A ferramenta mais comum para monitoramento de rede e solução de problemas hoje é o Switch Port Analyzer (SPAN), também conhecido como espelhamento da porta. Ele nos permite monitorar o tráfego de rede em desvio do modo de banda sem interferir nos serviços na rede ao vivo e envia uma cópia do tráfego monitorado para dispositivos locais ou remotos, incluindo sniffer, IDs ou outros tipos de ferramentas de análise de rede.
Alguns usos típicos são:
• Solucionar problemas de rede rastreando quadros de controle/dados;
• Analisar a latência e o jitter monitorando pacotes VoIP;
• Analisar a latência monitorando as interações da rede;
• Detectar anomalias monitorando o tráfego da rede.
O tráfego de span pode ser refletido localmente em outras portas no mesmo dispositivo de origem, ou refletido remotamente para outros dispositivos de rede adjacentes à camada 2 do dispositivo de origem (RSPAN).
Hoje vamos falar sobre a tecnologia remota de monitoramento de tráfego da Internet chamada ErsPAN (Analisador de porta de interruptor remoto encapsulado) que pode ser transmitido em três camadas de IP. Esta é uma extensão do período para o controle remoto encapsulado.
Princípios básicos de operação de erspan
Primeiro, vamos dar uma olhada nos recursos de Erspan:
• Uma cópia do pacote da porta de origem é enviada ao servidor de destino para analisar através do encapsulamento genérico de roteamento (GRE). A localização física do servidor não é restrita.
• Com a ajuda do recurso de campo definido pelo usuário (UDF) do chip, qualquer deslocamento de 1 a 126 bytes é realizado com base no domínio base através da lista estendida de nível de especialista, e as palavras-chave da sessão são correspondidas para realizar a visualização da sessão, como a sessão de handshake e RDMA da TCP;
• Taxa de amostragem de configuração de suporte;
• Suporta o comprimento da interceptação de pacotes (corte de pacotes), reduzindo a pressão no servidor de destino.
Com esses recursos, você pode ver por que o Erspan é uma ferramenta essencial para monitorar as redes dentro dos data centers hoje.
As principais funções de Erspan podem ser resumidas em dois aspectos:
• Visibilidade da sessão: use o ERSPAN para coletar todas as novas sessões do TCP e RDMA (Remote Direct Memory Access) no servidor de back-end para exibição;
• Solução de problemas de rede: captura o tráfego de rede para análise de falhas quando ocorre um problema de rede.
Para fazer isso, o dispositivo de rede de origem precisa filtrar o tráfego de interesse para o usuário do enorme fluxo de dados, fazer uma cópia e encapsular cada quadro de cópia em um "contêiner de superframe" especial que transporta informações adicionais suficientes para que possa ser roteado corretamente para o dispositivo de recebimento. Além disso, permita que o dispositivo receptor extraia e recupere totalmente o tráfego monitorado original.
O dispositivo de recebimento pode ser outro servidor que suporta pacotes de decapsulação ERSPAN.
A análise de formato do tipo Erspan e pacote
Os pacotes erspan são encapsulados usando o GRE e encaminhados para qualquer destino endereçável IP sobre Ethernet. Atualmente, a Erspan é usada principalmente em redes IPv4 e o suporte IPv6 será um requisito no futuro.
Para a estrutura geral de encapsulamento da ERSAPN, a seguir é uma captura de pacotes de pacote de espelho de pacotes ICMP:
O Protocolo Erspan se desenvolveu por um longo período de tempo e, com o aprimoramento de seus recursos, várias versões foram formadas, chamadas "Tipos Erspan". Tipos diferentes têm diferentes formatos de cabeçalho de quadros.
É definido no campo da primeira versão do cabeçalho Erspan:
Além disso, o campo do tipo protocolo no cabeçalho GRE também indica o tipo interno de erspan. O campo do tipo de protocolo 0x88be indica erspan tipo II e 0x22Eb indica erspan tipo III.
1. Tipo I.
O quadro Erspan do tipo I encapsula IP e GRE diretamente sobre o cabeçalho do quadro de espelho original. Esse encapsulamento adiciona 38 bytes sobre o quadro original: 14 (MAC) + 20 (IP) + 4 (GRE). A vantagem desse formato é que ele possui um tamanho de cabeçalho compacto e reduz o custo da transmissão. No entanto, como define os campos de bandeira GRE e versão para 0, ele não carrega campos estendidos e o tipo I não é amplamente utilizado, portanto, não há necessidade de expandir mais.
O formato do cabeçalho GRE do tipo I é o seguinte:
2. Tipo II
No Tipo II, os campos C, R, K, S, S, Recur, Sinalizadores e Versões no cabeçalho GRE são todos 0, exceto o campo S. Portanto, o campo Número da sequência é exibido no cabeçalho GRE do Tipo II. Ou seja, o Tipo II pode garantir que a ordem de recebimento de pacotes GRE, para que um grande número de pacotes GRE fora de ordem não possa ser classificado devido a uma falha de rede.
O formato de cabeçalho GRE do tipo II é o seguinte:
Além disso, o formato da estrutura Erspan tipo II adiciona um cabeçalho de 8 bytes Erspan entre o cabeçalho GRE e a estrutura espelhada original.
O formato de cabeçalho Erspan para o Tipo II é o seguinte:
Finalmente, imediatamente após o quadro de imagem original, está o código de verificação de redundância cíclica (CRC) padrão de 4 bytes.
Vale ressaltar que, na implementação, o quadro espelho não contém o campo FCS do quadro original; em vez disso, um novo valor de CRC é recalculado com base em todo o Erspan. Isso significa que o dispositivo receptor não pode verificar a correção do CRC do quadro original e só podemos assumir que apenas os quadros não corrompidos são espelhados.
3. Tipo III
O tipo III apresenta um cabeçalho composto maior e mais flexível para abordar cenários de monitoramento de rede cada vez mais complexos e diversos, incluindo, entre outros, gerenciamento de rede, detecção de intrusões, desempenho e análise de atraso e muito mais. Essas cenas precisam conhecer todos os parâmetros originais da estrutura do espelho e incluir aqueles que não estão presentes no próprio quadro original.
O cabeçalho composto Erspan Tipo III inclui um cabeçalho de 12 bytes obrigatório e um subteiro específico da plataforma de 8 bytes opcional.
O formato de cabeçalho Erspan para o Tipo III é o seguinte:
Novamente, depois que a estrutura do espelho original é um CRC de 4 bytes.
Como pode ser visto no formato de cabeçalho do tipo III, além de manter os campos de identificação de versões, VLAN, COS, T e sessão com base no tipo II, muitos campos especiais são adicionados, como:
• BSO: usado para indicar a integridade de carga dos quadros de dados transportados através do ERSPAN. 00 é um bom quadro, 11 é um quadro ruim, 01 é uma estrutura curta, 11 é uma estrutura grande;
• Timestamp: exportado do relógio de hardware sincronizado com o tempo do sistema. Este campo de 32 bits suporta pelo menos 100 microssegundos de granularidade de data e hora;
• Tipo de quadro (P) e tipo de quadro (FT): o primeiro é usado para especificar se o erspan carrega quadros de protocolo Ethernet (quadros de PDU) e o último é usado para especificar se o erspan carrega quadros Ethernet ou pacotes IP.
• ID HW: identificador exclusivo do mecanismo Erspan dentro do sistema;
• GRA (timestamp granularidade): especifica a granularidade do registro de data e hora. Por exemplo, 00b representa 100 granularidade de microssegundos, 01b 100 nanossegundos granularidade, 10b IEEE 1588 granularidade e 11b requer sub-cabeçalhos específicos da plataforma para alcançar maior granularidade.
• PLATF ID vs. Informações específicas da plataforma: os campos de informações específicos do PLATF têm diferentes formatos e conteúdos, dependendo do valor do ID do PLATF.
Deve -se notar que os vários campos de cabeçalho suportados acima podem ser usados em aplicativos regulares da ERSPAN, até refletindo quadros de erro ou quadros BPDU, mantendo o pacote de troncos original e o ID da VLAN. Além disso, as principais informações sobre registro de data e hora e outros campos de informação podem ser adicionados a cada quadro Erspan durante o espelhamento.
Com os próprios cabeçalhos de recursos da Erspan, podemos obter uma análise mais refinada do tráfego de rede e, em seguida, simplesmente montar o LCA correspondente no processo ERSPAN para corresponder ao tráfego de rede em que estamos interessados.
Erspan implementa a visibilidade da sessão RDMA
Vamos dar um exemplo de uso da tecnologia ERSPAN para obter a visualização da sessão RDMA em um cenário RDMA:
RDMA: O acesso direto à memória direta remota permite que o adaptador de rede do servidor A leia e escreva a memória do servidor B usando cartões de interface de rede inteligentes (INICs) e comutadores, atingindo alta largura de banda, baixa latência e baixa utilização de recursos. É amplamente utilizado em big data e cenários de armazenamento distribuídos de alto desempenho.
RoCev2: RDMA sobre Ethernet convergente Versão 2. Os dados do RDMA são encapsulados no cabeçalho UDP. O número da porta de destino é 4791.
A operação diária e a manutenção do RDMA exige coletar muitos dados, que são usados para coletar linhas de referência diárias no nível da água e alarmes anormais, bem como a base para a localização de problemas anormais. Combinados com o ERSPAN, dados maciços podem ser capturados rapidamente para obter dados de qualidade de qualidade de encaminhamento de microssegundos e status de interação do protocolo do chip de comutação. Através de estatísticas e análises de dados, a avaliação e previsão da qualidade de encaminhamento de ponta a ponta podem ser obtidas.
Para obter a visualização da sessão do RDAM, precisamos do ERSPAN para corresponder às palavras -chave para as sessões de interação RDMA ao espelhar o tráfego, e precisamos usar a lista estendida de especialistas.
Lista estendida no nível de especialista Definição de campo:
O UDF consiste em cinco campos: palavra -chave UDF, campo base, campo de deslocamento, campo de valor e campo de máscara. Limitado pela capacidade das entradas de hardware, um total de oito UDFs pode ser usado. Um UDF pode corresponder ao máximo de dois bytes.
• palavra -chave UDF: udf1 ... udf8 contém oito palavras -chave do domínio correspondente a UDF
• Campo base: identifica a posição inicial do campo de correspondência UDF. A seguir
L4_HEADER (aplicável a RG-S6520-64CQ)
L5_HEADER (para RG-S6510-48VS8CQ)
• Offset: indica o deslocamento com base no campo base. O valor varia de 0 a 126
• Campo de valor: valor correspondente. Ele pode ser usado junto com o campo de máscara para configurar o valor específico a ser correspondido. A parte válida são dois bytes
• Campo de máscara: máscara, bit válido é dois bytes
(Adicione: se várias entradas forem usadas no mesmo campo de correspondência de UDF, os campos de base e deslocamento devem ser os mesmos.)
Os dois pacotes principais associados ao status da sessão de RDMA são o pacote de notificação de congestionamento (CNP) e o reconhecimento negativo (NAK):
O primeiro é gerado pelo receptor RDMA após receber a mensagem ECN enviada pelo comutador (quando o buffer EOUT atinge o limite), que contém informações sobre o fluxo ou o QP causando congestionamento. Este último é usado para indicar que a transmissão RDMA possui uma mensagem de resposta a perda de pacotes.
Vejamos como combinar essas duas mensagens usando a lista estendida de nível especialista:
RDMA estendida de acesso especialista
Permita UDP qualquer qualquer qualquer Eq 4791UDF 1 L4_HEADER 8 0X8100 0XFF00(Correspondente a RG-S6520-64CQ)
Permita UDP qualquer qualquer qualquer Eq 4791udf 1 l5_header 0 0x8100 0xff00(Correspondente a RG-S6510-48VS8CQ)
RDMA estendida de acesso especialista
Permita UDP qualquer qualquer qualquer Eq 4791udf 1 l4_header 8 0x1100 0xff00 udf 2 l4_header 20 0x6000 0xff00(Correspondente a RG-S6520-64CQ)
Permita UDP qualquer qualquer qualquer Eq 4791udf 1 l5_header 0 0x1100 0xff00 udf 2 l5_header 12 0x6000 0xff00(Correspondente a RG-S6510-48VS8CQ)
Como uma etapa final, você pode visualizar a sessão RDMA montando a lista de extensão de especialistas no processo ErsPAN apropriado.
Escreva no último
O Erspan é uma das ferramentas indispensáveis nas redes de data center cada vez mais grandes de hoje, tráfego de rede cada vez mais complexo e requisitos de operação e manutenção de rede cada vez mais sofisticados.
Com o aumento do grau de automação de O&M, tecnologias como NetConf, RESTConf e GRPC são populares entre os alunos de O&M na rede automática de O&M. O uso do GRPC como protocolo subjacente para enviar tráfego de espelho de volta também tem muitas vantagens. Por exemplo, com base no protocolo HTTP/2, ele pode suportar o mecanismo de push de streaming sob a mesma conexão. Com a codificação do Protobuf, o tamanho das informações é reduzido pela metade em comparação ao formato JSON, tornando a transmissão de dados mais rápida e eficiente. Imagine, se você usar o Erspan para refletir os fluxos interessados e enviá -los para o servidor de análise no GRPC, ele melhorará bastante a capacidade e a eficiência da operação e manutenção automáticas de rede?
Hora de postagem: maio-10-2022
