Erspan fortid og nutid af MyLinking ™ netværkssynlighed

Det mest almindelige værktøj til netværksovervågning og fejlfinding i dag er Switch Port Analyzer (Span), også kendt som Port Mirroring. Det giver os mulighed for at overvåge netværkstrafik i bypass ud af båndtilstand uden at forstyrre tjenester på live -netværket og sender en kopi af den overvågede trafik til lokale eller eksterne enheder, herunder sniffer, ID'er eller andre typer netværksanalyseværktøjer.

Nogle typiske anvendelser er:

• Fejlfinding af netværksproblemer ved at spore kontrol/datarammer;

• Analyser latenstid og jitter ved at overvåge VoIP -pakker;

• Analyser latenstid ved at overvåge netværksinteraktioner;

• Registrer afvigelser ved at overvåge netværkstrafik.

Span -trafik kan spejles lokalt til andre porte på den samme kildeenhed, eller spejles fjernt til andre netværksenheder, der støder op til lag 2 i kildeenheden (RSPAN).

I dag skal vi tale om ekstern internettrafikovervågningsteknologi kaldet ERSPAN (indkapslet fjernafbryderportanalysator), der kan overføres på tværs af tre lag IP. Dette er en udvidelse af span til indkapslet fjernbetjening.

Grundlæggende driftsprincipper for ERSPAN

Lad os først se på Erspans funktioner:

• En kopi af pakken fra kildeporten sendes til destinationsserveren til parsing gennem generisk routingindkapsling (GRE). Serverens fysiske placering er ikke begrænset.

• Ved hjælp af det brugerdefinerede felt (UDF) -funktion af chippen udføres enhver forskydning på 1 til 126 byte baseret på basisdomænet gennem den udvidede ekspertniveau, og session-nøgleordene matches for at realisere visualiseringen af ​​sessionen, såsom TCP-trevejshåndskak og RDMA-session;

• understøtter indstilling af prøveudtagningshastighed;

• Understøtter pakkens aflytningslængde (pakkeopskæring), hvilket reducerer trykket på målserveren.

Med disse funktioner kan du se, hvorfor ERSPAN er et vigtigt værktøj til overvågning af netværk i datacentre i dag.

Erspans hovedfunktioner kan sammenfattes i to aspekter:

• Session synlighed: Brug ERSPAN til at indsamle alle oprettede nye TCP og Remote Direct Memory Access (RDMA) sessioner til back-end-serveren til visning;

• Netværksfejlfinding: Fanger netværkstrafik til fejlanalyse, når der opstår et netværksproblem.

For at gøre dette skal kildenetværksenheden filtrere trafik af interesse for brugeren fra den massive datastrøm, lave en kopi og indkapsle hver kopiramme i en speciel "superframe container", der bærer nok yderligere oplysninger, så den kan dirigeres korrekt til den modtagende enhed. Aktivér den modtagende enhed til at udtrække og genvinde den originale overvågede trafik fuldt ud.

Den modtagende enhed kan være en anden server, der understøtter Decapsing ERSPAN -pakker.

Indkapsling af ERSPAN -pakker

ERSPAN -typen og -pakkeformatanalyse

ERSPAN -pakker er indkapslet ved hjælp af GRE og videresendes til enhver IP -adresserbar destination over Ethernet. ERSPAN bruges i øjeblikket hovedsageligt på IPv4 -netværk, og IPv6 -support vil være et krav i fremtiden.

For den generelle indkapslingsstruktur af ERSAPN er følgende en spejlpakkefangst af ICMP -pakker:

Indkapslingsstruktur af ERSAPN

ERSPAN -protokollen har udviklet sig over en lang periode, og med forbedringen af ​​dens kapaciteter er der dannet flere versioner, kaldet "ERSPAN -typer". Forskellige typer har forskellige rammeoverskriftsformater.

Det er defineret i det første versionfelt i ERSPAN -overskriften:

Erspan header version

Derudover angiver feltet Protokoltype i GRE -overskriften også den interne ERSPAN -type. Feltet Protokoltype 0x88be angiver ERSPAN type II, og 0x22EB angiver ERSPAN type III.

1. type i

ERSPAN -rammen af ​​type I indkapsler IP og GRE direkte over overskriften på den originale spejlramme. Denne indkapsling tilføjer 38 byte over den originale ramme: 14 (Mac) + 20 (IP) + 4 (GRE). Fordelen ved dette format er, at det har en kompakt overskriftsstørrelse og reducerer transmissionsomkostningerne. Fordi det sætter GRE -flag- og versionfelter til 0, bærer det imidlertid ikke nogen udvidede felter, og type I er ikke vidt brugt, så det er ikke nødvendigt at udvide mere.

GRE -headerformatet af type I er som følger:

GRE Header Format I

2. type II

I type II er C, R, K, S, S, gentagelse, flag og versionfelter i GRE -overskriften alle 0 undtagen S -feltet. Derfor vises sekvensnummerfeltet i GRE -overskriften af ​​type II. Det vil sige, type II kan sikre rækkefølgen af ​​modtagelse af GRE-pakker, så et stort antal out-of-order GRE-pakker ikke kan sorteres på grund af en netværksfejl.

GRE -headerformatet af type II er som følger:

GRE Header Format II

Derudover tilføjer ERSPAN Type II-rammeformatet et 8-byte ERSPAN-header mellem GRE-overskriften og den originale spejlede ramme.

ERSPAN -headerformatet til type II er som følger:

Erspan header format II

Endelig, umiddelbart efter den originale billedramme, er standard 4-byte Ethernet Cyclic Redundancy Check (CRC) -kode.

CRC

Det er værd at bemærke, at i implementeringen indeholder spejlrammen ikke FCS -feltet i den originale ramme, i stedet genberegnes en ny CRC -værdi baseret på hele ERSPAN. Dette betyder, at den modtagende enhed ikke kan verificere CRC -korrektheden af ​​den originale ramme, og vi kan kun antage, at kun ukorrupte rammer spejles.

3. type III

Type III introducerer et større og mere fleksibelt sammensat header til at tackle stadig mere komplekse og forskellige netværksovervågningsscenarier, herunder men ikke begrænset til netværksstyring, indtrængningsdetektion, ydeevne og forsinkelsesanalyse og mere. Disse scener er nødt til at kende alle de originale parametre for spejlrammen og inkluderer dem, der ikke er til stede i selve den originale ramme.

ERSPAN Type III Composite Header inkluderer en obligatorisk 12-byte-header og en valgfri 8-byte platformspecifik underoverskrift.

ERSPAN -headerformatet til type III er som følger:

Erspan header format III

Igen, efter den originale spejlramme er en 4-byte CRC.

CRC

Som det kan ses fra overskriftsformatet af type III, ud over at bevare VER, VLAN, COS, T og Session ID -felterne på grundlag af type II, tilføjes mange specielle felter, såsom:

• BSO: Bruges til at indikere belastningsintegriteten af ​​datarammer, der udføres gennem ERSPAN. 00 er en god ramme, 11 er en dårlig ramme, 01 er en kort ramme, 11 er en stor ramme;

• Tidsstempel: Eksporteret fra hardwareuret synkroniseret med systemtidspunktet. Dette 32-bit felt understøtter mindst 100 mikrosekunder af tidsstempel granularitet;

• Rammetype (P) og rammetype (FT): Førstnævnte bruges til at specificere, om ERSPAN bærer Ethernet -protokolrammer (PDU -rammer), og sidstnævnte bruges til at specificere, om ERSPAN bærer Ethernet -rammer eller IP -pakker.

• HW ID: Unik identifikator af ERSPAN -motoren i systemet;

• GRA (tidsstempel granularitet): Specificerer granulariteten i tidsstemplet. For eksempel repræsenterer 00B 100 mikrosekund granularitet, 01b 100 nanosekund granularitet, 10B IEEE 1588 granularitet og 11b kræver platformspecifikke underoverskrifter for at opnå højere granularitet.

• Platf ID vs. platformspecifik info: PLATF -specifikke info -felter har forskellige formater og indhold afhængigt af platf -ID -værdien.

Port ID -indeks

Det skal bemærkes, at de forskellige overskriftsfelter, der understøttes ovenfor, kan bruges i almindelige ERSPAN -applikationer, endda spejler fejlrammer eller BPDU -rammer, samtidig med at den originale bagagerumspakke og VLAN ID opretholder. Derudover kan de vigtigste tidsstempelinformation og andre informationsfelter tilføjes til hver ERSPAN -ramme under spejl.

Med ERSPANs egne funktionsoverskrifter kan vi opnå en mere raffineret analyse af netværkstrafik og derefter blot montere den tilsvarende ACL i ERSPAN -processen for at matche den netværkstrafik, vi er interesseret i.

Erspan implementerer RDMA -session synlighed

Lad os tage et eksempel på at bruge ERSPAN -teknologi til at opnå RDMA -session -visualisering i et RDMA -scenarie:

Rdma: Remote Direct Memory Access gør det muligt for netværksadapteren for server A at læse og skrive mindet om server B ved at bruge intelligente netværksgrænsefladekort (INIC) og switches, opnå høj båndbredde, lav latenstid og lav ressourceudnyttelse. Det er vidt brugt i big data og højtydende distribuerede opbevaringsscenarier.

Rocev2: RDMA over konvergeret Ethernet version 2.. RDMA -dataene er indkapslet i UDP -overskriften. Destinationsportnummeret er 4791.

Daglig drift og vedligeholdelse af RDMA kræver indsamling af en masse data, der bruges til at indsamle daglige referencelinjer og unormale alarmer samt grundlaget for lokalisering af unormale problemer. Kombineret med ERSPAN kan massive data hurtigt indfanges for at opnå mikrosekunders videresendelse af kvalitetsdata og protokolinteraktionsstatus for skiftechip. Gennem datastatistik og analyse kan RDMA ende-til-ende videresendelsesvurdering og forudsigelse opnås.

For at opnå RDAM -session -visualisering har vi brug for ERSPAN til at matche nøgleord til RDMA -interaktionssessioner, når vi spejler trafik, og vi er nødt til at bruge den ekspert udvidede liste.

Ekspertniveau Udvidet liste Matchende feltdefinition:

UDF består af fem felter: UDF -nøgleord, basisfelt, offsetfelt, værdifelt og maskefelt. Begrænset af kapaciteten af ​​hardwareposter kan i alt otte UDF'er bruges. En UDF kan matche maksimalt to byte.

• UDF -nøgleord: UDF1 ... UDF8 indeholder otte nøgleord af UDF -matchende domæne

• Basisfelt: Identificerer startpositionen for UDF -matchende felt. Følgende

L4_Header (gældende for RG-S6520-64CQ)

L5_Header (til RG-S6510-48VS8CQ)

• Offset: Angiver forskydningen baseret på basisfeltet. Værdien varierer fra 0 til 126

• Værdifelt: Matchende værdi. Det kan bruges sammen med maskefeltet til at konfigurere den specifikke værdi, der skal matches. Den gyldige bit er to byte

• Maskefelt: Maske, gyldig bit er to byte

(Tilføj: Hvis der bruges flere poster i det samme UDF -matchende felt, skal basis- og offsetfelterne være de samme.)

De to nøglepakker, der er forbundet med RDMA -sessionstatus, er overbelastningsmeddelelsespakke (CNP) og negativ anerkendelse (NAK):

Førstnævnte genereres af RDMA -modtageren efter at have modtaget ECN -meddelelsen sendt af kontakten (når eout -bufferen når tærsklen), som indeholder oplysninger om strømmen eller QP, der forårsager overbelastning. Sidstnævnte bruges til at indikere, at RDMA -transmissionen har en meddelelse om pakketab.

Lad os se på, hvordan man matcher disse to meddelelser ved hjælp af den udvidede liste over ekspertniveau:

RDMA CNP

Ekspert adgangsliste udvidet RDMA

Tillad UDP enhver nogen EQ 4791UDF 1 L4_Header 8 0x8100 0xff00(Matchende RG-S6520-64CQ)

Tillad UDP enhver nogen EQ 4791UDF 1 L5_Header 0 0x8100 0xff00(Matchende RG-S6510-48VS8CQ)

RDMA CNP 2

Ekspert adgangsliste udvidet RDMA

Tillad UDP enhver nogen EQ 4791UDF 1 L4_Header 8 0x1100 0xff00 UDF 2 L4_Header 20 0x6000 0xff00(Matchende RG-S6520-64CQ)

Tillad UDP enhver nogen EQ 4791UDF 1 L5_Header 0 0x1100 0xff00 UDF 2 L5_Header 12 0x6000 0xff00(Matchende RG-S6510-48VS8CQ)

Som et sidste trin kan du visualisere RDMA -sessionen ved at montere ekspertudvidelseslisten i den relevante ERSPAN -proces.

Skriv i det sidste

ERSPAN er et af de uundværlige værktøjer i dagens stadig større datacenternetværk, stadig mere kompleks netværkstrafik og stadig mere sofistikerede netværksdrift og vedligeholdelseskrav.

Med den stigende grad af O & M -automatisering er teknologier som NetConf, RESTCONF og GRPC populære blandt O & M -studerende i Network Automatic O&M. Brug af GRPC som den underliggende protokol til afsendelse af spejltrafik har også mange fordele. For eksempel, baseret på HTTP/2 -protokol, kan den understøtte streaming -push -mekanismen under den samme forbindelse. Med Protobuf -kodning reduceres informationsstørrelsen med halvdelen sammenlignet med JSON -format, hvilket gør datatransmission hurtigere og mere effektiv. Forestil dig, hvis du bruger ERSPAN til at spejle interesserede vandløb og derefter sende dem til analyseserveren på GRPC, vil det forbedre evnen og effektiviteten af ​​netværksautomatisk drift og vedligeholdelse?


Posttid: maj-10-2022