Manapság a hálózati megfigyelés és hibaelhárítás leggyakoribb eszköze a Switch Port Analyzer (SPAN), más néven porttükrözés. Lehetővé teszi számunkra a hálózati forgalom figyelését sávon kívüli bypass módban anélkül, hogy megzavarnánk az élő hálózat szolgáltatásait, és a megfigyelt forgalom másolatát elküldi helyi vagy távoli eszközökre, beleértve a Sniffert, az IDS-t vagy más típusú hálózatelemző eszközöket.
Néhány tipikus felhasználás:
• Hálózati problémák elhárítása a vezérlő/adatkeretek követésével;
• A várakozási idő és a jitter elemzése a VoIP-csomagok figyelésével;
• A késleltetés elemzése a hálózati interakciók figyelésével;
• Anomáliák észlelése a hálózati forgalom figyelésével.
A SPAN forgalom helyileg tükrözhető ugyanazon forráseszköz más portjaira, vagy távolról tükrözhető a forráseszköz (RSPAN) 2. rétegével szomszédos más hálózati eszközökre.
Ma az ERSPAN (Encapsulated Remote Switch Port Analyzer) nevű távoli internetes forgalomfigyelő technológiáról fogunk beszélni, amely az IP három rétegén keresztül továbbítható. Ez a SPAN kiterjesztése az Encapsulated Remote-ra.
Az ERSPAN alapvető működési elvei
Először is vessünk egy pillantást az ERSPAN szolgáltatásaira:
• A csomag egy példánya a forrásportról elküldésre kerül a célszervernek az általános útválasztási tokozáson (GRE) keresztül történő elemzés céljából. A szerver fizikai helye nincs korlátozva.
• A chip User Defined Field (UDF) funkciója segítségével a szakértői szintű kiterjesztett listán keresztül a Base tartomány alapján bármilyen 1-126 bájtos eltolás végrehajtásra kerül, és a munkamenet kulcsszavai illeszkednek a vizualizáció megvalósításához. a munkamenet, például a TCP háromutas kézfogás és RDMA munkamenet;
• Támogatja a mintavételi frekvencia beállítását;
• Támogatja a csomagelfogási hosszt (Packet Slicing), csökkentve a célkiszolgálóra nehezedő nyomást.
Ezekkel a funkciókkal láthatja, hogy az ERSPAN miért nélkülözhetetlen eszköz az adatközpontokon belüli hálózatok megfigyeléséhez.
Az ERSPAN fő funkciói két vonatkozásban foglalhatók össze:
• Munkamenet láthatóság: Az ERSPAN segítségével összegyűjtheti az összes létrehozott új TCP és távoli közvetlen memóriaelérés (RDMA) munkamenetet a háttérkiszolgálóra megjelenítés céljából;
• Hálózati hibaelhárítás: Hálózati probléma esetén hibaelemzés céljából rögzíti a hálózati forgalmat.
Ehhez a forráshálózati eszköznek ki kell szűrnie a felhasználót érdeklő forgalmat a hatalmas adatfolyamból, másolatot kell készítenie, és minden másolatkeretet egy speciális "szuperkeret-tárolóba" kell zárnia, amely elegendő további információt tartalmaz ahhoz, hogy megfelelően kell elvezetni a fogadó eszközhöz. Ezenkívül lehetővé kell tenni a fogadó eszköz számára az eredeti megfigyelt forgalom kinyerését és teljes helyreállítását.
A fogadó eszköz lehet egy másik szerver, amely támogatja az ERSPAN-csomagok kicsomagolását.
Az ERSPAN típus- és csomagformátum-elemzés
Az ERSPAN csomagokat a GRE segítségével kapszulázzák, és Etherneten keresztül bármely IP címezhető célállomásra továbbítják. Az ERSPAN-t jelenleg főleg IPv4 hálózatokon használják, és a jövőben az IPv6 támogatása is követelmény lesz.
Az ERSAPN általános tokozási struktúrájához a következő az ICMP-csomagok tükörcsomag-rögzítése:
Az ERSPAN protokoll hosszú időn keresztül fejlődött, és képességeinek bővítésével több változata is kialakult, az úgynevezett "ERSPAN típusok". A különböző típusok különböző keretfejléc-formátumokkal rendelkeznek.
Az ERSPAN fejléc első Verzió mezőjében van meghatározva:
Ezenkívül a GRE fejléc Protokolltípus mezője a belső ERSPAN típust is jelzi. A 0x88BE Protokolltípus mező az ERSPAN Type II-t, a 0x22EB pedig az ERSPAN Type III-t jelöli.
1. I. típus
Az I. típusú ERSPAN keret közvetlenül az eredeti tükörkeret fejlécébe zárja be az IP-t és a GRE-t. Ez a beágyazás 38 bájtot ad hozzá az eredeti kerethez: 14 (MAC) + 20 (IP) + 4 (GRE). Ennek a formátumnak az az előnye, hogy kompakt fejlécmérettel rendelkezik, és csökkenti az átvitel költségeit. Mivel azonban a GRE Flag és Version mezőit 0-ra állítja, nem tartalmaz kiterjesztett mezőket, és az I. típust nem használják széles körben, így nincs szükség további bővítésre.
Az I. típusú GRE fejléc formátuma a következő:
2. II
A II. típusban a GRE fejlécben a C, R, K, S, S, Recur, Flags és Version mezők mindegyike 0, kivéve az S mezőt. Ezért a Sorozatszám mező megjelenik a II. típusú GRE fejlécében. Ez azt jelenti, hogy a II-es típus biztosítja a GRE-csomagok fogadásának sorrendjét, így a nagyszámú, rendetlen GRE-csomagot hálózati hiba miatt nem lehet rendezni.
A II típusú GRE fejléc formátuma a következő:
Ezenkívül az ERSPAN Type II keretformátum egy 8 bájtos ERSPAN-fejlécet ad a GRE-fejléc és az eredeti tükrözött keret közé.
A II típusú ERSPAN fejléc formátuma a következő:
Végül, közvetlenül az eredeti képkeret után a szabványos 4 bájtos Ethernet ciklikus redundancia-ellenőrző (CRC) kód.
Érdemes megjegyezni, hogy a megvalósításban a tükörkeret nem tartalmazza az eredeti keret FCS mezőjét, helyette a teljes ERSPAN alapján egy új CRC értéket számítanak újra. Ez azt jelenti, hogy a fogadó eszköz nem tudja ellenőrizni az eredeti keret CRC helyességét, és csak azt feltételezhetjük, hogy csak a sértetlen keretek tükröződnek.
3. Típus III
A Type III egy nagyobb és rugalmasabb összetett fejlécet vezet be az egyre összetettebb és változatosabb hálózati megfigyelési forgatókönyvek kezelésére, beleértve, de nem kizárólagosan a hálózatkezelést, a behatolásészlelést, a teljesítmény- és késleltetéselemzést és még sok mást. Ezeknek a jeleneteknek ismerniük kell a tükörkeret összes eredeti paraméterét, és tartalmazniuk kell azokat, amelyek nem szerepelnek magában az eredeti képkockában.
Az ERSPAN Type III összetett fejléc tartalmaz egy kötelező 12 bájtos fejlécet és egy opcionális 8 bájtos platformspecifikus alfejlécet.
A III típusú ERSPAN fejléc formátuma a következő:
Ismét az eredeti tükörkeret után egy 4 bájtos CRC.
Amint a III. típusú fejlécformátumból látható, a Ver, VLAN, COS, T és Session ID mezők megőrzése mellett a Type II alapján számos speciális mező is hozzáadásra kerül, mint pl.
• BSO: az ERSPAN-on keresztül szállított adatkeretek betöltési integritásának jelzésére szolgál. 00 egy jó keret, 11 egy rossz keret, 01 egy rövid keret, 11 egy nagy keret;
• Időbélyeg: a hardveres órából exportálva, a rendszeridővel szinkronizálva. Ez a 32 bites mező legalább 100 mikromásodperces időbélyeg-granulátumot támogat;
• Frame Type (P) és Frame Type (FT): az előbbi annak meghatározására szolgál, hogy az ERSPAN hordozzon-e Ethernet protokoll kereteket (PDU kereteket), az utóbbi pedig annak meghatározására szolgál, hogy az ERSPAN Ethernet kereteket vagy IP-csomagokat hordozzon-e.
• HW ID: az ERSPAN motor egyedi azonosítója a rendszeren belül;
• Gra (Timestamp Granularity) : Megadja az időbélyeg részletességét. Például a 00B a 100 mikroszekundumos szemcsézettséget, a 01B a 100 nanoszekundumos szemcsézettséget, a 10B IEEE 1588 szemcsézettséget jelenti, a 11B pedig platform-specifikus alfejléceket igényel a magasabb szemcsézettség eléréséhez.
• Platf ID vs. Platform Specific Info: A Platf Specific Info mezők formátuma és tartalma a Platf ID értékétől függően eltérő.
Meg kell jegyezni, hogy a fent támogatott különféle fejlécmezők normál ERSPAN-alkalmazásokban használhatók, még a hibakockák vagy BPDU-keretek tükrözésére is, az eredeti Trunk csomag és VLAN-azonosító megőrzése mellett. Ezenkívül a tükrözés során minden egyes ERSPAN-kerethez kulcsfontosságú időbélyeg-információkat és egyéb információs mezőket lehet hozzáadni.
Az ERSPAN saját szolgáltatásfejléceivel a hálózati forgalom kifinomultabb elemzését érhetjük el, majd egyszerűen beilleszthetjük a megfelelő ACL-t az ERSPAN folyamatba, hogy megfeleljen az minket érdeklő hálózati forgalomnak.
Az ERSPAN megvalósítja az RDMA munkamenet láthatóságát
Vegyünk egy példát az ERSPAN technológia használatára az RDMA munkamenet-vizualizáció elérésére RDMA forgatókönyvben:
RDMA: A távoli közvetlen memóriaelérés lehetővé teszi, hogy az A szerver hálózati adaptere olvassa és írja a B szerver memóriáját intelligens hálózati interfész kártyák (inics) és kapcsolók használatával, nagy sávszélességet, alacsony késleltetést és alacsony erőforrás-kihasználást érve el. Széles körben használják big data és nagy teljesítményű elosztott tárolási forgatókönyvekben.
RoCEv2: RDMA konvergens Etherneten keresztül, 2. verzió. Az RDMA adatok az UDP fejlécbe vannak beágyazva. A cél port száma 4791.
Az RDMA napi működtetése és karbantartása sok adat gyűjtését igényli, amelyek a napi vízszint-referenciavonalak és abnormális riasztások gyűjtésére, valamint a rendellenes problémák felderítésére szolgálnak. Az ERSPAN-val kombinálva nagy mennyiségű adat gyorsan rögzíthető, így mikromásodperces továbbítási minőségi adatok és a kapcsoló chip protokoll interakciós állapota érhető el. Az adatstatisztika és -elemzés révén az RDMA végpontok közötti továbbítási minőségértékelése és előrejelzése érhető el.
Az RDAM-munkamenet-vizualizáció eléréséhez az ERSPAN-nak kell megfeleltetnünk a kulcsszavakat az RDMA-interakciós munkamenetekhez a forgalom tükrözése során, és a szakértői kiterjesztett listát kell használnunk.
Szakértői szintű bővített lista megfelelő meződefiníció:
Az UDF öt mezőből áll: UDF kulcsszó, alapmező, eltolási mező, értékmező és maszkmező. A hardverbejegyzések kapacitása miatt összesen nyolc UDF használható. Egy UDF legfeljebb két bájttal egyezhet.
• UDF kulcsszó: UDF1... UDF8 Az UDF egyező tartomány nyolc kulcsszavát tartalmazza
• Alapmező: az UDF egyező mező kezdőpozícióját határozza meg. A következő
L4_header (RG-S6520-64CQ esetén)
L5_header (RG-S6510-48VS8Cq esetén)
• Eltolás: az alapmező alapján az eltolást jelzi. Az érték 0 és 126 között van
• Értékmező: egyező érték. A maszk mezővel együtt használható az egyeztetendő érték konfigurálására. Az érvényes bit két bájt
• Maszk mező: maszk, az érvényes bit két bájt
(Hozzáadás: Ha több bejegyzést használ ugyanabban az UDF egyező mezőben, akkor az alap és az eltolás mezőknek meg kell egyeznie.)
Az RDMA munkamenet állapotához társított két kulcscsomag a torlódási értesítési csomag (CNP) és a negatív nyugtázás (NAK):
Az előbbit az RDMA vevő generálja a switch által küldött ECN üzenet fogadása után (amikor az eout Buffer eléri a küszöbértéket), amely a torlódást okozó folyamról vagy QP-ről tartalmaz információkat. Ez utóbbi arra szolgál, hogy jelezze, hogy az RDMA átvitelnek van csomagvesztési válaszüzenete.
Nézzük meg, hogyan egyeztethetjük össze ezt a két üzenetet a szakértői szintű bővített lista segítségével:
szakértői hozzáférési lista kiterjesztett rdma
engedélyezése udp any any any any any eq 4791udf 1 l4_header 8 0x8100 0xFF00(Megfelelő RG-S6520-64CQ)
engedélyezése udp any any any any any eq 4791udf 1 l5_header 0 0x8100 0xFF00(Megfelelő RG-S6510-48VS8CQ)
szakértői hozzáférési lista kiterjesztett rdma
engedélyezése udp any any any any any eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Megfelelő RG-S6520-64CQ)
engedélyezése udp any any any any any eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Megfelelő RG-S6510-48VS8CQ)
Utolsó lépésként megjelenítheti az RDMA-munkamenetet a szakértői bővítmények listájának a megfelelő ERSPAN-folyamatba való beillesztésével.
Írd be az utolsóba
Az ERSPAN napjaink egyre nagyobb méretû adatközpont-hálózataiban, az egyre bonyolultabb hálózati forgalomban, valamint az egyre kifinomultabb hálózati üzemeltetési és karbantartási követelményekben az egyik nélkülözhetetlen eszköz.
Az O&M automatizálásának növekvő fokával az olyan technológiák, mint a Netconf, RESTconf és gRPC, népszerűek az O&M hallgatók körében a hálózati automatikus O&M-ben. A gRPC-nek a visszatükröző forgalom küldésének mögöttes protokolljaként való használata szintén számos előnnyel jár. Például a HTTP/2 protokoll alapján képes támogatni a streaming push mechanizmust ugyanazon a kapcsolaton. A ProtoBuf kódolással az információ mérete a felére csökken a JSON formátumhoz képest, ami gyorsabbá és hatékonyabbá teszi az adatátvitelt. Képzelje csak el, ha az ERSPAN segítségével tükrözi az érdeklődő adatfolyamokat, majd elküldi azokat az elemzőszerverre a gRPC-n, az nagyban javítja a hálózat automatikus működésének és karbantartásának képességét és hatékonyságát?
Feladás időpontja: 2022. május 10
