A ferramenta máis común para o control de rede e a solución de problemas hoxe é Switch Port Analyzer (SPAN), tamén coñecido como Mirroring Port. Permítenos supervisar o tráfico de rede en Bypass fóra do modo de banda sen interferir nos servizos na rede en directo e envía unha copia do tráfico controlado a dispositivos locais ou remotos, incluíndo sniffer, identificadores ou outros tipos de ferramentas de análise de rede.
Algúns usos típicos son:
• Solución de problemas de problemas de rede mediante o seguimento dos marcos de control/datos;
• Analizar a latencia e o chorro mediante o control dos paquetes VoIP;
• Analizar a latencia mediante o control das interaccións da rede;
• Detectar anomalías mediante o control do tráfico de rede.
O tráfico de SPAN pódese reflectir localmente a outros portos do mesmo dispositivo fonte ou reflectir de forma remota a outros dispositivos de rede adxacentes á capa 2 do dispositivo fonte (RSPAN).
Hoxe imos falar sobre a tecnoloxía remota de control de tráfico de internet chamada ERSPAN (analizador de portos de conmutador remoto encapsulado) que se pode transmitir en tres capas de IP. Esta é unha extensión do intervalo a control remoto encapsulado.
Principios básicos de operación de erspan
En primeiro lugar, vexamos as características de Erspan:
• Unha copia do paquete do porto de orixe envíase ao servidor de destino para analizar mediante encapsulado xenérico de enrutamento (GRE). A localización física do servidor non está restrinxida.
• Coa axuda do campo definido polo usuario (UDF) do chip, realízase calquera compensación de 1 a 126 bytes en función do dominio base a través da lista estendida a nivel de expertos, e as palabras clave da sesión están correspondentes para realizar a visualización da sesión, como a sesión de man de tres vías TCP e RDMA;
• Taxa de mostraxe de configuración de soporte;
• Admite a lonxitude de intercepción de paquetes (cortado de paquetes), reducindo a presión no servidor de destino.
Con estas características, podes ver por que ERSPAN é unha ferramenta esencial para controlar as redes dentro dos centros de datos hoxe.
As principais funcións de Erspan pódense resumir en dous aspectos:
• Visibilidade da sesión: use ERSPAN para recoller todas as novas sesións de acceso a memoria directa (RDMA) novas creadas ao servidor back-end para a súa visualización;
• Resolución de problemas de rede: captura o tráfico de rede para a análise de fallos cando se produce un problema de rede.
Para iso, o dispositivo de rede de orixe necesita filtrar o tráfico de intereses ao usuario desde o fluxo de datos masivo, facer unha copia e encapsular cada cadro de copia nun "recipiente de superframa" especial que transporta información adicional para que poida ser dirixida correctamente ao dispositivo receptor. Ademais, permita que o dispositivo receptor poida extraer e recuperar completamente o tráfico monitorizado orixinal.
O dispositivo de recepción pode ser outro servidor que admite paquetes ERSPAN decapsulados.
A análise de formato de tipo ERSPAN e paquete
Os paquetes ERSPAN están encapsulados usando GRE e envíanse a calquera destino dirixible IP a través de Ethernet. ERSPAN úsase principalmente en redes IPv4, e o soporte IPv6 será un requisito no futuro.
Para a estrutura xeral de encapsulación de ERSAPN, o seguinte é unha captura de paquetes de espello de paquetes ICMP:
O protocolo ERSPAN desenvolveuse durante un longo período de tempo e, coa mellora das súas capacidades, formáronse varias versións, chamadas "tipos ERSPAN". Diferentes tipos teñen diferentes formatos de cabeceira de cadros.
Defínese no campo da primeira versión do cabezazo de Erspan:
Ademais, o campo do tipo de protocolo no cabeceiro GRE tamén indica o tipo interno de ERSPAN. O campo tipo protocolo 0x88Be indica Erspan tipo II e 0x22EB indica Erspan tipo III.
1. Tipo i
O marco de Erspan do tipo I encapsula IP e GRE directamente sobre a cabeceira do marco do espello orixinal. Este encapsulado engade 38 bytes sobre o cadro orixinal: 14 (Mac) + 20 (IP) + 4 (GRE). A vantaxe deste formato é que ten un tamaño de cabeceira compacto e reduce o custo da transmisión. Non obstante, debido a que establece os campos de bandeira e versión GRE a 0, non transporta campos estendidos e non se usa amplamente o tipo I, polo que non hai necesidade de expandirse máis.
O formato de cabeceira GRE do tipo I é o seguinte:
2. Tipo II
No tipo II, os campos C, R, K, S, S, Recur, as bandeiras e as versións do cabeceiro GRE son 0 excepto o campo S. Polo tanto, o campo de número de secuencia móstrase na cabeceira GRE do tipo II. É dicir, o tipo II pode asegurar a orde de recibir paquetes GRE, de xeito que non se poden clasificar un gran número de paquetes GRE fóra de orde debido a un fallo de rede.
O formato de cabeceira GRE do tipo II é o seguinte:
Ademais, o formato de fotograma de tipo ERSPAN II engade un encabezado ERSPAN de 8 bytes entre o cabeceiro GRE e o marco de espello orixinal.
O formato de cabeceira ERSPAN para o tipo II é o seguinte:
Finalmente, inmediatamente despois do marco de imaxe orixinal, está o código estándar de redundancia cíclica de 4 bytes de 4 bytes.
É de destacar que na implementación, o marco do espello non contén o campo FCS do cadro orixinal, en vez que se recalcula un novo valor CRC en función de todo o ERSPAN. Isto significa que o dispositivo receptor non pode verificar a corrección CRC do cadro orixinal e só podemos supor que só se reflecten os cadros non corrixidos.
3. Tipo III
O tipo III introduce un encabezado composto máis grande e máis flexible para abordar escenarios de control de rede cada vez máis complexos e diversos, incluíndo pero sen limitarse á xestión da rede, á detección de intrusións, á análise de rendemento e atraso e moito máis. Estas escenas necesitan coñecer todos os parámetros orixinais do marco do espello e incluír aqueles que non están presentes no propio cadro orixinal.
O encabezado composto ERSPAN TIPO III inclúe un encabezado obrigatorio de 12 bytes e un subficro opcional de 8 bytes específico da plataforma.
O formato de cabeceira ERSPAN para o tipo III é o seguinte:
De novo, despois de que o marco do espello orixinal sexa un CRC de 4 bytes.
Como se pode ver no formato de cabeceira do tipo III, ademais de conservar os campos Ver, VLAN, COS, T e Sesion en función do tipo II, engádense moitos campos especiais, como:
• BSO: usado para indicar a integridade de carga dos cadros de datos transportados a través de ERSPAN. 00 é un bo marco, 11 é un marco malo, 01 é un cadro curto, 11 é un marco grande;
• Timestamp: exportado desde o reloxo de hardware sincronizado co tempo do sistema. Este campo de 32 bits admite polo menos 100 microsegundos de granularidade de tempo;
• Tipo de fotograma (P) e tipo de fotograma (FT): o primeiro úsase para especificar se ERSPAN leva marcos de protocolo Ethernet (cadros PDU) e o segundo úsase para especificar se Erspan leva marcos Ethernet ou paquetes IP.
• HW ID: identificador único do motor ERSPAN dentro do sistema;
• GRA (Timestamp Granularity): Especifica a granularidade da marca de tempo. Por exemplo, 00B representa 100 granularidade de microsegundo, 01b 100 nanosegundo granularidade, 10b IEEE 1588 Granularidade e 11b require subcadadores específicos da plataforma para conseguir unha maior granularidade.
• Información específica da plataforma ID vs. plataforma: os campos de información específicos de PLATF teñen diferentes formatos e contidos dependendo do valor de ID PLATF.
Cómpre sinalar que os distintos campos de cabeceira soportados anteriormente poden usarse en aplicacións ERSPAN regulares, incluso reflectindo marcos de erro ou cadros BPDU, mantendo o paquete de tronco orixinal e o ID VLAN. Ademais, pódense engadir información clave de tempo e outros campos de información a cada marco ERSPAN durante o espello.
Coas cabeceiras de funcións de Erspan, podemos conseguir unha análise máis refinada do tráfico de rede e, a continuación, simplemente montar a ACL correspondente no proceso ERSPAN para que coincida co tráfico de rede que nos interesa.
Erspan implementa a visibilidade da sesión RDMA
Tomemos un exemplo de usar a tecnoloxía ERSPAN para conseguir a visualización de sesións de RDMA nun escenario RDMA:
RDMA: O acceso á memoria directa remota permite o adaptador de rede do servidor A ler e escribir a memoria do servidor B mediante tarxetas de interface de rede intelixentes (INICs) e conmutadores, logrando un alto ancho de banda, baixa latencia e baixa utilización de recursos. É moi utilizado en escenarios de almacenamento distribuídos de gran tamaño e de alto rendemento.
Rocev2: RDMA sobre a versión 2 de Ethernet converxida. Os datos RDMA están encapsulados no encabezado UDP. O número de porto de destino é 4791.
O funcionamento diario e o mantemento de RDMA require recoller moitos datos, que se usa para recoller liñas de referencia a nivel de auga diarias e alarmas anormais, así como a base para localizar problemas anormais. Combinados con ERSPAN, os datos masivos pódense capturar rapidamente para obter datos de calidade de reenvío de microsegundo e estado de interacción do protocolo do chip de conmutación. A través de estatísticas e análises de datos, pódese obter a avaliación e predición de calidade de reenvío de RDMA.
Para lograr a visualización de sesións RDAM, necesitamos ERSPAN para que coincida con palabras clave para as sesións de interacción RDMA ao reflectir o tráfico e necesitamos usar a lista de expertos.
Lista estendida a nivel de expertos Definición de campo:
O UDF consta de cinco campos: palabra clave UDF, campo base, campo de compensación, campo de valor e campo de máscara. Limitado pola capacidade das entradas de hardware, pódense usar un total de oito UDF. Un UDF pode coincidir cun máximo de dous bytes.
• Palabra clave UDF: UDF1 ... UDF8 contén oito palabras clave do dominio de correspondencia UDF
• Campo base: identifica a posición de inicio do campo de correspondencia UDF. O seguinte
L4_Header (aplicable a RG-S6520-64CQ)
L5_Header (para RG-S6510-48VS8CQ)
• Offset: indica a compensación baseada no campo base. O valor oscila entre 0 e 126
• Campo de valor: Valor de correspondencia. Pódese usar xunto co campo de máscara para configurar o valor específico que se corresponde. O bit válido é dous bytes
• Campo de máscara: máscara, o bit válido é dous bytes
(Engadir: Se se usan varias entradas no mesmo campo de correspondencia de UDF, os campos base e compensación deben ser os mesmos.)
Os dous paquetes clave asociados ao estado da sesión RDMA son o paquete de notificación de conxestión (CNP) e o recoñecemento negativo (NAK):
O primeiro é xerado polo receptor RDMA despois de recibir a mensaxe ECN enviada polo conmutador (cando o búfer EOUT chega ao limiar), que contén información sobre o fluxo ou QP que causa conxestión. Este último úsase para indicar que a transmisión RDMA ten unha mensaxe de resposta á perda de paquetes.
Vexamos como coincidir con estas dúas mensaxes usando a lista estendida a nivel de expertos:
Expert Access-List Extended RDMA
permite udp calquera calquera eq 4791udf 1 l4_header 8 0x8100 0xff00(Correspondencia RG-S6520-64CQ)
permite udp calquera calquera eq 4791udf 1 l5_header 0 0x8100 0xff00(Correspondencia RG-S6510-48VS8CQ)
Expert Access-List Extended RDMA
permite udp calquera calquera eq 4791UDF 1 L4_HEADER 8 0x1100 0xff00 UDF 2 L4_HEADER 20 0x6000 0xff00(Correspondencia RG-S6520-64CQ)
permite udp calquera calquera eq 4791UDF 1 L5_Header 0 0x1100 0xff00 UDF 2 L5_Header 12 0x6000 0xff00(Correspondencia RG-S6510-48VS8CQ)
Como último paso, pode visualizar a sesión RDMA montando a lista de extensións de expertos no proceso ERSPAN adecuado.
Escribe no último
Erspan é unha das ferramentas indispensables nas redes de centros de datos cada vez máis grandes de hoxe, tráfico de rede cada vez máis complexo e requisitos de operación e mantemento de rede cada vez máis sofisticados.
Co crecente grao de automatización de O&M, tecnoloxías como NetConf, RestConf e GRPC son populares entre os estudantes de O&M en O&M automático de rede. Usar GRPC como protocolo subxacente para o envío de tráfico de espellos tamén ten moitas vantaxes. Por exemplo, baseándose no protocolo HTTP/2, pode soportar o mecanismo de push de transmisión na mesma conexión. Coa codificación protobuf, o tamaño da información redúcese á metade en comparación co formato JSON, facendo que a transmisión de datos sexa máis rápida e eficiente. Imaxina, se usas ERSPAN para reflectir os fluxos interesados e logo envialos ao servidor de análise de GRPC, mellorará moito a capacidade e a eficiencia do funcionamento e mantemento automático da rede?
Tempo de publicación: maio-10-2022
