Công cụ phổ biến nhất để giám sát và khắc phục sự cố mạng hiện nay là Switch Port Analyzer (SPAN), còn được gọi là Port mirroring. Công cụ này cho phép chúng ta giám sát lưu lượng mạng ở chế độ bypass ngoài băng tần mà không can thiệp vào các dịch vụ trên mạng trực tiếp và gửi một bản sao lưu lượng được giám sát đến các thiết bị cục bộ hoặc từ xa, bao gồm Sniffer, IDS hoặc các loại công cụ phân tích mạng khác.
Một số cách sử dụng điển hình là:
• Khắc phục sự cố mạng bằng cách theo dõi khung dữ liệu/điều khiển;
• Phân tích độ trễ và độ nhiễu bằng cách theo dõi các gói VoIP;
• Phân tích độ trễ bằng cách theo dõi các tương tác mạng;
• Phát hiện các bất thường bằng cách giám sát lưu lượng mạng.
Lưu lượng SPAN có thể được phản chiếu cục bộ tới các cổng khác trên cùng một thiết bị nguồn hoặc được phản chiếu từ xa tới các thiết bị mạng khác liền kề với Lớp 2 của thiết bị nguồn (RSPAN).
Hôm nay chúng ta sẽ nói về công nghệ giám sát lưu lượng truy cập Internet từ xa có tên là ERSPAN (Encapsulated Remote Switch Port Analyzer) có thể được truyền qua ba lớp IP. Đây là phần mở rộng của SPAN cho Encapsulated Remote.
Nguyên lý hoạt động cơ bản của ERSPAN
Đầu tiên, chúng ta hãy xem xét các tính năng của ERSPAN:
• Một bản sao của gói tin từ cổng nguồn được gửi đến máy chủ đích để phân tích thông qua Generic Routing Encapsulation (GRE). Vị trí vật lý của máy chủ không bị hạn chế.
• Với sự trợ giúp của tính năng Trường do người dùng xác định (UDF) của chip, bất kỳ độ lệch nào từ 1 đến 126 byte đều được thực hiện dựa trên miền cơ sở thông qua danh sách mở rộng cấp chuyên gia và các từ khóa phiên được khớp để hiện thực hóa hình ảnh của phiên, chẳng hạn như bắt tay ba chiều TCP và phiên RDMA;
• Hỗ trợ thiết lập tốc độ lấy mẫu;
• Hỗ trợ độ dài chặn gói tin (Packet Slicing), giảm áp lực lên máy chủ mục tiêu.
Với những tính năng này, bạn có thể thấy tại sao ERSPAN lại là công cụ thiết yếu để giám sát mạng bên trong các trung tâm dữ liệu ngày nay.
Chức năng chính của ERSPAN có thể được tóm tắt trong hai khía cạnh:
• Khả năng hiển thị phiên: Sử dụng ERSPAN để thu thập tất cả các phiên TCP và Truy cập bộ nhớ trực tiếp từ xa (RDMA) mới được tạo tới máy chủ phụ trợ để hiển thị;
• Xử lý sự cố mạng: Ghi lại lưu lượng mạng để phân tích lỗi khi xảy ra sự cố mạng.
Để thực hiện điều này, thiết bị mạng nguồn cần lọc lưu lượng mà người dùng quan tâm khỏi luồng dữ liệu lớn, tạo bản sao và đóng gói từng khung sao chép vào một "bộ chứa siêu khung" đặc biệt mang đủ thông tin bổ sung để có thể định tuyến chính xác đến thiết bị nhận. Hơn nữa, cho phép thiết bị nhận trích xuất và khôi phục hoàn toàn lưu lượng được giám sát ban đầu.
Thiết bị nhận có thể là một máy chủ khác hỗ trợ việc giải mã các gói tin ERSPAN.
Phân tích định dạng gói và loại ERSPAN
Các gói ERSPAN được đóng gói bằng GRE và chuyển tiếp đến bất kỳ đích nào có thể định địa chỉ IP qua Ethernet. ERSPAN hiện chủ yếu được sử dụng trên mạng IPv4 và hỗ trợ IPv6 sẽ là yêu cầu bắt buộc trong tương lai.
Đối với cấu trúc đóng gói chung của ERSAPN, sau đây là bản chụp gói tin phản chiếu của các gói tin ICMP:
Giao thức ERSPAN đã phát triển trong một thời gian dài và với sự cải tiến về khả năng của nó, một số phiên bản đã được hình thành, được gọi là "Các loại ERSPAN". Các loại khác nhau có các định dạng tiêu đề khung khác nhau.
Nó được định nghĩa trong trường Phiên bản đầu tiên của tiêu đề ERSPAN:
Ngoài ra, trường Protocol Type trong tiêu đề GRE cũng chỉ ra ERSPAN Type nội bộ. Trường Protocol Type 0x88BE chỉ ra ERSPAN Type II và 0x22EB chỉ ra ERSPAN Type III.
1. Loại I
Khung ERSPAN của Loại I đóng gói IP và GRE trực tiếp trên tiêu đề của khung phản chiếu gốc. Đóng gói này thêm 38 byte vào khung gốc: 14(MAC) + 20 (IP) + 4(GRE). Ưu điểm của định dạng này là nó có kích thước tiêu đề nhỏ gọn và giảm chi phí truyền tải. Tuy nhiên, vì nó đặt các trường GRE Flag và Version thành 0, nên nó không mang bất kỳ trường mở rộng nào và Loại I không được sử dụng rộng rãi, do đó không cần phải mở rộng thêm.
Định dạng tiêu đề GRE loại I như sau:
2. Loại II
Trong Type II, các trường C, R, K, S, S, Recur, Flags và Version trong tiêu đề GRE đều là 0 ngoại trừ trường S. Do đó, trường Sequence Number được hiển thị trong tiêu đề GRE của Type II. Nghĩa là Type II có thể đảm bảo thứ tự nhận các gói GRE, do đó, một số lượng lớn các gói GRE không theo thứ tự không thể được sắp xếp do lỗi mạng.
Định dạng tiêu đề GRE của Loại II như sau:
Ngoài ra, định dạng khung ERSPAN Loại II còn thêm tiêu đề ERSPAN 8 byte vào giữa tiêu đề GRE và khung phản chiếu gốc.
Định dạng tiêu đề ERSPAN cho Loại II như sau:
Cuối cùng, ngay sau khung hình ảnh gốc là mã kiểm tra dự phòng tuần hoàn (CRC) Ethernet 4 byte tiêu chuẩn.
Cần lưu ý rằng trong quá trình triển khai, khung phản chiếu không chứa trường FCS của khung gốc, thay vào đó, giá trị CRC mới được tính toán lại dựa trên toàn bộ ERSPAN. Điều này có nghĩa là thiết bị nhận không thể xác minh tính chính xác của CRC của khung gốc và chúng ta chỉ có thể cho rằng chỉ những khung không bị hỏng mới được phản chiếu.
3. Loại III
Type III giới thiệu một tiêu đề tổng hợp lớn hơn và linh hoạt hơn để giải quyết các tình huống giám sát mạng ngày càng phức tạp và đa dạng, bao gồm nhưng không giới hạn ở quản lý mạng, phát hiện xâm nhập, phân tích hiệu suất và độ trễ, v.v. Các cảnh này cần biết tất cả các tham số gốc của khung phản chiếu và bao gồm các tham số không có trong chính khung gốc.
Tiêu đề hỗn hợp ERSPAN Loại III bao gồm tiêu đề bắt buộc 12 byte và tiêu đề phụ tùy chọn 8 byte dành riêng cho nền tảng.
Định dạng tiêu đề ERSPAN cho Loại III như sau:
Một lần nữa, sau khung phản chiếu gốc là CRC 4 byte.
Như có thể thấy từ định dạng tiêu đề của Loại III, ngoài việc giữ nguyên các trường Ver, VLAN, COS, T và Session ID trên cơ sở Loại II, nhiều trường đặc biệt được thêm vào, chẳng hạn như:
• BSO: được sử dụng để chỉ tính toàn vẹn của tải các khung dữ liệu được truyền qua ERSPAN. 00 là khung tốt, 11 là khung xấu, 01 là khung ngắn, 11 là khung lớn;
• Dấu thời gian: được xuất từ đồng hồ phần cứng được đồng bộ hóa với thời gian hệ thống. Trường 32 bit này hỗ trợ ít nhất 100 micro giây của độ chi tiết Dấu thời gian;
• Kiểu khung (P) và Kiểu khung (FT): kiểu khung trước được dùng để chỉ định xem ERSPAN có mang khung giao thức Ethernet (khung PDU) hay không, còn kiểu khung sau được dùng để chỉ định xem ERSPAN có mang khung Ethernet hay gói IP hay không.
• HW ID: mã định danh duy nhất của công cụ ERSPAN trong hệ thống;
• Gra (Timestamp Granularity): Chỉ định độ chi tiết của Timestamp. Ví dụ, 00B biểu thị độ chi tiết 100 micro giây, 01B độ chi tiết 100 nano giây, 10B IEEE 1588 độ chi tiết và 11B yêu cầu các tiêu đề phụ dành riêng cho nền tảng để đạt được độ chi tiết cao hơn.
• ID nền tảng so với thông tin cụ thể về nền tảng: Các trường Thông tin cụ thể về nền tảng có định dạng và nội dung khác nhau tùy thuộc vào giá trị ID nền tảng.
Cần lưu ý rằng các trường tiêu đề khác nhau được hỗ trợ ở trên có thể được sử dụng trong các ứng dụng ERSPAN thông thường, thậm chí là phản chiếu khung lỗi hoặc khung BPDU, trong khi vẫn duy trì gói Trunk gốc và ID VLAN. Ngoài ra, thông tin dấu thời gian chính và các trường thông tin khác có thể được thêm vào mỗi khung ERSPAN trong quá trình phản chiếu.
Với các tiêu đề tính năng riêng của ERSPAN, chúng ta có thể phân tích lưu lượng mạng một cách chi tiết hơn, sau đó chỉ cần gắn ACL tương ứng vào quy trình ERSPAN để khớp với lưu lượng mạng mà chúng ta quan tâm.
ERSPAN triển khai khả năng hiển thị phiên RDMA
Hãy lấy một ví dụ về việc sử dụng công nghệ ERSPAN để đạt được khả năng trực quan hóa phiên RDMA trong tình huống RDMA:
RDMA: Truy cập bộ nhớ trực tiếp từ xa cho phép bộ điều hợp mạng của máy chủ A đọc và ghi bộ nhớ của máy chủ B bằng cách sử dụng các card giao diện mạng thông minh (inics) và các công tắc, đạt được băng thông cao, độ trễ thấp và sử dụng tài nguyên thấp. Nó được sử dụng rộng rãi trong các tình huống lưu trữ phân tán dữ liệu lớn và hiệu suất cao.
RoCEv2: RDMA qua Ethernet hội tụ Phiên bản 2. Dữ liệu RDMA được đóng gói trong UDP Header. Số cổng đích là 4791.
Hoạt động và bảo trì RDMA hàng ngày đòi hỏi phải thu thập rất nhiều dữ liệu, được sử dụng để thu thập các đường tham chiếu mực nước hàng ngày và các cảnh báo bất thường, cũng như cơ sở để xác định các vấn đề bất thường. Kết hợp với ERSPAN, dữ liệu lớn có thể được thu thập nhanh chóng để có được dữ liệu chất lượng chuyển tiếp micro giây và trạng thái tương tác giao thức của chip chuyển mạch. Thông qua thống kê và phân tích dữ liệu, có thể thu được đánh giá và dự đoán chất lượng chuyển tiếp RDMA từ đầu đến cuối.
Để đạt được khả năng trực quan hóa phiên RDAM, chúng ta cần ERSPAN để khớp các từ khóa cho các phiên tương tác RDMA khi phản chiếu lưu lượng và chúng ta cần sử dụng danh sách mở rộng chuyên gia.
Định nghĩa trường khớp với danh sách mở rộng cấp độ chuyên gia:
UDF bao gồm năm trường: từ khóa UDF, trường cơ sở, trường offset, trường giá trị và trường mặt nạ. Do giới hạn bởi dung lượng của các mục nhập phần cứng, tổng cộng có thể sử dụng tám UDF. Một UDF có thể khớp tối đa hai byte.
• Từ khóa UDF: UDF1... UDF8 Bao gồm tám từ khóa của miền khớp UDF
• Trường cơ sở: xác định vị trí bắt đầu của trường khớp UDF. Sau đây
L4_header (áp dụng cho RG-S6520-64CQ)
L5_header (dành cho RG-S6510-48VS8Cq)
• Offset: biểu thị offset dựa trên trường cơ sở. Giá trị nằm trong khoảng từ 0 đến 126
• Trường giá trị: giá trị khớp. Có thể sử dụng cùng với trường mặt nạ để cấu hình giá trị cụ thể cần khớp. Bit hợp lệ là hai byte
• Trường mặt nạ: mặt nạ, bit hợp lệ là hai byte
(Thêm: Nếu nhiều mục nhập được sử dụng trong cùng một trường khớp UDF, thì trường cơ sở và trường bù trừ phải giống nhau.)
Hai gói tin chính liên quan đến trạng thái phiên RDMA là Gói thông báo tắc nghẽn (CNP) và Xác nhận tiêu cực (NAK):
Cái trước được tạo ra bởi bộ thu RDMA sau khi nhận được tin nhắn ECN do bộ chuyển mạch gửi (khi Bộ đệm eout đạt đến ngưỡng), chứa thông tin về luồng hoặc QP gây ra tắc nghẽn. Cái sau được sử dụng để chỉ ra rằng truyền RDMA có tin nhắn phản hồi mất gói tin.
Hãy cùng xem cách so khớp hai thông điệp này bằng cách sử dụng danh sách mở rộng cấp chuyên gia:
danh sách truy cập chuyên gia mở rộng rdma
cho phép udp bất kỳ bất kỳ bất kỳ eq 4791udf 1 l4_header 8 0x8100 0xFF00(Phù hợp với RG-S6520-64CQ)
cho phép udp bất kỳ bất kỳ bất kỳ eq 4791udf 1 l5_header 0 0x8100 0xFF00(Phù hợp với RG-S6510-48VS8CQ)
danh sách truy cập chuyên gia mở rộng rdma
cho phép udp bất kỳ bất kỳ bất kỳ eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Phù hợp với RG-S6520-64CQ)
cho phép udp bất kỳ bất kỳ bất kỳ eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Phù hợp với RG-S6510-48VS8CQ)
Bước cuối cùng, bạn có thể trực quan hóa phiên RDMA bằng cách gắn danh sách tiện ích mở rộng chuyên gia vào quy trình ERSPAN thích hợp.
Viết vào cuối cùng
ERSPAN là một trong những công cụ không thể thiếu trong các mạng trung tâm dữ liệu ngày càng lớn hiện nay, lưu lượng mạng ngày càng phức tạp và các yêu cầu vận hành và bảo trì mạng ngày càng tinh vi.
Với mức độ tự động hóa O&M ngày càng tăng, các công nghệ như Netconf, RESTconf và gRPC rất phổ biến trong số các sinh viên O&M trong O&M tự động mạng. Sử dụng gRPC làm giao thức cơ bản để gửi lại lưu lượng phản chiếu cũng có nhiều lợi thế. Ví dụ, dựa trên giao thức HTTP/2, nó có thể hỗ trợ cơ chế đẩy luồng trong cùng một kết nối. Với mã hóa ProtoBuf, kích thước thông tin được giảm một nửa so với định dạng JSON, giúp truyền dữ liệu nhanh hơn và hiệu quả hơn. Hãy tưởng tượng xem, nếu bạn sử dụng ERSPAN để phản chiếu các luồng quan tâm rồi gửi chúng đến máy chủ phân tích trên gRPC, liệu nó có cải thiện đáng kể khả năng và hiệu quả của hoạt động và bảo trì tự động mạng không?
Thời gian đăng: 10-05-2022
