Det vanligste verktøyet for nettverksovervåking og feilsøking i dag er Switch Port Analyzer (SPAN), også kjent som Port Mirroring. Det lar oss overvåke nettverkstrafikk i bypass ut av båndmodus uten å forstyrre tjenester på live -nettverket, og sender en kopi av den overvåkede trafikken til lokale eller eksterne enheter, inkludert sniffer, ID -er eller andre typer nettverksanalyseverktøy.
Noen typiske bruksområder er:
• Feilsøke nettverksproblemer ved å spore kontroll/datarammer;
• Analysere latenstid og jitter ved å overvåke VoIP -pakker;
• Analysere latens ved å overvåke nettverksinteraksjoner;
• Oppdage avvik ved å overvåke nettverkstrafikk.
Spenntrafikk kan speiles lokalt til andre porter på samme kildeenhet, eller eksternt speiles til andre nettverksenheter ved siden av lag 2 på kildeenheten (RSPAN).
I dag skal vi snakke om ekstern Internett -trafikkovervåkingsteknologi kalt ERSPAN (innkapslet Remote Switch Port Analyzer) som kan overføres over tre lag med IP. Dette er en forlengelse av spennet til innkapslet fjernkontroll.
Grunnleggende operasjonsprinsipper for erspan
La oss først ta en titt på Erspans funksjoner:
• En kopi av pakken fra kildeporten sendes til destinasjonsserveren for analysering gjennom generisk rutinginnkapsling (GRE). Den fysiske plasseringen av serveren er ikke begrenset.
• Ved hjelp av det brukerdefinerte feltet (UDF) -funksjonen i brikken, utføres enhver forskyvning på 1 til 126 byte basert på basedomenet gjennom den utvidede listen på ekspertnivå, og økt-nøkkelordene blir matchet for å realisere visualiseringen av økten, for eksempel TCP-treveis håndshake og RDMA-økt;
• Støtteinnstilling av prøvetakingshastighet;
• Støtter pakkeavskjæringslengde (pakkeskiver), og reduserer trykket på målserveren.
Med disse funksjonene kan du se hvorfor Erspan er et viktig verktøy for å overvåke nettverk i datasentre i dag.
Erspans hovedfunksjoner kan oppsummeres i to aspekter:
• Session synlighet: Bruk erspan til å samle alle opprettet nye TCP og Remote Direct Memory Access (RDMA) -økter til back-end-serveren for visning;
• Feilsøking av nettverk: Fanger opp nettverkstrafikk for feilanalyse når et nettverksproblem oppstår.
For å gjøre dette, må kilde nettverksenheten filtrere ut trafikken av interesse for brukeren fra den enorme datastrømmen, lage en kopi og innkapsling hver kopieramme til en spesiell "superrammebeholder" som bærer nok tilleggsinformasjon slik at den kan rutes riktig til mottakerenheten. Aktiver den mottakende enheten å trekke ut og gjenopprette den opprinnelige overvåkede trafikken.
Mottaksenheten kan være en annen server som støtter avkapsling av erspan -pakker.
Erspan -typen og pakkeformatanalysen
Erspan -pakker blir innkapslet ved hjelp av GRE og videresendes til ethvert IP -adresserbar destinasjon over Ethernet. ERSPan brukes foreløpig hovedsakelig på IPv4 -nettverk, og IPv6 -støtte vil være et krav i fremtiden.
For den generelle innkapslingsstrukturen til ERSAPN er følgende en speilpakkefangst av ICMP -pakker:
ERSPan -protokollen har utviklet seg over lang tid, og med forbedring av dens evner er det dannet flere versjoner, kalt "erspan -typer". Ulike typer har forskjellige rammehodeformater.
Det er definert i det første versjonsfeltet til Erspan -overskriften:
I tillegg indikerer protokolltypefeltet i GRE -overskriften også den interne erspan -typen. Protokolltypefeltet 0x88be indikerer erspan type II, og 0x22EB indikerer erspan type III.
1. Type I.
Erspan -rammen av type I omslutter IP og GRE direkte over overskriften til den opprinnelige speilrammen. Denne innkapslingen legger til 38 byte over den opprinnelige rammen: 14 (Mac) + 20 (IP) + 4 (GRE). Fordelen med dette formatet er at det har en kompakt overskriftsstørrelse og reduserer kostnadene for overføring. Fordi det setter GRE -flagg og versjonsfelt til 0, har det imidlertid ingen utvidede felt og type I er ikke mye brukt, så det er ikke nødvendig å utvide mer.
GRE -toppformatet av type I er som følger:
2. Type II
I type II er C, R, K, S, S, Recur, Flags og versjonsfelt i GRE -overskriften alle 0 bortsett fra S -feltet. Derfor vises sekvensnummerfeltet i GRE -overskriften av type II. Det vil si at type II kan sikre rekkefølgen på å motta GRE-pakker, slik at et stort antall utenfor ordre GRE-pakker ikke kan sorteres på grunn av en nettverksfeil.
GRE -toppformatet av type II er som følger:
I tillegg legger Erspan Type II-rammeformatet til en 8-byte erspan-overskrift mellom GRE-overskriften og den originale speilet rammen.
Erspan -overskriften for type II er som følger:
Til slutt, umiddelbart etter den opprinnelige bildestammen, er standard 4-byte Ethernet Cyclic Redundancy Check (CRC) -kode.
Det er verdt å merke seg at i implementeringen inneholder speilrammen ikke FCS -feltet til den opprinnelige rammen, i stedet blir en ny CRC -verdi beregnet på nytt basert på hele erspan. Dette betyr at den mottakende enheten ikke kan bekrefte CRC -korrektheten til den opprinnelige rammen, og vi kan bare anta at bare ukorrupte rammer speiles.
3. Type III
Type III introduserer en større og mer fleksibel sammensatt overskrift for å adressere stadig mer komplekse og mangfoldige nettverksovervåkningsscenarier, inkludert, men ikke begrenset til nettverksstyring, inntrengingsdeteksjon, ytelse og forsinkelsesanalyse og mer. Disse scenene må kjenne alle de originale parametrene til speilrammen og inkluderer de som ikke er til stede i selve den opprinnelige rammen.
ERSPAN Type III Composite Header inkluderer en obligatorisk 12-byte-overskrift og en valgfri 8-byte plattformspesifikk underhode.
Erspan -overskriften for type III er som følger:
Igjen, etter at den opprinnelige speilrammen er en 4-byte CRC.
Som det fremgår av overskriftsformatet til type III, i tillegg til å beholde Ver, VLAN, COS, T og sesjons -ID -felt på grunnlag av type II, blir mange spesielle felt lagt til, for eksempel:
• BSO: Brukes til å indikere belastningsintegriteten til datarammer som er ført gjennom erspan. 00 er en god ramme, 11 er en dårlig ramme, 01 er en kort ramme, 11 er en stor ramme;
• Tidsstempel: Eksportert fra maskinvareklokken synkronisert med systemtiden. Dette 32-biters feltet støtter minst 100 mikrosekunder av tidsstempel granularitet;
• Rammetype (P) og rammetype (FT): Førstnevnte brukes til å spesifisere om ERSPan bærer Ethernet -protokollrammer (PDU -rammer), og sistnevnte brukes til å spesifisere om ERSPan bærer Ethernet -rammer eller IP -pakker.
• HW ID: Unik identifikator for erspan -motoren i systemet;
• GRA (tidsstempel granularitet): Angir granulariteten til tidsstempelet. For eksempel representerer 00b 100 mikrosekund granularitet, 01b 100 nanosekund granularitet, 10b IEEE 1588 granularitet, og 11b krever plattformspesifikk underhodet for å oppnå høyere granularitet.
• Platf ID vs. Platform Spesifikk informasjon: Platf -spesifikke info -felt har forskjellige formater og innhold avhengig av Platf ID -verdien.
Det skal bemerkes at de forskjellige overskriftsfeltene som støttes ovenfor, kan brukes i vanlige ERSPan -applikasjoner, til og med speiling av feilrammer eller BPDU -rammer, samtidig som du opprettholder den originale bagasjeromspakken og VLAN ID. I tillegg kan viktige tidsstempelinformasjon og andre informasjonsfelt legges til hver erspan -ramme under speiling.
Med ERSPANs egne funksjonsoverskrifter kan vi oppnå en mer raffinert analyse av nettverkstrafikk, og deretter bare montere den tilsvarende ACL i erspan -prosessen for å matche nettverkstrafikken vi er interessert i.
Erspan implementerer RDMA -sesjonssynlighet
La oss ta et eksempel på å bruke ERSPan -teknologi for å oppnå RDMA -sesjonsvisualisering i et RDMA -scenario:
RDMA: Ekstern direkte minnetilgang gjør det mulig for nettverksadapteren til Server A å lese og skrive minnet om Server B ved å bruke intelligente nettverksgrensesnittkort (INIC -er) og brytere, oppnå høy båndbredde, lav latens og lav ressursutnyttelse. Det er mye brukt i Big Data og høyytelsesdistribuerte lagringsscenarier.
Rocev2: RDMA over konvergerte Ethernet versjon 2. RDMA -dataene er innkapslet i UDP -overskriften. Destinasjonsportnummeret er 4791.
Daglig drift og vedlikehold av RDMA krever innsamling av mye data, som brukes til å samle inn daglige referanselinjer og unormale alarmer, samt grunnlaget for å finne unormale problemer. Kombinert med erspan kan massive data raskt fanges opp for å oppnå mikrosekund videresending av kvalitetsdata og protokollinteraksjonsstatus for å bytte brikke. Gjennom datastatistikk og analyse kan RDMA-ende-til-ende videresending av kvalitetsvurdering og prediksjon oppnås.
For å oppnå visualisering av RDAM -sesjoner, trenger vi erspan for å matche nøkkelord for RDMA -interaksjonsøkter når vi speiler trafikk, og vi må bruke den ekspertutvidede listen.
Ekspertnivå Utvidet liste Matching Feltdefinisjon:
UDF består av fem felt: UDF nøkkelord, basisfelt, forskyvningsfelt, verdifelt og maskefelt. Begrenset av kapasiteten til maskinvareoppføringer kan totalt åtte UDF -er brukes. Én UDF kan matche maksimalt to byte.
• UDF -nøkkelord: UDF1 ... UDF8 inneholder åtte nøkkelord for UDF -matchende domene
• Basefelt: Identifiserer startposisjonen til UDF -matchende felt. Følgende
L4_Header (gjeldende for RG-S6520-64CQ)
L5_Header (for RG-S6510-48VS8CQ)
• Offset: Angir forskyvningen basert på basisfeltet. Verdien varierer fra 0 til 126
• Verdifelt: Matchende verdi. Det kan brukes sammen med maskefeltet for å konfigurere den spesifikke verdien som skal matches. Den gyldige biten er to byte
• Maskfelt: Maske, gyldig bit er to byte
(Legg til: Hvis flere oppføringer brukes i samme UDF -matchende felt, må basen og forskyvningsfeltene være de samme.)
De to nøkkelpakkene tilknyttet RDMA -øktstatus er CNP -pakke (CNP) og negativ anerkjennelse (NAK):
Førstnevnte genereres av RDMA -mottakeren etter å ha mottatt ECN -meldingen sendt av bryteren (når Eout -bufferen når terskelen), som inneholder informasjon om strømmen eller QP som forårsaker overbelastning. Det siste brukes til å indikere at RDMA -overføringen har en responsmelding om pakketap.
La oss se på hvordan du samsvarer med disse to meldingene ved å bruke Expert-List List på ekspertnivå:
Ekspertilgangsliste utvidet RDMA
tillat UDP hvilken som helst hvilken som helst EQ 4791UDF 1 L4_Header 8 0x8100 0xff00(Matching RG-S6520-64CQ)
tillat UDP hvilken som helst hvilken som helst EQ 4791UDF 1 L5_Header 0 0x8100 0xff00(Matching RG-S6510-48VS8CQ)
Ekspertilgangsliste utvidet RDMA
tillat UDP hvilken som helst hvilken som helst EQ 4791UDF 1 L4_Header 8 0x1100 0xff00 UDF 2 L4_Header 20 0x6000 0xff00(Matching RG-S6520-64CQ)
tillat UDP hvilken som helst hvilken som helst EQ 4791UDF 1 L5_Header 0 0x1100 0xff00 UDF 2 L5_Header 12 0x6000 0xff00(Matching RG-S6510-48VS8CQ)
Som et siste trinn kan du visualisere RDMA -økten ved å montere ekspertutvidelseslisten i den aktuelle erspan -prosessen.
Skriv i det siste
ERSPAN er et av de uunnværlige verktøyene i dagens stadig større datasenternettverk, stadig mer komplekse nettverkstrafikk og stadig mer sofistikerte nettverksdrift og vedlikeholdskrav.
Med den økende graden av O & M -automatisering er teknologier som NetConf, RestConf og GRPC populære blant O & M -studenter i nettverksautomatisk O&M. Å bruke GRPC som den underliggende protokollen for å sende speiltrafikk har også mange fordeler. For eksempel, basert på HTTP/2 -protokoll, kan den støtte streaming push -mekanismen under samme forbindelse. Med protobuf -koding reduseres størrelsen på informasjon med halvparten sammenlignet med JSON -format, noe som gjør dataoverføring raskere og mer effektiv. Tenk deg, hvis du bruker erspan for å speile interesserte strømmer og deretter sende dem til analyseserveren på GRPC, vil det forbedre evnen og effektiviteten til nettverks automatisk drift og vedlikehold?
Post Time: Mai-10-2022
