Најчешћи алат за праћење мреже и решавање проблема данас је Switch Port Analyzer (SPAN), такође познат као Port mirroring. Омогућава нам да пратимо мрежни саобраћај у bypass ванпојасном режиму без ометања услуга на живој мрежи и шаље копију праћеног саобраћаја локалним или удаљеним уређајима, укључујући Sniffer, IDS или друге врсте алата за анализу мреже.
Неке типичне употребе су:
• Решавање проблема са мрежом праћењем контролних/податних фрејмова;
• Анализирајте латенцију и подрхтавање праћењем VoIP пакета;
• Анализирајте латенцију праћењем мрежних интеракција;
• Откривање аномалија праћењем мрежног саобраћаја.
SPAN саобраћај може бити локално пресликаван на друге портове на истом изворном уређају или даљински пресликаван на друге мрежне уређаје поред слоја 2 изворног уређаја (RSPAN).
Данас ћемо говорити о технологији даљинског праћења интернет саобраћаја под називом ERSPAN (Encapsulated Remote Switch Port Analyzer) која се може преносити преко три IP слоја. Ово је проширење SPAN-а на Encapsulated Remote.
Основни принципи рада ERSPAN-а
Прво, погледајмо карактеристике ERSPAN-а:
• Копија пакета са изворног порта се шаље на одредишни сервер на парсирање путем генеричке енкапсулације рутирања (GRE). Физичка локација сервера није ограничена.
• Уз помоћ функције кориснички дефинисаног поља (UDF) чипа, било који офсет од 1 до 126 бајтова се врши на основу основног домена кроз проширену листу експертског нивоа, а кључне речи сесије се упарују да би се остварила визуелизација сесије, као што су TCP тросмерно руковање и RDMA сесија;
• Подршка за подешавање брзине узорковања;
• Подржава дужину пресретања пакета (сечење пакета), смањујући притисак на циљни сервер.
Са овим карактеристикама, можете видети зашто је ERSPAN данас неопходан алат за праћење мрежа унутар дата центара.
Главне функције ERSPAN-а могу се сумирати у два аспекта:
• Видљивост сесије: Користите ERSPAN за прикупљање свих креираних нових TCP и RDMA (Remote Direct Memory Access) сесија на бекенд серверу ради приказивања;
• Решавање проблема са мрежом: Снима мрежни саобраћај ради анализе грешака када дође до проблема са мрежом.
Да би се то постигло, изворни мрежни уређај мора да филтрира саобраћај који занима корисника из масивног тока података, направи копију и капсулира сваки копирани оквир у посебан „супероквир контејнер“ који носи довољно додатних информација како би се могао правилно усмерити до пријемног уређаја. Штавише, омогућити пријемном уређају да издвоји и потпуно опорави оригинални праћени саобраћај.
Пријемни уређај може бити други сервер који подржава декапсулацију ERSPAN пакета.
Анализа типа и формата пакета ERSPAN-а
ERSPAN пакети се енкапсулирају помоћу GRE протокола и прослеђују се на било које IP адресирано одредиште преко Ethernet-а. ERSPAN се тренутно углавном користи на IPv4 мрежама, а подршка за IPv6 ће бити обавезна у будућности.
За општу структуру енкапсулације ERSAPN-а, следеће је снимање ICMP пакета у огледалу:
ERSPAN протокол се развијао током дужег временског периода, и са унапређењем његових могућности, формирано је неколико верзија, названих „ERSPAN типови“. Различити типови имају различите формате заглавља оквира.
Дефинисано је у првом пољу Верзија ERSPAN заглавља:
Поред тога, поље „Тип протокола“ у GRE заглављу такође означава интерни ERSPAN тип. Поље „Тип протокола“ 0x88BE означава ERSPAN тип II, а 0x22EB означава ERSPAN тип III.
1. Тип I
ERSPAN оквир типа I енкапсулира IP и GRE директно преко заглавља оригиналног огледалног оквира. Ова енкапсулација додаје 38 бајтова преко оригиналног оквира: 14(MAC) + 20 (IP) + 4(GRE). Предност овог формата је што има компактну величину заглавља и смањује трошкове преноса. Међутим, пошто поставља поља GRE Flag и Version на 0, не носи никаква проширена поља и тип I се не користи широко, тако да нема потребе за додатним проширивањем.
Формат заглавља GRE кода типа I је следећи:
2. Тип II
Код типа II, поља C, R, K, S, S, Recur, Flags и Version у GRE заглављу су сва 0 осим поља S. Стога се поље Redni broj приказује у GRE заглављу типа II. То јест, тип II може да обезбеди редослед пријема GRE пакета, тако да велики број GRE пакета који нису у реду не може бити сортиран због квара на мрежи.
Формат заглавља GRE кода типа II је следећи:
Поред тога, формат оквира ERSPAN типа II додаје 8-бајтно ERSPAN заглавље између GRE заглавља и оригиналног пресликаног оквира.
Формат заглавља ERSPAN за тип II је следећи:
Коначно, одмах након оригиналног оквира слике, налази се стандардни 4-бајтни Етернет циклични код за проверу редундантности (CRC).
Вреди напоменути да у имплементацији, оквир огледала не садржи FCS поље оригиналног оквира, већ се нова CRC вредност поново израчунава на основу целог ERSPAN-а. То значи да пријемни уређај не може да провери исправност CRC-а оригиналног оквира и можемо само да претпоставимо да се огледало приказује само неоштећене оквире.
3. Тип III
Тип III уводи већи и флексибилнији композитни заглавље за решавање све сложенијих и разноврснијих сценарија праћења мреже, укључујући, али не ограничавајући се на, управљање мрежом, детекцију упада, анализу перформанси и кашњења и још много тога. Ове сцене морају да знају све оригиналне параметре огледалног оквира и укључују оне који нису присутни у самом оригиналном оквиру.
Композитни заглавље ERSPAN типа III укључује обавезно заглавље од 12 бајта и опционо подзаглавље од 8 бајта специфично за платформу.
Формат заглавља ERSPAN за тип III је следећи:
Поново, након оригиналног оквира огледала налази се 4-бајтни CRC.
Као што се може видети из формата заглавља типа III, поред задржавања поља Ver, VLAN, COS, T и Session ID на основу типа II, додају се многа посебна поља, као што су:
• BSO: користи се за означавање интегритета учитавања оквира података који се преносе кроз ERSPAN. 00 је добар оквир, 11 је лош оквир, 01 је кратак оквир, 11 је велики оквир;
• Временска ознака: извезена из хардверског сата синхронизованог са системским временом. Ово 32-битно поље подржава грануларност временске ознаке од најмање 100 микросекунди;
• Тип оквира (P) и тип оквира (FT): први се користи за одређивање да ли ERSPAN преноси оквире Ethernet протокола (PDU оквире), а други се користи за одређивање да ли ERSPAN преноси Ethernet оквире или IP пакете.
• HW ID: јединствени идентификатор ERSPAN мотора унутар система;
• Gra (Грануларност временске ознаке): Одређује грануларност временске ознаке. На пример, 00B представља грануларност од 100 микросекунди, 01B грануларност од 100 наносекунди, 10B грануларност IEEE 1588, а 11B захтева подзаглавља специфична за платформу да би се постигла већа грануларност.
• ИД платформе у односу на информације специфичне за платформу: Поља са информацијама специфичним за платформу имају различите формате и садржај у зависности од вредности ИД-а платформе.
Треба напоменути да се различита поља заглавља која су горе подржана могу користити у редовним ERSPAN апликацијама, чак и при пресликавању оквира грешака или BPDU оквира, уз задржавање оригиналног Trunk пакета и VLAN ID-а. Поред тога, информације о временском жигу кључа и друга информативна поља могу се додати сваком ERSPAN оквиру током пресликавања.
Са ERSPAN-овим сопственим заглављима функција, можемо постићи прецизнију анализу мрежног саобраћаја, а затим једноставно монтирати одговарајући ACL у ERSPAN процесу како би се подударио са мрежним саобраћајем који нас занима.
ERSPAN имплементира видљивост RDMA сесије
Узмимо пример коришћења ERSPAN технологије за постизање визуелизације RDMA сесије у RDMA сценарију:
РДМАДаљински директни приступ меморији омогућава мрежном адаптеру сервера А да чита и пише у меморију сервера Б коришћењем интелигентних мрежних картица (iNIC) и прекидача, постижући висок пропусни опсег, ниску латенцију и ниску употребу ресурса. Широко се користи у сценаријима великих података и дистрибуираног складиштења високих перформанси.
RoCEv2RDMA преко конвергентног Ethernet-а верзије 2. RDMA подаци су енкапсулирани у UDP заглављу. Број одредишног порта је 4791.
Свакодневно функционисање и одржавање RDMA захтева прикупљање велике количине података, који се користе за прикупљање дневних референтних линија нивоа воде и абнормалних аларма, као и основа за лоцирање абнормалних проблема. У комбинацији са ERSPAN-ом, велика количина података може се брзо прикупити како би се добили подаци о квалитету прослеђивања у микросекундама и статус интеракције протокола прекидача. Кроз статистику и анализу података, може се добити процена и предвиђање квалитета прослеђивања од почетка до краја RDMA-е.
Да бисмо постигли визуелизацију RDAM сесије, потребан нам је ERSPAN за упаривање кључних речи за RDMA интеракцијске сесије приликом пресликавања саобраћаја, и потребно је да користимо проширену листу стручњака.
Дефиниција поља за подударање проширене листе на стручном нивоу:
Универзална дефинисана функција (УДФ) се састоји од пет поља: кључне речи УДФ-а, основног поља, поља офсета, поља вредности и поља маске. Ограничено капацитетом хардверских уноса, може се користити укупно осам УДФ-ова. Један УДФ може да се подудара са највише два бајта.
• Кључна реч UDF: UDF1... UDF8 Садржи осам кључних речи UDF домена за подударање
• Основно поље: идентификује почетну позицију поља за подударање UDF-а. Следеће
L4_заглавље (применљиво на RG-S6520-64CQ)
L5_заглавље (за RG-S6510-48VS8Cq)
• Померај: означава померај на основу основног поља. Вредност се креће од 0 до 126
• Поље вредности: вредност која се подудара. Може се користити заједно са пољем маске за конфигурисање одређене вредности која се подудара. Важећи бит је два бајта
• Поље маске: маска, важећи бит је два бајта
(Додати: Ако се у истом UDF пољу за подударање користи више уноса, основна поља и помака морају бити иста.)
Два кључна пакета повезана са статусом RDMA сесије су пакет обавештења о загушењу (CNP) и негативна потврда (NAK):
Прву генерише RDMA пријемник након пријема ECN поруке коју је послао комутатор (када eout бафер достигне праг), која садржи информације о протоку или QP-у који изазива загушење. Друга се користи да назначи да RDMA пренос има поруку одговора о губитку пакета.
Погледајмо како да упаримо ове две поруке користећи проширену листу на нивоу стручњака:
проширена rdma листа за приступ стручњацима
дозвола удп било који било који било који било који еквивалент 4791удф 1 л4_заглавље 8 0x8100 0xFF00(Одговара RG-S6520-64CQ)
дозвола удп било који било који било који било који еквивалент 4791удф 1 л5_заглавље 0 0x8100 0xFF00(Одговара RG-S6510-48VS8CQ)
проширена rdma листа за приступ стручњацима
дозвола удп било који било који било који било који еквивалент 4791удф 1 л4_заглавље 8 0x1100 0xFF00 удф 2 л4_заглавље 20 0x6000 0xFF00(Одговара RG-S6520-64CQ)
дозвола удп било који било који било који било који еквивалент 4791удф 1 л5_заглавље 0 0x1100 0xFF00 удф 2 л5_заглавље 12 0x6000 0xFF00(Одговара RG-S6510-48VS8CQ)
Као последњи корак, можете визуализовати RDMA сесију монтирањем листе експертских екстензија у одговарајући ERSPAN процес.
Напишите у последњем
ERSPAN је један од незаобилазних алата у данашњим све већим мрежама дата центара, све сложенијем мрежном саобраћају и све софистициранијим захтевима за рад и одржавање мреже.
Са све већим степеном аутоматизације рада и одржавања (O&M), технологије као што су Netconf, RESTconf и gRPC су популарне међу студентима O&M у аутоматском O&M-у мрежа. Коришћење gRPC-а као основног протокола за слање повратног огледалног саобраћаја такође има многе предности. На пример, заснован на HTTP/2 протоколу, може да подржи механизам стримовања података под истом везом. Са ProtoBuf кодирањем, величина информација је смањена за половину у поређењу са JSON форматом, што пренос података чини бржим и ефикаснијим. Замислите само, ако користите ERSPAN за огледало заинтересованих токова података, а затим их пошаљете на сервер за анализу на gRPC-у, да ли ће то значајно побољшати могућност и ефикасност аутоматског рада и одржавања мреже?
Време објаве: 10. мај 2022.
