Šiandien labiausiai paplitęs tinklo stebėjimo ir trikčių šalinimo įrankis yra Switch Port Analyzer (SPAN), taip pat žinomas kaip prievado atspindėjimas. Tai leidžia mums stebėti tinklo srautą apėjimo ne dažnių juostos režimu, netrukdant tiesioginio tinklo paslaugoms, ir siunčia stebimo srauto kopiją į vietinius ar nuotolinius įrenginius, įskaitant Sniffer, IDS ar kitų tipų tinklo analizės įrankius.
Kai kurie tipiniai naudojimo būdai yra:
• Tinklo problemų šalinimas sekant valdymo/duomenų rėmelius;
• Analizuoti delsą ir drebėjimą stebint VoIP paketus;
• Analizuoti delsą stebint tinklo sąveiką;
• Aptikti anomalijas stebint tinklo srautą.
SPAN srautas gali būti vietiškai atspindimas kituose to paties šaltinio įrenginio prievaduose arba nuotoliniu būdu į kitus tinklo įrenginius, esančius šalia šaltinio įrenginio (RSPAN) 2 lygmens.
Šiandien kalbėsime apie nuotolinio interneto srauto stebėjimo technologiją, vadinamą ERSPAN (Encapsulated Remote Switch Port Analyzer), kuri gali būti perduodama trimis IP sluoksniais. Tai yra SPAN plėtinys į Encapsulated Remote.
Pagrindiniai ERSPAN veikimo principai
Pirmiausia pažvelkime į ERSPAN funkcijas:
• Paketo kopija iš šaltinio prievado siunčiama į paskirties serverį, kad būtų galima išanalizuoti per bendrąjį maršruto įterpimą (GRE). Fizinė serverio vieta nėra ribojama.
• Naudojant lusto vartotojo nustatyto lauko (UDF) funkciją, bet koks poslinkis nuo 1 iki 126 baitų atliekamas remiantis baziniu domenu per eksperto lygio išplėstinį sąrašą, o seanso raktiniai žodžiai suderinami, kad būtų galima įgyvendinti vizualizaciją. seanso, pvz., TCP trijų krypčių rankos paspaudimo ir RDMA seanso;
• Atrankos dažnio nustatymo palaikymas;
• Palaiko paketų perėmimo ilgį (paketų pjaustymą), sumažindamas spaudimą tiksliniam serveriui.
Naudodamiesi šiomis funkcijomis, galite suprasti, kodėl ERSPAN šiandien yra esminis duomenų centrų tinklų stebėjimo įrankis.
Pagrindines ERSPAN funkcijas galima apibendrinti dviem aspektais:
• Seanso matomumas: naudokite ERSPAN, kad surinktumėte visas sukurtas naujas TCP ir nuotolinės tiesioginės atminties prieigos (RDMA) seansus į galinį serverį, kad būtų rodomas;
• Tinklo trikčių diagnostika: užfiksuoja tinklo srautą, kad būtų galima analizuoti gedimus, kai iškyla tinklo problema.
Kad tai padarytų, šaltinio tinklo įrenginys turi išfiltruoti vartotoją dominantį srautą iš didžiulio duomenų srauto, padaryti kopiją ir kiekvieną kopijos kadrą sudėti į specialų „superkadro konteinerį“, kuriame yra pakankamai papildomos informacijos, kad galėtų turi būti tinkamai nukreiptas į priimantį įrenginį. Be to, leiskite priimančiam įrenginiui išgauti ir visiškai atkurti pradinį stebimą srautą.
Priimantis įrenginys gali būti kitas serveris, palaikantis ERSPAN paketų dekapsuliavimą.
ERSPAN tipo ir paketo formato analizė
ERSPAN paketai yra inkapsuliuojami naudojant GRE ir per Ethernet persiunčiami į bet kurią IP adresą. ERSPAN šiuo metu daugiausia naudojamas IPv4 tinkluose, o IPv6 palaikymas bus būtinas ateityje.
Kalbant apie bendrą ERSAPN inkapsuliavimo struktūrą, toliau pateikiamas veidrodinis ICMP paketų paketų fiksavimas:
Be to, GRE antraštėje esantis laukas Protokolo tipas taip pat nurodo vidinį ERSPAN tipą. Lauke Protokolo tipas 0x88BE nurodomas ERSPAN tipas II, o 0x22EB – ERSPAN tipas III.
1. I tipas
I tipo ERSPAN rėmas apjungia IP ir GRE tiesiai virš originalaus veidrodžio rėmo antraštės. Ši inkapsuliacija prideda 38 baitus prie pradinio kadro: 14 (MAC) + 20 (IP) + 4 (GRE). Šio formato pranašumas yra tas, kad jis turi kompaktišką antraštės dydį ir sumažina perdavimo išlaidas. Tačiau, kadangi jis nustato GRE vėliavėlės ir versijos laukus į 0, jame nėra jokių išplėstinių laukų, o I tipas nėra plačiai naudojamas, todėl daugiau plėsti nereikia.
I tipo GRE antraštės formatas yra toks:
2. II tipas
II tipo GRE antraštėje esantys C, R, K, S, S, Recur, Flags ir Version laukai yra 0, išskyrus S lauką. Todėl laukas Sekos numeris rodomas II tipo GRE antraštėje. Tai yra, II tipas gali užtikrinti GRE paketų gavimo tvarką, kad dėl tinklo gedimo nebūtų galima surūšiuoti daug netvarkingų GRE paketų.
II tipo GRE antraštės formatas yra toks:
Be to, ERSPAN II tipo rėmelio formatas prideda 8 baitų ERSPAN antraštę tarp GRE antraštės ir originalaus veidrodinio kadro.
ERSPAN antraštės formatas II tipui yra toks:
Galiausiai iškart po originalaus vaizdo rėmelio yra standartinis 4 baitų Ethernet ciklinio perteklinio patikrinimo (CRC) kodas.
Verta paminėti, kad įgyvendinant veidrodinio rėmelio FCS lauką nėra pradinio kadro, o nauja CRC reikšmė perskaičiuojama remiantis visu ERSPAN. Tai reiškia, kad priimantis įrenginys negali patikrinti pradinio kadro CRC teisingumo ir galime tik manyti, kad atspindimi tik nepažeisti kadrai.
3. III tipas
III tipas pristato didesnę ir lankstesnę sudėtinę antraštę, skirtą vis sudėtingesniems ir įvairesniems tinklo stebėjimo scenarijams, įskaitant, bet tuo neapsiribojant, tinklo valdymą, įsibrovimų aptikimą, našumo ir vėlavimo analizę ir kt. Šiose scenose reikia žinoti visus originalius veidrodžio rėmo parametrus ir įtraukti tuos, kurių nėra pačiame originaliame kadre.
ERSPAN III tipo sudėtinė antraštė apima privalomą 12 baitų antraštę ir pasirenkamą 8 baitų platformai skirtą antraštę.
ERSPAN antraštės formatas III tipui yra toks:
Vėlgi, po originalaus veidrodžio rėmo yra 4 baitų CRC.
Kaip matyti iš III tipo antraštės formato, be Ver, VLAN, COS, T ir Session ID laukų išsaugojimo pagal II tipą, pridedama daug specialių laukų, tokių kaip:
• BSO: naudojamas per ERSPAN perduodamų duomenų kadrų įkėlimo vientisumui nurodyti. 00 yra geras rėmelis, 11 yra blogas rėmelis, 01 yra trumpas rėmelis, 11 yra didelis rėmas;
• Laiko žyma: eksportuojama iš aparatūros laikrodžio, sinchronizuota su sistemos laiku. Šis 32 bitų laukas palaiko mažiausiai 100 mikrosekundžių laiko žymos detalumą;
• Frame Type (P) ir Frame Type (FT): pirmasis naudojamas norint nurodyti, ar ERSPAN turi Ethernet protokolo kadrus (PDU kadrus), o antroji naudojama nurodyti, ar ERSPAN neša Ethernet kadrus ar IP paketus.
• HW ID: unikalus ERSPAN variklio identifikatorius sistemoje;
• Gra (Timestamp Granularity) : nurodo laiko žymos detalumą. Pavyzdžiui, 00B reiškia 100 mikrosekundžių granuliuotumą, 01B 100 nanosekundžių granuliškumą, 10B IEEE 1588 granuliuotumą ir 11B reikalauja konkrečios platformos antraštės, kad būtų pasiektas didesnis granuliuotumas.
• Platformos ID ir konkrečios platformos informacija: Konkrečios platformos informacijos laukų formatai ir turinys skiriasi priklausomai nuo platformos ID reikšmės.
Reikėtų pažymėti, kad įvairūs pirmiau palaikomi antraštės laukai gali būti naudojami įprastose ERSPAN programose, netgi atspindint klaidų kadrus arba BPDU kadrus, išlaikant originalų magistralinį paketą ir VLAN ID. Be to, pagrindinė laiko žymos informacija ir kiti informacijos laukai gali būti pridedami prie kiekvieno ERSPAN kadro dubliavimo metu.
Naudodami paties ERSPAN funkcijų antraštes galime atlikti tikslesnę tinklo srauto analizę, o tada tiesiog prijungti atitinkamą ACL į ERSPAN procesą, kad atitiktų mus dominantį tinklo srautą.
ERSPAN įgyvendina RDMA seanso matomumą
Paimkime pavyzdį, kaip naudoti ERSPAN technologiją RDMA seanso vizualizavimui RDMA scenarijuje:
RDMA: Nuotolinė tiesioginė atminties prieiga leidžia serverio A tinklo adapteriui skaityti ir rašyti serverio B atmintį naudojant intelektualiąsias tinklo sąsajos plokštes (inics) ir jungiklius, taip pasiekiant didelį pralaidumą, mažą delsą ir mažą išteklių panaudojimą. Jis plačiai naudojamas didelių duomenų ir didelio našumo paskirstytos saugyklos scenarijuose.
RoCEv2: RDMA per Converged Ethernet 2 versija. RDMA duomenys yra įterpti į UDP antraštę. Paskirties prievado numeris yra 4791.
Kasdieniniam RDMA veikimui ir priežiūrai reikia surinkti daug duomenų, kurie naudojami kasdienėms vandens lygio atskaitos linijoms ir nenormalių pavojaus signalų rinkimui, taip pat nenormalių problemų nustatymo pagrindui. Kartu su ERSPAN galima greitai užfiksuoti didžiulius duomenis, kad būtų gauti mikrosekundžių persiuntimo kokybės duomenys ir perjungimo lusto sąveikos su protokolu būsena. Naudojant duomenų statistiką ir analizę, galima gauti RDMA persiuntimo kokybės įvertinimą ir prognozes.
Norint pasiekti RDAM seanso vizualizaciją, mums reikia ERSPAN, kad atitiktų RDMA sąveikos seansų raktinius žodžius, kai atspindimas srautas, ir turime naudoti išplėstinį ekspertų sąrašą.
Eksperto lygio išplėstinio sąrašo atitikimo lauko apibrėžimas:
UDF susideda iš penkių laukų: UDF raktinio žodžio, bazinio lauko, poslinkio lauko, vertės lauko ir kaukės lauko. Apribota aparatinės įrangos įrašų talpa, iš viso galima naudoti aštuonis UDF. Vienas UDF gali atitikti daugiausia du baitus.
• UDF raktinis žodis: UDF1... UDF8 Sudėtyje yra aštuoni UDF atitinkančio domeno raktiniai žodžiai
• Bazinis laukas: nurodo UDF atitikimo lauko pradinę padėtį. Toliau nurodyta
L4_header (taikoma RG-S6520-64CQ)
L5_header (skirta RG-S6510-48VS8Cq)
• Poslinkis: nurodo poslinkį pagal bazinį lauką. Vertė svyruoja nuo 0 iki 126
• Reikšmės laukas: atitinkanti reikšmę. Jis gali būti naudojamas kartu su kaukės lauku konfigūruojant konkrečią atitikimo vertę. Galiojantis bitas yra du baitai
• Kaukės laukas: kaukė, galiojantis bitas yra du baitai
(Pridėti: jei tame pačiame UDF atitikties lauke naudojami keli įrašai, bazės ir poslinkio laukai turi būti vienodi.)
Du pagrindiniai paketai, susiję su RDMA seanso būsena, yra perkrovos pranešimų paketas (CNP) ir neigiamas patvirtinimas (NAK):
Pirmąjį sugeneruoja RDMA imtuvas, gavęs komutatoriaus siunčiamą ECN pranešimą (kai eout buferis pasiekia slenkstį), kuriame yra informacijos apie srautą arba QP, sukeliantį spūstis. Pastarasis yra naudojamas norint nurodyti, kad RDMA perdavimas turi paketų praradimo atsako pranešimą.
Pažiūrėkime, kaip suderinti šiuos du pranešimus naudojant eksperto lygio išplėstinį sąrašą:
ekspertų prieigos sąrašo išplėstinis RDMA
Leisti udp bet kuris bet koks bet koks eq 4791udf 1 l4_header 8 0x8100 0xFF00(Atitinka RG-S6520-64CQ)
Leisti udp bet kuris bet koks bet koks eq 4791udf 1 l5_header 0 0x8100 0xFF00(Atitinka RG-S6510-48VS8CQ)
ekspertų prieigos sąrašo išplėstinis RDMA
Leisti udp bet kuris bet koks bet koks eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Atitinka RG-S6520-64CQ)
Leisti udp bet kuris bet koks bet koks eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Atitinka RG-S6510-48VS8CQ)
Paskutiniame etape galite vizualizuoti RDMA seansą įtraukdami ekspertų plėtinių sąrašą į atitinkamą ERSPAN procesą.
Rašykite paskutiniame
ERSPAN yra vienas iš nepakeičiamų įrankių šiandienos vis didesniuose duomenų centrų tinkluose, vis sudėtingesniame tinklo sraute ir vis sudėtingesniuose tinklo eksploatavimo ir priežiūros reikalavimuose.
Didėjant O&M automatizavimo laipsniui, tokios technologijos kaip Netconf, RESTconf ir gRPC yra populiarios tarp O&M studentų tinklo automatinio O&M srityje. Naudojant gRPC kaip pagrindinį veidrodinio srauto siuntimo protokolą, taip pat yra daug privalumų. Pavyzdžiui, remiantis HTTP/2 protokolu, jis gali palaikyti srautinio perdavimo mechanizmą tuo pačiu ryšiu. Naudojant ProtoBuf kodavimą, informacijos dydis, palyginti su JSON formatu, sumažėja perpus, todėl duomenų perdavimas tampa greitesnis ir efektyvesnis. Įsivaizduokite, jei naudosite ERSPAN, kad atspindėtumėte dominančius srautus ir tada išsiųtumėte juos į analizės serverį per gRPC, ar tai labai pagerins tinklo automatinio veikimo ir priežiūros galimybes ir efektyvumą?
Paskelbimo laikas: 2022-05-10