Најчешћи алат за праћење мреже и решавање проблема данас је Свитцх Порт Анализер (СПАН), такође познат као Порт мирроринг. Омогућава нам да надгледамо мрежни саобраћај у режиму заобилажења ван опсега без ометања услуга на мрежи уживо и шаље копију надгледаног саобраћаја на локалне или удаљене уређаје, укључујући Сниффер, ИДС или друге врсте алата за анализу мреже.
Неке типичне употребе су:
• Решавање проблема са мрежом праћењем контролних/података;
• Анализирајте кашњење и подрхтавање праћењем ВоИП пакета;
• Анализирајте кашњење праћењем мрежних интеракција;
• Откривање аномалија праћењем мрежног саобраћаја.
СПАН саобраћај се може локално пресликати на друге портове на истом изворном уређају или даљински пресликати на друге мрежне уређаје који су суседни слоју 2 изворног уређаја (РСПАН).
Данас ћемо говорити о технологији за даљинско праћење интернет саобраћаја под називом ЕРСПАН (Енцапсулатед Ремоте Свитцх Порт Анализер) која се може преносити преко три слоја ИП-а. Ово је проширење СПАН-а на Енкапсулирани даљински управљач.
Основни принципи рада ЕРСПАН-а
Прво, хајде да погледамо карактеристике ЕРСПАН-а:
• Копија пакета са изворног порта се шаље на одредишни сервер ради рашчлањивања путем генеричке енкапсулације рутирања (ГРЕ). Физичка локација сервера није ограничена.
• Уз помоћ карактеристике чипа које дефинише корисник (УДФ), било који помак од 1 до 126 бајтова се врши на основу основног домена кроз проширену листу на нивоу стручњака, а кључне речи сесије се поклапају да би се остварила визуелизација сесије, као што су ТЦП тросмерно руковање и РДМА сесија;
• Подршка за подешавање брзине узорковања;
• Подржава дужину пресретања пакета (Пацкет Слицинг), смањујући притисак на циљни сервер.
Са овим функцијама можете да видите зашто је ЕРСПАН данас суштински алат за надгледање мрежа унутар центара података.
Главне функције ЕРСПАН-а могу се сажети у два аспекта:
• Видљивост сесије: Користите ЕРСПАН да прикупите све креиране нове ТЦП и сесије са удаљеним директним приступом меморији (РДМА) на позадинском серверу за приказ;
• Решавање проблема са мрежом: Снима мрежни саобраћај за анализу грешака када дође до проблема са мрежом.
Да би то урадио, изворни мрежни уређај треба да филтрира саобраћај од интереса за корисника из огромног тока података, направи копију и инкапсулира сваки оквир копије у посебан „контејнер суперфраме“ који носи довољно додатних информација како би могао бити исправно усмерен на пријемни уређај. Штавише, омогућите пријемном уређају да издвоји и потпуно поврати оригинални надгледани саобраћај.
Пријемни уређај може бити други сервер који подржава декапсулацију ЕРСПАН пакета.
Анализа ЕРСПАН типа и формата пакета
ЕРСПАН пакети се инкапсулирају помоћу ГРЕ и прослеђују на било коју ИП адресабилну дестинацију преко Етхернета. ЕРСПАН се тренутно углавном користи на ИПв4 мрежама, а подршка за ИПв6 ће бити услов у будућности.
За општу структуру енкапсулације ЕРСАПН-а, следеће је хватање пакета у огледалу ИЦМП пакета:
Поред тога, поље Протоцол Типе у ГРЕ заглављу такође указује на интерни ЕРСПАН тип. Поље типа протокола 0к88БЕ означава ЕРСПАН тип ИИ, а 0к22ЕБ означава ЕРСПАН тип ИИИ.
1. Тип И
ЕРСПАН оквир типа И инкапсулира ИП и ГРЕ директно преко заглавља оригиналног оквира огледала. Ова енкапсулација додаје 38 бајтова преко оригиналног оквира: 14(МАЦ) + 20 (ИП) + 4(ГРЕ). Предност овог формата је што има компактну величину заглавља и смањује трошкове преноса. Међутим, пошто поставља ГРЕ Флаг и Версион поља на 0, не носи никаква проширена поља и Тип И се не користи широко, тако да нема потребе да се додатно шири.
Формат ГРЕ заглавља типа И је следећи:
2. Тип ИИ
У Типу ИИ, поља Ц, Р, К, С, С, Рецур, Флагс и Версион у заглављу ГРЕ су 0 осим поља С. Стога је поље Секуенце Нумбер приказано у ГРЕ заглављу типа ИИ. Односно, Тип ИИ може да обезбеди редослед пријема ГРЕ пакета, тако да велики број ГРЕ пакета ван редоследа не може да се сортира због грешке на мрежи.
Формат ГРЕ заглавља типа ИИ је следећи:
Поред тога, формат оквира ЕРСПАН типа ИИ додаје 8-бајтно ЕРСПАН заглавље између ГРЕ заглавља и оригиналног пресликаног оквира.
Формат заглавља ЕРСПАН за тип ИИ је следећи:
Коначно, одмах иза оригиналног оквира слике, налази се стандардни 4-бајтни код за проверу цикличне редунданције (ЦРЦ) Етхернета.
Вреди напоменути да у имплементацији оквир огледала не садржи ФЦС поље оригиналног оквира, већ се нова ЦРЦ вредност поново израчунава на основу целог ЕРСПАН-а. То значи да пријемни уређај не може да провери исправност ЦРЦ-а оригиналног оквира, и можемо само претпоставити да су само неоштећени оквири пресликани.
3. Тип ИИИ
Тип ИИИ уводи веће и флексибилније композитно заглавље за решавање све сложенијих и разноврснијих сценарија надгледања мреже, укључујући, али не ограничавајући се на управљање мрежом, откривање упада, анализу перформанси и кашњења и још много тога. Ове сцене морају знати све оригиналне параметре оквира огледала и укључити оне који нису присутни у самом оригиналном оквиру.
Композитно заглавље ЕРСПАН типа ИИИ укључује обавезно заглавље од 12 бајта и опционо 8-бајтно подзаглавље специфично за платформу.
Формат заглавља ЕРСПАН за тип ИИИ је следећи:
Опет, после оригиналног оквира огледала је ЦРЦ од 4 бајта.
Као што се може видети из формата заглавља типа ИИИ, поред задржавања поља Вер, ВЛАН, ЦОС, Т и ИД сесије на основу типа ИИ, додају се и многа посебна поља, као што су:
• БСО: користи се за означавање интегритета оптерећења оквира података који се преносе кроз ЕРСПАН. 00 је добар оквир, 11 је лош оквир, 01 је кратак оквир, 11 је велики оквир;
• Временска ознака: извози се из хардверског сата синхронизованог са системским временом. Ово 32-битно поље подржава најмање 100 микросекунди грануларности временске ознаке;
• Фраме Типе (П) и Фраме Типе (ФТ): први се користи да одреди да ли ЕРСПАН носи оквире Етхернет протокола (ПДУ оквире), а други се користи да одреди да ли ЕРСПАН носи Етхернет оквире или ИП пакете.
• ХВ ИД: јединствени идентификатор ЕРСПАН мотора унутар система;
• Гра (грануларност временске ознаке) : Одређује грануларност временске ознаке. На пример, 00Б представља грануларност од 100 микросекунди, 01Б грануларност од 100 наносекунди, 10Б ИЕЕЕ 1588 грануларност, а 11Б захтева подзаглавља специфична за платформу да би се постигла већа грануларност.
• Платф ИД вс. Платф Специфиц Инфо: Поља за информације специфичне за платформу имају различите формате и садржај у зависности од вредности ИД-а платформе.
Треба напоменути да се различита поља заглавља која су горе подржана могу користити у редовним ЕРСПАН апликацијама, чак и пресликавајући оквире грешке или БПДУ оквире, уз задржавање оригиналног Трунк пакета и ВЛАН ИД-а. Поред тога, кључне информације о временској жиги и друга поља информација могу се додати сваком ЕРСПАН оквиру током пресликавања.
Са сопственим заглављима функција ЕРСПАН-а, можемо постићи прецизнију анализу мрежног саобраћаја, а затим једноставно монтирати одговарајући АЦЛ у ЕРСПАН процесу како би одговарао мрежном саобраћају који нас занима.
ЕРСПАН имплементира видљивост РДМА сесије
Узмимо пример коришћења ЕРСПАН технологије за постизање визуелизације РДМА сесије у РДМА сценарију:
РДМА: Ремоте Дирецт Мемори Аццесс омогућава мрежном адаптеру сервера А да чита и уписује меморију сервера Б коришћењем интелигентних мрежних интерфејс картица (иницс) и прекидача, постижући висок пропусни опсег, ниско кашњење и ниско коришћење ресурса. Широко се користи у сценаријима великих података и дистрибуираног складиштења високих перформанси.
РоЦЕв2: РДМА преко конвергентног Етхернета, верзија 2. РДМА подаци су инкапсулирани у УДП заглављу. Број одредишног порта је 4791.
Свакодневни рад и одржавање РДМА захтева прикупљање великог броја података који се користе за прикупљање дневних референтних линија водостаја и абнормалних аларма, као и основе за лоцирање абнормалних проблема. У комбинацији са ЕРСПАН-ом, велики подаци се могу брзо ухватити да би се добили подаци квалитета прослеђивања у микросекундама и статус интеракције протокола комутационог чипа. Кроз статистику и анализу података, РДМА енд-то-енд процена квалитета прослеђивања и предвиђање може се добити.
Да бисмо постигли визуелизацију РДАМ сесије, потребан нам је ЕРСПАН за подударање кључних речи за сесије РДМА интеракције приликом пресликавања саобраћаја и треба да користимо проширену листу стручњака.
Проширена листа на нивоу стручњака која одговара дефиницији поља:
УДФ се састоји од пет поља: УДФ кључна реч, основно поље, поље помака, поље вредности и поље маске. Ограничено капацитетом хардверских уноса, може се користити укупно осам УДФ-ова. Један УДФ може да одговара највише два бајта.
• УДФ кључна реч: УДФ1... УДФ8 Садржи осам кључних речи домена који се подудара са УДФ
• Основно поље: идентификује почетну позицију поља за подударање УДФ-а. Следеће
Л4_хеадер (примењиво на РГ-С6520-64ЦК)
Л5_хеадер (за РГ-С6510-48ВС8Цк)
• Оффсет: означава помак на основу основног поља. Вредност се креће од 0 до 126
• Поље вредности: одговарајућа вредност. Може се користити заједно са пољем маске да би се конфигурисала конкретна вредност која се подудара. Важећи бит је два бајта
• Поље маске: маска, важећи бит је два бајта
(Додајте: Ако се више уноса користи у истом пољу за подударање УДФ-а, поље основе и померања морају бити исти.)
Два кључна пакета повезана са статусом РДМА сесије су Пакет обавештења о загушењу (ЦНП) и негативна потврда (НАК):
Први генерише РДМА пријемник након што прими ЕЦН поруку коју шаље прекидач (када еоут бафер достигне праг), која садржи информације о протоку или КП-у који изазива загушење. Ово последње се користи да назначи да РДМА пренос има поруку одговора на губитак пакета.
Хајде да погледамо како да ускладимо ове две поруке користећи проширену листу на нивоу стручњака:
проширена листа приступа стручњака рдма
дозволи удп било који било који било који ек 4791удф 1 л4_хеадер 8 0к8100 0кФФ00(Одговара РГ-С6520-64ЦК)
дозволи удп било који било који било који ек 4791удф 1 л5_хеадер 0 0к8100 0кФФ00(Одговара РГ-С6510-48ВС8ЦК)
проширена листа приступа стручњака рдма
дозволи удп било који било који било који ек 4791удф 1 л4_хеадер 8 0к1100 0кФФ00 удф 2 л4_хеадер 20 0к6000 0кФФ00(Одговара РГ-С6520-64ЦК)
дозволи удп било који било који било који ек 4791удф 1 л5_хеадер 0 0к1100 0кФФ00 удф 2 л5_хеадер 12 0к6000 0кФФ00(Одговара РГ-С6510-48ВС8ЦК)
Као последњи корак, можете да визуелизујете РДМА сесију тако што ћете монтирати листу екстензија експерата у одговарајући ЕРСПАН процес.
Напиши у последњем
ЕРСПАН је један од незаменљивих алата у данашњим све већим мрежама центара података, све сложенијим мрежним саобраћајем и све софистициранијим захтевима за рад и одржавање мреже.
Са све већим степеном аутоматизације О&М, технологије као што су Нетцонф, РЕСТцонф и гРПЦ су популарне међу студентима О&М у мрежном аутоматском О&М. Коришћење гРПЦ-а као основног протокола за слање повратног огледа огледа такође има много предности. На пример, на основу ХТТП/2 протокола, може да подржи механизам за стриминг под истом везом. Са ПротоБуф кодирањем, величина информација је смањена за половину у поређењу са ЈСОН форматом, чинећи пренос података бржим и ефикаснијим. Замислите само, ако користите ЕРСПАН да огледате заинтересоване стримове, а затим их пошаљете на сервер за анализу на гРПЦ, да ли ће то значајно побољшати способност и ефикасност мрежног аутоматског рада и одржавања?
Време поста: 10.05.2022