Tänapäeval on kõige levinum võrgu jälgimise ja tõrkeotsingu tööriist Switch Port Analyzer (SPAN), tuntud ka kui pordi peegeldamine. See võimaldab meil jälgida võrguliiklust möödaviigu sagedusalas, ilma et see häiriks reaalajas võrgu teenuseid, ja saadab jälgitava liikluse koopia kohalikesse või kaugseadmetesse, sealhulgas Sniffer, IDS või muud tüüpi võrguanalüüsi tööriistad.
Mõned tüüpilised kasutusalad on järgmised:
• Võrguprobleemide tõrkeotsing juht-/andmeraamide jälgimise teel;
• Analüüsige latentsust ja värinat, jälgides VoIP-pakette;
• Analüüsige latentsust, jälgides võrgu interaktsioone;
• Tuvastage kõrvalekalded võrguliikluse jälgimise kaudu.
SPAN-liiklust saab kohapeal peegeldada sama lähteseadme teistesse portidesse või kaugpeegeldada teistesse lähteseadme (RSPAN) 2. kihiga külgnevatesse võrguseadmetesse.
Täna räägime Interneti-liikluse kaugseire tehnoloogiast nimega ERSPAN (Encapsulated Remote Switch Port Analyzer), mida saab edastada kolme IP kihi kaudu. See on SPAN laiendus Encapsulated Remote'ile.
ERSPANi põhilised tööpõhimõtted
Kõigepealt vaatame ERSPANi funktsioone:
• Lähtepordi paketi koopia saadetakse sihtserverisse parsimiseks läbi üldise marsruutimise kapseldamise (GRE). Serveri füüsiline asukoht ei ole piiratud.
• Kiibi UDF (User Defined Field) funktsiooni abil teostatakse 1 kuni 126 baidine nihe baasdomeeni alusel ekspertide tasemel laiendatud loendi kaudu ja seansi märksõnad sobitatakse visualiseerimise teostamiseks. seansi, nagu TCP kolmesuunaline käepigistus ja RDMA seanss;
• Toetage diskreetimissageduse seadmist;
• Toetab pakettide pealtkuulamise pikkust (Packet Slicing), vähendades survet sihtserverile.
Nende funktsioonide abil saate aru, miks ERSPAN on tänapäeval oluline tööriist andmekeskustes asuvate võrkude jälgimiseks.
ERSPANi põhifunktsioonid võib kokku võtta kahes aspektis:
• Seansi nähtavus: kasutage ERSPAN-i, et koguda kuvamiseks kõik loodud uued TCP ja Remote Direct Memory Access (RDMA) seansid taustaserverisse;
• Võrgu tõrkeotsing: võrguprobleemide ilmnemisel salvestab võrguliikluse tõrkeanalüüsiks.
Selleks peab lähtevõrguseade massiivsest andmevoost välja filtreerima kasutajale huvipakkuva liikluse, tegema koopia ja kapseldama iga koopiakaadri spetsiaalsesse "ülikaadri konteinerisse", mis kannab piisavalt lisateavet, et saaks olema õigesti suunatud vastuvõtvasse seadmesse. Lisaks lubage vastuvõtval seadmel algselt jälgitud liiklus eraldada ja täielikult taastada.
Vastuvõtvaks seadmeks võib olla mõni muu server, mis toetab ERSPAN-pakettide kapseldamist.
ERSPAN tüübi ja paketivormingu analüüs
ERSPAN paketid kapseldatakse GRE abil ja edastatakse Etherneti kaudu mis tahes IP-aadressitatavasse sihtkohta. ERSPAN on praegu kasutusel peamiselt IPv4 võrkudes ning edaspidi on nõutav IPv6 tugi.
ERSAPN-i üldise kapseldamise struktuuri jaoks on järgmine ICMP-pakettide peegelpakettide püüdmine:
Lisaks näitab GRE päise väli Protokolli tüüp ka sisemist ERSPAN tüüpi. Väli Protocol Type 0x88BE tähistab ERSPAN Type II ja 0x22EB tähistab ERSPAN Type III.
1. I tüüp
I tüüpi ERSPAN-raam kapseldab IP ja GRE otse algse peegli raami päise kohale. See kapseldus lisab algsele kaadrile 38 baiti: 14 (MAC) + 20 (IP) + 4 (GRE). Selle vormingu eeliseks on see, et sellel on kompaktne päise suurus ja see vähendab edastuskulusid. Kuid kuna see seab GRE lipu ja versiooni väljad väärtusele 0, ei sisalda see laiendatud välju ja I tüüpi ei kasutata laialdaselt, seega pole vaja rohkem laiendada.
I tüüpi GRE päise vorming on järgmine:
2. II tüüp
Tüüp II puhul on GRE päise väljad C, R, K, S, S, Recur, Flags ja Version 0, välja arvatud väli S. Seetõttu kuvatakse II tüüpi GRE päises väli Järjestusnumber. See tähendab, et tüüp II suudab tagada GRE-pakettide vastuvõtmise järjekorra, nii et suurt hulka korrast ära GRE-pakette ei saa võrgutõrke tõttu sorteerida.
II tüüpi GRE päise vorming on järgmine:
Lisaks lisab ERSPAN Type II kaadrivorming GRE päise ja algse peegeldatud kaadri vahele 8-baidise ERSPAN päise.
ERSPAN päise vorming II tüüpi jaoks on järgmine:
Lõpuks, kohe pärast algset pildiraami, on standardne 4-baidine Etherneti tsüklilise koondamise kontrolli (CRC) kood.
Tasub tähele panna, et teostuses ei sisalda peegelraam algse kaadri FCS välja, selle asemel arvutatakse ümber uus CRC väärtus kogu ERSPANi põhjal. See tähendab, et vastuvõttev seade ei saa kontrollida algse kaadri CRC õigsust ja saame ainult eeldada, et peegeldatakse ainult rikkumata kaadreid.
3. III tüüp
Tüüp III tutvustab suuremat ja paindlikumat liitpäist, et käsitleda üha keerukamaid ja mitmekesisemaid võrgu jälgimise stsenaariume, sealhulgas, kuid mitte ainult, võrguhaldus, sissetungimise tuvastamine, jõudluse ja viivituse analüüs ja palju muud. Need stseenid peavad teadma kõiki peegliraami algseid parameetreid ja sisaldama neid, mida algses kaadris endas ei ole.
ERSPAN Type III liitpäis sisaldab kohustuslikku 12-baidist päist ja valikulist 8-baidist platvormipõhist alampäist.
ERSPAN päise vorming tüübi III jaoks on järgmine:
Jällegi, pärast esialgset peegliraami on 4-baidine CRC.
Nagu on näha tüübi III päisevormingust, lisatakse lisaks väljade Ver, VLAN, COS, T ja Session ID säilitamisele tüübi II alusel palju spetsiaalseid välju, näiteks:
• BSO: kasutatakse ERSPANi kaudu kantavate andmekaadrite laadimise terviklikkuse näitamiseks. 00 on hea raam, 11 on halb kaader, 01 on lühike kaader, 11 on suur raam;
• Ajatempel: eksporditakse riistvarakellast, mis on sünkroonitud süsteemi ajaga. See 32-bitine väli toetab ajatempli detailsust vähemalt 100 mikrosekundit;
• Frame Type (P) ja Frame Type (FT) : esimest kasutatakse selleks, et määrata, kas ERSPAN kannab Etherneti protokolli kaadreid (PDU kaadreid), ja teist kasutatakse selleks, et määrata, kas ERSPAN kannab Etherneti kaadreid või IP-pakette.
• HW ID: süsteemis oleva ERSPAN mootori kordumatu identifikaator;
• Gra (Timestamp Granularity) : määrab ajatempli detailsuse. Näiteks 00B tähistab 100 mikrosekundi granulaarsust, 01B 100 nanosekundi granulaarsust, 10B IEEE 1588 granulaarsust ja 11B nõuab suurema granulaarsuse saavutamiseks platvormipõhiseid alampäiseid.
• Platfi ID vs. platvormipõhine teave: platvormipõhise teabe väljadel on olenevalt platvormi ID väärtusest erinev vorming ja sisu.
Tuleb märkida, et ülalpool toetatud erinevaid päisevälju saab kasutada tavalistes ERSPAN-rakendustes, isegi peegeldades vearaame või BPDU kaadreid, säilitades samal ajal algse Trunk paketi ja VLAN-i ID. Lisaks saab peegeldamise ajal lisada igale ERSPAN-kaadrile võtmeajatempliteavet ja muid teabevälju.
ERSPANi enda funktsioonipäiste abil saame saavutada võrguliikluse täpsema analüüsi ja seejärel lihtsalt ühendada vastava ACL-i ERSPAN protsessi, et see sobiks meid huvitava võrguliiklusega.
ERSPAN juurutab RDMA seansi nähtavuse
Võtame näite ERSPAN-tehnoloogia kasutamisest RDMA-seansi visualiseerimise saavutamiseks RDMA-stsenaariumis:
RDMA: Remote Direct Memory Access võimaldab serveri A võrguadapteril lugeda ja kirjutada serveri B mälu, kasutades intelligentseid võrguliidese kaarte (inics) ja lüliteid, saavutades suure ribalaiuse, madala latentsusaja ja madala ressursikasutuse. Seda kasutatakse laialdaselt suurandmete ja suure jõudlusega hajussalvestuse stsenaariumides.
RoCEv2: RDMA konvergeeritud Etherneti kaudu, versioon 2. RDMA andmed on kapseldatud UDP päisesse. Sihtpordi number on 4791.
RDMA igapäevane töö ja hooldus nõuab suure hulga andmete kogumist, mida kasutatakse igapäevaste veetasemete võrdlusjoonte ja ebanormaalsete häirete kogumiseks, samuti ebanormaalsete probleemide asukoha määramiseks. Koos ERSPAN-iga saab kiiresti koguda tohutuid andmeid, et saada mikrosekundiseid edastamiskvaliteedi andmeid ja lülituskiibi protokolli interaktsiooni olekut. Andmestatistika ja -analüüsi abil on võimalik saada RDMA otsast lõpuni edastamise kvaliteedi hindamine ja ennustus.
RDAM-i seansi visualiseerimiseks vajame ERSPAN-i, et sobitada liikluse peegeldamisel RDMA-interaktsiooniseansside märksõnad, ja me peame kasutama ekspertide laiendatud loendit.
Eksperditaseme laiendatud loendi vastevälja määratlus:
UDF koosneb viiest väljast: UDF-i märksõna, põhiväli, nihkeväli, väärtuseväli ja maskiväli. Riistvarakirjete mahu tõttu saab kasutada kokku kaheksat UDF-i. Üks UDF võib sobida maksimaalselt kahe baidiga.
• UDF-i märksõna: UDF1... UDF8 Sisaldab kaheksat UDF-i vastava domeeni märksõna
• Põhiväli: tuvastab UDF-i sobitusvälja alguspositsiooni. Järgmised
L4_header (rakendub mudelile RG-S6520-64CQ)
L5_header (RG-S6510-48VS8Cq jaoks)
• Nihe: näitab nihet baasvälja alusel. Väärtus on vahemikus 0 kuni 126
• Väärtuse väli: sobiv väärtus. Seda saab kasutada koos maskiväljaga konkreetse vastendatava väärtuse konfigureerimiseks. Kehtiv bitt on kaks baiti
• Mask väli: mask, kehtiv bitt on kaks baiti
(Lisa: kui samal UDF-i vasteväljal kasutatakse mitut kirjet, peavad baas- ja nihkeväljad olema samad.)
Kaks RDMA seansi olekuga seotud võtmepaketti on ülekoormuse teavituspakett (CNP) ja negatiivne kinnitus (NAK):
Esimese genereerib RDMA-vastuvõtja pärast lüliti saadetud ECN-sõnumi vastuvõtmist (kui eout-puhver jõuab läviväärtuseni), mis sisaldab teavet ummikuid põhjustava voo või QP kohta. Viimast kasutatakse näitamaks, et RDMA-edastusel on paketikaotuse vastuse teade.
Vaatame, kuidas need kaks sõnumit eksperditaseme laiendatud loendi abil sobitada.
ekspertide juurdepääsuloendi laiendatud rdma
luba udp mis tahes ükskõik mis tahes eq 4791udf 1 l4_header 8 0x8100 0xFF00(Sobib RG-S6520-64CQ)
luba udp mis tahes ükskõik mis tahes eq 4791udf 1 l5_header 0 0x8100 0xFF00(Sobib RG-S6510-48VS8CQ)
ekspertide juurdepääsuloendi laiendatud rdma
luba udp mis tahes ükskõik mis tahes eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Sobib RG-S6520-64CQ)
luba udp mis tahes ükskõik mis tahes eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Sobib RG-S6510-48VS8CQ)
Viimase sammuna saate RDMA-seansi visualiseerida, ühendades ekspertide laienduste loendi sobivasse ERSPAN-protsessi.
Kirjutage viimasesse
ERSPAN on üks asendamatuid tööriistu tänapäeva üha suuremates andmekeskuste võrkudes, üha keerulisemaks muutuvas võrguliikluses ning üha keerukamates võrgu töö- ja hooldusnõuetes.
Seoses O&M automatiseerimise taseme tõusuga on sellised tehnoloogiad nagu Netconf, RESTconf ja gRPC O&M üliõpilaste seas populaarsed võrgu automaatse O&M alal. gRPC kasutamisel peegelliikluse tagasisaatmise aluseks oleva protokollina on samuti palju eeliseid. Näiteks HTTP/2 protokolli alusel võib see toetada voogesituse tõukemehhanismi sama ühenduse all. ProtoBuf-kodeeringuga väheneb teabe suurus JSON-vorminguga võrreldes poole võrra, muutes andmeedastuse kiiremaks ja tõhusamaks. Kujutage vaid ette, kui kasutate ERSPAN-i huvitatud voogude peegeldamiseks ja seejärel gRPC-s analüüsiserverisse saatmiseks, kas see parandab oluliselt võrgu automaatse toimimise ja hoolduse võimet ja tõhusust?
Postitusaeg: mai-10-2022