Το πιο συνηθισμένο εργαλείο για την παρακολούθηση του δικτύου και την αντιμετώπιση προβλημάτων σήμερα είναι ο αναλυτής θύρας Switch (SPAN), γνωστός και ως Mirroring Port. Μας επιτρέπει να παρακολουθούμε την κυκλοφορία δικτύου σε παράκαμψη εκτός λειτουργίας της μπάντας χωρίς να παρεμβαίνει στις υπηρεσίες στο ζωντανό δίκτυο και στέλνει ένα αντίγραφο της παρακολούθησης της κυκλοφορίας σε τοπικές ή απομακρυσμένες συσκευές, συμπεριλαμβανομένων των SNIFFER, IDS ή άλλων τύπων εργαλείων ανάλυσης δικτύου.
Ορισμένες τυπικές χρήσεις είναι:
• Αντιμετώπιση προβλημάτων δικτύου με την παρακολούθηση πλαισίων ελέγχου/δεδομένων.
• Αναλύστε την καθυστέρηση και το jitter παρακολουθώντας τα πακέτα VoIP.
• Αναλύστε την καθυστέρηση με την παρακολούθηση των αλληλεπιδράσεων δικτύου.
• Ανίχνευση ανωμαλιών με την παρακολούθηση της κυκλοφορίας δικτύου.
Η κυκλοφορία Span μπορεί να αντικατοπτρίζεται τοπικά σε άλλες θύρες στην ίδια συσκευή προέλευσης ή να αντικατοπτρίζεται εξ αποστάσεως σε άλλες συσκευές δικτύου δίπλα στο στρώμα 2 της συσκευής προέλευσης (RSPAN).
Σήμερα πρόκειται να μιλήσουμε για την απομακρυσμένη τεχνολογία παρακολούθησης της κυκλοφορίας στο διαδίκτυο που ονομάζεται Erspan (Encapsulated Remote Switch Analyzer) που μπορεί να μεταδοθεί σε τρία στρώματα IP. Αυτή είναι μια επέκταση του εύρους σε ενθυλακωμένο τηλεχειριστήριο.
Βασικές αρχές λειτουργίας του Erspan
Πρώτον, ας ρίξουμε μια ματιά στα χαρακτηριστικά του Erspan:
• Ένα αντίγραφο του πακέτου από τη θύρα προέλευσης αποστέλλεται στον διακομιστή προορισμού για ανάλυση μέσω γενικής ενθυλάκωσης δρομολόγησης (GRE). Η φυσική θέση του διακομιστή δεν είναι περιορισμένη.
• Με τη βοήθεια του χαρακτηριστικού πεδίου που καθορίζεται από το χρήστη (UDF) του τσιπ, οποιαδήποτε μετατόπιση από 1 έως 126 bytes πραγματοποιείται με βάση τον τομέα βάσης μέσω της εκτεταμένης λίστας σε επίπεδο εμπειρογνωμόνων και οι λέξεις-κλειδιά της περιόδου σύνδεσης ταιριάζουν με την πραγματοποίηση της απεικόνισης της περιόδου λειτουργίας,
• Ρύθμιση ρύθμισης υποστήριξης ρύθμισης ·
• Υποστηρίζει το μήκος παρακολούθησης πακέτων (τεμαχισμό πακέτων), μειώνοντας την πίεση στον διακομιστή προορισμού.
Με αυτά τα χαρακτηριστικά, μπορείτε να δείτε γιατί το ERSPAN είναι ένα βασικό εργαλείο για την παρακολούθηση των δικτύων μέσα στα κέντρα δεδομένων σήμερα.
Οι κύριες λειτουργίες του Erspan μπορούν να συνοψιστούν σε δύο πτυχές:
• Ορατότητα συνεδρίας: Χρησιμοποιήστε το Erspan για να συλλέξετε όλα τα δημιουργημένα νέα συνεδρίες TCP και Remote Direct Memory Access (RDMA) στον διακομιστή back-end για προβολή.
• Αντιμετώπιση προβλημάτων δικτύου: Καταγράφει την κυκλοφορία δικτύου για ανάλυση σφαλμάτων όταν προκύψει πρόβλημα δικτύου.
Για να γίνει αυτό, η συσκευή δικτύου προέλευσης πρέπει να φιλτράρει την επισκεψιμότητα που ενδιαφέρει τον χρήστη από τη μαζική ροή δεδομένων, να κάνει ένα αντίγραφο και να ενσωματώσει κάθε πλαίσιο αντιγραφής σε ένα ειδικό "δοχείο superframe" που μεταφέρει αρκετές πρόσθετες πληροφορίες, ώστε να μπορεί να κατευθύνεται σωστά στη συσκευή λήψης. Επιπλέον, επιτρέψτε στη συσκευή λήψης να εξαγάγει και να ανακτήσει πλήρως την αρχική παρακολούθηση της κυκλοφορίας.
Η συσκευή λήψης μπορεί να είναι ένας άλλος διακομιστής που υποστηρίζει τα πακέτα αποκεφαλισμού Erspan.
Η ανάλυση τύπου Erspan και συσκευασίας
Τα πακέτα Erspan είναι ενθυλακωμένα χρησιμοποιώντας GRE και προωθούνται σε οποιονδήποτε προορισμό διευθύνσεων IP μέσω του Ethernet. Το Erspan χρησιμοποιείται επί του παρόντος κυρίως στα δίκτυα IPv4 και η υποστήριξη IPv6 θα αποτελέσει απαίτηση στο μέλλον.
Για τη γενική δομή ενθυλάκωσης του ERSAPN, το ακόλουθο είναι ένα πακέτο καθρέφτη πακέτων πακέτων ICMP:
Το πρωτόκολλο Erspan έχει αναπτυχθεί για μεγάλο χρονικό διάστημα και με την ενίσχυση των δυνατοτήτων του, έχουν σχηματιστεί διάφορες εκδόσεις, που ονομάζονται "τύποι Erspan". Διαφορετικοί τύποι έχουν διαφορετικές μορφές κεφαλίδας πλαισίου.
Ορίζεται στο πρώτο πεδίο έκδοσης της κεφαλίδας Erspan:
Επιπλέον, το πεδίο τύπου πρωτοκόλλου στην κεφαλίδα GRE υποδεικνύει επίσης τον εσωτερικό τύπο Erspan. Το πεδίο τύπου πρωτοκόλλου 0x88be υποδεικνύει το Erspan Type II και το 0x22EB υποδεικνύει Erspan τύπου III.
1. Τύπος Ι
Το πλαίσιο Erspan του τύπου Ι ενθυλακώνει IP και GRE απευθείας πάνω από την κεφαλίδα του αρχικού πλαισίου καθρέφτη. Αυτή η ενθυλάκωση προσθέτει 38 bytes πάνω από το αρχικό πλαίσιο: 14 (Mac) + 20 (IP) + 4 (GRE). Το πλεονέκτημα αυτής της μορφής είναι ότι έχει ένα συμπαγές μέγεθος κεφαλίδας και μειώνει το κόστος της μετάδοσης. Ωστόσο, επειδή ορίζει τα πεδία GRE Flag και Version στο 0, δεν φέρει κανένα εκτεταμένο πεδία και ο τύπος Ι δεν χρησιμοποιείται ευρέως, οπότε δεν υπάρχει λόγος να επεκταθεί περισσότερο.
Η μορφή κεφαλίδας GRE του τύπου Ι είναι η εξής:
2. Τύπος II
Στον Τύπο ΙΙ, τα πεδία C, R, K, S, S, Recur, Flags και Version στην κεφαλίδα GRE είναι όλα 0 εκτός από το πεδίο S. Επομένως, το πεδίο αριθμού ακολουθίας εμφανίζεται στην κεφαλίδα GRE του τύπου II. Δηλαδή, ο τύπος II μπορεί να εξασφαλίσει τη σειρά παραλαβής πακέτων GRE, έτσι ώστε ένας μεγάλος αριθμός πακέτων GRE εκτός τάξης να μην μπορούν να ταξινομηθούν λόγω σφάλματος δικτύου.
Η μορφή κεφαλίδας GRE του τύπου II έχει ως εξής:
Επιπλέον, η μορφή πλαισίου Erspan Type II προσθέτει μια κεφαλίδα 8-byte Erspan μεταξύ της κεφαλίδας GRE και του αρχικού πλαισίου καθρέφτη.
Η μορφή κεφαλίδας Erspan για τον Τύπο ΙΙ έχει ως εξής:
Τέλος, αμέσως μετά το αρχικό πλαίσιο εικόνας, είναι ο τυπικός κώδικας ελέγχου κυκλικού ελέγχου πλεονασμάτων 4-byte Ethernet (CRC).
Αξίζει να σημειωθεί ότι στην εφαρμογή, το πλαίσιο καθρέφτη δεν περιέχει το πεδίο FCS του αρχικού πλαισίου, αλλά μια νέα τιμή CRC υπολογίζεται εκ νέου με βάση ολόκληρο το Erspan. Αυτό σημαίνει ότι η συσκευή λήψης δεν μπορεί να επαληθεύσει την ορθότητα του CRC του αρχικού πλαισίου και μπορούμε μόνο να υποθέσουμε ότι αντικατοπτρίζονται μόνο τα ακανόνιστα πλαίσια.
3. Τύπος III
Ο Τύπος ΙΙΙ εισάγει μια μεγαλύτερη και πιο ευέλικτη σύνθετη κεφαλίδα για την αντιμετώπιση των ολοένα και πιο περίπλοκων και ποικίλων σεναρίων παρακολούθησης δικτύου, συμπεριλαμβανομένης, μεταξύ άλλων, της διαχείρισης δικτύου, της ανίχνευσης εισβολών, των επιδόσεων και της ανάλυσης καθυστέρησης. Αυτές οι σκηνές πρέπει να γνωρίζουν όλες τις αρχικές παράμετροι του πλαισίου καθρέφτη και να περιλαμβάνουν εκείνες που δεν υπάρχουν στο ίδιο το αρχικό πλαίσιο.
Η σύνθετη κεφαλίδα του Erspan Type III περιλαμβάνει υποχρεωτική κεφαλίδα 12 byte και προαιρετικό υποκειμενικό ειδικό για την πλατφόρμα 8-byte.
Η μορφή κεφαλίδας Erspan για τον Τύπο ΙΙΙ έχει ως εξής:
Και πάλι, μετά το αρχικό πλαίσιο καθρέφτη είναι ένα 4-byte CRC.
Όπως φαίνεται από τη μορφή κεφαλίδας του τύπου III, εκτός από τη διατήρηση των πεδίων VER, VLAN, COS, T και Session ID με βάση τον τύπο II, προστίθενται πολλά ειδικά πεδία, όπως:
• BSO: Χρησιμοποιείται για να υποδείξει την ακεραιότητα του φορτίου των πλαισίων δεδομένων που μεταφέρονται μέσω του Erspan. Το 00 είναι ένα καλό πλαίσιο, το 11 είναι ένα κακό πλαίσιο, το 01 είναι ένα σύντομο πλαίσιο, 11 είναι ένα μεγάλο πλαίσιο.
• Timestamp: Εξάγεται από το ρολόι υλικού που συγχρονίζεται με την ώρα του συστήματος. Αυτό το πεδίο 32-bit υποστηρίζει τουλάχιστον 100 μικροδευτερόλεπτα χρονοδιαγράμματα.
• Τύπος πλαισίου (P) και τύπος πλαισίου (FT): Ο πρώτος χρησιμοποιείται για να καθορίσει εάν το Erspan φέρει πλαίσια πρωτοκόλλου Ethernet (πλαίσια PDU) και το τελευταίο χρησιμοποιείται για να καθορίσει εάν το Erspan μεταφέρει πλαίσια Ethernet ή πακέτα IP.
• HW ID: μοναδικό αναγνωριστικό του κινητήρα Erspan στο σύστημα.
• GRA (GRASTURALY TIMESTAMP): Καθορίζει την λεπτομέρεια της χρονικής σήμανσης. Για παράδειγμα, το 00b αντιπροσωπεύει 100 μικροδευτερόλεπτα κοκκοσφαίρια, 01b 100 νανοδευτερόλεπτα λεπτομερή, 10b IEEE 1588 Gracularity και 11b απαιτούν ειδικά για την πλατφόρμα υπο-κεφαλίδες για να επιτύχουν υψηλότερη λεπτομέρεια.
• Πλατφόρμα Platf έναντι πλατφόρμας Ειδικές πληροφορίες: Τα συγκεκριμένα πεδία πληροφοριών PLATF έχουν διαφορετικές μορφές και περιεχόμενα ανάλογα με την τιμή ID PLATF.
Θα πρέπει να σημειωθεί ότι τα διάφορα πεδία κεφαλίδας που υποστηρίζονται παραπάνω μπορούν να χρησιμοποιηθούν σε κανονικές εφαρμογές Erspan, ακόμη και να αντικατοπτρίζουν τα πλαίσια σφαλμάτων ή τα πλαίσια BPDU, διατηρώντας παράλληλα το αρχικό πακέτο κορμού και το ID VLAN. Επιπλέον, μπορούν να προστεθούν βασικές πληροφορίες για τη χρονική σήμανση και άλλα πεδία πληροφοριών σε κάθε πλαίσιο Erspan κατά τη διάρκεια του κατοπτρικού.
Με τις κεφαλίδες χαρακτηριστικών της Erspan, μπορούμε να επιτύχουμε μια πιο εκλεπτυσμένη ανάλυση της κυκλοφορίας δικτύου και στη συνέχεια να τοποθετήσουμε απλώς την αντίστοιχη ACL στη διαδικασία Erspan ώστε να ταιριάζει με την κυκλοφορία του δικτύου που μας ενδιαφέρει.
Το Erspan υλοποιεί την ορατότητα της περιόδου λειτουργίας RDMA
Ας πάρουμε ένα παράδειγμα χρήσης της τεχνολογίας Erspan για να επιτύχουμε την απεικόνιση της περιόδου RDMA σε ένα σενάριο RDMA:
RDMA: Η απομακρυσμένη άμεση πρόσβαση μνήμης επιτρέπει στον προσαρμογέα δικτύου του διακομιστή Α για να διαβάσετε και να γράψετε τη μνήμη του διακομιστή Β χρησιμοποιώντας τις έξυπνες κάρτες διεπαφής δικτύου (INIC) και τους διακόπτες, επιτυγχάνοντας υψηλό εύρος ζώνης, χαμηλή λανθάνουσα κατάσταση και χαμηλή χρήση πόρων. Χρησιμοποιείται ευρέως σε μεγάλα δεδομένα και σενάρια υψηλής απόδοσης κατανεμημένα.
Rocev2: RDMA πάνω από τη συγκλίνουσα έκδοση Ethernet 2. Τα δεδομένα RDMA ενθυλακώνονται στην κεφαλίδα UDP. Ο αριθμός θύρας προορισμού είναι 4791.
Η καθημερινή λειτουργία και η συντήρηση του RDMA απαιτεί τη συλλογή πολλών δεδομένων, η οποία χρησιμοποιείται για τη συλλογή ημερήσιων γραμμών αναφοράς στάθμης νερού και μη φυσιολογικών συναγερμών, καθώς και τη βάση για τον εντοπισμό μη φυσιολογικών προβλημάτων. Σε συνδυασμό με το ERSPAN, τα μαζικά δεδομένα μπορούν να συλληφθούν γρήγορα για να ληφθούν δεδομένα ποιότητας προώθησης μικροδευτερόλεπτων και η κατάσταση αλληλεπίδρασης πρωτοκόλλου του τσιπ μεταγωγής. Μέσω στατιστικών στοιχείων και ανάλυσης δεδομένων, μπορούν να ληφθούν αξιολόγηση και πρόβλεψη από άκρο προώθησης από άκρο προώθησης RDMA.
Για να επιτευχθεί η απεικόνιση της περιόδου λειτουργίας RDAM, χρειαζόμαστε το Erspan για να ταιριάζει με τις λέξεις -κλειδιά για τις συνεδρίες αλληλεπίδρασης RDMA κατά την αντικατάσταση της κυκλοφορίας και πρέπει να χρησιμοποιήσουμε τον εκτεταμένο κατάλογο εμπειρογνωμόνων.
Επεξηγηματικός ορισμός πεδίου εκτεταμένης λίστας:
Το UDF αποτελείται από πέντε πεδία: λέξη -κλειδί UDF, πεδίο βάσης, πεδίο μετατόπισης, πεδίο αξίας και πεδίο μάσκας. Περιορισμένη από την ικανότητα των καταχωρήσεων υλικού, μπορούν να χρησιμοποιηθούν συνολικά οκτώ UDFs. Ένα UDF μπορεί να ταιριάζει με δύο bytes.
• Λέξη -κλειδί UDF: UDF1 ... Το UDF8 περιέχει οκτώ λέξεις -κλειδιά του τομέα αντιστοίχισης UDF
• Πεδίο βάσης: Προσδιορίζει τη θέση έναρξης του πεδίου αντιστοίχισης UDF. Τα παρακάτω
L4_Header (ισχύει για το RG-S6520-64CQ)
L5_Header (για RG-S6510-48VS8CQ)
• Offset: Υποδεικνύει την μετατόπιση με βάση το πεδίο βάσης. Η τιμή κυμαίνεται από 0 έως 126
• Πεδίο τιμής: Τιμή αντιστοίχισης. Μπορεί να χρησιμοποιηθεί μαζί με το πεδίο μάσκας για να διαμορφώσετε τη συγκεκριμένη τιμή που πρέπει να αντιστοιχιστεί. Το έγκυρο bit είναι δύο bytes
• Πεδίο μάσκας: μάσκα, το έγκυρο bit είναι δύο bytes
(Προσθήκη: Εάν χρησιμοποιούνται πολλαπλές καταχωρήσεις στο ίδιο πεδίο αντιστοίχισης UDF, τα πεδία βάσης και μετατόπισης πρέπει να είναι τα ίδια.)
Τα δύο πακέτα κλειδιών που σχετίζονται με την κατάσταση της περιόδου λειτουργίας RDMA είναι το πακέτο ειδοποίησης συμφόρησης (CNP) και η αρνητική αναγνώριση (NAK):
Ο πρώτος παράγεται από τον δέκτη RDMA μετά τη λήψη του μηνύματος ECN που αποστέλλεται από το διακόπτη (όταν το buffer EOUT φτάνει στο κατώφλι), το οποίο περιέχει πληροφορίες σχετικά με τη ροή ή το QP που προκαλεί συμφόρηση. Το τελευταίο χρησιμοποιείται για να υποδείξει ότι η μετάδοση RDMA έχει ένα μήνυμα απόκρισης απώλειας πακέτων.
Ας δούμε πώς να ταιριάζει με αυτά τα δύο μηνύματα χρησιμοποιώντας την εκτεταμένη λίστα σε επίπεδο εμπειρογνωμόνων:
Expert Access-List Extended RDMA
επιτρέψτε στο UDP οποιοδήποτε οποιοδήποτε EQ 4791UDF 1 L4_Header 8 0x8100 0xff00(Ταιριάζει με RG-S6520-64CQ)
επιτρέψτε στο UDP οποιοδήποτε οποιοδήποτε EQ 4791UDF 1 L5_Header 0 0x8100 0xff00(Αντιστοιχία RG-S6510-48VS8CQ)
Expert Access-List Extended RDMA
επιτρέψτε στο UDP οποιοδήποτε οποιοδήποτε EQ 4791UDF 1 L4_Header 8 0x1100 0xff00 UDF 2 L4_Header 20 0x6000 0xff00(Ταιριάζει με RG-S6520-64CQ)
επιτρέψτε στο UDP οποιοδήποτε οποιοδήποτε EQ 4791UDF 1 L5_Header 0 0x1100 0xff00 UDF 2 L5_Header 12 0x6000 0xff00(Αντιστοιχία RG-S6510-48VS8CQ)
Ως τελικό βήμα, μπορείτε να απεικονίσετε τη συνεδρία RDMA με την τοποθέτηση της λίστας επέκτασης εμπειρογνωμόνων στην κατάλληλη διαδικασία Erspan.
Γράψτε το τελευταίο
Το ERSPAN είναι ένα από τα απαραίτητα εργαλεία στα σημερινά ολοένα και πιο μεγάλα δίκτυα κέντρων δεδομένων, όλο και πιο σύνθετη κυκλοφορία δικτύου και όλο και πιο εξελιγμένες απαιτήσεις λειτουργίας και συντήρησης δικτύου.
Με τον αυξανόμενο βαθμό αυτοματοποίησης O & M, οι τεχνολογίες όπως το NETCONF, το RESTCONF και το GRPC είναι δημοφιλείς μεταξύ των φοιτητών O & M στο δίκτυο αυτόματο O & M. Χρησιμοποιώντας το GRPC ως το υποκείμενο πρωτόκολλο για την αποστολή της κυκλοφορίας καθρέφτη έχει επίσης πολλά πλεονεκτήματα. Για παράδειγμα, με βάση το πρωτόκολλο HTTP/2, μπορεί να υποστηρίξει τον μηχανισμό ώθησης ροής κάτω από την ίδια σύνδεση. Με την κωδικοποίηση του Protobuf, το μέγεθος των πληροφοριών μειώνεται κατά το ήμισυ σε σύγκριση με τη μορφή JSON, καθιστώντας τη μετάδοση δεδομένων ταχύτερη και πιο αποτελεσματική. Φανταστείτε, εάν χρησιμοποιείτε το Erspan για να αντικατοπτρίσετε τις ενδιαφερόμενες ροές και στη συνέχεια να τα στείλετε στο διακομιστή ανάλυσης στο GRPC, θα βελτιώσει σημαντικά την ικανότητα και την αποτελεσματικότητα της αυτόματης λειτουργίας και συντήρησης δικτύου;
Χρόνος δημοσίευσης: Μάιος-10-2022
