Най -често срещаният инструмент за мониторинг на мрежата и отстраняване на неизправности днес е Switch Port Analyzer (SPAN), известен още като огледало за порт. Тя ни позволява да наблюдаваме мрежовия трафик в байпас извън режим на лента, без да се намесваме в услугите в мрежата на живо, и изпраща копие от наблюдавания трафик на локални или отдалечени устройства, включително SNIFFER, IDS или други видове инструменти за мрежов анализ.
Някои типични приложения са:
• Отстраняване на проблеми с мрежовите проблеми чрез проследяване на рамки за контрол/данни;
• Анализирайте латентността и трептене чрез наблюдение на VoIP пакети;
• Анализирайте латентността чрез наблюдение на мрежовите взаимодействия;
• Открийте аномалии чрез наблюдение на мрежовия трафик.
Трафикът на обхвата може да бъде локално огледален към други портове на едно и също устройство на източник или дистанционно огледално към други мрежови устройства, съседни на слой 2 на източника на устройство (RSPAN).
Днес ще говорим за отдалечена технология за наблюдение на интернет трафика, наречена Erspan (капсулиран анализатор на пристанищни превключватели), която може да бъде предавана в три слоя IP. Това е разширение на SPAN до капсулирано дистанционно.
Основни принципи на експлоатация на erspan
Първо, нека разгледаме характеристиките на Erspan:
• Копие на пакета от изходния порт се изпраща до сървъра на местоназначение за анализиране чрез обща капсулация на маршрутизация (GRE). Физическото местоположение на сървъра не е ограничено.
• С помощта на характеристиката на полето, дефинирано от потребителя (UDF) на чипа, всяко изместване от 1 до 126 байта се извършва въз основа на основния домейн чрез разширения списък на експертно ниво, а ключовите думи на сесията са съпоставени, за да се реализира визуализацията на сесията, като TCP тристранно ръкостискане и RDMA сесия;
• Скорост на вземане на проби от поддръжка;
• Поддържа дължина на прихващане на пакети (нарязване на пакети), намалявайки налягането върху целевия сървър.
С тези функции можете да видите защо Erspan е основен инструмент за наблюдение на мрежите в центровете за данни днес.
Основните функции на Erspan могат да бъдат обобщени в два аспекта:
• Видимост на сесията: Използвайте ERSPAN, за да събирате всички създадени нови сесии за достъп до TCP и дистанционно директно памет (RDMA) към бек-енд сървъра за дисплей;
• Отстраняване на неизправности в мрежата: улавя мрежовия трафик за анализ на неизправности, когато се появи проблем с мрежата.
За да направите това, устройството на източника трябва да филтрира трафика, който представлява интерес към потребителя от масивния поток от данни, да направи копие и да капсулира всяка рамка за копиране в специален „контейнер Superframe“, който носи достатъчно допълнителна информация, така че да може да бъде правилно насочена към приемащото устройство. Освен това, активирайте приемащото устройство за извличане и напълно възстановяване на оригиналния мониториран трафик.
Приемащото устройство може да бъде друг сървър, който поддържа декапсулиращи пакети ERSPAN.
Анализ на типа и формата на пакета erspan
Erspan пакетите се капсулират с помощта на GRE и се пренасят към всяка IP адресируема дестинация над Ethernet. Понастоящем Erspan се използва главно в IPv4 мрежи, а поддръжката на IPv6 ще бъде изискване в бъдеще.
За общата структура на капсулиране на ERSAPN, следното е заснемане на огледален пакет от ICMP пакети:
Протоколът на Erspan се е развил за дълъг период от време и с подобряването на своите възможности са формирани няколко версии, наречени „видове erspan“. Различните видове имат различни формати за заглавие на кадрите.
Той е дефиниран в първото поле на версията на заглавката на Erspan:
В допълнение, полето за тип протокол в заглавката на GRE също показва вътрешния тип Erspan. Полето от типа на протокола 0x88be показва Erspan тип II, а 0x22EB показва ERSSPAN тип III.
1. Тип i
Рамката на Erspan от тип I капсулира IP и GRE директно върху заглавката на оригиналната огледална рамка. Това капсулиране добавя 38 байта през оригиналния кадър: 14 (Mac) + 20 (IP) + 4 (GRE). Предимството на този формат е, че той има компактен размер на заглавката и намалява цената на предаването. Въпреки това, тъй като той задава полета на GRE и версиите на 0, той не носи разширени полета и тип I не се използва широко, така че няма нужда да се разширява повече.
Форматът на заглавката на GRE от тип I е както следва:
2. Тип II
Във тип II, полетата C, R, K, S, S, Recur, Flags и версия в GRE заглавката са всички 0, с изключение на S полето. Следователно полето на последователността се показва в заглавката на GRE от тип II. Тоест, тип II може да гарантира реда за получаване на GRE пакети, така че голям брой пакети за GRE не могат да бъдат сортирани поради грешка в мрежата.
Форматът на заглавката на GRE от тип II е следният:
В допълнение, форматът на рамката на Erspan Type II добавя 8-байтова заглавка на Erspan между GRE заглавката и оригиналната огледална рамка.
Форматът на заглавката на Erspan за тип II е следният:
Накрая, непосредствено след оригиналната рамка на изображението, е стандартният 4-байтов код за циклично съкращаване на Ethernet (CRC).
Заслужава да се отбележи, че при внедряването огледалната рамка не съдържа FCS полето на оригиналния кадър, вместо това нова стойност на CRC се преизчислява въз основа на целия Erspan. Това означава, че приемащото устройство не може да провери коректността на CRC на оригиналната рамка и можем само да приемем, че са огледални само некорумпирани рамки.
3. Тип III
Тип III въвежда по -голяма и по -гъвкава композитна заглавка за справяне с все по -сложни и разнообразни сценарии за мониторинг на мрежата, включително, но не само, управление на мрежата, откриване на проникване, ефективност и анализ на забавяне и други. Тези сцени трябва да знаят всички оригинални параметри на огледалната рамка и да включват тези, които не присъстват в самата оригинална рамка.
Композитното заглавие на Erspan Type III включва задължителен 12-байтов заглавие и незадължителен 8-байтов специфичен подзадател.
Форматът на заглавката на Erspan за тип III е следният:
Отново, след оригиналната огледална рамка е 4-байтов CRC.
Както се вижда от заглавния формат от тип III, в допълнение към запазването на полетата VER, VLAN, COS, T и ID на сесията въз основа на тип II, се добавят много специални полета, като: като:
• BSO: Използва се за посочване на целостта на натоварването на рамките на данни, пренасяни през Erspan. 00 е добра рамка, 11 е лоша рамка, 01 е къса рамка, 11 е голяма рамка;
• Временна марка: Експортиран от хардуерния часовник, синхронизиран със системното време. Това 32-битово поле поддържа най-малко 100 микросекунди от гранулиране на времевата марка;
• Тип на рамката (P) и тип рамка (FT): Първият се използва за уточняване дали Erspan носи Ethernet протокол кадри (PDU рамки), а вторият се използва за уточняване дали Erspan носи Ethernet Frames или IP пакети.
• HW ID: Уникален идентификатор на двигателя Erspan в системата;
• GRA (Грануларност на времевата марка): Определя гранулирането на времевата марка. Например, 00b представлява 100 микросекундна гранулиране, 01b 100 наносекунда грануличност, 10b IEEE 1588 грануличност, а 11b изисква специфични за платформата под-глави за постигане на по-висока гранулиране.
• Platf ID срещу платформа Специфична информация: Полетата за специфични информации на Platf имат различни формати и съдържание в зависимост от стойността на идентификатора на Platf.
Трябва да се отбележи, че различните заглавни полета, поддържани по -горе, могат да се използват в обикновени приложения на ERSPAN, дори огледални рамки за грешки или рамки на BPDU, като същевременно поддържат оригиналния пакет на багажника и VLAN ID. В допълнение, ключовата информация за времевата марка и други информационни полета могат да се добавят към всяка рамка на Erspan по време на огледало.
Със собствените заглавия на Erspan можем да постигнем по -усъвършенстван анализ на мрежовия трафик и след това просто да монтираме съответния ACL в процеса на Erspan, за да съответства на мрежовия трафик, който ни интересува.
Erspan реализира видимостта на RDMA сесия
Нека вземем пример за използване на ERSPAN технология за постигане на визуализация на RDMA сесия в сценарий на RDMA:
Rdma: Отдалечен достъп до директна памет позволява мрежовия адаптер на сървъра А да чете и напише паметта на сървъра Б, като използва интелигентни мрежови интерфейсни карти (INIC) и превключватели, постигайки висока честотна лента, ниска латентност и ниско използване на ресурсите. Той се използва широко при големи данни и високоефективни сценарии за разпределение на съхранение.
Rocev2: RDMA над конвергентна Ethernet версия 2. Данните на RDMA са капсулирани в заглавката на UDP. Номерът на порта на дестинацията е 4791.
Ежедневната работа и поддръжка на RDMA изисква събиране на много данни, които се използват за събиране на ежедневни референтни линии на нивото на водата и ненормални аларми, както и основата за намиране на ненормални проблеми. В комбинация с ERSPAN, масивните данни могат да бъдат заснети бързо, за да се получат данни за качеството на пренасочване на микросекунда и състоянието на взаимодействие на протокол на превключващия чип. Чрез статистиката и анализа на данните може да се получи оценка на качеството и прогнозирането на RDMA от край до край.
За да постигнем визуализация на RDAM сесия, се нуждаем от Erspan, за да съвпадам с ключови думи за сесиите за взаимодействие на RDMA при огледално огледално трафик и трябва да използваме Expert Extended List.
Експерт на разширен списък с дефиниция на полето за съвпадение на полето:
UDF се състои от пет полета: Ключова дума на UDF, базово поле, поле за офсет, поле на стойност и поле за маски. Ограничен от капацитета на хардуерните записи, могат да се използват общо осем UDF. Един UDF може да съответства на максимум два байта.
• Ключова дума UDF: UDF1 ... UDF8 съдържа осем ключови думи от домейна за съвпадение на UDF
• Базово поле: Идентифицира началната позиция на полето за съвпадение на UDF. Следното
L4_Header (приложимо за RG-S6520-64CQ)
L5_header (за RG-S6510-48VS8CQ)
• Офсет: Показва компенсирането въз основа на основното поле. Стойността варира от 0 до 126
• Стойност на полето: Съответстваща стойност. Може да се използва заедно с полето на маската, за да се конфигурира специфичната стойност, която трябва да бъде съпоставена. Валидният бит е два байта
• Масково поле: Маска, валиден бит е два байта
(Добавяне: Ако в едно и също поле за съвпадение на UDF се използват множество записи, основните и компенсирани полета трябва да са еднакви.)
Двете ключови пакета, свързани със състоянието на сесията на RDMA, са пакет за уведомяване за задръствания (CNP) и отрицателно потвърждение (NAK):
Първият се генерира от RDMA приемника след получаване на ECN съобщението, изпратено от превключвателя (когато EOUT буферът достигне прага), което съдържа информация за потока или QP, причинявайки задръствания. Последното се използва за посочване на предаването на RDMA има съобщение за отговор на загуба на пакет.
Нека разгледаме как да съпоставим тези две съобщения, използвайки разширения списък на ниво експерт:
Експертен списък за достъп до разширен RDMA
Разрешаване на UDP всеки всеки EQ 4791UDF 1 L4_Header 8 0x8100 0xff00(Съвпадение на RG-S6520-64CQ)
Разрешаване на UDP всеки всеки EQ 4791UDF 1 L5_Header 0 0x8100 0xff00(Съвпадение на RG-S6510-48VS8CQ)
Експертен списък за достъп до разширен RDMA
Разрешаване на UDP всеки всеки EQ 4791UDF 1 L4_HEADER 8 0x1100 0xff00 UDF 2 L4_HEADER 20 0x6000 0xff00(Съвпадение на RG-S6520-64CQ)
Разрешаване на UDP всеки всеки EQ 4791UDF 1 L5_Header 0 0x1100 0xff00 UDF 2 L5_Header 12 0x6000 0xff00(Съвпадение на RG-S6510-48VS8CQ)
Като последна стъпка можете да визуализирате RDMA сесията, като монтирате списъка с разширения на експертите в съответния процес на ERSPAN.
Пишете в последното
Erspan е един от незаменимите инструменти в днешните все по -големи мрежи за центрове за данни, все по -сложен мрежов трафик и все по -усъвършенствани изисквания за работа и поддръжка на мрежата.
С нарастващата степен на автоматизация на O&M технологии като NetConf, RESTConf и GRPC са популярни сред студентите от O&M в Network Automatic O&M. Използването на GRPC като основен протокол за изпращане на трафик на огледало също има много предимства. Например, въз основа на HTTP/2 протокол, той може да поддържа механизма за натискане на стрийминг при същата връзка. С кодирането на ProToBuf размерът на информацията се намалява наполовина в сравнение с формата на JSON, което прави предаването на данни по -бързо и по -ефективно. Само си представете, ако използвате Erspan, за да отгледате заинтересовани потоци и след това да ги изпратите на сървъра за анализ на GRPC, това значително ще подобри способността и ефективността на мрежовата автоматична работа и поддръжка?
Време за публикация: Май-10-2022
