Mylinking™ Network Visibility ERSPAN мурунку жана азыркы учуру

Тармакты көзөмөлдөө жана көйгөйлөрдү чечүү үчүн эң кеңири таралган курал - бул Switch Port Analyzer (SPAN), ошондой эле Порт чагылдыруу катары белгилүү. Бул бизге жандуу тармактагы кызматтарга тоскоолдук кылбастан, тармак трафигин айланып өтүү режиминде көзөмөлдөөгө мүмкүндүк берет жана көзөмөлдөнгөн трафиктин көчүрмөсүн жергиликтүү же алыскы түзмөктөргө, анын ичинде Sniffer, IDS же тармак талдоо куралдарынын башка түрлөрүнө жөнөтөт.

Кээ бир типтүү колдонуу болуп саналат:

• Башкаруу/маалымат алкактарын көзөмөлдөө аркылуу тармак көйгөйлөрүн чечүү;

• VoIP пакеттерине мониторинг жүргүзүү менен кечигүү жана життерди талдоо;

• Тармактын өз ара аракеттенүүсүн көзөмөлдөө аркылуу кечиктирүүнү талдоо;

• Тармак трафигин көзөмөлдөө аркылуу аномалияларды аныктоо.

SPAN Трафик жергиликтүү түрдө ошол эле баштапкы түзмөктөгү башка портторго чагылдырылышы мүмкүн же булак түзмөктүн 2-кабатына (RSPAN) чектеш башка тармак түзмөктөрүнө алыстан чагылдырылышы мүмкүн.

Бүгүн биз IPдин үч катмары аркылуу берилүүчү ERSPAN (Encapsulated Remote Switch Port Analyzer) деп аталган Remote Интернет трафигин көзөмөлдөө технологиясы жөнүндө сүйлөшөбүз. Бул SPANнын Инкапсуляцияланган Remote үчүн кеңейтүүсү.

ERSPANдын негизги иштөө принциптери

Биринчиден, келгиле, ERSPAN өзгөчөлүктөрүн карап көрөлү:

• Булак портунан пакеттин көчүрмөсү Generic Routing Incapsulation (GRE) аркылуу талдоо үчүн көздөгөн серверге жөнөтүлөт. Сервердин физикалык жайгашкан жери чектелбейт.

• Чиптин User Defined Field (UDF) өзгөчөлүгүнүн жардамы менен 1ден 126 байтка чейинки каалаган офсет Базалык домендин негизинде эксперттик деңгээлдеги кеңейтилген тизме аркылуу ишке ашырылат жана визуализацияны ишке ашыруу үчүн сессиянын ачкыч сөздөрү дал келет. сессиянын, мисалы, TCP үч тараптуу кол алышуу жана RDMA сессиясы;

• Тандоо ылдамдыгын орнотууну колдоо;

• Максаттуу сервердеги басымды азайтып, пакеттерди кармоонун узундугун (Пакеттин кесилишин) колдойт.

Бул функциялардын жардамы менен сиз эмне үчүн ERSPAN бүгүнкү күндө маалымат борборлорунун ичиндеги тармактарды көзөмөлдөө үчүн маанилүү курал экенин көрө аласыз.

ERSPAN негизги функцияларын эки аспектиде жалпылоого болот:

• Сеанстын көрүнүшү: бардык түзүлгөн жаңы TCP жана Remote Direct Memory Access (RDMA) сеанстарын көрсөтүү үчүн арткы серверге чогултуу үчүн ERSPAN колдонуңуз;

• Тармак көйгөйлөрүн чечүү: Тармак көйгөйү пайда болгондо, каталарды талдоо үчүн тармак трафигин тартат.

Бул үчүн, булак тармак түзмөгү колдонуучуну кызыктырган трафикти массалык маалымат агымынан чыпкалап, көчүрмөсүн жасап, ар бир көчүрүүчү кадрды атайын "суперфрамдык контейнерге" капсулалашы керек, ал жетиштүү кошумча маалыматты алып жүрүүсү керек. кабыл алуучу аппаратка туура багыттоо керек. Андан тышкары, кабыл алуучу аппаратка баштапкы көзөмөлдөнгөн трафикти чыгарып алуу жана толук калыбына келтирүү үчүн иштетиңиз.

Кабыл алуучу түзүлүш ERSPAN пакеттерин декапсуляциялоону колдогон башка сервер болушу мүмкүн.

ERSPAN пакеттерин капсулдаштыруу

ERSPAN түрү жана пакет форматынын анализи

ERSPAN пакеттери GRE аркылуу капсулдалат жана Ethernet аркылуу каалаган IP даректүү көздөгөн жерге жөнөтүлөт. ERSPAN учурда негизинен IPv4 тармактарында колдонулат жана келечекте IPv6 колдоосу талап кылынат.

ERSAPNдин жалпы инкапсуляциялык түзүмү үчүн төмөндөгүлөр ICMP пакеттеринин күзгү пакеттерин басып алуу болуп саналат:

ERSAPNдин инкапсуляция түзүмү

ERSPAN протоколу узак убакыт бою иштелип чыккан жана анын мүмкүнчүлүктөрүн өркүндөтүү менен "ERSPAN түрлөрү" деп аталган бир нече версиялар түзүлгөн. Ар кандай түрлөрүнүн ар кандай кадр аталыштарынын форматтары бар.

Ал ERSPAN аталышынын биринчи Version талаасында аныкталган:

ERSPAN баш версиясы

Мындан тышкары, GRE башындагы Protocol Type талаасы ички ERSPAN түрүн да көрсөтөт. Протоколдун түрү 0x88BE талаасы ERSPAN II түрүн жана 0x22EB ERSPAN III түрүн көрсөтөт.

1. Тип I

I типтеги ERSPAN алкагы IP жана GREди түздөн-түз түпкү күзгү рамкасынын башынын үстүнө камтыйт. Бул инкапсуляция баштапкы кадрга 38 байт кошот: 14(MAC) + 20 (IP) + 4(GRE). Бул форматтын артыкчылыгы анын аталышынын компакттуу көлөмүнө ээ жана берүүнүн баасын төмөндөтөт. Бирок, ал GRE Flag жана Version талааларын 0 кылып койгондуктан, ал эч кандай кеңейтилген талааларды алып жүрбөйт жана I түрү кеңири колдонулбайт, ошондуктан көбүрөөк кеңейтүүнүн кереги жок.

I типтеги GRE аталышынын форматы төмөнкүдөй:

GRE аталышынын форматы I

2. II түрү

II типте, GRE башындагы C, R, K, S, S, Recur, Flags жана Version талаалары S талаасынан башкасы 0 болуп саналат. Ошондуктан, ырааттуулук номери талаасы II типтеги GRE аталышында көрсөтүлөт. Башкача айтканда, II тип GRE пакеттерин алуу тартибин камсыздай алат, андыктан көп сандагы иштебей калган GRE пакеттери тармактын катасынан улам сорттолбойт.

II типтеги GRE аталышынын форматы төмөнкүдөй:

GRE аталышынын форматы II

Кошумчалай кетсек, ERSPAN Type II кадр форматы GRE аталышы менен оригиналдуу чагылдырылган кадрдын ортосунда 8 байт ERSPAN башын кошот.

II түрү үчүн ERSPAN аталышынын форматы төмөнкүдөй:

ERSPAN аталышынын форматы II

Акыр-аягы, баштапкы сүрөт кадрынан кийин дароо стандарттуу 4-байт Ethernet циклдик ашыкча текшерүү (CRC) коду болуп саналат.

CRC

Белгилей кетсек, ишке ашырууда күзгү кадры баштапкы кадрдын FCS талаасын камтыбайт, анын ордуна жаңы CRC мааниси бүт ERSPAN негизинде кайра эсептелинет. Бул кабыл алуучу аппарат баштапкы кадрдын CRC тууралыгын текшере албайт дегенди билдирет, жана биз бир гана бузулбаган кадрларды чагылдырат деп болжолдой алабыз.

3. Тип III

III түрү барган сайын татаал жана ар түрдүү тармактык мониторинг сценарийлерин чечүү үчүн чоңураак жана ийкемдүү композиттик башты киргизет, анын ичинде тармакты башкаруу, интрузияны аныктоо, аткарууну жана кечиктирүүлөрдү талдоо жана башкалар. Бул көрүнүштөр күзгү кадрынын бардык баштапкы параметрлерин билиши керек жана баштапкы кадрдын өзүндө жок болгондорду камтышы керек.

ERSPAN Type III курама баш аты милдеттүү 12 байт башты жана кошумча 8 байт платформага тиешелүү субтитрди камтыйт.

III түрү үчүн ERSPAN аталышынын форматы төмөнкүдөй:

ERSPAN аталышынын форматы III

Дагы, баштапкы күзгү кадры кийин 4-байт CRC болуп саналат.

CRC

III типтеги аталыш форматынан көрүнүп тургандай, II типтин негизинде Ver, VLAN, COS, T жана Session ID талааларын сактап калуудан тышкары, көптөгөн атайын талаалар кошулат, мисалы:

• BSO: ERSPAN аркылуу ташылган маалымат алкактарынын жүктүн бүтүндүгүн көрсөтүү үчүн колдонулат. 00 - жакшы кадр, 11 - начар кадр, 01 - кыска кадр, 11 - чоң кадр;

• Убакыт белгиси: системанын убактысы менен шайкештештирилген аппараттык сааттан экспорттолот. Бул 32 биттик талаа Убакыт белгисинин гранулярдуулугунун кеминде 100 микросекундду колдойт;

• Frame Type (P) жана Frame Type (FT) : биринчиси ERSPAN Ethernet протокол алкактарын (PDU алкактары) алып жүрөрүн аныктоо үчүн колдонулат, ал эми экинчиси ERSPAN Ethernet алкактарын же IP пакеттерин алып жүрөрүн аныктоо үчүн колдонулат.

• HW ID: системанын ичиндеги ERSPAN кыймылдаткычынын уникалдуу идентификатору;

• Gra (Убакыт белгисинин гранулдуулугу) : Убакыт белгисинин гранулдуулугун аныктайт. Мисалы, 00B 100 микросекунддук Granularity, 01B 100 наносекунддук Granularity, 10B IEEE 1588 Granularity жана 11B жогорку Granularity жетүү үчүн платформага тиешелүү суб-башкачаларды талап кылат.

• Platf ID жана Platform Specific Info: Platf Specific Info талааларында Platf ID маанисине жараша ар кандай форматтар жана мазмундар бар.

Порт ID индекси

Белгилей кетчү нерсе, жогоруда колдоого алынган ар кандай баш талаалар кадимки ERSPAN тиркемелеринде, атүгүл ката жээкчелерин же BPDU жээкчелерин чагылдырып, түпнуска Trunk пакетин жана VLAN ID'син сактоо менен колдонсо болот. Мындан тышкары, чагылдыруу учурунда ар бир ERSPAN кадрына негизги убакыт белгисинин маалыматы жана башка маалымат талаалары кошулушу мүмкүн.

ERSPANдын өздүк өзгөчөлүктөрүнүн аталыштары менен биз тармак трафигинин такталган анализине жетишип, андан кийин биз кызыккан тармак трафигине дал келүү үчүн ERSPAN процессине жөн гана тиешелүү ACL орното алабыз.

ERSPAN RDMA сессиясынын көрүнүшүн ишке ашырат

RDMA сценарийинде RDMA сессиясынын визуализациясына жетүү үчүн ERSPAN технологиясын колдонуунун мисалын алалы:

RDMA: Remote Direct Memory Access A серверинин тармак адаптерине интеллектуалдык тармак интерфейс карталарын (inics) жана өчүргүчтөрдү колдонуу менен сервердин В эс тутумун окууга жана жазууга, жогорку өткөрүү жөндөмдүүлүгүнө, аз күтүү убактысына жана ресурстарды аз колдонууга мүмкүндүк берет. Ал чоң маалыматтарда жана жогорку өндүрүмдүүлүктөгү бөлүштүрүлгөн сактоо сценарийлеринде кеңири колдонулат.

RoCEv2: Converged Ethernet Version 2 үстүнөн RDMA. RDMA маалыматтары UDP башында капсулдалат. Көздөгөн порт номери 4791.

РДМАны күнүмдүк эксплуатациялоо жана тейлөө көп маалыматтарды чогултууну талап кылат, алар суунун деңгээлинин күнүмдүк маалымдама линияларын жана анормалдуу сигналдарды чогултуу үчүн колдонулат, ошондой эле анормалдуу көйгөйлөрдү табуу үчүн негиз болуп саналат. ERSPAN менен айкалышып, микросекунддук багыттоочу сапаттагы маалыматтарды жана коммутация чипинин протоколдук өз ара аракеттенүү статусун алуу үчүн чоң маалыматтарды тез басып алууга болот. Маалыматтар статистикасы жана талдоо аркылуу RDMA акырына чейин жөнөтүү сапатына баа берүү жана болжолдоону алууга болот.

RDAM сессиясынын визуализациясына жетишүү үчүн, трафикти чагылдырууда RDMA өз ара аракеттенүү сеанстары үчүн ачкыч сөздөргө дал келүү үчүн ERSPAN керек жана биз эксперттик кеңейтилген тизмени колдонушубуз керек.

Эксперттик деңгээлдеги кеңейтилген тизмеге дал келген талаа аныктамасы:

UDF беш талаадан турат: UDF ачкыч сөзү, базалык талаа, офсет талаасы, маани талаасы жана маска талаасы. Аппараттык жазуулардын мүмкүнчүлүктөрү менен чектелген, жалпысынан сегиз UDF колдонсо болот. Бир UDF максимум эки байтка дал келиши мүмкүн.

• UDF ачкыч сөзү: UDF1... UDF8 UDF дал келген домендин сегиз ачкыч сөзүн камтыйт

• Негизги талаа: UDF дал келген талаанын баштапкы абалын аныктайт. Төмөнкүлөр

L4_header (RG-S6520-64CQ үчүн тиешелүү)

L5_header (RG-S6510-48VS8Cq үчүн)

• Offset: базалык талаанын негизинде жылышууну көрсөтөт. Маани 0дөн 126га чейин

• Маани талаасы: дал келген маани. Ал дал келүүчү белгилүү бир маанини конфигурациялоо үчүн маска талаасы менен бирге колдонсо болот. Жарактуу бит эки байт

• Маска талаасы: маска, жарактуу бит эки байт

(Кошумча: Эгерде бир эле UDF дал келген талаада бир нече жазуу колдонулса, базалык жана офсеттик талаалар бирдей болушу керек.)

RDMA сессиясынын статусу менен байланышкан эки негизги пакеттер тыгын жөнүндө кабарлоо пакети (CNP) жана терс ырастоо (NAK):

Биринчиси RDMA кабыл алгычы тарабынан которулуп жиберилген ECN билдирүүсүн алгандан кийин түзүлөт (eout буфери босогого жеткенде), анда тыгынды пайда кылган агым же QP жөнүндө маалымат камтылган. Акыркысы RDMA берүүнүн пакеттик жоготуу жооп билдирүүсү бар экенин көрсөтүү үчүн колдонулат.

Келгиле, эксперттик деңгээлдеги кеңейтилген тизмени колдонуу менен бул эки билдирүүнү кантип дал келтирүүнү карап көрөлү:

RDMA CNP

эксперттик жетки-ликтуу рдма узартылган

уруксат udp каалаган ар кандай ар кандай eq 4791udf 1 l4_header 8 0x8100 0xFF00(RG-S6520-64CQ дал келет)

уруксат udp каалаган ар кандай ар кандай eq 4791udf 1 l5_header 0 0x8100 0xFF00(RG-S6510-48VS8CQ дал келет)

RDMA CNP 2

эксперттик жетки-ликтуу рдма узартылган

уруксат udp каалаган ар кандай ар кандай eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(RG-S6520-64CQ дал келет)

уруксат udp каалаган ар кандай ар кандай eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(RG-S6510-48VS8CQ дал келет)

Акыркы кадам катары, сиз эксперттик кеңейтүү тизмесин тиешелүү ERSPAN процессине орнотуу менен RDMA сессиясын элестете аласыз.

Акыркысына жаз

ERSPAN - бүгүнкү күндөгү барган сайын чоңоюп жаткан маалымат борборлорунун, барган сайын татаалдашып бараткан тармактык трафиктин жана барган сайын татаалдашып жаткан тармактын иштөө жана тейлөө талаптарында алмаштырылгыс инструменттердин бири.

O&M автоматташтыруунун деңгээлин жогорулатуу менен Netconf, RESTconf жана gRPC сыяктуу технологиялар тармактык автоматтык O&M тармагында O&M студенттеринин арасында популярдуу. Күзгү трафигин кайра жөнөтүү үчүн негизги протокол катары gRPC колдонуу дагы көптөгөн артыкчылыктарга ээ. Мисалы, HTTP/2 протоколунун негизинде, ал ошол эле туташуу астында агымдык түртүү механизмин колдоого алат. ProtoBuf коддоосу менен маалыматтын көлөмү JSON форматына салыштырмалуу эки эсеге кыскарып, маалыматтарды тезирээк жана натыйжалуу өткөрөт. Элестетиңиз, эгер сиз кызыккан агымдарды чагылдыруу үчүн ERSPAN колдонсоңуз, анан аларды gRPCдеги талдоо серверине жөнөтсөңүз, бул тармакты автоматтык түрдө иштетүү жана тейлөө мүмкүнчүлүгүн жана натыйжалуулугун бир топ жакшыртабы?


Посттун убактысы: 10-май-2022