Ang pinaka -karaniwang tool para sa pagsubaybay sa network at pag -aayos ngayon ay ang Switch Port Analyzer (SPAN), na kilala rin bilang Port Mirroring. Pinapayagan kaming subaybayan ang trapiko ng network sa bypass sa labas ng band mode nang hindi nakakasagabal sa mga serbisyo sa live network, at nagpapadala ng isang kopya ng sinusubaybayan na trapiko sa mga lokal o malayong aparato, kabilang ang Sniffer, IDS, o iba pang mga uri ng mga tool sa pagsusuri ng network.
Ang ilang mga tipikal na gamit ay:
• Pag -aayos ng mga problema sa network sa pamamagitan ng pagsubaybay sa mga frame ng control/data;
• Suriin ang latency at jitter sa pamamagitan ng pagsubaybay sa mga packet ng VoIP;
• Suriin ang latency sa pamamagitan ng pagsubaybay sa mga pakikipag -ugnay sa network;
• Makita ang mga anomalya sa pamamagitan ng pagsubaybay sa trapiko sa network.
Ang trapiko ng span ay maaaring lokal na salamin sa iba pang mga port sa parehong aparato ng mapagkukunan, o malayuan na na -mirrored sa iba pang mga aparato ng network na katabi ng Layer 2 ng Source Device (RSPAN).
Ngayon ay pag -uusapan natin ang tungkol sa Remote Internet Traffic Monitoring Technology na tinatawag na ERSpan (Encapsulated Remote Switch Port Analyzer) na maaaring maipadala sa tatlong mga layer ng IP. Ito ay isang extension ng span sa encapsulated remote.
Pangunahing Mga Prinsipyo ng Operasyon ng Erspan
Una, tingnan natin ang mga tampok ni Erspan:
• Ang isang kopya ng packet mula sa source port ay ipinadala sa patutunguhang server para sa pag -parse sa pamamagitan ng Generic Ruta Encapsulation (GRE). Ang pisikal na lokasyon ng server ay hindi pinaghihigpitan.
• Sa tulong ng tampok na Field (UDF) ng gumagamit, ang anumang offset ng 1 hanggang 126 byte ay isinasagawa batay sa base domain sa pamamagitan ng ekspertong antas ng ekspertong antas, at ang mga keyword ng session ay naitugma upang mapagtanto ang visualization ng session, tulad ng TCP three-way handshake at RDMA session;
• Suporta sa pagtatakda ng sampling rate;
• Sinusuportahan ang haba ng interception ng packet (slicing ng packet), binabawasan ang presyon sa target na server.
Sa mga tampok na ito, makikita mo kung bakit ang ERSPAN ay isang mahalagang tool para sa pagsubaybay sa mga network sa loob ng mga sentro ng data ngayon.
Ang mga pangunahing pag -andar ni Erspan ay maaaring mai -summarized sa dalawang aspeto:
• Visibility Session: Gumamit ng ERSPAN upang mangolekta ng lahat ng nilikha ng mga bagong sesyon ng TCP at Remote Direct Memory Access (RDMA) sa back-end server para ipakita;
• Pag -aayos ng network: Kinukuha ang trapiko sa network para sa pagsusuri ng kasalanan kapag naganap ang isang problema sa network.
Upang gawin ito, ang aparato ng mapagkukunan ng network ay kailangang i -filter ang trapiko ng interes sa gumagamit mula sa napakalaking stream ng data, gumawa ng isang kopya, at isama ang bawat kopya ng frame sa isang espesyal na "superframe container" na nagdadala ng sapat na karagdagang impormasyon upang maaari itong tama na na -rampa sa natanggap na aparato. Bukod dito, paganahin ang aparato ng pagtanggap upang kunin at ganap na mabawi ang orihinal na sinusubaybayan na trapiko.
Ang natatanggap na aparato ay maaaring isa pang server na sumusuporta sa mga decapsulate na packet ng erspan.
Ang erspan type at pagsusuri ng format ng package
Ang mga packet ng ERSPAN ay naka -encapsulated gamit ang GRE at maipasa sa anumang IP addressable na patutunguhan sa Ethernet. Ang ERSPAN ay kasalukuyang pangunahing ginagamit sa mga network ng IPv4, at ang suporta ng IPv6 ay magiging isang kinakailangan sa hinaharap.
Para sa pangkalahatang istraktura ng encapsulation ng ersapn, ang sumusunod ay isang salamin packet capture ng mga packet ng ICMP:
Ang protocol ng erspan ay binuo sa loob ng mahabang panahon, at sa pagpapahusay ng mga kakayahan nito, maraming mga bersyon ang nabuo, na tinatawag na "mga uri ng erspan". Ang iba't ibang mga uri ay may iba't ibang mga format ng header ng frame.
Ito ay tinukoy sa unang bersyon ng patlang ng header ng erspan:
Bilang karagdagan, ang patlang ng uri ng protocol sa header ng GRE ay nagpapahiwatig din ng panloob na uri ng erspan. Ang patlang ng uri ng protocol 0x88be ay nagpapahiwatig ng erspan type II, at ang 0x22EB ay nagpapahiwatig ng uri ng erspan III.
1. I -type i
Ang erspan frame ng uri na I encapsulate IP at GRE nang direkta sa header ng orihinal na frame ng salamin. Ang encapsulation na ito ay nagdaragdag ng 38 byte sa orihinal na frame: 14 (MAC) + 20 (IP) + 4 (GRE). Ang bentahe ng format na ito ay mayroon itong isang compact na laki ng header at binabawasan ang gastos ng paghahatid. Gayunpaman, dahil nagtatakda ito ng mga patlang ng GRE at bersyon sa 0, hindi ito nagdadala ng anumang pinalawig na mga patlang at ang Uri ng I ay hindi malawak na ginagamit, kaya hindi na kailangang mapalawak pa.
Ang format ng header ng GRE ng uri ko ay ang mga sumusunod:
2. Uri ng II
Sa Uri II, ang C, R, K, S, S, Recur, Flag, at mga patlang ng bersyon sa header ng GRE ay lahat ng 0 maliban sa larangan ng S. Samakatuwid, ang patlang ng Sequence Number ay ipinapakita sa GRE header ng Type II. Iyon ay, maaaring matiyak ng Type II ang pagkakasunud-sunod ng pagtanggap ng mga GRE packet, upang ang isang malaking bilang ng mga out-of-order na GRE packet ay hindi maiayos dahil sa isang kasalanan sa network.
Ang format ng header ng GRE ng uri II ay ang mga sumusunod:
Bilang karagdagan, ang format ng frame ng erspan type II ay nagdaragdag ng isang 8-byte erspan header sa pagitan ng header ng GRE at ang orihinal na mirrored frame.
Ang format ng header ng erspan para sa uri II ay ang mga sumusunod:
Sa wakas, kaagad na sumunod sa orihinal na frame ng imahe, ay ang karaniwang 4-byte Ethernet Cyclic Redundancy Check (CRC) code.
Kapansin -pansin na sa pagpapatupad, ang frame ng salamin ay hindi naglalaman ng larangan ng FCS ng orihinal na frame, sa halip na ang isang bagong halaga ng CRC ay kinakalkula batay sa buong erspan. Nangangahulugan ito na ang aparato ng pagtanggap ay hindi maaaring mapatunayan ang kawastuhan ng CRC ng orihinal na frame, at maaari lamang nating isipin na ang mga hindi nabuong mga frame lamang ang salamin.
3. Uri ng III
Ipinakikilala ng Type III ang isang mas malaki at mas nababaluktot na composite header upang matugunan ang lalong kumplikado at magkakaibang mga sitwasyon sa pagsubaybay sa network, kabilang ang ngunit hindi limitado sa pamamahala ng network, pagtuklas ng panghihimasok, pagganap at pagtatasa ng pagkaantala, at marami pa. Ang mga eksenang ito ay kailangang malaman ang lahat ng mga orihinal na mga parameter ng frame ng salamin at isama ang mga hindi naroroon sa orihinal na frame mismo.
Ang Erspan Type III Composite Header ay may kasamang ipinag-uutos na 12-byte header at isang opsyonal na 8-byte platform na tiyak na subheader.
Ang format ng header ng erspan para sa uri III ay ang mga sumusunod:
Muli, pagkatapos ng orihinal na frame ng salamin ay isang 4-byte CRC.
Tulad ng makikita mula sa format ng header ng Type III, bilang karagdagan sa pagpapanatili ng mga patlang ng Ver, VLAN, COS, T at Session ID batay sa uri II, maraming mga espesyal na patlang ang idinagdag, tulad ng:
• BSO: Ginamit upang ipahiwatig ang integridad ng pag -load ng mga frame ng data na dinala sa pamamagitan ng erspan. Ang 00 ay isang mahusay na frame, ang 11 ay isang masamang frame, ang 01 ay isang maikling frame, 11 ay isang malaking frame;
• Timestamp: Na -export mula sa orasan ng hardware na naka -synchronize sa oras ng system. Ang 32-bit na patlang na ito ay sumusuporta sa hindi bababa sa 100 microseconds ng timestamp granularity;
• Uri ng Frame (P) at Uri ng Frame (FT): Ang dating ay ginagamit upang tukuyin kung ang ERSPAN ay nagdadala ng mga frame ng Ethernet protocol (mga frame ng PDU), at ang huli ay ginagamit upang tukuyin kung ang ERSpan ay nagdadala ng mga frame ng Ethernet o mga packet ng IP.
• HW ID: natatanging identifier ng erspan engine sa loob ng system;
• Gra (timestamp granularity): Tinutukoy ang butil ng timularity ng timestamp. Halimbawa, ang 00B ay kumakatawan sa 100 microsecond granularity, 01B 100 nanosecond granularity, 10B IEE 1588 butil, at ang 11B ay nangangailangan ng mga tiyak na sub-headers upang makamit ang mas mataas na butil.
• Platf ID kumpara sa Platform Tukoy na Impormasyon: Ang mga tukoy na patlang ng PLATF ay may iba't ibang mga format at nilalaman depende sa halaga ng platf ID.
Dapat pansinin na ang iba't ibang mga patlang ng header na suportado sa itaas ay maaaring magamit sa mga regular na aplikasyon ng erspan, kahit na ang mga frame ng error sa salamin o mga frame ng BPDU, habang pinapanatili ang orihinal na pakete ng trunk at VLAN ID. Bilang karagdagan, ang mga pangunahing impormasyon sa timestamp at iba pang mga patlang ng impormasyon ay maaaring maidagdag sa bawat frame ng erspan sa panahon ng pag -mirror.
Sa sariling mga header ng tampok ni Erspan, makakamit natin ang isang mas pino na pagsusuri ng trapiko sa network, at pagkatapos ay i -mount lamang ang kaukulang ACL sa proseso ng ERSPAN upang tumugma sa trapiko ng network na interesado kami.
Ang erspan ay nagpapatupad ng kakayahang makita ng session ng RDMA
Kumuha tayo ng isang halimbawa ng paggamit ng teknolohiyang ERSPAN upang makamit ang RDMA session visualization sa isang senaryo ng RDMA:
RDMA: Ang Remote Direct Memory Access ay nagbibigay -daan sa network adapter ng Server A upang basahin at isulat ang memorya ng Server B sa pamamagitan ng paggamit ng Intelligent Network Interface Cards (InIC) at switch, pagkamit ng mataas na bandwidth, mababang latency, at mababang paggamit ng mapagkukunan. Malawakang ginagamit ito sa malaking data at mga senaryo na ipinamamahagi ng mataas na pagganap.
ROCEV2: RDMA sa paglipas ng convert na bersyon ng Ethernet 2. Ang data ng RDMA ay nakapaloob sa header ng UDP. Ang numero ng patutunguhan port ay 4791.
Ang pang -araw -araw na operasyon at pagpapanatili ng RDMA ay nangangailangan ng pagkolekta ng maraming data, na ginagamit upang mangolekta ng pang -araw -araw na mga linya ng sanggunian ng tubig at hindi normal na mga alarma, pati na rin ang batayan para sa paghahanap ng mga hindi normal na problema. Pinagsama sa erspan, ang napakalaking data ay maaaring makuha nang mabilis upang makakuha ng microsecond na pagpapasa ng kalidad ng data at katayuan ng pakikipag -ugnay sa protocol ng paglipat ng chip. Sa pamamagitan ng mga istatistika at pagsusuri ng data, maaaring makuha ang RDMA end-to-end na pagpapasa ng kalidad ng pagtatasa at hula.
Upang makamit ang paggunita ng session ng RDAM, kailangan namin ng ERSPAN upang tumugma sa mga keyword para sa mga sesyon ng pakikipag -ugnay sa RDMA kapag nag -mirror ng trapiko, at kailangan nating gamitin ang ekspertong pinalawak na listahan.
Ang Expert-Level na Pinalawak na Listahan ng Pagtutugma ng Listahan ng Pagtutugma:
Ang UDF ay binubuo ng limang patlang: UDF keyword, base field, offset field, halaga ng patlang, at larangan ng mask. Limitado sa pamamagitan ng kapasidad ng mga entry sa hardware, maaaring magamit ang isang kabuuang walong UDF. Ang isang UDF ay maaaring tumugma sa isang maximum na dalawang bait.
• UDF keyword: udf1 ... Ang UDF8 ay naglalaman ng walong mga keyword ng domain na tumutugma sa UDF
• Base Field: Kinikilala ang posisyon ng pagsisimula ng patlang na pagtutugma ng UDF. Ang sumusunod
L4_header (naaangkop sa RG-S6520-64CQ)
L5_header (para sa RG-S6510-48VS8CQ)
• Offset: Nagpapahiwatig ng offset batay sa patlang ng base. Ang halaga ay saklaw mula 0 hanggang 126
• Halaga ng patlang: halaga ng pagtutugma. Maaari itong magamit kasama ang patlang ng mask upang mai -configure ang tiyak na halaga na maitugma. Ang wastong bit ay dalawang byte
• Mask Field: Mask, wastong bit ay dalawang byte
(Idagdag: Kung ang maraming mga entry ay ginagamit sa parehong patlang ng pagtutugma ng UDF, ang mga patlang na base at offset ay dapat pareho.)
Ang dalawang pangunahing packet na nauugnay sa katayuan ng session ng RDMA ay ang Congestion Notification Packet (CNP) at Negative Pansamantalang (NAK):
Ang dating ay nabuo ng RDMA Receiver matapos matanggap ang mensahe ng ECN na ipinadala ng switch (kapag naabot ang eout buffer sa threshold), na naglalaman ng impormasyon tungkol sa daloy o QP na nagdudulot ng kasikipan. Ang huli ay ginagamit upang ipahiwatig ang paghahatid ng RDMA ay may mensahe ng pagtugon sa pagkawala ng packet.
Tingnan natin kung paano tutugma ang dalawang mensahe na ito gamit ang Expert-Level Extended List:
Expert Access-List Extended RDMA
Pahintulutan ang UDP alinman sa anumang EQ 4791UDF 1 l4_header 8 0x8100 0xff00(Pagtutugma ng RG-S6520-64CQ)
Pahintulutan ang UDP alinman sa anumang EQ 4791UDF 1 l5_header 0 0x8100 0xff00(Pagtutugma ng RG-S6510-48VS8CQ)
Expert Access-List Extended RDMA
Pahintulutan ang UDP alinman sa anumang EQ 4791udf 1 l4_header 8 0x1100 0xff00 udf 2 l4_header 20 0x6000 0xff00(Pagtutugma ng RG-S6520-64CQ)
Pahintulutan ang UDP alinman sa anumang EQ 4791udf 1 l5_header 0 0x1100 0xff00 udf 2 l5_header 12 0x6000 0xff00(Pagtutugma ng RG-S6510-48VS8CQ)
Bilang isang pangwakas na hakbang, maaari mong mailarawan ang sesyon ng RDMA sa pamamagitan ng pag -mount ng listahan ng expert extension sa naaangkop na proseso ng erspan.
Sumulat sa huli
Ang Erspan ay isa sa mga kailangang -kailangan na mga tool sa mas malaking mga network ng data center, lalong kumplikadong trapiko sa network, at lalong sopistikadong operasyon ng network at mga kinakailangan sa pagpapanatili.
Sa pagtaas ng antas ng automation ng O&M, ang mga teknolohiya tulad ng NetConf, RestConf, at GRPC ay sikat sa mga mag -aaral ng O&M sa awtomatikong Network O&M. Ang paggamit ng GRPC bilang ang pinagbabatayan na protocol para sa pagpapadala ng trapiko sa salamin ay mayroon ding maraming mga pakinabang. Halimbawa, batay sa protocol ng HTTP/2, maaari itong suportahan ang mekanismo ng streaming push sa ilalim ng parehong koneksyon. Sa pag -encode ng Protobuf, ang laki ng impormasyon ay nabawasan ng kalahati kumpara sa format ng JSON, na ginagawang mas mabilis at mas mahusay ang paghahatid ng data. Isipin lamang, kung gumagamit ka ng ERSpan upang salamin ang mga interesadong stream at pagkatapos ay ipadala ang mga ito sa pagsusuri ng server sa GRPC, mapapabuti ba nito ang kakayahan at kahusayan ng awtomatikong operasyon at pagpapanatili ng network?
Oras ng Mag-post: Mayo-10-2022
