Tänapäeval on võrgu jälgimise ja tõrkeotsingu kõige levinum tööriist Switch Port Analyzer (SPAN), tuntud ka kui pordi peegeldamine. See võimaldab meil jälgida võrguliiklust möödaviigurežiimis väljaspool riba, ilma et see segaks aktiivse võrgu teenuseid, ning saadab jälgitava liikluse koopia kohalikele või kaugseadmetele, sealhulgas Snifferile, IDS-ile või muud tüüpi võrguanalüüsi tööriistadele.
Mõned tüüpilised kasutusviisid on:
• Võrguprobleemide tõrkeotsing juhtimis-/andmekaadrite jälgimise abil;
• Analüüsige latentsust ja värinat VoIP-pakettide jälgimise abil;
• Analüüsige latentsust võrgu interaktsioonide jälgimisega;
• Tuvastage anomaaliaid võrguliikluse jälgimise abil.
SPAN-liiklust saab lokaalselt peegeldada sama allikseadme teistele portidele või kaugelt peegeldada teistele allikseadme 2. kihi (RSPAN) kõrval asuvatele võrguseadmetele.
Täna räägime interneti kaugjälgimistehnoloogiast nimega ERSPAN (Encapsulated Remote Switch Port Analyzer), mida saab edastada kolme IP-kihi kaudu. See on SPAN-i laiendus Encapsulated Remote'ile.
ERSPANi põhilised tööpõhimõtted
Kõigepealt vaatame ERSPANi funktsioone:
• Lähtepordi paketi koopia saadetakse sihtserverisse parsimiseks üldise marsruutimise kapseldamise (GRE) abil. Serveri füüsiline asukoht ei ole piiratud.
• Kiibi kasutaja määratletud välja (UDF) funktsiooni abil teostatakse baasdomeeni põhjal eksperttaseme laiendatud loendi kaudu mis tahes nihe vahemikus 1 kuni 126 baiti ning seansi märksõnad sobitatakse seansi visualiseerimiseks, näiteks TCP kolmepoolse käepigistuse ja RDMA seansi puhul;
• Toetage diskreetimissageduse seadistamist;
• Toetab pakettide pealtkuulamise pikkust (paketi viilutamine), vähendades sihtserveri koormust.
Nende funktsioonide abil saate aru, miks ERSPAN on tänapäeval andmekeskuste võrkude jälgimiseks oluline tööriist.
ERSPANi põhifunktsioone saab kokku võtta kahes aspektis:
• Seansi nähtavus: Kasutage ERSPAN-i, et koguda kõik loodud uued TCP ja kaug-otsemälupöörduse (RDMA) seansid taustserverisse kuvamiseks;
• Võrgu tõrkeotsing: salvestab võrguliiklust veaanalüüsiks võrguprobleemi ilmnemisel.
Selleks peab allikvõrgu seade massiivsest andmevoost välja filtreerima kasutajale huvipakkuva liikluse, tegema koopia ja kapseldama iga koopiakaadri spetsiaalsesse "superkaadri konteinerisse", mis sisaldab piisavalt lisateavet, et seda saaks õigesti vastuvõtvasse seadmesse suunata. Lisaks peab vastuvõtval seadmel olema võimalik algne jälgitav liiklus eraldada ja täielikult taastada.
Vastuvõttev seade võib olla teine server, mis toetab ERSPAN-pakettide dekapseldamist.
ERSPANi tüübi ja paketi vormingu analüüs
ERSPAN-paketid kapseldatakse GRE abil ja edastatakse Etherneti kaudu mis tahes IP-aadressiga sihtkohta. ERSPAN-i kasutatakse praegu peamiselt IPv4-võrkudes ja tulevikus on IPv6 tugi nõutav.
ERSAPN-i üldise kapseldusstruktuuri jaoks on järgnev ICMP-pakettide peegelpakettide püüdmise näide:
ERSPAN-protokolli on arendatud pika aja jooksul ning selle võimaluste täiustumisega on moodustatud mitu versiooni, mida nimetatakse "ERSPAN-tüüpideks". Erinevatel tüüpidel on erinevad kaadri päise vormingud.
See on defineeritud ERSPAN-päise esimesel versiooniväljal:
Lisaks näitab GRE päises olev protokolli tüübi väli ka sisemist ERSPAN-tüüpi. Protokolli tüübi väli 0x88BE näitab ERSPAN II tüüpi ja 0x22EB ERSPAN III tüüpi.
1. I tüüp
I tüüpi ERSPAN-kaader kapseldab IP ja GRE otse algse peegelkaadri päisesse. See kapseldamine lisab algsele kaadrile 38 baiti: 14(MAC) + 20(IP) + 4(GRE). Selle vormingu eeliseks on kompaktne päise suurus ja edastuskulude vähenemine. Kuna see aga seab GRE lipu ja versiooni väljad väärtusele 0, ei sisalda see laiendatud välju ja I tüüpi kaadrit ei kasutata laialdaselt, seega pole vaja rohkem laiendada.
I tüübi GRE päisevorming on järgmine:
2. II tüüp
II tüübi puhul on GRE päises olevad väljad C, R, K, S, S, Recur, Flags ja Version kõik 0, välja arvatud väli S. Seetõttu kuvatakse II tüübi GRE päises väli Sequence Number. See tähendab, et II tüüp suudab tagada GRE pakettide vastuvõtmise järjekorra, nii et suurt hulka vales järjekorras GRE pakette ei saa võrgu vea tõttu sortida.
II tüübi GRE päisevorming on järgmine:
Lisaks lisab ERSPAN II tüüpi kaadrivorming GRE päise ja algse peegeldatud kaadri vahele 8-baidise ERSPAN päise.
II tüübi ERSPAN-päise vorming on järgmine:
Lõpuks, kohe pärast algset pildikaadrit, on standardne 4-baidine Etherneti tsüklilise redundantsuse kontrolli (CRC) kood.
Tasub märkida, et implementatsioonis ei sisalda peegelkaader algse kaadri FCS-välja, vaid uus CRC-väärtus arvutatakse kogu ERSPAN-i põhjal uuesti. See tähendab, et vastuvõttev seade ei saa algse kaadri CRC-õigsust kontrollida ja me saame ainult eeldada, et peegeldatakse ainult rikkumata kaadreid.
3. III tüüp
III tüüp tutvustab suuremat ja paindlikumat liitpäist, et tegeleda üha keerukamate ja mitmekesisemate võrgu jälgimise stsenaariumidega, sealhulgas, kuid mitte ainult, võrguhalduse, sissetungimise tuvastamise, jõudluse ja viivituse analüüsi ja muuga. Need stseenid peavad teadma kõiki peegelkaadri algseid parameetreid ja sisaldama neid, mis algses kaadris endas puuduvad.
ERSPAN III tüüpi liitpäis sisaldab kohustuslikku 12-baidist päist ja valikulist 8-baidist platvormipõhist alapäist.
III tüübi ERSPAN-päise formaat on järgmine:
Jällegi, pärast algset peegelraami on 4-baidine CRC.
Nagu III tüübi päisevormingust näha, on lisaks Ver, VLAN, COS, T ja Session ID väljade säilitamisele II tüübi põhjal lisatud ka palju erivälju, näiteks:
• BSO: kasutatakse ERSPAN-i kaudu edastatavate andmekaadrite laadimise terviklikkuse näitamiseks. 00 on hea kaader, 11 on halb kaader, 01 on lühike kaader, 11 on suur kaader;
• Ajatempel: eksporditakse riistvarakellast, mis on sünkroniseeritud süsteemiajaga. See 32-bitine väli toetab vähemalt 100 mikrosekundilist ajatempli detailsust;
• Kaadritüüp (P) ja kaadritüüp (FT): esimest kasutatakse selle määramiseks, kas ERSPAN kannab Etherneti protokolli kaadreid (PDU kaadreid), ja teist kasutatakse selle määramiseks, kas ERSPAN kannab Etherneti kaadreid või IP-pakette.
• HW ID: ERSPAN-mootori unikaalne identifikaator süsteemis;
• Gra (Timestamp Granularity): Määrab ajatempli detailsuse. Näiteks 00B tähistab 100 mikrosekundilist detailsust, 01B 100 nanosekundilist detailsust, 10B IEEE 1588 detailsust ja 11B nõuab suurema detailsuse saavutamiseks platvormispetsiifilisi alapealkirju.
• Platvormi ID vs. platvormispetsiifiline teave: platvormispetsiifiliste teabeväljade vorming ja sisu on platvormi ID väärtusest olenevalt erinevad.
Tuleb märkida, et ülaltoodud toetatud erinevaid päisevälju saab kasutada tavalistes ERSPAN-rakendustes, isegi veakaadrite või BPDU-kaadrite peegeldamisel, säilitades samal ajal algse Trunk-paketi ja VLAN-i ID. Lisaks saab peegeldamise ajal igale ERSPAN-kaadrile lisada võtme ajatempli teavet ja muid teabevälju.
ERSPANi enda funktsioonide päiste abil saame saavutada võrguliikluse täpsema analüüsi ja seejärel lihtsalt paigaldada vastava ACL-i ERSPANi protsessi, et see vastaks meid huvitavale võrguliiklusele.
ERSPAN rakendab RDMA seansi nähtavust
Võtame näite ERSPAN-tehnoloogia kasutamisest RDMA seansi visualiseerimiseks RDMA stsenaariumis:
RDMAKaugjuurdepääs otsemälule võimaldab serveri A võrguadapteril lugeda ja kirjutada serveri B mälu, kasutades intelligentseid võrguliidesekaarte (INIC-sid) ja lüliteid, saavutades suure ribalaiuse, väikese latentsuse ja madala ressursikasutuse. Seda kasutatakse laialdaselt suurandmete ja suure jõudlusega hajutatud salvestusstsenaariumides.
RoCEv2RDMA üle konvergeeritud Etherneti versiooni 2. RDMA andmed on kapseldatud UDP päisesse. Sihtkoha pordi number on 4791.
RDMA igapäevane käitamine ja hooldus nõuab suure hulga andmete kogumist, mida kasutatakse igapäevaste veetaseme võrdlusjoonte ja ebanormaalsete häirete kogumiseks, samuti ebanormaalsete probleemide leidmise aluseks. Koos ERSPANiga saab kiiresti koguda suuri andmeid, et saada mikrosekundilisi edastuskvaliteedi andmeid ja lülituskiibi protokolli interaktsiooni olekut. Andmestatistika ja -analüüsi abil saab RDMA edastuskvaliteedi hinnanguid ja ennustusi kogu ulatuses.
RDAM-seansi visualiseerimiseks vajame liikluse peegeldamisel RDMA interaktsiooniseansside märksõnade sobitamiseks ERSPAN-i ja peame kasutama ekspertide laiendatud loendit.
Eksperttaseme laiendatud loendi vastevälja definitsioon:
UDF koosneb viiest väljast: UDF-i märksõnaväli, baasväli, nihkeväli, väärtuseväli ja maskiväli. Riistvarakirjete mahutavuse piires saab kasutada kokku kaheksat UDF-i. Üks UDF saab vastata maksimaalselt kahele baitile.
• UDF märksõna: UDF1... UDF8 Sisaldab kaheksat UDF-ile vastava domeeni märksõna
• Baasväli: määrab UDF-i vastevälja alguspositsiooni. Järgmine
L4_päis (kehtib RG-S6520-64CQ puhul)
L5_päis (RG-S6510-48VS8Cq jaoks)
• Nihe: näitab baasvälja suhtes nihet. Väärtus jääb vahemikku 0 kuni 126.
• Väärtuse väli: sobiv väärtus. Seda saab koos maskiväljaga kasutada sobiva väärtuse konfigureerimiseks. Kehtiv bitt on kaks baiti.
• Maski väli: mask, kehtiv bitt on kaks baiti
(Lisa: Kui samas UDF-i vastavusväljas kasutatakse mitut kirjet, peavad baas- ja nihkeväljad olema samad.)
Kaks RDMA seansi olekuga seotud peamist paketti on ülekoormuse teavituspakett (CNP) ja negatiivne kinnitus (NAK):
Esimene genereeritakse RDMA vastuvõtja poolt pärast kommutaatori saadetud ECN-sõnumi vastuvõtmist (kui eout puhver jõuab läveni), mis sisaldab teavet ummikuid põhjustava voo või QP kohta. Viimast kasutatakse RDMA edastuse kohta paketikaotuse vastusesõnumi näitamiseks.
Vaatame, kuidas neid kahte sõnumit eksperditaseme laiendatud loendi abil sobitada:
ekspertide juurdepääsuloendi laiendatud rdma
luba udp mis tahes mis tahes mis tahes eq 4791udf 1 l4_päis 8 0x8100 0xFF00(Sobib mudelile RG-S6520-64CQ)
luba udp mis tahes mis tahes mis tahes eq 4791udf 1 l5_päis 0 0x8100 0xFF00(Sobib mudelile RG-S6510-48VS8CQ)
ekspertide juurdepääsuloendi laiendatud rdma
luba udp mis tahes mis tahes mis tahes eq 4791udf 1 l4_päis 8 0x1100 0xFF00 udf 2 l4_päis 20 0x6000 0xFF00(Sobib mudelile RG-S6520-64CQ)
luba udp mis tahes mis tahes mis tahes eq 4791udf 1 l5_päis 0 0x1100 0xFF00 udf 2 l5_päis 12 0x6000 0xFF00(Sobib mudelile RG-S6510-48VS8CQ)
Viimase sammuna saate RDMA seanssi visualiseerida, lisades ekspertide laienduste loendi vastavasse ERSPAN protsessi.
Kirjutage viimasesse
ERSPAN on üks asendamatuid tööriistu tänapäeva üha suuremates andmekeskuste võrkudes, üha keerukamas võrguliikluses ning üha keerukamates võrgu käitamise ja hooldamise nõuetes.
Kuna opereerimise ja haldamise automatiseerimise tase kasvab, on võrgu automaatse opereerimise ja haldamise tudengite seas populaarsed sellised tehnoloogiad nagu Netconf, RESTconf ja gRPC. gRPC kasutamisel peeglis liikluse tagasisaatmise alusprotokollina on samuti palju eeliseid. Näiteks HTTP/2 protokollil põhinev lahendus toetab sama ühenduse kaudu voogedastusmehhanismi. ProtoBuf kodeeringuga vähendatakse teabe mahtu poole võrra võrreldes JSON-vorminguga, muutes andmeedastuse kiiremaks ja tõhusamaks. Kujutage ette, kui kasutate ERSPAN-i huvitatud voogude peegeldamiseks ja seejärel gRPC abil analüüsiserverisse saatmiseks, kas see parandab oluliselt võrgu automaatse toimimise ja hoolduse võimekust ja tõhusust?
Postituse aeg: 10. mai 2022
