L'eina més comuna per a la supervisió i la resolució de problemes de xarxa actualment és Switch Port Analyzer (SPAN), també conegut com a Port mirroring. Ens permet supervisar el trànsit de xarxa en mode de bypass fora de banda sense interferir amb els serveis de la xarxa en directe i envia una còpia del trànsit supervisat a dispositius locals o remots, com ara Sniffer, IDS o altres tipus d'eines d'anàlisi de xarxa.
Alguns usos típics són:
• Resolució de problemes de xarxa mitjançant el seguiment de trames de control/dades;
• Analitzar la latència i el jitter monitoritzant els paquets VoIP;
• Analitzar la latència monitoritzant les interaccions de xarxa;
• Detectar anomalies monitoritzant el trànsit de xarxa.
El trànsit SPAN es pot duplicar localment a altres ports del mateix dispositiu d'origen o duplicar remotament a altres dispositius de xarxa adjacents a la capa 2 del dispositiu d'origen (RSPAN).
Avui parlarem de la tecnologia de monitorització remota del trànsit d'Internet anomenada ERSPAN (Encapsulated Remote Switch Port Analyzer) que es pot transmetre a través de tres capes d'IP. Aquesta és una extensió de SPAN a Encapsulated Remote.
Principis bàsics de funcionament d'ERSPAN
Primer, fem una ullada a les característiques d'ERSPAN:
• Una còpia del paquet des del port d'origen s'envia al servidor de destinació per analitzar-lo mitjançant l'encapsulació d'encaminament genèric (GRE). La ubicació física del servidor no està restringida.
• Amb l'ajuda de la funció Camp definit per l'usuari (UDF) del xip, qualsevol desplaçament d'1 a 126 bytes es realitza en funció del domini base a través de la llista estesa de nivell expert, i les paraules clau de sessió es combinen per realitzar la visualització de la sessió, com ara la sessió de tres vies TCP i la sessió RDMA;
• Suport per configurar la freqüència de mostreig;
• Admet la longitud d'intercepció de paquets (Packet Slicing), reduint la pressió sobre el servidor de destinació.
Amb aquestes característiques, podeu veure per què ERSPAN és una eina essencial per monitoritzar xarxes dins de centres de dades actuals.
Les principals funcions d'ERSPAN es poden resumir en dos aspectes:
• Visibilitat de la sessió: utilitzeu ERSPAN per recopilar totes les sessions TCP i d'accés directe a memòria remot (RDMA) creades al servidor backend per visualitzar-les;
• Resolució de problemes de xarxa: captura el trànsit de xarxa per a l'anàlisi d'errors quan es produeix un problema de xarxa.
Per fer això, el dispositiu de xarxa d'origen ha de filtrar el trànsit d'interès per a l'usuari del flux massiu de dades, fer una còpia i encapsular cada fotograma de còpia en un "contenidor de superfotogrames" especial que contingui prou informació addicional perquè es pugui encaminar correctament al dispositiu receptor. A més, permetre que el dispositiu receptor extregui i recuperi completament el trànsit monitoritzat original.
El dispositiu receptor pot ser un altre servidor que admeti la decapsulació de paquets ERSPAN.
L'anàlisi de tipus i format de paquet ERSPAN
Els paquets ERSPAN s'encapsulen mitjançant GRE i es reenvien a qualsevol destinació amb adreça IP a través d'Ethernet. Actualment, ERSPAN s'utilitza principalment en xarxes IPv4 i el suport per a IPv6 serà un requisit en el futur.
Per a l'estructura d'encapsulació general d'ERSAPN, la següent és una captura de paquets mirall de paquets ICMP:
El protocol ERSPAN s'ha desenvolupat durant un llarg període de temps i, amb la millora de les seves capacitats, s'han format diverses versions, anomenades "Tipus ERSPAN". Els diferents tipus tenen diferents formats de capçalera de trama.
Es defineix al primer camp Version de la capçalera ERSPAN:
A més, el camp Tipus de protocol a la capçalera GRE també indica el tipus ERSPAN intern. El camp Tipus de protocol 0x88BE indica el tipus ERSPAN II i 0x22EB indica el tipus ERSPAN III.
1. Tipus I
La trama ERSPAN de tipus I encapsula IP i GRE directament sobre la capçalera de la trama de mirall original. Aquesta encapsulació afegeix 38 bytes sobre la trama original: 14 (MAC) + 20 (IP) + 4 (GRE). L'avantatge d'aquest format és que té una mida de capçalera compacta i redueix el cost de transmissió. Tanmateix, com que estableix els camps GRE Flag i Version a 0, no conté cap camp estès i el tipus I no s'utilitza àmpliament, per la qual cosa no cal expandir-lo més.
El format de la capçalera GRE de Tipus I és el següent:
2. Tipus II
En el Tipus II, els camps C, R, K, S, S, Recur, Flags i Version de la capçalera GRE són tots 0 excepte el camp S. Per tant, el camp Número de seqüència es mostra a la capçalera GRE del Tipus II. És a dir, el Tipus II pot garantir l'ordre de recepció dels paquets GRE, de manera que un gran nombre de paquets GRE fora d'ordre no es puguin ordenar a causa d'un error de xarxa.
El format de la capçalera GRE de Tipus II és el següent:
A més, el format de trama ERSPAN de tipus II afegeix una capçalera ERSPAN de 8 bytes entre la capçalera GRE i la trama duplicada original.
El format de la capçalera ERSPAN per al Tipus II és el següent:
Finalment, immediatament després del fotograma d'imatge original, hi ha el codi estàndard de comprovació de redundància cíclica (CRC) d'Ethernet de 4 bytes.
Val a dir que en la implementació, el marc de mirall no conté el camp FCS del marc original, sinó que es recalcula un nou valor CRC basat en tot l'ERSPAN. Això significa que el dispositiu receptor no pot verificar la correcció del CRC del marc original i només podem assumir que només es mirin els marcs no corruptes.
3. Tipus III
El tipus III introdueix una capçalera composta més gran i flexible per abordar escenaris de monitorització de xarxa cada cop més complexos i diversos, incloent-hi, entre d'altres, la gestió de xarxa, la detecció d'intrusions, l'anàlisi de rendiment i retard, i més. Aquestes escenes necessiten conèixer tots els paràmetres originals del marc del mirall i incloure els que no són presents al marc original.
La capçalera composta ERSPAN Tipus III inclou una capçalera obligatòria de 12 bytes i una subcapçalera opcional de 8 bytes específica de la plataforma.
El format de la capçalera ERSPAN per al Tipus III és el següent:
De nou, després del marc del mirall original hi ha un CRC de 4 bytes.
Com es pot veure en el format de capçalera del Tipus III, a més de conservar els camps Ver, VLAN, COS, T i Session ID sobre la base del Tipus II, s'afegeixen molts camps especials, com ara:
• BSO: s'utilitza per indicar la integritat de càrrega de les trames de dades transportades a través d'ERSPAN. 00 és una trama bona, 11 és una trama dolenta, 01 és una trama curta, 11 és una trama gran;
• Marca de temps: exportada des del rellotge del maquinari sincronitzat amb l'hora del sistema. Aquest camp de 32 bits admet almenys 100 microsegons de granularitat de marca de temps;
• Tipus de trama (P) i Tipus de trama (FT): el primer s'utilitza per especificar si ERSPAN transporta trames de protocol Ethernet (trames PDU) i el segon s'utilitza per especificar si ERSPAN transporta trames Ethernet o paquets IP.
• HW ID: identificador únic del motor ERSPAN dins del sistema;
• Gra (Granularitat de la marca de temps): especifica la granularitat de la marca de temps. Per exemple, 00B representa una granularitat de 100 microsegons, 01B una granularitat de 100 nanosegons, 10B una granularitat IEEE 1588 i 11B requereix subcapçalaments específics de la plataforma per aconseguir una granularitat més alta.
• ID de plataforma vs. informació específica de la plataforma: els camps d'informació específica de la plataforma tenen formats i continguts diferents segons el valor de l'ID de plataforma.
Cal destacar que els diversos camps d'encapçalament compatibles anteriorment es poden utilitzar en aplicacions ERSPAN normals, fins i tot en la creació de rèplica de trames d'error o trames BPDU, tot mantenint el paquet Trunk original i l'ID VLAN. A més, es pot afegir informació de marca de temps clau i altres camps d'informació a cada trama ERSPAN durant la creació de rèplica.
Amb les capçaleres de funcions pròpies d'ERSPAN, podem aconseguir una anàlisi més refinada del trànsit de xarxa i, a continuació, simplement muntar l'ACL corresponent al procés ERSPAN perquè coincideixi amb el trànsit de xarxa que ens interessa.
ERSPAN implementa la visibilitat de sessió RDMA
Prenguem un exemple d'ús de la tecnologia ERSPAN per aconseguir la visualització de sessions RDMA en un escenari RDMA:
RDMAL'accés directe a memòria remot permet que l'adaptador de xarxa del servidor A llegeixi i escrigui a la memòria del servidor B mitjançant targetes d'interfície de xarxa intel·ligents (inics) i commutadors, aconseguint un ample de banda elevat, una latència baixa i una baixa utilització de recursos. S'utilitza àmpliament en escenaris de big data i emmagatzematge distribuït d'alt rendiment.
RoCEv2RDMA sobre Ethernet convergent versió 2. Les dades RDMA estan encapsulades a la capçalera UDP. El número de port de destinació és 4791.
El funcionament i el manteniment diaris de l'RDMA requereixen la recopilació de moltes dades, que s'utilitzen per recopilar línies de referència del nivell de l'aigua diàries i alarmes anormals, així com la base per localitzar problemes anormals. Combinat amb ERSPAN, es poden capturar dades massives ràpidament per obtenir dades de qualitat de reenviament de microsegons i l'estat d'interacció del protocol del xip de commutació. Mitjançant estadístiques i anàlisi de dades, es pot obtenir una avaluació i predicció de la qualitat de reenviament d'extrem a extrem de l'RDMA.
Per aconseguir la visualització de sessions RDAM, necessitem que ERSPAN coincideixi amb les paraules clau de les sessions d'interacció RDMA en duplicar el trànsit, i necessitem utilitzar la llista estesa d'experts.
Definició del camp de coincidència de llista ampliada a nivell d'expert:
La UDF consta de cinc camps: paraula clau UDF, camp base, camp offset, camp valor i camp màscara. Limitada per la capacitat de les entrades de maquinari, es poden utilitzar un total de vuit UDF. Una UDF pot coincidir amb un màxim de dos bytes.
• Paraula clau UDF: UDF1... UDF8 Conté vuit paraules clau del domini coincident de la UDF
• Camp base: identifica la posició inicial del camp coincident UDF. El següent
L4_header (aplicable a RG-S6520-64CQ)
L5_header (per a RG-S6510-48VS8Cq)
• Desplaçament: indica el desplaçament basat en el camp base. El valor oscil·la entre 0 i 126
• Camp de valor: valor coincident. Es pot utilitzar juntament amb el camp de màscara per configurar el valor específic que s'ha de coincidir. El bit vàlid és de dos bytes.
• Camp de màscara: màscara, el bit vàlid és de dos bytes
(Afegir: Si s'utilitzen diverses entrades al mateix camp de coincidència UDF, els camps base i offset han de ser els mateixos.)
Els dos paquets clau associats amb l'estat de la sessió RDMA són el paquet de notificació de congestió (CNP) i el reconeixement negatiu (NAK):
El primer el genera el receptor RDMA després de rebre el missatge ECN enviat pel commutador (quan el buffer eout arriba al llindar), que conté informació sobre el flux o QP que causa congestió. El segon s'utilitza per indicar que la transmissió RDMA té un missatge de resposta de pèrdua de paquets.
Vegem com podem fer coincidir aquests dos missatges utilitzant la llista ampliada de nivell expert:
RDMA ampliat de llista d'accés d'experts
permetre udp qualsevol qualsevol qualsevol qualsevol eq 4791udf 1 l4_header 8 0x8100 0xFF00(Coincidència RG-S6520-64CQ)
permetre udp qualsevol qualsevol qualsevol qualsevol eq 4791udf 1 l5_header 0 0x8100 0xFF00(Coincidència RG-S6510-48VS8CQ)
RDMA ampliat de llista d'accés d'experts
permetre udp qualsevol qualsevol qualsevol qualsevol eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Coincidència RG-S6520-64CQ)
permetre udp qualsevol qualsevol qualsevol qualsevol eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Coincidència RG-S6510-48VS8CQ)
Com a pas final, podeu visualitzar la sessió RDMA muntant la llista d'extensions expertes al procés ERSPAN adequat.
Escriu a l'últim
ERSPAN és una de les eines indispensables en les xarxes de centres de dades actuals, cada cop més grans, amb un trànsit de xarxa cada cop més complex i amb requisits d'operació i manteniment de xarxa cada cop més sofisticats.
Amb el grau creixent d'automatització d'O&M, tecnologies com Netconf, RESTconf i gRPC són populars entre els estudiants d'O&M en O&M automàtic de xarxes. L'ús de gRPC com a protocol subjacent per enviar trànsit de mirall també té molts avantatges. Per exemple, basat en el protocol HTTP/2, pot admetre el mecanisme de push de streaming sota la mateixa connexió. Amb la codificació ProtoBuf, la mida de la informació es redueix a la meitat en comparació amb el format JSON, fent que la transmissió de dades sigui més ràpida i eficient. Imagineu-vos, si utilitzeu ERSPAN per reflectir els fluxos interessats i després els envieu al servidor d'anàlisi a gRPC, millorarà considerablement la capacitat i l'eficiència de l'operació i el manteniment automàtics de la xarxa?
Data de publicació: 10 de maig de 2022
