Nejběžnějším nástrojem pro monitorování sítě a řešení problémů je dnes Switch Port Analyzer (SPAN), známý také jako Port mirroring. Umožňuje nám monitorovat síťový provoz v režimu přemostění mimo pásmo bez narušení služeb v živé síti a odesílá kopii sledovaného provozu na místní nebo vzdálená zařízení, včetně Sniffer, IDS nebo jiných typů nástrojů pro analýzu sítě.
Některá typická použití jsou:
• Odstraňování problémů se sítí sledováním řídicích/datových rámců;
• Analyzujte latenci a jitter monitorováním VoIP paketů;
• Analyzujte latenci sledováním interakcí se sítí;
• Zjistit anomálie sledováním síťového provozu.
Provoz SPAN lze lokálně zrcadlit na jiné porty na stejném zdrojovém zařízení nebo vzdáleně zrcadlit na jiná síťová zařízení sousedící s vrstvou 2 zdrojového zařízení (RSPAN).
Dnes budeme hovořit o technologii vzdáleného monitorování internetového provozu s názvem ERSPAN (Encapsulated Remote Switch Port Analyzer), kterou lze přenášet přes tři vrstvy IP. Toto je rozšíření SPAN na Encapsulated Remote.
Základní principy fungování ERSPANu
Nejprve se podívejme na funkce ERSPAN:
• Kopie paketu ze zdrojového portu je odeslána na cílový server pro analýzu pomocí Generic Routing Encapsulation (GRE). Fyzické umístění serveru není omezeno.
• Pomocí funkce User Defined Field (UDF) čipu se provádí jakýkoli offset 1 až 126 bajtů na základě základní domény prostřednictvím rozšířeného seznamu na expertní úrovni a klíčová slova relace jsou spárována pro realizaci vizualizace. relace, jako je TCP třícestný handshake a RDMA relace;
• Podpora nastavení vzorkovací frekvence;
• Podporuje délku zachycení paketů (Packet Slicing), čímž snižuje tlak na cílový server.
Díky těmto funkcím můžete vidět, proč je dnes ERSPAN nezbytným nástrojem pro monitorování sítí uvnitř datových center.
Hlavní funkce ERSPANu lze shrnout do dvou aspektů:
• Viditelnost relace: Použijte ERSPAN ke shromažďování všech vytvořených nových relací TCP a RDMA (Remote Direct Memory Access) na back-end serveru pro zobrazení;
• Odstraňování problémů se sítí: Zachycuje síťový provoz pro analýzu chyb, když se vyskytne problém se sítí.
K tomu potřebuje zdrojové síťové zařízení odfiltrovat provoz, který uživatele zajímá, z masivního datového toku, vytvořit kopii a zapouzdřit každý kopírovaný snímek do speciálního „superframe kontejneru“, který nese dostatek dalších informací, aby mohl být správně směrován do přijímacího zařízení. Navíc umožnit přijímacímu zařízení extrahovat a plně obnovit původní monitorovaný provoz.
Přijímacím zařízením může být jiný server, který podporuje dekapsulaci ERSPAN paketů.
Analýza typu a formátu balíčku ERSPAN
ERSPAN pakety jsou zapouzdřeny pomocí GRE a předávány do libovolného IP adresovatelného cíle přes Ethernet. ERSPAN se v současnosti používá hlavně v sítích IPv4 a podpora IPv6 bude v budoucnu požadavkem.
Pro obecnou strukturu zapouzdření ERSAPN je následující zachycení zrcadlových paketů ICMP paketů:
Kromě toho pole Typ protokolu v hlavičce GRE také označuje interní typ ERSPAN. Pole Protocol Type 0x88BE označuje ERSPAN Type II a 0x22EB označuje ERSPAN Type III.
1. Typ I
Rám ERSPAN typu I zapouzdřuje IP a GRE přímo nad záhlavím původního zrcadlového rámu. Toto zapouzdření přidá 38 bajtů k původnímu rámci: 14 (MAC) + 20 (IP) + 4 (GRE). Výhodou tohoto formátu je, že má kompaktní velikost záhlaví a snižuje náklady na přenos. Protože však nastavuje pole Příznak a Verze GRE na 0, nenese žádná rozšířená pole a Typ I není široce používán, takže není třeba více rozšiřovat.
Formát hlavičky GRE typu I je následující:
2. Typ II
V Typu II jsou pole C, R, K, S, S, Recur, Flags a Version v hlavičce GRE všechna 0 kromě pole S. Pole Sequence Number je proto zobrazeno v hlavičce GRE typu II. To znamená, že typ II může zajistit pořadí přijímání paketů GRE, takže velké množství neuspořádaných paketů GRE nemůže být tříděno kvůli chybě sítě.
Formát hlavičky GRE typu II je následující:
Formát rámce ERSPAN Type II navíc přidává 8bajtové záhlaví ERSPAN mezi záhlaví GRE a původní zrcadlený rámec.
Formát záhlaví ERSPAN pro typ II je následující:
Konečně, bezprostředně za původním snímkem obrazu, následuje standardní 4bajtový ethernetový kód cyklické redundantní kontroly (CRC).
Za zmínku stojí, že v implementaci zrcadlový rámec neobsahuje pole FCS původního rámce, místo toho je přepočítána nová hodnota CRC na základě celého ERSPANu. To znamená, že přijímací zařízení nemůže ověřit správnost CRC původního rámce a můžeme pouze předpokládat, že jsou zrcadleny pouze nepoškozené rámce.
3. Typ III
Typ III představuje větší a flexibilnější kompozitní hlavičku pro řešení stále složitějších a rozmanitějších scénářů monitorování sítě, včetně, ale nejen, správy sítě, detekce narušení, analýzy výkonu a zpoždění a další. Tyto scény potřebují znát všechny původní parametry zrcadlového rámu a zahrnovat ty, které nejsou přítomny v samotném původním rámu.
Kompozitní záhlaví ERSPAN Type III obsahuje povinné 12bajtové záhlaví a volitelnou 8bajtovou podzáhlaví specifickou pro platformu.
Formát záhlaví ERSPAN pro typ III je následující:
Opět po původním zrcadlovém rámu je 4bajtový CRC.
Jak je vidět z formátu záhlaví typu III, kromě zachování polí Ver, VLAN, COS, T a Session ID na základě typu II je přidáno mnoho speciálních polí, jako například:
• BSO: používá se k označení integrity zatížení datových rámců přenášených přes ERSPAN. 00 je dobrý rám, 11 je špatný rám, 01 je krátký rám, 11 je velký rám;
• Časové razítko: exportováno z hardwarových hodin synchronizovaných se systémovým časem. Toto 32bitové pole podporuje alespoň 100 mikrosekund granularity Timestamp;
• Typ rámce (P) a typ rámce (FT): první se používá k určení, zda ERSPAN přenáší rámce protokolu Ethernet (PDU rámce), a druhý se používá k určení, zda ERSPAN přenáší rámce Ethernet nebo pakety IP.
• HW ID: jedinečný identifikátor ERSPAN enginu v rámci systému;
• Gra (Granularity Timestamp) : Určuje granularitu časového razítka. Například 00B představuje 100 mikrosekundovou granularitu, 01B 100 nanosekundovou granularitu, 10B IEEE 1588 granularitu a 11B vyžaduje pro dosažení vyšší granularity podhlavičky specifické pro platformu.
• Platf ID vs. Platform Specific Info: Pole Platf Specific Info mají různé formáty a obsah v závislosti na hodnotě Platf ID.
Je třeba poznamenat, že různá výše podporovaná pole záhlaví lze použít v běžných aplikacích ERSPAN, dokonce i při zrcadlení chybových rámců nebo rámců BPDU, při zachování původního balíčku Trunk a VLAN ID. Kromě toho lze do každého snímku ERSPAN během zrcadlení přidat informace o klíčové časové značce a další informační pole.
S vlastními hlavičkami funkcí ERSPAN můžeme dosáhnout jemnější analýzy síťového provozu a poté jednoduše připojit odpovídající ACL do procesu ERSPAN tak, aby odpovídal síťovému provozu, který nás zajímá.
ERSPAN implementuje viditelnost relací RDMA
Vezměme si příklad použití technologie ERSPAN k dosažení vizualizace relace RDMA ve scénáři RDMA:
RDMA: Vzdálený přímý přístup do paměti umožňuje síťovému adaptéru serveru A číst a zapisovat do paměti serveru B pomocí inteligentních karet síťového rozhraní (inics) a přepínačů, čímž je dosaženo vysoké šířky pásma, nízké latence a nízkého využití zdrojů. Je široce používán ve scénářích velkých dat a vysoce výkonných distribuovaných úložišť.
RoCEv2: RDMA over Converged Ethernet Verze 2. Data RDMA jsou zapouzdřena v hlavičce UDP. Číslo cílového portu je 4791.
Každodenní provoz a údržba RDMA vyžaduje shromažďování velkého množství dat, která se používají ke shromažďování denních referenčních linií hladiny vody a abnormálních alarmů, stejně jako základ pro lokalizaci abnormálních problémů. V kombinaci s ERSPAN lze rychle zachytit masivní data a získat tak data kvality předávání v mikrosekundách a stav interakce protokolu přepínacího čipu. Prostřednictvím statistik a analýzy dat lze získat komplexní hodnocení kvality předávání RDMA a předpovědi.
Abychom dosáhli vizualizace relace RDAM, potřebujeme ERSPAN, aby při zrcadlení provozu odpovídal klíčovým slovům pro relace interakce RDMA, a musíme použít rozšířený seznam expertů.
Definice pole shody rozšířeného seznamu na expertní úrovni:
UDF se skládá z pěti polí: klíčového slova UDF, základního pole, offsetového pole, pole hodnoty a pole masky. Omezeno kapacitou hardwarových položek lze použít celkem osm UDF. Jeden UDF může odpovídat maximálně dvěma bytům.
• Klíčové slovo UDF: UDF1... UDF8 Obsahuje osm klíčových slov odpovídající domény UDF
• Základní pole: identifikuje počáteční pozici srovnávacího pole UDF. Následující
L4_header (platí pro RG-S6520-64CQ)
L5_header (pro RG-S6510-48VS8Cq)
• Offset: označuje offset na základě základního pole. Hodnota se pohybuje od 0 do 126
• Pole hodnoty: odpovídající hodnota. Lze jej použít společně s polem masky ke konfiguraci konkrétní hodnoty, která má být spárována. Platný bit jsou dva bajty
• Pole masky: maska, platný bit jsou dva bajty
(Přidat: Pokud je ve stejném poli UDF použito více položek, musí být pole základny a offsetu stejné.)
Dva klíčové pakety spojené se stavem relace RDMA jsou paket oznámení o přetížení (CNP) a Negativní potvrzení (NAK):
První je generován přijímačem RDMA po přijetí zprávy ECN zaslané přepínačem (když eout Buffer dosáhne prahové hodnoty), která obsahuje informace o toku nebo QP způsobujícím přetížení. Posledně jmenovaný se používá k indikaci, že přenos RDMA má zprávu s odezvou na ztrátu paketů.
Podívejme se, jak spojit tyto dvě zprávy pomocí rozšířeného seznamu na úrovni expertů:
expertní přístupový seznam rozšířený rdma
povolit udp any any any any eq 4791udf 1 l4_header 8 0x8100 0xFF00(Odpovídající RG-S6520-64CQ)
povolit udp any any any any eq 4791udf 1 l5_header 0 0x8100 0xFF00(Odpovídající RG-S6510-48VS8CQ)
expertní přístupový seznam rozšířený rdma
povolit udp any any any any eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Odpovídající RG-S6520-64CQ)
povolit udp any any any any eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Odpovídající RG-S6510-48VS8CQ)
Jako poslední krok můžete vizualizovat relaci RDMA připojením seznamu expertních rozšíření do příslušného procesu ERSPAN.
Napište do posledního
ERSPAN je jedním z nepostradatelných nástrojů v dnešních stále větších sítích datových center, stále složitějším síťovém provozu a stále sofistikovanějších požadavcích na provoz a údržbu sítě.
S rostoucím stupněm automatizace O&M jsou technologie jako Netconf, RESTconf a gRPC mezi studenty O&M v síťovém automatickém O&M oblíbené. Použití gRPC jako základního protokolu pro odesílání zpětného zrcadlového provozu má také mnoho výhod. Například na základě protokolu HTTP/2 může podporovat mechanismus streaming push pod stejným připojením. S kódováním ProtoBuf je velikost informací snížena na polovinu ve srovnání s formátem JSON, díky čemuž je přenos dat rychlejší a efektivnější. Jen si představte, že pokud použijete ERSPAN k zrcadlení zainteresovaných streamů a poté je pošlete na analytický server na gRPC, výrazně to zlepší schopnost a efektivitu automatického provozu a údržby sítě?
Čas odeslání: 10. května 2022