Самы распаўсюджаны інструмент для маніторынгу сеткі і ліквідацыі непаладак сёння - гэта аналізатар порта Switch (Span), таксама вядомы як адлюстраванне порта. Гэта дазваляе нам кантраляваць сеткавы трафік у байпасе з рэжыму Band, не перашкаджаючы паслуг у жывой сетцы, і адпраўляе копію маніторыраванага трафіку на лакальныя або аддаленыя прылады, уключаючы Sniffer, IDS або іншыя тыпы інструментаў аналізу сеткі.
Некаторыя тыповыя мэты:
• ліквідацыю праблем сеткі, адсочваючы кадры кіравання/дадзеных;
• прааналізаваць затрымку і дрыгаценне, маніторынг пакетаў VoIP;
• прааналізаваць затрымку шляхам маніторынгу сеткавых узаемадзеянняў;
• Выяўленне анамалій, маніторываючы сеткавы трафік.
Трафік SPAN можа быць люстраным для іншых партаў на адной і той жа крыніцы, альбо аддалена адлюстроўваецца да іншых сеткавых прылад, прылеглых да ўзроўню 2 зыходнага прылады (RSPAN).
Сёння мы пагаворым пра тэхналогію дыстанцыйнага маніторынгу інтэрнэт -трафіку пад назвай ERSPAN (інкапсуляваны аналізатар порта дыстанцыйнага выключальніка), якую можна перадаваць па трох слаёх IP. Гэта пашырэнне прамежку да інкапсуляванага пульта.
Асноўныя прынцыпы эксплуатацыі ERSPAN
Па -першае, давайце паглядзім на асаблівасці Эрсана:
• Копія пакета з зыходнага порта адпраўляецца на сервер прызначэння для разбору праз агульную інкапсуляцыю маршрутызацыі (GRE). Фізічнае размяшчэнне сервера не абмежавана.
• З дапамогай функцыі, вызначанага карыстальнікам (UDF) чыпа, любое зрушэнне ад 1 да 126 байт ажыццяўляецца на аснове базавага дамена праз пашыраны спіс на ўзроўні экспертаў, а ключавыя словы сесіі адпавядаюць візуалізацыі сеансу, напрыклад, TCP з трохбаковым ручным шэкам і сеансам RDMA;
• падтрымка хуткасці адбору пробаў;
• Падтрымлівае даўжыню перахопу пакета (нарэзка пакета), зніжаючы ціск на мэтавы сервер.
З дапамогай гэтых функцый вы бачыце, чаму ERSPAN - гэта найважнейшы інструмент для маніторынгу сетак унутры цэнтраў апрацоўкі дадзеных.
Асноўныя функцыі ERSPAN можна абагульніць у двух аспектах:
• Бачнасць сесіі: Выкарыстоўвайце ERSPAN для збору ўсіх створаных новых сесій TCP і дыстанцыйнага прамога доступу да памяці (RDMA) на заднім серверы для адлюстравання;
• У ліквідацыі непаладак у сетцы: захоплівае сеткавы трафік для аналізу няспраўнасцей, калі ўзнікае праблема сеткі.
Для гэтага прыладзе зыходнай сеткі неабходна адфільтраваць цікавы трафік карыстальніка з масіўнага патоку дадзеных, зрабіць копію і інкапсуляваць кожны кадр копіі ў спецыяльны "кантэйнер з суперфрым", які нясе дастатковую дадатковую інфармацыю, каб яна была правільна перанесена на прыладу, якая прымае. Больш за тое, уключыце прыёмную прыладу для здабывання і цалкам аднавіць арыгінальны маніторынг трафіку.
Прыёмная прылада можа стаць яшчэ адным серверам, які падтрымлівае дэкапсуляцыю пакетаў ERSPAN.
Аналіз тыпу і фармату пакета ERSPAN
Пакеты ERSPAN інкапсулююцца пры дапамозе GRE і перадаюцца ў любы IP -адрасны пункт прызначэння праз Ethernet. У цяперашні час ERSPAN выкарыстоўваецца ў сетках IPv4, і падтрымка IPv6 будзе патрабаваннем у будучыні.
Для агульнай структуры інкапсуляцыі ERSAPN наступнае - гэта люстраны пакет пакетаў ICMP:
Пратакол ERSPAN распрацаваны на працягу доўгага перыяду часу, і з удасканаленнем яго магчымасцей было сфармавана некалькі версій, якія называюцца "тыпы ERSPAN". Розныя тыпы маюць розныя фарматы загалоўкаў кадра.
Ён вызначаны ў першай версіі поля загалоўка ERSPAN:
Акрамя таго, поле тыпу пратакола ў загалоўку GRE таксама паказвае на ўнутраны тып ERSPAN. Поле тыпу пратакола 0x88be паказвае на ERSPAN тып II, а 0x22EB паказвае на ERSPAN Type III.
1. Тып I
Каркас ERSPAN тыпу I інкапсулюе IP і GRE непасрэдна над загалоўкам арыгінальнай люстранай рамкі. Гэтая інкапсуляцыя дадае 38 байт над зыходнай рамкай: 14 (Mac) + 20 (IP) + 4 (GRE). Перавага гэтага фармату заключаецца ў тым, што ён мае кампактны памер загалоўка і зніжае кошт перадачы. Аднак, паколькі ён усталёўвае сцяг GRE і версіі на 0, ён не нясе ніякіх пашыраных палёў, а тып I не выкарыстоўваецца, таму больш не трэба пашыраць.
Фармат загалоўка GRE тыпу I выглядае наступным чынам:
2. Тып II
У тыпу II, C, R, K, S, S, Recur, сцягах і версіях у загалоўку GRE - гэта 0, акрамя поля S. Такім чынам, поле нумара паслядоўнасці адлюстроўваецца ў загалоўку GRE тыпу II. Гэта значыць, тып II можа забяспечыць парадак прыёму пакетаў GRE, так што вялікая колькасць пакетаў GRE па-за парадкам не можа быць адсартавана з-за няспраўнасці сеткі.
Фармат загалоўка GRE тыпу II такі:
Акрамя таго, фармат кадра ERSPAN TYPE II дадае 8-байтавы загаловак ERSPAN паміж загалоўкам GRE і арыгінальнай люстранай рамай.
Фармат загалоўка ERSPAN для тыпу II выглядае наступным чынам:
Нарэшце, адразу пасля арыгінальнага кадра выявы, знаходзіцца стандартны код цыклічнай праверкі цыклічнай залішняй праверкі Ethernet (CRC).
Варта адзначыць, што ў рэалізацыі люстраная рамка не ўтрымлівае поле FCS зыходнага кадра, замест гэтага новае значэнне CRC пералічваецца на аснове ўсяго ERSPAN. Гэта азначае, што прыёмная прылада не можа праверыць правільнасць CRC зыходнага кадра, і мы можам толькі выказаць здагадку, што толькі нястрымныя кадры адлюстроўваюцца.
3. Тып III
Тып III ўводзіць больш шырокі і гнуткі кампазітны загаловак для вырашэння ўсё больш складаных і разнастайных сцэнарыяў маніторынгу сеткі, уключаючы, але не абмяжоўваючыся імі, кіраванне сеткай, выяўленне пранікнення, прадукцыйнасць і аналіз затрымкі і шмат іншага. Гэтыя сцэны павінны ведаць усе арыгінальныя параметры люстраной рамкі і ўключаць у сябе тыя, якія не прысутнічаюць у самім арыгінальным кадры.
Кампазітны загаловак ERSPAN Type III ўключае ў сябе абавязковую 12-байтавую загаловак і дадатковы 8-байтовы платформа, характэрны для платформы.
Фармат загалоўка ERSPAN для тыпу III такі:
Зноў жа, пасля арыгінальнай люстранай рамкі-4-байтавы CRC.
Як відаць з фармату загалоўка III тыпу, у дадатак да захавання VER, VLAN, COS, T і палёў ідэнтыфікатара сесіі на аснове тыпу II, дадаецца шмат спецыяльных палёў, напрыклад:
• BSO: выкарыстоўваецца для абазначэння цэласнасці нагрузкі кадраў дадзеных, якія праводзяцца праз ERSPAN. 00 - гэта добры кадр, 11 - гэта дрэнны кадр, 01 - гэта кароткі кадр, 11 - вялікі кадр;
• TimeStamp: Экспартуецца з апаратнага гадзінніка, сінхранізаванага з сістэмным часам. Гэта 32-бітнае поле падтрымлівае па меншай меры 100 мікрасекунцаў дэталізацыі часу;
• Тып кадра (P) і тып кадра (FT): Першы выкарыстоўваецца для вызначэння, ці мае ERSPAN CAME ETHERNET -кадры (PDU FRAMES), а другі выкарыстоўваецца для вызначэння таго, ці мае ERSPAN Ners Ethernet або пакеты IP.
• HW ID: унікальны ідэнтыфікатар рухавіка ERSPAN у сістэме;
• GRA (дэталёвасць часовай маркі): вызначае дэталёвасць часовай маркі. Напрыклад, 00B уяўляе сабой 100 дэталёвасці мікрасекунд, 01b 100 нанасекунднай дэталізацыі, 10b IEEE 1588, і 11b патрабуе платформы для дасягнення больш высокай дэталізацыі.
• Паля PLATF ID супраць платформы: канкрэтная інфармацыя PLATF мае розныя фарматы і змесціва ў залежнасці ад значэння ID PLATF.
Варта адзначыць, што ў звычайных прыкладаннях ERSPAN могуць быць выкарыстаны розныя загалоўкі, якія падтрымліваюцца вышэй, могуць быць выкарыстаны, нават адлюстроўваючы кадры памылак або кадры BPDU, захоўваючы пры гэтым арыгінальны пакет магістралі і ідэнтыфікатар VLAN. Акрамя таго, у кожны кадр ERSPAN можна дадаваць ключавую інфармацыю пра часовыя пазнакі і іншыя інфармацыйныя палі.
З дапамогай уласных загалоўкаў ERSPAN мы можам дасягнуць больш вытанчанага аналізу сеткавага трафіку, а потым проста ўсталяваць адпаведны ACL у працэсе ERSPAN, каб адпавядаць сеткавым трафікам, які нас цікавіць.
ERSPAN рэалізуе бачнасць сеансу RDMA
Давайце возьмем прыклад выкарыстання тэхналогіі ERSPAN для дасягнення візуалізацыі сеансу RDMA ў сцэнарыі RDMA:
Rdma: Аддалены доступ да прамой памяці дазваляе сеткавым адаптарам сервера A для чытання і запісу памяці сервера B, выкарыстоўваючы інтэлектуальныя сеткавыя інтэрфейсныя карты (INICS) і перамыкачы, дасягнуўшы высокай прапускной здольнасці, нізкай затрымкі і нізкага выкарыстання рэсурсаў. Ён шырока выкарыстоўваецца ў вялікіх дадзеных і высокапрадукцыйных сцэнарыях захоўвання.
Rocev2: RDMA над Converted Ethernet версіі 2. Дадзеныя RDMA інкапсулююцца ў загалоўку UDP. Нумар порта прызначэння складае 4791.
Штодзённая праца і абслугоўванне RDMA патрабуе збору шмат дадзеных, якія выкарыстоўваюцца для збору эталонных ліній узроўню вады і анамальных сігналізацый, а таксама асновы для пошуку няправільных праблем. У спалучэнні з ERSPAN, масіўныя дадзеныя могуць быць хутка зафіксаваны, каб атрымаць дадзеныя аб пераадрасацыі мікрасекунды і статус узаемадзеяння пратакола пераключэння чыпа. Дзякуючы статыстыцы дадзеных і аналізу, можна атрымаць ацэнку якасці і прагназаванне RDMA да канца.
Для дасягнення візуалізацыі сеансу RDAM нам патрэбна ERSPAN, каб адпавядаць ключавым словам для сесій узаемадзеяння RDMA пры адлюстраванні трафіку, і нам трэба выкарыстоўваць пашыраны спіс экспертаў.
Пашыраны спіс на ўзроўні экспертаў: Вызначэнне поля:
UDF складаецца з пяці палёў: ключавое слова UDF, базавае поле, поле зрушэння, поле значэння і поля маскі. Абмежаваны магутнасцю абсталявання, у агульнай складанасці можна выкарыстоўваць восем UDF. Адзін UDF можа адпавядаць максімуму два байта.
• Ключавое слова UDF: UDF1 ... UDF8 змяшчае восем ключавых слоў дамена, які адпавядае UDF
• Базавае поле: ідэнтыфікуе стартавае становішча поля, якое адпавядае UDF. Наступны
L4_Header (Дастасавальна да RG-S6520-64CQ)
L5_Header (для RG-S6510-48VS8CQ)
• Зрушэнне: паказвае на зрушэнне на аснове базавага поля. Значэнне складае ад 0 да 126
• Поле значэння: адпаведнае значэнне. Ён можа быць выкарыстаны разам з полем маскі для налады пэўнага значэння, якое трэба адпавядаць. Сапраўдны біт - два байт
• Маска поля: маска, сапраўдны біт - гэта два байт
(Дадаць: Калі ў адным і тым жа полі UDF выкарыстоўваюцца некалькі запісаў, базы і зрушэнне павінны быць аднолькавымі.)
Два ключавыя пакеты, звязаныя са статусам сеансу RDMA, - гэта пакет апавяшчэнняў аб перагрузах (CNP) і адмоўнае пацверджанне (NAK):
Першы генеруецца прыёмнікам RDMA пасля атрымання паведамлення ECN, адпраўленага пераключэннем (калі буфер EOUT дасягае парога), які змяшчае інфармацыю пра паток або QP, які выклікае заторы. Апошняе выкарыстоўваецца для абазначэння перадачы RDMA мае паведамленне пра адказ на страту пакета.
Давайце паглядзім, як адпавядаць гэтым двум паведамленням, выкарыстоўваючы пашыраны спіс экспертаў:
Expert Access-спіс пашыраны RDMA
Дазволіць UDP любы любы любы ўраўненне 4791UDF 1 l4_header 8 0x8100 0xff00(Супадзенне RG-S6520-64CQ)
Дазволіць UDP любы любы любы ўраўненне 4791UDF 1 l5_header 0 0x8100 0xff00(Супастаўленне RG-S6510-48VS8CQ)
Expert Access-спіс пашыраны RDMA
Дазволіць UDP любы любы любы ўраўненне 4791UDF 1 l4_header 8 0x1100 0xff00 udf 2 l4_header 20 0x6000 0xff00(Супадзенне RG-S6520-64CQ)
Дазволіць UDP любы любы любы ўраўненне 4791UDF 1 l5_header 0 0x1100 0xff00 udf 2 l5_header 12 0x6000 0xff00(Супастаўленне RG-S6510-48VS8CQ)
У якасці апошняга кроку вы можаце візуалізаваць сеанс RDMA, усталяваўшы спіс пашырэння экспертаў у адпаведны працэс ERSPAN.
Пішыце ў апошнім
ERSPAN - адзін з неабходных інструментаў у сённяшніх усё больш буйных сетках апрацоўкі дадзеных, усё больш складаны сеткавы трафік і ўсё больш складаныя патрабаванні да эксплуатацыі і тэхнічнага абслугоўвання.
Па меры павелічэння ступені аўтаматызацыі O&M, такіх тэхналогій, як NetConf, RestConf і GRPC, папулярныя сярод студэнтаў O&M у сеткавых аўтаматычных O&M. Выкарыстанне GRPC у якасці асноўнага пратакола для адпраўкі люстранага трафіку таксама мае мноства пераваг. Напрыклад, на аснове пратакола HTTP/2 ён можа падтрымліваць механізм струменевага націску пры тым жа злучэнні. З дапамогай кадавання Protobuf памер інфармацыі памяншаецца ўдвая ў параўнанні з фарматам JSON, што робіць перадачу дадзеных больш хуткай і эфектыўнай. Уявіце сабе, калі вы выкарыстоўваеце ERSPAN, каб адлюстраваць зацікаўленыя патокі, а потым адправіць іх на сервер аналізу на GRPC, ці значна палепшыць здольнасць і эфектыўнасць аўтаматычнай працы і абслугоўвання сеткі?
Час публікацыі: мая 10-2022
