De meast foarkommende ark foar netwurkmonitoring en probleemoplossing hjoed de dei is Switch Port Analyzer (SPAN), ek wol bekend as Port mirroring. It lit ús netwurkferkear kontrolearje yn bypass out-of-band-modus sûnder ynterferinsje mei tsjinsten op it live netwurk, en stjoert in kopy fan it kontroleare ferkear nei lokale of eksterne apparaten, ynklusyf Sniffer, IDS, of oare soarten netwurkanalyse-ark.
Guon typyske gebrûken binne:
• Problemen mei netwurk oplosse troch kontrôle-/dataframes te folgjen;
• Analysearje latency en jitter troch VoIP-pakketten te kontrolearjen;
• Analysearje latency troch netwurkynteraksjes te kontrolearjen;
• Anomalieën opspoare troch netwurkferkear te kontrolearjen.
SPAN-ferkear kin lokaal spegele wurde nei oare poarten op itselde boarne-apparaat, of op ôfstân spegele wurde nei oare netwurkapparaten neist Laach 2 fan it boarne-apparaat (RSPAN).
Hjoed sille wy prate oer technology foar it kontrolearjen fan ynternetferkear op ôfstân mei de namme ERSPAN (Encapsulated Remote Switch Port Analyzer) dy't oer trije lagen IP oerdroegen wurde kin. Dit is in útwreiding fan SPAN nei Encapsulated Remote.
Basisprinsipes fan wurking fan ERSPAN
Earst, lit ús ris efkes sjen nei de funksjes fan ERSPAN:
• In kopy fan it pakket fan 'e boarnepoarte wurdt nei de bestimmingstsjinner stjoerd foar parsing fia Generic Routing Encapsulation (GRE). De fysike lokaasje fan 'e tsjinner is net beheind.
• Mei help fan 'e User Defined Field (UDF)-funksje fan 'e chip wurdt elke offset fan 1 oant 126 bytes útfierd op basis fan it Base-domein fia de útwreide list op ekspertnivo, en de sesje-kaaiwurden wurde oerienkommen om de fisualisaasje fan 'e sesje te realisearjen, lykas de TCP trije-wei handshake en RDMA-sesje;
• Stipe foar it ynstellen fan samplingfrekwinsje;
• Stipet pakketûnderskeppingslingte (Packet Slicing), wêrtroch de druk op 'e doeltsjinner ferminderet.
Mei dizze funksjes kinne jo sjen wêrom't ERSPAN in essinsjeel ark is foar it kontrolearjen fan netwurken yn datasintra hjoed.
De wichtichste funksjes fan ERSPAN kinne gearfette wurde yn twa aspekten:
• Sesjesichtberens: Brûk ERSPAN om alle oanmakke nije TCP- en Remote Direct Memory Access (RDMA)-sesjes te sammeljen nei de backend-tsjinner foar werjefte;
• Netwurkproblemen oplosse: Registrearret netwurkferkear foar flateranalyse as der in netwurkprobleem optreedt.
Om dit te dwaan, moat it boarne-netwurkapparaat it ferkear dat de brûker ynteressearret út 'e massive gegevensstream filterje, in kopy meitsje en elk kopyframe ynkapselje yn in spesjale "superframe-kontener" dy't genôch ekstra ynformaasje befettet, sadat it korrekt nei it ûntfangende apparaat rûtearre wurde kin. Boppedat moat it ûntfangende apparaat it orizjinele kontroleare ferkear ekstrahearje en folslein weromhelje.
It ûntfangende apparaat kin in oare server wêze dy't it dekapsulearjen fan ERSPAN-pakketten stipet.
De ERSPAN-type- en pakketformaatanalyse
ERSPAN-pakketten wurde ynkapsulearre mei GRE en trochstjoerd nei elke IP-adressearbere bestimming oer Ethernet. ERSPAN wurdt op it stuit benammen brûkt op IPv4-netwurken, en IPv6-stipe sil yn 'e takomst in eask wêze.
Foar de algemiene ynkapselingsstruktuer fan ERSAPN is it folgjende in spegelpakketopname fan ICMP-pakketten:
It ERSPAN-protokol hat him oer in lange perioade ûntwikkele, en mei de ferbettering fan syn mooglikheden binne ferskate ferzjes foarme, neamd "ERSPAN-typen". Ferskillende typen hawwe ferskillende frameheaderformaten.
It wurdt definiearre yn it earste Ferzje-fjild fan 'e ERSPAN-header:
Derneist jout it fjild Protokoltype yn 'e GRE-header ek it ynterne ERSPAN-type oan. It fjild Protokoltype 0x88BE jout ERSPAN-type II oan, en 0x22EB jout ERSPAN-type III oan.
1. Type I
It ERSPAN-frame fan Type I ynkapselet IP en GRE direkt oer de header fan it orizjinele spegelframe. Dizze ynkapseling foeget 38 bytes ta oan it orizjinele frame: 14 (MAC) + 20 (IP) + 4 (GRE). It foardiel fan dit formaat is dat it in kompakte headergrutte hat en de oerdrachtkosten ferminderet. Omdat it de GRE Flag- en Ferzje-fjilden lykwols op 0 ynstelt, hat it gjin útwreide fjilden en wurdt Type I net breed brûkt, dus it is net nedich om fierder út te wreidzjen.
It GRE-koptekstformaat fan Type I is as folget:
2. Type II
Yn Type II binne de fjilden C, R, K, S, S, Recur, Flags en Ferzje yn 'e GRE-header allegear 0, útsein it S-fjild. Dêrom wurdt it fjild Sequence Number werjûn yn 'e GRE-header fan Type II. Dat wol sizze, Type II kin de folchoarder fan ûntfangst fan GRE-pakketten garandearje, sadat in grut oantal GRE-pakketten dy't net yn folchoarder binne, net sortearre wurde kinne fanwegen in netwurkfout.
It GRE-koptekstformaat fan Type II is as folget:
Derneist foeget it ERSPAN Type II-frameformaat in 8-byte ERSPAN-header ta tusken de GRE-header en it orizjinele spegele frame.
It ERSPAN-koptekstformaat foar Type II is as folget:
Uteinlik, direkt nei it orizjinele ôfbyldingsframe, komt de standert 4-byte Ethernet sykliske redundânsjekontrôle (CRC)-koade.
It is it neamen wurdich dat yn 'e ymplemintaasje it spegelframe it FCS-fjild fan it orizjinele frame net befettet, ynstee wurdt in nije CRC-wearde opnij berekkene op basis fan it heule ERSPAN. Dit betsjut dat it ûntfangende apparaat de CRC-korrektheid fan it orizjinele frame net ferifiearje kin, en wy kinne allinich oannimme dat allinich net-beskeadige frames spegele wurde.
3. Type III
Type III yntrodusearret in gruttere en fleksibelere gearstalde header om hieltyd kompleksere en ferskate netwurkmonitoringscenario's oan te pakken, ynklusyf mar net beheind ta netwurkbehear, yntruzjedeteksje, prestaasjes- en fertragingsanalyse, en mear. Dizze sênes moatte alle orizjinele parameters fan it spegelframe kenne en dyjingen omfetsje dy't net oanwêzich binne yn it orizjinele frame sels.
De gearstalde header fan ERSPAN Type III omfettet in ferplichte header fan 12 bytes en in opsjonele platfoarmspesifike subheader fan 8 bytes.
It ERSPAN-koptekstformaat foar Type III is as folget:
Wer, nei it orizjinele spegelframe is in 4-byte CRC.
Lykas te sjen is oan it koptekstformaat fan Type III, wurde neist it behâld fan 'e fjilden Ver, VLAN, COS, T en Sesje-ID op basis fan Type II, in protte spesjale fjilden tafoege, lykas:
• BSO: brûkt om de laadintegriteit oan te jaan fan gegevensframes dy't troch ERSPAN wurde droegen. 00 is in goed frame, 11 is in min frame, 01 is in koart frame, 11 is in grut frame;
• Tiidstempel: eksportearre fan 'e hardwareklok syngronisearre mei de systeemtiid. Dit 32-bit fjild stipet teminsten 100 mikrosekonden fan Timestamp-granulariteit;
• Frametype (P) en Frametype (FT): de earste wurdt brûkt om oan te jaan oft ERSPAN Ethernet-protokolframes (PDU-frames) draacht, en de lêste wurdt brûkt om oan te jaan oft ERSPAN Ethernet-frames of IP-pakketten draacht.
• HW ID: unike identifier fan 'e ERSPAN-motor binnen it systeem;
• Gra (Tiidstempelgranulariteit): Spesifisearret de granulariteit fan 'e tiidstempel. Bygelyks, 00B stiet foar 100 mikrosekonden granulariteit, 01B 100 nanosekonden granulariteit, 10B IEEE 1588 granulariteit, en 11B fereasket platfoarmspesifike subkopteksten om in hegere granulariteit te berikken.
• Platfoarm-ID vs. Platfoarmspesifike ynfo: Platfoarmspesifike ynfo-fjilden hawwe ferskillende formaten en ynhâld ôfhinklik fan 'e Platfoarm-ID-wearde.
It moat opmurken wurde dat de ferskate hjirboppe stipe headerfjilden brûkt wurde kinne yn reguliere ERSPAN-applikaasjes, sels it spegeljen fan flaterframes of BPDU-frames, wylst it orizjinele Trunk-pakket en VLAN ID bewarre wurde. Derneist kinne wichtige tiidstempelynformaasje en oare ynformaasjefjilden tafoege wurde oan elk ERSPAN-frame tidens it spegeljen.
Mei de eigen funksjekopteksten fan ERSPAN kinne wy in ferfine analyze fan netwurkferkear berikke, en dan gewoan de oerienkommende ACL yn it ERSPAN-proses montearje om oerien te kommen mei it netwurkferkear wêryn wy ynteressearre binne.
ERSPAN ymplementearret RDMA-sesjesichtberens
Litte wy in foarbyld nimme fan it brûken fan ERSPAN-technology om RDMA-sesjevisualisaasje te berikken yn in RDMA-senario:
RDMARemote Direct Memory Access stelt de netwurkadapter fan server A yn steat om it ûnthâld fan server B te lêzen en te skriuwen mei help fan yntelliginte netwurkinterfacekaarten (inics) en switches, wêrtroch't hege bânbreedte, lege latency en leech gebrûk fan boarnen berikt wurde. It wurdt in soad brûkt yn big data en hege prestaasjes ferspraat opslachscenario's.
RoCEv2RDMA oer Converged Ethernet Ferzje 2. De RDMA-gegevens binne ynkapsele yn 'e UDP-header. It bestimmingspoartenûmer is 4791.
Deistige operaasje en ûnderhâld fan RDMA fereasket it sammeljen fan in soad gegevens, dy't brûkt wurde om deistige wetternivo-referinsjelinen en abnormale alarmen te sammeljen, lykas de basis foar it lokalisearjen fan abnormale problemen. Yn kombinaasje mei ERSPAN kinne massive gegevens fluch wurde fêstlein om mikrosekonde trochstjoerkwaliteitsgegevens en protokol-ynteraksjestatus fan 'e switching-chip te krijen. Troch gegevensstatistiken en -analyse kin RDMA end-to-end trochstjoerkwaliteitsbeoardieling en foarsizzing wurde krigen.
Om RDAM-sesjevisualisaasje te berikken, hawwe wy ERSPAN nedich om oerienkommende kaaiwurden te hawwen foar RDMA-ynteraksjesesjes by it spegeljen fan ferkear, en wy moatte de útwreide list fan 'e ekspert brûke.
Definysje fan oerienkommende fjilden op útwreide list op ekspertnivo:
De UDF bestiet út fiif fjilden: UDF-kaaiwurd, basisfjild, offsetfjild, weardefjild en maskerfjild. Beheind troch de kapasiteit fan hardware-yngongen, kinne yn totaal acht UDF's brûkt wurde. Ien UDF kin oerienkomme mei maksimaal twa bytes.
• UDF-kaaiwurd: UDF1... UDF8 Befettet acht kaaiwurden fan it UDF-oerienkommende domein
• Basisfjild: identifisearret de startposysje fan it UDF-oerienkomstfjild. It folgjende
L4_header (jildt foar RG-S6520-64CQ)
L5_koptekst (foar RG-S6510-48VS8Cq)
• Offset: jout de offset oan op basis fan it basisfjild. De wearde farieart fan 0 oant 126
• Weardefjild: oerienkommende wearde. It kin tegearre mei it maskerfjild brûkt wurde om de spesifike wearde te konfigurearjen dy't oerienkomt. De jildige bit is twa bytes
• Maskerfjild: masker, jildich bit is twa bytes
(Tafoegje: As meardere yngongen brûkt wurde yn itselde UDF-oerienkommende fjild, moatte de basis- en offsetfjilden itselde wêze.)
De twa wichtige pakketten dy't ferbûn binne mei RDMA-sesjestatus binne Congestion Notification Packet (CNP) en Negative Acknowledgment (NAK):
De earste wurdt generearre troch de RDMA-ûntfanger nei it ûntfangen fan it ECN-berjocht dat troch de switch ferstjoerd wurdt (as de eout-buffer de drompel berikt), dat ynformaasje befettet oer de stream of QP dy't de oerlêst feroarsaket. De lêste wurdt brûkt om oan te jaan dat de RDMA-oerdracht in pakketferliesantwurdberjocht hat.
Litte wy sjen hoe't wy dizze twa berjochten kinne oerienkomme mei de útwreide list op ekspertnivo:
útwreide rdma foar tagongslist foar eksperten
tastean udp elke elke elke elke eq 4791udf 1 l4_header 8 0x8100 0xFF00(Oerienkommende RG-S6520-64CQ)
tastean udp elke elke elke elke eq 4791udf 1 l5_header 0 0x8100 0xFF00(Oerienkommende RG-S6510-48VS8CQ)
útwreide rdma foar tagongslist foar eksperten
tastean udp elke elke elke elke eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Oerienkommende RG-S6520-64CQ)
tastean udp elke elke elke elke eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Oerienkommende RG-S6510-48VS8CQ)
As lêste stap kinne jo de RDMA-sesje visualisearje troch de list mei ekspert-útwreidings yn it passende ERSPAN-proses te montearjen.
Skriuw yn 'e lêste
ERSPAN is ien fan 'e ûnmisbere ark yn 'e hieltyd gruttere datasintrumnetwurken fan hjoed, hieltyd komplekser netwurkferkear, en hieltyd ferfine easken foar netwurkoperaasje en ûnderhâld.
Mei de tanimmende mjitte fan O&M-automatisearring binne technologyen lykas Netconf, RESTconf en gRPC populêr ûnder O&M-studinten yn automatyske netwurk-O&M. It brûken fan gRPC as it ûnderlizzende protokol foar it weromstjoeren fan spegelferkear hat ek in protte foardielen. Bygelyks, basearre op it HTTP/2-protokol kin it it streaming-pushmeganisme ûnder deselde ferbining stypje. Mei ProtoBuf-kodearring wurdt de grutte fan ynformaasje mei de helte fermindere yn ferliking mei it JSON-formaat, wêrtroch gegevensoerdracht rapper en effisjinter wurdt. Stel jo gewoan foar, as jo ERSPAN brûke om ynteressearre streams te spegeljen en se dan nei de analyseserver op gRPC stjoere, sil it dan de mooglikheid en effisjinsje fan automatyske netwurkoperaasje en ûnderhâld sterk ferbetterje?
Pleatsingstiid: 10 maaie 2022
