ERSPAN minulosť a súčasnosť viditeľnosti siete Mylinking™

Najbežnejším nástrojom na monitorovanie siete a riešenie problémov je dnes Switch Port Analyzer (SPAN), známy aj ako zrkadlenie portov. Umožňuje nám monitorovať sieťovú prevádzku v režime obídenia mimo pásma bez rušenia služieb v živej sieti a odosiela kópiu sledovanej prevádzky do miestnych alebo vzdialených zariadení vrátane Sniffer, IDS alebo iných typov nástrojov na analýzu siete.

Niektoré typické použitia sú:

• Riešenie problémov so sieťou sledovaním riadiacich/dátových rámcov;

• Analyzujte latenciu a jitter monitorovaním paketov VoIP;

• Analyzujte latenciu monitorovaním sieťových interakcií;

• Zistiť anomálie monitorovaním sieťovej prevádzky.

SPAN Prevádzka môže byť lokálne zrkadlená na iné porty na rovnakom zdrojovom zariadení alebo vzdialene zrkadlená na iné sieťové zariadenia susediace s vrstvou 2 zdrojového zariadenia (RSPAN).

Dnes budeme hovoriť o technológii vzdialeného monitorovania internetovej prevádzky s názvom ERSPAN (Encapsulated Remote Switch Port Analyzer), ktorá môže byť prenášaná cez tri vrstvy IP. Toto je rozšírenie SPAN na Encapsulated Remote.

Základné princípy fungovania ERSPANu

Najprv sa pozrime na funkcie ERSPAN:

• Kópia paketu zo zdrojového portu je odoslaná na cieľový server na analýzu cez Generic Routing Encapsulation (GRE). Fyzické umiestnenie servera nie je obmedzené.

• Pomocou funkcie User Defined Field (UDF) čipu sa vykoná akýkoľvek posun od 1 do 126 bajtov na základe základnej domény prostredníctvom rozšíreného zoznamu na expertnej úrovni a kľúčové slová relácie sa priradia na realizáciu vizualizácie. relácie, ako napríklad TCP trojcestný handshake a RDMA relácia;

• Podpora nastavenia vzorkovacej frekvencie;

• Podporuje dĺžku zachytenia paketov (Packet Slicing), čím znižuje tlak na cieľový server.

Vďaka týmto funkciám môžete pochopiť, prečo je dnes ERSPAN nevyhnutným nástrojom na monitorovanie sietí vo vnútri dátových centier.

Hlavné funkcie ERSPANu možno zhrnúť do dvoch aspektov:

• Viditeľnosť relácie: Použite ERSPAN na zhromaždenie všetkých vytvorených nových relácií TCP a RDMA (Remote Direct Memory Access) na back-end server na zobrazenie;

• Riešenie problémov so sieťou: Zachytáva sieťovú prevádzku na analýzu porúch, keď sa vyskytne problém so sieťou.

Za týmto účelom musí zdrojové sieťové zariadenie odfiltrovať prenos, ktorý používateľa zaujíma, z masívneho dátového toku, vytvoriť kópiu a zapuzdreť každý rámec kópie do špeciálneho „kontajnera superrámca“, ktorý nesie dostatok dodatočných informácií, aby mohol byť správne smerované do prijímacieho zariadenia. Okrem toho umožní prijímaciemu zariadeniu extrahovať a úplne obnoviť pôvodnú monitorovanú prevádzku.

Prijímajúcim zariadením môže byť iný server, ktorý podporuje dekapsuláciu paketov ERSPAN.

Zapuzdrenie paketov ERSPAN

Analýza typu a formátu balíka ERSPAN

Pakety ERSPAN sú zapuzdrené pomocou GRE a posielané do akéhokoľvek cieľa s adresou IP cez Ethernet. ERSPAN sa v súčasnosti používa hlavne v sieťach IPv4 a podpora IPv6 bude požiadavkou v budúcnosti.

Pre všeobecnú štruktúru zapuzdrenia ERSAPN je nasledovné zachytávanie zrkadlových paketov ICMP paketov:

enkapsulačná štruktúra ERSAPN

Protokol ERSPAN sa vyvíjal počas dlhého obdobia a so zdokonaľovaním jeho schopností vzniklo niekoľko verzií, ktoré sa nazývajú „typy ERSPAN“. Rôzne typy majú rôzne formáty hlavičky rámca.

Je definovaný v prvom poli Verzia hlavičky ERSPAN:

Verzia hlavičky ERSPAN

Okrem toho pole Typ protokolu v hlavičke GRE tiež označuje interný typ ERSPAN. Pole Typ protokolu 0x88BE označuje ERSPAN Typ II a 0x22EB označuje ERSPAN Typ III.

1. Typ I

Rám ERSPAN typu I zapuzdruje IP a GRE priamo nad hlavičkou pôvodného zrkadlového rámu. Toto zapuzdrenie pridá 38 bajtov cez pôvodný rámec: 14 (MAC) + 20 (IP) + 4 (GRE). Výhodou tohto formátu je, že má kompaktnú veľkosť hlavičky a znižuje náklady na prenos. Pretože však nastavuje polia GRE Flag a Version na 0, nenesie žiadne rozšírené polia a typ I nie je široko používaný, takže nie je potrebné viac rozširovať.

Formát hlavičky GRE typu I je nasledujúci:

Formát hlavičky GRE I

2. Typ II

V type II sú polia C, R, K, S, S, Recur, Flags a Version v hlavičke GRE všetky 0 okrem poľa S. Preto sa pole Poradové číslo zobrazuje v hlavičke GRE typu II. To znamená, že typ II môže zabezpečiť poradie prijímania paketov GRE, takže veľký počet neobjednávkových paketov GRE nemôže byť triedený v dôsledku chyby siete.

Formát hlavičky GRE typu II je nasledujúci:

Formát hlavičky GRE II

Okrem toho formát rámca ERSPAN Type II pridáva 8-bajtovú hlavičku ERSPAN medzi hlavičku GRE a pôvodný zrkadlový rámec.

Formát hlavičky ERSPAN pre typ II je nasledujúci:

Formát hlavičky ERSPAN II

Nakoniec, hneď za pôvodným snímkom je štandardný 4-bajtový ethernetový kód cyklickej kontroly redundancie (CRC).

CRC

Stojí za zmienku, že pri implementácii zrkadlový rámec neobsahuje pole FCS pôvodného rámca, namiesto toho sa prepočítava nová hodnota CRC na základe celého ERSPAN. To znamená, že prijímacie zariadenie nemôže overiť správnosť CRC pôvodného rámca a môžeme len predpokladať, že sa zrkadlia len nepoškodené rámce.

3. Typ III

Typ III predstavuje väčšiu a flexibilnejšiu kompozitnú hlavičku na riešenie čoraz zložitejších a rôznorodejších scenárov monitorovania siete, vrátane, ale nie výlučne, správy siete, detekcie narušenia, analýzy výkonu a oneskorenia a ďalších. Tieto scény potrebujú poznať všetky pôvodné parametre zrkadlového rámu a zahŕňajú tie, ktoré nie sú prítomné v samotnom originálnom ráme.

Kompozitná hlavička ERSPAN typu III obsahuje povinnú 12-bajtovú hlavičku a voliteľnú 8-bajtovú podhlavičku špecifickú pre platformu.

Formát hlavičky ERSPAN pre typ III je nasledujúci:

Formát hlavičky ERSPAN III

Opäť po pôvodnom zrkadlovom ráme je 4-bajtový CRC.

CRC

Ako je možné vidieť z formátu hlavičky typu III, okrem zachovania polí Ver, VLAN, COS, T a Session ID na základe typu II sa pridáva mnoho špeciálnych polí, ako napríklad:

• BSO: používa sa na označenie integrity zaťaženia dátových rámcov prenášaných cez ERSPAN. 00 je dobrý rám, 11 je zlý rám, 01 je krátky rám, 11 je veľký rám;

• Časová pečiatka: exportuje sa z hardvérových hodín synchronizovaných so systémovým časom. Toto 32-bitové pole podporuje aspoň 100 mikrosekúnd granularity časovej pečiatky;

• Typ rámca (P) a typ rámca (FT): prvý sa používa na určenie, či ERSPAN prenáša rámce protokolu Ethernet (rámce PDU), a druhý sa používa na určenie, či ERSPAN prenáša rámce Ethernet alebo pakety IP.

• HW ID: jedinečný identifikátor ERSPAN enginu v rámci systému;

• Gra (zrnitosť časovej pečiatky): Určuje zrnitosť časovej pečiatky. Napríklad 00B predstavuje 100 mikrosekundovú granularitu, 01B 100 nanosekundovú granularitu, 10B IEEE 1588 granularitu a 11B vyžaduje na dosiahnutie vyššej granularity podhlavičky špecifické pre platformu.

• Platf ID verzus informácie špecifické pre platformu: Polia s informáciami špecifickými pre platformu majú rôzny formát a obsah v závislosti od hodnoty ID platformy.

Index ID portu

Treba poznamenať, že rôzne polia hlavičky podporované vyššie môžu byť použité v bežných ERSPAN aplikáciách, dokonca aj pri zrkadlení chybových rámcov alebo rámcov BPDU, pri zachovaní pôvodného balíka Trunk a VLAN ID. Okrem toho môžu byť počas zrkadlenia do každého rámca ERSPAN pridané kľúčové informácie o časovej pečiatke a ďalšie informačné polia.

S vlastnými hlavičkami funkcií ERSPAN môžeme dosiahnuť presnejšiu analýzu sieťovej prevádzky a potom jednoducho pripojiť zodpovedajúci ACL do procesu ERSPAN tak, aby zodpovedal sieťovej prevádzke, o ktorú máme záujem.

ERSPAN implementuje viditeľnosť relácie RDMA

Zoberme si príklad použitia technológie ERSPAN na dosiahnutie vizualizácie relácie RDMA v scenári RDMA:

RDMA: Vzdialený priamy prístup do pamäte umožňuje sieťovému adaptéru servera A čítať a zapisovať do pamäte servera B pomocou inteligentných kariet sieťového rozhrania (inics) a prepínačov, čím sa dosahuje vysoká šírka pásma, nízka latencia a nízke využitie zdrojov. Je široko používaný v scenároch veľkých dát a vysokovýkonných distribuovaných úložísk.

RoCEv2: RDMA over Converged Ethernet Verzia 2. Údaje RDMA sú zapuzdrené v hlavičke UDP. Číslo cieľového portu je 4791.

Každodenná prevádzka a údržba RDMA si vyžaduje zhromažďovanie množstva údajov, ktoré sa používajú na zhromažďovanie denných referenčných čiar hladiny vody a abnormálnych alarmov, ako aj základ pre lokalizáciu abnormálnych problémov. V kombinácii s ERSPAN je možné rýchlo zachytiť veľké množstvo údajov, aby sa získali údaje o kvalite preposielania v mikrosekundách a stav interakcie protokolu prepínacieho čipu. Prostredníctvom štatistiky a analýzy údajov je možné získať komplexné hodnotenie a predikciu kvality zasielania RDMA.

Na dosiahnutie vizualizácie relácie RDAM potrebujeme, aby ERSPAN pri zrkadlení návštevnosti priraďoval kľúčové slová pre relácie interakcie RDMA a musíme použiť expertný rozšírený zoznam.

Definícia poľa zhody rozšíreného zoznamu na expertnej úrovni:

UDF pozostáva z piatich polí: kľúčové slovo UDF, základné pole, pole posunu, pole hodnoty a pole masky. Obmedzené kapacitou hardvérových vstupov je možné použiť celkovo osem UDF. Jeden UDF môže zodpovedať maximálne dvom bajtom.

• Kľúčové slovo UDF: UDF1... UDF8 Obsahuje osem kľúčových slov zodpovedajúcej domény UDF

• Základné pole: identifikuje počiatočnú pozíciu poľa zhody UDF. Nasledujúce

L4_header (platí pre RG-S6520-64CQ)

L5_header (pre RG-S6510-48VS8Cq)

• Offset: označuje posun na základe základného poľa. Hodnota sa pohybuje od 0 do 126

• Pole hodnoty: zodpovedajúca hodnota. Môže sa použiť spolu s poľom masky na konfiguráciu špecifickej hodnoty, ktorá sa má priradiť. Platný bit sú dva bajty

• Pole masky: maska, platný bit sú dva bajty

(Pridať: Ak sa v rovnakom poli zhody UDF použije viacero záznamov, základné a posunuté polia musia byť rovnaké.)

Dva kľúčové pakety spojené so stavom relácie RDMA sú paket oznámenia o preťažení (CNP) a negatívne potvrdenie (NAK):

Prvý generuje prijímač RDMA po prijatí správy ECN odoslanej prepínačom (keď eout Buffer dosiahne prahovú hodnotu), ktorá obsahuje informácie o toku alebo QP spôsobujúcich preťaženie. Posledne uvedené sa používa na označenie, že prenos RDMA má správu s odpoveďou na stratu paketov.

Pozrime sa, ako priradiť tieto dve správy pomocou rozšíreného zoznamu na úrovni expertov:

RDMA CNP

expertný prístupový zoznam rozšírený rdma

allow udp any any any any eq 4791udf 1 l4_header 8 0x8100 0xFF00(Zodpovedajúce RG-S6520-64CQ)

allow udp any any any any eq 4791udf 1 l5_header 0 0x8100 0xFF00(Zodpovedajúce RG-S6510-48VS8CQ)

RDMA CNP 2

expertný prístupový zoznam rozšírený rdma

allow udp any any any any eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Zodpovedajúce RG-S6520-64CQ)

allow udp any any any any eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Zodpovedajúce RG-S6510-48VS8CQ)

Ako posledný krok môžete vizualizovať reláciu RDMA pripojením zoznamu expertných rozšírení do príslušného procesu ERSPAN.

Napíšte do posledného

ERSPAN je jedným z nevyhnutných nástrojov v dnešných čoraz väčších sieťach dátových centier, čoraz zložitejšej sieťovej prevádzke a čoraz sofistikovanejších požiadavkách na prevádzku a údržbu siete.

S rastúcim stupňom automatizácie O&M sú technológie ako Netconf, RESTconf a gRPC obľúbené medzi študentmi O&M v sieťovom automatickom O&M. Používanie gRPC ako základného protokolu na odosielanie spätného zrkadlového prenosu má tiež mnoho výhod. Napríklad na základe protokolu HTTP/2 môže podporovať streaming push mechanizmus pod rovnakým pripojením. S kódovaním ProtoBuf je veľkosť informácií znížená na polovicu v porovnaní s formátom JSON, vďaka čomu je prenos dát rýchlejší a efektívnejší. Len si predstavte, že ak použijete ERSPAN na zrkadlenie zainteresovaných streamov a potom ich odošlete na analytický server na gRPC, výrazne to zlepší schopnosť a efektivitu automatickej prevádzky a údržby siete?


Čas odoslania: 10. máj 2022