Die mees algemene instrument vir netwerkmonitering en probleemoplossing vandag is Switch Port Analyzer (SPAN), ook bekend as Port mirroring. Dit stel ons in staat om netwerkverkeer in omseil-buite-bandmodus te monitor sonder om met dienste op die lewendige netwerk in te meng, en stuur 'n kopie van die gemonitorde verkeer na plaaslike of afgeleë toestelle, insluitend Sniffer, IDS of ander tipes netwerkanalise-instrumente.
Sommige tipiese gebruike is:
• Los netwerkprobleme op deur beheer-/datarame op te spoor;
• Analiseer latensie en jitter deur VoIP-pakkette te monitor;
• Analiseer latensie deur netwerkinteraksies te monitor;
• Bespeur afwykings deur netwerkverkeer te monitor.
SPAN-verkeer kan plaaslik na ander poorte op dieselfde brontoestel gespieël word, of op afstand na ander netwerktoestelle langs Laag 2 van die brontoestel (RSPAN) gespieël word.
Vandag gaan ons praat oor tegnologie vir afstandbeheer van internetverkeer genaamd ERSPAN (Encapsulated Remote Switch Port Analyzer) wat oor drie lae IP oorgedra kan word. Dit is 'n uitbreiding van SPAN na Encapsulated Remote.
Basiese werkingbeginsels van ERSPAN
Kom ons kyk eers na ERSPAN se kenmerke:
• 'n Kopie van die pakket vanaf die bronpoort word na die bestemmingsbediener gestuur vir ontleding deur Generic Routing Encapsulation (GRE). Die fisiese ligging van die bediener word nie beperk nie.
• Met behulp van die Gebruikergedefinieerde Veld (UDF)-funksie van die skyfie word enige verskuiwing van 1 tot 126 grepe uitgevoer gebaseer op die Basisdomein deur die uitgebreide lys op kundige vlak, en die sessiesleutelwoorde word gekoppel om die visualisering van die sessie te verwesenlik, soos die TCP-drierigting-handskud en RDMA-sessie;
• Ondersteuning vir die instelling van steekproeftempo;
• Ondersteun pakkie-onderskeppingslengte (Packet Slicing), wat die druk op die teikenbediener verminder.
Met hierdie kenmerke kan jy sien waarom ERSPAN 'n noodsaaklike hulpmiddel is vir die monitering van netwerke binne datasentrums vandag.
ERSPAN se hooffunksies kan in twee aspekte opgesom word:
• Sessiesigbaarheid: Gebruik ERSPAN om alle geskepte nuwe TCP- en Remote Direct Memory Access (RDMA)-sessies na die agterbediener te versamel vir vertoon;
• Netwerkfoutopsporing: Vang netwerkverkeer vas vir foutontleding wanneer 'n netwerkprobleem voorkom.
Om dit te doen, moet die bronnetwerktoestel die verkeer van belang vir die gebruiker uit die massiewe datastroom filter, 'n kopie maak en elke kopieerraam in 'n spesiale "superraamhouer" inkapsel wat genoeg bykomende inligting bevat sodat dit korrek na die ontvangende toestel gerouteer kan word. Boonop moet dit die ontvangende toestel in staat stel om die oorspronklike gemonitorde verkeer te onttrek en ten volle te herstel.
Die ontvangende toestel kan 'n ander bediener wees wat die dekapsulering van ERSPAN-pakkette ondersteun.
Die ERSPAN Tipe en Pakketformaat Analise
ERSPAN-pakkette word met behulp van GRE ingekapsuleer en oor Ethernet na enige IP-adresseerbare bestemming aangestuur. ERSPAN word tans hoofsaaklik op IPv4-netwerke gebruik, en IPv6-ondersteuning sal in die toekoms 'n vereiste wees.
Vir die algemene inkapselingstruktuur van ERSAPN, is die volgende 'n spieëlpakketopname van ICMP-pakkette:
Die ERSPAN-protokol het oor 'n lang tydperk ontwikkel, en met die verbetering van sy vermoëns is verskeie weergawes gevorm, genaamd "ERSPAN-tipes". Verskillende tipes het verskillende raamkoptekstformate.
Dit word gedefinieer in die eerste Weergawe-veld van die ERSPAN-koptekst:
Daarbenewens dui die Protokoltipe-veld in die GRE-koptekst ook die interne ERSPAN-tipe aan. Die Protokoltipe-veld 0x88BE dui ERSPAN-tipe II aan, en 0x22EB dui ERSPAN-tipe III aan.
1. Tipe I
Die ERSPAN-raam van Tipe I kapsel IP en GRE direk oor die koptekst van die oorspronklike spieëlraam. Hierdie kapseling voeg 38 grepe by die oorspronklike raam: 14(MAC) + 20 (IP) + 4(GRE). Die voordeel van hierdie formaat is dat dit 'n kompakte koptekstgrootte het en die koste van oordrag verminder. Omdat dit egter GRE-vlag- en weergawevelde op 0 stel, dra dit geen uitgebreide velde nie en Tipe I word nie wyd gebruik nie, dus is daar geen nodigheid om verder uit te brei nie.
Die GRE-kopformaat van Tipe I is soos volg:
2. Tipe II
In Tipe II is die C-, R-, K-, S-, Herhalings-, Vlae- en Versie-velde in die GRE-koptekst almal 0 behalwe die S-veld. Daarom word die Volgordenommer-veld in die GRE-koptekst van Tipe II vertoon. Dit wil sê, Tipe II kan die volgorde van ontvangs van GRE-pakkette verseker, sodat 'n groot aantal GRE-pakkette wat nie in volgorde is nie, nie gesorteer kan word nie as gevolg van 'n netwerkfout.
Die GRE-kopformaat van Tipe II is soos volg:
Daarbenewens voeg die ERSPAN Tipe II-raamformaat 'n 8-greep ERSPAN-koptekst tussen die GRE-koptekst en die oorspronklike gespieëlde raam by.
Die ERSPAN-kopformaat vir Tipe II is soos volg:
Laastens, direk na die oorspronklike beeldraam, is die standaard 4-greep Ethernet sikliese redundansiekontrole (CRC) kode.
Dit is opmerklik dat die spieëlraam in die implementering nie die FCS-veld van die oorspronklike raam bevat nie, maar eerder 'n nuwe CRC-waarde herbereken word gebaseer op die hele ERSPAN. Dit beteken dat die ontvangende toestel nie die CRC-korrektheid van die oorspronklike raam kan verifieer nie, en ons kan slegs aanvaar dat slegs ongekorrupte rame gespieël word.
3. Tipe III
Tipe III stel 'n groter en meer buigsame saamgestelde opskrif bekend om toenemend komplekse en diverse netwerkmoniteringscenario's aan te spreek, insluitend maar nie beperk tot netwerkbestuur, indringingsopsporing, werkverrigting- en vertragingsanalise, en meer. Hierdie tonele moet al die oorspronklike parameters van die spieëlraam ken en dié insluit wat nie in die oorspronklike raam self teenwoordig is nie.
Die ERSPAN Tipe III saamgestelde opskrif sluit 'n verpligte 12-greep opskrif en 'n opsionele 8-greep platformspesifieke subopskrif in.
Die ERSPAN-kopformaat vir Tipe III is soos volg:
Weereens, na die oorspronklike spieëlraam is 'n 4-greep CRC.
Soos gesien kan word uit die kopformaat van Tipe III, word, benewens die behoud van die Ver-, VLAN-, COS-, T- en Sessie-ID-velde op grond van Tipe II, baie spesiale velde bygevoeg, soos:
• BSO: word gebruik om die laai-integriteit van datarame wat deur ERSPAN gedra word, aan te dui. 00 is 'n goeie raam, 11 is 'n slegte raam, 01 is 'n kort raam, 11 is 'n groot raam;
• Tydstempel: uitgevoer vanaf die hardewareklok wat gesinchroniseer is met die stelseltyd. Hierdie 32-bis-veld ondersteun ten minste 100 mikrosekondes se Tydstempel-granulariteit;
• Raamtipe (P) en Raamtipe (FT): eersgenoemde word gebruik om te spesifiseer of ERSPAN Ethernet-protokolrame (PDU-rame) dra, en laasgenoemde word gebruik om te spesifiseer of ERSPAN Ethernet-rame of IP-pakkette dra.
• HW ID: unieke identifiseerder van die ERSPAN-enjin binne die stelsel;
• Gra (Tydstempel Granulariteit): Spesifiseer die Granulariteit van die Tydstempel. Byvoorbeeld, 00B verteenwoordig 100 mikrosekondes Granulariteit, 01B 100 nanosekondes Granulariteit, 10B IEEE 1588 Granulariteit, en 11B vereis platformspesifieke subopskrifte om hoër Granulariteit te bereik.
• Platform-ID teenoor Platformspesifieke inligting: Platformspesifieke inligtingsvelde het verskillende formate en inhoud, afhangende van die Platform-ID-waarde.
Daar moet kennis geneem word dat die verskeie kopvelde wat hierbo ondersteun word, in gewone ERSPAN-toepassings gebruik kan word, selfs die weerspieëling van foutrame of BPDU-rame, terwyl die oorspronklike Trunk-pakket en VLAN-ID behoue bly. Daarbenewens kan sleuteltydstempelinligting en ander inligtingsvelde by elke ERSPAN-raam gevoeg word tydens weerspieëling.
Met ERSPAN se eie kenmerkopskrifte kan ons 'n meer verfynde analise van netwerkverkeer verkry, en dan eenvoudig die ooreenstemmende ACL in die ERSPAN-proses monteer om by die netwerkverkeer waarin ons belangstel, te pas.
ERSPAN implementeer RDMA-sessiesigbaarheid
Kom ons neem 'n voorbeeld van die gebruik van ERSPAN-tegnologie om RDMA-sessievisualisering in 'n RDMA-scenario te bereik:
RDMAAfstandsdirekte geheuetoegang stel die netwerkadapter van bediener A in staat om die geheue van bediener B te lees en te skryf deur intelligente netwerkkoppelvlakkaarte (inics) en skakelaars te gebruik, wat hoë bandwydte, lae latensie en lae hulpbronbenutting bereik. Dit word wyd gebruik in groot data- en hoëprestasie-verspreide bergingscenario's.
RoCEv2RDMA oor Gekonvergeerde Ethernet Weergawe 2. Die RDMA-data word in die UDP-koptekst vasgelê. Die bestemmingspoortnommer is 4791.
Daaglikse bedryf en instandhouding van RDMA vereis die insameling van baie data, wat gebruik word om daaglikse watervlakverwysingslyne en abnormale alarms in te samel, sowel as die basis vir die opspoor van abnormale probleme. Gekombineer met ERSPAN kan massiewe data vinnig vasgelê word om mikrosekonde-aanstuurkwaliteitsdata en protokolinteraksiestatus van die skakelskyfie te verkry. Deur middel van datastatistieke en -analise kan RDMA end-tot-end-aanstuurkwaliteitsassessering en -voorspelling verkry word.
Om RDAM-sessievisualisering te bereik, benodig ons ERSPAN om sleutelwoorde vir RDMA-interaksiesessies te pas wanneer verkeer weerspieël word, en ons moet die uitgebreide kundige lys gebruik.
Definisie van ooreenstemmende veld vir uitgebreide lys op kundige vlak:
Die UDF bestaan uit vyf velde: UDF-sleutelwoord, basisveld, offsetveld, waardeveld en maskerveld. Beperk deur die kapasiteit van hardeware-inskrywings, kan 'n totaal van agt UDF's gebruik word. Een UDF kan ooreenstem met 'n maksimum van twee grepe.
• UDF-sleutelwoord: UDF1... UDF8 Bevat agt sleutelwoorde van die UDF-ooreenstemmende domein
• Basisveld: identifiseer die beginposisie van die UDF-ooreenstemmende veld. Die volgende
L4_opskrif (van toepassing op RG-S6520-64CQ)
L5_opskrif (vir RG-S6510-48VS8Cq)
• Verrekening: dui die verrekening aan gebaseer op die basisveld. Die waarde wissel van 0 tot 126
• Waardeveld: ooreenstemmende waarde. Dit kan saam met die maskerveld gebruik word om die spesifieke waarde wat ooreenstem, te konfigureer. Die geldige bit is twee grepe
• Maskerveld: masker, geldige bit is twee grepe
(Voeg by: Indien veelvuldige inskrywings in dieselfde UDF-ooreenstemmende veld gebruik word, moet die basis- en offsetvelde dieselfde wees.)
Die twee sleutelpakkette wat met RDMA-sessiestatus geassosieer word, is Congestion Notification Packet (CNP) en Negative Acknowledgment (NAK):
Eersgenoemde word deur die RDMA-ontvanger gegenereer na ontvangs van die ECN-boodskap wat deur die skakelaar gestuur is (wanneer die eout-buffer die drempel bereik), wat inligting bevat oor die vloei of QP wat opeenhoping veroorsaak. Laasgenoemde word gebruik om aan te dui dat die RDMA-oordrag 'n pakketverlies-reaksieboodskap het.
Kom ons kyk hoe om hierdie twee boodskappe te pas deur die uitgebreide lys op kundige vlak te gebruik:
kundige toegangslys uitgebreide rdma
laat udp enige enige enige enige vergelyking 4791 toeudf 1 l4_kopskrif 8 0x8100 0xFF00(Ooreenstemmende RG-S6520-64CQ)
laat udp enige enige enige enige vergelyking 4791 toeudf 1 l5_opskrif 0 0x8100 0xFF00(Ooreenstemmende RG-S6510-48VS8CQ)
kundige toegangslys uitgebreide rdma
laat udp enige enige enige enige vergelyking 4791 toeudf 1 l4_kopskrif 8 0x1100 0xFF00 udf 2 l4_kopskrif 20 0x6000 0xFF00(Ooreenstemmende RG-S6520-64CQ)
laat udp enige enige enige enige vergelyking 4791 toeudf 1 l5_kopskrif 0 0x1100 0xFF00 udf 2 l5_kopskrif 12 0x6000 0xFF00(Ooreenstemmende RG-S6510-48VS8CQ)
As 'n laaste stap kan jy die RDMA-sessie visualiseer deur die kundige uitbreidingslys in die toepaslike ERSPAN-proses te monteer.
Skryf in die laaste
ERSPAN is een van die onontbeerlike gereedskap in vandag se toenemend groter datasentrumnetwerke, toenemend komplekse netwerkverkeer en toenemend gesofistikeerde netwerkbedryf- en instandhoudingsvereistes.
Met die toenemende mate van bedryfs- en onderhoudsoutomatisering, is tegnologieë soos Netconf, RESTconf en gRPC gewild onder bedryfs- en onderhoudstudente in outomatiese netwerkbedryf en -onderhoud. Die gebruik van gRPC as die onderliggende protokol vir die terugstuur van spieëlverkeer het ook baie voordele. Byvoorbeeld, gebaseer op die HTTP/2-protokol, kan dit die stroomstootmeganisme onder dieselfde verbinding ondersteun. Met ProtoBuf-kodering word die grootte van inligting met die helfte verminder in vergelyking met die JSON-formaat, wat data-oordrag vinniger en meer doeltreffend maak. Stel jou net voor, as jy ERSPAN gebruik om belangstellende strome te spieël en dit dan na die ontledingsbediener op gRPC stuur, sal dit die vermoë en doeltreffendheid van outomatiese netwerkwerking en -onderhoud aansienlik verbeter?
Plasingstyd: 10 Mei 2022
