Ang labing komon nga himan para sa pagmonitor ug pag-troubleshoot sa network karon mao ang Switch Port Analyzer (SPAN), nailhan usab nga Port mirroring. Gitugotan kita niini nga mamonitor ang trapiko sa network sa bypass out of band mode nga dili makabalda sa mga serbisyo sa live network, ug magpadala ug kopya sa gimonitor nga trapiko ngadto sa lokal o hilit nga mga device, lakip ang Sniffer, IDS, o uban pang mga klase sa network analysis tools.
Ang pipila ka tipikal nga gamit mao ang:
• Pagsulbad sa mga problema sa network pinaagi sa pagsubay sa mga control/data frame;
• Analisaha ang latency ug jitter pinaagi sa pagmonitor sa mga VoIP packet;
• Analisaha ang latency pinaagi sa pagmonitor sa mga interaksyon sa network;
• Makamatikod og mga anomaliya pinaagi sa pagmonitor sa trapiko sa network.
Ang trapiko sa SPAN mahimong lokal nga i-mirror ngadto sa ubang mga port sa samang source device, o remotely i-mirror ngadto sa ubang mga network device nga kasikbit sa Layer 2 sa source device (RSPAN).
Karon atong hisgutan ang teknolohiya sa pagmonitor sa trapiko sa Remote Internet nga gitawag og ERSPAN (Encapsulated Remote Switch Port Analyzer) nga mahimong ipadala sa tulo ka layer sa IP. Kini usa ka extension sa SPAN ngadto sa Encapsulated Remote.
Mga batakang prinsipyo sa operasyon sa ERSPAN
Una, atong tan-awon ang mga bahin sa ERSPAN:
• Usa ka kopya sa packet gikan sa source port ang ipadala ngadto sa destination server para sa pag-parse pinaagi sa Generic Routing Encapsulation (GRE). Ang pisikal nga lokasyon sa server dili limitado.
• Uban sa tabang sa User Defined Field (UDF) nga bahin sa chip, ang bisan unsang offset nga 1 hangtod 126 bytes gihimo base sa Base domain pinaagi sa expert-level extended list, ug ang mga keyword sa sesyon gipares aron matuman ang visualization sa sesyon, sama sa TCP three-way handshake ug RDMA session;
• Pagsuporta sa pagtakda sa sampling rate;
• Gisuportahan ang gitas-on sa packet interception (Packet Slicing), nga nagpamenos sa pressure sa target server.
Uban niining mga bahin, imong makita kung nganong ang ERSPAN usa ka importante nga himan alang sa pagmonitor sa mga network sulod sa mga data center karon.
Ang mga nag-unang gimbuhaton sa ERSPAN mahimong masumaryo sa duha ka aspeto:
• Pagtan-aw sa Sesyon: Gamita ang ERSPAN aron kolektahon ang tanang gihimo nga bag-ong mga sesyon sa TCP ug Remote Direct Memory Access (RDMA) ngadto sa back-end server para ipakita;
• Pag-troubleshoot sa network: Mokuha sa trapiko sa network para sa pag-analisar sa sayop kon adunay problema sa network nga mahitabo.
Aron mahimo kini, ang source network device kinahanglan nga mosala sa trapiko nga interesado ang tiggamit gikan sa dakong data stream, mohimo og kopya, ug i-encapsulate ang matag copy frame ngadto sa usa ka espesyal nga "superframe container" nga nagdala og igong dugang nga impormasyon aron kini ma-ruta sa husto ngadto sa receiving device. Dugang pa, tugotan ang receiving device nga makuha ug hingpit nga mabawi ang orihinal nga gimonitor nga trapiko.
Ang device nga modawat mahimong laing server nga mosuporta sa pag-decapsulate sa mga ERSPAN packet.
Ang Pag-analisar sa Tipo ug Pormat sa Pakete sa ERSPAN
Ang mga ERSPAN packet gi-encapsulate gamit ang GRE ug gipadala sa bisan unsang IP addressable destination pinaagi sa Ethernet. Ang ERSPAN karon gigamit lamang sa mga IPv4 network, ug ang suporta sa IPv6 usa ka kinahanglanon sa umaabot.
Para sa kinatibuk-ang istruktura sa encapsulation sa ERSAPN, ang mosunod mao ang mirror packet capture sa mga ICMP packet:
Ang ERSPAN protocol naugmad sulod sa taas nga panahon, ug uban sa pag-uswag sa mga kapabilidad niini, daghang mga bersyon ang naporma, nga gitawag og "ERSPAN Types". Ang lainlaing mga Type adunay lainlaing mga format sa frame header.
Kini gihubit sa unang field nga Version sa header sa ERSPAN:
Dugang pa, ang field sa Protocol Type sa GRE header nagpakita usab sa internal nga ERSPAN Type. Ang field sa Protocol Type nga 0x88BE nagpakita sa ERSPAN Type II, ug ang 0x22EB nagpakita sa ERSPAN Type III.
1. Tipo I
Ang ERSPAN frame sa Type I nag-encapsulate sa IP ug GRE direkta ibabaw sa header sa orihinal nga mirror frame. Kini nga encapsulation nagdugang og 38 bytes ibabaw sa orihinal nga frame: 14(MAC) + 20 (IP) + 4(GRE). Ang bentaha niini nga format mao nga kini adunay gamay nga gidak-on sa header ug nagpamenos sa gasto sa transmission. Bisan pa, tungod kay kini nagbutang sa mga GRE Flag ug Version fields ngadto sa 0, wala kini magdala og bisan unsang extended fields ug ang Type I dili kaylap nga gigamit, busa dili na kinahanglan nga palapdan pa.
Ang pormat sa GRE header sa Type I mao ang mosunod:
2. Tipo II
Sa Type II, ang mga field nga C, R, K, S, S, Recur, Flags, ug Version sa GRE header kay 0 tanan gawas sa S field. Busa, ang Sequence Number field gipakita sa GRE header sa Type II. Buot ipasabot, masiguro sa Type II ang han-ay sa pagdawat sa mga GRE packet, aron ang daghang wala sa han-ay nga mga GRE packet dili ma-sort tungod sa network fault.
Ang pormat sa GRE header sa Type II mao ang mosunod:
Dugang pa, ang ERSPAN Type II frame format nagdugang og 8-byte nga ERSPAN header tali sa GRE header ug sa orihinal nga mirrored frame.
Ang format sa header sa ERSPAN para sa Type II mao ang mosunod:
Sa katapusan, diha-diha dayon mosunod sa orihinal nga frame sa imahe, mao ang standard nga 4-byte Ethernet cyclic redundancy check (CRC) code.
Angayan nga matikdan nga sa implementasyon, ang mirror frame wala maglakip sa FCS field sa orihinal nga frame, hinoon usa ka bag-ong CRC value ang gikalkulo pag-usab base sa tibuok ERSPAN. Kini nagpasabot nga ang receiving device dili makapamatuod sa katukma sa CRC sa orihinal nga frame, ug atong mahunahuna lamang nga ang wala madaot nga mga frame lamang ang gi-mirror.
3. Tipo III
Ang Type III nagpaila sa usa ka mas dako ug mas flexible nga composite header aron matubag ang nagkakomplikado ug lainlain nga mga senaryo sa pagmonitor sa network, lakip apan dili limitado sa pagdumala sa network, pag-detect sa intrusion, pag-analisa sa performance ug delay, ug uban pa. Kinahanglan mahibal-an niining mga eksena ang tanan nga orihinal nga mga parameter sa mirror frame ug lakip kadtong wala sa orihinal nga frame mismo.
Ang ERSPAN Type III composite header naglakip sa usa ka mandatory 12-byte header ug usa ka opsyonal nga 8-byte platform-specific subheader.
Ang format sa header sa ERSPAN para sa Type III mao ang mosunod:
Pag-usab, human sa orihinal nga mirror frame usa ka 4-byte nga CRC.
Sama sa makita sa header format sa Type III, dugang sa pagpabilin sa mga field sa Ver, VLAN, COS, T ug Session ID base sa Type II, daghang espesyal nga mga field ang gidugang, sama sa:
• BSO: gigamit aron ipakita ang integridad sa karga sa mga data frame nga gidala pinaagi sa ERSPAN. Ang 00 usa ka maayong frame, ang 11 usa ka dili maayong frame, ang 01 usa ka mubo nga frame, ang 11 usa ka dako nga frame;
• Timestamp: gi-eksport gikan sa hardware clock nga gi-synchronize sa oras sa sistema. Kini nga 32-bit nga field nagsuporta sa labing menos 100 microseconds sa Timestamp granularity;
• Tipo sa Frame (P) ug Tipo sa Frame (FT): ang una gigamit aron ipiho kung ang ERSPAN nagdala ba og mga Ethernet protocol frame (PDU frame), ug ang ulahi gigamit aron ipiho kung ang ERSPAN nagdala ba og mga Ethernet frame o IP packet.
• HW ID: talagsaon nga identifier sa ERSPAN engine sulod sa sistema;
• Gra (Timestamp Granularity): Nagtino sa Granularity sa Timestamp. Pananglitan, ang 00B nagrepresentar sa 100 microsecond Granularity, 01B 100 nanosecond Granularity, 10B IEEE 1588 Granularity, ug 11B nanginahanglan og mga sub-header nga espesipiko sa plataporma aron makab-ot ang mas taas nga Granularity.
• Platf ID vs. Plataporma nga Espesipikong Impormasyon: Ang mga field sa Platf nga Espesipikong Impormasyon adunay lain-laing mga pormat ug sulod depende sa bili sa Platf ID.
Kinahanglan nga matikdan nga ang lainlaing mga header field nga gisuportahan sa ibabaw magamit sa regular nga mga aplikasyon sa ERSPAN, bisan sa pag-mirror sa mga error frame o mga frame sa BPDU, samtang gipadayon ang orihinal nga Trunk package ug VLAN ID. Dugang pa, ang hinungdanon nga impormasyon sa timestamp ug uban pang mga field sa impormasyon mahimong idugang sa matag frame sa ERSPAN atol sa pag-mirror.
Uban sa kaugalingong feature headers sa ERSPAN, makab-ot nato ang mas pino nga pag-analisa sa trapiko sa network, ug dayon i-mount lang ang katugbang nga ACL sa proseso sa ERSPAN aron mohaom sa trapiko sa network nga atong gusto.
Gipatuman sa ERSPAN ang RDMA Session Visibility
Atong kuhaon ang usa ka ehemplo sa paggamit sa teknolohiya sa ERSPAN aron makab-ot ang RDMA session visualization sa usa ka senaryo sa RDMA:
RDMAAng Remote Direct Memory Access nagtugot sa network adapter sa server A sa pagbasa ug pagsulat sa Memory sa server B pinaagi sa paggamit sa intelligent network interface cards (inics) ug switches, nga nakab-ot ang taas nga bandwidth, ubos nga latency, ug ubos nga paggamit sa resources. Kini kaylap nga gigamit sa mga senaryo sa big data ug high-performance distributed storage.
RoCEv2RDMA pinaagi sa Converged Ethernet Version 2. Ang datos sa RDMA gisulod sa UDP Header. Ang numero sa destination port kay 4791.
Ang adlaw-adlaw nga operasyon ug pagmentinar sa RDMA nanginahanglan og daghang datos, nga gigamit sa pagkolekta sa adlaw-adlaw nga mga linya sa reperensya sa lebel sa tubig ug dili normal nga mga alarma, ingon man ang basehan sa pagpangita sa dili normal nga mga problema. Inubanan sa ERSPAN, ang daghang datos mahimong makuha dayon aron makakuha og datos sa kalidad sa microsecond forwarding ug status sa interaksyon sa protocol sa switching chip. Pinaagi sa mga estadistika ug pag-analisa sa datos, makuha ang end-to-end forwarding quality assessment ug prediksyon sa RDMA.
Aron makab-ot ang RDAM session visualization, kinahanglan nato ang ERSPAN aron ipares ang mga keyword para sa mga RDMA interaction sessions kon mag-mirror sa trapiko, ug kinahanglan nato gamiton ang expert extended list.
Depinisyon sa natad sa pagpares sa gipalapdang lista sa lebel sa eksperto:
Ang UDF gilangkoban sa lima ka field: UDF keyword, base field, offset field, value field, ug mask field. Limitado sa kapasidad sa mga hardware entries, walo ka UDF ang magamit. Ang usa ka UDF mahimong mohaom sa labing taas nga duha ka bytes.
• UDF keyword: UDF1... UDF8 Naglangkob og walo ka keyword sa UDF matching domain
• Base field: nagpaila sa posisyon sa pagsugod sa UDF matching field. Ang mosunod
L4_header (magamit sa RG-S6520-64CQ)
L5_header (para sa RG-S6510-48VS8Cq)
• Offset: nagpakita sa offset base sa base field. Ang bili gikan sa 0 hangtod 126
• Value field: katumbas nga bili. Mahimo kining gamiton uban sa mask field aron ma-configure ang piho nga bili nga ipares. Ang balido nga bit kay duha ka byte
• Mask field: mask, ang balido nga bit kay duha ka byte
(Idugang: Kon daghang entries ang gigamit sa samang UDF matching field, ang base ug offset fields kinahanglan nga parehas.)
Ang duha ka importanteng pakete nga nalangkit sa status sa sesyon sa RDMA mao ang Congestion Notification Packet (CNP) ug Negative Acknowledgment (NAK):
Ang nauna gihimo sa RDMA receiver human madawat ang ECN message nga gipadala sa switch (kung ang eout Buffer makaabot sa threshold), nga adunay impormasyon bahin sa flow o QP nga hinungdan sa congestion. Ang naulahi gigamit aron ipakita nga ang RDMA transmission adunay packet loss response message.
Atong tan-awon kon unsaon pagpares kining duha ka mensahe gamit ang expert-level extended list:
expert access-list nga gipalapdan nga rdma
permit udp bisan unsang bisan unsang bisan unsang eq 4791udf 1 l4_header 8 0x8100 0xFF00(Mahiuyon sa RG-S6520-64CQ)
permit udp bisan unsang bisan unsang bisan unsang eq 4791udf 1 l5_header 0 0x8100 0xFF00(Mahiuyon sa RG-S6510-48VS8CQ)
expert access-list nga gipalapdan nga rdma
permit udp bisan unsang bisan unsang bisan unsang eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Mahiuyon sa RG-S6520-64CQ)
permit udp bisan unsang bisan unsang bisan unsang eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Mahiuyon sa RG-S6510-48VS8CQ)
Isip katapusang lakang, mahimo nimong mahanduraw ang sesyon sa RDMA pinaagi sa pag-mount sa lista sa mga extension sa eksperto ngadto sa angay nga proseso sa ERSPAN.
Isulat sa katapusan
Ang ERSPAN usa sa mga kinahanglanon nga himan karon sa nagkadako nga mga network sa data center, nagkakomplikado nga trapiko sa network, ug nagkasikat nga mga kinahanglanon sa operasyon ug pagmentinar sa network.
Uban sa nagkataas nga ang-ang sa O&M automation, ang mga teknolohiya sama sa Netconf, RESTconf, ug gRPC nahimong popular sa mga estudyante sa O&M sa network automatic O&M. Ang paggamit sa gRPC isip sukaranang protocol para sa pagpadala og back mirror traffic adunay daghang bentaha. Pananglitan, base sa HTTP/2 protocol, makasuporta kini sa streaming push mechanism ubos sa samang koneksyon. Uban sa ProtoBuf encoding, ang gidak-on sa impormasyon mokunhod og katunga kon itandi sa JSON format, nga makapahimo sa pagpadala sa datos nga mas paspas ug mas episyente. Hunahunaa lang, kon imong gamiton ang ERSPAN aron i-mirror ang mga interesadong stream ug dayon ipadala kini sa analysis server sa gRPC, makapauswag ba kini pag-ayo sa abilidad ug episyente sa network automatic operation ug maintenance?
Oras sa pag-post: Mayo-10-2022
