A hálózatfigyelés és hibaelhárítás leggyakoribb eszköze napjainkban a Switch Port Analyzer (SPAN), más néven porttükrözés. Lehetővé teszi a hálózati forgalom monitorozását bypass sávon kívüli módban anélkül, hogy megzavarnánk az élő hálózat szolgáltatásait, és a monitorozott forgalom másolatát elküldi helyi vagy távoli eszközökre, beleértve a Sniffert, az IDS-t vagy más típusú hálózatelemző eszközöket.
Néhány tipikus felhasználási mód:
• Hálózati problémák elhárítása vezérlő/adatkeretek követésével;
• Elemezze a késleltetést és a jittert VoIP csomagok monitorozásával;
• A késleltetés elemzése a hálózati interakciók monitorozásával;
• Anomáliák észlelése a hálózati forgalom monitorozásával.
A SPAN forgalom lokálisan tükrözhető ugyanazon a forráseszközön lévő más portokra, vagy távolról tükrözhető a forráseszköz 2. rétegéhez (RSPAN) szomszédos más hálózati eszközökre.
Ma az ERSPAN (Encapsulated Remote Switch Port Analyzer) nevű távoli internetes forgalomfigyelő technológiáról fogunk beszélni, amely három IP-rétegen keresztül képes továbbítani az adatokat. Ez a SPAN kiterjesztése az Encapsulated Remote-ra.
Az ERSPAN alapvető működési elvei
Először is, nézzük meg az ERSPAN funkcióit:
• A forrásportról érkező csomag másolata a célkiszolgálóra kerül elemzésre az általános útválasztási beágyazáson (GRE) keresztül. A kiszolgáló fizikai helye nincs korlátozva.
• A chip User Defined Field (UDF) funkciójának segítségével bármilyen 1 és 126 bájt közötti eltolást végrehajt a bázistartomány alapján a szakértői szintű kibővített listán keresztül, és a munkamenet-kulcsszavak egyeztetésével megvalósítja a munkamenet vizualizációját, például a TCP háromirányú kézfogást és az RDMA munkamenetet;
• Támogatja a mintavételi frekvencia beállítását;
• Támogatja a csomagok elfogásának hosszát (csomagszeletelés), csökkentve a célkiszolgálóra nehezedő terhelést.
Ezekkel a funkciókkal megértheti, miért nélkülözhetetlen eszköz az ERSPAN a mai adatközpontokon belüli hálózatok monitorozásában.
Az ERSPAN főbb funkciói két szempontból foglalhatók össze:
• Munkamenet láthatósága: Az ERSPAN használatával összegyűjtheti az összes létrehozott új TCP és távoli közvetlen memória-hozzáférésű (RDMA) munkamenetet a háttérkiszolgálón megjelenítés céljából;
• Hálózati hibaelhárítás: Rögzíti a hálózati forgalmat hibaelemzés céljából, amikor hálózati probléma merül fel.
Ehhez a forrás hálózati eszköznek ki kell szűrnie a felhasználót érdeklő forgalmat a hatalmas adatfolyamból, másolatot kell készítenie, és minden másolt keretet egy speciális „szuperkeret-tárolóba” kell csomagolnia, amely elegendő további információt tartalmaz ahhoz, hogy az megfelelően továbbítható legyen a fogadó eszközhöz. Továbbá lehetővé kell tennie a fogadó eszköz számára az eredetileg monitorozott forgalom kinyerését és teljes helyreállítását.
A fogadó eszköz lehet egy másik szerver, amely támogatja az ERSPAN csomagok dekapszulázását.
Az ERSPAN típus- és csomagformátum-elemzése
Az ERSPAN csomagokat GRE segítségével kapszulázzák, és Etherneten keresztül továbbítják bármely IP-címezhető célállomásra. Az ERSPAN-t jelenleg főként IPv4 hálózatokon használják, és a jövőben az IPv6 támogatása is követelmény lesz.
Az ERSAPN általános beágyazási struktúrájához a következő egy tükrözött csomagrögzítés az ICMP csomagokról:
Az ERSPAN protokoll hosszú idő alatt fejlődött, és a képességeinek bővülésével számos változata alakult ki, amelyeket "ERSPAN típusoknak" neveznek. A különböző típusok eltérő keretfejléc-formátumokkal rendelkeznek.
Az ERSPAN fejléc első Verzió mezőjében van definiálva:
Ezenkívül a GRE fejlécben található Protocol Type mező a belső ERSPAN típust is jelzi. A 0x88BE értékű Protocol Type mező az ERSPAN II. típust, a 0x22EB pedig az ERSPAN III. típust jelöli.
1. I. típus
Az I. típusú ERSPAN keret közvetlenül az eredeti tükrözött keret fejléce fölé ágyazza be az IP-t és a GRE-t. Ez a beágyazás 38 bájttal növeli az eredeti keret méretét: 14(MAC) + 20(IP) + 4(GRE). Ennek a formátumnak az az előnye, hogy kompakt fejlécmérettel rendelkezik, és csökkenti az átviteli költségeket. Mivel azonban a GRE Flag és Version mezőket 0-ra állítja, nem tartalmaz kiterjesztett mezőket, és az I. típust nem széles körben használják, így nincs szükség további bővítésre.
Az I. típusú GRE fejléc formátuma a következő:
2. II. típus
A II. típusban a GRE fejlécben a C, R, K, S, S, Recur, Flags és Version mezők mind 0-k, kivéve az S mezőt. Ezért a Sorszám mező megjelenik a II. típus GRE fejlécében. Vagyis a II. típus biztosítani tudja a GRE csomagok fogadásának sorrendjét, így nagyszámú, sorrenden kívüli GRE csomagot nem lehet szortírozni hálózati hiba miatt.
A II. típusú GRE fejléc formátuma a következő:
Ezenkívül az ERSPAN II. típusú keretformátum egy 8 bájtos ERSPAN fejlécet ad hozzá a GRE fejléc és az eredeti tükrözött keret közé.
A II. típusú ERSPAN fejléc formátuma a következő:
Végül, közvetlenül az eredeti képkockát követően, a szabványos 4 bájtos Ethernet ciklikus redundancia-ellenőrző (CRC) kód következik.
Érdemes megjegyezni, hogy a megvalósításban a tükrözött képkocka nem tartalmazza az eredeti képkocka FCS mezőjét, ehelyett egy új CRC-érték kerül újraszámításra a teljes ERSPAN alapján. Ez azt jelenti, hogy a fogadó eszköz nem tudja ellenőrizni az eredeti képkocka CRC-helyességét, és csak azt feltételezhetjük, hogy csak a sértetlen képkockák tükröződnek.
3. III. típus
A III. típus egy nagyobb és rugalmasabb összetett fejlécet vezet be az egyre összetettebb és változatosabb hálózatfelügyeleti forgatókönyvek kezelésére, beleértve, de nem kizárólagosan a hálózatkezelést, a behatolásérzékelést, a teljesítmény- és késleltetéselemzést és egyebeket. Ezeknek a jeleneteknek ismerniük kell a tükrözött keret összes eredeti paraméterét, és azokat is tartalmazniuk kell, amelyek nem szerepelnek magában az eredeti keretben.
Az ERSPAN III típusú összetett fejléc egy kötelező 12 bájtos fejlécet és egy opcionális 8 bájtos platformspecifikus alfejlécet tartalmaz.
A III. típusú ERSPAN fejléc formátuma a következő:
Ismét, az eredeti tükörkeret után egy 4 bájtos CRC található.
Amint az a III. típusú fejlécformátumból látható, a Ver, VLAN, COS, T és Session ID mezők II. típusú alapú megtartása mellett számos speciális mezőt is hozzáadnak, például:
• BSO: az ERSPAN-on keresztül továbbított adatkeretek betöltési integritásának jelzésére szolgál. A 00 jó keretet, a 11 rossz keretet, a 01 rövid keretet, a 11 pedig nagy keretet jelent;
• Időbélyeg: a hardverórából exportálva, a rendszeridővel szinkronizálva. Ez a 32 bites mező legalább 100 mikroszekundumos időbélyeg-granularitást támogat;
• Kerettípus (P) és Kerettípus (FT): az előbbivel határozható meg, hogy az ERSPAN Ethernet protokoll kereteket (PDU kereteket) szállít-e, az utóbbival pedig azt, hogy az ERSPAN Ethernet kereteket vagy IP csomagokat szállít-e.
• HW ID: az ERSPAN motor egyedi azonosítója a rendszeren belül;
• Gra (Időbélyeg granularitása): Meghatározza az időbélyeg granularitását. Például a 00B 100 mikroszekundumos granularitást, a 01B 100 nanoszekundumos granularitást, a 10B IEEE 1588 granularitást, a 11B pedig platformspecifikus alfejléceket igényel a magasabb granularitás eléréséhez.
• Platformazonosító vs. platformspecifikus információk: A platformspecifikus információs mezők formátuma és tartalma a platformazonosító értékétől függően eltérő.
Meg kell jegyezni, hogy a fent támogatott különféle fejlécmezők használhatók a szokásos ERSPAN alkalmazásokban, akár hibakeretek vagy BPDU keretek tükrözésekor is, miközben megőrzik az eredeti Trunk csomagot és VLAN azonosítót. Ezenkívül a tükrözés során minden ERSPAN kerethez hozzáadhatók kulcs időbélyeg információk és egyéb információmezők.
Az ERSPAN saját funkciófejléceivel finomabb elemzést érhetünk el a hálózati forgalomról, majd egyszerűen csatolhatjuk a megfelelő ACL-t az ERSPAN folyamathoz, hogy az megfeleljen a minket érdeklő hálózati forgalomnak.
Az ERSPAN megvalósítja az RDMA munkamenet láthatóságát
Vegyünk egy példát az ERSPAN technológia használatára RDMA munkamenet-vizualizáció eléréséhez egy RDMA forgatókönyvben:
RDMAA távoli közvetlen memória-hozzáférés lehetővé teszi az A szerver hálózati adaptere számára, hogy intelligens hálózati interfészkártyák (INIC-k) és kapcsolók segítségével olvassa és írja a B szerver memóriáját, így nagy sávszélességet, alacsony késleltetést és alacsony erőforrás-kihasználást érve el. Széles körben használják big data és nagy teljesítményű elosztott tárolási forgatókönyvekben.
RoCEv2RDMA konvergált Ethernet 2-es verzión keresztül. Az RDMA adatok az UDP fejlécbe vannak ágyazva. A célport száma 4791.
Az RDMA napi üzemeltetése és karbantartása rengeteg adat gyűjtését igényli, amelyeket a napi vízszint-referenciavonalak és a rendellenes riasztások gyűjtésére, valamint a rendellenes problémák helyének meghatározására használnak. Az ERSPAN-nal kombinálva hatalmas mennyiségű adat gyorsan rögzíthető, így mikroszekundumos továbbítási minőségi adatok és a kapcsolóchip protokoll-interakciós állapota nyerhető ki. Az adatstatisztikák és -elemzés révén az RDMA teljes körű továbbítási minőségértékelése és előrejelzése végezhető el.
Az RDAM munkamenet-vizualizáció eléréséhez az ERSPAN-ra van szükségünk a forgalom tükrözésekor az RDMA interakciós munkamenetek kulcsszavainak egyeztetéséhez, és a szakértői kiterjesztett listát kell használnunk.
Szakértői szintű bővített lista egyezési mező definíciója:
Az UDF öt mezőből áll: UDF kulcsszó, alapmező, eltolás mező, érték mező és maszk mező. A hardverbejegyzések kapacitásától függően összesen nyolc UDF használható. Egy UDF legfeljebb két bájtnak felelhet meg.
• UDF kulcsszó: UDF1... UDF8 Az UDF-fel egyező tartomány nyolc kulcsszavát tartalmazza
• Alapmező: az UDF egyezési mező kezdőpozícióját azonosítja. A következő
L4_fejléc (RG-S6520-64CQ esetén alkalmazható)
L5_fejléc (RG-S6510-48VS8Cq-hoz)
• Eltolás: az alapmezőhöz viszonyított eltolást jelzi. Az érték 0 és 126 között mozog.
• Érték mező: egyező érték. A maszk mezővel együtt használható az egyeztetendő konkrét érték konfigurálásához. Az érvényes bit két bájt.
• Maszk mező: maszk, az érvényes bit két bájt
(Hozzáadás: Ha több bejegyzést használunk ugyanabban az UDF egyezési mezőben, akkor az alap- és az eltolásmezőknek meg kell egyezniük.)
Az RDMA munkamenet állapotához kapcsolódó két kulcsfontosságú csomag a torlódási értesítési csomag (CNP) és a negatív visszaigazolás (NAK):
Az előbbit az RDMA vevő generálja a kapcsoló által küldött ECN üzenet vétele után (amikor az eout puffer eléri a küszöbértéket), amely információt tartalmaz a torlódást okozó folyamról vagy QP-ről. Az utóbbi annak jelzésére szolgál, hogy az RDMA átvitel csomagvesztési válaszüzenetet tartalmaz.
Nézzük meg, hogyan párosíthatjuk ezt a két üzenetet a szakértői szintű kibővített lista használatával:
szakértői hozzáférési lista kiterjesztett rdma
engedély udp bármilyen bármilyen bármilyen bármilyen eq 4791udf 1 l4_header 8 0x8100 0xFF00(RG-S6520-64CQ-hoz illeszkedő)
engedély udp bármilyen bármilyen bármilyen bármilyen eq 4791udf 1 l5_header 0 0x8100 0xFF00(RG-S6510-48VS8CQ-hoz illő)
szakértői hozzáférési lista kiterjesztett rdma
engedély udp bármilyen bármilyen bármilyen bármilyen eq 4791udf 1 l4_fejléc 8 0x1100 0xFF00 udf 2 l4_fejléc 20 0x6000 0xFF00(RG-S6520-64CQ-hoz illeszkedő)
engedély udp bármilyen bármilyen bármilyen bármilyen eq 4791udf 1 l5_fejléc 0 0x1100 0xFF00 udf 2 l5_fejléc 12 0x6000 0xFF00(RG-S6510-48VS8CQ-hoz illő)
Végül, az RDMA munkamenet vizualizálásához csatolja a szakértői kiterjesztéslistát a megfelelő ERSPAN folyamathoz.
Írd be az utolsóba
Az ERSPAN az egyik nélkülözhetetlen eszköz a mai egyre nagyobb adatközpont-hálózatokban, az egyre összetettebb hálózati forgalomban, valamint az egyre kifinomultabb hálózatüzemeltetési és karbantartási követelményekben.
Az üzemeltetési és üzemeltetési automatizálás növekvő mértékével az olyan technológiák, mint a Netconf, a RESTconf és a gRPC, népszerűvé váltak az üzemeltetési és üzemeltetési hallgatók körében a hálózati automatikus üzemeltetés és üzemeltetés területén. A gRPC használata a tükrözött forgalom visszaküldésének alapjául szolgáló protokollként szintén számos előnnyel jár. Például a HTTP/2 protokoll alapján támogatni tudja a streaming push mechanizmust ugyanazon a kapcsolaton belül. A ProtoBuf kódolással az információ mérete a felére csökken a JSON formátumhoz képest, így az adatátvitel gyorsabb és hatékonyabb. Képzelje csak el, ha az ERSPAN-t használja az érdekelt streamek tükrözésére, majd gRPC-n küldi el azokat az elemző szerverre, vajon ez jelentősen javítja-e a hálózat automatikus működésének és karbantartásának képességét és hatékonyságát?
Közzététel ideje: 2022. május 10.
