de 100 nanosecunde, 10B granularitatea IEEE 1588 și 11B necesită subanteturi specifice platformei pentru a obține o granularitate mai mare.
• ID-ul platformei vs. Informații specifice platformei: câmpurile Informații specifice platformei au formate și conținuturi diferite în funcție de valoarea ID-ului platformei.
Trebuie menționat că diversele câmpuri de antet acceptate mai sus pot fi utilizate în aplicațiile ERSPAN obișnuite, chiar și în oglindirea cadrelor de eroare sau a cadrelor BPDU, păstrând în același timp pachetul Trunk original și ID-ul VLAN. În plus, informațiile despre marcajul temporal cheie și alte câmpuri de informații pot fi adăugate la fiecare cadru ERSPAN în timpul oglindirii.
Cu propriile anteturi de caracteristici ale ERSPAN, putem realiza o analiză mai rafinată a traficului de rețea și apoi pur și simplu montam ACL-ul corespunzător în procesul ERSPAN pentru a se potrivi cu traficul de rețea care ne interesează.
ERSPAN implementează RDMA Session Visibility
Să luăm un exemplu de utilizare a tehnologiei ERSPAN pentru a realiza vizualizarea sesiunii RDMA într-un scenariu RDMA:
RDMA: Accesul direct la memorie de la distanță permite adaptorului de rețea al serverului A să citească și să scrie Memoria serverului B utilizând carduri inteligente de interfață de rețea (inics) și comutatoare, obținând lățime de bandă mare, latență scăzută și utilizare redusă a resurselor. Este utilizat pe scară largă în scenarii de date mari și de stocare distribuită de înaltă performanță.
RoCEv2: RDMA over Converged Ethernet Versiunea 2. Datele RDMA sunt încapsulate în antetul UDP. Numărul portului de destinație este 4791.
Operarea și întreținerea zilnică a RDMA necesită colectarea multor date, care sunt utilizate pentru a colecta linii de referință zilnice ale nivelului apei și alarme anormale, precum și baza pentru localizarea problemelor anormale. În combinație cu ERSPAN, datele masive pot fi capturate rapid pentru a obține date de calitate a transmisiei de microsecunde și starea de interacțiune a protocolului a cipului de comutare. Prin statistici și analize de date, se poate obține evaluarea și predicția calității expedierii RDMA end-to-end.
Pentru a realiza vizualizarea sesiunii RDAM, avem nevoie de ERSPAN pentru a potrivi cuvintele cheie pentru sesiunile de interacțiune RDMA atunci când oglindim traficul și trebuie să folosim lista extinsă de experți.
Definiția câmpului de potrivire a listei extinse la nivel de expert:
UDF este format din cinci câmpuri: cuvânt cheie UDF, câmp de bază, câmp de compensare, câmp de valoare și câmp de mască. Limitat de capacitatea intrărilor hardware, pot fi utilizate un total de opt UDF-uri. Un UDF poate corespunde cu maximum doi octeți.
• Cuvinte cheie UDF: UDF1... UDF8 Conține opt cuvinte cheie ale domeniului de potrivire UDF
• Câmp de bază: identifică poziția de început a câmpului de potrivire UDF. Următoarele
L4_header (aplicabil pentru RG-S6520-64CQ)
L5_header (pentru RG-S6510-48VS8Cq)
• Offset: indică decalajul pe baza câmpului de bază. Valoarea variază de la 0 la 126
• Câmp valoare: valoare care se potrivește. Poate fi folosit împreună cu câmpul de mască pentru a configura valoarea specifică care trebuie potrivită. Bitul valid este de doi octeți
• Câmp Mască: mască, bitul valid este de doi octeți
(Adăugați: dacă sunt utilizate mai multe intrări în același câmp de potrivire UDF, câmpurile de bază și de compensare trebuie să fie aceleași.)
Cele două pachete cheie asociate cu starea sesiunii RDMA sunt Pachetul de notificare a congestionării (CNP) și Confirmarea negativă (NAK):
Primul este generat de receptorul RDMA după primirea mesajului ECN trimis de comutator (când tamponul eout atinge pragul), care conține informații despre fluxul sau QP care provoacă congestie. Acesta din urmă este folosit pentru a indica că transmisia RDMA are un mesaj de răspuns la pierderea pachetelor.
Să vedem cum să potrivim aceste două mesaje folosind lista extinsă la nivel de expert:
expert access-list extins rdma
permit udp any any any any eq 4791udf 1 l4_header 8 0x8100 0xFF00(Potrivit RG-S6520-64CQ)
permit udp any any any any eq 4791udf 1 l5_header 0 0x8100 0xFF00(Potrivit RG-S6510-48VS8CQ)
expert access-list extins rdma
permit udp any any any any eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Potrivit RG-S6520-64CQ)
permit udp any any any any eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Potrivit RG-S6510-48VS8CQ)
Ca pas final, puteți vizualiza sesiunea RDMA prin montarea listei de extensii de experți în procesul ERSPAN corespunzător.
Scrie in ultimul
ERSPAN este unul dintre instrumentele indispensabile în rețelele de centre de date din ce în ce mai mari, traficul de rețea din ce în ce mai complex și cerințele de operare și întreținere a rețelei din ce în ce mai sofisticate.
Odată cu gradul tot mai mare de automatizare O&M, tehnologii precum Netconf, RESTconf și gRPC sunt populare printre studenții O&M în O&M automată de rețea. Utilizarea gRPC ca protocol de bază pentru trimiterea înapoi a traficului în oglindă are, de asemenea, multe avantaje. De exemplu, bazat pe protocolul HTTP/2, poate suporta mecanismul push de streaming sub aceeași conexiune. Cu codificarea ProtoBuf, dimensiunea informațiilor este redusă la jumătate față de formatul JSON, făcând transmisia de date mai rapidă și mai eficientă. Imaginați-vă, dacă utilizați ERSPAN pentru a oglindi fluxurile interesate și apoi le trimiteți către serverul de analiză de pe gRPC, va îmbunătăți considerabil capacitatea și eficiența operațiunii și întreținerii automate a rețelei?
Ora postării: mai-10-2022
