Nejběžnějším nástrojem pro monitorování sítě a řešení problémů je dnes Switch Port Analyzer (SPAN), známý také jako zrcadlení portů. Umožňuje nám monitorovat síťový provoz v obchvatu z režimu pásma, aniž bychom zasahovali do služeb v živé síti, a odešle kopii monitorovaného provozu do místních nebo vzdálených zařízení, včetně Sniffer, ID nebo jiných typů nástrojů pro analýzu sítě.
Některá typická použití jsou:
• Odstraňování problémů s síťovými problémy sledováním kontrolních/datových rámců;
• Analyzujte latence a jitter monitorováním paketů VoIP;
• Analyzujte latenci monitorováním interakcí sítě;
• Detekujte anomálie monitorováním síťového provozu.
Provoz rozpětí lze lokálně zrcadlit na jiné porty na stejném zdrojovém zařízení nebo vzdáleně odrážet do jiných síťových zařízení sousedících s vrstvou 2 zdrojového zařízení (RSPAN).
Dnes se chystáme hovořit o technologii vzdáleného monitorování internetového provozu s názvem ERSPAN (Encapsulad Remote Switch Port Analyzer), kterou lze přenášet ve třech vrstvách IP. Toto je rozšíření rozpětí pro zapouzdření dálkového ovladače.
Základní principy provozu erspanu
Nejprve se podívejme na funkce ERSPAN:
• Kopie paketu ze zdrojového portu je odeslána na cílový server pro analýzu prostřednictvím generické zapouzdření směrování (GRE). Fyzické umístění serveru není omezeno.
• S pomocí funkce definovaného pole pro uživatelské pole (UDF) čipu se provádí jakýkoli posun 1 až 126 bajtů na základě základní domény prostřednictvím rozšířeného seznamu na úrovni odborníků a klíčová slova relace jsou porovnána tak, aby realizovala vizualizaci relace, jako je třícestná handshak a RDMA;
• Vytváření vzorkování podpory;
• Podporuje délku odporu paketů (krájení paketů) a snižuje tlak na cílový server.
S těmito funkcemi můžete vidět, proč je ERSPAN nezbytným nástrojem pro monitorování sítí uvnitř datových center dnes.
Hlavní funkce ERSPAN lze shrnout ve dvou aspektech:
• Viditelnost relace: Pomocí erspan shromažďujete všechny vytvořené nové relace TCP a Remote Direct Memory Access (RDMA) na back-end server pro zobrazení;
• Odstraňování problémů sítě: Zachycuje síťový provoz pro analýzu poruch, když dojde k problému sítě.
Za tímto účelem musí zdrojové síťové zařízení odfiltrovat přenos zájmu uživateli z masivního datového toku, vytvořit kopii a zapouzdřit každý kopírovací rámec do speciálního „superframe kontejneru“, který nese dostatek dalších informací, aby mohl být správně směrován do přijímacího zařízení. Navíc umožňte přijímajícímu zařízení extrahovat a plně obnovit původní monitorovaný provoz.
Přijímací zařízení může být další server, který podporuje dekapsulace paketů erspan.
Analýza typu a formátu balíčku erspan
Pakety erspan jsou zapouzdřeny pomocí GRE a předány do jakéhokoli cíle IP adresovatelného přes Ethernet. ERSPAN se v současné době používá hlavně na sítích IPv4 a podpora IPv6 bude v budoucnu požadavkem.
U obecné struktury zapouzdření ERSAPN je následující zachycení zrcadlových paketů paketů ICMP:
Protokol ERSPAN se vyvinul po dlouhou dobu a se zvýšením jeho schopností bylo vytvořeno několik verzí nazývaných „typy erspan“. Různé typy mají různé formáty záhlaví rámečků.
Je definována v poli první verze záhlaví erspan:
Kromě toho pole typu protokolu v záhlaví GRE také označuje interní typ erspan. Pole typu protokolu 0x88BE označuje erspan typu II a 0x22eb označuje ERSPAN typu III.
1. typu I.
Rám Erspan typu I zapouzdřuje IP a GRE přímo nad záhlaví původního zrcadlového rámce. Toto zapouzdření přidává 38 bajtů přes původní rámec: 14 (MAC) + 20 (IP) + 4 (GRE). Výhodou tohoto formátu je, že má kompaktní velikost záhlaví a snižuje náklady na přenos. Protože však nastavuje pole příznaky a verze GRE na 0, nese žádná rozšířená pole a typ I se nepoužívá široce, takže není třeba více rozšiřovat.
Formát záhlaví GRE typu I je následující:
2. typu II
V typu II jsou pole C, R, K, S, S, Recur, Flags a verze v záhlaví GRE 0 kromě pole S. Pole sekvence je proto zobrazeno v záhlaví GRE typu II. To znamená, že typ II může zajistit pořadí přijímání paketů GRE, takže velké množství paketů GRE mimo objednávku nelze třídit kvůli síťové poruše.
Formát záhlaví GRE typu II je následující:
Kromě toho formát rámu typu ERSPAN typu II přidává 8-bajtovou záhlaví erspan mezi záhlaví GRE a původním zrcadlem.
Formát záhlaví ERSPAN pro typ II je následující:
Nakonec, bezprostředně po původním rámci obrázku, je standardní 4-bajtový ethernetový cyklický kód kontroly redundance (CRC).
Stojí za zmínku, že při implementaci zrcadlový rám neobsahuje pole FCS původního rámce, místo toho je nová hodnota CRC přepočítána na základě celého erspanu. To znamená, že přijímací zařízení nemůže ověřit korektnost CRC původního rámce a můžeme pouze předpokládat, že se zrcadlí pouze neporušené rámce.
3. typu III
Typ III představuje větší a flexibilnější kompozitní záhlaví, která se zabývá stále složitějšími a rozmanitějšími scénáři monitorování sítě, včetně, ale nejen na správu sítě, detekce narušení, výkonu a analýzy zpoždění a další. Tyto scény musí znát všechny původní parametry zrcadlového rámce a zahrnovat ty, které nejsou přítomny v samotném původním snímku.
Kompozitní záhlaví ERSPAN typu III zahrnuje povinnou 12bajtovou záhlaví a volitelnou 8-bajtovou platformu specifickou pro poddajvu.
Formát záhlaví ERSPAN pro typ III je následující:
Po původním zrcadlovém rámu je opět 4bajtový CRC.
Jak je patrné z formátu záhlaví typu III, kromě zachování polí VR, VLAN, COS, T a ID relace na základě typu II, přidá se mnoho speciálních polí, například:
• BSO: Používá se k označení integrity zatížení datových rámců přenášených prostřednictvím ERSPAN. 00 je dobrý rám, 11 je špatný rám, 01 je krátký rám, 11 je velký rám;
• Časové razítko: Exportováno z hardwarových hodin synchronizovaných s časem systému. Toto 32bitové pole podporuje nejméně 100 mikrosekund granularity časového razítka;
• Typ rámce (P) a typ rámce (FT): První z nich se používá k určení, zda ERSPAN nese rámce protokolu Ethernet (snímky PDU) a druhý se používá k určení, zda ERSPAN nese ethernetové rámce nebo IP pakety.
• HW ID: jedinečný identifikátor motoru ERSPAN v systému;
• GRA (časová razítko): Určuje granularitu časového razítka. Například 00b představuje 100 mikrosekundové granularity, 01b 100 nanosekundové granularity, 10b IEEE 1588 granularita a 11b vyžaduje, aby podlažní specifické pro platformu dosáhly vyšší granularity.
• ID PLATF ID vs. Specifické informace o platformě: Specifická informační pole PLATF mají různé formáty a obsah v závislosti na hodnotě ID PLATF.
Je třeba poznamenat, že výše popsaná pole záhlaví lze použít v běžných aplikacích ERSPAN, dokonce i zrcadlení chybových rámců nebo rámců BPDU, při zachování původního balíčku kufru a ID VLAN. Kromě toho lze do každého rámce ERSPAN během zrcadlení přidat klíčové informace o časovém razítku a další informační pole.
S vlastními záhlavími funkcí společnosti ERSPAN můžeme dosáhnout rafinovanější analýzy síťového provozu a poté jednoduše připojit odpovídající ACL v procesu ERSPAN, aby odpovídal síťovému provozu, o který nás zajímáme.
Erspan implementuje viditelnost relace RDMA
Vezměme si příklad použití technologie ERSPAN k dosažení vizualizace relace RDMA ve scénáři RDMA:
RDMA: Vzdálený přímý přístup k paměti umožňuje síťové adaptéře serveru A pro čtení a psaní paměti serveru B pomocí inteligentních karet síťového rozhraní (INICS) a přepínačů, dosažení vysoké šířky pásma, nízkou latenci a nízké využití zdrojů. Obecně se používá ve velkých datech a vysoce výkonných distribuovaných scénářích úložiště.
Rocev2: RDMA nad konvergovaným ethernetovým verzí 2. Data RDMA jsou zapouzdřena v záhlaví UDP. Číslo cílového portu je 4791.
Denní provoz a údržba RDMA vyžaduje shromažďování mnoha dat, které se používají ke shromažďování denních referenčních linií vody a abnormálních poplachů, jakož i základu pro nalezení abnormálních problémů. V kombinaci s ERSPAN lze rychle zachytit masivní data, aby se získala data kvality pro předávání mikrosekundu a stav interakce protokolu přepínání čipu. Prostřednictvím statistik a analýzy dat lze získat hodnocení a predikci kvality RDMA na konci předávání a předpovědi kvality.
Abychom dosáhli vizualizace relace RDAM, potřebujeme erspan, aby odpovídal klíčových slov pro interakční relace RDMA při zrcadlení provozu a musíme použít expertní rozšířený seznam.
Definice pole pro rozšířený seznam na úrovni expertů:
UDF se skládá z pěti polí: klíčové slovo UDF, základní pole, pole offset, pole hodnoty a pole masky. Omezeno kapacitou hardwarových položek, lze použít celkem osm UDF. Jeden UDF může odpovídat maximálně dva bajty.
• Klíčové slovo UDF: UDF1 ... UDF8 obsahuje osm klíčových slov odpovídající domény UDF
• Základní pole: Identifikuje počáteční polohu porovnávacího pole UDF. Následující
L4_header (použitelné pro RG-S6520-64CQ)
L5_header (pro RG-S6510-48VS8CQ)
• Offset: Označuje offset na základě základního pole. Hodnota se pohybuje od 0 do 126
• Pole hodnoty: odpovídající hodnota. Lze jej použít společně s polem masky k nakonfigurování konkrétní hodnoty, která se má shodovat. Platný bit jsou dva bajty
• Pole masky: Maska, platný bit je dva bajty
(Přidat: Pokud se ve stejném porovnávacím poli UDF použije více položek, musí být základní a ofsetová pole stejná.)
Dva klíčové pakety spojené se stavem relace RDMA jsou oznamovací paket (CNP) a negativní potvrzení (NAK):
První z nich je generován přijímačem RDMA po obdržení zprávy ECN odeslané přepínačem (když vyrovnávací paměť EOUT dosáhne prahu), což obsahuje informace o toku nebo QP způsobující přetížení. Ten se používá k označení přenosu RDMA má zprávu o ztrátě paketů.
Podívejme se na to, jak porovnat tyto dvě zprávy pomocí rozšířeného seznamu na úrovni odborníků:
Expert Access-List Extended RDMA
Povolit udp jakékoli jakékoli ekv. 4791UDF 1 L4_HEADER 8 0x8100 0xff00(Odpovídání RG-S-6520-64CQ)
Povolit udp jakékoli jakékoli ekv. 4791UDF 1 l5_header 0 0x8100 0xff00(Odpovídání RG-S6510-48VS8CQ)
Expert Access-List Extended RDMA
Povolit udp jakékoli jakékoli ekv. 4791UDF 1 L4_HEADER 8 0x1100 0XFF00 UDF 2 L4_HEADER 20 0x6000 0XFF00(Odpovídání RG-S-6520-64CQ)
Povolit udp jakékoli jakékoli ekv. 4791UDF 1 L5_HEADER 0 0x1100 0xff00 UDF 2 L5_HEADER 12 0x6000 0xff00(Odpovídání RG-S6510-48VS8CQ)
V posledním kroku můžete vizualizovat relaci RDMA namontováním seznamu expertních rozšíření do příslušného procesu ERSPAN.
Napište poslední
Erspan je jedním z nepostradatelných nástrojů v dnešních stále velkých sítích datových center, stále složitějším síťovým provozem a stále sofistikovanějším požadavkem na provoz a údržbu sítě.
Se zvyšujícím se stupněm automatizace O&M jsou technologie jako NetConf, RestConf a GRPC oblíbené mezi studenty O&M v síti Automatic O&M. Použití GRPC jako základního protokolu pro odesílání zpětného zrcadlového provozu má také mnoho výhod. Například na základě protokolu HTTP/2 může podporovat mechanismus streamování pod stejným připojením. Při kódování protobuf je velikost informací zmenšena na polovinu ve srovnání s formátem JSON, což zvyšuje přenos dat rychlejší a efektivnější. Jen si představte, že pokud použijete erspan k zrcadlení zájmových toků a poté je odesláte na analytický server na GRPC, výrazně to zlepší schopnost a efektivitu automatického provozu a údržby sítě?
Čas příspěvku: 10.-20.-2022
