A ferramenta máis común para a monitorización e resolución de problemas de rede hoxe en día é Switch Port Analyzer (SPAN), tamén coñecido como Port mirroring. Permite monitorizar o tráfico de rede en modo de derivación fóra de banda sen interferir cos servizos da rede en directo e envía unha copia do tráfico monitorizado a dispositivos locais ou remotos, incluíndo Sniffer, IDS ou outros tipos de ferramentas de análise de rede.
Algúns usos típicos son:
• Resolución de problemas de rede mediante o seguimento de tramas de control/datos;
• Analizar a latencia e a fluctuación monitorizando os paquetes VoIP;
• Analizar a latencia monitorizando as interaccións da rede;
• Detectar anomalías mediante a monitorización do tráfico de rede.
O tráfico SPAN pode duplicarse localmente noutros portos do mesmo dispositivo de orixe ou duplicarse remotamente noutros dispositivos de rede adxacentes á capa 2 do dispositivo de orixe (RSPAN).
Hoxe imos falar da tecnoloxía de monitorización remota do tráfico de Internet chamada ERSPAN (Encapsulated Remote Switch Port Analyzer, Analizador de portos de conmutación remota) que se pode transmitir a través de tres capas de IP. Trátase dunha extensión de SPAN a Encapsulated Remote.
Principios básicos de funcionamento de ERSPAN
Primeiro, botemos unha ollada ás características de ERSPAN:
• Envíase unha copia do paquete desde o porto de orixe ao servidor de destino para a súa análise mediante a encapsulación de enrutamento xenérica (GRE). A localización física do servidor non está restrinxida.
• Coa axuda da función de campo definido polo usuario (UDF) do chip, calquera desprazamento de 1 a 126 bytes realízase en función do dominio base a través da lista estendida de nivel experto, e as palabras clave da sesión combínanse para realizar a visualización da sesión, como o handshake de tres vías TCP e a sesión RDMA;
• Soporte para a configuración da taxa de mostraxe;
• Admite a lonxitude de interceptación de paquetes (Packet Slicing), o que reduce a presión no servidor de destino.
Con estas características, podes ver por que ERSPAN é unha ferramenta esencial para monitorizar redes dentro dos centros de datos hoxe en día.
As principais funcións de ERSPAN pódense resumir en dous aspectos:
• Visibilidade da sesión: use ERSPAN para recoller todas as novas sesións TCP e de acceso directo remoto á memoria (RDMA) creadas no servidor backend para a súa visualización;
• Resolución de problemas de rede: captura o tráfico de rede para a análise de fallos cando se produce un problema de rede.
Para iso, o dispositivo de rede de orixe necesita filtrar o tráfico de interese para o usuario do fluxo de datos masivo, facer unha copia e encapsular cada fotograma de copia nun "contedor de superfotogramas" especial que conteña información adicional suficiente para que se poida enrutar correctamente ao dispositivo receptor. Ademais, permitir que o dispositivo receptor extraia e recupere completamente o tráfico monitorizado orixinal.
O dispositivo receptor pode ser outro servidor que admita a decapsulación de paquetes ERSPAN.
Análise de tipo e formato de paquete ERSPAN
Os paquetes ERSPAN encapsúlanse mediante GRE e envíanse a calquera destino con enderezo IP a través de Ethernet. ERSPAN úsase actualmente principalmente en redes IPv4 e a compatibilidade con IPv6 será un requisito no futuro.
Para a estrutura xeral de encapsulamento de ERSAPN, o seguinte é unha captura de paquetes espello de paquetes ICMP:
O protocolo ERSPAN desenvolveuse durante un longo período de tempo e, coa mellora das súas capacidades, formáronse varias versións, chamadas "Tipos ERSPAN". Os diferentes tipos teñen diferentes formatos de cabeceira de trama.
Defínese no primeiro campo Versión da cabeceira ERSPAN:
Ademais, o campo Tipo de protocolo na cabeceira GRE tamén indica o tipo ERSPAN interno. O campo Tipo de protocolo 0x88BE indica o tipo ERSPAN II e 0x22EB indica o tipo ERSPAN III.
1. Tipo I
A trama ERSPAN de tipo I encapsula IP e GRE directamente sobre a cabeceira da trama de espello orixinal. Esta encapsulación engade 38 bytes á trama orixinal: 14 (MAC) + 20 (IP) + 4 (GRE). A vantaxe deste formato é que ten un tamaño de cabeceira compacto e reduce o custo da transmisión. Non obstante, debido a que define os campos GRE Flag e Version en 0, non transporta ningún campo estendido e o tipo I non se usa amplamente, polo que non hai necesidade de expandirse máis.
O formato da cabeceira GRE de Tipo I é o seguinte:
2. Tipo II
No Tipo II, os campos C, R, K, S, S, Recur, Indicadores e Versión na cabeceira GRE son todos 0 agás o campo S. Polo tanto, o campo Número de secuencia móstrase na cabeceira GRE do Tipo II. É dicir, o Tipo II pode garantir a orde de recepción dos paquetes GRE, de xeito que un gran número de paquetes GRE fóra de orde non se poidan ordenar debido a un fallo da rede.
O formato da cabeceira GRE de Tipo II é o seguinte:
Ademais, o formato de trama ERSPAN de tipo II engade unha cabeceira ERSPAN de 8 bytes entre a cabeceira GRE e a trama duplicada orixinal.
O formato da cabeceira ERSPAN para o Tipo II é o seguinte:
Finalmente, inmediatamente despois do fotograma da imaxe orixinal, está o código estándar de comprobación de redundancia cíclica (CRC) de Ethernet de 4 bytes.
Cómpre sinalar que, na implementación, o marco de espello non contén o campo FCS do marco orixinal, senón que se recalcula un novo valor CRC baseado en todo o ERSPAN. Isto significa que o dispositivo receptor non pode verificar a corrección do CRC do marco orixinal e só podemos asumir que só se espellan os marcos non corrompidos.
3. Tipo III
O tipo III introduce unha cabeceira composta máis grande e flexible para abordar escenarios de monitorización de rede cada vez máis complexos e diversos, incluíndo, entre outros, a xestión de rede, a detección de intrusións, a análise de rendemento e atrasos e moito máis. Estas escenas deben coñecer todos os parámetros orixinais do marco do espello e incluír aqueles que non están presentes no propio marco orixinal.
A cabeceira composta ERSPAN Tipo III inclúe unha cabeceira obrigatoria de 12 bytes e unha subcabeceira opcional de 8 bytes específica da plataforma.
O formato da cabeceira ERSPAN para o Tipo III é o seguinte:
De novo, despois do marco do espello orixinal hai un CRC de 4 bytes.
Como se pode ver no formato de cabeceira do Tipo III, ademais de manter os campos Ver, VLAN, COS, T e ID de sesión baseándose no Tipo II, engádense moitos campos especiais, como por exemplo:
• BSO: úsase para indicar a integridade da carga das tramas de datos transportadas a través de ERSPAN. 00 é unha trama boa, 11 é unha trama mala, 01 é unha trama curta e 11 é unha trama grande;
• Marca de tempo: exportada desde o reloxo do hardware sincronizado coa hora do sistema. Este campo de 32 bits admite polo menos 100 microsegundos de granularidade da marca de tempo;
• Tipo de trama (P) e tipo de trama (FT): o primeiro úsase para especificar se ERSPAN transporta tramas de protocolo Ethernet (tramas PDU) e o segundo úsase para especificar se ERSPAN transporta tramas Ethernet ou paquetes IP.
• ID do hardware: identificador único do motor ERSPAN dentro do sistema;
• Gra (Granularidade da marca de tempo): especifica a granularidade da marca de tempo. Por exemplo, 00B representa unha granularidade de 100 microsegundos, 01B unha granularidade de 100 nanosegundos, 10B unha granularidade IEEE 1588 e 11B require subcabeceiras específicas da plataforma para conseguir unha maior granularidade.
• ID da plataforma fronte a información específica da plataforma: os campos de información específica da plataforma teñen diferentes formatos e contidos dependendo do valor do ID da plataforma.
Cómpre sinalar que os diversos campos de cabeceira compatibles anteriormente pódense usar en aplicacións ERSPAN regulares, mesmo creando espellos de tramas de erro ou tramas BPDU, mantendo o paquete Trunk orixinal e o ID de VLAN. Ademais, pódese engadir información de marca de tempo clave e outros campos de información a cada trama ERSPAN durante a creación de espellos.
Coas cabeceiras de funcionalidades propias de ERSPAN, podemos lograr unha análise máis refinada do tráfico de rede e, a seguir, simplemente montar a ACL correspondente no proceso ERSPAN para que coincida co tráfico de rede que nos interesa.
ERSPAN implementa a visibilidade da sesión RDMA
Vexamos un exemplo do uso da tecnoloxía ERSPAN para lograr a visualización da sesión RDMA nun escenario RDMA:
RDMAO acceso directo remoto á memoria permite que o adaptador de rede do servidor A lea e escriba na memoria do servidor B mediante tarxetas de interface de rede intelixentes (inics) e conmutadores, conseguindo un ancho de banda elevado, unha latencia baixa e un baixo uso de recursos. Úsase amplamente en escenarios de big data e almacenamento distribuído de alto rendemento.
RoCEv2RDMA sobre Ethernet converxente versión 2. Os datos RDMA están encapsulados na cabeceira UDP. O número de porto de destino é 4791.
O funcionamento e mantemento diarios de RDMA require a recollida dunha gran cantidade de datos, que se empregan para recoller liñas de referencia diarias do nivel da auga e alarmas anormais, así como para a localización de problemas anormais. En combinación con ERSPAN, pódense capturar datos masivos rapidamente para obter datos de calidade de reenvío de microsegundos e o estado de interacción do protocolo do chip de conmutación. Mediante estatísticas e análises de datos, pódese obter unha avaliación e predición da calidade de reenvío de extremo a extremo de RDMA.
Para lograr a visualización da sesión RDAM, precisamos que ERSPAN coincida coas palabras clave para as sesións de interacción RDMA ao duplicar o tráfico e precisamos usar a lista estendida de expertos.
Definición do campo de coincidencia de lista ampliada de nivel experto:
A UDF consta de cinco campos: palabra clave da UDF, campo base, campo de desprazamento, campo de valor e campo de máscara. Limitado pola capacidade das entradas de hardware, pódense usar un total de oito UDF. Unha UDF pode coincidir cun máximo de dous bytes.
• Palabra clave da UDF: UDF1... UDF8 Contén oito palabras clave do dominio coincidente da UDF
• Campo base: identifica a posición inicial do campo coincidente da UDF. O seguinte
Cabeceira L4 (aplicable a RG-S6520-64CQ)
Cabeceira L5 (para RG-S6510-48VS8Cq)
• Desprazamento: indica o desprazamento baseado no campo base. O valor varía de 0 a 126
• Campo de valor: valor coincidente. Pódese usar xunto co campo de máscara para configurar o valor específico que se vai coincidir. O bit válido é de dous bytes.
• Campo de máscara: máscara, o bit válido é de dous bytes
(Engadir: Se se usan varias entradas no mesmo campo de coincidencia UDF, os campos base e desprazamento deben ser os mesmos.)
Os dous paquetes clave asociados co estado da sesión RDMA son o paquete de notificación de conxestión (CNP) e o acuse de recibo negativo (NAK):
O primeiro xérase polo receptor RDMA despois de recibir a mensaxe ECN enviada polo conmutador (cando o búfer eout alcanza o limiar), que contén información sobre o fluxo ou QP que causa a conxestión. O segundo utilízase para indicar que a transmisión RDMA ten unha mensaxe de resposta de perda de paquetes.
Vexamos como emparellar estas dúas mensaxes usando a lista ampliada de nivel experto:
RDMA ampliada de lista de acceso de expertos
permitir udp calquera calquera calquera calquera eq 4791udf 1 l4_header 8 0x8100 0xFF00(Coincidencia de RG-S6520-64CQ)
permitir udp calquera calquera calquera calquera eq 4791udf 1 l5_header 0 0x8100 0xFF00(Coincidencia de RG-S6510-48VS8CQ)
RDMA ampliada de lista de acceso de expertos
permitir udp calquera calquera calquera calquera eq 4791udf 1 cabeceira_l4 8 0x1100 0xFF00 udf 2 cabeceira_l4 20 0x6000 0xFF00(Coincidencia de RG-S6520-64CQ)
permitir udp calquera calquera calquera calquera eq 4791udf 1 cabeceira_l5 0 0x1100 0xFF00 udf 2 cabeceira_l5 12 0x6000 0xFF00(Coincidencia de RG-S6510-48VS8CQ)
Como paso final, podes visualizar a sesión RDMA montando a lista de extensións expertas no proceso ERSPAN axeitado.
Escribe no último
ERSPAN é unha das ferramentas indispensables nas redes de centros de datos actuais, cada vez máis grandes, no tráfico de rede cada vez máis complexo e nos requisitos de operación e mantemento de redes cada vez máis sofisticados.
Co crecente grao de automatización da operación e mantemento (O&M), tecnoloxías como Netconf, RESTconf e gRPC son populares entre os estudantes de O&M na operación e mantemento automáticos de redes. O uso de gRPC como protocolo subxacente para enviar o tráfico espello tamén ten moitas vantaxes. Por exemplo, baseándose no protocolo HTTP/2, pode admitir o mecanismo de transmisión push na mesma conexión. Coa codificación ProtoBuf, o tamaño da información redúcese á metade en comparación co formato JSON, o que fai que a transmisión de datos sexa máis rápida e eficiente. Imaxina, se usas ERSPAN para espellar os fluxos interesados e logo envialos ao servidor de análise en gRPC, mellorará moito a capacidade e a eficiencia da operación e mantemento automáticos da rede?
Data de publicación: 10 de maio de 2022
