Šiandien labiausiai paplitęs tinklo stebėjimo ir trikčių šalinimo įrankis yra „Switch Port Analyzer“ (SPAN), dar žinomas kaip prievadų veidrodinis atvaizdavimas. Jis leidžia stebėti tinklo srautą apėjimo už juostos ribų režimu, netrukdant paslaugoms veikiančiame tinkle, ir siunčia stebimo srauto kopiją į vietinius arba nuotolinius įrenginius, įskaitant „Sniffer“, IDS ar kitokio tipo tinklo analizės įrankius.
Kai kurie tipiniai naudojimo būdai yra šie:
• Šalinti tinklo problemas sekant valdymo/duomenų rėmelius;
• Analizuoti delsą ir virpėjimą stebint VoIP paketus;
• Analizuoti delsą stebint tinklo sąveikas;
• Aptikti anomalijas stebint tinklo srautą.
SPAN srautas gali būti lokaliai veidrodiniu būdu nukreiptas į kitus to paties šaltinio įrenginio prievadus arba nuotoliniu būdu veidrodiniu būdu nukreiptas į kitus tinklo įrenginius, esančius greta šaltinio įrenginio 2 sluoksnio (RSPAN).
Šiandien kalbėsime apie nuotolinio interneto srauto stebėjimo technologiją, vadinamą ERSPAN (angl. Encapsulated Remote Switch Port Analyzer), kuri gali būti perduodama per tris IP sluoksnius. Tai SPAN išplėtimas į Encapsulated Remote.
Pagrindiniai ERSPAN veikimo principai
Pirmiausia apžvelkime ERSPAN funkcijas:
• Paketo kopija iš šaltinio prievado siunčiama į paskirties serverį analizei naudojant bendrą maršrutizavimo inkapsuliaciją (GRE). Serverio fizinė vieta nėra ribojama.
• Pasitelkus mikroschemos vartotojo apibrėžto lauko (UDF) funkciją, bet koks poslinkis nuo 1 iki 126 baitų atliekamas remiantis baziniu domenu per ekspertų lygio išplėstinį sąrašą, o seanso raktažodžiai suderinami, kad būtų galima vizualizuoti seansą, pvz., TCP trišalį pasisveikinimą ir RDMA seansą;
• Palaiko diskretizavimo dažnio nustatymą;
• Palaiko paketų perėmimo ilgį (paketų pjaustymą), sumažindamas tikslinio serverio apkrovą.
Turėdami šias funkcijas, galite suprasti, kodėl ERSPAN yra būtina priemonė stebėti tinklus duomenų centruose šiandien.
Pagrindines ERSPAN funkcijas galima apibendrinti dviem aspektais:
• Sesijos matomumas: naudokite ERSPAN, kad surinktumėte visus sukurtus naujus TCP ir nuotolinės tiesioginės atminties prieigos (RDMA) seansus į galinį serverį ir juos rodytumėte;
• Tinklo trikčių šalinimas: fiksuoja tinklo srautą gedimų analizei, kai kyla tinklo problemų.
Norėdamas tai padaryti, šaltinio tinklo įrenginys turi iš didelio duomenų srauto išfiltruoti vartotojui aktualų srautą, padaryti kopiją ir kiekvieną kopijos kadrą įkapsuliuoti į specialų „superkadrų konteinerį“, kuriame būtų pakankamai papildomos informacijos, kad ją būtų galima teisingai nukreipti į priimantį įrenginį. Be to, suteikti priimančiam įrenginiui galimybę išgauti ir visiškai atkurti pradinį stebimą srautą.
Priimantis įrenginys gali būti kitas serveris, palaikantis ERSPAN paketų dekapsuliavimą.
ERSPAN tipo ir paketo formato analizė
ERSPAN paketai yra įkapsuliuojami naudojant GRE ir persiunčiami į bet kurią IP adresą turinčią paskirties vietą per Ethernet. Šiuo metu ERSPAN daugiausia naudojamas IPv4 tinkluose, o ateityje IPv6 palaikymas bus privalomas.
Bendrajai ERSAPN inkapsuliavimo struktūrai toliau pateiktas ICMP paketų veidrodinis paketų perėmimas:
ERSPAN protokolas vystėsi ilgą laiką, o jo galimybėms tobulėjant, buvo suformuotos kelios versijos, vadinamos „ERSPAN tipais“. Skirtingi tipai turi skirtingus kadrų antraščių formatus.
Jis apibrėžtas pirmajame ERSPAN antraštės lauke „Versija“:
Be to, GRE antraštės laukas „Protokolo tipas“ taip pat nurodo vidinį ERSPAN tipą. Laukas „Protokolo tipas“ 0x88BE nurodo ERSPAN II tipą, o 0x22EB – ERSPAN III tipą.
1. I tipas
I tipo ERSPAN kadras įkapsuliuoja IP ir GRE tiesiai virš originalaus veidrodinio kadro antraštės. Šis įkapsuliavimas prideda 38 baitus prie originalaus kadro: 14 (MAC) + 20 (IP) + 4 (GRE). Šio formato privalumas yra tas, kad jis turi kompaktišką antraštės dydį ir sumažina perdavimo kainą. Tačiau kadangi GRE vėliavos ir versijos laukai nustatomi į 0, jame nėra jokių išplėstinių laukų, o I tipas nėra plačiai naudojamas, todėl nėra reikalo labiau plėsti.
I tipo GRE antraštės formatas yra toks:
2. II tipas
II tipe GRE antraštės laukai C, R, K, S, S, „Recur“, „Flags“ ir „Version“ yra lygūs 0, išskyrus lauką S. Todėl II tipo GRE antraštėje rodomas laukas „Sequence Number“. Tai reiškia, kad II tipas gali užtikrinti GRE paketų gavimo tvarką, todėl dėl tinklo gedimo negalima surūšiuoti daug ne eilės tvarka išdėstytų GRE paketų.
II tipo GRE antraštės formatas yra toks:
Be to, ERSPAN II tipo kadro formatas prideda 8 baitų ERSPAN antraštę tarp GRE antraštės ir originalaus veidrodinio kadro.
II tipo ERSPAN antraštės formatas yra toks:
Galiausiai, iškart po pradinio vaizdo kadro, yra standartinis 4 baitų Ethernet ciklinio perteklinio patikrinimo (CRC) kodas.
Verta paminėti, kad įgyvendinant šį metodą, veidrodiniame kadre nėra originalaus kadro FCS lauko, o nauja CRC reikšmė perskaičiuojama remiantis visu ERSPAN. Tai reiškia, kad priimantis įrenginys negali patikrinti originalaus kadro CRC teisingumo ir galime tik daryti prielaidą, kad veidrodiniai kadrai yra tik nesugadinti.
3. III tipas
III tipo atveju naudojama didesnė ir lankstesnė sudėtinė antraštė, skirta vis sudėtingesniems ir įvairesniems tinklo stebėjimo scenarijams, įskaitant, bet neapsiribojant, tinklo valdymą, įsilaužimų aptikimą, našumo ir vėlavimo analizę ir kt. Šiose scenose reikia žinoti visus originalius veidrodinio kadro parametrus ir įtraukti tuos, kurių nėra pačiame originaliame kadre.
ERSPAN III tipo sudėtinė antraštė apima privalomą 12 baitų antraštę ir pasirenkamą 8 baitų platformoms būdingą paantraštę.
III tipo ERSPAN antraštės formatas yra toks:
Vėlgi, po originalaus veidrodinio rėmelio yra 4 baitų CRC.
Kaip matyti iš III tipo antraštės formato, be Ver, VLAN, COS, T ir Session ID laukų išsaugojimo pagal II tipą, pridedama daug specialių laukų, tokių kaip:
• BSO: naudojamas duomenų kadrų, perduodamų per ERSPAN, įkėlimo vientisumui nurodyti. 00 yra geras kadras, 11 yra blogas kadras, 01 yra trumpas kadras, 11 yra didelis kadras;
• Laiko žyma: eksportuojama iš aparatinės įrangos laikrodžio, sinchronizuoto su sistemos laiku. Šis 32 bitų laukas palaiko bent 100 mikrosekundžių laiko žymos detalumą;
• Kadro tipas (P) ir kadro tipas (FT): pirmasis naudojamas nurodyti, ar ERSPAN perduoda Ethernet protokolo kadrus (PDU kadrus), o antrasis – nurodyti, ar ERSPAN perduoda Ethernet kadrus, ar IP paketus.
• Aparatinės įrangos ID: unikalus ERSPAN variklio identifikatorius sistemoje;
• Gra (laiko žymos detalumas): nurodo laiko žymos detalumą. Pavyzdžiui, 00B reiškia 100 mikrosekundžių detalumą, 01B – 100 nanosekundžių detalumą, 10B – IEEE 1588 detalumą, o 11B – norint pasiekti didesnį detalumą, reikia naudoti konkrečiai platformai būdingus paantraštes.
• Platformos ID ir platformos specifinė informacija: platformos specifinės informacijos laukų formatai ir turinys skiriasi priklausomai nuo platformos ID reikšmės.
Reikėtų pažymėti, kad aukščiau palaikomi įvairūs antraštės laukai gali būti naudojami įprastose ERSPAN programose, netgi veidrodiniame režime atspindint klaidų kadrus arba BPDU kadrus, išlaikant originalų „Trunk“ paketą ir VLAN ID. Be to, veidrodinio režimo metu prie kiekvieno ERSPAN kadro galima pridėti pagrindinę laiko žymos informaciją ir kitus informacijos laukus.
Naudodami nuosavas ERSPAN funkcijų antraštes, galime atlikti tikslesnę tinklo srauto analizę ir tiesiog prijungti atitinkamą ACL prie ERSPAN proceso, kad jis atitiktų mus dominantį tinklo srautą.
ERSPAN įdiegia RDMA sesijos matomumą
Panagrinėkime ERSPAN technologijos naudojimo RDMA seanso vizualizavimui RDMA scenarijuje pavyzdį:
RDMANuotolinė tiesioginė prieiga prie atminties leidžia serverio A tinklo adapteriui skaityti ir rašyti serverio B atmintį naudojant intelektualias tinklo sąsajos plokštes (INIC) ir komutatorius, taip pasiekiant didelį pralaidumą, mažą delsą ir mažą išteklių naudojimą. Tai plačiai naudojama didelių duomenų ir didelio našumo paskirstyto saugojimo scenarijuose.
RoCEv2RDMA per konverguotą Ethernet 2 versiją. RDMA duomenys yra įkapsuliuoti UDP antraštėje. Paskirties prievado numeris yra 4791.
Kasdieniam RDMA veikimui ir priežiūrai reikia surinkti daug duomenų, kurie naudojami kasdienėms vandens lygio atskaitos linijoms ir nenormaliems pavojaus signalams rinkti, taip pat nenormalių problemų nustatymui. Kartu su ERSPAN galima greitai surinkti didelius duomenų kiekius, kad būtų gauti mikrosekundžių persiuntimo kokybės duomenys ir perjungimo mikroschemos protokolo sąveikos būsena. Naudojant duomenų statistiką ir analizę, galima įvertinti ir prognozuoti RDMA persiuntimo kokybę nuo galo iki galo.
Norint pasiekti RDAM seanso vizualizaciją, mums reikia ERSPAN, kad būtų galima suderinti RDMA sąveikos seansų raktinius žodžius, kai atspindimas srautas, ir turime naudoti ekspertų išplėstinį sąrašą.
Eksperto lygio išplėstinio sąrašo atitikimo lauko apibrėžimas:
UDF sudaro penki laukai: UDF raktažodžio, bazinio lauko, poslinkio lauko, vertės lauko ir kaukės lauko. Atsižvelgiant į aparatinės įrangos įrašų talpą, iš viso galima naudoti aštuonis UDF. Vienas UDF gali atitikti daugiausia du baitus.
• UDF raktažodis: UDF1... UDF8 Apima aštuonis UDF atitinkančio domeno raktažodžius
• Bazinis laukas: nurodo UDF atitikimo lauko pradinę poziciją. Toliau nurodyta
L4_antraštė (taikoma RG-S6520-64CQ)
L5_antraštė (skirta RG-S6510-48VS8Cq)
• Poslinkis: nurodo poslinkį, pagrįstą baziniu lauku. Reikšmė svyruoja nuo 0 iki 126.
• Reikšmės laukas: atitinkanti reikšmė. Jį galima naudoti kartu su kaukės lauku, norint konfigūruoti konkrečią atitikmenį turinčią reikšmę. Galiojantis bitas yra du baitai.
• Kaukės laukas: kaukė, galiojantis bitas yra du baitai
(Papildyta: jei tame pačiame UDF atitikimo lauke naudojami keli įrašai, baziniai ir poslinkio laukai turi būti vienodi.)
Du pagrindiniai su RDMA sesijos būsena susiję paketai yra perkrovos pranešimų paketas (CNP) ir neigiamas patvirtinimas (NAK):
Pirmąjį generuoja RDMA imtuvas, gavęs komutatoriaus išsiųstą ECN pranešimą (kai „eout“ buferis pasiekia slenkstį), kuriame pateikiama informacija apie srautą arba QP, sukeliantį perkrovą. Antrąjį naudoja norint nurodyti, kad RDMA perdavimas turi paketų praradimo atsakymo pranešimą.
Pažiūrėkime, kaip suderinti šiuos du pranešimus naudojant eksperto lygio išplėstinį sąrašą:
išplėstinis ekspertų prieigos sąrašas RDM
leisti udp bet koks bet koks bet koks eq 4791udf 1 l4_header 8 0x8100 0xFF00(Atitinka RG-S6520-64CQ)
leisti udp bet koks bet koks bet koks eq 4791udf 1 l5_header 0 0x8100 0xFF00(Atitinka RG-S6510-48VS8CQ)
išplėstinis ekspertų prieigos sąrašas RDM
leisti udp bet koks bet koks bet koks eq 4791udf 1 l4_antraštė 8 0x1100 0xFF00 udf 2 l4_antraštė 20 0x6000 0xFF00(Atitinka RG-S6520-64CQ)
leisti udp bet koks bet koks bet koks eq 4791udf 1 l5_antraštė 0 0x1100 0xFF00 udf 2 l5_antraštė 12 0x6000 0xFF00(Atitinka RG-S6510-48VS8CQ)
Galiausiai, galite vizualizuoti RDMA sesiją, įdiegdami ekspertų plėtinių sąrašą į atitinkamą ERSPAN procesą.
Parašykite paskutinę
ERSPAN yra viena iš nepakeičiamų priemonių šiandieniniuose vis didesniuose duomenų centrų tinkluose, vis sudėtingesniame tinklo sraute ir vis sudėtingesniuose tinklo eksploatavimo bei priežiūros reikalavimuose.
Didėjant eksploatavimo ir priežiūros (O&M) automatizavimo laipsniui, tokios technologijos kaip „Netconf“, „RESTconf“ ir „gRPC“ tampa populiarios tarp eksploatavimo ir priežiūros studentų, besispecializuojančių tinklo automatizuotame eksploatavime ir priežiūroje. gRPC naudojimas kaip pagrindinis protokolas veidrodiniam srautui siųsti taip pat turi daug privalumų. Pavyzdžiui, remiantis HTTP/2 protokolu, jis gali palaikyti srautinio perdavimo mechanizmą tuo pačiu ryšiu. Naudojant „ProtoBuf“ kodavimą, informacijos dydis sumažinamas perpus, palyginti su JSON formatu, todėl duomenų perdavimas tampa greitesnis ir efektyvesnis. Įsivaizduokite, jei naudojate ERSPAN, kad atspindėtumėte norimus srautus, o tada nusiųstumėte juos į analizės serverį per gRPC, ar tai labai pagerins tinklo automatinio veikimo ir priežiūros galimybes bei efektyvumą?
Įrašo laikas: 2022 m. gegužės 10 d.
