Najbežnejším nástrojom na monitorovanie a riešenie problémov v sieti je dnes Switch Port Analyzer (SPAN), známy aj ako zrkadlenie portov. Umožňuje nám monitorovať sieťovú prevádzku v režime bypass out of band bez zasahovania do služieb v aktívnej sieti a odosiela kópiu monitorovanej prevádzky na lokálne alebo vzdialené zariadenia vrátane Sniffer, IDS alebo iných typov nástrojov na analýzu siete.
Niektoré typické použitia sú:
• Riešenie problémov so sieťou sledovaním riadiacich/dátových rámcov;
• Analyzovať latenciu a jitter monitorovaním VoIP paketov;
• Analyzovať latenciu monitorovaním sieťových interakcií;
• Zisťujte anomálie monitorovaním sieťovej prevádzky.
Prevádzka SPAN môže byť lokálne zrkadlená do iných portov na tom istom zdrojovom zariadení alebo vzdialene zrkadlená do iných sieťových zariadení susediacich s vrstvou 2 zdrojového zariadenia (RSPAN).
Dnes si povieme o technológii monitorovania vzdialenej internetovej prevádzky s názvom ERSPAN (Encapsulated Remote Switch Port Analyzer), ktorá dokáže prenášať dáta cez tri vrstvy IP. Ide o rozšírenie SPAN na Encapsulated Remote.
Základné princípy fungovania ERSPANu
Najprv sa pozrime na funkcie ERSPANu:
• Kópia paketu zo zdrojového portu sa odošle na cieľový server na parsovanie prostredníctvom generického zapuzdrenia smerovania (GRE). Fyzické umiestnenie servera nie je obmedzené.
• Pomocou funkcie UDF (User Defined Field) čipu sa akýkoľvek posun od 1 do 126 bajtov vykoná na základe základnej domény prostredníctvom rozšíreného zoznamu na expertnej úrovni a kľúčové slová relácie sa porovnajú na realizáciu vizualizácie relácie, ako napríklad trojcestné nadviazanie spojenia TCP a relácia RDMA;
• Podpora nastavenia vzorkovacej frekvencie;
• Podporuje dĺžku zachytenia paketov (rozdelenie paketov), čím sa znižuje záťaž na cieľový server.
Vďaka týmto funkciám môžete pochopiť, prečo je ERSPAN dnes nevyhnutným nástrojom na monitorovanie sietí v dátových centrách.
Hlavné funkcie ERSPANu možno zhrnúť do dvoch aspektov:
• Viditeľnosť relácie: Použite ERSPAN na zhromaždenie všetkých vytvorených nových relácií TCP a vzdialeného priameho prístupu do pamäte (RDMA) na back-end serveri na zobrazenie;
• Riešenie problémov so sieťou: Zachytáva sieťovú prevádzku na analýzu porúch, keď sa vyskytne problém so sieťou.
Aby to zdrojové sieťové zariadenie dosiahlo, musí z rozsiahleho dátového toku odfiltrovať prevádzku, ktorá zaujíma používateľa, vytvoriť kópiu a zapuzdriť každý kopírovaný rámec do špeciálneho „superrámcového kontajnera“, ktorý obsahuje dostatok dodatočných informácií, aby mohol byť správne smerovaný do prijímacieho zariadenia. Okrem toho musí prijímajúcemu zariadeniu umožniť extrahovať a úplne obnoviť pôvodnú monitorovanú prevádzku.
Prijímajúcim zariadením môže byť iný server, ktorý podporuje dekapsuláciu paketov ERSPAN.
Analýza typov a formátov balíkov ERSPAN
Pakety ERSPAN sú zapuzdrené pomocou GRE a preposielané na akýkoľvek cieľ s IP adresou cez Ethernet. ERSPAN sa v súčasnosti používa hlavne v sieťach IPv4 a podpora IPv6 bude v budúcnosti nevyhnutná.
Pre všeobecnú štruktúru zapuzdrenia ERSAPN je nasledujúci postup zrkadlového zachytávania paketov ICMP:
Protokol ERSPAN sa vyvíjal dlhý čas a s rozširovaním jeho možností vzniklo niekoľko verzií, nazývaných „typy ERSPAN“. Rôzne typy majú rôzne formáty záhlaví rámcov.
Je definovaná v prvom poli Verzia v hlavičke ERSPAN:
Okrem toho pole Typ protokolu v hlavičke GRE tiež označuje interný typ ERSPAN. Pole Typ protokolu 0x88BE označuje ERSPAN typ II a 0x22EB označuje ERSPAN typ III.
1. Typ I
Rámec ERSPAN typu I zapuzdruje IP a GRE priamo cez hlavičku pôvodného zrkadlového rámca. Toto zapuzdrenie pridáva 38 bajtov nad pôvodný rámec: 14(MAC) + 20 (IP) + 4(GRE). Výhodou tohto formátu je, že má kompaktnú veľkosť hlavičky a znižuje náklady na prenos. Keďže však nastavuje polia GRE Flag a Version na 0, neobsahuje žiadne rozšírené polia a typ I sa bežne nepoužíva, takže nie je potrebné ho ďalej rozširovať.
Formát hlavičky GRE typu I je nasledovný:
2. Typ II
V type II sú polia C, R, K, S, S, Recur, Flags a Version v hlavičke GRE všetky 0 okrem poľa S. Preto sa v hlavičke GRE typu II zobrazuje pole Sequence Number. To znamená, že typ II dokáže zabezpečiť poradie prijímania paketov GRE, takže veľký počet paketov GRE mimo poradia nie je možné zoradiť kvôli chybe siete.
Formát hlavičky GRE typu II je nasledovný:
Okrem toho formát rámca ERSPAN typu II pridáva 8-bajtovú hlavičku ERSPAN medzi hlavičku GRE a pôvodný zrkadlový rámec.
Formát záhlavia ERSPAN pre typ II je nasledovný:
Nakoniec, bezprostredne za pôvodným obrazovým rámcom, nasleduje štandardný 4-bajtový kód cyklickej redundancie (CRC) siete Ethernet.
Stojí za zmienku, že v implementácii zrkadlový rámec neobsahuje pole FCS pôvodného rámca, namiesto toho sa prepočíta nová hodnota CRC na základe celého ERSPAN. To znamená, že prijímacie zariadenie nemôže overiť správnosť CRC pôvodného rámca a môžeme len predpokladať, že sa zrkadlia iba nepoškodené rámce.
3. Typ III
Typ III zavádza väčšiu a flexibilnejšiu kompozitnú hlavičku na riešenie čoraz komplexnejších a rozmanitejších scenárov monitorovania siete vrátane, ale nie výlučne, správy siete, detekcie narušení, analýzy výkonu a oneskorenia a ďalších. Tieto scény musia poznať všetky pôvodné parametre zrkadlového rámca a zahŕňať aj tie, ktoré nie sú prítomné v samotnom pôvodnom rámci.
Kompozitná hlavička ERSPAN typu III obsahuje povinnú 12-bajtovú hlavičku a voliteľnú 8-bajtovú podhlavičku špecifickú pre platformu.
Formát záhlavia ERSPAN pre typ III je nasledovný:
Opäť, za pôvodným zrkadlovým rámcom je 4-bajtový CRC.
Ako je zrejmé z formátu hlavičky typu III, okrem zachovania polí Ver, VLAN, COS, T a Session ID na základe typu II sa pridáva mnoho špeciálnych polí, ako napríklad:
• BSO: používa sa na označenie integrity načítania dátových rámcov prenášaných cez ERSPAN. 00 je dobrý rámec, 11 je zlý rámec, 01 je krátky rámec, 11 je veľký rámec;
• Časová pečiatka: exportovaná z hardvérových hodín synchronizovaných so systémovým časom. Toto 32-bitové pole podporuje granularitu časovej pečiatky aspoň 100 mikrosekúnd;
• Typ rámca (P) a typ rámca (FT): prvý sa používa na určenie, či ERSPAN prenáša rámce ethernetového protokolu (rámce PDU) a druhý sa používa na určenie, či ERSPAN prenáša rámce ethernetového protokolu alebo IP pakety.
• HW ID: jedinečný identifikátor enginu ERSPAN v systéme;
• Gra (Granularita časovej pečiatky): Určuje granularitu časovej pečiatky. Napríklad 00B predstavuje granularitu 100 mikrosekúnd, 01B granularitu 100 nanosekúnd, 10B granularitu IEEE 1588 a 11B vyžaduje podhlavičky špecifické pre platformu na dosiahnutie vyššej granularity.
• ID platformy vs. informácie špecifické pre platformu: Polia s informáciami špecifickými pre platformu majú rôzne formáty a obsahy v závislosti od hodnoty ID platformy.
Treba poznamenať, že rôzne vyššie uvedené polia záhlaví sa dajú použiť v bežných aplikáciách ERSPAN, dokonca aj pri zrkadlení chybových rámcov alebo rámcov BPDU, pričom sa zachová pôvodný balík Trunk a ID VLAN. Okrem toho je možné počas zrkadlenia do každého rámca ERSPAN pridať informácie o časovej pečiatke kľúča a ďalšie informačné polia.
Vďaka vlastným hlavičkám funkcií ERSPAN môžeme dosiahnuť precíznejšiu analýzu sieťovej prevádzky a potom jednoducho pripojiť zodpovedajúci ACL v procese ERSPAN tak, aby zodpovedal sieťovej prevádzke, ktorá nás zaujíma.
ERSPAN implementuje viditeľnosť relácie RDMA
Zoberme si príklad použitia technológie ERSPAN na dosiahnutie vizualizácie relácie RDMA v scenári RDMA:
RDMAVzdialený priamy prístup k pamäti umožňuje sieťovému adaptéru servera A čítať a zapisovať do pamäte servera B pomocou inteligentných sieťových kariet (inic) a prepínačov, čím sa dosahuje vysoká šírka pásma, nízka latencia a nízke využitie zdrojov. Široko sa používa v scenároch veľkých dát a vysokovýkonného distribuovaného úložiska.
RoCEv2RDMA cez konvergovaný Ethernet verzie 2. Dáta RDMA sú zapuzdrené v hlavičke UDP. Číslo cieľového portu je 4791.
Denná prevádzka a údržba RDMA si vyžaduje zhromažďovanie veľkého množstva údajov, ktoré sa používajú na zhromažďovanie denných referenčných čiar hladiny vody a abnormálnych alarmov, ako aj na lokalizáciu abnormálnych problémov. V kombinácii s ERSPAN je možné rýchlo zachytiť obrovské množstvo údajov na získanie údajov o kvalite presmerovania v mikrosekundových intervaloch a stavu interakcie protokolu prepínacieho čipu. Prostredníctvom štatistík a analýzy údajov je možné získať posúdenie a predpoveď kvality presmerovania RDMA od začiatku do konca.
Na dosiahnutie vizualizácie relácie RDAM potrebujeme ERSPAN na porovnávanie kľúčových slov pre relácie interakcie RDMA pri zrkadlení prevádzky a musíme použiť rozšírený zoznam expertov.
Definícia poľa zhody rozšíreného zoznamu na expertnej úrovni:
UDF pozostáva z piatich polí: kľúčové slovo UDF, základné pole, pole offsetu, pole hodnoty a pole masky. Vzhľadom na kapacitu hardvérových položiek je možné použiť celkovo osem UDF. Jedna UDF môže zodpovedať maximálne dvom bajtom.
• Kľúčové slovo UDF: UDF1... UDF8 Obsahuje osem kľúčových slov zhodnej domény UDF
• Základné pole: identifikuje počiatočnú pozíciu poľa zhody UDF. Nasledujúce
L4_hlavička (platí pre RG-S6520-64CQ)
L5_hlavička (pre RG-S6510-48VS8Cq)
• Offset: označuje ofset na základe základného poľa. Hodnota sa pohybuje od 0 do 126
• Pole Hodnota: zhodná hodnota. Môže sa použiť spolu s poľom masky na konfiguráciu konkrétnej hodnoty, ktorá sa má zhodovať. Platný bit sú dva bajty
• Pole masky: maska, platný bit sú dva bajty
(Doplnenie: Ak sa v tom istom poli UDF použije viacero položiek, základné a posunuté polia musia byť rovnaké.)
Dva kľúčové pakety spojené so stavom relácie RDMA sú paket oznámenia o preťažení (CNP) a negatívne potvrdenie (NAK):
Prvý generuje prijímač RDMA po prijatí správy ECN odoslanej prepínačom (keď vyrovnávacia pamäť eout dosiahne prahovú hodnotu), ktorá obsahuje informácie o toku alebo QP spôsobujúcom preťaženie. Druhý sa používa na indikáciu, že prenos RDMA obsahuje správu s odpoveďou na stratu paketov.
Pozrime sa, ako priradiť tieto dve správy pomocou rozšíreného zoznamu na expertnej úrovni:
expertný zoznam prístupov – rozšírený rdma
povolenie udp ľubovoľné ľubovoľné ľubovoľné rovnica 4791udf 1 l4_hlavička 8 0x8100 0xFF00(Zodpovedá RG-S6520-64CQ)
povolenie udp ľubovoľné ľubovoľné ľubovoľné rovnica 4791udf 1 l5_hlavička 0 0x8100 0xFF00(Zodpovedá RG-S6510-48VS8CQ)
expertný zoznam prístupov – rozšírený rdma
povolenie udp ľubovoľné ľubovoľné ľubovoľné rovnica 4791udf 1 hlavička_l4 8 0x1100 0xFF00 udf 2 hlavička_l4 20 0x6000 0xFF00(Zodpovedá RG-S6520-64CQ)
povolenie udp ľubovoľné ľubovoľné ľubovoľné rovnica 4791udf 1 hlavička_l5 0 0x1100 0xFF00 udf 2 hlavička_l5 12 0x6000 0xFF00(Zodpovedá RG-S6510-48VS8CQ)
Ako posledný krok si môžete vizualizovať reláciu RDMA pripojením zoznamu expertných rozšírení do príslušného procesu ERSPAN.
Napíšte do posledného
ERSPAN je jedným z nevyhnutných nástrojov v dnešných čoraz väčších sieťach dátových centier, čoraz komplexnejšej sieťovej prevádzke a čoraz sofistikovanejších požiadavkách na prevádzku a údržbu siete.
S rastúcim stupňom automatizácie prevádzky a údržby (O&M) sú technológie ako Netconf, RESTconf a gRPC populárne medzi študentmi O&M v oblasti automatickej prevádzky a údržby sietí. Použitie gRPC ako základného protokolu na odosielanie zrkadlovej prevádzky má tiež mnoho výhod. Napríklad, na základe protokolu HTTP/2 môže podporovať mechanizmus streamovania push v rámci toho istého pripojenia. Vďaka kódovaniu ProtoBuf sa veľkosť informácií v porovnaní s formátom JSON zmenší na polovicu, čím sa prenos údajov zrýchli a zefektívni. Len si predstavte, že ak použijete ERSPAN na zrkadlenie zainteresovaných streamov a potom ich odošlete na analytický server na gRPC, výrazne to zlepší schopnosť a efektivitu automatickej prevádzky a údržby siete?
Čas uverejnenia: 10. mája 2022
