A ferramenta máis común para a monitorización e resolución de problemas da rede hoxe en día é o Analizador de portos de conmutación (SPAN), tamén coñecido como Port mirroring. Permítenos supervisar o tráfico de rede no modo de derivación fóra de banda sen interferir cos servizos da rede en directo e envía unha copia do tráfico supervisado a dispositivos locais ou remotos, incluídos Sniffer, IDS ou outros tipos de ferramentas de análise de rede.
Algúns usos típicos son:
• Solucionar problemas de rede rastrexando marcos de control/datos;
• Analiza a latencia e o jitter supervisando os paquetes VoIP;
• Analiza a latencia supervisando as interaccións da rede;
• Detectar anomalías supervisando o tráfico da rede.
O tráfico de SPAN pódese duplicar localmente noutros portos do mesmo dispositivo de orixe ou de forma remota noutros dispositivos de rede adxacentes á capa 2 do dispositivo de orixe (RSPAN).
Hoxe imos falar da tecnoloxía de monitorización do tráfico de Internet remoto chamada ERSPAN (Encapsulated Remote Switch Port Analyzer) que se pode transmitir a través de tres capas de IP. Esta é unha extensión de SPAN a Encapsulated Remote.
Principios básicos de funcionamento de ERSPAN
En primeiro lugar, vexamos as características de ERSPAN:
• Envíase unha copia do paquete desde o porto de orixe ao servidor de destino para analizalo a través de Generic Routing Encapsulation (GRE). A localización física do servidor non está restrinxida.
• Coa axuda da función User Defined Field (UDF) do chip, calquera compensación de 1 a 126 bytes realízase en función do dominio Base a través da lista estendida de nivel experto, e as palabras clave da sesión coinciden para realizar a visualización. da sesión, como o apretón de mans de tres vías TCP e a sesión RDMA;
• Soporte para establecer a taxa de mostraxe;
• Admite a lonxitude de interceptación de paquetes (Packet Slicing), reducindo a presión sobre o servidor de destino.
Con estas funcións, podes ver por que ERSPAN é unha ferramenta esencial para supervisar redes dentro dos centros de datos hoxe en día.
As principais funcións de ERSPAN pódense resumir en dous aspectos:
• Visibilidade da sesión: use ERSPAN para recoller todas as sesións de TCP e de acceso directo remoto á memoria (RDMA) novas creadas no servidor de fondo para a súa visualización;
• Solución de problemas de rede: captura o tráfico de rede para a análise de fallos cando se produce un problema de rede.
Para iso, o dispositivo de rede de orixe ten que filtrar o tráfico de interese para o usuario do fluxo de datos masivo, facer unha copia e encapsular cada fotograma de copia nun "contedor de superframe" especial que conteña suficiente información adicional para que poida ser encaminado correctamente ao dispositivo receptor. Ademais, habilite o dispositivo receptor para extraer e recuperar completamente o tráfico supervisado orixinal.
O dispositivo receptor pode ser outro servidor que admita a decapsulación de paquetes ERSPAN.
Análise do tipo e do formato de paquete ERSPAN
Os paquetes ERSPAN son encapsulados usando GRE e reenviados a calquera destino direccionable IP a través de Ethernet. ERSPAN utilízase actualmente principalmente en redes IPv4, e o soporte IPv6 será un requisito no futuro.
Para a estrutura xeral de encapsulamento de ERSAPN, a seguinte é unha captura de paquetes espello de paquetes ICMP:
Ademais, o campo Tipo de protocolo na cabeceira GRE tamén indica o tipo ERSPAN interno. O campo Tipo de protocolo 0x88BE indica ERSPAN Tipo II e 0x22EB indica ERSPAN Tipo III.
1. Tipo I
O cadro ERSPAN do tipo I encapsula IP e GRE directamente sobre a cabeceira do cadro do espello orixinal. Esta encapsulación engade 38 bytes sobre o marco orixinal: 14 (MAC) + 20 (IP) + 4 (GRE). A vantaxe deste formato é que ten un tamaño de cabeceira compacto e reduce o custo de transmisión. Non obstante, debido a que establece os campos GRE Flag e Version en 0, non leva ningún campo estendido e o Tipo I non é moi utilizado, polo que non é necesario expandir máis.
O formato de cabeceira GRE do Tipo I é o seguinte:
2. Tipo II
No Tipo II, os campos C, R, K, S, S, Recur, Flags e Version da cabeceira GRE son todos 0 excepto o campo S. Polo tanto, o campo Número de secuencia móstrase na cabeceira GRE do Tipo II. É dicir, o Tipo II pode garantir a orde de recepción de paquetes GRE, polo que non se poden clasificar un gran número de paquetes GRE fóra de orde debido a un fallo da rede.
O formato de cabeceira GRE do Tipo II é o seguinte:
Ademais, o formato de cadro ERSPAN Tipo II engade unha cabeceira ERSPAN de 8 bytes entre a cabeceira GRE e o cadro espello orixinal.
O formato de cabeceira ERSPAN para o Tipo II é o seguinte:
Finalmente, inmediatamente despois do marco da imaxe orixinal, está o código estándar de verificación de redundancia cíclica (CRC) Ethernet de 4 bytes.
Paga a pena notar que na implementación, o cadro espello non contén o campo FCS do cadro orixinal, senón que se recalcula un novo valor CRC en función de todo o ERSPAN. Isto significa que o dispositivo receptor non pode verificar a corrección CRC do cadro orixinal e só podemos supoñer que só se reflicten os cadros non corrompidos.
3. Tipo III
O tipo III introduce unha cabeceira composta máis grande e flexible para abordar escenarios de monitorización da rede cada vez máis complexos e diversos, incluíndo, entre outros, a xestión da rede, a detección de intrusións, a análise de rendemento e atraso, etc. Estas escenas precisan coñecer todos os parámetros orixinais do cadro do espello e incluír aqueles que non están presentes no propio cadro orixinal.
A cabeceira composta ERSPAN Tipo III inclúe unha cabeceira obrigatoria de 12 bytes e unha subcabecera opcional de 8 bytes específicas para a plataforma.
O formato de cabeceira ERSPAN para o Tipo III é o seguinte:
De novo, despois do marco do espello orixinal hai un CRC de 4 bytes.
Como se pode ver no formato de cabeceira do Tipo III, ademais de manter os campos Ver, VLAN, COS, T e Session ID en función do Tipo II, engádense moitos campos especiais, como:
• BSO: utilízase para indicar a integridade de carga das tramas de datos transportadas a través de ERSPAN. 00 é un bo cadro, 11 é un mal cadro, 01 é un cadro curto, 11 é un cadro grande;
• Selo de tempo: exportado desde o reloxo de hardware sincronizado coa hora do sistema. Este campo de 32 bits admite polo menos 100 microsegundos de granularidade de marca de tempo;
• Tipo de trama (P) e tipo de trama (FT): o primeiro úsase para especificar se ERSPAN leva tramas de protocolo Ethernet (tramas PDU), e o segundo úsase para especificar se ERSPAN leva tramas Ethernet ou paquetes IP.
• HW ID: identificador único do motor ERSPAN dentro do sistema;
• Gra (Granularidade da marca de tempo): Especifica a granularidade da marca de tempo. Por exemplo, 00B representa granularidade de 100 microsegundos, 01B granularidade de 100 nanosegundos, granularidade 10B IEEE 1588 e 11B require subencabezados específicos da plataforma para lograr unha granularidade maior.
• ID de plataforma e información específica de plataforma: os campos de información específica de plataforma teñen formatos e contidos diferentes dependendo do valor do ID de plataforma.
Nótese que os distintos campos de cabeceira admitidos anteriormente poden usarse en aplicacións ERSPAN habituais, incluso reflectindo marcos de erro ou marcos BPDU, mantendo o paquete Trunk orixinal e o ID de VLAN. Ademais, a información de marca de tempo clave e outros campos de información pódense engadir a cada fotograma ERSPAN durante a duplicación.
Coas propias cabeceiras de funcións de ERSPAN, podemos conseguir unha análise máis refinada do tráfico de rede e, a continuación, simplemente montar a ACL correspondente no proceso ERSPAN para que coincida co tráfico de rede que nos interese.
ERSPAN implementa a visibilidade da sesión RDMA
Poñamos un exemplo de uso da tecnoloxía ERSPAN para lograr a visualización de sesións RDMA nun escenario RDMA:
RDMA: Remote Direct Memory Access permite que o adaptador de rede do servidor A lea e escriba a Memoria do servidor B utilizando tarxetas de interface de rede intelixente (inics) e conmutadores, logrando un ancho de banda elevado, unha baixa latencia e unha baixa utilización de recursos. Utilízase amplamente en escenarios de almacenamento distribuído de grandes datos e de alto rendemento.
RoCEv2: RDMA sobre Ethernet converxente Versión 2. Os datos RDMA están encapsulados na cabeceira UDP. O número de porto de destino é 4791.
O funcionamento diario e o mantemento de RDMA requiren a recollida de moitos datos, que se usan para recoller liñas de referencia diarias de nivel de auga e alarmas anormais, así como a base para localizar problemas anormais. Combinado con ERSPAN, pódense capturar datos masivos rapidamente para obter datos de calidade de reenvío de microsegundos e estado de interacción do protocolo do chip de conmutación. A través de estatísticas e análises de datos, pódese obter unha avaliación e predición da calidade do reenvío RDMA de extremo a extremo.
Para conseguir a visualización de sesións RDAM, necesitamos que ERSPAN coincida coas palabras clave para as sesións de interacción RDMA ao reflectir o tráfico e necesitamos utilizar a lista ampliada de expertos.
Definición de campo de coincidencia da lista estendida de nivel experto:
A UDF consta de cinco campos: palabra clave UDF, campo base, campo de compensación, campo de valor e campo de máscara. Limitado pola capacidade de entradas de hardware, pódense utilizar un total de oito UDF. Unha UDF pode coincidir cun máximo de dous bytes.
• Palabra clave UDF: UDF1... UDF8 Contén oito palabras clave do dominio coincidente UDF
• Campo base: identifica a posición inicial do campo de coincidencia UDF. O seguinte
L4_header (aplicable a RG-S6520-64CQ)
L5_header (para RG-S6510-48VS8Cq)
• Desfase: indica a compensación en función do campo base. O valor varía de 0 a 126
• Campo de valor: valor coincidente. Pódese usar xunto co campo de máscara para configurar o valor específico que se vai facer coincidir. O bit válido é de dous bytes
• Campo Máscara: máscara, o bit válido é de dous bytes
(Engadir: se se usan varias entradas no mesmo campo de coincidencia UDF, os campos base e compensación deben ser iguais).
Os dous paquetes clave asociados co estado da sesión RDMA son o paquete de notificación de conxestión (CNP) e o recoñecemento negativo (NAK):
O primeiro é xerado polo receptor RDMA despois de recibir a mensaxe ECN enviada polo switch (cando o búfer eout alcanza o limiar), que contén información sobre o fluxo ou QP que causa a conxestión. Este último úsase para indicar que a transmisión RDMA ten unha mensaxe de resposta de perda de paquetes.
Vexamos como facer coincidir estas dúas mensaxes usando a lista estendida de nivel experto:
rdma estendido de lista de acceso de expertos
permitir udp any any any any eq 4791udf 1 l4_header 8 0x8100 0xFF00(Coincidencia con RG-S6520-64CQ)
permitir udp any any any any eq 4791udf 1 l5_header 0 0x8100 0xFF00(Coincidencia con RG-S6510-48VS8CQ)
rdma estendido de lista de acceso de expertos
permitir udp any any any any eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Coincidencia con RG-S6520-64CQ)
permitir udp any any any any eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Coincidencia con RG-S6510-48VS8CQ)
Como paso final, pode visualizar a sesión RDMA montando a lista de extensións de expertos no proceso ERSPAN adecuado.
Escribe no último
ERSPAN é unha das ferramentas indispensables nas redes de centros de datos cada vez máis grandes actuais, o tráfico de rede cada vez máis complexo e os requisitos de operación e mantemento da rede cada vez máis sofisticados.
Co aumento do grao de automatización de O&M, tecnoloxías como Netconf, RESTconf e gRPC son populares entre os estudantes de O&M na rede automática de O&M. Usar gRPC como protocolo subxacente para enviar tráfico espello de volta tamén ten moitas vantaxes. Por exemplo, baseado no protocolo HTTP/2, pode admitir o mecanismo push de transmisión na mesma conexión. Coa codificación ProtoBuf, o tamaño da información redúcese á metade en comparación co formato JSON, facendo que a transmisión de datos sexa máis rápida e eficiente. Imaxínate, se usas ERSPAN para reflectir fluxos interesados e despois envialos ao servidor de análise en gRPC, mellorará moito a capacidade e a eficiencia do funcionamento e mantemento automático da rede?
Hora de publicación: 10-maio-2022