Công cụ phổ biến nhất để giám sát và xử lý sự cố mạng hiện nay là Switch Port Analyzer (SPAN), còn được gọi là Port Mirroring. Công cụ này cho phép chúng ta giám sát lưu lượng mạng ở chế độ bypass ngoài băng tần mà không ảnh hưởng đến các dịch vụ trên mạng trực tiếp, và gửi một bản sao lưu lượng được giám sát đến các thiết bị cục bộ hoặc từ xa, bao gồm Sniffer, IDS hoặc các loại công cụ phân tích mạng khác.
Một số cách sử dụng điển hình là:
• Khắc phục sự cố mạng bằng cách theo dõi khung dữ liệu/điều khiển;
• Phân tích độ trễ và độ nhiễu bằng cách theo dõi các gói VoIP;
• Phân tích độ trễ bằng cách theo dõi các tương tác mạng;
• Phát hiện các bất thường bằng cách giám sát lưu lượng mạng.
Lưu lượng SPAN có thể được phản chiếu cục bộ tới các cổng khác trên cùng thiết bị nguồn hoặc được phản chiếu từ xa tới các thiết bị mạng khác liền kề với Lớp 2 của thiết bị nguồn (RSPAN).
Hôm nay chúng ta sẽ thảo luận về công nghệ giám sát lưu lượng Internet từ xa có tên ERSPAN (Encapsulated Remote Switch Port Analyzer) có thể được truyền qua ba lớp IP. Đây là phần mở rộng của SPAN cho Encapsulated Remote.
Nguyên lý hoạt động cơ bản của ERSPAN
Trước tiên, chúng ta hãy xem xét các tính năng của ERSPAN:
• Một bản sao của gói tin từ cổng nguồn được gửi đến máy chủ đích để phân tích cú pháp thông qua Đóng gói Định tuyến Chung (GRE). Vị trí vật lý của máy chủ không bị giới hạn.
• Với sự trợ giúp của tính năng Trường do người dùng xác định (UDF) của chip, bất kỳ độ lệch nào từ 1 đến 126 byte đều được thực hiện dựa trên miền Cơ sở thông qua danh sách mở rộng cấp chuyên gia và các từ khóa phiên được khớp để hiện thực hóa hình ảnh của phiên, chẳng hạn như bắt tay ba chiều TCP và phiên RDMA;
• Hỗ trợ thiết lập tốc độ lấy mẫu;
• Hỗ trợ độ dài chặn gói tin (Packet Slicing), giảm áp lực lên máy chủ mục tiêu.
Với những tính năng này, bạn có thể thấy tại sao ERSPAN lại là công cụ thiết yếu để giám sát mạng lưới bên trong các trung tâm dữ liệu ngày nay.
Chức năng chính của ERSPAN có thể được tóm tắt trong hai khía cạnh:
• Khả năng hiển thị phiên: Sử dụng ERSPAN để thu thập tất cả các phiên TCP và Truy cập bộ nhớ trực tiếp từ xa (RDMA) mới được tạo tới máy chủ phụ trợ để hiển thị;
• Xử lý sự cố mạng: Ghi lại lưu lượng mạng để phân tích lỗi khi xảy ra sự cố mạng.
Để làm được điều này, thiết bị mạng nguồn cần lọc lưu lượng mà người dùng quan tâm khỏi luồng dữ liệu khổng lồ, tạo một bản sao và đóng gói từng khung sao chép vào một "siêu khung chứa" đặc biệt chứa đủ thông tin bổ sung để có thể định tuyến chính xác đến thiết bị nhận. Hơn nữa, thiết bị nhận phải trích xuất và khôi phục hoàn toàn lưu lượng ban đầu được giám sát.
Thiết bị nhận có thể là một máy chủ khác hỗ trợ giải mã gói tin ERSPAN.
Phân tích định dạng gói và loại ERSPAN
Các gói tin ERSPAN được đóng gói bằng GRE và chuyển tiếp đến bất kỳ đích nào có thể định địa chỉ IP qua Ethernet. ERSPAN hiện chủ yếu được sử dụng trên mạng IPv4, và hỗ trợ IPv6 sẽ là yêu cầu bắt buộc trong tương lai.
Đối với cấu trúc đóng gói chung của ERSAPN, sau đây là bản chụp gói tin phản chiếu của các gói tin ICMP:
Giao thức ERSPAN đã phát triển trong một thời gian dài và với việc cải tiến khả năng, một số phiên bản đã được hình thành, được gọi là "Các loại ERSPAN". Các loại khác nhau có định dạng tiêu đề khung khác nhau.
Nó được định nghĩa trong trường Phiên bản đầu tiên của tiêu đề ERSPAN:
Ngoài ra, trường Protocol Type trong tiêu đề GRE cũng chỉ ra ERSPAN Type nội bộ. Trường Protocol Type 0x88BE chỉ ERSPAN Type II, và 0x22EB chỉ ERSPAN Type III.
1. Loại I
Khung ERSPAN Loại I đóng gói IP và GRE trực tiếp lên phần tiêu đề của khung phản chiếu gốc. Việc đóng gói này thêm 38 byte vào khung gốc: 14 (MAC) + 20 (IP) + 4 (GRE). Ưu điểm của định dạng này là kích thước tiêu đề nhỏ gọn và giảm chi phí truyền tải. Tuy nhiên, vì nó đặt các trường Cờ GRE và Phiên bản thành 0, nó không mang bất kỳ trường mở rộng nào và Loại I không được sử dụng rộng rãi, do đó không cần phải mở rộng thêm.
Định dạng tiêu đề GRE loại I như sau:
2. Loại II
Ở Loại II, các trường C, R, K, S, S, Recur, Flags và Version trong tiêu đề GRE đều bằng 0, ngoại trừ trường S. Do đó, trường Sequence Number được hiển thị trong tiêu đề GRE của Loại II. Nghĩa là, Loại II có thể đảm bảo thứ tự nhận các gói tin GRE, do đó một số lượng lớn các gói tin GRE không theo thứ tự không thể được sắp xếp do lỗi mạng.
Định dạng tiêu đề GRE của Loại II như sau:
Ngoài ra, định dạng khung ERSPAN Loại II còn thêm tiêu đề ERSPAN 8 byte vào giữa tiêu đề GRE và khung phản chiếu gốc.
Định dạng tiêu đề ERSPAN cho Loại II như sau:
Cuối cùng, ngay sau khung hình ảnh gốc là mã kiểm tra dự phòng tuần hoàn (CRC) Ethernet 4 byte tiêu chuẩn.
Cần lưu ý rằng trong quá trình triển khai, khung phản chiếu không chứa trường FCS của khung gốc, thay vào đó, một giá trị CRC mới được tính toán lại dựa trên toàn bộ ERSPAN. Điều này có nghĩa là thiết bị nhận không thể xác minh tính chính xác của CRC của khung gốc, và chúng ta chỉ có thể giả định rằng chỉ những khung không bị lỗi mới được phản chiếu.
3. Loại III
Loại III giới thiệu một tiêu đề tổng hợp lớn hơn và linh hoạt hơn để giải quyết các tình huống giám sát mạng ngày càng phức tạp và đa dạng, bao gồm nhưng không giới hạn ở quản lý mạng, phát hiện xâm nhập, phân tích hiệu suất và độ trễ, v.v. Các cảnh này cần biết tất cả các tham số gốc của khung phản chiếu và bao gồm cả những tham số không có trong chính khung gốc.
Tiêu đề hỗn hợp ERSPAN Loại III bao gồm tiêu đề bắt buộc 12 byte và tiêu đề phụ tùy chọn 8 byte dành riêng cho nền tảng.
Định dạng tiêu đề ERSPAN cho Loại III như sau:
Một lần nữa, sau khung phản chiếu gốc là CRC 4 byte.
Như có thể thấy từ định dạng tiêu đề của Loại III, ngoài việc giữ nguyên các trường Ver, VLAN, COS, T và Session ID trên cơ sở Loại II, nhiều trường đặc biệt được thêm vào, chẳng hạn như:
• BSO: được sử dụng để chỉ ra tính toàn vẹn tải của các khung dữ liệu được truyền qua ERSPAN. 00 là khung tốt, 11 là khung xấu, 01 là khung ngắn, 11 là khung lớn;
• Dấu thời gian: được xuất từ đồng hồ phần cứng được đồng bộ hóa với giờ hệ thống. Trường 32 bit này hỗ trợ ít nhất 100 micro giây độ chi tiết của Dấu thời gian;
• Loại khung (P) và Loại khung (FT): loại trước được sử dụng để chỉ định xem ERSPAN có mang khung giao thức Ethernet (khung PDU) hay không, và loại sau được sử dụng để chỉ định xem ERSPAN có mang khung Ethernet hay gói IP hay không.
• HW ID: mã định danh duy nhất của công cụ ERSPAN trong hệ thống;
• Gra (Độ chi tiết của Dấu thời gian): Chỉ định Độ chi tiết của Dấu thời gian. Ví dụ: 00B biểu thị Độ chi tiết 100 micro giây, 01B biểu thị Độ chi tiết 100 nano giây, 10B biểu thị Độ chi tiết IEEE 1588, và 11B yêu cầu các tiêu đề phụ dành riêng cho từng nền tảng để đạt được Độ chi tiết cao hơn.
• ID nền tảng so với Thông tin cụ thể về nền tảng: Các trường Thông tin cụ thể về nền tảng có định dạng và nội dung khác nhau tùy thuộc vào giá trị ID nền tảng.
Cần lưu ý rằng các trường tiêu đề khác nhau được hỗ trợ ở trên có thể được sử dụng trong các ứng dụng ERSPAN thông thường, ngay cả khi sao chép khung lỗi hoặc khung BPDU, trong khi vẫn duy trì gói Trunk và ID VLAN gốc. Ngoài ra, thông tin dấu thời gian chính và các trường thông tin khác có thể được thêm vào mỗi khung ERSPAN trong quá trình sao chép.
Với các tiêu đề tính năng riêng của ERSPAN, chúng ta có thể phân tích lưu lượng mạng một cách chi tiết hơn, sau đó chỉ cần gắn ACL tương ứng vào quy trình ERSPAN để khớp với lưu lượng mạng mà chúng ta quan tâm.
ERSPAN triển khai khả năng hiển thị phiên RDMA
Chúng ta hãy lấy một ví dụ về việc sử dụng công nghệ ERSPAN để đạt được khả năng trực quan hóa phiên RDMA trong tình huống RDMA:
RDMA: Truy cập Bộ nhớ Trực tiếp Từ xa cho phép bộ điều hợp mạng của máy chủ A đọc và ghi Bộ nhớ của máy chủ B bằng cách sử dụng card giao diện mạng thông minh (inics) và bộ chuyển mạch, đạt được băng thông cao, độ trễ thấp và sử dụng tài nguyên thấp. Nó được sử dụng rộng rãi trong các tình huống dữ liệu lớn và lưu trữ phân tán hiệu suất cao.
RoCEv2: RDMA qua Ethernet hội tụ Phiên bản 2. Dữ liệu RDMA được đóng gói trong UDP Header. Số cổng đích là 4791.
Việc vận hành và bảo trì RDMA hàng ngày đòi hỏi phải thu thập rất nhiều dữ liệu, được sử dụng để thu thập các đường tham chiếu mực nước hàng ngày và các cảnh báo bất thường, cũng như làm cơ sở để xác định các sự cố bất thường. Kết hợp với ERSPAN, dữ liệu khổng lồ có thể được thu thập nhanh chóng để có được dữ liệu chất lượng chuyển tiếp micro giây và trạng thái tương tác giao thức của chip chuyển mạch. Thông qua thống kê và phân tích dữ liệu, có thể đánh giá và dự đoán chất lượng chuyển tiếp RDMA từ đầu đến cuối.
Để đạt được khả năng trực quan hóa phiên RDAM, chúng ta cần ERSPAN khớp các từ khóa cho các phiên tương tác RDMA khi phản chiếu lưu lượng và chúng ta cần sử dụng danh sách mở rộng chuyên gia.
Định nghĩa trường khớp với danh sách mở rộng cấp chuyên gia:
UDF bao gồm năm trường: từ khóa UDF, trường cơ sở, trường offset, trường giá trị và trường mặt nạ. Do giới hạn dung lượng phần cứng, UDF có thể được sử dụng tối đa tám. Mỗi UDF có thể khớp tối đa hai byte.
• Từ khóa UDF: UDF1... UDF8 Chứa tám từ khóa của miền khớp UDF
• Trường cơ sở: xác định vị trí bắt đầu của trường khớp UDF. Sau đây
L4_header (áp dụng cho RG-S6520-64CQ)
L5_header (dành cho RG-S6510-48VS8Cq)
• Độ lệch: biểu thị độ lệch dựa trên trường cơ sở. Giá trị nằm trong khoảng từ 0 đến 126
• Trường giá trị: giá trị khớp. Có thể sử dụng trường này cùng với trường mặt nạ để cấu hình giá trị cụ thể cần khớp. Bit hợp lệ là hai byte.
• Trường mặt nạ: mặt nạ, bit hợp lệ là hai byte
(Thêm: Nếu nhiều mục nhập được sử dụng trong cùng một trường khớp UDF, thì trường cơ sở và trường bù phải giống nhau.)
Hai gói tin chính liên quan đến trạng thái phiên RDMA là Gói thông báo tắc nghẽn (CNP) và Xác nhận tiêu cực (NAK):
Giá trị đầu tiên được tạo ra bởi bộ thu RDMA sau khi nhận được tin nhắn ECN do bộ chuyển mạch gửi (khi Bộ đệm đầu ra đạt đến ngưỡng), chứa thông tin về luồng hoặc QP gây tắc nghẽn. Giá trị sau được sử dụng để chỉ ra rằng truyền RDMA có tin nhắn phản hồi mất gói.
Hãy cùng xem cách so khớp hai thông báo này bằng danh sách mở rộng cấp chuyên gia:
danh sách truy cập chuyên gia mở rộng rdma
cho phép udp bất kỳ bất kỳ bất kỳ bất kỳ eq 4791udf 1 l4_header 8 0x8100 0xFF00(Phù hợp với RG-S6520-64CQ)
cho phép udp bất kỳ bất kỳ bất kỳ bất kỳ eq 4791udf 1 l5_header 0 0x8100 0xFF00(Phù hợp với RG-S6510-48VS8CQ)
danh sách truy cập chuyên gia mở rộng rdma
cho phép udp bất kỳ bất kỳ bất kỳ bất kỳ eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Phù hợp với RG-S6520-64CQ)
cho phép udp bất kỳ bất kỳ bất kỳ bất kỳ eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Phù hợp với RG-S6510-48VS8CQ)
Bước cuối cùng, bạn có thể hình dung phiên RDMA bằng cách gắn danh sách tiện ích mở rộng chuyên gia vào quy trình ERSPAN thích hợp.
Viết vào cuối cùng
ERSPAN là một trong những công cụ không thể thiếu trong các mạng trung tâm dữ liệu ngày càng lớn hiện nay, lưu lượng mạng ngày càng phức tạp và các yêu cầu vận hành và bảo trì mạng ngày càng tinh vi.
Với mức độ tự động hóa O&M ngày càng tăng, các công nghệ như Netconf, RESTconf và gRPC rất phổ biến trong giới sinh viên O&M trong lĩnh vực O&M tự động hóa mạng. Việc sử dụng gRPC làm giao thức cơ bản để gửi lại lưu lượng phản chiếu cũng mang lại nhiều lợi thế. Ví dụ, dựa trên giao thức HTTP/2, nó có thể hỗ trợ cơ chế đẩy luồng trên cùng một kết nối. Với mã hóa ProtoBuf, kích thước thông tin được giảm một nửa so với định dạng JSON, giúp truyền dữ liệu nhanh hơn và hiệu quả hơn. Hãy tưởng tượng, nếu bạn sử dụng ERSPAN để phản chiếu các luồng quan tâm và sau đó gửi chúng đến máy chủ phân tích trên gRPC, liệu nó có cải thiện đáng kể khả năng và hiệu quả của hoạt động và bảo trì tự động mạng không?
Thời gian đăng: 10-05-2022
