Die mees algemene instrument vir netwerkmonitering en probleemoplossing vandag is Switch Port Analyzer (SPAN), ook bekend as Port mirroring. Dit stel ons in staat om netwerkverkeer in bypass-buite-bandmodus te monitor sonder om in te meng met dienste op die regstreekse netwerk, en stuur 'n kopie van die gemonitorde verkeer na plaaslike of afgeleë toestelle, insluitend Sniffer, IDS of ander soorte netwerkanalise-instrumente.
Sommige tipiese gebruike is:
• Foutspoor netwerkprobleme deur beheer-/datarame op te spoor;
• Ontleed latensie en jitter deur VoIP-pakkies te monitor;
• Ontleed latensie deur netwerkinteraksies te monitor;
• Bespeur onreëlmatighede deur netwerkverkeer te monitor.
SPAN-verkeer kan plaaslik na ander poorte op dieselfde brontoestel weerspieël word, of afstandspieël word na ander netwerktoestelle langs Laag 2 van die brontoestel (RSPAN).
Vandag gaan ons praat oor Remote Internet Verkeer monitering tegnologie genaamd ERSPAN (Encapsulated Remote Switch Port Analyzer) wat oor drie lae IP versend kan word. Dit is 'n uitbreiding van SPAN na Encapsulated Remote.
Basiese werkingsbeginsels van ERSPAN
Kom ons kyk eers na ERSPAN se kenmerke:
• 'n Kopie van die pakkie vanaf die bronpoort word na die bestemmingbediener gestuur vir ontleding deur Generic Routing Encapsulation (GRE). Die fisiese ligging van die bediener is nie beperk nie.
• Met die hulp van die User Defined Field (UDF)-kenmerk van die skyfie, word enige offset van 1 tot 126 grepe uitgevoer op grond van die Base-domein deur die kundige-vlak uitgebreide lys, en die sessie sleutelwoorde word gepas om die visualisering te realiseer van die sessie, soos die TCP-drierigting-handdruk en RDMA-sessie;
• Ondersteuning van steekproefnemingstempo;
• Ondersteun pakkie-onderskeppingslengte (Packet Slicing), wat die druk op die teikenbediener verminder.
Met hierdie kenmerke kan u sien waarom ERSPAN vandag 'n noodsaaklike hulpmiddel is om netwerke binne datasentrums te monitor.
ERSPAN se hooffunksies kan in twee aspekte opgesom word:
• Sessiesigbaarheid: Gebruik ERSPAN om alle geskepte nuwe TCP en Remote Direct Memory Access (RDMA) sessies na die back-end bediener te versamel vir vertoon;
• Netwerkfoutsporing: Vang netwerkverkeer vas vir foutontleding wanneer 'n netwerkprobleem voorkom.
Om dit te doen, moet die bronnetwerktoestel die verkeer van belang vir die gebruiker uit die massiewe datastroom uitfiltreer, 'n kopie maak en elke kopieraam in 'n spesiale "superraamhouer" inkapsel wat genoeg bykomende inligting bevat sodat dit kan korrek na die ontvangstoestel gelei word. Stel boonop die ontvangstoestel in staat om die oorspronklike gemonitorde verkeer te onttrek en ten volle te herstel.
Die ontvangstoestel kan 'n ander bediener wees wat dekapsulering van ERSPAN-pakkies ondersteun.
Die ERSPAN-tipe en pakketformaatanalise
ERSPAN-pakkies word met GRE ingekapsuleer en na enige IP-adresseerbare bestemming oor Ethernet gestuur. ERSPAN word tans hoofsaaklik op IPv4-netwerke gebruik, en IPv6-ondersteuning sal in die toekoms 'n vereiste wees.
Vir die algemene inkapselingstruktuur van ERSAPN, is die volgende 'n spieëlpakketopname van ICMP-pakkies:
Daarbenewens dui die Protocol Type-veld in die GRE-kopskrif ook die interne ERSPAN-tipe aan. Die Protokol Tipe-veld 0x88BE dui ERSPAN Tipe II aan, en 0x22EB dui ERSPAN Tipe III aan.
1. Tipe I
Die ERSPAN-raam van Tipe I omsluit IP en GRE direk oor die kop van die oorspronklike spieëlraam. Hierdie inkapseling voeg 38 grepe by oor die oorspronklike raam: 14(MAC) + 20 (IP) + 4(GRE). Die voordeel van hierdie formaat is dat dit 'n kompakte kopgrootte het en die koste van transmissie verminder. Omdat dit egter GRE-vlag- en weergawe-velde op 0 stel, dra dit geen uitgebreide velde nie en Tipe I word nie wyd gebruik nie, so dit is nie nodig om meer uit te brei nie.
Die GRE-opskrifformaat van Tipe I is soos volg:
2. Tipe II
In Tipe II is die C-, R-, K-, S-, S-, Herhalings-, Vlae- en Weergawe-velde in die GRE-kopskrif almal 0 behalwe die S-veld. Daarom word die Volgordenommer-veld in die GRE-opskrif van Tipe II vertoon. Dit wil sê, Tipe II kan die volgorde van ontvangs van GRE-pakkies verseker, sodat 'n groot aantal buite-orde GRE-pakkies nie gesorteer kan word nie as gevolg van 'n netwerkfout.
Die GRE-opskrifformaat van Tipe II is soos volg:
Daarbenewens voeg die ERSPAN Tipe II-raamformaat 'n 8-grepe ERSPAN-kopskrif by tussen die GRE-kopskrif en die oorspronklike spieëlraam.
Die ERSPAN-opskrifformaat vir Tipe II is soos volg:
Laastens, onmiddellik na die oorspronklike beeldraam, is die standaard 4-grepe Ethernet sikliese oortolligheidkontrole (CRC) kode.
Dit is opmerklik dat in die implementering die spieëlraam nie die FCS-veld van die oorspronklike raam bevat nie, in plaas daarvan word 'n nuwe CRC-waarde herbereken op grond van die hele ERSPAN. Dit beteken dat die ontvangstoestel nie die CRC-korrektheid van die oorspronklike raam kan verifieer nie, en ons kan net aanvaar dat slegs onbeskadigde rame weerspieël word.
3. Tipe III
Tipe III stel 'n groter en meer buigsame saamgestelde kopskrif bekend om toenemend komplekse en diverse netwerkmoniteringsscenario's aan te spreek, insluitend maar nie beperk nie tot netwerkbestuur, inbraakdetectie, werkverrigting en vertragingsanalise, en meer. Hierdie tonele moet al die oorspronklike parameters van die spieëlraam ken en sluit dié in wat nie in die oorspronklike raam self voorkom nie.
Die ERSPAN Tipe III saamgestelde kop bevat 'n verpligte 12-grepe kopskrif en 'n opsionele 8-grepe platform-spesifieke subheader.
Die ERSPAN-opskrifformaat vir Tipe III is soos volg:
Weereens, na die oorspronklike spieëlraam is 'n 4-grepe CRC.
Soos gesien kan word uit die kopformaat van Tipe III, word baie spesiale velde bygevoeg, benewens die behoud van die Ver-, VLAN-, COS-, T- en Sessie-ID-velde op grond van Tipe II, soos:
• BSO: word gebruik om die lasintegriteit van datarame wat deur ERSPAN gedra word, aan te dui. 00 is 'n goeie raam, 11 is 'n slegte raam, 01 is 'n kort raam, 11 is 'n groot raam;
• Tydstempel: uitgevoer vanaf die hardewareklok gesinchroniseer met die stelseltyd. Hierdie 32-bis veld ondersteun ten minste 100 mikrosekondes van Tydstempel korreligheid;
• Raamtipe (P) en Raamtipe (FT) : eersgenoemde word gebruik om te spesifiseer of ERSPAN Ethernet-protokolrame (PDU-rame) dra, en laasgenoemde word gebruik om te spesifiseer of ERSPAN Ethernet-rame of IP-pakkies dra.
• HW ID: unieke identifiseerder van die ERSPAN-enjin binne die stelsel;
• Gra (Tydstempel Granulariteit): Spesifiseer die Granulariteit van die Tydstempel. Byvoorbeeld, 00B verteenwoordig 100 mikrosekonde Granulariteit, 01B 100 nanosekonde Granulariteit, 10B IEEE 1588 Granularity, en 11B vereis platformspesifieke sub-opskrifte om hoër Granulariteit te bereik.
• Platf-ID vs. Platform-spesifieke inligting: Platf-spesifieke inligting-velde het verskillende formate en inhoud, afhangende van die Platf-ID-waarde.
Daar moet kennis geneem word dat die verskillende kopvelde wat hierbo ondersteun word, in gewone ERSPAN-toepassings gebruik kan word, selfs weerspieëling van foutrame of BPDU-rame, terwyl die oorspronklike Trunk-pakket en VLAN-ID gehandhaaf word. Boonop kan sleuteltydstempelinligting en ander inligtingsvelde by elke ERSPAN-raam gevoeg word tydens weerspieëling.
Met ERSPAN se eie kenmerkopskrifte kan ons 'n meer verfynde analise van netwerkverkeer bewerkstellig, en dan eenvoudig die ooreenstemmende ACL in die ERSPAN-proses monteer om te pas by die netwerkverkeer waarin ons belangstel.
ERSPAN Implementeer RDMA-sessiesigbaarheid
Kom ons neem 'n voorbeeld van die gebruik van ERSPAN-tegnologie om RDMA-sessievisualisering in 'n RDMA-scenario te bereik:
RDMA: Afgeleë direkte geheuetoegang stel die netwerkadapter van bediener A in staat om die geheue van bediener B te lees en te skryf deur intelligente netwerkkoppelvlakkaarte (inics) en skakelaars te gebruik, wat hoë bandwydte, lae latensie en lae hulpbronbenutting bereik. Dit word wyd gebruik in groot data en hoë-prestasie verspreide berging scenario's.
RoCEv2: RDMA oor Gekonvergeerde Ethernet Weergawe 2. Die RDMA-data word in die UDP-kopskrif ingekapsuleer. Die bestemmingspoortnommer is 4791.
Daaglikse werking en instandhouding van RDMA vereis die insameling van baie data, wat gebruik word om daaglikse watervlakverwysingslyne en abnormale alarms in te samel, asook die basis vir die opspoor van abnormale probleme. Gekombineer met ERSPAN, kan massiewe data vinnig vasgelê word om mikrosekonde-aanstuurkwaliteitdata en protokolinteraksiestatus van skakelskyfie te verkry. Deur datastatistieke en -analise kan RDMA end-tot-end aanstuur kwaliteit assessering en voorspelling verkry word.
Om RDAM-sessievisualisering te bereik, het ons ERSPAN nodig om sleutelwoorde vir RDMA-interaksiesessies te pas wanneer ons verkeer weerspieël, en ons moet die uitgebreide lys van kundiges gebruik.
Definisie van velddefinisie op kundige vlak uitgebreide lys wat ooreenstem:
Die UDF bestaan uit vyf velde: UDF-sleutelwoord, basisveld, offsetveld, waardeveld en maskerveld. Beperk deur die kapasiteit van hardeware-inskrywings, kan 'n totaal van agt UDF's gebruik word. Een UDF kan 'n maksimum van twee grepe pas.
• UDF-sleutelwoord: UDF1... UDF8 Bevat agt sleutelwoorde van die UDF-pasdomein
• Basisveld: identifiseer die beginposisie van die UDF-passingsveld. Die volgende
L4_header (van toepassing op RG-S6520-64CQ)
L5_header (vir RG-S6510-48VS8Cq)
• Offset: dui die offset aan gebaseer op die basisveld. Die waarde wissel van 0 tot 126
• Waardeveld: ooreenstemmende waarde. Dit kan saam met die maskerveld gebruik word om die spesifieke waarde te konfigureer om te pas. Die geldige bis is twee grepe
• Maskerveld: masker, geldige bis is twee grepe
(Voeg by: As veelvuldige inskrywings in dieselfde UDF-passingsveld gebruik word, moet die basis- en offsetvelde dieselfde wees.)
Die twee sleutelpakkies wat met RDMA-sessiestatus geassosieer word, is Congestion Notification Packet (CNP) en Negative Acknowledgement (NAK):
Eersgenoemde word gegenereer deur die RDMA-ontvanger na ontvangs van die ECN-boodskap wat deur die skakelaar gestuur is (wanneer die eout-buffer die drempel bereik), wat inligting bevat oor die vloei of QP wat opeenhoping veroorsaak. Laasgenoemde word gebruik om aan te dui dat die RDMA-transmissie 'n pakkieverlies-antwoordboodskap het.
Kom ons kyk hoe om hierdie twee boodskappe te pas deur die uitgebreide lys op deskundige vlak te gebruik:
deskundige toegangslys uitgebreide rdma
laat udp enige enige enige enige eq 4791 toeudf 1 l4_header 8 0x8100 0xFF00(Pas by RG-S6520-64CQ)
laat udp enige enige enige enige eq 4791 toeudf 1 l5_header 0 0x8100 0xFF00(Pas by RG-S6510-48VS8CQ)
deskundige toegangslys uitgebreide rdma
laat udp enige enige enige enige eq 4791 toeudf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Pas by RG-S6520-64CQ)
laat udp enige enige enige enige eq 4791 toeudf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Pas by RG-S6510-48VS8CQ)
As 'n laaste stap kan u die RDMA-sessie visualiseer deur die kundige uitbreidingslys in die toepaslike ERSPAN-proses te monteer.
Skryf in die laaste
ERSPAN is een van die onontbeerlike hulpmiddels in vandag se toenemend groot datasentrumnetwerke, toenemend komplekse netwerkverkeer en toenemend gesofistikeerde netwerkbedryf- en instandhoudingsvereistes.
Met die toenemende mate van O&M-outomatisering is tegnologieë soos Netconf, RESTconf en gRPC gewild onder O&M-studente in netwerk outomatiese O&M. Die gebruik van gRPC as die onderliggende protokol vir die terugstuur van spieëlverkeer het ook baie voordele. Byvoorbeeld, gebaseer op HTTP/2-protokol, kan dit die stroomstootmeganisme onder dieselfde verbinding ondersteun. Met ProtoBuf-kodering word die grootte van inligting met die helfte verminder in vergelyking met JSON-formaat, wat data-oordrag vinniger en doeltreffender maak. Stel jou net voor, as jy ERSPAN gebruik om belangstellende strome te weerspieël en dit dan na die analise-bediener op gRPC stuur, sal dit die vermoë en doeltreffendheid van netwerk outomatiese werking en instandhouding aansienlik verbeter?
Postyd: Mei-10-2022