Найпоширенішим інструментом для моніторингу мережі та усунення несправностей сьогодні є аналізатор портів Switch (SPAN), також відомий як дзеркальне відображення портів. Це дозволяє відстежувати мережевий трафік у обхідному режимі, не заважаючи службам у прямому ефірі, і надсилає копію контрольованого трафіку на локальні або віддалені пристрої, включаючи Sniffer, IDS або інші типи інструментів мережевого аналізу.
Деякі типові використання:
• усунення проблем з мережею шляхом відстеження кадрів управління/даних;
• проаналізуйте затримку та тремтіння, контролюючи пакети VoIP;
• проаналізувати затримку шляхом моніторингу мережевих взаємодій;
• Виявити аномалії шляхом моніторингу мережевого трафіку.
Трафік SPAN може бути локально відображений на інших портах на тому ж джерельному пристрої або віддалено відображати на інших мережевих пристроях, що прилягають до рівня 2 вихідного пристрою (RSPAN).
Сьогодні ми поговоримо про віддалену технологію моніторингу інтернет -трафіку під назвою ERSPAN (інкапсульований аналізатор віддаленого перемикача), який може передаватися на три шари IP. Це розширення прольоту до інкапсульованого віддаленого.
Основні принципи роботи ERSPAN
По -перше, давайте подивимось на особливості Ерпана:
• Копія пакету з вихідного порту надсилається на сервер призначення для розбору через загальну інкапсуляцію маршрутизації (GRE). Фізичне розташування сервера не обмежене.
• За допомогою функції поля, визначеного користувачем (UDF) мікросхеми, будь-яке зміщення від 1 до 126 байт проводиться на основі базового домену через розширений список експертів, а ключові слова сеансу відповідають для реалізації візуалізації сеансу, таких як тристороння рукостискання TCP та сеанс RDMA;
• Підтримка налаштування вибірки вибірки;
• Підтримує довжину перехоплення пакетів (нарізка пакетів), зменшуючи тиск на цільовий сервер.
За допомогою цих функцій ви можете зрозуміти, чому ERSPAN є важливим інструментом для моніторингу мереж всередині центрів обробки даних сьогодні.
Основні функції ERSPAN можна узагальнити у двох аспектах:
• Видимість сеансу: Використовуйте ERSPAN для збору всіх створених нових сеансів TCP та віддаленого прямого доступу до пам'яті (RDMA) на сервер для дисплея;
• Усунення несправностей у мережі: захоплює мережевий трафік для аналізу несправностей, коли виникає мережева проблема.
Для цього вихідний мережевий пристрій повинен відфільтрувати трафік, що цікавить користувачеві з масового потоку даних, зробити копію та інкапсулювати кожен кадр копіювання у спеціальний "контейнер для суперкадрів", який містить достатню кількість додаткової інформації, щоб вона могла бути правильно направлена на приймальний пристрій. Більше того, дайте можливість прийому пристрою витягувати та повністю відновити оригінальний відстежений трафік.
Пристрій прийому може бути ще одним сервером, який підтримує декапасуляцію пакетів ERSPAN.
Аналіз типу ERSPAN та формату пакету
Пакети ERSPAN інкапсульовані за допомогою GRE та пересилюються в будь -яке місце призначення IP -адреси через Ethernet. В даний час ERSPAN в основному використовується в мережах IPv4, а підтримка IPv6 буде вимогою в майбутньому.
Для загальної структури інкапсуляції ERSAPN наступне наведено дзеркальний пакет пакетів пакетів ICMP:
Протокол ERSPAN розвивався протягом тривалого періоду часу, і з розширенням його можливостей було сформовано кілька версій, що називаються "типами erspan". Різні типи мають різні формати заголовка кадрів.
Він визначається в полі першої версії заголовка ERSPAN:
Крім того, поле типу протоколу в заголовку GRE також вказує на внутрішній тип ERSPAN. Поле типу протоколу 0x88BE вказує ERSPAN TYPE II, а 0x22EB вказує ERSPAN TYPE III.
1. Тип I
Рамка ERSPAN типу I інкапсулює IP та GRE безпосередньо над заголовком оригінальної дзеркальної рамки. Ця інкапсуляція додає 38 байт над початковим кадром: 14 (MAC) + 20 (IP) + 4 (GRE). Перевага цього формату полягає в тому, що він має компактний розмір заголовка і знижує вартість передачі. Однак, оскільки він встановлює поля прапора та версії до 0, він не має жодних розширених полів і тип I не широко використовується, тому більше не потрібно розширюватися.
Формат заголовка GRE типу I такий:
2. Тип II
У полях C, R, K, K, S, S, S, Recur, прапори та версії в заголовку GRE є всі 0, крім поля S. Тому поле число послідовності відображається в заголовку GRE типу II типу. Тобто, тип II може забезпечити порядок отримання пакетів GRE, щоб велика кількість пакетів GRE поза замовленням не можна було відсортувати через несправність в мережі.
Формат заголовка GRE типу II такий:
Крім того, формат кадру ERSPAN типу II додає 8-байт-заголовок ERSPAN між заголовком GRE та оригінальною дзеркальною рамкою.
Формат заголовка ERSPAN для II типу такий:
Нарешті, одразу слідом за оригінальною рамкою зображення, є стандартний 4-байтовий код Check Check Ethernet (CRC).
Варто зазначити, що в реалізації дзеркальний кадр не містить поля FCS оригінального кадру, натомість перераховується нове значення CRC на основі всього ERSPAN. Це означає, що приймальний пристрій не може перевірити правильність CRC оригінального кадру, і ми можемо лише припустити, що відображаються лише кадри, що не мають корупції.
3. Тип III
Тип III вводить більший та гнучкий композитний заголовок для вирішення все більш складних та різноманітних сценаріїв моніторингу мережі, включаючи, але не обмежуючись ними, управління мережею, виявлення вторгнення, аналіз продуктивності та аналіз затримки тощо. Ці сцени повинні знати всі оригінальні параметри дзеркального кадру і включати ті, які не присутні в самому оригінальному кадрі.
Композитний заголовок ERSPAN III включає обов'язковий 12-байтовий заголовок та додатковий 8-байтовий специфічний підзаголовник.
Формат заголовка ERSPAN для типу III такий:
Знову ж таки, після оригінальної дзеркальної рамки становить 4-байтовий CRC.
Як видно з формату заголовка III типу, крім збереження полів Ver, VLAN, COS, T та сеансу на основі II типу, додано багато спеціальних полів, таких як:
• BSO: Використовується для позначення цілісності навантаження кадрів даних, що переносяться через erspan. 00 - хороший кадр, 11 - поганий кадр, 01 - короткий кадр, 11 - великий кадр;
• Тимчасова позначка: експортується з апаратного годинника, синхронізованого з системним часом. Це 32-бітне поле підтримує щонайменше 100 мікросекунд деталізації часової позначки;
• Тип кадру (P) та тип кадру (FT): Перший використовується для визначення того, чи ERSPAN несе кадри протоколу Ethernet (кадри PDU), а останні використовуються для визначення того, чи є ERSPAN кадрів Ethernet або IP -пакети.
• ID HW: унікальний ідентифікатор двигуна ERSPAN в системі;
• GRA (зернистість часової позначки): визначає деталізацію часової позначки. Наприклад, 00b являє собою 100 мікросекунд, зернисті 01b 100 наносекундної зернисті, 10b IEEE 1588 зернистість, а 11b вимагає специфічних для платформи підзаголовків для досягнення більш високої деталізації.
• Ідентифікатор PLATF проти платформи Конкретна інформація: Поля конкретних інформації PLATF мають різні формати та вміст залежно від значення ідентифікатора Platf.
Слід зазначити, що різні поля заголовка, що підтримуються вище, можна використовувати в звичайних програмах ERSPAN, навіть відображаючи кадри помилок або кадри BPDU, зберігаючи оригінальний пакет багажника та ідентифікатор VLAN. Крім того, до кожного кадру ERSPAN під час дзеркального відображення можна додати ключову інформацію про часову позначку та інші інформаційні поля.
За допомогою власних заголовків функцій ERSPAN ми можемо досягти більш вдосконаленого аналізу мережевого трафіку, а потім просто встановити відповідний ACL в процесі ERSPAN, щоб відповідати мережевому трафіку, який нас цікавить.
ERSPAN реалізує видимість сеансу RDMA
Візьмемо приклад використання технології ERSPAN для досягнення візуалізації сеансу RDMA за сценарієм RDMA:
RDMA: Віддалений прямий доступ до пам'яті дозволяє мережевий адаптер сервера A для читання та запису пам'яті сервера B за допомогою інтелектуальних карт мережевого інтерфейсу (Inics) та комутаторів, досягнення високої пропускної здатності, низької затримки та низького використання ресурсів. Він широко використовується у великих даних та високоефективних розподілених сценаріях зберігання.
Rocev2: RDMA Over Converged Ethernet версія 2. Дані RDMA інкапсульовані в заголовку UDP. Номер порту призначення - 4791.
Щоденна експлуатація та обслуговування RDMA вимагає збору багато даних, які використовуються для збору добових референтних ліній рівня води та аномальних сигналів, а також основи для пошуку аномальних проблем. У поєднанні з ERSPAN, масові дані можуть бути швидко зафіксовані для отримання даних якості переадресації мікросекунд та стан взаємодії протоколу перемикання мікросхеми. Завдяки статистиці даних та аналізу, можна отримати оцінку якості та прогнозування RDMA, що переадресація та прогнозування.
Для досягнення візуалізації сеансу RDAM нам потрібен ERSPAN, щоб відповідати ключових слів для сеансів взаємодії RDMA під час дзеркального відображення трафіку, і нам потрібно використовувати розширений список експертів.
Визначення поля відповідності на рівні експерта Визначення:
UDF складається з п'яти полів: ключове слово UDF, базове поле, поле зміщення, поле значення та поле маски. Обмежена ємністю апаратних записів, може бути використана в цілому вісім УДФ. Один UDF може відповідати максимум двох байт.
• Ключове слово UDF: UDF1 ... UDF8 містить вісім ключових слів відповідного домену UDF
• Базове поле: ідентифікує стартове положення поля відповідності UDF. Наступні
L4_header (застосовується до RG-S6520-64CQ)
L5_header (для RG-S6510-48VS8CQ)
• Зсув: Позначає зміщення на основі базового поля. Значення коливається від 0 до 126
• Поле значення: значення відповідності. Він може бути використаний разом з полем маски для налаштування конкретного значення, яке потрібно відповідати. Дійсний біт - два байти
• Поле маски: маска, дійсний біт - це два байти
(Додайте: Якщо в одному полі відповідності UDF використовуються кілька записів, поля базового та зміщення повинні бути однаковими.)
Два ключові пакети, пов’язані зі статусом сеансу RDMA, - це пакет сповіщень про перевантаженість (CNP) та негативне підтвердження (NAK):
Перший генерується приймачем RDMA після отримання повідомлення ECN, надісланого комутатором (коли буфер EUT досягає порогу), який містить інформацію про потік або QP, що спричиняє затори. Останнє використовується для позначення передачі RDMA, що має повідомлення про реакцію на втрати пакетів.
Давайте розглянемо, як відповідати цим двом повідомленням за допомогою розширеного списку експертного рівня:
Експертний список доступу до списку RDMA
дозволити UDP будь -який будь -який еквалайзер 4791UDF 1 L4_header 8 0x8100 0xff00(Відповідність RG-S6520-64CQ)
дозволити UDP будь -який будь -який еквалайзер 4791UDF 1 L5_header 0 0x8100 0xff00(Відповідність RG-S6510-48VS8CQ)
Експертний список доступу до списку RDMA
дозволити UDP будь -який будь -який еквалайзер 4791UDF 1 L4_header 8 0x1100 0xff00 udf 2 l4_header 20 0x6000 0xff00(Відповідність RG-S6520-64CQ)
дозволити UDP будь -який будь -який еквалайзер 4791UDF 1 L5_header 0 0x1100 0xff00 udf 2 l5_header 12 0x6000 0xff00(Відповідність RG-S6510-48VS8CQ)
Як остаточний крок, ви можете візуалізувати сеанс RDMA, встановивши список розширення експертів у відповідний процес ERSPAN.
Напишіть в останньому
ERSPAN - це один із незамінних інструментів у сьогоднішніх дедалі великих мережах центрів обробки даних, все більш складного мережевого трафіку та все більш складних вимог до роботи мережі та обслуговування.
Зі збільшенням ступеня автоматизації O&M технології, такі як NetConf, RestConf та GRPC, популярні серед студентів O&M в мережевому автоматичному O&M. Використання GRPC як основного протоколу для надсилання дзеркального трафіку також має багато переваг. Наприклад, на основі протоколу HTTP/2 він може підтримувати механізм потокового натискання під тим же з'єднанням. За допомогою кодування протобуфа розмір інформації зменшується вдвічі порівняно з форматом JSON, що робить передачу даних швидшим та ефективнішим. Уявіть собі, якщо ви використовуєте ERSPAN для відображення зацікавлених потоків, а потім відправляєте їх на сервер аналізу на GRPC, чи значно це підвищить здатність та ефективність автоматичної роботи та обслуговування мережі?
Час посади:-10-2022 травня
