Det vanligaste verktyget för nätverksövervakning och felsökning idag är Switch Port Analyzer (SPAN), även känd som portspegling. Det gör att vi kan övervaka nätverkstrafik i förbikoppling från bandläge utan att störa tjänster i live -nätverket och skickar en kopia av den övervakade trafiken till lokala eller fjärrenheter, inklusive sniffer, ID eller andra typer av nätverksanalysverktyg.
Vissa typiska användningsområden är:
• Felsöka nätverksproblem genom att spåra kontroll/dataramar;
• Analysera latens och jitter genom att övervaka VoIP -paket;
• Analysera latens genom att övervaka nätverksinteraktioner;
• Upptäck avvikelser genom att övervaka nätverkstrafik.
Span -trafik kan speglas lokalt till andra portar på samma källanordning, eller på fjärran speglas till andra nätverksenheter intill lager 2 i källanordningen (RSPAN).
Idag kommer vi att prata om fjärrtrafikövervakningsteknologi som kallas ERSPAN (inkapslad fjärromkopplare Port Analyzer) som kan överföras över tre IP -lager. Detta är en förlängning av span till inkapslad fjärrkontroll.
Grundläggande operationsprinciper för Erspan
Låt oss först ta en titt på Erspans funktioner:
• En kopia av paketet från källporten skickas till destinationsservern för att analysera genom generisk routinginkapsling (GRE). Den fysiska platsen för servern är inte begränsad.
• Med hjälp av det användardefinierade fältet (UDF) i chipet, utförs varje kompensation av 1 till 126 byte baserat på basdomänen genom den utökade listan på expertnivå, och sessionens nyckelord matchas för att inse visualiseringen av sessionen, till exempel TCP-tre-vägs handskakning och RDMA-session;
• Supportinställning av provtagningshastighet;
• Stödjer paketavlyssningslängd (paketskivning), vilket minskar trycket på målservern.
Med dessa funktioner kan du se varför ERSPAN är ett viktigt verktyg för att övervaka nätverk i datacenter idag.
Erspans huvudfunktioner kan sammanfattas i två aspekter:
• Sessionssynlighet: Använd ERSPAN för att samla in alla skapade nya TCP och Remote Direct Memory Access (RDMA) -sessioner till back-end-servern för display;
• Felsökning av nätverk: fångar nätverkstrafik för felanalys när ett nätverksproblem inträffar.
För att göra detta måste källnätverksenheten filtrera bort trafiken av intresse för användaren från den massiva dataströmmen, göra en kopia och kapslara varje kopieringsram till en speciell "superframe -behållare" som har tillräckligt med ytterligare information så att den kan dirigeras korrekt till den mottagande enheten. Dessutom gör det möjligt för mottagningsenheten att extrahera och återställa den ursprungliga övervakade trafiken.
Den mottagande enheten kan vara en annan server som stöder avkoppling av Erspan -paket.
ERSPAN -typen och paketformatanalysen
Erspan -paket är inkapslade med GRE och vidarebefordras till alla IP -adresserbara destinationer över Ethernet. Erspan används för närvarande huvudsakligen på IPv4 -nätverk, och IPv6 -stöd kommer att vara ett krav i framtiden.
För den allmänna kapslingsstrukturen för ERAPN är följande ett spegelpaketupptagning av ICMP -paket:
ERSPAN -protokollet har utvecklats under en lång tid, och med förbättringen av dess kapacitet har flera versioner bildats, kallade "Erspan -typer". Olika typer har olika ramhuvudformat.
Det definieras i det första versionfältet i ERSPAN -rubriken:
Dessutom indikerar fältet för protokolltyp i GRE -rubriken också den interna Erspan -typen. Fältet för protokolltyp 0x88BE indikerar ERSPAN typ II, och 0x22EB indikerar ERSPAN typ III.
1. Typ I
ERSPAN -ramen för typ I inkapslar IP och GRID direkt över huvudet på den ursprungliga spegelramen. Denna kapsling lägger till 38 byte över den ursprungliga ramen: 14 (MAC) + 20 (IP) + 4 (GRE). Fördelen med detta format är att det har en kompakt rubrikstorlek och minskar överföringskostnaderna. Eftersom den sätter GRE -flagga och versionfält till 0, bär det emellertid inga utökade fält och typ I används inte i stor utsträckning, så det finns inget behov av att expandera mer.
GRE -rubrikformatet för typ I är som följer:
2. Typ II
I typ II är C, R, K, S, S, återkommer, flaggor och versionfält i GRE -rubriken alla 0 utom S -fältet. Därför visas sekvensnummerfältet i GRE -rubriken av typ II. Det vill säga typ II kan säkerställa ordningen att ta emot GRE-paket, så att ett stort antal utanför beställningar av GRE-paket inte kan sorteras på grund av ett nätverksfel.
GRE -rubrikformatet för typ II är som följer:
Dessutom lägger ERSPAN-typ II-ramformatet till en 8-byte Erspan-rubrik mellan GRE-huvudet och den ursprungliga speglade ramen.
ERSPAN -rubrikformatet för typ II är som följer:
Slutligen, omedelbart efter den ursprungliga bildramen, är den vanliga 4-Byte Ethernet Cyclic Redundancy Check (CRC) -koden.
Det är värt att notera att spegelramen i implementeringen inte innehåller FCS -fältet för den ursprungliga ramen, istället beräknas ett nytt CRC -värde baserat på hela Erspan. Detta innebär att den mottagande enheten inte kan verifiera CRC -korrektheten i den ursprungliga ramen, och vi kan bara anta att endast okorrupta ramar speglas.
3. Typ III
Typ III introducerar en större och mer flexibel komposithuvud för att hantera allt mer komplexa och olika nätverksövervakningsscenarier, inklusive men inte begränsat till nätverkshantering, intrångsdetektering, prestanda och fördröjningsanalys och mer. Dessa scener måste känna till alla de ursprungliga parametrarna för spegelramen och inkluderar de som inte finns i själva ursprunget.
ERSPAN-typ III-komposithuvudet innehåller en obligatorisk 12-byte-rubrik och en valfri 8-byte-plattformsspecifik underhuvud.
ERSPAN -rubrikformatet för typ III är som följer:
Återigen, efter den ursprungliga spegelramen är en 4-byte CRC.
Som framgår av rubrikformatet för typ III, förutom att behålla VER-, VLAN-, COS-, T- och session -ID -fälten på grundval av typ II, läggs många specialfält, till exempel::
• BSO: Används för att indikera lastintegriteten för dataramar som transporteras genom ERSPAN. 00 är en bra ram, 11 är en dålig ram, 01 är en kort ram, 11 är en stor ram;
• Tidsstämpel: Exporteras från hårdvaruklockan synkroniserad med systemtiden. Detta 32-bitars fält stöder minst 100 mikrosekunder av tidsstämpel granularitet;
• Ramtyp (P) och ramtyp (FT): Den förstnämnda används för att specificera om Erpan bär Ethernet -protokollramar (PDU -ramar), och den senare används för att specificera om Erpan bär Ethernet -ramar eller IP -paket.
• HW ID: unik identifierare av ERSPAN -motorn i systemet;
• GRA (tidsstämpel granularitet): Anger tidsstämpelns granularitet. Till exempel representerar 00B 100 mikrosekund granularitet, 01b 100 nanosekund granularitet, 10b IEEE 1588 granularitet och 11b kräver plattformsspecifika underhuvuden för att uppnå högre granularitet.
• Platf ID kontra plattformsspecifik information: Platf Specific Info -fält har olika format och innehåll beroende på platf -ID -värde.
Det bör noteras att de olika rubrikfälten som stöds ovan kan användas i vanliga ERSPAN -applikationer, till och med spegla felramar eller BPDU -ramar, samtidigt som det ursprungliga stampaketet bibehålls och VLAN ID. Dessutom kan information om nyckeltidsstämpel och andra informationsfält läggas till varje ERSPAN -ram under spegling.
Med ERSPAN: s egna funktionsrubriker kan vi uppnå en mer förfinad analys av nätverkstrafik och sedan helt enkelt montera motsvarande ACL i ERSPAN -processen för att matcha nätverkstrafiken vi är intresserade av.
Erspan implementerar RDMA -sessionens synlighet
Låt oss ta ett exempel på att använda ERSPAN -teknik för att uppnå RDMA -sessionvisualisering i ett RDMA -scenario:
Rdma: Fjärrdirektminnesåtkomst gör det möjligt för nätverksadaptern för server A att läsa och skriva minnet på server B med hjälp av intelligenta nätverksgränssnittskort (INICS) och switchar, uppnå hög bandbredd, låg latens och låg resursanvändning. Det används ofta i big data och högpresterande distribuerade lagringsscenarier.
Rocev2: RDMA över konvergerad Ethernet version 2. RDMA -data är inkapslade i UDP -rubriken. Destinationsportnumret är 4791.
Daglig drift och underhåll av RDMA kräver att samla in mycket data, som används för att samla in dagliga referenslinjer för vattennivå och onormala larm, liksom grunden för att lokalisera onormala problem. I kombination med ERSPAN kan massiva data snabbt fångas för att erhålla data om avancering av mikrosekund och protokollinteraktionsstatus för växlingschipet. Genom datatatistik och analys kan RDMA-till-end-vidarebefordran av kvalitetsbedömning och förutsägelse erhållas.
För att uppnå visualisering av RDAM -session behöver vi ERSPAN för att matcha nyckelord för RDMA -interaktionssessioner när vi speglar trafik, och vi måste använda den expertlånga listan.
Expertnivå Extended List Matching Field Definition:
UDF består av fem fält: UDF -nyckelord, basfält, offsetfält, värdefält och maskfält. Begränsad av kapaciteten för hårdvaruposter kan totalt åtta UDF: er användas. En UDF kan matcha högst två byte.
• UDF -nyckelord: UDF1 ... UDF8 innehåller åtta nyckelord i UDF -matchningsdomänen
• Basfält: Identifierar startpositionen för UDF -matchningsfältet. Följande
L4_HEADER (tillämplig på RG-S6520-64CQ)
L5_header (för RG-S6510-48VS8CQ)
• Offset: Anger offset baserat på basfältet. Värdet sträcker sig från 0 till 126
• Värdefält: Matchningsvärde. Det kan användas tillsammans med maskfältet för att konfigurera det specifika värdet som ska matchas. Giltig bit är två byte
• Maskfält: Mask, giltig bit är två byte
(Lägg till: Om flera poster används i samma UDF -matchningsfält måste bas- och offsetfälten vara desamma.)
De två nyckelpaketen som är associerade med RDMA -sessionstatus är trängselmeddelandepaket (CNP) och negativt erkännande (NAK):
Den förstnämnda genereras av RDMA -mottagaren efter att ha mottagit ECN -meddelandet som skickas av Switch (när EOUT -bufferten når tröskeln), som innehåller information om flödet eller QP som orsakar trängsel. Det senare används för att indikera att RDMA -överföringen har ett svarsmeddelande för paketförlust.
Låt oss titta på hur du matchar dessa två meddelanden med hjälp av den utökade listan på expertnivå:
Expertåtkomstlista utökad RDMA
tillåta UDP någon annan EQ 4791UDF 1 L4_HEADER 8 0x8100 0xff00(Matchande RG-S6520-64CQ)
tillåta UDP någon annan EQ 4791UDF 1 l5_header 0 0x8100 0xff00(Matchande RG-S6510-48VS8CQ)
Expertåtkomstlista utökad RDMA
tillåta UDP någon annan EQ 4791UDF 1 L4_HEADER 8 0x1100 0xff00 UDF 2 L4_HEADER 20 0x6000 0xff00(Matchande RG-S6520-64CQ)
tillåta UDP någon annan EQ 4791UDF 1 L5_HEADER 0 0x1100 0xff00 UDF 2 L5_HEADER 12 0x6000 0xff00(Matchande RG-S6510-48VS8CQ)
Som ett sista steg kan du visualisera RDMA -sessionen genom att montera expertförlängningslistan i lämplig ERSPAN -process.
Skriv i det sista
ERSPAN är ett av de oundgängliga verktygen i dagens allt större datacenternätverk, alltmer komplex nätverkstrafik och alltmer sofistikerad nätverksdrift och underhållskrav.
Med den ökande graden av O & M -automatisering är tekniker som NetConf, RESTCONF och GRPC populära bland O & M -studenter i Network Automatic O&M. Att använda GRPC som det underliggande protokollet för att skicka tillbaka spegeltrafik har också många fördelar. Till exempel, baserat på HTTP/2 -protokollet, kan det stödja streaming push -mekanismen under samma anslutning. Med ProtoBUF -kodning reduceras storleken på informationen med hälften jämfört med JSON -format, vilket gör dataöverföring snabbare och effektivare. Föreställ dig, om du använder ERSPAN för att spegla intresserade strömmar och sedan skicka dem till analysservern på GRPC, kommer det att förbättra förmågan och effektiviteten i nätverks automatisk drift och underhåll?
Posttid: maj-10-2022
