Manapság a hálózati megfigyelés és hibaelhárítás leggyakoribb eszköze a Switch Port Analyzer (SPAN), más néven porttükrözés.Lehetővé teszi számunkra a hálózati forgalom figyelését sávon kívüli bypass módban anélkül, hogy zavarnánk az élő hálózat szolgáltatásait, és a megfigyelt forgalom másolatát elküldi helyi vagy távoli eszközökre, beleértve a Sniffert, az IDS-t vagy más típusú hálózatelemző eszközöket.
Néhány tipikus felhasználás:
• Hálózati problémák elhárítása a vezérlő/adatkeretek követésével;
• A várakozási idő és a jitter elemzése a VoIP-csomagok figyelésével;
• A késleltetés elemzése a hálózati interakciók figyelésével;
• Anomáliák észlelése a hálózati forgalom figyelésével.
A SPAN forgalom helyileg tükrözhető ugyanazon forráseszköz más portjaira, vagy távolról tükrözhető a forráseszköz (RSPAN) 2. rétegével szomszédos más hálózati eszközökre.
Ma az ERSPAN (Encapsulated Remote Switch Port Analyzer) nevű távoli internetes forgalomfigyelő technológiáról fogunk beszélni, amely az IP három rétegén keresztül továbbítható.Ez a SPAN kiterjesztése az Encapsulated Remote-ra.
Az ERSPAN alapvető működési elvei
Először is vessünk egy pillantást az ERSPAN szolgáltatásaira:
• A csomag egy példánya a forrásportról elküldésre kerül a célszervernek az általános útválasztási tokozáson (GRE) keresztül történő elemzés céljából.A szerver fizikai helye nincs korlátozva.
• A chip User Defined Field (UDF) funkciója segítségével a szakértői szintű kiterjesztett listán keresztül a Base tartomány alapján bármilyen 1-126 bájtos eltolás végrehajtásra kerül, és a munkamenet kulcsszavai illeszkednek a vizualizáció megvalósításához. a munkamenet, például a TCP háromutas kézfogás és RDMA munkamenet;
• Támogatja a mintavételi frekvencia beállítását;
• Támogatja a csomagelfogási hosszt (Packet Slicing), csökkentve a célkiszolgálóra nehezedő nyomást.
Ezekkel a funkciókkal láthatja, hogy az ERSPAN miért nélkülözhetetlen eszköz az adatközpontokon belüli hálózatok megfigyeléséhez.
Az ERSPAN fő funkciói két vonatkozásban foglalhatók össze:
• Munkamenet láthatóság: Az ERSPAN segítségével összegyűjtheti az összes létrehozott új TCP és távoli közvetlen memóriaelérés (RDMA) munkamenetet a háttérkiszolgálóra megjelenítés céljából;
• Hálózati hibaelhárítás: Hálózati probléma esetén hibaelemzés céljából rögzíti a hálózati forgalmat.
Ehhez a forráshálózati eszköznek ki kell szűrnie a felhasználót érdeklő forgalmat a hatalmas adatfolyamból, másolatot kell készítenie, és minden másolatkeretet egy speciális "szuperkeret-tárolóba" kell zárnia, amely elegendő további információt tartalmaz ahhoz, hogy megfelelően kell elvezetni a fogadó eszközhöz.Ezenkívül lehetővé kell tenni a fogadó eszköz számára az eredeti megfigyelt forgalom kinyerését és teljes helyreállítását.
A fogadó eszköz lehet egy másik szerver, amely támogatja az ERSPAN-csomagok kicsomagolását.
Az ERSPAN típus- és csomagformátum-elemzés
Az ERSPAN csomagokat a GRE segítségével kapszulázzák, és Etherneten keresztül bármely IP címezhető célállomásra továbbítják.Az ERSPAN-t jelenleg főleg IPv4 hálózatokon használják, és a jövőben az IPv6 támogatása is követelmény lesz.
Az ERSAPN általános tokozási struktúrájához a következő az ICMP-csomagok tükörcsomag-rögzítése:
Az ERSPAN protokoll hosszú időn keresztül fejlődött, és képességeinek bővítésével több változata is kialakult, az úgynevezett "ERSPAN típusok".A különböző típusok különböző keretfejléc-formátumokkal rendelkeznek.
Az ERSPAN fejléc első Verzió mezőjében van meghatározva:
Ezenkívül a GRE fejléc Protokolltípus mezője a belső ERSPAN típust is jelzi.A 0x88BE Protokolltípus mező az ERSPAN Type II-t, a 0x22EB pedig az ERSPAN Type III-t jelöli.
1. I. típus
Az I. típusú ERSPAN keret közvetlenül az eredeti tükörkeret fejlécébe zárja be az IP-t és a GRE-t.Ez a beágyazás 38 bájtot ad hozzá az eredeti kerethez: 14 (MAC) + 20 (IP) + 4 (GRE).Ennek a formátumnak az az előnye, hogy kompakt fejlécmérettel rendelkezik, és csökkenti az átvitel költségeit.Mivel azonban a GRE Flag és Version mezőit 0-ra állítja, nem tartalmaz kiterjesztett mezőket, és az I. típust nem használják széles körben, így nincs szükség további bővítésre.
Az I. típusú GRE fejléc formátuma a következő:
2. II
A II. típusban a GRE fejlécben a C, R, K, S, S, Recur, Flags és Version mezők mindegyike 0, kivéve az S mezőt.Ezért a Sorozatszám mező megjelenik a II. típusú GRE fejlécében.Ez azt jelenti, hogy a II-es típus biztosítja a GRE-csomagok fogadásának sorrendjét, így a nagyszámú, rendetlen GRE-csomagot hálózati hiba miatt nem lehet rendezni.
A II típusú GRE fejléc formátuma a következő:
Ezenkívül az ERSPAN Type II keretformátum egy 8 bájtos ERSPAN-fejlécet ad a GRE-fejléc és az eredeti tükrözött keret közé.
A II típusú ERSPAN fejléc formátuma a következő:
Végül, közvetlenül az eredeti képkeret után a szabványos 4 bájtos Ethernet ciklikus redundancia-ellenőrző (CRC) kód.
Érdemes megjegyezni, hogy a megvalósításban a tükörkeret nem tartalmazza az eredeti keret FCS mezőjét, helyette a teljes ERSPAN alapján egy új CRC értéket számítanak újra.Ez azt jelenti, hogy a fogadó eszköz nem tudja ellenőrizni az eredeti keret CRC helyességét, és csak azt feltételezhetjük, hogy csak a sértetlen keretek tükröződnek.
3. Típus III
A Type III egy nagyobb és rugalmasabb összetett fejlécet vezet be az egyre összetettebb és változatosabb hálózati megfigyelési forgatókönyvek kezelésére, beleértve, de nem kizárólagosan a hálózatkezelést, a behatolásészlelést, a teljesítmény- és késleltetéselemzést és még sok mást.Ezeknek a jeleneteknek ismerniük kell a tükörkeret összes eredeti paraméterét, és tartalmazniuk kell azokat, amelyek nem szerepelnek magában az eredeti képkockában.
Az ERSPAN Type III összetett fejléc tartalmaz egy kötelező 12 bájtos fejlécet és egy opcionális 8 bájtos platformspecifikus alfejlécet.
A III típusú ERSPAN fejléc formátuma a következő:
Ismét az eredeti tükörkeret után egy 4 bájtos CRC.
Amint a III. típusú fejlécformátumból látható, a Ver, VLAN, COS, T és Session ID mezők megőrzése mellett a Type II alapján számos speciális mező is hozzáadásra kerül, mint pl.
• BSO: az ERSPAN-on keresztül szállított adatkeretek betöltési integritásának jelzésére szolgál.00 egy jó keret, 11 egy rossz keret, 01 egy rövid keret, 11 egy nagy keret;
• Időbélyeg: a hardveres órából exportálva, a rendszeridővel szinkronizálva.Ez a 32 bites mező legalább 100 mikromásodperces időbélyeg-granulátumot támogat;
• Frame Type (P) és Frame Type (FT): az előbbi annak meghatározására szolgál, hogy az ERSPAN hordozzon-e Ethernet protokoll kereteket (PDU kereteket), az utóbbi pedig annak meghatározására szolgál, hogy az ERSPAN Ethernet kereteket vagy IP-csomagokat hordozzon-e.
• HW ID: az ERSPAN motor egyedi azonosítója a rendszeren belül;
• Gra (Timestamp Granularity) : Megadja az időbélyeg részletességét.Például a 00B a 100 mikroszekundumos szemcsézettséget, a 01B a 100 nanoszekundumos szemcsézettséget, a 10B IEEE 1588 szemcsézettséget jelenti, a 11B pedig platform-specifikus alfejléceket igényel a magasabb szemcsézettség eléréséhez.
• Platf ID vs. Platform Specific Info: A Platf Specific Info mezők formátuma és tartalma a Platf ID értékétől függően eltérő.
Meg kell jegyezni, hogy a fent támogatott különféle fejlécmezők normál ERSPAN-alkalmazásokban használhatók, még a hibakockák vagy BPDU-keretek tükrözésére is, az eredeti Trunk csomag és VLAN-azonosító megőrzése mellett.Ezenkívül a tükrözés során minden ERSPAN-kerethez kulcsfontosságú időbélyeg-információkat és egyéb információs mezőket lehet hozzáadni.
Az ERSPAN saját szolgáltatásfejléceivel a hálózati forgalom kifinomultabb elemzését érhetjük el, majd egyszerűen beilleszthetjük a megfelelő ACL-t az ERSPAN folyamatba, hogy megfeleljen az minket érdeklő hálózati forgalomnak.
Az ERSPAN megvalósítja az RDMA munkamenet láthatóságát
Vegyünk egy példát az ERSPAN technológia használatára az RDMA munkamenet-vizualizáció elérésére RDMA forgatókönyvben:
RDMA: A távoli közvetlen memóriaelérés lehetővé teszi, hogy az A szerver hálózati adaptere olvassa és írja be a B szerver memóriáját intelligens hálózati interfész kártyák (inics) és kapcsolók használatával, nagy sávszélességet, alacsony késleltetést és alacsony erőforrás-kihasználást érve el.Széles körben használják big data és nagy teljesítményű elosztott tárolási forgatókönyvekben.
RoCEv2: RDMA konvergens Etherneten keresztül, 2. verzió. Az RDMA adatok az UDP fejlécbe vannak beágyazva.A cél port száma 4791.
Az RDMA napi működtetése és karbantartása sok adat gyűjtését igényli, amelyek a napi vízszint-referenciavonalak és abnormális riasztások gyűjtésére, valamint a rendellenes problémák felderítésére szolgálnak.Az ERSPAN-val kombinálva nagy mennyiségű adat gyorsan rögzíthető, így mikromásodperces továbbítási minőségi adatok és a kapcsoló chip protokoll interakciós állapota érhető el.Az adatstatisztika és -elemzés révén az RDMA végpontok közötti továbbítási minőségértékelése és előrejelzése érhető el.
Az RDAM-munkamenet-vizualizáció eléréséhez az ERSPAN-nak kell megfeleltetnünk a kulcsszavakat az RDMA-interakciós munkamenetekhez a forgalom tükrözésekor, és a szakértői kiterjesztett listát kell használnunk.
Szakértői szintű bővített lista megfelelő meződefiníció:
Az UDF öt mezőből áll: UDF kulcsszó, alapmező, eltolási mező, értékmező és maszkmező.A hardverbejegyzések kapacitása miatt összesen nyolc UDF használható.Egy UDF legfeljebb két bájttal egyezhet.
• UDF kulcsszó: UDF1... UDF8 Az UDF egyező tartomány nyolc kulcsszavát tartalmazza
• Alapmező: az UDF egyező mező kezdőpozícióját határozza meg.A következő
L4_header (RG-S6520-64CQ esetén)
L5_header (RG-S6510-48VS8Cq esetén)
• Eltolás: az alapmező alapján az eltolást jelzi.Az érték 0 és 126 között van
• Értékmező: egyező érték.A maszk mezővel együtt használható az egyeztetendő érték konfigurálására.Az érvényes bit két bájt
• Maszk mező: maszk, az érvényes bit két bájt
(Hozzáadás: Ha több bejegyzést használ ugyanabban az UDF egyező mezőben, akkor az alap és az eltolás mezőknek meg kell egyeznie.)
Az RDMA munkamenet állapotához társított két kulcscsomag a torlódási értesítési csomag (CNP) és a negatív nyugtázás (NAK):
Az előbbit az RDMA vevő generálja a switch által küldött ECN üzenet fogadása után (amikor az eout Buffer eléri a küszöbértéket), amely a torlódást okozó folyamról vagy QP-ről tartalmaz információkat.Ez utóbbi arra szolgál, hogy jelezze, hogy az RDMA átvitelnek van csomagvesztési válaszüzenete.
Nézzük meg, hogyan egyeztethetjük össze ezt a két üzenetet a szakértői szintű bővített lista segítségével:
szakértői hozzáférési lista kiterjesztett rdma
engedélyezése udp any any any any any eq 4791udf 1 l4_header 8 0x8100 0xFF00(Megfelelő RG-S6520-64CQ)
engedélyezése udp any any any any any eq 4791udf 1 l5_header 0 0x8100 0xFF00(Megfelelő RG-S6510-48VS8CQ)
szakértői hozzáférési lista kiterjesztett rdma
engedélyezése udp any any any any any eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Megfelelő RG-S6520-64CQ)
engedélyezése udp any any any any any eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Megfelelő RG-S6510-48VS8CQ)
Utolsó lépésként megjelenítheti az RDMA-munkamenetet a szakértői bővítmények listájának a megfelelő ERSPAN-folyamatba való beillesztésével.
Írd be az utolsóba
Az ERSPAN napjaink egyre nagyobb méretû adatközpont-hálózataiban, az egyre bonyolultabb hálózati forgalomban, valamint az egyre kifinomultabb hálózati üzemeltetési és karbantartási követelményekben az egyik nélkülözhetetlen eszköz.
Az O&M automatizálásának növekvő fokával az olyan technológiák, mint a Netconf, RESTconf és gRPC, népszerűek az O&M hallgatók körében a hálózati automatikus O&M-ben.A gRPC-nek a visszatükröző forgalom küldésének mögöttes protokolljaként való használata szintén számos előnnyel jár.Például a HTTP/2 protokoll alapján képes támogatni a streaming push mechanizmust ugyanazon a kapcsolaton.A ProtoBuf kódolással az információ mérete a felére csökken a JSON formátumhoz képest, ami gyorsabbá és hatékonyabbá teszi az adatátvitelt.Képzelje csak el, ha az ERSPAN segítségével tükrözi az érdeklődő adatfolyamokat, majd elküldi azokat az elemzőszerverre a gRPC-n, az nagyban javítja a hálózat automatikus működésének és karbantartásának képességét és hatékonyságát?
Feladás időpontja: 2022. május 10
