Наиболее распространенным инструментом для мониторинга сети и устранения неполадок сегодня является анализатор порта Switch (SPAN), также известный как зеркалирование порта. Это позволяет нам отслеживать сетевой трафик в обходе из режима полосы, не вмешиваясь в услуги в живой сети, и отправляет копию контролируемого трафика на локальные или удаленные устройства, включая Sniffer, IDS или другие типы инструментов анализа сетевого анализа.
Некоторые типичные использование:
• Устранение неполадок в сети задач путем отслеживания управления/кадров данных;
• Анализ задержки и дрожания путем мониторинга пакетов VoIP;
• анализировать задержку путем мониторинга взаимодействия сети;
• Обнаружение аномалий путем мониторинга сетевого трафика.
Трафик SPAN может быть локально зеркально зеркально для других портов на одном и том же исходном устройстве или удаленно отражено с другими сетевыми устройствами, прилегающими к уровню 2 исходного устройства (RSPAN).
Сегодня мы собираемся поговорить о технологии удаленного интернет -мониторинга, называемой ERSPAN (инкапсулированный анализатор порта удаленного коммутатора), которая может быть передана на трех уровнях IP. Это расширение пролета для инкапсулированного пульта.
Основные принципы операции ERSPAN
Во -первых, давайте посмотрим на функции Эрспана:
• Копия пакета из исходного порта отправляется на сервер назначения для анализа с помощью общей инкапсуляции маршрутизации (GRE). Физическое местоположение сервера не ограничено.
• С помощью пользовательского поля (UDF) чипа, любое смещение от 1 до 126 байтов осуществляется на основе базового домена через расширенный список экспертов, а ключевые слова сеанса сопоставлены, чтобы реализовать визуализацию сеанса, например, с сеансом ручной работы TCP и RDMA;
• Скорость выборки настройки поддержки;
• Поддерживает длину перехвата пакетов (нарезка пакетов), снижая давление на целевой сервер.
С этими функциями вы можете понять, почему ERSPAN является важным инструментом для мониторинга сетей внутри центров обработки данных сегодня.
Основные функции Эрспана могут быть обобщены в двух аспектах:
• Видимость сеанса: используйте ERSPAN для сбора всех созданных новых сеансов TCP и удаленного прямого доступа к памяти (RDMA) на внутренний сервер для отображения;
• Устранение неисправностей сети: захватывает сетевой трафик для анализа неисправностей, когда возникает проблема сети.
Для этого исходное сетевое устройство должно отфильтровать интересующий трафик для пользователя из массового потока данных, создать копию и инкапсулировать каждую кадр копирования в специальный «контейнер суперфреймов», который содержит достаточно дополнительной информации, чтобы его можно было правильно направить в приемное устройство. Более того, позволяйте приемному устройству извлечь и полностью восстановить исходный контролируемый трафик.
Приемное устройство может быть еще одним сервером, который поддерживает декапсулирование пакетов ERSPAN.
Анализ типа ERSPAN и формата упаковки
Пакеты ERSPAN инкапсулируются с использованием GRE и перенаправлены в любое IP -адресное назначение через Ethernet. В настоящее время ERSPAN в основном используется в сетях IPv4, а поддержка IPv6 будет требованиями в будущем.
Для общей структуры инкапсуляции ERESAPN ниже приводится захват зеркального пакета пакетов ICMP:
Кроме того, поле типа протокола в заголовке GRE также указывает внутренний тип ERSPAN. Поле типа протокола 0x88BE указывает ERSPAN TYPE II, а 0x22EB указывает ERSPAN TIPE III.
1. Тип i
Эрспановая рама типа I инкапсулирует IP и GRE прямо над заголовком исходной зеркальной рамы. Эта инкапсуляция добавляет 38 байтов по исходной кадре: 14 (Mac) + 20 (ip) + 4 (GRE). Преимущество этого формата заключается в том, что он имеет компактный размер заголовка и снижает стоимость передачи. Однако, поскольку он устанавливает поля Flag и версии GRE на 0, он не несет никаких расширенных полей, а тип I не широко используется, поэтому нет необходимости расширять больше.
Формат заголовка GRE типа I выглядит следующим образом:
2. Тип II
В типе II, C, R, R, K, S, S, Recur, Flags и Version Fields в заголовке GRE - все 0, кроме поля S. Следовательно, поле номера последовательности отображается в заголовке GRE типа II. То есть тип II может обеспечить порядок получения пакетов GRE, чтобы нельзя отсортировать большое количество пакетов GRE вне порядка.
Формат заголовка GRE типа II выглядит следующим образом:
Кроме того, формат кадра Erspan Type II добавляет 8-байтовый заголовок ERSPAN между заголовком GRE и оригинальной зеркальной рамой.
Формат заголовка ERSPAN для типа II выглядит следующим образом:
Наконец, сразу же после исходного кадра изображения является стандартным кодом 4-байтовой циклической проверки циклической избыточной проверки (CRC).
Стоит отметить, что в реализации зеркальная кадр не содержит поле FCS исходного кадра, вместо этого новое значение CRC пересчитывается на основе всего ERSPAN. Это означает, что приемное устройство не может проверить корректность CRC исходного кадра, и мы можем только предположить, что только нерешимые рамки зеркалируются.
3. Тип III
Тип III представляет более крупный и более гибкий составный заголовок для решения все более сложных и разнообразных сценариев мониторинга сети, включая, помимо прочего, управление сетью, обнаружение вторжений, анализ производительности и задержки и многое другое. Эти сцены должны знать все исходные параметры зеркального кадра и включать в себя те, которые не присутствуют в самой исходной кадре.
Композитный заголовок ERSPAN Type III включает в себя обязательный 12-байтовый заголовок и дополнительный 8-байтовый подзаголовье.
Формат заголовка ERSPAN для типа III выглядит следующим образом:
Опять же, после оригинальной зеркальной рамы-4-байтовая CRC.
Как видно из формата заголовка типа III, в дополнение к сохранению полей VER, VLAN, COS, T и идентификатора сеанса на основе типа II, добавляются многие специальные поля, такие как::
• BSO: используется для указания целостности нагрузки рамков данных, переносимых через ERSPAN. 00 - хорошая рама, 11 - плохая рама, 01 - короткая рама, 11 - большая рама;
• TimeStamp: экспортируется из аппаратных часов, синхронизированных с системным временем. Это 32-разрядное поле поддерживает не менее 100 микросекунд гранулярной метки времени;
• Тип кадры (P) и тип кадра (FT): первый используется для указания, несет ли ERSPAN рамы протокола Ethernet (рамы PDU), а последний используется для указания, носит ли ERSPAN рамы Ethernet или IP -пакеты.
• HW ID: уникальный идентификатор двигателя ERSPAN в системе;
• GRA (Гранулярность временной метки): указывает гранулярность временной метки. Например, 00B представляет 100 микросекундной гранулярности, 01b 100 наносекундной гранулярность, 10B IEEE 1588 зернистость и 11b требуют специфических для платформы подзадиров для достижения более высокой гранулярности.
• Идентификатор PLATF против конкретной платформы: Информационные поля PLATF имеют разные форматы и содержимое в зависимости от значения идентификатора PLATF.
Следует отметить, что различные поля заголовка, поддерживаемые выше, могут использоваться в регулярных приложениях ERSPAN, даже отражают рамы ошибок или рамки BPDU, сохраняя при этом исходный пакет багажника и идентификатор VLAN. Кроме того, ключевая информация о временной метке и другие информационные поля могут быть добавлены в каждую кадр ERSPAN во время зеркалирования.
Благодаря собственным заголовкам функций ERSPAN мы можем добиться более утонченного анализа сетевого трафика, а затем просто установить соответствующий ACL в процессе ERSPAN, чтобы соответствовать сетевому трафику, который нас интересует.
ERSPAN реализует видимость сеанса RDMA
Давайте возьмем пример использования технологии ERSPAN для достижения визуализации сеанса RDMA в сценарии RDMA:
RDMA: Удаленный доступ прямой памяти позволяет сетевому адаптеру сервера A для чтения и записи памяти сервера B с использованием интеллектуальных сетевых интерфейсных карт (INics) и переключателей, достижения высокой пропускной способности, низкой задержки и низкого использования ресурсов. Он широко используется в больших данных и сценариях распределенного хранения с высокой производительности.
Rocev2: RDMA над конвергентным Ethernet версии 2. Данные RDMA инкапсулируются в заголовке UDP. Номер порта назначения 4791.
Ежедневная эксплуатация и обслуживание RDMA требует сбора большого количества данных, которые используются для сбора ежедневных эталонных линий уровня воды и аномальных сигналов тревоги, а также основы для определения аномальных проблем. В сочетании с ERSPAN можно быстро получить массовые данные для получения микросекундных данных качества пересылки и состояния взаимодействия протокола переключения чипа. Посредством статистики и анализа данных можно получить оценку и прогноз качества и прогнозирование RDMA.
Чтобы достичь визуализации сеанса RDAM, нам нужно ERSPAN, чтобы соответствовать ключевым словам для сеансов взаимодействия RDMA при зеркальном движении, и нам нужно использовать расширенный список экспертов.
Расширенное сопоставление списков экспертного уровня: определение поля:
UDF состоит из пяти полей: ключевое слово UDF, базовое поле, поле смещения, поле значения и поле маски. Ограниченное емкостью аппаратных записей, можно использовать в общей сложности восемь UDF. Один UDF может соответствовать максимум двух байт.
• Ключевое слово UDF: UDF1 ... UDF8 содержит восемь ключевых слов домена соответствия UDF
• Базовое поле: идентифицирует начальную позицию поля соответствия UDF. Следующее
L4_header (применимо к RG-S6520-64CQ)
L5_header (для RG-S6510-48VS8CQ)
• Смещение: указывает смещение на основе базового поля. Значение колеблется от 0 до 126
• Поле значения: соответствующее значение. Его можно использовать вместе с полем маски для настройки конкретного значения, которое будет сопоставлено. Действительный бит - два байта
• Поле маски: маска, допустимый бит - два байта
(Добавить: если в одном и том же поле соответствия UDF используются несколько записей, базовые и смещенные поля должны быть одинаковыми.)
Два ключевых пакета, связанных со статусом сеанса RDMA, - это пакет уведомлений о перегрузке (CNP) и отрицательное подтверждение (NAK):
Первый генерируется приемником RDMA после получения сообщения ECN, отправленного переключателем (когда буфер EOUT достигает порога), которое содержит информацию о потоке или QP, вызывая заторы. Последнее используется для обозначения, что передача RDMA имеет сообщение о ответе на потерю пакета.
Давайте посмотрим, как сопоставить эти два сообщения, используя расширенный список экспертного уровня:
Expert Access-List расширенный RDMA
Разрешить UDP любому любомуму уравнению 4791UDF 1 L4_Header 8 0x8100 0xff00(Соответствующий RG-S6520-64CQ)
Разрешить UDP любому любомуму уравнению 4791UDF 1 L5_Header 0x8100 0xff00(Соответствующий RG-S6510-48VS8CQ)
Expert Access-List расширенный RDMA
Разрешить UDP любому любомуму уравнению 4791UDF 1 L4_Header 8 0x1100 0xff00 UDF 2 L4_Header 20 0x6000 0xff00(Соответствующий RG-S6520-64CQ)
Разрешить UDP любому любомуму уравнению 4791UDF 1 L5_Header 0x1100 0xff00 UDF 2 L5_Header 12 0x6000 0xff00(Соответствующий RG-S6510-48VS8CQ)
В качестве последнего шага вы можете визуализировать сеанс RDMA, установив список расширения экспертов в соответствующий процесс ERSPAN.
Напишите в последнем
ERSPAN является одним из незаменимых инструментов во все более крупных сетях центров обработки данных, все более сложном сетевом трафике и все более сложных требованиях к работе и обслуживанию сети.
С растущей степенью автоматизации O & M, такие технологии, как NetConf, RESTCONF и GRPC, популярны среди студентов O & M в сетевом автоматическом O & M. Использование GRPC в качестве базового протокола для отправки зеркального трафика также имеет много преимуществ. Например, на основе протокола HTTP/2 он может поддерживать механизм потокового толчка под тем же соединением. При кодировании Protobuf размер информации уменьшается вдвое по сравнению с форматом JSON, что делает передачу данных быстрее и эффективнее. Представьте себе, что если вы используете ERSPAN для зеркала заинтересованных потоков, а затем отправите их на сервер анализа на GRPC, значительно ли он улучшит способность и эффективность автоматической работы и обслуживания сети?
Время публикации: май-10-2022