Najpogostejše orodje za spremljanje in odpravljanje težav v omrežju je danes analizator vrat stikala (SPAN), znan tudi kot zrcaljenje vrat. Omogoča nam spremljanje omrežnega prometa v načinu bypass out of band, ne da bi pri tem motili storitve v aktivnem omrežju, in pošilja kopijo spremljanega prometa lokalnim ali oddaljenim napravam, vključno s Snifferjem, IDS ali drugimi vrstami orodij za analizo omrežja.
Nekatere tipične uporabe so:
• Odpravljanje težav z omrežjem s sledenjem kontrolnih/podatkovnih okvirjev;
• Analizirajte zakasnitev in tresenje s spremljanjem VoIP paketov;
• Analizirajte zakasnitev s spremljanjem omrežnih interakcij;
• Odkrivanje anomalij s spremljanjem omrežnega prometa.
Promet SPAN se lahko lokalno zrcali na druga vrata na isti izvorni napravi ali pa se oddaljeno zrcali na druge omrežne naprave, ki mejijo na 2. plast izvorne naprave (RSPAN).
Danes bomo govorili o tehnologiji za oddaljeno spremljanje internetnega prometa, imenovani ERSPAN (Encapsulated Remote Switch Port Analyzer), ki se lahko prenaša prek treh plasti IP. To je razširitev SPAN na Encapsulated Remote.
Osnovna načela delovanja ERSPAN-a
Najprej si poglejmo funkcije ERSPAN-a:
• Kopija paketa iz izvornih vrat se pošlje ciljnemu strežniku za razčlenitev prek generične enkapsulacije usmerjanja (GRE). Fizična lokacija strežnika ni omejena.
• S pomočjo funkcije uporabniško določenega polja (UDF) čipa se na podlagi osnovne domene prek razširjenega seznama na ravni strokovnjaka izvede kateri koli odmik od 1 do 126 bajtov, ključne besede seje pa se ujemajo za uresničitev vizualizacije seje, kot sta na primer tristransko rokovanje TCP in seja RDMA;
• Podpora za nastavitev frekvence vzorčenja;
• Podpira dolžino prestrezanja paketov (rezanje paketov), kar zmanjšuje pritisk na ciljni strežnik.
S temi funkcijami lahko razumete, zakaj je ERSPAN danes bistveno orodje za spremljanje omrežij znotraj podatkovnih centrov.
Glavne funkcije ERSPAN-a lahko povzamemo v dveh vidikih:
• Vidnost seje: Uporabite ERSPAN za zbiranje vseh ustvarjenih novih sej TCP in oddaljenega neposrednega dostopa do pomnilnika (RDMA) na zalednem strežniku za prikaz;
• Odpravljanje težav z omrežjem: Zajame omrežni promet za analizo napak, ko pride do težave z omrežjem.
Da bi to dosegli, mora izvorna omrežna naprava iz ogromnega podatkovnega toka filtrirati promet, ki zanima uporabnika, ga kopirati in vsak okvir kopije enkapsulirati v poseben "vsebnik superokvirja", ki vsebuje dovolj dodatnih informacij, da jih je mogoče pravilno usmeriti do sprejemne naprave. Poleg tega mora sprejemni napravi omogočiti, da izvleče in v celoti obnovi izvirni nadzorovani promet.
Sprejemna naprava je lahko drug strežnik, ki podpira dekapsulacijo paketov ERSPAN.
Analiza tipov in formatov paketov ERSPAN
Paketi ERSPAN so enkapsulirani z uporabo GRE in posredovani kateremu koli IP-naslovljivemu cilju prek Etherneta. ERSPAN se trenutno uporablja predvsem v omrežjih IPv4, podpora za IPv6 pa bo v prihodnosti potrebna.
Za splošno strukturo enkapsulacije ERSAPN je naslednji zrcalni zajem paketov ICMP:
Protokol ERSPAN se je razvijal dolgo časa in z izboljšanjem njegovih zmogljivosti je bilo oblikovanih več različic, imenovanih "tipi ERSPAN". Različni tipi imajo različne formate glave okvirja.
Definirano je v prvem polju Različica glave ERSPAN:
Poleg tega polje »Tip protokola« v glavi GRE označuje tudi notranji tip ERSPAN. Polje »Tip protokola« 0x88BE označuje ERSPAN tipa II, 0x22EB pa ERSPAN tipa III.
1. Tip I
Okvir ERSPAN tipa I enkapsulira IP in GRE neposredno čez glavo originalnega zrcalnega okvirja. Ta enkapsulacija doda 38 bajtov nad originalni okvir: 14(MAC) + 20 (IP) + 4(GRE). Prednost te oblike je, da ima kompaktno velikost glave in zmanjšuje stroške prenosa. Ker pa polji GRE Flag in Version nastavi na 0, ne vsebuje nobenih razširjenih polj in tip I se ne uporablja pogosto, zato ni potrebe po nadaljnji razširitvi.
Oblika glave GRE tipa I je naslednja:
2. Tip II
Pri tipu II so polja C, R, K, S, S, Recur, Flags in Version v glavi GRE vsa enaka 0, razen polja S. Zato se v glavi GRE tipa II prikaže polje Zaporedna številka. To pomeni, da lahko tip II zagotovi vrstni red prejema paketov GRE, tako da velikega števila paketov GRE, ki niso v vrstnem redu, ni mogoče razvrstiti zaradi omrežne napake.
Oblika glave GRE tipa II je naslednja:
Poleg tega format okvirja ERSPAN tipa II doda 8-bajtno glavo ERSPAN med glavo GRE in originalni zrcaljeni okvir.
Format glave ERSPAN za tip II je naslednji:
Končno, takoj za originalnim slikovnim okvirjem, sledi standardna 4-bajtna koda cikličnega redundančnega preverjanja (CRC) Etherneta.
Omeniti velja, da v implementaciji zrcalni okvir ne vsebuje polja FCS originalnega okvira, temveč se nova vrednost CRC preračuna na podlagi celotnega ERSPAN-a. To pomeni, da sprejemna naprava ne more preveriti pravilnosti CRC originalnega okvira in lahko le predpostavimo, da se zrcalijo samo nepoškodovani okvirji.
3. Tip III
Tip III uvaja večjo in prilagodljivejšo sestavljeno glavo za obravnavo vse bolj kompleksnih in raznolikih scenarijev spremljanja omrežja, vključno z, vendar ne omejeno na, upravljanje omrežja, zaznavanje vdorov, analizo delovanja in zakasnitve ter drugo. Ti prizori morajo poznati vse izvirne parametre zrcalnega okvirja in vključiti tiste, ki niso prisotni v samem izvirnem okvirju.
Sestavljena glava ERSPAN tipa III vključuje obvezno 12-bajtno glavo in izbirno 8-bajtno podglavo, specifično za platformo.
Format glave ERSPAN za tip III je naslednji:
Spet, za originalnim zrcalnim okvirjem je 4-bajtni CRC.
Kot je razvidno iz oblike glave tipa III, so poleg ohranjanja polj Ver, VLAN, COS, T in Session ID na podlagi tipa II dodana še številna posebna polja, kot so:
• BSO: uporablja se za označevanje integritete nalaganja podatkovnih okvirjev, ki se prenašajo prek ERSPAN. 00 je dober okvir, 11 je slab okvir, 01 je kratek okvir, 11 je velik okvir;
• Časovni žig: izvožen iz strojne ure, sinhronizirane s sistemskim časom. To 32-bitno polje podpira vsaj 100 mikrosekund granularnosti časovnega žiga;
• Vrsta okvirja (P) in vrsta okvirja (FT): prva se uporablja za določitev, ali ERSPAN prenaša okvirje protokola Ethernet (okvirje PDU), druga pa za določitev, ali ERSPAN prenaša okvirje Ethernet ali pakete IP.
• ID strojne opreme: enolični identifikator motorja ERSPAN znotraj sistema;
• Gra (razdrobljenost časovnega žiga): Določa razdrobljenost časovnega žiga. Na primer, 00B predstavlja razdrobljenost 100 mikrosekund, 01B razdrobljenost 100 nanosekund, 10B razdrobljenost IEEE 1588, 11B pa zahteva podglavja, specifične za platformo, za doseganje večje razdrobljenosti.
• ID platforme v primerjavi s podatki, specifičnimi za platformo: Polja s podatki, specifičnimi za platformo, imajo različne oblike in vsebino, odvisno od vrednosti ID-ja platforme.
Treba je opozoriti, da se različna zgoraj podprta polja glave lahko uporabljajo v običajnih aplikacijah ERSPAN, celo pri zrcaljenju okvirjev napak ali okvirjev BPDU, hkrati pa se ohrani originalni paket Trunk in ID VLAN. Poleg tega se lahko vsakemu okvirju ERSPAN med zrcaljenjem dodajo informacije o časovnem žigu ključa in druga informacijska polja.
Z lastnimi glavami funkcij ERSPAN lahko dosežemo natančnejšo analizo omrežnega prometa in nato preprosto namestimo ustrezen ACL v proces ERSPAN, da se ujema z omrežnim prometom, ki nas zanima.
ERSPAN implementira vidnost seje RDMA
Vzemimo primer uporabe tehnologije ERSPAN za doseganje vizualizacije seje RDMA v scenariju RDMA:
RDMAOddaljeni neposredni dostop do pomnilnika (Remote Direct Memory Access) omogoča omrežnemu adapterju strežnika A branje in pisanje v pomnilnik strežnika B z uporabo inteligentnih omrežnih vmesniških kartic (inic) in stikal, s čimer doseže visoko pasovno širino, nizko zakasnitev in nizko porabo virov. Široko se uporablja v scenarijih velikih podatkov in visokozmogljivega porazdeljenega shranjevanja.
RoCEv2RDMA prek konvergentnega Etherneta različice 2. Podatki RDMA so enkapsulirani v glavi UDP. Številka ciljnih vrat je 4791.
Dnevno delovanje in vzdrževanje RDMA zahteva zbiranje veliko podatkov, ki se uporabljajo za zbiranje dnevnih referenčnih črt gladine vode in neobičajnih alarmov, pa tudi za odkrivanje neobičajnih težav. V kombinaciji z ERSPAN je mogoče hitro zajeti ogromno podatkov za pridobitev mikrosekundnih podatkov o kakovosti posredovanja in stanja interakcije protokola stikalnega čipa. S statistiko in analizo podatkov je mogoče pridobiti oceno in napoved kakovosti posredovanja RDMA od začetka do konca.
Za dosego vizualizacije seje RDAM potrebujemo ERSPAN za ujemanje ključnih besed za seje interakcije RDMA pri zrcaljenju prometa in moramo uporabiti razširjeni seznam strokovnjakov.
Definicija polja za ujemanje razširjenega seznama na ravni strokovnjaka:
UDF je sestavljen iz petih polj: ključne besede UDF, osnovnega polja, polja odmika, polja vrednosti in polja maske. Ker je omejeno z zmogljivostjo strojnih vnosov, je mogoče uporabiti skupno osem UDF-jev. En UDF se lahko ujema z največ dvema bajtoma.
• Ključna beseda UDF: UDF1 ... UDF8 Vsebuje osem ključnih besed ujemajoče se domene UDF
• Osnovno polje: določa začetni položaj polja za ujemanje UDF. Naslednje
L4_glava (velja za RG-S6520-64CQ)
L5_glava (za RG-S6510-48VS8Cq)
• Odmik: označuje odmik glede na osnovno polje. Vrednost se giblje od 0 do 126
• Polje z vrednostjo: ujemajoča se vrednost. Uporablja se lahko skupaj s poljem maske za konfiguracijo specifične vrednosti, ki se ujema. Veljavni bit je dva bajta.
• Polje maske: maska, veljaven bit sta dva bajta
(Dodatek: Če se v istem polju za ujemanje UDF uporablja več vnosov, morata biti osnovno in odmik polje enaka.)
Ključna paketa, povezana s statusom seje RDMA, sta paket za obvestilo o preobremenjenosti (CNP) in negativno potrdilo (NAK):
Prvega generira sprejemnik RDMA po prejemu sporočila ECN, ki ga pošlje stikalo (ko izhodni medpomnilnik doseže prag) in vsebuje informacije o pretoku ali QP, ki povzroča zastoje. Slednjega se uporablja za označevanje, da ima prenos RDMA sporočilo o odzivu na izgubo paketov.
Poglejmo, kako povezati ti dve sporočili z uporabo razširjenega seznama na ravni strokovnjaka:
razširjeni rdma za seznam dostopov strokovnjakov
dovoljenje udp poljubno poljubno poljubno poljubno enačba 4791udf 1 l4_header 8 0x8100 0xFF00(Ustreza RG-S6520-64CQ)
dovoljenje udp poljubno poljubno poljubno poljubno enačba 4791udf 1 l5_header 0 0x8100 0xFF00(Ustreza RG-S6510-48VS8CQ)
razširjeni rdma za seznam dostopov strokovnjakov
dovoljenje udp poljubno poljubno poljubno poljubno enačba 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Ustreza RG-S6520-64CQ)
dovoljenje udp poljubno poljubno poljubno poljubno enačba 4791udf 1 l5_glava 0 0x1100 0xFF00 udf 2 l5_glava 12 0x6000 0xFF00(Ustreza RG-S6510-48VS8CQ)
Kot zadnji korak lahko vizualizirate sejo RDMA tako, da v ustrezen proces ERSPAN vgradite seznam razširitev strokovnjakov.
Napiši v zadnjem
ERSPAN je eno nepogrešljivih orodij v današnjih vse večjih omrežjih podatkovnih centrov, vse bolj kompleksnem omrežnem prometu in vse bolj dovršenih zahtevah glede delovanja in vzdrževanja omrežja.
Z naraščajočo stopnjo avtomatizacije delovanja in vzdrževanja (O&M) so tehnologije, kot so Netconf, RESTconf in gRPC, priljubljene med študenti O&M v avtomatskem omrežnem O&M. Uporaba gRPC kot osnovnega protokola za pošiljanje zrcaljenega prometa ima tudi številne prednosti. Na primer, na podlagi protokola HTTP/2 lahko podpira mehanizem pretakanja v okviru iste povezave. S kodiranjem ProtoBuf se velikost informacij v primerjavi s formatom JSON zmanjša za polovico, zaradi česar je prenos podatkov hitrejši in učinkovitejši. Samo predstavljajte si, če uporabite ERSPAN za zrcaljenje zainteresiranih tokov in jih nato pošljete na analitični strežnik na gRPC, ali bo to močno izboljšalo zmogljivost in učinkovitost samodejnega delovanja in vzdrževanja omrežja?
Čas objave: 10. maj 2022
