Ang ERSPAN Nakaraan at Kasalukuyan ng Mylinking™ Network Visibility

Ang pinakakaraniwang tool para sa pagsubaybay at pag-troubleshoot ng network ngayon ay ang Switch Port Analyzer (SPAN), na kilala rin bilang Port mirroring. Nagbibigay-daan ito sa amin na subaybayan ang trapiko ng network sa pag-bypass palabas ng band mode nang hindi nakikialam sa mga serbisyo sa live na network, at nagpapadala ng kopya ng sinusubaybayang trapiko sa mga lokal o malalayong device, kabilang ang Sniffer, IDS, o iba pang mga uri ng tool sa pagsusuri ng network.

Ang ilang karaniwang gamit ay:

• I-troubleshoot ang mga problema sa network sa pamamagitan ng pagsubaybay sa control/data frame;

• Suriin ang latency at jitter sa pamamagitan ng pagsubaybay sa mga VoIP packet;

• Suriin ang latency sa pamamagitan ng pagsubaybay sa mga pakikipag-ugnayan sa network;

• Tumuklas ng mga anomalya sa pamamagitan ng pagsubaybay sa trapiko sa network.

Maaaring lokal na i-mirror ang Trapiko ng SPAN sa iba pang mga port sa parehong pinagmulang device, o malayuang i-mirror sa iba pang network device na katabi ng Layer 2 ng source device (RSPAN).

Ngayon ay pag-uusapan natin ang tungkol sa Remote Internet traffic monitoring technology na tinatawag na ERSPAN (Encapsulated Remote Switch Port Analyzer) na maaaring mailipat sa tatlong layer ng IP. Ito ay isang extension ng SPAN sa Encapsulated Remote.

Mga pangunahing prinsipyo ng pagpapatakbo ng ERSPAN

Una, tingnan natin ang mga feature ng ERSPAN:

• Ang isang kopya ng packet mula sa source port ay ipinadala sa patutunguhang server para sa pag-parse sa pamamagitan ng Generic Routing Encapsulation (GRE). Ang pisikal na lokasyon ng server ay hindi pinaghihigpitan.

• Sa tulong ng feature na User Defined Field (UDF) ng chip, ang anumang offset na 1 hanggang 126 bytes ay isinasagawa batay sa Base domain sa pamamagitan ng expert-level extended list, at ang mga keyword ng session ay itinutugma upang mapagtanto ang visualization ng session, tulad ng TCP three-way handshake at RDMA session;

• Suporta sa pagtatakda ng sampling rate;

• Sinusuportahan ang haba ng packet interception (Packet Slicing), na binabawasan ang pressure sa target na server.

Sa mga feature na ito, makikita mo kung bakit ang ERSPAN ay isang mahalagang tool para sa pagsubaybay sa mga network sa loob ng mga data center ngayon.

Ang mga pangunahing tungkulin ng ERSPAN ay maaaring ibuod sa dalawang aspeto:

• Visibility ng Session: Gamitin ang ERSPAN upang kolektahin ang lahat ng nilikhang bagong TCP at Remote Direct Memory Access (RDMA) session sa back-end na server para ipakita;

• Pag-troubleshoot ng network: Kinukuha ang trapiko ng network para sa pagsusuri ng fault kapag may nangyaring problema sa network.

Upang gawin ito, kailangang i-filter ng source network device ang trapiko ng interes sa user mula sa napakalaking stream ng data, gumawa ng kopya, at i-encapsulate ang bawat kopya ng frame sa isang espesyal na "superframe container" na nagdadala ng sapat na karagdagang impormasyon upang maaari itong iruruta nang tama sa receiving device. Dagdag pa rito, paganahin ang receiving device na kunin at ganap na mabawi ang orihinal na sinusubaybayang trapiko.

Ang receiving device ay maaaring isa pang server na sumusuporta sa decapsulating ERSPAN packet.

Pag-encapsulate ng mga ERSPAN packet

Ang Uri ng ERSPAN at Pagsusuri ng Format ng Package

Ang mga ERSPAN packet ay naka-encapsulate gamit ang GRE at ipinapasa sa anumang IP addressable na destinasyon sa Ethernet. Ang ERSPAN ay kasalukuyang pangunahing ginagamit sa mga IPv4 network, at ang suporta sa IPv6 ay magiging kinakailangan sa hinaharap.

Para sa pangkalahatang istruktura ng encapsulation ng ERSAPN, ang sumusunod ay isang mirror packet capture ng mga ICMP packet:

istraktura ng encapsulation ng ERSAPN

Ang protocol ng ERSPAN ay nabuo sa loob ng mahabang panahon, at sa pagpapahusay ng mga kakayahan nito, maraming bersyon ang nabuo, na tinatawag na "Mga Uri ng ERSPAN ". Ang Iba't ibang Uri ay may iba't ibang format ng header ng frame.

Ito ay tinukoy sa unang Bersyon na field ng ERSPAN header:

bersyon ng header ng ERSPAN

Bilang karagdagan, ang patlang na Uri ng Protocol sa header ng GRE ay nagpapahiwatig din ng panloob na Uri ng ERSPAN. Ang Protocol Type field na 0x88BE ay nagpapahiwatig ng ERSPAN Type II, at ang 0x22EB ay nagpapahiwatig ng ERSPAN Type III.

1. Uri I

Ang ERSPAN frame ng Type I ay naka-encapsulate ng IP at GRE nang direkta sa header ng orihinal na mirror frame. Ang encapsulation na ito ay nagdaragdag ng 38 byte sa orihinal na frame: 14(MAC) + 20 (IP) + 4(GRE). Ang bentahe ng format na ito ay mayroon itong compact na laki ng header at binabawasan ang halaga ng paghahatid. Gayunpaman, dahil itinatakda nito ang mga field ng GRE Flag at Bersyon sa 0, hindi ito nagdadala ng anumang mga pinahabang field at ang Type I ay hindi malawakang ginagamit, kaya hindi na kailangang palawakin pa.

Ang format ng GRE header ng Uri I ay ang mga sumusunod:

GRE header format I

2. Uri II

Sa Type II, ang mga field ng C, R, K, S, S, Recur, Flags, at Bersyon sa header ng GRE ay 0 lahat maliban sa field ng S. Samakatuwid, ang field ng Sequence Number ay ipinapakita sa GRE header ng Type II. Iyon ay, masisiguro ng Type II ang pagkakasunud-sunod ng pagtanggap ng mga GRE packet, upang ang isang malaking bilang ng mga out-of-order na GRE packet ay hindi ma-sort dahil sa isang network fault.

Ang format ng GRE header ng Type II ay ang mga sumusunod:

GRE header format II

Bilang karagdagan, ang ERSPAN Type II frame format ay nagdaragdag ng 8-byte na ERSPAN header sa pagitan ng GRE header at ng orihinal na mirrored frame.

Ang format ng header ng ERSPAN para sa Type II ay ang mga sumusunod:

Format ng header ng ERSPAN II

Panghuli, kaagad na sumusunod sa orihinal na frame ng larawan, ay ang karaniwang 4-byte Ethernet cyclic redundancy check (CRC) code.

CRC

Kapansin-pansin na sa pagpapatupad, ang mirror frame ay hindi naglalaman ng field ng FCS ng orihinal na frame, sa halip ay isang bagong halaga ng CRC ang muling kinakalkula batay sa buong ERSPAN. Nangangahulugan ito na hindi mabe-verify ng receiving device ang kawastuhan ng CRC ng orihinal na frame, at maaari lang nating ipagpalagay na mga hindi nasirang frame lang ang nasasalamin.

3. Uri III

Ang Type III ay nagpapakilala ng mas malaki at mas nababaluktot na composite header upang tugunan ang lalong kumplikado at magkakaibang mga senaryo sa pagsubaybay sa network, kabilang ngunit hindi limitado sa pamamahala ng network, intrusion detection, performance at delay analysis, at higit pa. Kailangang malaman ng mga eksenang ito ang lahat ng orihinal na parameter ng frame ng salamin at isama ang mga wala sa orihinal na frame mismo.

Ang ERSPAN Type III composite header ay may kasamang mandatoryong 12-byte na header at isang opsyonal na 8-byte na platform-specific na subheader.

Ang format ng header ng ERSPAN para sa Uri III ay ang mga sumusunod:

Format ng header ng ERSPAN III

Muli, pagkatapos ng orihinal na frame ng salamin ay isang 4-byte na CRC.

CRC

Tulad ng makikita mula sa format ng header ng Type III, bilang karagdagan sa pagpapanatili ng mga field ng Ver, VLAN, COS, T at Session ID batay sa Type II, maraming mga espesyal na field ang idinagdag, tulad ng:

• BSO: ginagamit upang ipahiwatig ang integridad ng pag-load ng mga frame ng data na dinadala sa pamamagitan ng ERSPAN. 00 ay isang magandang frame, 11 ay isang masamang frame, 01 ay isang maikling frame, 11 ay isang malaking frame;

• Timestamp: na-export mula sa orasan ng hardware na naka-synchronize sa oras ng system. Ang 32-bit na field na ito ay sumusuporta sa hindi bababa sa 100 microseconds ng Timestamp granularity;

• Uri ng Frame (P) at Uri ng Frame (FT): ang una ay ginagamit upang tukuyin kung ang ERSPAN ay nagdadala ng mga Ethernet protocol frame (PDU frame), at ang huli ay ginagamit upang tukuyin kung ang ERSPAN ay nagdadala ng mga Ethernet frame o mga IP packet.

• HW ID: natatanging identifier ng ERSPAN engine sa loob ng system;

• Gra (Timestamp Granularity) : Tinutukoy ang Granularity ng Timestamp. Halimbawa, ang 00B ay kumakatawan sa 100 microsecond Granularity, 01B 100 nanosecond Granularity, 10B IEEE 1588 Granularity, at 11B ay nangangailangan ng mga sub-header na partikular sa platform upang makamit ang mas mataas na Granularity.

• Platf ID vs. Platform na Partikular na Impormasyon: Ang mga field ng Platf Specific Info ay may iba't ibang format at nilalaman depende sa halaga ng Platf ID.

Index ng Port ID

Dapat tandaan na ang iba't ibang mga field ng header na sinusuportahan sa itaas ay maaaring gamitin sa mga regular na ERSPAN application, kahit na ang pag-mirror ng mga error frame o BPDU frame, habang pinapanatili ang orihinal na Trunk package at VLAN ID. Bilang karagdagan, ang pangunahing impormasyon ng timestamp at iba pang mga field ng impormasyon ay maaaring idagdag sa bawat frame ng ERSPAN sa panahon ng pag-mirror.

Gamit ang sariling feature header ng ERSPAN, makakamit namin ang mas pinong pagsusuri ng trapiko sa network, at pagkatapos ay i-mount lang ang kaukulang ACL sa proseso ng ERSPAN upang tumugma sa trapiko ng network na interesado kami.

Ang ERSPAN ay Nagpapatupad ng RDMA Session Visibility

Kumuha tayo ng isang halimbawa ng paggamit ng teknolohiya ng ERSPAN upang makamit ang visualization ng session ng RDMA sa isang senaryo ng RDMA:

RDMA: Ang Remote Direct Memory Access ay nagbibigay-daan sa network adapter ng server A na basahin at isulat ang Memory ng server B sa pamamagitan ng paggamit ng mga matalinong network interface card (inics) at switch, na nakakamit ng mataas na bandwidth, mababang latency, at mababang paggamit ng mapagkukunan. Ito ay malawakang ginagamit sa malaking data at mataas na pagganap na ipinamamahagi na mga sitwasyon ng imbakan.

RoCEv2: RDMA over Converged Ethernet Bersyon 2. Ang RDMA data ay naka-encapsulated sa UDP Header. Ang destination port number ay 4791.

Ang pang-araw-araw na operasyon at pagpapanatili ng RDMA ay nangangailangan ng pagkolekta ng maraming data, na ginagamit upang mangolekta ng pang-araw-araw na mga linya ng sanggunian sa antas ng tubig at mga abnormal na alarma, pati na rin ang batayan para sa paghahanap ng mga abnormal na problema. Kasama ng ERSPAN, mabilis na makunan ang napakalaking data upang makakuha ng kalidad ng data ng microsecond forwarding at status ng pakikipag-ugnayan ng protocol ng switching chip. Sa pamamagitan ng mga istatistika at pagsusuri ng data, maaaring makuha ang pagtatasa at hula ng kalidad ng end-to-end na pagpapasa ng RDMA.

Upang makamit ang visualization ng session ng RDAM, kailangan namin ng ERSPAN upang tumugma sa mga keyword para sa mga session ng pakikipag-ugnayan ng RDMA kapag nag-mirror ng trapiko, at kailangan naming gamitin ang pinahabang listahan ng eksperto.

Expert-level extended list na tumutugma sa field definition:

Ang UDF ay binubuo ng limang field: UDF keyword, base field, offset field, value field, at mask field. Limitado ng kapasidad ng mga entry sa hardware, kabuuang walong UDF ang maaaring gamitin. Ang isang UDF ay maaaring tumugma sa maximum na dalawang byte.

• UDF keyword: UDF1... UDF8 Naglalaman ng walong keyword ng katugmang domain ng UDF

• Base field: kinikilala ang panimulang posisyon ng field na tumutugma sa UDF. Ang mga sumusunod

L4_header (naaangkop sa RG-S6520-64CQ)

L5_header (para sa RG-S6510-48VS8Cq)

• Offset: ipinapahiwatig ang offset batay sa base field. Ang halaga ay mula 0 hanggang 126

• Field ng halaga: tumutugmang halaga. Maaari itong magamit kasama ng field ng mask upang i-configure ang partikular na halaga na itugma. Ang wastong bit ay dalawang byte

• Mask field: mask, ang wastong bit ay dalawang byte

(Idagdag: Kung maraming mga entry ang ginagamit sa parehong field ng pagtutugma ng UDF, dapat na pareho ang base at offset na mga field.)

Ang dalawang pangunahing packet na nauugnay sa status ng session ng RDMA ay Congestion Notification Packet (CNP) at Negative Acknowledgment (NAK):

Ang dating ay nabuo ng RDMA receiver pagkatapos matanggap ang ECN na mensahe na ipinadala ng switch (kapag ang eout Buffer ay umabot sa threshold), na naglalaman ng impormasyon tungkol sa daloy o QP na nagdudulot ng congestion. Ang huli ay ginagamit upang ipahiwatig ang RDMA transmission ay may packet loss response message.

Tingnan natin kung paano itugma ang dalawang mensaheng ito gamit ang pinahabang listahan sa antas ng eksperto:

RDMA CNP

Expert access-list pinalawig na rdma

permit udp any any any any eq 4791udf 1 l4_header 8 0x8100 0xFF00(Tumutugma sa RG-S6520-64CQ)

permit udp any any any any eq 4791udf 1 l5_header 0 0x8100 0xFF00(Tumutugma sa RG-S6510-48VS8CQ)

RDMA CNP 2

Expert access-list pinalawig na rdma

permit udp any any any any eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Tumutugma sa RG-S6520-64CQ)

permit udp any any any any eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Tumutugma sa RG-S6510-48VS8CQ)

Bilang panghuling hakbang, maaari mong mailarawan ang session ng RDMA sa pamamagitan ng pag-mount ng listahan ng extension ng eksperto sa naaangkop na proseso ng ERSPAN.

Isulat sa huli

Ang ERSPAN ay isa sa mga kailangang-kailangan na kasangkapan sa dumaraming malalaking network ng data center ngayon, lalong kumplikadong trapiko sa network, at lalong sopistikadong mga kinakailangan sa pagpapatakbo at pagpapanatili ng network.

Sa pagtaas ng antas ng automation ng O&M, ang mga teknolohiya tulad ng Netconf, RESTconf, at gRPC ay sikat sa mga mag-aaral ng O&M sa awtomatikong O&M ng network. Ang paggamit ng gRPC bilang pinagbabatayan na protocol para sa pagpapadala ng back mirror traffic ay mayroon ding maraming pakinabang. Halimbawa, batay sa HTTP/2 protocol, maaari nitong suportahan ang streaming push mechanism sa ilalim ng parehong koneksyon. Sa pag-encode ng ProtoBuf, ang laki ng impormasyon ay nababawasan ng kalahati kumpara sa JSON na format, na ginagawang mas mabilis at mas mahusay ang paghahatid ng data. Isipin mo na lang, kung gagamitin mo ang ERSPAN upang i-mirror ang mga interesadong stream at pagkatapos ay ipadala ang mga ito sa server ng pagsusuri sa gRPC, mapapabuti ba nito nang husto ang kakayahan at kahusayan ng awtomatikong operasyon at pagpapanatili ng network?


Oras ng post: Mayo-10-2022