Најчестата алатка за следење на мрежата и решавање проблеми денес е Switch Port Analyzer (SPAN), познат и како Port mirroring. Ни овозможува да го следиме мрежниот сообраќај во режим на бајпас надвор од опсегот без да се мешаме во услугите на активната мрежа и испраќа копија од следениот сообраќај до локални или далечински уреди, вклучувајќи Sniffer, IDS или други видови алатки за анализа на мрежата.
Некои типични употреби се:
• Решавање на проблеми со мрежата преку следење на контролните/податочните рамки;
• Анализирајте ја латенцијата и треперењето со следење на VoIP пакетите;
• Анализирајте ја латентноста преку следење на мрежните интеракции;
• Откривање на аномалии преку следење на мрежниот сообраќај.
SPAN сообраќајот може локално да се пресликува на други порти на истиот изворен уред или далечински да се пресликува на други мрежни уреди во непосредна близина на Слој 2 од изворниот уред (RSPAN).
Денес ќе зборуваме за технологијата за далечинско следење на интернет сообраќајот наречена ERSPAN (Encapsulated Remote Switch Port Analyzer) која може да се пренесе низ три слоја на IP. Ова е проширување на SPAN на Encapsulated Remote.
Основни принципи на работа на ERSPAN
Прво, да ги разгледаме карактеристиките на ERSPAN:
• Копија од пакетот од изворниот порт се испраќа до одредишниот сервер за парсирање преку Generic Routing Encapsulation (GRE). Физичката локација на серверот не е ограничена.
• Со помош на функцијата User Defined Field (UDF) на чипот, секое поместување од 1 до 126 бајти се извршува врз основа на Base domen преку проширената листа на експертско ниво, а клучните зборови за сесијата се совпаѓаат за да се реализира визуелизацијата на сесијата, како што се TCP тројното ракување и RDMA сесијата;
• Поддршка за поставување на стапка на семплирање;
• Поддржува должина на пресретнување на пакети (Packet Slicing), намалувајќи го притисокот врз целниот сервер.
Со овие карактеристики, можете да видите зошто ERSPAN е суштинска алатка за следење на мрежите во центрите за податоци денес.
Главните функции на ERSPAN можат да се сумираат во два аспекта:
• Видливост на сесија: Користете ERSPAN за да ги соберете сите креирани нови TCP и сесии за далечински директен пристап до меморијата (RDMA) на back-end серверот за прикажување;
• Решавање проблеми со мрежата: Го снима мрежниот сообраќај за анализа на грешки кога ќе се појави мрежен проблем.
За да го направи ова, изворниот мрежен уред треба да го филтрира сообраќајот што го интересира корисникот од огромниот поток на податоци, да направи копија и да ја капсулира секоја рамка за копирање во посебен „контејнер за суперрамки“ што содржи доволно дополнителни информации за да може правилно да се насочи до уредот што ги прима. Покрај тоа, да му овозможи на уредот што ги прима да го извлече и целосно да го обнови оригиналниот следен сообраќај.
Уредот што прима може да биде друг сервер што поддржува декапсулирање на ERSPAN пакети.
Анализа на типот и форматот на пакетот ERSPAN
ERSPAN пакетите се енкапсулираат со користење на GRE и се препраќаат до која било IP-адресирана дестинација преку Ethernet. ERSPAN моментално главно се користи на IPv4 мрежи, а поддршката за IPv6 ќе биде задолжителна во иднина.
За општата структура на енкапсулација на ERSAPN, следново е снимање на огледални пакети на ICMP пакетите:
Протоколот ERSPAN се развивал во текот на долг временски период, а со подобрувањето на неговите можности, формирани се неколку верзии, наречени „ERSPAN типови“. Различните типови имаат различни формати на заглавија на рамки.
Дефинирано е во првото поле Верзија од заглавието ERSPAN:
Дополнително, полето Тип на протокол во заглавието GRE исто така го означува внатрешниот тип на ERSPAN. Полето Тип на протокол 0x88BE означува ERSPAN Тип II, а 0x22EB означува ERSPAN Тип III.
1. Тип I
ERSPAN рамката од тип I ги енкапсулира IP и GRE директно преку заглавието на оригиналната огледална рамка. Оваа енкапсулација додава 38 бајти над оригиналната рамка: 14 (MAC) + 20 (IP) + 4 (GRE). Предноста на овој формат е што има компактна големина на заглавието и ги намалува трошоците за пренос. Сепак, бидејќи ги поставува полињата GRE Flag и Version на 0, не носи никакви проширени полиња и Тип I не е широко користен, па затоа нема потреба од повеќе проширување.
Форматот на GRE заглавието од тип I е како што следува:
2. Тип II
Во Тип II, полињата C, R, K, S, S, Recur, Flags и Version во заглавието GRE се сите 0 освен полето S. Затоа, полето Sequence Number се прикажува во заглавието GRE од Тип II. Тоа значи дека Тип II може да го обезбеди редоследот на прием на GRE пакети, така што голем број на GRE пакети кои не се во ред не можат да се сортираат поради мрежен дефект.
Форматот на GRE заглавието од тип II е како што следува:
Дополнително, форматот на рамка ERSPAN тип II додава 8-бајтен ERSPAN заглавие помеѓу GRE заглавието и оригиналната огледална рамка.
Форматот на заглавието ERSPAN за Тип II е како што следува:
Конечно, веднаш по оригиналната рамка на сликата, е стандардниот 4-бајтен Ethernet код за проверка на циклична редундантност (CRC).
Вреди да се напомене дека во имплементацијата, огледалната рамка не го содржи полето FCS на оригиналната рамка, туку се пресметува нова CRC вредност врз основа на целиот ERSPAN. Ова значи дека приемниот уред не може да ја потврди точноста на CRC на оригиналната рамка и можеме само да претпоставиме дека се огледуваат само неоштетените рамки.
3. Тип III
Тип III воведува поголем и пофлексибилен композитен заглавие за решавање на сè посложени и разновидни сценарија за следење на мрежата, вклучувајќи, но не ограничувајќи се на управување со мрежата, откривање на упади, анализа на перформанси и доцнење и друго. Овие сцени треба да ги знаат сите оригинални параметри на рамката на огледалото и да ги вклучат оние што не се присутни во самата оригинална рамка.
Композитниот заглавје ERSPAN тип III вклучува задолжителен 12-бајтен заглавје и опционален 8-бајтен подзаглавје специфичен за платформата.
Форматот на заглавието ERSPAN за Тип III е како што следува:
Повторно, по оригиналната рамка на огледалото е 4-бајтен CRC.
Како што може да се види од форматот на заглавието на Тип III, покрај задржувањето на полињата Ver, VLAN, COS, T и Session ID врз основа на Тип II, се додаваат и многу специјални полиња, како што се:
• BSO: се користи за означување на интегритетот на оптоварувањето на рамките со податоци пренесени преку ERSPAN. 00 е добра рамка, 11 е лоша рамка, 01 е кратка рамка, 11 е голема рамка;
• Временска ознака: извезено од хардверскиот часовник синхронизиран со системското време. Ова 32-битно поле поддржува грануларност на временската ознака од најмалку 100 микросекунди;
• Тип на рамка (P) и тип на рамка (FT): првиот се користи за да се одреди дали ERSPAN носи рамки на Ethernet протоколот (PDU рамки), а вториот се користи за да се одреди дали ERSPAN носи рамки на Ethernet протоколот или IP пакети.
• HW ID: единствен идентификатор на ERSPAN моторот во рамките на системот;
• Gra (Грануларност на временската ознака): Ја одредува грануларноста на временската ознака. На пример, 00B претставува грануларност од 100 микросекунди, 01B грануларност од 100 наносекунди, 10B грануларност според IEEE 1588, а 11B бара поднаслови специфични за платформата за да се постигне поголема грануларност.
• ID на платформа наспроти информации специфични за платформата: Полињата со информации специфични за платформата имаат различни формати и содржини во зависност од вредноста на ID на платформата.
Треба да се напомене дека различните полиња на заглавието поддржани погоре можат да се користат во редовни ERSPAN апликации, дури и во пресликување на рамки за грешки или рамки BPDU, додека се одржува оригиналниот пакет Trunk и VLAN ID. Покрај тоа, информации за временската ознака на клучот и други полиња со информации може да се додадат на секоја ERSPAN рамка за време на пресликувањето.
Со сопствените заглавија на функции на ERSPAN, можеме да постигнеме попрефинета анализа на мрежниот сообраќај, а потоа едноставно да го монтираме соодветниот ACL во процесот ERSPAN за да одговара на мрежниот сообраќај што нè интересира.
ERSPAN имплементира RDMA видливост на сесии
Да земеме пример за користење на ERSPAN технологијата за постигнување визуелизација на RDMA сесија во RDMA сценарио:
RDMAДалечинскиот директен пристап до меморија му овозможува на мрежниот адаптер на серверот А да ја чита и запишува меморијата на серверот Б со користење на интелигентни мрежни интерфејс картички (inics) и прекинувачи, постигнувајќи висок пропусен опсег, ниска латентност и ниска искористеност на ресурсите. Широко се користи во сценарија за големи податоци и високо-перформансно дистрибуирано складирање.
RoCEv2: RDMA преку конвергиран етернет верзија 2. RDMA податоците се енкапсулирани во UDP заглавието. Бројот на дестинациската порта е 4791.
Дневното работење и одржување на RDMA бара собирање на многу податоци, кои се користат за собирање дневни референтни линии за нивото на водата и абнормални аларми, како и основа за лоцирање на абнормални проблеми. Во комбинација со ERSPAN, може брзо да се соберат огромни количини на податоци за да се добијат податоци со квалитет на микросекундно пренасочување и статус на интеракција на протоколот на преклопниот чип. Преку статистика и анализа на податоци, може да се добие проценка и предвидување на квалитетот на пренасочувањето на RDMA од крај до крај.
За да постигнеме визуелизација на RDAM сесија, ни треба ERSPAN за да ги совпаѓа клучните зборови за RDMA интеракциските сесии при пресликување на сообраќајот и треба да ја користиме проширената листа на експерти.
Дефиниција на поле за совпаѓање на проширена листа на експертско ниво:
UDF-от се состои од пет полиња: клучни зборови за UDF, основно поле, поле за офсет, поле за вредност и поле за маска. Ограничено од капацитетот на хардверските записи, може да се користат вкупно осум UDF-ови. Еден UDF може да совпадне максимум два бајти.
• Клучен збор UDF: UDF1... UDF8 Содржи осум клучни зборови од доменот за совпаѓање на UDF
• Основно поле: ја идентификува почетната позиција на полето за совпаѓање на UDF. Следново
L4_заглавие (применливо за RG-S6520-64CQ)
L5_заглавие (за RG-S6510-48VS8Cq)
• Поместување: го означува поместувањето врз основа на основното поле. Вредноста се движи од 0 до 126
• Поле за вредност: вредност што се совпаѓа. Може да се користи заедно со полето за маска за да се конфигурира специфичната вредност што треба да се совпадне. Валидниот бит е два бајти.
• Поле за маска: маска, валиден бит е два бајти
(Додади: Ако се користат повеќе записи во истото UDF поле за совпаѓање, полињата за основно и поместување мора да бидат исти.)
Двата клучни пакети поврзани со статусот на RDMA сесијата се пакетот за известување за застој (CNP) и негативната потврда (NAK):
Првото го генерира RDMA приемникот по приемот на ECN пораката испратена од прекинувачот (кога eout баферот ќе го достигне прагот), која содржи информации за протокот или QP што предизвикува застој. Второто се користи за да се означи дека RDMA преносот има порака за одговор на губење на пакети.
Да погледнеме како да ги поврземе овие две пораки користејќи ја проширената листа на експертско ниво:
проширена rdma на листа за пристап на експерти
дозволи udp било кој било било кој еквивалент 4791udf 1 l4_header 8 0x8100 0xFF00(Соодветно на RG-S6520-64CQ)
дозволи udp било кој било било кој еквивалент 4791udf 1 l5_header 0 0x8100 0xFF00(Соодветно на RG-S6510-48VS8CQ)
проширена rdma на листа за пристап на експерти
дозволи udp било кој било било кој еквивалент 4791udf 1 l4_заглавие 8 0x1100 0xFF00 udf 2 l4_заглавие 20 0x6000 0xFF00(Соодветно на RG-S6520-64CQ)
дозволи udp било кој било било кој еквивалент 4791udf 1 l5_заглавие 0 0x1100 0xFF00 udf 2 l5_заглавие 12 0x6000 0xFF00(Соодветно на RG-S6510-48VS8CQ)
Како последен чекор, можете да ја визуелизирате RDMA сесијата со монтирање на листата на експертски екстензии во соодветниот ERSPAN процес.
Напиши во последното
ERSPAN е една од неопходните алатки во денешните сè поголеми мрежи на центри за податоци, сè посложениот мрежен сообраќај и сè пософистицираните барања за работење и одржување на мрежата.
Со зголемениот степен на автоматизација на работењето и одржувањето, технологиите како што се Netconf, RESTconf и gRPC се популарни меѓу студентите по работење и одржување во мрежното автоматско работење и одржување. Користењето на gRPC како основен протокол за испраќање на сообраќај со огледало, исто така, има многу предности. На пример, врз основа на HTTP/2 протоколот, може да се поддржи механизмот за стриминг push под истата врска. Со кодирањето ProtoBuf, големината на информациите е намалена за половина во споредба со JSON форматот, што го прави преносот на податоци побрз и поефикасен. Само замислете, ако користите ERSPAN за да ги пресликувате заинтересираните потоци, а потоа да ги испратите до серверот за анализа на gRPC, дали тоа значително ќе ја подобри способноста и ефикасноста на автоматското работење и одржување на мрежата?
Време на објавување: 10 мај 2022 година
