Das häufigste Tool für die heutige Netzwerküberwachung und Fehlerbehebung ist der Switch Port Analyzer (SPAN), auch als Port -Spiegelung bekannt. Es ermöglicht uns, den Netzwerkverkehr in Bypass außerhalb des Bandmodus zu überwachen, ohne die Dienste im Live -Netzwerk zu stören, und sendet eine Kopie des überwachten Datenverkehrs an lokale oder entfernte Geräte, einschließlich Sniffer, IDs oder anderen Arten von Netzwerkanalysetools.
Einige typische Verwendungen sind:
• Fehlerbehebung mit Netzwerkproblemen durch Verfolgung von Steuer-/Datenrahmen;
• Latenz und Jitter analysieren, indem Sie VoIP -Pakete überwachen.
• Latenz analysieren, indem die Netzwerkinteraktionen überwacht werden;
• Erkennen Sie Anomalien durch Überwachung des Netzwerkverkehrs.
Der Spannverkehr kann lokal auf andere Ports auf demselben Quellgerät oder auf andere Netzwerkgeräte, die an Layer 2 des Quellgeräts (RSPAN) angrenzend sind, ausgedehnt werden.
Heute werden wir über die Remote -Internet -Verkehrsüberwachungstechnologie als ERSPAN (eingekapselter Remote Switch Port Analyzer) sprechen, die über drei IP -Schichten übertragen werden können. Dies ist eine Erweiterung der Spannweite auf die eingekapselte Fernbedienung.
Grundlagenprinzipien von ERSPAN
Schauen wir uns zunächst die Funktionen von ERSPAN an:
• Eine Kopie des Pakets aus dem Quellport wird an den Zielserver gesendet, um über Generic Routing Enkapselung (GRE) zu analysieren. Der physische Standort des Servers ist nicht eingeschränkt.
• Mit Hilfe der UDF-Funktion (User Defined Field) des Chips wird ein Versatz von 1 bis 126 Bytes basierend auf der Basisdomäne über die Expertenliste auf Expertenebene durchgeführt, und die Keywords der Sitzung werden mit der Visualisierung der Sitzung wie der TCP-Drei-Wege-Handshake- und RDMA-Sitzung übereinstimmen.
• Unterstützung der Einstellung der Abtastrate;
• Unterstützt die Länge der Paketabfangen (Paketschneide) und verringert den Druck auf den Zielserver.
Mit diesen Funktionen können Sie sehen, warum ERSPAN heute ein wesentliches Instrument zur Überwachung von Netzwerken in Rechenzentren ist.
Die Hauptfunktionen von ERSPAN können in zwei Aspekten zusammengefasst werden:
• Sichtbarkeit der Sitzung: Verwenden Sie ERSPAN, um alle erstellten neuen TCP- und Remote-Direktspeicherzugriffs-Sitzungen (RDMA) auf den Back-End-Server für die Anzeige zu sammeln.
• Fehlerbehebung für Netzwerk: Erfasst den Netzwerkverkehr für die Fehleranalyse, wenn ein Netzwerkproblem auftritt.
Zu diesem Zweck muss das Quellnetzwerkgerät den für den Benutzer interessierenden Datenverkehr aus dem massiven Datenstrom herausfiltern, eine Kopie erstellen und jeden Kopierrahmen in einen speziellen "Superframe -Container" zusammenfassen, der genügend zusätzliche Informationen übernimmt, damit er korrekt an das Empfangsgerät weitergeleitet werden kann. Ermöglichen Sie außerdem das Empfangsgerät, den ursprünglichen überwachten Verkehr zu extrahieren und vollständig wiederherzustellen.
Das empfangende Gerät kann ein weiterer Server sein, der die dekulativen ERSPAN -Pakete unterstützt.
Die ERSPAN -Typ- und Paketformatanalyse
ERSPAN -Pakete werden mit GRE eingekapselt und an ein beliebiges IP -adressierbares Ziel über Ethernet weitergeleitet. ERSPAN wird derzeit hauptsächlich in IPv4 -Netzwerken verwendet, und die Unterstützung von IPv6 wird in Zukunft eine Voraussetzung sein.
Für die allgemeine Einkapselungsstruktur von ERSAPN ist Folgendes eine Spiegelpaketaufnahme von ICMP -Paketen:
Das ERSPAN -Protokoll hat sich über einen langen Zeitraum entwickelt, und mit der Verbesserung seiner Fähigkeiten wurden mehrere Versionen gebildet, die als "ERSPAN -Typ" bezeichnet werden. Verschiedene Typen haben unterschiedliche Rahmenheaderformate.
Es ist im Feld der ersten Version des ERSPAN -Headers definiert:
Darüber hinaus gibt das Feld des Protokollyps im GRE -Header auch den internen ERSPAN -Typ an. Das Feld des Protokollyps 0x88Be zeigt den ERSPAN -Typ II an und 0x22EB zeigt den ERSPAN -Typ III an.
1. Typ I
Der ERSPAN -Rahmen vom Typ I enthält IP und GRE direkt über den Header des ursprünglichen Spiegelrahmens. Diese Kapselung fügt 38 Bytes über den ursprünglichen Frame hinzu: 14 (MAC) + 20 (IP) + 4 (GRE). Der Vorteil dieses Formats besteht darin, dass es eine kompakte Headergröße hat und die Kosten für die Übertragung verringert. Da es jedoch die Felder von GRE -Flag- und Versionsfeldern auf 0 setzt, wird keine erweiterten Felder und Typ I nicht weit verbreitet, sodass nicht mehr erweitert werden muss.
Das Gre -Header -Format vom Typ I ist wie folgt:
2. Typ II
In Typ II sind die Felder C, R, K, S, S, Recur, Flags und Versionsfelder im GRE -Header alle 0, außer dem S -Feld. Daher wird das Feld der Sequenznummer im GRE -Header des Typs II angezeigt. Das heißt, Typ II kann die Reihenfolge der Empfangs-GRE-Pakete sicherstellen, so dass eine große Anzahl außerhalb der Bestellungs-GRE-Pakete aufgrund eines Netzwerkfehlers nicht sortiert werden kann.
Das Gre -Header -Format vom Typ II ist wie folgt:
Darüber hinaus fügt das ERSpan Typ II-Frame-Format einen 8-Byte-ERspan-Header zwischen dem GRE-Header und dem ursprünglichen Spiegelrahmen hinzu.
Das ERSPAN -Header -Format für Typ II lautet wie folgt:
Unmittelbar nach dem Originalbildrahmen befindet sich der Standard-CRC-Code (4-Byte-Ethernet-Cyclic Redundancy Check).
Es ist erwähnenswert, dass der Spiegelrahmen in der Implementierung nicht das FCS -Feld des ursprünglichen Frame enthält, statt auf der Grundlage des gesamten ERSPAN wird ein neuer CRC -Wert neu berechnet. Dies bedeutet, dass das Empfangsgerät die CRC -Korrektheit des ursprünglichen Rahmens nicht überprüfen kann, und wir können nur annehmen, dass nur nicht korrumpierte Frames gespiegelt werden.
3. Typ III
Typ III führt einen größeren und flexibleren zusammengesetzten Header ein, um zunehmend komplexe und vielfältige Netzwerküberwachungsszenarien zu beheben, einschließlich, aber nicht beschränkt auf Netzwerkmanagement, Intrusionserkennung, Leistung und Verzögerungsanalyse und vieles mehr. Diese Szenen müssen alle ursprünglichen Parameter des Spiegelrahmens kennen und diejenigen enthalten, die nicht im Originalrahmen selbst vorhanden sind.
Der Komposit-Header vom ERSPAN-Typ III enthält einen obligatorischen 12-Byte-Header und einen optionalen 8-Byte-plattformspezifischen Unterheader.
Das ERSPAN -Header -Format für Typ III lautet wie folgt:
Wiederum nach dem ursprünglichen Spiegelrahmen ein 4-Byte-CRC.
Wie aus dem Header -Format vom Typ III ersichtlich, zusätzlich zur Aufbewahrung der Felder ver, VLAN, COS, T und Sitzung auf der Grundlage des Typs II werden viele spezielle Felder hinzugefügt, wie z.
• BSO: Wird verwendet, um die Lastintegrität von Datenrahmen anzuzeigen, die über ERSPAN getragen werden. 00 ist ein guter Rahmen, 11 ist ein schlechter Rahmen, 01 ist ein kurzer Rahmen, 11 ist ein großer Rahmen;
• Zeitstempel: Aus der mit der Systemzeit synchronisierten Hardwareuhr exportiert. Dieses 32-Bit-Feld unterstützt mindestens 100 Mikrosekunden mit Zeitstempelgranularität;
• Rahmentyp (P) und Rahmentyp (FT): Ersteres wird verwendet, um festzustellen, ob ERSPAN Ethernet -Protokollrahmen (PDU -Rahmen) trägt, und mit letzterem wird angeben, ob ERSPAN Ethernet -Rahmen oder IP -Pakete trägt.
• HW -ID: Eindeutige Kennung des ERSPAN -Motors innerhalb des Systems;
• GRA (Zeitstempelgranularität): Gibt die Granularität des Zeitstempels an. Beispielsweise repräsentiert 00B 100 Mikrosekunden-Granularität, 01b 100 Nanosekundenkörnchen, 10B IEEE 1588-Granularität und 11b benötigt plattformspezifische Unterhader, um eine höhere Granularität zu erzielen.
• STATF -ID vs. Plattformspezifische Informationen: PlATF -Spezifische Infiele haben je nach PlATF -ID -Wert unterschiedliche Formate und Inhalte.
Es ist zu beachten, dass die verschiedenen oben unterstützten Headerfelder in regelmäßigen ERSPAN -Anwendungen verwendet werden können, sogar in Spiegelfehlerrahmen oder BPDU -Rahmen, während das ursprüngliche Trunk -Paket und die VLAN -ID beibehalten wird. Darüber hinaus können bei jedem ERSPAN -Rahmen während der Spiegelung wichtige Zeitstempelinformationen und andere Informationsfelder hinzugefügt werden.
Mit den eigenen Feature -Headern von ERSPAN können wir eine raffiniertere Analyse des Netzwerkverkehrs erreichen und dann einfach die entsprechende ACL im ERSPAN -Prozesse montieren, um dem Netzwerkverkehr zu entsprechen, an dem wir interessiert sind.
Erspan implementiert die Sichtbarkeit von RDMA -Sitzungen
Nehmen wir ein Beispiel für die Verwendung der ERSPAN -Technologie, um die Visualisierung der RDMA -Sitzung in einem RDMA -Szenario zu erreichen:
RDMA: Remote Direct Memory Access ermöglicht dem Netzwerkadapter von Server A, den Speicher von Server B zu lesen und zu schreiben, indem intelligente Netzwerk -Schnittstellenkarten (INICs) und Switches verwendet werden, wodurch hohe Bandbreite, niedrige Latenz und Nutzungsauslastung mit geringer Ressourcen erreicht werden. Es wird häufig in Big Data und Hochleistungsverteilungsszenarien verwendet.
Rocev2: RDMA über konvergierter Ethernet -Version 2. Die RDMA -Daten werden im UDP -Header eingekapselt. Die Zielportnummer beträgt 4791.
Der tägliche Betrieb und die Wartung von RDMA erfordert das Sammeln von vielen Daten, mit denen tägliche Referenzlinien und abnormale Alarme sammeln, sowie die Grundlage für die Lokalisierung abnormaler Probleme. In Kombination mit ERSPAN können massive Daten schnell erfasst werden, um die Qualitätsdaten für Mikrosekunden und den Protokoll -Interaktionsstatus des Schaltchips zu erhalten. Durch Datenstatistik und -analyse kann die Qualitätsbewertung und Vorhersage von RDMA-End-to-End-Weiterleitung erhalten werden.
Um die Visualisierung der RDAM -Sitzung zu erreichen, müssen ERSPAN bei der Spiegelung des Verkehrs die Keywords für RDMA -Interaktionssitzungen entsprechen, und wir müssen die Expertenliste verwenden.
Expertenliste für Expertenlisten Matching Field Field Definition:
Das UDF besteht aus fünf Feldern: UDF -Schlüsselwort, Basisfeld, Offset -Feld, Wertfeld und Maskenfeld. Begrenzt durch die Kapazität von Hardwareeinträgen können insgesamt acht UDFs verwendet werden. Ein UDF kann maximal zwei Bytes entsprechen.
• UDF -Schlüsselwort: UDF1 ... UDF8 enthält acht Schlüsselwörter der UDF -Matching -Domäne
• Basisfeld: Identifiziert die Startposition des UDF -Matching -Feldes. Die folgende
L4_Header (anwendbar für RG-S6520-64CQ)
L5_Header (für RG-S6510-48VS8CQ)
• Offset: Gibt den Offset an, der auf dem Basisfeld basiert. Der Wert reicht von 0 bis 126
• Wertfeld: Übereinstimmungswert. Es kann zusammen mit dem Maskenfeld verwendet werden, um den spezifischen Wert zu konfigurieren, der übereinstimmt. Das gültige Bit ist zwei Bytes
• Maskenfeld: Maske, gültiges Bit ist zwei Bytes
(Hinzufügen: Wenn im selben UDF -Matching -Feld mehrere Einträge verwendet werden, müssen die Felder der Basis- und Offset gleich sein.)
Die beiden mit dem RDMA -Sitzungsstatus zugeordneten Schlüsselpakete sind Stauungsmeldungspaket (CNP) und negative Anerkennung (NAK):
Ersteres wird vom RDMA -Empfänger erzeugt, nachdem er die vom Switch gesendete ECN -Nachricht erhalten hat (wenn der EOUT -Puffer den Schwellenwert erreicht), der Informationen über den Fluss oder die QP enthält, die Stauungen verursachen. Letzteres wird verwendet, um anzugeben, dass das RDMA -Übertragung eine Paketverlust -Antwortnachricht hat.
Schauen wir uns an, wie Sie diese beiden Nachrichten mit der Expertenliste auf Expertenebene übereinstimmen:
Experten-Zugangsliste erweiterte RDMA
Erlauben Sie UDP irgendwelche einen beliebigen EQ 4791UDF 1 L4_Header 8 0x8100 0xff00(Matching RG-S6520-64CQ)
Erlauben Sie UDP irgendwelche einen beliebigen EQ 4791UDF 1 L5_Header 0 0x8100 0xff00(Matching RG-S6510-48VS8CQ)
Experten-Zugangsliste erweiterte RDMA
Erlauben Sie UDP irgendwelche einen beliebigen EQ 4791UDF 1 L4_Header 8 0x1100 0xff00 UDF 2 L4_Header 20 0x6000 0xff00(Matching RG-S6520-64CQ)
Erlauben Sie UDP irgendwelche einen beliebigen EQ 4791UDF 1 L5_Header 0 0x1100 0xff00 UDF 2 L5_Header 12 0x6000 0xff00(Matching RG-S6510-48VS8CQ)
Als letzter Schritt können Sie die RDMA -Sitzung visualisieren, indem Sie die Expertenerweiterungsliste in den entsprechenden ERSPAN -Prozess befestigen.
In der letzten schreiben
ERSPAN ist eines der unverzichtbaren Tools in den zunehmend großen Rechenzentrumsnetzwerken, zunehmend komplexerem Netzwerkverkehr und zunehmend ausgefeilteren Netzwerkbetriebs- und Wartungsanforderungen.
Mit dem zunehmenden Grad der O & M -Automatisierung sind Technologien wie NetConf, RestConf und GRPC bei O & M -Schülern in der automatischen Netzwerk -O & M beliebt. Die Verwendung von GRPC als zugrunde liegendes Protokoll zum Rücksenden des Spiegelverkehrs hat auch viele Vorteile. Basierend auf dem HTTP/2 -Protokoll kann es beispielsweise den Streaming -Push -Mechanismus unter derselben Verbindung unterstützen. Bei der Protobuf -Codierung wird die Informationsgröße im Vergleich zum JSON -Format um die Hälfte reduziert, wodurch die Datenübertragung schneller und effizienter wird. Stellen Sie sich vor, Sie verbessern die Fähigkeit und Effizienz des automatischen Netzwerkbetriebs und der Wartung, wenn Sie ERSPAN verwenden, um interessierte Streams zu spiegeln und sie dann an den Analyseserver auf GRPC zu senden?
Postzeit: Mai-10-2022