Najczęstszym narzędziem do monitorowania sieci i rozwiązywania problemów jest dziś Switch Port Analyzer (Span), znany również jako lustrzanie portowe. Umożliwia nam monitorowanie ruchu sieciowego w trybie obejściowym bez zakłócania usług w sieci na żywo i wysyła kopię monitorowanego ruchu na urządzenia lokalne lub zdalne, w tym Sniffer, IDS lub inne rodzaje narzędzi do analizy sieci.
Niektóre typowe zastosowania to:
• Rozwiązywanie problemów z problemami sieciowymi poprzez śledzenie ramek/ramek danych;
• Przeanalizuj opóźnienie i drganie, monitorując pakiety VoIP;
• Analizuj opóźnienie poprzez monitorowanie interakcji sieciowych;
• Wykryj anomalie poprzez monitorowanie ruchu sieciowego.
Ruch rozprzestrzeniał się lokalnie do innych portów na tym samym urządzeniu źródłowym lub zdalnie odzwierciedlony innym urządzeniom sieciowym sąsiadującym z warstwą 2 urządzenia źródłowego (RSPAN).
Dzisiaj porozmawiamy o zdalnej technologii monitorowania ruchu internetowego o nazwie ERSPan (enkapsulowane zdalne analizator portów przełączników), która może być przesyłana na trzy warstwy IP. Jest to rozszerzenie rozpiętości do zamkniętego pilota.
Podstawowe zasady operacji Erspan
Najpierw rzućmy okiem na funkcje Erspana:
• Kopia pakietu z portu źródłowego jest wysyłana do serwera docelowego w celu analizowania ogólnego enkapsulacji routingu (GRE). Fizyczna lokalizacja serwera nie jest ograniczona.
• Za pomocą funkcji pola zdefiniowanego przez użytkownika (UDF) chipu każde przesunięcie od 1 do 126 bajtów jest przeprowadzane na podstawie domeny podstawowej za pośrednictwem rozszerzonej listy na poziomie ekspertów, a słowa kluczowe sesji są dopasowane do realizacji wizualizacji sesji, takiej jak TCP trójstronna sesja sesji i sesja RDMA;
• Szybkość próbkowania ustawienia wsparcia;
• Obsługuje długość przechwytywania pakietów (krojenie pakietu), zmniejszając nacisk na serwer docelowy.
Dzięki tym funkcjom możesz zobaczyć, dlaczego Erspan jest niezbędnym narzędziem do monitorowania sieci wewnątrz centrów danych.
Główne funkcje Erspana można podsumować w dwóch aspektach:
• Widoczność sesji: Użyj ERSPAN, aby zbierać wszystkie utworzone nowe sesje TCP i zdalnego dostępu do pamięci (RDMA) na serwerze zaplecza do wyświetlania;
• Rozwiązywanie problemów z siecią: przechwytuje ruch sieciowy do analizy błędów, gdy wystąpi problem sieciowy.
Aby to zrobić, źródłowe urządzenie sieciowe musi odfiltrować ruch zainteresowania użytkownikowi z masywnego strumienia danych, wykonać kopię i zawierać każdą ramkę kopii w specjalnym „kontenerze superframe”, który zawiera wystarczającą ilość dodatkowych informacji, aby można go było poprawnie kierować do urządzenia odbierającego. Ponadto umożliwić urządzeniu odbierającym wyodrębnienie i w pełni odzyskanie oryginalnego monitorowanego ruchu.
Urządzenie odbierające może być kolejnym serwerem obsługującym dekapsulowanie pakietów Erspan.
Analiza typu ERSPan i format pakietu
Pakiety ERSPAN są kapsułkowane przy użyciu GRE i przekazywane do dowolnego docelowego docelowego IP przez Ethernet. ERSPAN jest obecnie stosowany głównie w sieciach IPv4, a obsługa IPv6 będzie wymagana w przyszłości.
W przypadku ogólnej struktury enkapsulacji ERSAPN następujące przechwytywanie pakietów lustrzanych pakietów ICMP:
Protokół ERSPAN rozwinął się przez długi czas, a wraz z poprawą jego możliwości powstało kilka wersji, zwanych „typami Erspan”. Różne typy mają różne formaty nagłówków ramy.
Jest zdefiniowany w pierwszym polu wersji nagłówka Erspan:
Ponadto pole typu protokołu w nagłówku GRE wskazuje również wewnętrzny typ ERSPan. Pole typu protokołu 0x88be wskazuje ERSPAN Typ II, a 0x22EB wskazuje ERSPAN typu III.
1. Typ I.
Rama typu I typu I zawiera IP i GRE bezpośrednio nad nagłówkiem oryginalnej ramy lustrzanej. To enkapsulacja dodaje 38 bajtów w oryginalnej ramce: 14 (Mac) + 20 (IP) + 4 (GRE). Zaletą tego formatu jest to, że ma on kompaktowy rozmiar nagłówka i zmniejsza koszt transmisji. Ponieważ jednak ustawia flagi GRE i pola wersji na 0, nie ma żadnych rozszerzonych pól, a typ I nie jest powszechnie używany, więc nie ma potrzeby rozszerzania się więcej.
Format nagłówka GRE typu I jest następujący:
2. Typ II
W typu II pola C, R, K, S, S, Reur, Flagi i Wersja w nagłówku GRE są 0, z wyjątkiem pola S. Dlatego pole numeru sekwencji jest wyświetlane w nagłówku GRE typu II. Oznacza to, że typ II może zapewnić kolejność odbierania pakietów GRE, aby nie można było sortować dużej liczby pakietów GRE poza zamówieniem z powodu usterki sieciowej.
Format nagłówka GRE typu II jest następujący:
Ponadto format ramki typu II ERSPAN dodaje 8-bajtowy nagłówek Erspan między nagłówkiem GRE a oryginalną lustrzaną ramą.
Format nagłówka ERSPAN dla typu II jest następujący:
Wreszcie, bezpośrednio po oryginalnej ramce obrazu, znajduje się standardowy kod 4-bajtowego kodu redundancji (CRC).
Warto zauważyć, że w implementacji rama lustrzowa nie zawiera pola FCS oryginalnej ramki, zamiast tego nowa wartość CRC jest ponownie obliczona na podstawie całego ERSPan. Oznacza to, że urządzenie odbierające nie może zweryfikować poprawności CRC oryginalnej ramki i możemy tylko założyć, że odzwierciedlane są tylko nieskorrupowane ramki.
3. Typ III
Typ III wprowadza większy i bardziej elastyczny złożony nagłówek, aby zająć się coraz bardziej złożonymi i różnorodnymi scenariuszami monitorowania sieci, w tym między innymi zarządzania siecią, wykrywaniem włamania, analizy wydajności i opóźnień i innych. Te sceny muszą znać wszystkie oryginalne parametry ramki lustrzanej i zawierają te, które nie są obecne w samej oryginalnej ramce.
Kompozytowy nagłówek ERSPAN Type III zawiera obowiązkowy 12-bajtowy nagłówek i opcjonalny 8-bajtowy podtrzymał platforma.
Format nagłówka ERSPAN dla typu III jest następujący:
Ponownie, po oryginalnej ramie lustrzanej znajduje się 4-bajtowe CRC.
Jak widać z formatu nagłówka typu III, oprócz zachowania pola identyfikatora VLAN, COS, T i sesji na podstawie typu II, dodaje się wiele specjalnych pól, takich jak:
• BSO: Służy do wskazania integralności obciążenia ramek danych przenoszonych przez ERSPAN. 00 to dobra ramka, 11 to zła ramka, 01 to krótka rama, 11 to duża rama;
• Znacznik czasu: wyeksportowany ze zegara sprzętowego zsynchronizowanego z czasem systemu. To 32-bitowe pole obsługuje co najmniej 100 mikrosekund ziarnistości znacznika czasu;
• Typ ramki (p) i Typ ramki (FT): Pierwszy służy do określenia, czy ERSPan przenosi ramki protokołu Ethernet (ramki PDU), a drugi służy do określenia, czy Erspan przenosi ramki Ethernet lub pakiety IP.
• HW ID: unikalny identyfikator silnika Erspan w systemie;
• GRA (ziarnistość znacznika czasu): Określa ziarnistość znacznika czasu. Na przykład 00b reprezentuje 100 mikrosekundowych ziarnistości, 01B 100 Granariatu nanosekundowego, granulowanie 10b IEEE 1588 i 11b wymaga podwodników specyficznych dla platformy, aby osiągnąć wyższą ziarnistość.
• Identyfikator Platf vs. Informacje o specyficzne dla platformy: PLATF PRETIVE Pole Informacje mają różne formaty i zawartość w zależności od wartości identyfikatora PLATF.
Należy zauważyć, że różne pól nagłówków obsługiwane powyżej mogą być używane w regularnych aplikacjach ERSPAN, nawet lustrzanych ramach błędów lub ramach BPDU, jednocześnie utrzymując oryginalny pakiet bagażnika i identyfikator VLAN. Ponadto do każdej ramki ERSPan można dodać kluczowe informacje o znaczniku czasu i inne pola informacji podczas lustrzaka.
Dzięki własnym nagłówkom Featury ERSPAN możemy osiągnąć bardziej wyrafinowaną analizę ruchu sieciowego, a następnie po prostu zamontować odpowiedni ACL w procesie ERSPAN, aby pasował do ruchu sieciowego, którym jesteśmy zainteresowani.
ERSPAN wdraża widoczność sesji RDMA
Weźmy przykład wykorzystania technologii ERSPAN do osiągnięcia wizualizacji sesji RDMA w scenariuszu RDMA:
RDMA: Zdalny dostęp do pamięci bezpośredniej umożliwia sieciowe adapter serwera A do odczytania i zapisywania pamięci serwera B za pomocą inteligentnych kart interfejsu sieciowego (INICS) i przełączników, osiągania wysokiej przepustowości, niskiego opóźnienia i niskiego wykorzystania zasobów. Jest szeroko stosowany w dużych zbiorach danych i wysokowydajnych scenariuszach pamięci rozproszonej.
Rocev2: RDMA Over Converged Ethernet wersja 2. Dane RDMA są zamknięte w nagłówku UDP. Numer portu docelowego to 4791.
Codzienne działanie i utrzymanie RDMA wymaga zebrania wielu danych, które służy do zbierania codziennych linii referencyjnych i nieprawidłowych alarmów, a także podstawy lokalizacji nieprawidłowych problemów. W połączeniu z ERSPan masywne dane można szybko przechwycić, aby uzyskać dane jakościowe przekazywania mikrosekundowe i status interakcji protokołu przełączającego układu. Dzięki statystykom i analizie danych można uzyskać ocenę jakości i przewidywania przekazania RDMA.
Aby osiągnąć wizualizację sesji RDAM, potrzebujemy ERSPan, aby dopasować słowa kluczowe do sesji interakcji RDMA podczas odzwierciedlenia ruchu, i musimy użyć listy Expert Extended.
Rozszerzona lista na poziomie ekspertów Rozszerzona lista definicja pola:
UDF składa się z pięciu pól: słowo kluczowe UDF, pole podstawowe, pole przesunięcia, pole wartości i pole maski. Ograniczoną pojemnością wpisów sprzętowych można użyć ogółem osiem UDF. Jeden UDF może pasować do maksymalnie dwóch bajtów.
• Słowo kluczowe UDF: UDF1 ... UDF8 zawiera osiem słów kluczowych domeny dopasowującej UDF
• Pole podstawowe: identyfikuje pozycję początkową pola dopasowania UDF. Następujące
L4_HEADER (mający zastosowanie do RG-S6520-64CQ)
L5_HEADER (dla RG-S6510-48VS8CQ)
• Offset: Wskazuje przesunięcie na podstawie pola podstawowego. Wartość wynosi od 0 do 126
• Pole wartości: Wartość dopasowania. Można go używać razem z polem maski do skonfigurowania określonej wartości do dopasowania. Ważny bit to dwa bajty
• Pole maski: maska, prawidłowy bit to dwa bajty
(Dodaj: Jeśli wiele wpisów jest używanych w tym samym polu dopasowania UDF, pola podstawowe i przesunięte muszą być takie same.)
Dwa kluczowe pakiety powiązane ze statusem sesji RDMA to pakiet powiadomień zatorowych (CNP) i ujemne potwierdzenie (NAK):
Pierwszy z nich jest generowany przez odbiornik RDMA po otrzymaniu wiadomości ECN wysłanej przez przełącznik (gdy bufor EOUT osiągnie próg), który zawiera informacje o przepływie lub QP powodującym zator. Ten ostatni służy do wskazania, że transmisja RDMA ma komunikat odpowiedzi na utratę pakietu.
Spójrzmy, jak dopasować te dwie wiadomości za pomocą rozszerzonej listy na poziomie ekspertów:
Expert Access List rozszerzyła RDMA
pozwól UDP dowolne dowolne eq 4791UDF 1 L4_HEADER 8 0x8100 0xff00(Dopasowanie RG-S6520-64CQ)
pozwól UDP dowolne dowolne eq 4791UDF 1 L5_HEADER 0 0x8100 0xff00(Dopasowanie RG-S6510-48VS8CQ)
Expert Access List rozszerzyła RDMA
pozwól UDP dowolne dowolne eq 4791UDF 1 L4_HEADER 8 0x1100 0xff00 UDF 2 L4_HEADER 20 0x6000 0xff00(Dopasowanie RG-S6520-64CQ)
pozwól UDP dowolne dowolne eq 4791UDF 1 L5_HEADER 0 0x1100 0xff00 UDF 2 L5_HEADER 12 0x6000 0xff00(Dopasowanie RG-S6510-48VS8CQ)
Ostatnim krokiem można wizualizować sesję RDMA, zamontując listę rozszerzeń ekspertów w odpowiednim procesie ERSPAN.
Napisz w ostatnim
ERSPAN jest jednym z niezbędnych narzędzi w dzisiejszych coraz większych sieciach centrów danych, coraz bardziej złożony ruch sieciowy i coraz bardziej wyrafinowane wymagania dotyczące pracy i konserwacji sieci.
Wraz ze wzrostem stopnia automatyzacji O&M technologie, takie jak NetConf, RestConf i GRPC, są popularne wśród studentów O&M w sieci Automatic O&M. Korzystanie z GRPC jako podstawowego protokołu wysyłania ruchu lustrzanego ma również wiele zalet. Na przykład, w oparciu o protokół HTTP/2, może obsługiwać mechanizm pchania strumieniowego pod tym samym połączeniem. Przy kodowaniu protobuf, rozmiar informacji jest zmniejszony o połowę w porównaniu z formatem JSON, co sprawia, że transmisja danych jest szybsza i bardziej wydajna. Wyobraź sobie, że jeśli użyjesz ERSPAN do odzwierciedlenia zainteresowanych strumieni, a następnie wyślesz je na serwer analizy na GRPC, czy to znacznie poprawi zdolność i wydajność automatycznego działania i konserwacji sieci?
Czas po: 10-2022
