Công cụ phổ biến nhất để giám sát và xử lý sự cố mạng ngày nay là Trình phân tích cổng chuyển đổi (SPAN), còn được gọi là phản chiếu cổng. Nó cho phép chúng tôi giám sát lưu lượng mạng ở chế độ băng thông mà không can thiệp vào các dịch vụ trên mạng trực tiếp và gửi một bản sao lưu lượng truy cập được giám sát đến các thiết bị cục bộ hoặc từ xa, bao gồm Sniffer, IDS hoặc các loại công cụ phân tích mạng khác.
Một số cách sử dụng điển hình là:
• Khắc phục sự cố mạng bằng cách theo dõi các khung điều khiển/dữ liệu;
• Phân tích độ trễ và jitter bằng cách theo dõi các gói VoIP;
• Phân tích độ trễ bằng cách giám sát các tương tác mạng;
• Phát hiện sự bất thường bằng cách giám sát lưu lượng mạng.
Lưu lượng truy cập có thể được nhân đôi cục bộ đến các cổng khác trên cùng một thiết bị nguồn hoặc được nhân đôi từ xa đến các thiết bị mạng khác liền kề với lớp 2 của thiết bị nguồn (RSPAN).
Hôm nay chúng ta sẽ nói về công nghệ giám sát lưu lượng truy cập internet từ xa được gọi là ERSPAN (Máy phân tích cổng chuyển mạch từ xa được đóng gói) có thể được truyền qua ba lớp IP. Đây là một phần mở rộng của nhịp để đóng gói điều khiển từ xa.
Nguyên tắc hoạt động cơ bản của Erspan
Đầu tiên, chúng ta hãy xem các tính năng của Erspan:
• Một bản sao của gói từ cổng nguồn được gửi đến máy chủ đích để phân tích cú pháp thông qua đóng gói định tuyến chung (GRE). Vị trí vật lý của máy chủ không bị hạn chế.
• Với sự trợ giúp của tính năng Trường do người dùng xác định (UDF) của chip, bất kỳ độ lệch nào từ 1 đến 126 byte được thực hiện dựa trên miền cơ sở thông qua danh sách mở rộng cấp độ chuyên gia và các từ khóa phiên được khớp để nhận ra phiên bản trực quan của phiên, chẳng hạn như phiên giỏ ba chiều và phiên bản RDMA;
• Hỗ trợ thiết lập tỷ lệ lấy mẫu;
• Hỗ trợ độ dài đánh chặn gói (cắt gói), giảm áp lực lên máy chủ đích.
Với các tính năng này, bạn có thể thấy lý do tại sao ERSPAN là một công cụ thiết yếu để giám sát các mạng bên trong các trung tâm dữ liệu ngày nay.
Các chức năng chính của ERSPAN có thể được tóm tắt thành hai khía cạnh:
• Khả năng hiển thị phiên: Sử dụng ERSPAN để thu thập tất cả các phiên truy cập bộ nhớ trực tiếp (RDMA) mới được tạo của TCP và từ xa để hiển thị;
• Khắc phục sự cố mạng: nắm bắt lưu lượng mạng để phân tích lỗi khi xảy ra sự cố mạng.
Để thực hiện điều này, thiết bị mạng nguồn cần lọc lưu lượng truy cập quan tâm đến người dùng từ luồng dữ liệu lớn, tạo một bản sao và đóng gói từng khung bản sao thành một "container siêu khung" đặc biệt mang đủ thông tin để có thể được định tuyến chính xác đến thiết bị nhận. Hơn nữa, cho phép thiết bị nhận để trích xuất và khôi phục hoàn toàn lưu lượng truy cập được giám sát ban đầu.
Thiết bị nhận có thể là một máy chủ khác hỗ trợ các gói ERSPAN định sai.
Phân tích định dạng gói ERSPAN và định dạng gói
Các gói ERSPAN được gói gọn bằng GRE và được chuyển tiếp đến bất kỳ đích đến địa chỉ IP nào qua Ethernet. ERSPAN hiện chủ yếu được sử dụng trên các mạng IPv4 và hỗ trợ IPv6 sẽ là một yêu cầu trong tương lai.
Đối với cấu trúc đóng gói chung của ERSAPN, sau đây là việc thu thập gói gương của các gói ICMP:
Giao thức ERSPAN đã phát triển trong một thời gian dài và với sự tăng cường khả năng của nó, một số phiên bản đã được hình thành, được gọi là "các loại ERSPAN". Các loại khác nhau có định dạng tiêu đề khung khác nhau.
Nó được xác định trong trường phiên bản đầu tiên của tiêu đề ERSPAN:
Ngoài ra, trường loại giao thức trong tiêu đề GRE cũng chỉ ra loại ERSPAN bên trong. Trường loại giao thức 0x88be chỉ ra ERSPAN loại II và 0x22EB chỉ ra ERSPAN TYPE III.
1. Loại i
Khung ERSPAN của Loại I gói gọn IP và GRE trực tiếp qua tiêu đề của khung gương gốc. Việc đóng gói này thêm 38 byte trên khung ban đầu: 14 (Mac) + 20 (IP) + 4 (GRE). Ưu điểm của định dạng này là nó có kích thước tiêu đề nhỏ gọn và giảm chi phí truyền. Tuy nhiên, vì nó đặt các trường GRE Flag và phiên bản thành 0, nó không mang bất kỳ trường mở rộng nào và loại I không được sử dụng rộng rãi, do đó không cần phải mở rộng thêm.
Định dạng tiêu đề GRE của loại I như sau:
2. Loại II
Trong loại II, C, R, K, S, S, Recur, cờ và các trường phiên bản trong tiêu đề GRE đều là 0 ngoại trừ trường S. Do đó, trường số trình tự được hiển thị trong tiêu đề GRE của loại II. Đó là, loại II có thể đảm bảo thứ tự nhận các gói GRE, do đó không thể sắp xếp một số lượng lớn các gói GRE ngoài thứ tự do lỗi mạng.
Định dạng tiêu đề GRE của loại II như sau:
Ngoài ra, định dạng khung ERSPAN TYPE II bổ sung tiêu đề ERSPAN 8 byte giữa tiêu đề GRE và khung được nhân đôi ban đầu.
Định dạng tiêu đề ERSPAN cho loại II như sau:
Cuối cùng, ngay sau khung hình ảnh gốc, là mã kiểm tra dự phòng tuần hoàn (CRC) 4 byte tiêu chuẩn.
Điều đáng chú ý là trong quá trình triển khai, khung gương không chứa trường FCS của khung ban đầu, thay vào đó, giá trị CRC mới được tính toán lại dựa trên toàn bộ ERSPAN. Điều này có nghĩa là thiết bị nhận không thể xác minh tính chính xác của CRC của khung gốc và chúng ta chỉ có thể giả định rằng chỉ có các khung không được phát hiện được nhân đôi.
3. Loại III
Loại III giới thiệu một tiêu đề tổng hợp lớn hơn và linh hoạt hơn để giải quyết các kịch bản giám sát mạng ngày càng phức tạp và đa dạng, bao gồm nhưng không giới hạn trong quản lý mạng, phát hiện xâm nhập, phân tích hiệu suất và độ trễ, v.v. Những cảnh này cần biết tất cả các tham số gốc của khung gương và bao gồm những cảnh không có trong chính khung ban đầu.
Tiêu đề tổng hợp ERSPAN TYPE III bao gồm tiêu đề 12 byte bắt buộc và một tiêu đề phụ thuộc nền tảng 8 byte tùy chọn.
Định dạng tiêu đề ERSPAN cho loại III như sau:
Một lần nữa, sau khung gương gốc là CRC 4 byte.
Như có thể thấy từ định dạng tiêu đề của loại III, ngoài việc giữ lại các trường Ver, Vlan, COS, T và phiên ID trên cơ sở loại II, nhiều trường đặc biệt được thêm vào, chẳng hạn như:
• BSO: Được sử dụng để chỉ ra tính toàn vẹn tải của các khung dữ liệu được thực hiện thông qua ERSPAN. 00 là khung tốt, 11 là khung xấu, 01 là khung ngắn, 11 là một khung lớn;
• Dấu thời gian: Xuất từ đồng hồ phần cứng được đồng bộ hóa với thời gian hệ thống. Trường 32 bit này hỗ trợ ít nhất 100 micro giây về độ chi tiết dấu thời gian;
• Loại khung (P) và loại khung (ft): Cái trước được sử dụng để chỉ định xem ERSPAN có mang theo các khung giao thức Ethernet (khung PDU) hay không và loại sau được sử dụng để chỉ định liệu ERSPAN có mang theo khung Ethernet hoặc gói IP hay không.
• ID HW: Định danh duy nhất của động cơ ERSPAN trong hệ thống;
• GRA (Độ chi tiết của dấu thời gian): Chỉ định độ chi tiết của dấu thời gian. Ví dụ, 00B đại diện cho độ chi tiết 100 micro giây, độ chi tiết của 01B 100 nano giây, 10b IEEE 1588 Độ chi tiết và 11B yêu cầu các tiêu đề phụ đặc trưng cho nền tảng để đạt được độ chi tiết cao hơn.
• ID Platf so với thông tin cụ thể của nền tảng: Các trường thông tin cụ thể của Platf có các định dạng và nội dung khác nhau tùy thuộc vào giá trị ID Platf.
Cần lưu ý rằng các trường tiêu đề khác nhau được hỗ trợ ở trên có thể được sử dụng trong các ứng dụng ERSPAN thông thường, thậm chí phản chiếu khung lỗi hoặc khung BPDU, trong khi vẫn duy trì gói trung kế ban đầu và ID Vlan. Ngoài ra, thông tin dấu thời gian chính và các trường thông tin khác có thể được thêm vào mỗi khung ERSPAN trong quá trình phản chiếu.
Với các tiêu đề tính năng riêng của ERSPAN, chúng tôi có thể đạt được phân tích tinh tế hơn về lưu lượng mạng và sau đó chỉ cần gắn ACL tương ứng trong quy trình ERSPAN để phù hợp với lưu lượng mạng mà chúng tôi quan tâm.
Erspan thực hiện khả năng hiển thị phiên RDMA
Chúng ta hãy lấy một ví dụ về việc sử dụng công nghệ ERSPAN để đạt được trực quan hóa phiên RDMA trong kịch bản RDMA:
RDMA: Truy cập bộ nhớ trực tiếp từ xa cho phép bộ điều hợp mạng của máy chủ A đọc và ghi bộ nhớ của máy chủ B bằng cách sử dụng thẻ giao diện mạng thông minh (INICS) và chuyển đổi, đạt được băng thông cao, độ trễ thấp và sử dụng tài nguyên thấp. Nó được sử dụng rộng rãi trong dữ liệu lớn và các kịch bản lưu trữ phân tán hiệu suất cao.
Rocev2: RDMA trên Ethernet hội tụ phiên bản 2. Dữ liệu RDMA được gói gọn trong tiêu đề UDP. Số cổng đích là 4791.
Hoạt động hàng ngày và bảo trì RDMA đòi hỏi phải thu thập nhiều dữ liệu, được sử dụng để thu thập các đường tham chiếu mực nước hàng ngày và báo động bất thường, cũng như cơ sở để định vị các vấn đề bất thường. Kết hợp với ERSPAN, dữ liệu lớn có thể được ghi lại một cách nhanh chóng để có được trạng thái tương tác giao thức chuyển tiếp chất lượng và giao thức của chip. Thông qua thống kê và phân tích dữ liệu, có thể thu được đánh giá chất lượng và dự đoán chuyển tiếp từ đầu đến cuối của RDMA.
Để đạt được trực quan hóa phiên RDAM, chúng tôi cần ERSPAN để phù hợp với các từ khóa cho các phiên tương tác RDMA khi phản ánh lưu lượng truy cập và chúng tôi cần sử dụng danh sách mở rộng của chuyên gia.
Định nghĩa trường khớp danh sách mở rộng cấp độ chuyên gia: Định nghĩa trường:
UDF bao gồm năm trường: từ khóa UDF, trường cơ sở, trường bù, trường giá trị và trường mặt nạ. Giới hạn bởi công suất của các mục phần cứng, có thể sử dụng tổng cộng tám UDF. Một UDF có thể khớp với tối đa hai byte.
• Từ khóa UDF: UDF1 ... UDF8 chứa tám từ khóa của miền khớp UDF
• Trường cơ sở: Xác định vị trí bắt đầu của trường khớp UDF. Sau đây
L4_header (áp dụng cho RG-S6520-64CQ)
L5_header (cho RG-S6510-48VS8CQ)
• Offset: Cho biết độ lệch dựa trên trường cơ sở. Giá trị dao động từ 0 đến 126
• Trường giá trị: Giá trị khớp. Nó có thể được sử dụng cùng với trường Mặt nạ để định cấu hình giá trị cụ thể được khớp. Bit hợp lệ là hai byte
• Trường Mặt nạ: Mặt nạ, bit hợp lệ là hai byte
(Thêm: Nếu nhiều mục được sử dụng trong cùng một trường khớp UDF, các trường cơ sở và bù phải giống nhau.)
Hai gói chính liên quan đến trạng thái phiên RDMA là gói thông báo tắc nghẽn (CNP) và xác nhận tiêu cực (NAK):
Cái trước được tạo bởi bộ thu RDMA sau khi nhận được thông báo ECN được gửi bởi công tắc (khi bộ đệm Eout đạt đến ngưỡng), chứa thông tin về luồng hoặc QP gây tắc nghẽn. Loại thứ hai được sử dụng để chỉ ra truyền RDMA có thông báo phản hồi tổn thất gói.
Chúng ta hãy xem cách khớp hai tin nhắn này bằng danh sách mở rộng cấp chuyên gia:
Danh sách truy cập chuyên gia RDMA
cho phép UDP bất kỳ bất kỳ bất kỳ eq 4791 nàoUDF 1 L4_Header 8 0x8100 0xFF00(Phù hợp với RG-S6520-64CQ)
cho phép UDP bất kỳ bất kỳ bất kỳ eq 4791 nàoudf 1 l5_header 0 0x8100 0xFF00(Phù hợp với RG-S6510-48VS8CQ)
Danh sách truy cập chuyên gia RDMA
cho phép UDP bất kỳ bất kỳ bất kỳ eq 4791 nàoUDF 1 L4_Header 8 0x1100 0xFF00 UDF 2 L4_HEADER 20 0x6000 0xFF00(Phù hợp với RG-S6520-64CQ)
cho phép UDP bất kỳ bất kỳ bất kỳ eq 4791 nàoUDF 1 L5_header 0 0x1100 0xFF00 UDF 2 L5_Header 12 0x6000 0xFF00(Phù hợp với RG-S6510-48VS8CQ)
Là bước cuối cùng, bạn có thể trực quan hóa phiên RDMA bằng cách gắn danh sách mở rộng chuyên gia vào quy trình ERSPAN thích hợp.
Viết vào cuối cùng
ERSPAN là một trong những công cụ không thể thiếu trong các mạng trung tâm dữ liệu ngày càng lớn, lưu lượng mạng ngày càng phức tạp và các yêu cầu bảo trì và vận hành mạng ngày càng tinh vi.
Với mức độ tự động hóa O & M ngày càng tăng, các công nghệ như NetConf, RESTCONF và GRPC rất phổ biến đối với các sinh viên O & M trong mạng tự động O & M. Sử dụng GRPC làm giao thức cơ bản để gửi lại lưu lượng truy cập gương cũng có nhiều lợi thế. Ví dụ: dựa trên giao thức HTTP/2, nó có thể hỗ trợ cơ chế đẩy phát trực tuyến theo cùng một kết nối. Với mã hóa protobuf, kích thước của thông tin được giảm một nửa so với định dạng JSON, làm cho việc truyền dữ liệu nhanh hơn và hiệu quả hơn. Chỉ cần tưởng tượng, nếu bạn sử dụng ERSPAN để phản ánh các luồng quan tâm và sau đó gửi chúng đến máy chủ phân tích trên GRPC, liệu nó có cải thiện đáng kể khả năng và hiệu quả của hoạt động và bảo trì tự động mạng không?
Thời gian đăng: Tháng 5-10-2022
