La plej ofta ilo por reta monitorado kaj solvado de problemoj hodiaŭ estas Ŝaltilo -Haveno -Analizilo (SPAN), ankaŭ konata kiel Port -Spegulado. Ĝi permesas al ni monitori retan trafikon en pretervojo ekster banda reĝimo sen interfero de servoj en la viva reto, kaj sendas kopion de la kontrolita trafiko al lokaj aŭ foraj aparatoj, inkluzive de Sniffer, IDS aŭ aliaj specoj de retaj analizaj iloj.
Iuj tipaj uzoj estas:
• Problemoj pri retaj problemoj per spurado de kontrolaj/datumaj kadroj;
• Analizi latentecon kaj jitter per monitorado de VoIP -pakaĵoj;
• Analizi latentecon per monitorado de retaj interagoj;
• Detekti anomaliojn per monitorado de reto -trafiko.
SPAN -trafiko povas esti loke spegulita al aliaj havenoj sur la sama fonta aparato, aŭ remotamente speguliĝi al aliaj retaj aparatoj najbaraj al Tavolo 2 de la fonta aparato (RSPAN).
Hodiaŭ ni parolos pri fora interreta trafika monitorada teknologio nomata ERSPAN (enkapsuligita fora ŝaltila haveno -analizilo), kiu povas esti transdonita tra tri tavoloj de IP. Ĉi tio estas etendaĵo de interspaco al enkapsuligita fora.
Bazaj operaciaj principoj de erspan
Unue, ni rigardu la funkciojn de Erspan:
• Kopio de la paketo el la fonta haveno estas sendita al la celloka servilo por analizi per generika enkaptila enkapsulado (GRE). La fizika loko de la servilo ne estas limigita.
• Kun la helpo de la uzanto difinita kampo (UDF) funkcio de la blato, iu ajn kompenso de 1 ĝis 126 bajtoj efektiviĝas surbaze de la baza domajno tra la spert-nivela plilongigita listo, kaj la sesiaj ŝlosilvortoj kongruas por realigi la bildigon de la sesio, kiel la TCP-tri-mana manplato kaj RDMA-sesio;
• Subteno agordi specimenon;
• Subtenas paketan interkaptan longon (paketan tranĉadon), reduktante la premon sur la cela servilo.
Kun ĉi tiuj funkcioj, vi povas vidi kial Erspan estas esenca ilo por monitori retojn en datumcentroj hodiaŭ.
La ĉefaj funkcioj de Erspan povas esti resumitaj en du aspektoj:
• Sesia Videbleco: Uzu ERSPAN por kolekti ĉiujn kreitajn novajn kunsidojn de TCP kaj Remote Direct Memory Access (RDMA) al la malantaŭa servilo por ekrano;
• Reto -Problemoj: Kaptas retan trafikon por faŭlta analizo kiam okazas reto -problemo.
Por fari tion, la fonta reto -aparato bezonas filtri la trafikon de intereso al la uzanto de la amasa datumfluo, fari kopion kaj enkapsuligi ĉiun kopian kadron en specialan "superframan ujon", kiu portas sufiĉe da aldonaj informoj, por ke ĝi estu ĝuste enŝovita al la ricevanta aparato. Plie, ebligu la ricevan aparaton ĉerpi kaj plene reakiri la originalan monitoritan trafikon.
La ricevanta aparato povas esti alia servilo, kiu subtenas decapsuladon de ERSPAN -pakaĵoj.
La Erspan -tipo kaj paka formato -analizo
Erspan -pakaĵoj estas enkapsuligitaj per GRE kaj plusenditaj al iu ajn IP -adresa celloko super Ethernet. Erspan estas nuntempe uzata ĉefe en IPv4 -retoj, kaj IPv6 -subteno estos postulo en la estonteco.
Por la ĝenerala enkapsula strukturo de ERSAPN, la sekva estas spegula paka kapto de ICMP -pakaĵoj:
La protokolo ERSPAN disvolviĝis dum longa tempo, kaj kun la plibonigo de ĝiaj kapabloj, pluraj versioj formiĝis, nomataj "Erspan -tipoj". Malsamaj specoj havas malsamajn kadro -kapliniajn formatojn.
Ĝi estas difinita en la unua versio -kampo de la Erspan -kaplinio:
Krome, la protokola tipo -kampo en la GRE -kaplinio ankaŭ indikas la internan erspan -tipon. La protokola tipo -kampo 0x88be indikas erspan tipon II, kaj 0x22EB indikas erspan -tipon III.
1. Tipo I
La erspan -kadro de tipo I enkapsuligas IP kaj kreskas rekte super la kaplinio de la originala spegula kadro. Ĉi tiu enkapsulado aldonas 38 bajtojn super la originala kadro: 14 (Mac) + 20 (IP) + 4 (gre). La avantaĝo de ĉi tiu formato estas, ke ĝi havas kompaktan kaplinian grandecon kaj reduktas la koston de transdono. Tamen, ĉar ĝi starigas GRE -flagon kaj version -kampojn al 0, ĝi ne portas plilongigitajn kampojn kaj tipo I ne estas vaste uzata, do ne necesas pligrandigi pli.
La GRE -kaplinia formato de Tipo I estas kiel sekvas:
2. Tipo II
En Tipo II, la C, R, K, S, S, Recur, Flagoj, kaj Versiaj Kampoj en la GRE -kaplinio estas ĉiuj 0 krom la S -kampo. Sekve, la kampo de sekvenca nombro estas montrita en la GRE -kaplinio de Tipo II. Tio estas, tipo II povas certigi la ordon ricevi GRE-pakaĵojn, tiel ke granda nombro da ekster-ordaj GRE-pakaĵoj ne povas esti ordigitaj pro reto-faŭlto.
La GRE -kaplinia formato de Tipo II estas kiel sekvas:
Krome, la kadro-formato Erspan tipo II aldonas 8-bajtan Erspan-kaplinion inter la GRE-kaplinio kaj la originala spegulita kadro.
La formato de Erspan -kaplinio por tipo II estas kiel sekvas:
Fine, tuj post la originala bildkadro, estas la norma 4-bajta Ethernet-cikla redunda ĉeko (CRC) kodo.
Menciindas, ke en la efektivigo, la spegula kadro ne enhavas la FCS -kampon de la originala kadro, anstataŭe nova CRC -valoro rekalkuliĝas surbaze de la tuta erspan. Ĉi tio signifas, ke la ricevanta aparato ne povas kontroli la CRC -korektecon de la originala kadro, kaj ni nur povas supozi, ke nur ne -koruptitaj kadroj speguliĝas.
3. Tipo III
Tipo III enkondukas pli grandan kaj pli flekseblan kunmetaĵan kaplinion por trakti ĉiam pli kompleksajn kaj diversajn scenojn pri monitorado de reto, inkluzive de sed ne limigitaj al reta administrado, detekto de entrudiĝoj, agado kaj malfrua analizo, kaj pli. Ĉi tiuj scenoj bezonas koni ĉiujn originalajn parametrojn de la spegula kadro kaj inkluzivas tiujn, kiuj ne ĉeestas en la originala kadro mem.
La Erspan-tipo III-kompona kaplinio inkluzivas devigan 12-bajtan kaplinion kaj laŭvolan 8-bajtan platform-specifan subkaptilon.
La formato de Erspan -kaplinio por tipo III estas kiel sekvas:
Denove, post kiam la originala spegula kadro estas 4-bajta CRC.
Kiel videblas el la kaplinia formato de Tipo III, aldone al reteni la kampojn Ver, VLAN, COS, T kaj Session ID surbaze de Tipo II, multaj specialaj kampoj estas aldonitaj, kiel:
• BSO: Uzita por indiki la ŝarĝan integrecon de datumaj kadroj portitaj per erspan. 00 estas bona kadro, 11 estas malbona kadro, 01 estas mallonga kadro, 11 estas granda kadro;
• Timestamp: Eksportita el la aparata horloĝo sinkronigita kun la sistemo -tempo. Ĉi tiu 32-bita kampo subtenas almenaŭ 100 mikrosekundojn de Timestamp-granulareco;
• Kadro -tipo (P) kaj Frame Tipo (FT): La unua estas uzata por specifi ĉu ERSPAN portas Ethernet -protokolajn kadrojn (PDU -kadroj), kaj la dua estas uzata por specifi ĉu Erspan portas Ethernet -kadrojn aŭ IP -pakaĵojn.
• HW -ID: Unika identigilo de la erspan -motoro en la sistemo;
• GRA (Timestamp -granulareco): Specifas la granularecon de la markotempo. Ekzemple, 00B reprezentas 100 mikrosekundan granularecon, 01b 100 nanosekundan granularecon, 10B IEEE 1588 granularecon, kaj 11B postulas platform-specifajn sub-kapojn por atingi pli altan granularecon.
• Platf ID vs Platformaj Specifaj Informoj: Platf -specifaj informaj kampoj havas malsamajn formatojn kaj enhavojn depende de la platf -ID -valoro.
Oni devas rimarki, ke la diversaj kapliniaj kampoj subtenataj supre povas esti uzataj en regulaj ERSPAN -aplikoj, eĉ spegulantaj erarajn kadrojn aŭ BPDU -kadrojn, konservante la originalan trunkon kaj VLAN -ID. Krome, ŝlosilaj Timestamp -informoj kaj aliaj informaj kampoj povas esti aldonitaj al ĉiu erspan -kadro dum spegulado.
Kun la propraj trajtoj de Erspan, ni povas atingi pli rafinitan analizon de reto -trafiko, kaj tiam simple munti la respondan ACL en la procezo ERSPAN por kongrui kun la reto -trafiko, kiun ni interesas.
Erspan efektivigas RDMA -sesian videblecon
Ni prenu ekzemplon pri uzado de ERSPAN -teknologio por atingi RDMA -sesion -bildigon en RDMA -scenaro:
Rdma: Malproksima rekta memora aliro ebligas al la reto -adaptilo de servilo A por legi kaj skribi la memoron de Servilo B per Inteligentaj Retaj Interfacaj Kartoj (INICS) kaj ŝaltiloj, atingante altan larĝan bandon, malaltan latentecon kaj malaltan rimedon. Ĝi estas vaste uzata en grandaj datumoj kaj altfrekvencaj distribuitaj stokaj scenoj.
Rocev2: RDMA super konverĝita Ethernet -versio 2. La RDMA -datumoj estas enkapsuligitaj en la UDP -kaplinio. La celloka havena numero estas 4791.
Ĉiutaga funkciado kaj bontenado de RDMA postulas kolekti multajn datumojn, kiuj estas uzataj por kolekti ĉiutagajn referencajn liniojn kaj eksternormajn alarmojn, same kiel la bazon por lokalizi eksternormajn problemojn. Kombinita kun ERSPAN, amasaj datumoj povas esti kaptitaj rapide por akiri mikrosekundajn plusendajn kvalitajn datumojn kaj protokolan interagan staton de ŝaltila blato. Per datumstatistiko kaj analizo, RDMA-fino-al-fina plusendado de kvalito-takso kaj antaŭdiro povas esti akiritaj.
Por atingi RDAM -sesion -vidaĵon, ni bezonas ERSPAN por kongrui kun ŝlosilvortoj por RDMA -interagaj kunsidoj kiam spegulas trafikon, kaj ni devas uzi la spertan etenditan liston.
Spert-nivela plilongigita listo kongruanta kampa difino:
La UDF konsistas el kvin kampoj: UDF -ŝlosilvorto, bazkampo, kompenskampo, valor -kampo kaj maska kampo. Limigita per la kapablo de aparataro, entute ok UDF -oj povas esti uzataj. Unu UDF povas egali maksimume du bajtojn.
• UDF -ŝlosilvorto: UDF1 ... UDF8 enhavas ok ŝlosilvortojn de la UDF -kongrua domajno
• Bazkampo: Identigas la komencan pozicion de la UDF -kongrua kampo. La jena
L4_Header (aplikebla al RG-S6520-64CQ)
L5_Header (por RG-S6510-48VS8CQ)
• Offset: Indikas la kompenson surbaze de la bazkampo. La valoro varias de 0 ĝis 126
• Valora kampo: kongrua valoro. Ĝi povas esti uzata kune kun la maska kampo por agordi la specifan valoron por kongrui. La valida bito estas du bajtoj
• Maska kampo: Masko, valida bito estas du bajtoj
(Aldonu: Se multoblaj enskriboj estas uzataj en la sama UDF -kongrua kampo, la bazaj kaj kompensaj kampoj devas esti la samaj.)
La du ŝlosilaj pakaĵoj asociitaj kun RDMA -sesia statuso estas kongesta sciiga pakaĵo (CNP) kaj negativa agnosko (NAK):
La unua estas generita de la RDMA -ricevilo post ricevado de la ECN -mesaĝo sendita de la ŝaltilo (kiam la bufro EOut atingas la sojlon), kiu enhavas informojn pri la fluo aŭ QP kaŭzanta kongeston. Ĉi -lasta estas uzata por indiki, ke la transdono de RDMA havas mesaĝon pri responda perdo.
Ni rigardu kiel kongrui kun ĉi tiuj du mesaĝoj per la spert-nivela plilongigita listo:
Sperta Aliro-Listo Plilongigita RDMA
Permesu al UDP iun ajn ajnan EQ 4791UDF 1 L4_Header 8 0x8100 0xFF00(Kongruanta RG-S6520-64CQ)
Permesu al UDP iun ajn ajnan EQ 4791UDF 1 L5_HEADER 0 0x8100 0xFF00(Kongruanta RG-S6510-48VS8CQ)
Sperta Aliro-Listo Plilongigita RDMA
Permesu al UDP iun ajn ajnan EQ 4791UDF 1 L4_Header 8 0x1100 0xFF00 UDF 2 L4_Header 20 0x6000 0xFF00(Kongruanta RG-S6520-64CQ)
Permesu al UDP iun ajn ajnan EQ 4791UDF 1 L5_HEADER 0 0x1100 0xFF00 UDF 2 L5_HEADER 12 0x6000 0xFF00(Kongruanta RG-S6510-48VS8CQ)
Kiel fina paŝo, vi povas videbligi la RDMA -sesion per muntado de la sperta etenda listo en la taŭgan ERSPAN -procezon.
Skribu en la lasta
Erspan estas unu el la nemalhaveblaj iloj en la hodiaŭaj ĉiam pli grandaj datumcentraj retoj, ĉiam pli kompleksaj retaj trafikoj kaj ĉiam pli sofistikaj retaj operacioj kaj prizorgaj postuloj.
Kun la kreskanta grado de O & M -aŭtomatigo, teknologioj kiel NetConf, RESTCONF, kaj GRPC estas popularaj inter O & M -studentoj en aŭtomata O&M. Uzi GRPC kiel la suba protokolo por sendi reen spegulan trafikon ankaŭ havas multajn avantaĝojn. Ekzemple, surbaze de HTTP/2 -protokolo, ĝi povas subteni la streaming -puŝan mekanismon sub la sama rilato. Kun protobuf -kodado, la grandeco de informoj estas reduktita duone kompare al JSON -formato, igante datuman transdonon pli rapida kaj pli efika. Nur imagu, se vi uzas Erspan por speguli interesatajn riveretojn kaj tiam sendi ilin al la analiza servilo ĉe GRPC, ĉu ĝi multe plibonigos la kapablon kaj efikecon de aŭtomata funkciado kaj bontenado de reto?
Afiŝotempo: majo-10-2022
