Ang pinakakaraniwang kagamitan para sa pagsubaybay at pag-troubleshoot ng network ngayon ay ang Switch Port Analyzer (SPAN), na kilala rin bilang Port mirroring. Pinapayagan tayo nitong subaybayan ang trapiko sa network sa bypass out of band mode nang hindi nakakasagabal sa mga serbisyo sa live network, at nagpapadala ng kopya ng minomonitor na trapiko sa mga lokal o remote na device, kabilang ang Sniffer, IDS, o iba pang uri ng mga tool sa pagsusuri ng network.
Ang ilan sa mga karaniwang gamit ay:
• I-troubleshoot ang mga problema sa network sa pamamagitan ng pagsubaybay sa mga control/data frame;
• Suriin ang latency at jitter sa pamamagitan ng pagsubaybay sa mga VoIP packet;
• Suriin ang latency sa pamamagitan ng pagsubaybay sa mga interaksyon sa network;
• Tuklasin ang mga anomalya sa pamamagitan ng pagsubaybay sa trapiko sa network.
Ang trapiko ng SPAN ay maaaring lokal na i-mirror sa iba pang mga port sa parehong source device, o malayuan na i-mirror sa iba pang mga network device na katabi ng Layer 2 ng source device (RSPAN).
Ngayon ay pag-uusapan natin ang teknolohiya sa pagsubaybay sa trapiko sa Remote Internet na tinatawag na ERSPAN (Encapsulated Remote Switch Port Analyzer) na maaaring ipadala sa tatlong layer ng IP. Ito ay isang extension ng SPAN sa Encapsulated Remote.
Mga pangunahing prinsipyo ng operasyon ng ERSPAN
Una, tingnan natin ang mga tampok ng ERSPAN:
• Ang isang kopya ng packet mula sa source port ay ipinapadala sa destination server para sa pag-parse sa pamamagitan ng Generic Routing Encapsulation (GRE). Ang pisikal na lokasyon ng server ay hindi pinaghihigpitan.
• Sa tulong ng tampok na User Defined Field (UDF) ng chip, ang anumang offset na 1 hanggang 126 bytes ay isinasagawa batay sa Base domain sa pamamagitan ng expert-level extended list, at ang mga keyword ng session ay pinagtutugma upang maisakatuparan ang visualization ng session, tulad ng TCP three-way handshake at RDMA session;
• Suporta sa pagtatakda ng sampling rate;
• Sinusuportahan ang haba ng packet interception (Packet Slicing), na binabawasan ang pressure sa target na server.
Gamit ang mga feature na ito, makikita mo kung bakit ang ERSPAN ay isang mahalagang tool para sa pagsubaybay sa mga network sa loob ng mga data center ngayon.
Ang mga pangunahing tungkulin ng ERSPAN ay maaaring ibuod sa dalawang aspeto:
• Visibility ng Sesyon: Gamitin ang ERSPAN upang kolektahin ang lahat ng nilikhang bagong TCP at Remote Direct Memory Access (RDMA) session papunta sa back-end server para ipakita;
• Pag-troubleshoot ng network: Kinukuha ang trapiko sa network para sa pagsusuri ng fault kapag may nangyaring problema sa network.
Para magawa ito, kailangang salain ng source network device ang trapikong interesado ang user mula sa napakalaking data stream, gumawa ng kopya, at isama ang bawat copy frame sa isang espesyal na "superframe container" na nagdadala ng sapat na karagdagang impormasyon upang mairuta ito nang tama sa receiving device. Bukod dito, paganahin ang receiving device na kunin at ganap na mabawi ang orihinal na minomonitor na trapiko.
Ang aparatong tatanggap ay maaaring isa pang server na sumusuporta sa pag-decapsulate ng mga ERSPAN packet.
Ang Pagsusuri ng Uri at Format ng Pakete ng ERSPAN
Ang mga ERSPAN packet ay kino-encapsulate gamit ang GRE at ipinapasa sa anumang IP addressable destination sa pamamagitan ng Ethernet. Ang ERSPAN ay kasalukuyang pangunahing ginagamit sa mga IPv4 network, at ang suporta sa IPv6 ay magiging isang pangangailangan sa hinaharap.
Para sa pangkalahatang istruktura ng encapsulation ng ERSAPN, ang sumusunod ay isang mirror packet capture ng mga ICMP packet:
Ang protokol na ERSPAN ay umunlad sa loob ng mahabang panahon, at sa pagpapahusay ng mga kakayahan nito, maraming bersyon ang nabuo, na tinatawag na "Mga Uri ng ERSPAN". Ang iba't ibang Uri ay may iba't ibang format ng header ng frame.
Ito ay tinukoy sa unang patlang na Bersyon ng header ng ERSPAN:
Bukod pa rito, ang field na Protocol Type sa GRE header ay nagpapahiwatig din ng internal na ERSPAN Type. Ang field na Protocol Type na 0x88BE ay nagpapahiwatig ng ERSPAN Type II, at ang 0x22EB ay nagpapahiwatig ng ERSPAN Type III.
1. Uri I
Ang ERSPAN frame ng Type I ay direktang nagbabalot ng IP at GRE sa ibabaw ng header ng orihinal na mirror frame. Ang encapsulation na ito ay nagdaragdag ng 38 bytes sa ibabaw ng orihinal na frame: 14(MAC) + 20 (IP) + 4(GRE). Ang bentahe ng format na ito ay mayroon itong compact na laki ng header at binabawasan ang gastos ng pagpapadala. Gayunpaman, dahil itinatakda nito ang mga field ng GRE Flag at Version sa 0, wala itong anumang pinalawak na field at ang Type I ay hindi malawakang ginagamit, kaya hindi na kailangang palawakin pa.
Ang format ng header ng GRE ng Type I ay ang mga sumusunod:
2. Uri II
Sa Type II, ang mga field na C, R, K, S, S, Recur, Flags, at Version sa GRE header ay pawang 0 maliban sa S field. Samakatuwid, ang field na Sequence Number ay ipinapakita sa GRE header ng Type II. Ibig sabihin, matitiyak ng Type II ang pagkakasunod-sunod ng pagtanggap ng mga GRE packet, kaya't ang isang malaking bilang ng mga out-of-order na GRE packet ay hindi maaaring maiayos dahil sa isang network fault.
Ang format ng header ng GRE ng Type II ay ang mga sumusunod:
Bilang karagdagan, ang format ng frame na ERSPAN Type II ay nagdaragdag ng isang 8-byte na header ng ERSPAN sa pagitan ng header ng GRE at ng orihinal na mirrored frame.
Ang format ng header ng ERSPAN para sa Type II ay ang mga sumusunod:
Panghuli, kasunod agad ng orihinal na frame ng imahe, ay ang karaniwang 4-byte na Ethernet cyclic redundancy check (CRC) code.
Mahalagang tandaan na sa implementasyon, ang mirror frame ay hindi naglalaman ng FCS field ng orihinal na frame, sa halip ay isang bagong CRC value ang muling kinalkula batay sa buong ERSPAN. Nangangahulugan ito na hindi mabe-verify ng receiving device ang kawastuhan ng CRC ng orihinal na frame, at maaari lamang nating ipagpalagay na tanging ang mga hindi nasira na frame lamang ang na-mirror.
3. Uri III
Ang Type III ay nagpapakilala ng isang mas malaki at mas nababaluktot na composite header upang tugunan ang patuloy na pagiging kumplikado at magkakaibang mga senaryo ng pagsubaybay sa network, kabilang ngunit hindi limitado sa pamamahala ng network, pagtukoy ng panghihimasok, pagsusuri ng pagganap at pagkaantala, at higit pa. Kailangang malaman ng mga eksenang ito ang lahat ng orihinal na mga parameter ng mirror frame at kasama ang mga wala sa orihinal na frame mismo.
Ang ERSPAN Type III composite header ay may kasamang mandatoryong 12-byte header at isang opsyonal na 8-byte na platform-specific subheader.
Ang format ng header ng ERSPAN para sa Type III ay ang mga sumusunod:
Muli, pagkatapos ng orihinal na mirror frame ay isang 4-byte na CRC.
Gaya ng makikita sa format ng header ng Type III, bukod sa pagpapanatili ng mga field na Ver, VLAN, COS, T at Session ID batay sa Type II, maraming espesyal na field ang idinagdag, tulad ng:
• BSO: ginagamit upang ipahiwatig ang integridad ng pagkarga ng mga frame ng data na dinadala sa pamamagitan ng ERSPAN. Ang 00 ay isang magandang frame, ang 11 ay isang masamang frame, ang 01 ay isang maikling frame, ang 11 ay isang malaking frame;
• Timestamp: iniluluwas mula sa hardware clock na naka-synchronize sa oras ng system. Sinusuportahan ng 32-bit field na ito ang hindi bababa sa 100 microseconds ng Timestamp granularity;
• Uri ng Frame (P) at Uri ng Frame (FT): ang nauna ay ginagamit upang tukuyin kung ang ERSPAN ay nagdadala ng mga Ethernet protocol frame (PDU frame), at ang huli ay ginagamit upang tukuyin kung ang ERSPAN ay nagdadala ng mga Ethernet frame o IP packet.
• HW ID: natatanging identifier ng ERSPAN engine sa loob ng sistema;
• Gra (Timestamp Granularity) : Tinutukoy ang Granularity ng Timestamp. Halimbawa, ang 00B ay kumakatawan sa 100 microsecond Granularity, 01B 100 nanosecond Granularity, 10B IEEE 1588 Granularity, at 11B ay nangangailangan ng mga sub-header na partikular sa platform upang makamit ang mas mataas na Granularity.
• Platf ID vs. Impormasyong Espesipiko sa Plataporma: Ang mga patlang ng Impormasyong Espesipiko sa Plataporma ay may iba't ibang format at nilalaman depende sa halaga ng Platf ID.
Dapat tandaan na ang iba't ibang header field na sinusuportahan sa itaas ay maaaring gamitin sa mga regular na aplikasyon ng ERSPAN, kahit na sa pag-mirror ng mga error frame o mga frame ng BPDU, habang pinapanatili ang orihinal na Trunk package at VLAN ID. Bukod pa rito, maaaring idagdag ang mahahalagang impormasyon sa timestamp at iba pang mga information field sa bawat frame ng ERSPAN habang nagmi-mirror.
Gamit ang sariling feature headers ng ERSPAN, makakamit natin ang mas pinong pagsusuri ng trapiko sa network, at pagkatapos ay mai-mount lamang ang kaukulang ACL sa proseso ng ERSPAN upang tumugma sa trapiko sa network na ating kinagigiliwan.
Ipinapatupad ng ERSPAN ang RDMA Session Visibility
Kumuha tayo ng isang halimbawa ng paggamit ng teknolohiyang ERSPAN upang makamit ang RDMA session visualization sa isang senaryo ng RDMA:
RDMAAng Remote Direct Memory Access ay nagbibigay-daan sa network adapter ng server A na basahin at isulat ang Memory ng server B sa pamamagitan ng paggamit ng mga intelligent network interface card (inics) at switch, na nakakamit ng mataas na bandwidth, mababang latency, at mababang paggamit ng resource. Malawakang ginagamit ito sa mga senaryo ng big data at high-performance distributed storage.
RoCEv2: RDMA sa pamamagitan ng Converged Ethernet Bersyon 2. Ang datos ng RDMA ay nakapaloob sa UDP Header. Ang numero ng destination port ay 4791.
Ang pang-araw-araw na operasyon at pagpapanatili ng RDMA ay nangangailangan ng pagkolekta ng maraming datos, na ginagamit upang mangolekta ng mga pang-araw-araw na linya ng sanggunian sa antas ng tubig at mga abnormal na alarma, pati na rin ang batayan para sa paghahanap ng mga abnormal na problema. Kasama ang ERSPAN, ang napakalaking datos ay maaaring mabilis na makuha upang makakuha ng datos ng kalidad ng microsecond forwarding at katayuan ng interaksyon ng protocol ng switching chip. Sa pamamagitan ng mga istatistika at pagsusuri ng datos, maaaring makuha ang end-to-end na pagtatasa at prediksyon ng kalidad ng forwarding ng RDMA.
Para makamit ang visualization ng RDAM session, kailangan natin ng ERSPAN para maitugma ang mga keyword para sa mga sesyon ng interaksyon ng RDMA kapag nagmi-mirror ng trapiko, at kailangan nating gamitin ang expert extended list.
Kahulugan ng field na tumutugma sa pinalawak na listahan sa antas ng eksperto:
Ang UDF ay binubuo ng limang field: UDF keyword, base field, offset field, value field, at mask field. Limitado sa kapasidad ng mga hardware entry, walong UDF ang maaaring gamitin. Ang isang UDF ay maaaring tumugma sa maximum na dalawang byte.
• UDF keyword: UDF1... UDF8 Naglalaman ng walong keyword ng UDF matching domain
• Base field: tumutukoy sa panimulang posisyon ng UDF matching field. Ang sumusunod
L4_header (naaangkop sa RG-S6520-64CQ)
L5_header (para sa RG-S6510-48VS8Cq)
• Offset: ipinapahiwatig ang offset batay sa base field. Ang halaga ay mula 0 hanggang 126
• Value field: tumutugmang value. Maaari itong gamitin kasama ng mask field upang i-configure ang partikular na value na itutugma. Ang valid bit ay dalawang byte
• Patlang ng mask: mask, ang wastong bit ay dalawang byte
(Idagdag: Kung maraming entry ang ginagamit sa parehong UDF matching field, dapat pareho ang mga base at offset field.)
Ang dalawang pangunahing pakete na nauugnay sa katayuan ng sesyon ng RDMA ay ang Congestion Notification Packet (CNP) at Negative Acknowledgment (NAK):
Ang nauna ay nabubuo ng RDMA receiver pagkatapos matanggap ang mensaheng ECN na ipinadala ng switch (kapag naabot ng eout Buffer ang threshold), na naglalaman ng impormasyon tungkol sa daloy o QP na nagdudulot ng congestion. Ang huli ay ginagamit upang ipahiwatig na ang transmission ng RDMA ay may mensahe ng packet loss response.
Tingnan natin kung paano pagtugmain ang dalawang mensaheng ito gamit ang expert-level extended list:
expert access-list extended rdma
payagan ang udp anumang anumang anumang anumang eq 4791udf 1 l4_header 8 0x8100 0xFF00(Tugma sa RG-S6520-64CQ)
payagan ang udp anumang anumang anumang anumang eq 4791udf 1 l5_header 0 0x8100 0xFF00(Tugma sa RG-S6510-48VS8CQ)
expert access-list extended rdma
payagan ang udp anumang anumang anumang anumang eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Tugma sa RG-S6520-64CQ)
payagan ang udp anumang anumang anumang anumang eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Tugma sa RG-S6510-48VS8CQ)
Bilang pangwakas na hakbang, maaari mong mailarawan ang sesyon ng RDMA sa pamamagitan ng pag-mount ng listahan ng mga extension ng eksperto sa naaangkop na proseso ng ERSPAN.
Isulat sa huli
Ang ERSPAN ay isa sa mga kailangang-kailangan na kagamitan ngayon sa lumalaking network ng data center, sa masalimuot na trapiko sa network, at sa sopistikadong mga kinakailangan sa operasyon at pagpapanatili ng network.
Dahil sa pagtaas ng antas ng automation ng O&M, ang mga teknolohiyang tulad ng Netconf, RESTconf, at gRPC ay naging popular sa mga estudyante ng O&M sa network automatic O&M. Ang paggamit ng gRPC bilang pinagbabatayang protocol para sa pagpapadala ng back mirror traffic ay mayroon ding maraming bentahe. Halimbawa, batay sa HTTP/2 protocol, masusuportahan nito ang streaming push mechanism sa ilalim ng parehong koneksyon. Gamit ang ProtoBuf encoding, ang laki ng impormasyon ay nababawasan ng kalahati kumpara sa JSON format, na ginagawang mas mabilis at mas mahusay ang pagpapadala ng data. Isipin mo na lang, kung gagamitin mo ang ERSPAN para i-mirror ang mga interesadong stream at pagkatapos ay ipadala ang mga ito sa analysis server sa gRPC, lubos ba nitong mapapabuti ang kakayahan at kahusayan ng awtomatikong operasyon at pagpapanatili ng network?
Oras ng pag-post: Mayo-10-2022
