O passado e o presente da ERSPAN da visibilidade da rede Mylinking™

A ferramenta mais comum para monitoramento e solução de problemas de rede atualmente é o Switch Port Analyzer (SPAN), também conhecido como espelhamento de porta. Ele nos permite monitorar o tráfego de rede no modo bypass fora de banda sem interferir nos serviços da rede ativa e envia uma cópia do tráfego monitorado para dispositivos locais ou remotos, incluindo Sniffer, IDS ou outros tipos de ferramentas de análise de rede.

Alguns usos típicos são:

• Solucionar problemas de rede rastreando frames de controle/dados;

• Analisar latência e jitter monitorando pacotes VoIP;

• Analisar a latência monitorando as interações da rede;

• Detecte anomalias monitorando o tráfego de rede.

SPAN O tráfego pode ser espelhado localmente para outras portas no mesmo dispositivo de origem ou remotamente para outros dispositivos de rede adjacentes à Camada 2 do dispositivo de origem (RSPAN).

Hoje vamos falar sobre a tecnologia de monitoramento remoto de tráfego da Internet chamada ERSPAN (Encapsulated Remote Switch Port Analyzer) que pode ser transmitida através de três camadas de IP. Esta é uma extensão do SPAN para Encapsulated Remote.

Princípios básicos de funcionamento do ERSPAN

Primeiro, vamos dar uma olhada nos recursos do ERSPAN:

• Uma cópia do pacote da porta de origem é enviada ao servidor de destino para análise por meio do GRE (Generic Routing Encapsulation). A localização física do servidor não é restrita.

• Com a ajuda do recurso User Defined Field (UDF) do chip, qualquer deslocamento de 1 a 126 bytes é realizado com base no domínio Base por meio da lista estendida de nível especialista, e as palavras-chave da sessão são combinadas para realizar a visualização da sessão, como o handshake triplo TCP e a sessão RDMA;

• Suporte para configuração de taxa de amostragem;

• Suporta comprimento de interceptação de pacotes (Packet Slicing), reduzindo a pressão no servidor de destino.

Com esses recursos, você pode ver porque o ERSPAN é hoje uma ferramenta essencial para monitorar redes dentro de data centers.

As principais funções da ERSPAN podem ser resumidas em dois aspectos:

• Visibilidade da Sessão: Use ERSPAN para coletar todas as novas sessões TCP e Acesso Remoto Direto à Memória (RDMA) criadas para o servidor back-end para exibição;

• Solução de problemas de rede: captura o tráfego de rede para análise de falhas quando ocorre um problema de rede.

Para fazer isso, o dispositivo de rede de origem precisa filtrar o tráfego de interesse do usuário do fluxo massivo de dados, fazer uma cópia e encapsular cada quadro de cópia em um "contêiner de superframe" especial que carrega informações adicionais suficientes para que possa ser roteado corretamente para o dispositivo receptor. Além disso, permite que o dispositivo receptor extraia e recupere totalmente o tráfego monitorado original.

O dispositivo receptor pode ser outro servidor que suporte o desencapsulamento de pacotes ERSPAN.

Encapsulando pacotes ERSPAN

A análise do tipo ERSPAN e do formato do pacote

Os pacotes ERSPAN são encapsulados usando GRE e encaminhados para qualquer destino endereçável IP pela Ethernet. Atualmente, o ERSPAN é usado principalmente em redes IPv4 e o suporte IPv6 será um requisito no futuro.

Para a estrutura geral de encapsulamento do ERSAPN, o seguinte é uma captura espelhada de pacotes ICMP:

estrutura de encapsulamento do ERSAPN

O protocolo ERSPAN desenvolveu-se ao longo de um longo período de tempo e, com o aprimoramento de suas capacidades, diversas versões foram formadas, denominadas "Tipos ERSPAN". Diferentes tipos têm diferentes formatos de cabeçalho de quadro.

É definido no primeiro campo Versão do cabeçalho ERSPAN:

Versão do cabeçalho ERSPAN

Além disso, o campo Tipo de Protocolo no cabeçalho GRE também indica o Tipo ERSPAN interno. O campo Tipo de protocolo 0x88BE indica ERSPAN Tipo II e 0x22EB indica ERSPAN Tipo III.

1. Tipo I

O quadro ERSPAN do Tipo I encapsula IP e GRE diretamente sobre o cabeçalho do quadro espelho original. Este encapsulamento adiciona 38 bytes ao quadro original: 14(MAC) + 20 (IP) + 4(GRE). A vantagem desse formato é que ele possui tamanho de cabeçalho compacto e reduz o custo de transmissão. No entanto, como ele define os campos Sinalizador e Versão do GRE como 0, ele não carrega nenhum campo estendido e o Tipo I não é amplamente utilizado, portanto, não há necessidade de expandir mais.

O formato do cabeçalho GRE do Tipo I é o seguinte:

Formato de cabeçalho GRE I

2. Tipo II

No Tipo II, os campos C, R, K, S, S, Recur, Flags e Version no cabeçalho GRE são todos 0, exceto o campo S. Portanto, o campo Número de Sequência é exibido no cabeçalho GRE do Tipo II. Ou seja, o Tipo II pode garantir a ordem de recebimento dos pacotes GRE, de modo que um grande número de pacotes GRE fora de ordem não possa ser classificado devido a uma falha na rede.

O formato do cabeçalho GRE do Tipo II é o seguinte:

Formato de cabeçalho GRE II

Além disso, o formato de quadro ERSPAN Tipo II adiciona um cabeçalho ERSPAN de 8 bytes entre o cabeçalho GRE e o quadro espelhado original.

O formato do cabeçalho ERSPAN para Tipo II é o seguinte:

Formato de cabeçalho ERSPAN II

Finalmente, imediatamente após o quadro de imagem original, está o código padrão de verificação de redundância cíclica (CRC) Ethernet de 4 bytes.

CDC

Vale ressaltar que na implementação o quadro espelho não contém o campo FCS do quadro original, mas um novo valor de CRC é recalculado com base em todo o ERSPAN. Isto significa que o dispositivo receptor não pode verificar a exatidão do CRC do quadro original e só podemos assumir que apenas os quadros não corrompidos são espelhados.

3. Tipo III

O Tipo III introduz um cabeçalho composto maior e mais flexível para lidar com cenários de monitoramento de rede cada vez mais complexos e diversos, incluindo, entre outros, gerenciamento de rede, detecção de intrusão, análise de desempenho e atraso e muito mais. Essas cenas precisam conhecer todos os parâmetros originais da moldura do espelho e incluir aqueles que não estão presentes na própria moldura original.

O cabeçalho composto ERSPAN Tipo III inclui um cabeçalho obrigatório de 12 bytes e um subcabeçalho opcional específico da plataforma de 8 bytes.

O formato do cabeçalho ERSPAN para o Tipo III é o seguinte:

Formato de cabeçalho ERSPAN III

Novamente, após a moldura do espelho original, há um CRC de 4 bytes.

CDC

Como pode ser visto no formato do cabeçalho do Tipo III, além de reter os campos Ver, VLAN, COS, T e Session ID com base no Tipo II, muitos campos especiais são adicionados, como:

• BSO: utilizado para indicar a integridade de carga dos frames de dados transportados pelo ERSPAN. 00 é um quadro bom, 11 é um quadro ruim, 01 é um quadro curto, 11 é um quadro grande;

• Timestamp: exportado do relógio do hardware sincronizado com a hora do sistema. Este campo de 32 bits suporta pelo menos 100 microssegundos de granularidade de carimbo de data/hora;

• Frame Type (P) e Frame Type (FT): o primeiro é usado para especificar se o ERSPAN transporta frames do protocolo Ethernet (frames PDU), e o último é usado para especificar se o ERSPAN transporta frames Ethernet ou pacotes IP.

• HW ID: identificador único do motor ERSPAN dentro do sistema;

• Gra (Granularidade do carimbo de data/hora): especifica a granularidade do carimbo de data/hora. Por exemplo, 00B representa granularidade de 100 microssegundos, 01B granularidade de 100 nanossegundos, 10B granularidade IEEE 1588 e 11B requer subcabeçalhos específicos da plataforma para obter granularidade mais alta.

• ID da plataforma versus informações específicas da plataforma: os campos Informações específicas da plataforma têm formatos e conteúdos diferentes, dependendo do valor do ID da plataforma.

Índice de ID de porta

Deve-se observar que os diversos campos de cabeçalho suportados acima podem ser utilizados em aplicações ERSPAN regulares, até mesmo espelhando frames de erro ou frames BPDU, mantendo o pacote Trunk original e o ID da VLAN. Além disso, informações importantes de carimbo de data/hora e outros campos de informações podem ser adicionados a cada quadro ERSPAN durante o espelhamento.

Com os cabeçalhos de recursos próprios do ERSPAN, podemos obter uma análise mais refinada do tráfego de rede e, em seguida, simplesmente montar a ACL correspondente no processo ERSPAN para corresponder ao tráfego de rede de nosso interesse.

ERSPAN implementa visibilidade de sessão RDMA

Vejamos um exemplo de uso da tecnologia ERSPAN para obter visualização de sessão RDMA em um cenário RDMA:

RDM: o acesso remoto direto à memória permite que o adaptador de rede do servidor A leia e grave na memória do servidor B usando placas de interface de rede inteligentes (inics) e switches, obtendo alta largura de banda, baixa latência e baixa utilização de recursos. É amplamente utilizado em cenários de big data e armazenamento distribuído de alto desempenho.

RoCEv2: RDMA sobre Ethernet Convergente Versão 2. Os dados RDMA são encapsulados no cabeçalho UDP. O número da porta de destino é 4791.

A operação e manutenção diária do RDMA requerem a coleta de muitos dados, que são usados ​​para coletar linhas de referência diárias de nível de água e alarmes anormais, bem como a base para localização de problemas anormais. Combinado com o ERSPAN, dados massivos podem ser capturados rapidamente para obter dados com qualidade de encaminhamento em microssegundos e status de interação do protocolo do chip de comutação. Por meio de estatísticas e análises de dados, é possível obter avaliação e previsão da qualidade do encaminhamento ponta a ponta do RDMA.

Para obter a visualização da sessão RDAM, precisamos que o ERSPAN corresponda palavras-chave para sessões de interação RDMA ao espelhar o tráfego, e precisamos usar a lista estendida de especialistas.

Definição de campo de correspondência de lista estendida em nível de especialista:

A UDF consiste em cinco campos: palavra-chave UDF, campo base, campo de deslocamento, campo de valor e campo de máscara. Limitado pela capacidade das entradas de hardware, um total de oito UDFs podem ser utilizados. Uma UDF pode corresponder a no máximo dois bytes.

• Palavra-chave UDF: UDF1... UDF8 Contém oito palavras-chave do domínio correspondente UDF

• Campo base: identifica a posição inicial do campo de correspondência UDF. A seguir

L4_header (aplicável a RG-S6520-64CQ)

L5_header (para RG-S6510-48VS8Cq)

• Offset: indica o deslocamento com base no campo base. O valor varia de 0 a 126

• Campo Valor: valor correspondente. Ele pode ser usado junto com o campo de máscara para configurar o valor específico a ser correspondido. O bit válido é dois bytes

• Campo de máscara: máscara, bit válido é dois bytes

(Adicionar: se diversas entradas forem usadas no mesmo campo de correspondência UDF, os campos base e de deslocamento deverão ser iguais.)

Os dois pacotes principais associados ao status da sessão RDMA são Pacote de Notificação de Congestionamento (CNP) e Reconhecimento Negativo (NAK):

O primeiro é gerado pelo receptor RDMA após receber a mensagem ECN enviada pelo switch (quando o buffer eout atinge o limite), que contém informações sobre o fluxo ou QP que está causando o congestionamento. Este último é usado para indicar que a transmissão RDMA possui uma mensagem de resposta de perda de pacotes.

Vejamos como combinar essas duas mensagens usando a lista estendida de nível de especialista:

RDMA-CNP

lista de acesso especializada estendida rdma

permitir udp qualquer qualquer qualquer qualquer eq 4791udf1 l4_header8 0x8100 0xFF00(Correspondente a RG-S6520-64CQ)

permitir udp qualquer qualquer qualquer qualquer eq 4791udf1 l5_header0 0x8100 0xFF00(Correspondente a RG-S6510-48VS8CQ)

RDMA CNP 2

lista de acesso especializada estendida rdma

permitir udp qualquer qualquer qualquer qualquer eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Correspondente a RG-S6520-64CQ)

permitir udp qualquer qualquer qualquer qualquer eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Correspondente a RG-S6510-48VS8CQ)

Como etapa final, você pode visualizar a sessão RDMA montando a lista de extensões especializadas no processo ERSPAN apropriado.

Escreva no último

O ERSPAN é uma das ferramentas indispensáveis ​​nas atuais redes de data centers cada vez maiores, no tráfego de rede cada vez mais complexo e nos requisitos cada vez mais sofisticados de operação e manutenção de rede.

Com o crescente grau de automação de O&M, tecnologias como Netconf, RESTconf e gRPC são populares entre os estudantes de O&M em O&M automática de rede. Usar o gRPC como protocolo subjacente para enviar de volta o tráfego espelhado também tem muitas vantagens. Por exemplo, baseado no protocolo HTTP/2, ele pode suportar o mecanismo push de streaming na mesma conexão. Com a codificação ProtoBuf, o tamanho das informações é reduzido pela metade em comparação ao formato JSON, tornando a transmissão de dados mais rápida e eficiente. Imagine só, se você usar o ERSPAN para espelhar os fluxos interessados ​​e depois enviá-los para o servidor de análise no gRPC, isso melhorará muito a capacidade e a eficiência da operação e manutenção automática da rede?


Horário da postagem: 10 de maio de 2022