Quá khứ và hiện tại của ERSPAN về Khả năng hiển thị Mạng Mylinking™

Công cụ phổ biến nhất để giám sát và khắc phục sự cố mạng hiện nay là Switch Port Phân tích (SPAN), còn được gọi là Phản chiếu cổng. Nó cho phép chúng tôi giám sát lưu lượng truy cập mạng ở chế độ bỏ qua băng tần mà không can thiệp vào các dịch vụ trên mạng trực tiếp và gửi bản sao lưu lượng được giám sát đến các thiết bị cục bộ hoặc từ xa, bao gồm Sniffer, IDS hoặc các loại công cụ phân tích mạng khác.

Một số cách sử dụng điển hình là:

• Khắc phục sự cố mạng bằng cách theo dõi các khung điều khiển/dữ liệu;

• Phân tích độ trễ và jitter bằng cách giám sát các gói VoIP;

• Phân tích độ trễ bằng cách giám sát các tương tác mạng;

• Phát hiện sự bất thường bằng cách giám sát lưu lượng mạng.

Lưu lượng SPAN có thể được phản chiếu cục bộ tới các cổng khác trên cùng một thiết bị nguồn hoặc được phản chiếu từ xa tới các thiết bị mạng khác liền kề với Lớp 2 của thiết bị nguồn (RSPAN).

Hôm nay chúng ta sẽ nói về công nghệ giám sát lưu lượng truy cập Internet từ xa được gọi là ERSPAN (Bộ phân tích cổng chuyển mạch từ xa được đóng gói) có thể được truyền qua ba lớp IP. Đây là phần mở rộng của SPAN cho Điều khiển từ xa được đóng gói.

Nguyên lý hoạt động cơ bản của ERSPAN

Trước tiên, chúng ta hãy xem các tính năng của ERSPAN:

• Một bản sao của gói từ cổng nguồn được gửi đến máy chủ đích để phân tích cú pháp thông qua Đóng gói định tuyến chung (GRE). Vị trí vật lý của máy chủ không bị hạn chế.

• Với sự trợ giúp của tính năng Trường do người dùng xác định (UDF) của chip, mọi khoảng chênh lệch từ 1 đến 126 byte đều được thực hiện dựa trên Miền cơ sở thông qua danh sách mở rộng cấp chuyên gia và các từ khóa phiên được khớp để hiện thực hóa trực quan hóa của phiên, chẳng hạn như bắt tay ba chiều TCP và phiên RDMA;

• Hỗ trợ cài đặt tốc độ lấy mẫu;

• Hỗ trợ độ dài chặn gói tin (Packet Slicing), giảm áp lực lên máy chủ mục tiêu.

Với những tính năng này, bạn có thể hiểu tại sao ERSPAN là một công cụ thiết yếu để giám sát mạng bên trong trung tâm dữ liệu ngày nay.

Các chức năng chính của ERSPAN có thể được tóm tắt theo hai khía cạnh:

• Khả năng hiển thị phiên: Sử dụng ERSPAN để thu thập tất cả các phiên TCP và Truy cập bộ nhớ trực tiếp từ xa (RDMA) mới được tạo tới máy chủ phụ trợ để hiển thị;

• Xử lý sự cố mạng: Ghi lại lưu lượng truy cập mạng để phân tích lỗi khi xảy ra sự cố mạng.

Để thực hiện điều này, thiết bị mạng nguồn cần lọc lưu lượng mà người dùng quan tâm khỏi luồng dữ liệu khổng lồ, tạo một bản sao và đóng gói từng khung sao chép vào một "vùng chứa siêu khung" đặc biệt mang đủ thông tin bổ sung để có thể được định tuyến chính xác đến thiết bị nhận. Hơn nữa, cho phép thiết bị nhận trích xuất và khôi phục hoàn toàn lưu lượng được giám sát ban đầu.

Thiết bị nhận có thể là một máy chủ khác hỗ trợ giải mã các gói ERSPAN.

Đóng gói các gói ERSPAN

Phân tích định dạng gói và loại ERSPAN

Các gói ERSPAN được đóng gói bằng GRE và chuyển tiếp đến bất kỳ đích có địa chỉ IP nào qua Ethernet. ERSPAN hiện chủ yếu được sử dụng trên mạng IPv4 và hỗ trợ IPv6 sẽ là một yêu cầu cần thiết trong tương lai.

Đối với cấu trúc đóng gói chung của ERSAPN, sau đây là bản chụp gói nhân bản của các gói ICMP:

cấu trúc đóng gói của ERSAPN

Giao thức ERSPAN đã phát triển trong một thời gian dài và với việc nâng cao khả năng của nó, một số phiên bản đã được hình thành, được gọi là "Các loại ERSPAN". Các loại khác nhau có định dạng tiêu đề khung khác nhau.

Nó được xác định trong trường Phiên bản đầu tiên của tiêu đề ERSPAN:

Phiên bản tiêu đề ERSPAN

Ngoài ra, trường Loại giao thức trong tiêu đề GRE cũng cho biết Loại ERSPAN nội bộ. Trường Loại giao thức 0x88BE biểu thị ERSPAN Loại II và 0x22EB biểu thị ERSPAN Loại III.

1. Loại I

Khung ERSPAN của Loại I đóng gói IP và GRE trực tiếp trên tiêu đề của khung gương gốc. Việc đóng gói này thêm 38 byte so với khung ban đầu: 14(MAC) + 20 (IP) + 4(GRE). Ưu điểm của định dạng này là nó có kích thước tiêu đề nhỏ gọn và giảm chi phí truyền tải. Tuy nhiên, vì nó đặt các trường Cờ GRE và Phiên bản thành 0 nên nó không mang bất kỳ trường mở rộng nào và Loại I không được sử dụng rộng rãi nên không cần phải mở rộng thêm.

Định dạng tiêu đề GRE của Loại I như sau:

Định dạng tiêu đề GRE I

2. Loại II

Trong Loại II, các trường C, R, K, S, S, Recur, Flags và Version trong tiêu đề GRE đều bằng 0 ngoại trừ trường S. Do đó, trường Số thứ tự được hiển thị trong tiêu đề GRE của Loại II. Nghĩa là, Loại II có thể đảm bảo thứ tự nhận các gói GRE, do đó không thể sắp xếp một số lượng lớn các gói GRE không đúng thứ tự do lỗi mạng.

Định dạng tiêu đề GRE của Loại II như sau:

Định dạng tiêu đề GRE II

Ngoài ra, định dạng khung ERSPAN Loại II thêm tiêu đề ERSPAN 8 byte giữa tiêu đề GRE và khung được phản chiếu ban đầu.

Định dạng tiêu đề ERSPAN cho Loại II như sau:

Định dạng tiêu đề ERSPAN II

Cuối cùng, ngay sau khung hình ảnh gốc là mã kiểm tra dự phòng theo chu kỳ Ethernet (CRC) 4 byte tiêu chuẩn.

CRC

Điều đáng chú ý là trong quá trình triển khai, khung gương không chứa trường FCS của khung gốc, thay vào đó giá trị CRC mới được tính toán lại dựa trên toàn bộ ERSPAN. Điều này có nghĩa là thiết bị nhận không thể xác minh tính chính xác của CRC của khung gốc và chúng tôi chỉ có thể giả định rằng chỉ những khung không bị hỏng mới được phản chiếu.

3. Loại III

Loại III giới thiệu một tiêu đề tổng hợp lớn hơn và linh hoạt hơn để giải quyết các tình huống giám sát mạng ngày càng phức tạp và đa dạng, bao gồm nhưng không giới hạn ở quản lý mạng, phát hiện xâm nhập, phân tích hiệu suất và độ trễ, v.v. Những cảnh này cần biết tất cả các thông số ban đầu của khung gương và bao gồm những thông số không có trong chính khung hình gốc.

Tiêu đề tổng hợp ERSPAN Loại III bao gồm tiêu đề 12 byte bắt buộc và tiêu đề phụ dành riêng cho nền tảng 8 byte tùy chọn.

Định dạng tiêu đề ERSPAN cho Loại III như sau:

Định dạng tiêu đề ERSPAN III

Một lần nữa, sau khung gương ban đầu là CRC 4 byte.

CRC

Có thể thấy từ định dạng tiêu đề của Loại III, ngoài việc giữ lại các trường Ver, VLAN, COS, T và Session ID trên cơ sở Loại II, nhiều trường đặc biệt được thêm vào, chẳng hạn như:

• BSO: dùng để biểu thị tính toàn vẹn tải của các khung dữ liệu được truyền qua ERSPAN. 00 là khung tốt, 11 là khung xấu, 01 là khung ngắn, 11 là khung lớn;

• Dấu thời gian: xuất từ ​​đồng hồ phần cứng được đồng bộ hóa với thời gian hệ thống. Trường 32 bit này hỗ trợ độ chi tiết của Dấu thời gian ít nhất 100 micro giây;

• Loại khung (P) và Loại khung (FT): loại khung được sử dụng để chỉ định liệu ERSPAN có mang các khung giao thức Ethernet (khung PDU) hay không và loại khung sau được sử dụng để chỉ định liệu ERSPAN mang khung Ethernet hay gói IP.

• ID HW: mã định danh duy nhất của công cụ ERSPAN trong hệ thống;

• Gra (Độ chi tiết của Dấu thời gian): Chỉ định Độ chi tiết của Dấu thời gian. Ví dụ: 00B đại diện cho Độ chi tiết 100 micro giây, Độ chi tiết 01B 100 nano giây, Độ chi tiết 10B IEEE 1588 và 11B yêu cầu các tiêu đề phụ dành riêng cho nền tảng để đạt được Độ chi tiết cao hơn.

• ID Platf so với Thông tin cụ thể về nền tảng: Các trường Thông tin cụ thể của Platf có định dạng và nội dung khác nhau tùy thuộc vào giá trị ID Platf.

Chỉ mục ID cổng

Cần lưu ý rằng các trường tiêu đề khác nhau được hỗ trợ ở trên có thể được sử dụng trong các ứng dụng ERSPAN thông thường, thậm chí phản ánh các khung lỗi hoặc khung BPDU, trong khi vẫn duy trì gói Trunk và Vlan ID ban đầu. Ngoài ra, thông tin dấu thời gian chính và các trường thông tin khác có thể được thêm vào từng khung ERSPAN trong quá trình phản chiếu.

Với các tiêu đề tính năng riêng của ERSPAN, chúng tôi có thể đạt được phân tích lưu lượng mạng tinh tế hơn và sau đó chỉ cần gắn ACL tương ứng vào quy trình ERSPAN để phù hợp với lưu lượng mạng mà chúng tôi quan tâm.

ERSPAN triển khai khả năng hiển thị phiên RDMA

Hãy lấy một ví dụ về việc sử dụng công nghệ ERSPAN để đạt được trực quan hóa phiên RDMA trong kịch bản RDMA:

RDMA: Truy cập bộ nhớ trực tiếp từ xa cho phép bộ điều hợp mạng của máy chủ A đọc và ghi Bộ nhớ của máy chủ B bằng cách sử dụng thẻ giao diện mạng (inics) và bộ chuyển mạch thông minh, đạt được băng thông cao, độ trễ thấp và mức sử dụng tài nguyên thấp. Nó được sử dụng rộng rãi trong các kịch bản lưu trữ phân tán dữ liệu lớn và hiệu suất cao.

RoCEv2: RDMA qua Ethernet hội tụ Phiên bản 2. Dữ liệu RDMA được gói gọn trong Tiêu đề UDP. Số cổng đích là 4791.

Việc vận hành và bảo trì RDMA hàng ngày đòi hỏi phải thu thập rất nhiều dữ liệu, dữ liệu này được sử dụng để thu thập các đường tham chiếu mực nước hàng ngày và các cảnh báo bất thường, đồng thời là cơ sở để xác định các vấn đề bất thường. Kết hợp với ERSPAN, dữ liệu lớn có thể được thu thập nhanh chóng để có được dữ liệu chất lượng chuyển tiếp micro giây và trạng thái tương tác giao thức của chip chuyển mạch. Thông qua thống kê và phân tích dữ liệu, có thể thu được đánh giá và dự đoán chất lượng chuyển tiếp từ đầu đến cuối RDMA.

Để đạt được trực quan hóa phiên RDAM, chúng tôi cần ERSPAN khớp các từ khóa cho các phiên tương tác RDMA khi phản ánh lưu lượng truy cập và chúng tôi cần sử dụng danh sách mở rộng chuyên gia.

Định nghĩa trường khớp danh sách mở rộng cấp chuyên gia:

UDF bao gồm năm trường: từ khóa UDF, trường cơ sở, trường offset, trường giá trị và trường mặt nạ. Bị giới hạn bởi dung lượng của các mục phần cứng, có thể sử dụng tổng cộng tám UDF. Một UDF có thể khớp tối đa hai byte.

• Từ khóa UDF: UDF1... UDF8 Chứa 8 từ khóa của miền phù hợp với UDF

• Trường cơ sở: xác định vị trí bắt đầu của trường khớp UDF. Sau đây

L4_header (áp dụng cho RG-S6520-64CQ)

L5_header (dành cho RG-S6510-48VS8Cq)

• Offset: biểu thị offset dựa trên trường cơ sở. Giá trị nằm trong khoảng từ 0 đến 126

• Trường giá trị: giá trị khớp. Nó có thể được sử dụng cùng với trường mặt nạ để định cấu hình giá trị cụ thể cần khớp. Bit hợp lệ là hai byte

• Trường mặt nạ: mặt nạ, bit hợp lệ là 2 byte

(Thêm: Nếu sử dụng nhiều mục nhập trong cùng một trường khớp UDF thì trường cơ sở và trường bù trừ phải giống nhau.)

Hai gói chính được liên kết với trạng thái phiên RDMA là Gói thông báo tắc nghẽn (CNP) và Xác nhận phủ định (NAK):

Cái trước được tạo bởi bộ thu RDMA sau khi nhận được tin nhắn ECN do switch gửi (khi Bộ đệm eout đạt đến ngưỡng), chứa thông tin về luồng hoặc QP gây tắc nghẽn. Cái sau được sử dụng để chỉ ra việc truyền RDMA có thông báo phản hồi mất gói.

Hãy xem cách đối sánh hai thông báo này bằng danh sách mở rộng cấp chuyên gia:

RDMA CNP

danh sách truy cập chuyên gia rdma mở rộng

cho phép udp bất kỳ bất kỳ bất kỳ eq 4791udf 1 l4_header 8 0x8100 0xFF00(Khớp với RG-S6520-64CQ)

cho phép udp bất kỳ bất kỳ bất kỳ eq 4791udf 1 l5_header 0 0x8100 0xFF00(Khớp với RG-S6510-48VS8CQ)

RDMA CNP 2

danh sách truy cập chuyên gia rdma mở rộng

cho phép udp bất kỳ bất kỳ bất kỳ eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Khớp với RG-S6520-64CQ)

cho phép udp bất kỳ bất kỳ bất kỳ eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Khớp với RG-S6510-48VS8CQ)

Bước cuối cùng, bạn có thể hình dung phiên RDMA bằng cách gắn danh sách tiện ích mở rộng chuyên gia vào quy trình ERSPAN thích hợp.

Viết vào phần cuối cùng

ERSPAN là một trong những công cụ không thể thiếu trong các mạng trung tâm dữ liệu ngày càng lớn hiện nay, lưu lượng mạng ngày càng phức tạp và các yêu cầu vận hành và bảo trì mạng ngày càng phức tạp.

Với mức độ tự động hóa O&M ngày càng tăng, các công nghệ như Netconf, RESTconf và gRPC rất phổ biến đối với các sinh viên O&M trong mạng O&M tự động. Sử dụng gRPC làm giao thức cơ bản để gửi lại lưu lượng truy cập nhân bản cũng có nhiều ưu điểm. Ví dụ: dựa trên giao thức HTTP/2, nó có thể hỗ trợ cơ chế truyền phát trực tuyến trong cùng một kết nối. Với mã hóa ProtoBuf, kích thước thông tin giảm đi một nửa so với định dạng JSON, giúp việc truyền dữ liệu nhanh hơn và hiệu quả hơn. Hãy tưởng tượng, nếu bạn sử dụng ERSPAN để phản chiếu các luồng quan tâm và sau đó gửi chúng đến máy chủ phân tích trên gRPC, liệu nó có cải thiện đáng kể khả năng và hiệu quả vận hành và bảo trì mạng tự động không?


Thời gian đăng: May-10-2022