Najčešći alat za praćenje i rješavanje problema mreže danas je Switch Port Analyzer (SPAN), također poznat kao Port mirroring. Omogućava nam praćenje mrežnog prometa u bypass out of band modu bez ometanja usluga na aktivnoj mreži i šalje kopiju praćenog prometa lokalnim ili udaljenim uređajima, uključujući Sniffer, IDS ili druge vrste alata za analizu mreže.
Neke tipične upotrebe su:
• Rješavanje problema na mreži praćenjem kontrolnih/podatkovnih okvira;
• Analizirajte latenciju i jitter praćenjem VoIP paketa;
• Analizirajte latenciju praćenjem mrežnih interakcija;
• Otkrivanje anomalija praćenjem mrežnog prometa.
SPAN promet se može lokalno zrcaliti na druge portove na istom izvornom uređaju ili daljinski zrcaliti na druge mrežne uređaje susjedne sloju 2 izvornog uređaja (RSPAN).
Danas ćemo govoriti o tehnologiji daljinskog praćenja internet prometa pod nazivom ERSPAN (Encapsulated Remote Switch Port Analyzer) koja se može prenositi preko tri IP sloja. Ovo je proširenje SPAN-a na Encapsulated Remote.
Osnovni principi rada ERSPAN-a
Prvo, pogledajmo karakteristike ERSPAN-a:
• Kopija paketa sa izvornog porta se šalje na odredišni server na parsiranje putem Generic Routing Encapsulation (GRE). Fizička lokacija servera nije ograničena.
• Uz pomoć funkcije korisničkog polja (UDF) čipa, bilo koji pomak od 1 do 126 bajtova se vrši na osnovu osnovne domene putem proširene liste na ekspertskom nivou, a ključne riječi sesije se uparuju kako bi se ostvarila vizualizacija sesije, kao što su TCP trostruko rukovanje i RDMA sesija;
• Podrška za podešavanje brzine uzorkovanja;
• Podržava dužinu presretanja paketa (Packet Slicing), smanjujući pritisak na ciljni server.
S ovim karakteristikama, možete vidjeti zašto je ERSPAN danas neophodan alat za praćenje mreža unutar podatkovnih centara.
Glavne funkcije ERSPAN-a mogu se sažeti u dva aspekta:
• Vidljivost sesije: Koristite ERSPAN za prikupljanje svih kreiranih novih TCP i RDMA (Remote Direct Memory Access) sesija na back-end serveru za prikaz;
• Rješavanje problema s mrežom: Snima mrežni promet za analizu grešaka kada se pojavi problem s mrežom.
Da bi se to postiglo, izvorni mrežni uređaj treba filtrirati promet koji zanima korisnika iz masivnog toka podataka, napraviti kopiju i enkapsulirati svaki kopirani okvir u poseban "superokvirni kontejner" koji nosi dovoljno dodatnih informacija kako bi se mogao ispravno usmjeriti do prijemnog uređaja. Štaviše, omogućiti prijemnom uređaju da izdvoji i u potpunosti oporavi originalni praćeni promet.
Prijemni uređaj može biti drugi server koji podržava dekapsulaciju ERSPAN paketa.
Analiza tipova i formata paketa ERSPAN-a
ERSPAN paketi se enkapsuliraju pomoću GRE protokola i prosljeđuju na bilo koju IP adresibilnu destinaciju preko Etherneta. ERSPAN se trenutno uglavnom koristi na IPv4 mrežama, a podrška za IPv6 će biti obavezna u budućnosti.
Za opću strukturu enkapsulacije ERSAPN-a, sljedeće je zrcalno snimanje ICMP paketa:
ERSPAN protokol se razvijao tokom dugog vremenskog perioda, i sa unapređenjem njegovih mogućnosti, formirano je nekoliko verzija, nazvanih "ERSPAN tipovi". Različiti tipovi imaju različite formate zaglavlja okvira.
Definisano je u prvom polju Verzija ERSPAN zaglavlja:
Pored toga, polje "Tip protokola" u GRE zaglavlju također označava interni ERSPAN tip. Polje "Tip protokola" 0x88BE označava ERSPAN tip II, a 0x22EB označava ERSPAN tip III.
1. Tip I
ERSPAN okvir tipa I enkapsulira IP i GRE direktno preko zaglavlja originalnog zrcalnog okvira. Ova enkapsulacija dodaje 38 bajtova preko originalnog okvira: 14(MAC) + 20 (IP) + 4(GRE). Prednost ovog formata je što ima kompaktnu veličinu zaglavlja i smanjuje troškove prijenosa. Međutim, budući da postavlja polja GRE Flag i Version na 0, ne nosi nikakva proširena polja i tip I se ne koristi široko, tako da nema potrebe za daljnjim proširenjem.
Format zaglavlja GRE koda tipa I je sljedeći:
2. Tip II
Kod tipa II, polja C, R, K, S, S, Recur, Flags i Version u GRE zaglavlju su sva 0 osim polja S. Stoga se polje Redni broj prikazuje u GRE zaglavlju tipa II. To jest, tip II može osigurati redoslijed prijema GRE paketa, tako da veliki broj GRE paketa koji nisu po redoslijedu ne može biti sortiran zbog mrežne greške.
Format zaglavlja GRE koda tipa II je sljedeći:
Osim toga, format okvira ERSPAN tipa II dodaje 8-bajtno ERSPAN zaglavlje između GRE zaglavlja i originalnog zrcalnog okvira.
Format ERSPAN zaglavlja za tip II je sljedeći:
Konačno, odmah nakon originalnog okvira slike, nalazi se standardni 4-bajtni Ethernet kod za cikličku redundanciju (CRC).
Vrijedi napomenuti da u implementaciji, zrcalni okvir ne sadrži FCS polje originalnog okvira, već se nova CRC vrijednost preračunava na osnovu cijelog ERSPAN-a. To znači da prijemni uređaj ne može provjeriti ispravnost CRC-a originalnog okvira, te možemo samo pretpostaviti da se zrcale samo neoštećeni okviri.
3. Tip III
Tip III uvodi veći i fleksibilniji kompozitni zaglavlje za rješavanje sve složenijih i raznolikijih scenarija praćenja mreže, uključujući, ali ne ograničavajući se na upravljanje mrežom, otkrivanje upada, analizu performansi i kašnjenja i još mnogo toga. Ove scene moraju znati sve originalne parametre okvira ogledala i uključiti one koji nisu prisutni u samom originalnom okviru.
Kompozitni zaglavlje ERSPAN tipa III uključuje obavezno 12-bajtno zaglavlje i opcionalno 8-bajtno podzaglavlje specifično za platformu.
Format ERSPAN zaglavlja za tip III je sljedeći:
Opet, nakon originalnog okvira ogledala slijedi 4-bajtni CRC.
Kao što se može vidjeti iz formata zaglavlja tipa III, pored zadržavanja polja Ver, VLAN, COS, T i Session ID na osnovu tipa II, dodana su mnoga posebna polja, kao što su:
• BSO: koristi se za označavanje integriteta učitavanja okvira podataka koji se prenose kroz ERSPAN. 00 je dobar okvir, 11 je loš okvir, 01 je kratki okvir, 11 je veliki okvir;
• Vremenska oznaka: izvezena iz hardverskog sata sinhronizovanog sa sistemskim vremenom. Ovo 32-bitno polje podržava granularnost vremenske oznake od najmanje 100 mikrosekundi;
• Tip okvira (P) i tip okvira (FT): prvi se koristi za određivanje da li ERSPAN prenosi okvire Ethernet protokola (PDU okvire), a drugi se koristi za određivanje da li ERSPAN prenosi Ethernet okvire ili IP pakete.
• HW ID: jedinstveni identifikator ERSPAN motora unutar sistema;
• Gra (Granularnost vremenske oznake): Određuje granularnost vremenske oznake. Na primjer, 00B predstavlja granularnost od 100 mikrosekundi, 01B granularnost od 100 nanosekundi, 10B granularnost prema IEEE 1588, a 11B zahtijeva podzaglavlja specifična za platformu kako bi se postigla veća granularnost.
• ID platforme u odnosu na informacije specifične za platformu: Polja sa informacijama specifičnim za platformu imaju različite formate i sadržaje ovisno o vrijednosti ID-a platforme.
Treba napomenuti da se različita polja zaglavlja koja su gore podržana mogu koristiti u redovnim ERSPAN aplikacijama, čak i pri zrcaljenju okvira grešaka ili BPDU okvira, uz zadržavanje originalnog Trunk paketa i VLAN ID-a. Pored toga, informacije o vremenskoj oznaci ključa i druga informativna polja mogu se dodati svakom ERSPAN okviru tokom zrcaljenja.
Pomoću ERSPAN-ovih vlastitih zaglavlja funkcija možemo postići precizniju analizu mrežnog prometa, a zatim jednostavno montirati odgovarajući ACL u ERSPAN procesu kako bismo uskladili mrežni promet koji nas zanima.
ERSPAN implementira vidljivost RDMA sesije
Uzmimo primjer korištenja ERSPAN tehnologije za postizanje vizualizacije RDMA sesije u RDMA scenariju:
RDMAUdaljeni direktni pristup memoriji (Remote Direct Memory Access) omogućava mrežnom adapteru servera A čitanje i pisanje u memoriju servera B korištenjem inteligentnih mrežnih interfejs kartica (inic) i prekidača, postižući visoku propusnost, nisku latenciju i nisku iskorištenost resursa. Široko se koristi u scenarijima velikih podataka i visokoperformansnog distribuiranog skladištenja.
RoCEv2RDMA preko konvergentnog Etherneta verzije 2. RDMA podaci su enkapsulirani u UDP zaglavlju. Broj odredišnog porta je 4791.
Dnevni rad i održavanje RDMA sistema zahtijeva prikupljanje velike količine podataka, koji se koriste za prikupljanje dnevnih referentnih linija nivoa vode i abnormalnih alarma, kao i osnovu za lociranje abnormalnih problema. U kombinaciji s ERSPAN-om, ogromna količina podataka može se brzo prikupiti kako bi se dobili podaci o kvaliteti prosljeđivanja u mikrosekundama i statusu interakcije protokola preklopnog čipa. Kroz statistiku i analizu podataka, može se dobiti procjena i predviđanje kvaliteta prosljeđivanja od početka do kraja RDMA sistema.
Da bismo postigli vizualizaciju RDAM sesije, potreban nam je ERSPAN za usklađivanje ključnih riječi za RDMA interaktivne sesije prilikom zrcaljenja prometa, a potrebno je koristiti i proširenu listu stručnjaka.
Definicija polja za usklađivanje proširene liste na stručnom nivou:
UDF se sastoji od pet polja: UDF ključna riječ, osnovno polje, polje pomaka, polje vrijednosti i polje maske. Ograničeno kapacitetom hardverskih unosa, može se koristiti ukupno osam UDF-ova. Jedan UDF može odgovarati maksimalno dva bajta.
• UDF ključna riječ: UDF1... UDF8 Sadrži osam ključnih riječi UDF domene podudaranja
• Osnovno polje: identificira početnu poziciju polja za podudaranje UDF-a. Sljedeće
L4_zaglavlje (primjenjivo za RG-S6520-64CQ)
L5_zaglavlje (za RG-S6510-48VS8Cq)
• Pomak: označava pomak na osnovu osnovnog polja. Vrijednost se kreće od 0 do 126
• Polje vrijednosti: vrijednost koja se podudara. Može se koristiti zajedno s poljem maske za konfiguriranje određene vrijednosti koja se podudara. Važeći bit je dva bajta
• Polje maske: maska, važeći bit je dva bajta
(Dodatak: Ako se u istom UDF polju za podudaranje koristi više unosa, osnovno i pomaknuto polje moraju biti ista.)
Dva ključna paketa povezana sa statusom RDMA sesije su Paket obavještenja o zagušenju (CNP) i Negativna potvrda (NAK):
Prvu generira RDMA prijemnik nakon prijema ECN poruke koju je poslao switch (kada eout Buffer dostigne prag), a koja sadrži informacije o protoku ili QP-u koji uzrokuje zagušenje. Potonja se koristi za indikaciju da RDMA prijenos ima poruku odgovora na gubitak paketa.
Pogledajmo kako upariti ove dvije poruke koristeći proširenu listu na nivou stručnjaka:
proširena rdma lista za pristup stručnjaka
dozvola udp bilo koji bilo koji bilo koji bilo koji eq 4791udf 1 l4_zaglavlje 8 0x8100 0xFF00(Odgovara RG-S6520-64CQ)
dozvola udp bilo koji bilo koji bilo koji bilo koji eq 4791udf 1 l5_zaglavlje 0 0x8100 0xFF00(Odgovara RG-S6510-48VS8CQ)
proširena rdma lista za pristup stručnjaka
dozvola udp bilo koji bilo koji bilo koji bilo koji eq 4791udf 1 l4_zaglavlje 8 0x1100 0xFF00 udf 2 l4_zaglavlje 20 0x6000 0xFF00(Odgovara RG-S6520-64CQ)
dozvola udp bilo koji bilo koji bilo koji bilo koji eq 4791udf 1 l5_zaglavlje 0 0x1100 0xFF00 udf 2 l5_zaglavlje 12 0x6000 0xFF00(Odgovara RG-S6510-48VS8CQ)
Kao posljednji korak, možete vizualizirati RDMA sesiju montiranjem liste ekstenzija stručnjaka u odgovarajući ERSPAN proces.
Napišite u posljednjem
ERSPAN je jedan od nezamjenjivih alata u današnjim sve većim mrežama podatkovnih centara, sve složenijem mrežnom prometu i sve sofisticiranijim zahtjevima za rad i održavanje mreže.
S rastućim stepenom automatizacije rada i održavanja (O&M), tehnologije poput Netconf, RESTconf i gRPC postaju popularne među studentima O&M u automatskom O&M-u mreža. Korištenje gRPC-a kao osnovnog protokola za slanje povratnog mirror prometa također ima mnoge prednosti. Na primjer, zasnovan na HTTP/2 protokolu, može podržati mehanizam streaming push-a pod istom vezom. S ProtoBuf kodiranjem, veličina informacija se smanjuje za pola u poređenju s JSON formatom, što prijenos podataka čini bržim i efikasnijim. Zamislite samo, ako koristite ERSPAN za mirroring zainteresiranih tokova, a zatim ih pošaljete na analitički server na gRPC-u, hoće li to značajno poboljšati sposobnost i efikasnost automatskog rada i održavanja mreže?
Vrijeme objave: 10. maj 2022.
