L'outil le plus courant pour la surveillance et le dépannage des réseaux aujourd'hui est l'analyseur de port de Switch (SPAN), également connu sous le nom de port de port. Il nous permet de surveiller le trafic réseau en contournant le mode de bande sans interférer avec les services sur le réseau en direct, et envoie une copie du trafic surveillé vers des appareils locaux ou distants, y compris Sniffer, IDS ou d'autres types d'outils d'analyse de réseau.
Certaines utilisations typiques sont:
• Dépanner les problèmes de réseau en suivant les cadres de contrôle / de données;
• Analyser la latence et la gigue en surveillant les paquets VoIP;
• Analyser la latence en surveillant les interactions du réseau;
• détecter les anomalies en surveillant le trafic réseau.
Le trafic de span peut être reflété localement vers d'autres ports sur le même appareil source, ou se refléter à distance vers d'autres périphériques réseau adjacents à la couche 2 du périphérique source (RSPAN).
Aujourd'hui, nous allons parler de la technologie de surveillance du trafic Internet à distance appelée ERSPAN (analyseur de port de commutation à distance encapsulée) qui peut être transmise sur trois couches d'IP. Il s'agit d'une extension de Span à la télécommande encapsulée.
Principes de fonctionnement de base d'Erspan
Tout d'abord, jetons un coup d'œil aux fonctionnalités d'Erspan:
• Une copie du paquet à partir du port source est envoyée au serveur de destination pour analyser le via l'encapsulation de routage générique (GRE). L'emplacement physique du serveur n'est pas restreint.
• À l'aide de la fonction de champ défini par l'utilisateur (UDF) de la puce, tout décalage de 1 à 126 octets est effectué en fonction du domaine de base via la liste étendue au niveau expert, et les mots clés de session sont adaptés pour réaliser la visualisation de la session, telle que la session TCP à trois voies et RDMA;
• Taux d'échantillonnage du réglage du support;
• Prend en charge la longueur d'interception des paquets (tranchage des paquets), en réduisant la pression sur le serveur cible.
Avec ces fonctionnalités, vous pouvez voir pourquoi Erspan est un outil essentiel pour surveiller les réseaux dans les centres de données aujourd'hui.
Les principales fonctions d'Erspan peuvent être résumées sous deux aspects:
• Visibilité de session: utilisez Erspan pour collecter toutes les nouvelles sessions de nouvelles séances de mémoire TCP et de mémoire directe à distance (RDMA) sur le serveur back-end pour l'affichage;
• Dépannage du réseau: capture le trafic réseau pour l'analyse des défauts lorsqu'un problème de réseau se produit.
Pour ce faire, le périphérique du réseau source doit filtrer le trafic d'intérêt à l'utilisateur à partir du flux de données massif, en faire une copie et encapsuler chaque trame de copie dans un "conteneur SuperFrame" spécial qui transporte suffisamment d'informations supplémentaires afin qu'elle puisse être correctement acheminée vers le périphérique de réception. De plus, permettez au dispositif de réception d'extraire et de récupérer complètement le trafic surveillé d'origine.
Le périphérique de réception peut être un autre serveur qui prend en charge les paquets Erspan décapsulant.
L'analyse du type Erspan et du format de package
Les paquets Erspan sont encapsulés à l'aide de GRE et transmis à toute destination adressable IP sur Ethernet. Erspan est actuellement principalement utilisé sur les réseaux IPv4, et le support IPv6 sera une exigence à l'avenir.
Pour la structure générale de l'encapsulation de ErsAPN, ce qui suit est une capture de paquets miroir des paquets ICMP:
Le protocole Erspan s'est développé sur une longue période de temps, et avec l'amélioration de ses capacités, plusieurs versions ont été formées, appelées "types Erspan". Différents types ont différents formats d'en-tête de trame.
Il est défini dans le premier champ de version de l'en-tête Erspan:
De plus, le champ de type de protocole dans l'en-tête GRE indique également le type Erspan interne. Le champ de type de protocole 0x88BE indique Erspan Type II, et 0x22EB indique Erspan Type III.
1. Type I
Le cadre Erspan de Type I résume directement l'IP et GRE sur l'en-tête du cadre miroir d'origine. Cette encapsulation ajoute 38 octets sur le cadre d'origine: 14 (Mac) + 20 (IP) + 4 (GRE). L'avantage de ce format est qu'il a une taille compacte en tête et réduit le coût de la transmission. Cependant, comme il définit les champs GRE et les champs de version GRE à 0, il ne transporte aucun champ étendu et le type I n'est pas largement utilisé, il n'est donc pas nécessaire de développer davantage.
Le format d'en-tête GRE du type I est le suivant:
2. Type II
Dans le type II, les champs C, R, K, S, S, Recur, Flags et Version dans l'en-tête GRE sont tous 0 sauf le champ S. Par conséquent, le champ de numéro de séquence est affiché dans l'en-tête GRE du type II. Autrement dit, le type II peut garantir l'ordre de réception des paquets GRE, de sorte qu'un grand nombre de paquets GRE hors commande ne peuvent pas être triés en raison d'un défaut de réseau.
Le format d'en-tête GRE du type II est le suivant:
De plus, le format de trame Erspan Type II ajoute un en-tête ERSPAN de 8 octets entre l'en-tête GRE et le cadre en miroir d'origine.
Le format d'en-tête Erspan pour le type II est le suivant:
Enfin, immédiatement après le cadre d'image d'origine, le code CRC (CRC) est le code de vérification (CRC) de la redondance cyclique Ethernet standard de 4 octets.
Il convient de noter que dans l'implémentation, le cadre miroir ne contient pas le champ FCS du cadre d'origine, mais une nouvelle valeur CRC est recalculée en fonction de l'ensemble de l'ERSPAN. Cela signifie que le dispositif de réception ne peut pas vérifier l'exactitude CRC de la trame d'origine, et nous ne pouvons que supposer que seules les trames non corrompues sont miroirs.
3. Type III
Le type III introduit un en-tête composite plus grand et plus flexible pour aborder des scénarios de surveillance de réseau de plus en plus complexes et diversifiés, y compris, mais sans s'y limiter, la gestion du réseau, la détection des intrusions, les performances et l'analyse des retards, etc. Ces scènes doivent connaître tous les paramètres d'origine du cadre miroir et inclure ceux qui ne sont pas présents dans le cadre d'origine lui-même.
L'en-tête composite Erspan Type III comprend un en-tête obligatoire de 12 octets et un sous-point spécifique à la plate-forme de 8 octets en option.
Le format d'en-tête Erspan pour le type III est le suivant:
Encore une fois, après que le cadre miroir d'origine est un CRC de 4 octets.
Comme on peut le voir dans le format d'en-tête du type III, en plus de conserver les champs Ver, VLAN, COS, T et Session ID sur la base du type II, de nombreux champs spéciaux sont ajoutés, tels que:
• BSO: utilisé pour indiquer l'intégrité de charge des trames de données transportées via Erspan. 00 est un bon cadre, 11 est un mauvais cadre, 01 est un cadre court, 11 est un grand cadre;
• Timestamp: exporté de l'horloge matérielle synchronisée avec le temps du système. Ce champ 32 bits prend en charge au moins 100 microsecondes de granularité d'horodatage;
• Type de trame (P) et type de trame (FT): Le premier est utilisé pour spécifier si Erspan propose des cadres de protocole Ethernet (cadres PDU), et le second est utilisé pour spécifier si Erspan porte des cadres Ethernet ou des paquets IP.
• ID HW: identifiant unique du moteur Erspan dans le système;
• GRA (Granularité de l'horodatage): Spécifie la granularité de l'horodatage. Par exemple, 00B représente 100 microseconde granularité, 01b 100 nanoseconde granularité, granularité 10B IEEE 1588 et 11b nécessite des sous-chefs spécifiques à la plate-forme pour atteindre une granularité plus élevée.
• ID PLATF vs Informations spécifiques à la plate-forme: Les champs d'informations spécifiques à Platf ont des formats et un contenu différents en fonction de la valeur de l'ID PLATF.
Il convient de noter que les différents champs d'en-tête pris en charge ci-dessus peuvent être utilisés dans les applications Erspan ordinaires, même les cadres d'erreur en miroir ou les cadres BPDU, tout en maintenant le package de tronc d'origine et l'ID VLAN. De plus, les informations clés de l'horodatage et d'autres champs d'information peuvent être ajoutées à chaque trame Erspan pendant la mise en miroir.
Avec les en-têtes de fonctionnalités d'Erspan, nous pouvons réaliser une analyse plus raffinée du trafic réseau, puis simplement monter l'ACL correspondant dans le processus Erspan pour correspondre au trafic réseau qui nous intéresse.
Erspan implémente la visibilité de la session RDMA
Prenons un exemple d'utilisation de la technologie Erspan pour réaliser la visualisation de la session RDMA dans un scénario RDMA:
RDMA: L'accès à la mémoire directe à distance permet à l'adaptateur réseau du serveur A de lire et d'écrire la mémoire du serveur B en utilisant des cartes d'interface réseau intelligentes (INIC) et des commutateurs, en réalisant une bande passante élevée, une faible latence et une faible utilisation des ressources. Il est largement utilisé dans les mégadonnées et les scénarios de stockage distribués haute performance.
Rocev2: RDMA sur Converged Ethernet version 2. Les données RDMA sont encapsulées dans l'en-tête UDP. Le numéro de port de destination est 4791.
Le fonctionnement quotidien et le maintien de la RDMA nécessitent la collecte de nombreuses données, qui sont utilisées pour collecter des lignes de référence quotidiennes au niveau de l'eau et des alarmes anormales, ainsi que la base pour localiser des problèmes anormaux. Combiné avec Erspan, les données massives peuvent être capturées rapidement pour obtenir des données de qualité de transfert de microsecondes et l'état d'interaction du protocole de la puce de commutation. Grâce aux statistiques et à l'analyse des données, la RDMA de bout en bout de la qualité de la qualité de la qualité peut être obtenue.
Pour atteindre la visualisation de la session RDAM, nous avons besoin d'Erspan pour faire correspondre les mots clés pour les séances d'interaction RDMA lors de la mise en miroir du trafic, et nous devons utiliser la liste étendue experte.
Liste étendue de niveau d'experts Définition du champ de correspondance:
L'UDF se compose de cinq champs: mot-clé UDF, champ de base, champ de décalage, champ de valeur et champ de masque. Limité par la capacité des entrées matérielles, un total de huit UDF peuvent être utilisés. Un UDF peut correspondre à un maximum de deux octets.
• Mot-clé UDF: UDF1 ... UDF8 contient huit mots clés du domaine correspondant à l'UDF
• Champ de base: identifie la position de début du champ de correspondance UDF. Ce qui suit
L4_Header (applicable à RG-S6520-64CQ)
L5_Header (pour RG-S6510-48VS8CQ)
• Offset: indique le décalage basé sur le champ de base. La valeur varie de 0 à 126
• Champ de valeur: valeur de correspondance. Il peut être utilisé avec le champ de masque pour configurer la valeur spécifique à correspondre. Le bit valide est de deux octets
• Field du masque: masque, bit valide est de deux octets
(Ajouter: si plusieurs entrées sont utilisées dans le même champ de correspondance UDF, les champs de base et de décalage doivent être les mêmes.)
Les deux paquets clés associés au statut de session RDMA sont les paquets de notification de congestion (CNP) et la reconnaissance négative (NAK):
Le premier est généré par le récepteur RDMA après avoir reçu le message ECN envoyé par l'interrupteur (lorsque le tampon Eout atteint le seuil), qui contient des informations sur le flux ou le QP provoquant une congestion. Ce dernier est utilisé pour indiquer que la transmission RDMA a un message de réponse à la perte de paquets.
Voyons comment faire correspondre ces deux messages à l'aide de la liste étendue au niveau de l'expert:
RDMA étendu de la liste d'accès experte
permettre udp n'importe quel eq 4791udf 1 l4_header 8 0x8100 0xff00(Correspondant RG-S6520-64CQ)
permettre udp n'importe quel eq 4791udf 1 l5_header 0 0x8100 0xff00(Correspondant RG-S6510-48VS8CQ)
RDMA étendu de la liste d'accès experte
permettre udp n'importe quel eq 4791udf 1 l4_header 8 0x1100 0xff00 udf 2 l4_header 20 0x6000 0xff00(Correspondant RG-S6520-64CQ)
permettre udp n'importe quel eq 4791udf 1 l5_header 0 0x1100 0xff00 udf 2 l5_header 12 0x6000 0xff00(Correspondant RG-S6510-48VS8CQ)
En tant que dernière étape, vous pouvez visualiser la session RDMA en montant la liste d'extension d'experts dans le processus Erspan approprié.
Écrivez dans le dernier
Erspan est l'un des outils indispensables des réseaux de centres de données de plus en plus grands, du trafic de réseau de plus en plus complexes et des exigences de fonctionnement et de maintenance de plus en plus sophistiquées.
Avec le degré croissant d'automatisation des O&M, des technologies telles que NetConf, RestConf et GRPC sont populaires parmi les étudiants O&M dans les O&M automatique du réseau. L'utilisation de GRPC comme protocole sous-jacent pour renvoyer le trafic miroir présente également de nombreux avantages. Par exemple, sur la base du protocole HTTP / 2, il peut prendre en charge le mécanisme de poussée de streaming sous la même connexion. Avec le codage Protobuf, la taille des informations est réduite de moitié par rapport au format JSON, ce qui rend la transmission de données plus rapide et plus efficace. Imaginez-vous, si vous utilisez Erspan pour refléter les flux intéressés, puis les envoyer au serveur d'analyse sur GRPC, améliorera-t-il considérablement la capacité et l'efficacité du fonctionnement et de la maintenance automatique du réseau?
Heure du poste: mai-10-2022
