Lo strumento più comune per il monitoraggio della rete e la risoluzione dei problemi oggi è Switch Port Analyzer (Span), noto anche come specchio della porta. Ci consente di monitorare il traffico di rete in bypass dalla modalità banda senza interferire con i servizi sulla rete live e invia una copia del traffico monitorato ai dispositivi locali o remoti, inclusi sniffer, ID o altri tipi di strumenti di analisi della rete.
Alcuni usi tipici sono:
• Risolvere i problemi di rete monitorando i frame di controllo/dati;
• Analizzare latenza e jitter monitorando i pacchetti VoIP;
• Analizzare la latenza monitorando le interazioni di rete;
• Rilevare anomalie monitorando il traffico di rete.
Il traffico di span può essere rispecchiato localmente su altre porte sullo stesso dispositivo di origine o rispecchiati in remoto su altri dispositivi di rete adiacenti al livello 2 del dispositivo sorgente (RSPAN).
Oggi parleremo della tecnologia di monitoraggio del traffico Internet remoto chiamata ERSPAN (incapsulato analizzatore della porta switch remoto) che può essere trasmessa su tre livelli di IP. Questa è un'estensione dell'arco di remoto incapsulato.
Principi operativi di base di Erspan
Innanzitutto, diamo un'occhiata alle caratteristiche di Erspan:
• Una copia del pacchetto dalla porta di origine viene inviata al server di destinazione per l'analisi tramite incapsulamento di routing generico (GRE). La posizione fisica del server non è limitata.
• Con l'aiuto del campo User Defined Field (UDF) del chip, qualsiasi offset da 1 a 126 byte viene eseguito in base al dominio di base attraverso l'elenco esteso a livello di esperti e le parole chiave della sessione sono abbinate per realizzare la visualizzazione della sessione, come la sessione di Handshake a tre vie e RDMA;
• Tasso di campionamento dell'impostazione di supporto;
• Supporta la lunghezza dell'intercettazione dei pacchetti (taglio dei pacchetti), riducendo la pressione sul server di destinazione.
Con queste funzionalità, puoi capire perché Erspan è uno strumento essenziale per il monitoraggio delle reti all'interno dei data center oggi.
Le principali funzioni di Erspan possono essere riassunte in due aspetti:
• Visibilità della sessione: utilizzare Erspan per raccogliere tutte le nuove sessioni di accesso a memoria diretta (RDMA) creati al server back-end per la visualizzazione;
• Risoluzione dei problemi di rete: cattura il traffico di rete per l'analisi dei guasti quando si verifica un problema di rete.
Per fare ciò, il dispositivo di rete di origine deve filtrare il traffico di interesse per l'utente dall'enorme flusso di dati, creare una copia e incapsulare ogni frame di copia in uno speciale "contenitore superframe" che trasporta abbastanza informazioni aggiuntive in modo che possa essere instradato correttamente al dispositivo ricevente. Inoltre, consentire al dispositivo di ricezione di estrarre e recuperare completamente il traffico monitorato originale.
Il dispositivo ricevente può essere un altro server che supporta i pacchetti Erspan decapsulanti.
L'analisi del tipo di tipo e del pacchetto Erspan
I pacchetti ERSPAN sono incapsulati utilizzando GRE e inoltrati a qualsiasi destinazione indirizzabile IP su Ethernet. ERSPAN è attualmente utilizzato principalmente sulle reti IPv4 e il supporto IPv6 sarà un requisito in futuro.
Per la struttura di incapsulamento generale di ERSAPN, quanto segue è una cattura dei pacchetti a specchio di pacchetti ICMP:
Il protocollo Erspan si è sviluppato per un lungo periodo di tempo e, con il potenziamento delle sue capacità, sono state formate diverse versioni, chiamate "tipi di erspan". Tipi diversi hanno formati di intestazione di cornice diversi.
È definito nel campo della prima versione dell'intestazione di Erspan:
Inoltre, il campo del tipo di protocollo nell'intestazione GRE indica anche il tipo di Erspan interno. Il campo Tipo di protocollo 0x88Be indica Erspan Tipo II e 0x22EB indica il tipo III di Erspan.
1. Tipo I.
Il frame Erspan di tipo I incapsula IP e GRE direttamente sopra l'intestazione del frame specchio originale. Questo incapsulamento aggiunge 38 byte sul frame originale: 14 (Mac) + 20 (IP) + 4 (GRE). Il vantaggio di questo formato è che ha una dimensione di intestazione compatta e riduce il costo della trasmissione. Tuttavia, poiché imposta i campi di bandiera GRE e versione su 0, non trasporta campi estesi e il tipo I non è ampiamente utilizzato, quindi non è necessario espandersi di più.
Il formato di intestazione GRE di tipo I è il seguente:
2. Tipo II
Nel tipo II, i campi C, R, K, S, S, Recur, Flags e Version nell'intestazione GRE sono tutti 0 tranne il campo S. Pertanto, il campo Numero di sequenza viene visualizzato nell'intestazione GRE di Tipo II. Cioè, il tipo II può garantire l'ordine di ricevere pacchetti GRE, in modo che un gran numero di pacchetti GRE fuori ordine non possa essere ordinato a causa di un errore di rete.
Il formato di intestazione GRE di tipo II è il seguente:
Inoltre, il formato del telaio di tipo II di Erspan aggiunge un'intestazione Erspan a 8 byte tra l'intestazione GRE e il telaio a specchio originale.
Il formato di intestazione Erspan per il tipo II è il seguente:
Infine, immediatamente dopo la cornice dell'immagine originale, è il codice CRC (CRC) standard a 4 byte Ethernet Ridondancy Check).
Vale la pena notare che nell'implementazione, il frame specchio non contiene il campo FCS del frame originale, invece un nuovo valore CRC viene ricalcolato in base all'intera Erspan. Ciò significa che il dispositivo di ricezione non può verificare la correttezza CRC del telaio originale e possiamo solo supporre che solo i frame non corrotti siano rispecchiati.
3. Tipo III
Il tipo III introduce un'intestazione composita più ampia e flessibile per affrontare scenari di monitoraggio della rete sempre più complessi e diversificato, inclusi ma non limitati alla gestione della rete, al rilevamento delle intrusioni, all'analisi delle prestazioni e dei ritardi e altro ancora. Queste scene devono conoscere tutti i parametri originali del frame specchio e includere quelli che non sono presenti nel frame stesso originale.
L'intestazione composita di tipo III di Erspan include un'intestazione a 12 byte obbligatoria e una sottotitole specifica della piattaforma a 8 byte opzionale.
Il formato di intestazione Erspan per il tipo III è il seguente:
Ancora una volta, dopo che la cornice specchio originale è un CRC a 4 byte.
Come si può vedere dal formato di intestazione di tipo III, oltre a trattenere i campi VLAN, VLAN, COS, T e sessione sulla base del tipo II, vengono aggiunti molti campi speciali, come: ad esempio:
• BSO: utilizzato per indicare l'integrità del carico dei frame di dati trasportati tramite Erspan. 00 è un buon telaio, 11 è una cornice cattiva, 01 è una cornice corta, 11 è un telaio di grandi dimensioni;
• Timestamp: esportato dall'orologio hardware sincronizzato con il tempo di sistema. Questo campo a 32 bit supporta almeno 100 microsecondi di granularità del timestamp;
• Tipo di frame (P) e tipo di frame (FT): il primo viene utilizzato per specificare se Erspan trasporta frame di protocollo Ethernet (frame PDU) e il secondo viene utilizzato per specificare se Erspan trasporta frame Ethernet o pacchetti IP.
• ID HW: identificatore univoco del motore Erspan all'interno del sistema;
• GRA (granularità del timestamp): specifica la granularità del timestamp. Ad esempio, 00b rappresenta una granularità di 100 microsecondi, granularità nanosecondi 01b 100, 10B IEEE 1588 granularità e 11b richiede sotto-testate specifiche della piattaforma per ottenere una maggiore granularità.
• ID PLATF vs. Informazioni specifiche della piattaforma: i campi di informazioni specifici PLATF hanno formati e contenuti diversi a seconda del valore ID PLATF.
Va notato che i vari campi di intestazione supportati sopra possono essere utilizzati nelle normali applicazioni ERSPAN, persino frame di errore di mirroring o frame BPDU, mantenendo il pacchetto di tronco originale e l'ID VLAN. Inoltre, durante il mirroring è possibile aggiungere informazioni sul timestamp e altri campi di informazione a ciascun frame Erspan.
Con le intestazioni delle caratteristiche di Erspan, possiamo ottenere un'analisi più raffinata del traffico di rete e quindi semplicemente montare l'ACL corrispondente nel processo Erspan per abbinare il traffico di rete che siamo interessati.
Erspan implementa la visibilità della sessione RDMA
Facciamo un esempio di utilizzo della tecnologia Erspan per ottenere la visualizzazione della sessione RDMA in uno scenario RDMA:
RDMA: L'accesso a memoria diretta remota abilita l'adattatore di rete del server A per leggere e scrivere la memoria del server B utilizzando schede di interfaccia di rete intelligenti (INIC) e switch, ottenendo un'elevata larghezza di banda, bassa latenza e bassa utilizzo delle risorse. È ampiamente utilizzato nei big data e negli scenari di archiviazione distribuita ad alte prestazioni.
ROCEV2: RDMA su Ethernet converged versione 2. I dati RDMA sono incapsulati nell'intestazione UDP. Il numero di porta di destinazione è 4791.
Il funzionamento quotidiano e la manutenzione di RDMA richiedono la raccolta di molti dati, che vengono utilizzati per raccogliere linee di riferimento al livello dell'acqua giornaliere e allarmi anormali, nonché la base per individuare problemi anormali. In combinazione con Erspan, i dati massicci possono essere acquisiti rapidamente per ottenere dati di qualità di inoltro di microsecondi e stato di interazione del protocollo del chip di commutazione. Attraverso statistiche e analisi dei dati, è possibile ottenere la valutazione e la previsione della qualità end-to-end RDMA.
Per ottenere la visualizzazione della sessione RDAM, abbiamo bisogno di Erspan per abbinare le parole chiave per le sessioni di interazione RDMA quando mirroring traffico e dobbiamo utilizzare l'elenco esteso di esperti.
Definizione del campo di corrispondenza esteso a livello di esperti:
L'UDF è composto da cinque campi: parola chiave UDF, campo di base, campo di offset, campo di valore e campo di maschera. Limitato dalla capacità delle voci hardware, è possibile utilizzare un totale di otto UDF. Un UDF può abbinare un massimo di due byte.
• PAROLA CHIAVE UDF: UDF1 ... UDF8 contiene otto parole chiave del dominio corrispondente UDF
• Campo di base: identifica la posizione iniziale del campo di abbinamento UDF. Quanto segue
L4_Header (applicabile a RG-S6520-64CQ)
L5_Header (per RG-S6510-48VS8CQ)
• Offset: indica l'offset in base al campo di base. Il valore varia da 0 a 126
• Campo di valore: valore corrispondente. Può essere utilizzato insieme al campo maschera per configurare il valore specifico da abbinare. Il bit valido è due byte
• Campo maschera: maschera, bit valido è due byte
(Aggiungi: se vengono utilizzate più voci nello stesso campo di abbinamento UDF, i campi di base e offset devono essere gli stessi.)
I due pacchetti chiave associati allo stato della sessione RDMA sono il pacchetto di notifica di congestione (CNP) e il riconoscimento negativo (NAK):
Il primo viene generato dal ricevitore RDMA dopo aver ricevuto il messaggio ECN inviato dallo switch (quando il buffer EOUT raggiunge la soglia), che contiene informazioni sul flusso o sul QP che causano congestione. Quest'ultimo viene utilizzato per indicare che la trasmissione RDMA ha un messaggio di risposta alla perdita di pacchetti.
Diamo un'occhiata a come abbinare questi due messaggi usando l'elenco esteso a livello di esperti:
Expert Access-list Extended RDMA
consentire UDP qualsiasi qualsiasi eq 4791UDF 1 L4_Header 8 0x8100 0xff00(Corrispondente a RG-S6520-64CQ)
consentire UDP qualsiasi qualsiasi eq 4791UDF 1 L5_Header 0 0x8100 0xff00(Corrispondente a RG-S6510-48VS8CQ)
Expert Access-list Extended RDMA
consentire UDP qualsiasi qualsiasi eq 4791UDF 1 L4_Header 8 0x1100 0xFF00 UDF 2 L4_Header 20 0x6000 0xFF00(Corrispondente a RG-S6520-64CQ)
consentire UDP qualsiasi qualsiasi eq 4791UDF 1 L5_Header 0 0x1100 0xFF00 UDF 2 L5_Header 12 0x6000 0xFF00(Corrispondente a RG-S6510-48VS8CQ)
Come ultimo passaggio, è possibile visualizzare la sessione RDMA montando l'elenco di estensione di esperti nel processo ERSPAN appropriato.
Scrivi nell'ultimo
Erspan è uno degli strumenti indispensabili nelle reti di data center sempre più grandi di oggi, traffico di rete sempre più complessi e requisiti di funzionamento e manutenzione di rete sempre più sofisticati.
Con il crescente grado di automazione O&M, tecnologie come NetConf, RESTConf e GRPC sono popolari tra gli studenti O&M nella rete automatica O&M. L'uso di GRPC come protocollo sottostante per l'invio del traffico degli specchi ha anche molti vantaggi. Ad esempio, in base al protocollo HTTP/2, può supportare il meccanismo di spinta in streaming sotto la stessa connessione. Con la codifica Protobuf, la dimensione delle informazioni è ridotta della metà rispetto al formato JSON, rendendo la trasmissione dei dati più veloce ed efficiente. Immagina, se usi Erspan per rispecchiare i flussi interessati e quindi inviarli al server di analisi su GRPC, migliorerà notevolmente la capacità e l'efficienza del funzionamento e della manutenzione automatici di rete?
Tempo post: maggio-10-2022
