La herramienta más común para el monitoreo y la solución de problemas de la red hoy es el analizador de puertos de conmutación (SPAN), también conocida como reflejo de puertos. Nos permite monitorear el tráfico de red en el modo de derivación del modo de banda sin interferir con los servicios en la red en vivo, y envía una copia del tráfico monitoreado a dispositivos locales o remotos, incluidos sniffer, IDS u otros tipos de herramientas de análisis de red.
Algunos usos típicos son:
• Solucionar problemas de los problemas de red mediante el seguimiento de los marcos de control/datos;
• Analizar la latencia y la fluctuación de jitter monitoreando los paquetes VoIP;
• Analizar la latencia al monitorear las interacciones de la red;
• Detectar anomalías al monitorear el tráfico de la red.
El tráfico del tramo se puede reflejar localmente en otros puertos en el mismo dispositivo fuente, o de forma remota a otros dispositivos de red adyacentes a la capa 2 del dispositivo de origen (RSPAN).
Hoy vamos a hablar sobre la tecnología remota de monitoreo de tráfico en Internet llamada ERSPAN (analizador de puertos de conmutación remoto encapsulado) que se puede transmitir a través de tres capas de IP. Esta es una extensión del tramo a remoto encapsulado.
Principios de operación básicos de Erspan
Primero, echemos un vistazo a las características de Erspan:
• Se envía una copia del paquete desde el puerto de origen al servidor de destino para analizar a través de la encapsulación de enrutamiento genérico (GRE). La ubicación física del servidor no está restringida.
• Con la ayuda de la función de campo definido por el usuario (UDF) del chip, cualquier desplazamiento de 1 a 126 bytes se lleva a cabo en función del dominio base a través de la lista extendida a nivel de experto, y las palabras clave de la sesión se coinciden para realizar la visualización de la sesión, como el TCP Tres-Way Handshake y la sesión RDMA;
• Soporte de configuración de la velocidad de muestreo;
• Admite la longitud de intercepción de paquetes (corte de paquetes), reduciendo la presión en el servidor de destino.
Con estas características, puede ver por qué ERSPAN es una herramienta esencial para monitorear las redes dentro de los centros de datos de hoy.
Las funciones principales de Erspan se pueden resumir en dos aspectos:
• Visibilidad de la sesión: use ERSPAN para recopilar todas las nuevas sesiones TCP y acceso a la memoria directa (RDMA) creadas en el servidor de fondo para la visualización;
• Solución de problemas de la red: captura el tráfico de red para el análisis de fallas cuando ocurre un problema de red.
Para hacer esto, el dispositivo de red de origen debe filtrar el tráfico de interés para el usuario desde el flujo de datos masivo, hacer una copia y encapsular cada marco de copia en un "contenedor Superframe" especial que lleva suficiente información adicional para que pueda enrutarse correctamente al dispositivo receptor. Además, permita que el dispositivo receptor extraiga y recupere completamente el tráfico monitoreado original.
El dispositivo receptor puede ser otro servidor que admite los paquetes ERSPAN de decapsulación.
El tipo de análisis de formato ERSPAN y paquete
Los paquetes ERSPAN se encapsulan utilizando GRE y se reenvían a cualquier destino direccionable IP a través de Ethernet. ERSPAN se utiliza principalmente en redes IPv4, y el soporte de IPv6 será un requisito en el futuro.
Para la estructura general de encapsulación de ERSAPN, la siguiente es una captura de paquetes de espejo de paquetes ICMP:
El protocolo ERSPAN se ha desarrollado durante un largo período de tiempo, y con la mejora de sus capacidades, se han formado varias versiones, llamadas "tipos de ERSPAN". Diferentes tipos tienen diferentes formatos de encabezado de cuadro.
Se define en el campo de primera versión del encabezado ERSPAN:
Además, el campo de tipo de protocolo en el encabezado GRE también indica el tipo de ERSPAN interno. El campo Tipo de protocolo 0x88Be indica ERSPAN Tipo II, y 0x22EB indica ERSPAN Tipo III.
1. Tipo I
El marco ERSPAN del tipo I encapsula IP y GRE directamente sobre el encabezado del marco del espejo original. Esta encapsulación agrega 38 bytes sobre el marco original: 14 (Mac) + 20 (IP) + 4 (GRE). La ventaja de este formato es que tiene un tamaño de encabezado compacto y reduce el costo de la transmisión. Sin embargo, debido a que establece los campos de bandera y versión de GRE a 0, no lleva ningún campos extendidos y el tipo I no se usa ampliamente, por lo que no hay necesidad de expandirse más.
El formato de encabezado GRE del tipo I es el siguiente:
2. Tipo II
En el tipo II, los campos de C, R, K, S, S, Repur, Flags y Version en el encabezado GRE son todos 0 excepto el campo S. Por lo tanto, el campo Número de secuencia se muestra en el encabezado GRE del Tipo II. Es decir, el Tipo II puede garantizar el orden de recibir paquetes GRE, de modo que una gran cantidad de paquetes GRE fuera de servicio no se puedan clasificar debido a una falla de red.
El formato de encabezado GRE del tipo II es el siguiente:
Además, el formato de marco ERSPAN Tipo II agrega un encabezado ERSPAN de 8 bytes entre el encabezado GRE y el marco reflejado original.
El formato de encabezado ERSPAN para el tipo II es el siguiente:
Finalmente, inmediatamente después del marco de la imagen original, se encuentra el código de verificación de redundancia cíclica (CRC) de 4 bytes estándar de 4 bytes.
Vale la pena señalar que en la implementación, el marco del espejo no contiene el campo FCS del marco original, sino que se recalcula un nuevo valor de CRC en función de todo ERSPAN. Esto significa que el dispositivo receptor no puede verificar la corrección de CRC del marco original, y solo podemos suponer que solo se reflejan los marcos sin corrupción.
3. Tipo III
El tipo III introduce un encabezado compuesto más grande y más flexible para abordar escenarios de monitoreo de red cada vez más complejos y diversos, incluidos, entre otros, la gestión de la red, la detección de intrusiones, el análisis de rendimiento y el retraso, y más. Estas escenas deben conocer todos los parámetros originales del marco del espejo e incluir aquellos que no están presentes en el marco original.
El encabezado compuesto ERSPAN Tipo III incluye un encabezado obligatorio de 12 bytes y un subtítulo específico de plataforma de 8 bytes opcional.
El formato de encabezado ERSPAN para el tipo III es el siguiente:
Nuevamente, después del marco del espejo original hay un CRC de 4 bytes.
Como se puede ver en el formato de encabezado del Tipo III, además de retener los campos VER, VLAN, COS, T y ID de sesión sobre la base del Tipo II, se agregan muchos campos especiales, como:
• BSO: utilizado para indicar la integridad de carga de los marcos de datos transportados a través de ERSPAN. 00 es un buen marco, 11 es un marco malo, 01 es un marco corto, 11 es un marco grande;
• Marca de tiempo: exportado desde el reloj de hardware sincronizado con el tiempo del sistema. Este campo de 32 bits admite al menos 100 microsegundos de granularidad de la marca de tiempo;
• Tipo de cuadro (P) y tipo de cuadro (FT): el primero se usa para especificar si ERSPAN lleva marcos de protocolo Ethernet (marcos PDU), y el segundo se usa para especificar si ERSPAN transporta marcos de Ethernet o paquetes IP.
• ID HW: identificador único del motor ERSPAN dentro del sistema;
• GRA (granularidad de la marca de tiempo): especifica la granularidad de la marca de tiempo. Por ejemplo, 00B representa una granularidad de 100 microsegundos, granularidad de nanosegundos 01b 100, granularidad 10B IEEE 1588 y 11b requiere subtecho específicos de la plataforma para lograr una mayor granularidad.
• ID de Platf vs. Información específica de la plataforma: los campos de información específicos de la Platf tienen diferentes formatos y contenidos dependiendo del valor de ID de Platf.
Cabe señalar que los diversos campos de encabezado admitidos anteriormente se pueden usar en aplicaciones ERSPAN normales, incluso reflejando marcos de error o marcos de BPDU, mientras se mantiene el paquete de troncal original y la ID de VLAN. Además, se pueden agregar información clave de la marca de tiempo y otros campos de información a cada marco de ERSPAN durante el reflejo.
Con los propios encabezados de características de Erspan, podemos lograr un análisis más refinado del tráfico de red, y luego simplemente montar el ACL correspondiente en el proceso ERSPAN para que coincida con el tráfico de red que nos interesa.
Erspan implementa la visibilidad de la sesión de RDMA
Tomemos un ejemplo del uso de la tecnología ERSPAN para lograr la visualización de la sesión de RDMA en un escenario de RDMA:
RDMA: El acceso remoto a la memoria directa permite el adaptador de red del servidor A de leer y escribir la memoria del servidor B utilizando tarjetas de interfaz de red inteligentes (INICS) y conmutadores, logrando un alto ancho de banda, baja latencia y baja utilización de recursos. Se usa ampliamente en big data y escenarios de almacenamiento distribuido de alto rendimiento.
Rocev2: RDMA Over Converged Ethernet versión 2. Los datos de RDMA se encapsulan en el encabezado UDP. El número de puerto de destino es 4791.
La operación diaria y el mantenimiento de RDMA requieren recopilar muchos datos, que se utilizan para recopilar líneas de referencia del nivel de agua diaria y alarmas anormales, así como la base para localizar problemas anormales. Combinado con ERSPAN, los datos masivos se pueden capturar rápidamente para obtener datos de calidad de reenvío de microsegundos y estado de interacción de protocolo del chip de conmutación. A través de estadísticas y análisis de datos, se puede obtener una evaluación y predicción de calidad de reenvío de extremo a extremo RDMA.
Para lograr la visualización de la sesión de RDAM, necesitamos que ERSPAN coincida con las palabras clave para las sesiones de interacción RDMA al reflejar el tráfico, y necesitamos usar la lista Expertada Expertiva.
Definición de campo de coincidencia de la lista extendida a nivel de experto:
El UDF consta de cinco campos: palabra clave UDF, campo base, campo de compensación, campo de valor y campo de máscara. Limitado por la capacidad de las entradas de hardware, se pueden usar un total de ocho UDF. Un UDF puede igualar un máximo de dos bytes.
• Palabra clave UDF: UDF1 ... UDF8 contiene ocho palabras clave del dominio de coincidencia UDF
• Campo base: identifica la posición de inicio del campo de coincidencia UDF. La siguiente
L4_header (aplicable a RG-S6520-64CQ)
L5_header (para RG-S6510-48VS8CQ)
• Compensación: indica el desplazamiento basado en el campo base. El valor varía de 0 a 126
• Campo de valor: valor coincidente. Se puede usar junto con el campo de máscara para configurar el valor específico que se coincide. El bit válido es dos bytes
• Campo de máscara: máscara, bit válido es dos bytes
(Agregue: si se usan múltiples entradas en el mismo campo de coincidencia UDF, los campos base y de compensación deben ser los mismos).
Los dos paquetes clave asociados con el estado de la sesión RDMA son el paquete de notificación de congestión (CNP) y el reconocimiento negativo (NAK):
El primero es generado por el receptor RDMA después de recibir el mensaje ECN enviado por el interruptor (cuando el búfer EOUT alcanza el umbral), que contiene información sobre el flujo o QP que causa congestión. Este último se usa para indicar que la transmisión RDMA tiene un mensaje de respuesta de pérdida de paquetes.
Veamos cómo hacer coincidir estos dos mensajes utilizando la lista extendida de nivel experto:
Lista de acceso de expertos RDMA extendida
Permitir UDP cualquier cualquiera de cualquier EQ 4791UDF 1 L4_HEADER 8 0x8100 0xff00(Coincidencia RG-S6520-64CQ)
Permitir UDP cualquier cualquiera de cualquier EQ 4791UDF 1 L5_HEADER 0 0x8100 0xff00(Coincidir RG-S6510-48VS8CQ)
Lista de acceso de expertos RDMA extendida
Permitir UDP cualquier cualquiera de cualquier EQ 4791UDF 1 L4_HEADER 8 0X1100 0XFF00 UDF 2 L4_HEADER 20 0X6000 0XFF00(Coincidencia RG-S6520-64CQ)
Permitir UDP cualquier cualquiera de cualquier EQ 4791UDF 1 L5_header 0 0x1100 0xff00 UDF 2 L5_HEADER 12 0x6000 0xff00(Coincidir RG-S6510-48VS8CQ)
Como paso final, puede visualizar la sesión RDMA montando la lista de extensión de expertos en el proceso ERSPAN apropiado.
Escribe en el último
ERSPAN es una de las herramientas indispensables en las redes de centros de datos cada vez más grandes de hoy, el tráfico de red cada vez más complejo y los requisitos de operación y mantenimiento de la red cada vez más sofisticados.
Con el creciente grado de automatización de O&M, las tecnologías como NetConf, RESTCONF y GRPC son populares entre los estudiantes de O&M en la red automática O&M. El uso de GRPC como protocolo subyacente para enviar el tráfico de espejo también tiene muchas ventajas. Por ejemplo, basado en el protocolo HTTP/2, puede soportar el mecanismo de empuje de transmisión bajo la misma conexión. Con la codificación de ProtoBuf, el tamaño de la información se reduce a la mitad en comparación con el formato JSON, lo que hace que la transmisión de datos sea más rápida y más eficiente. Imagínense, si usa ERSPAN para reflejar las transmisiones interesadas y luego enviarlas al servidor de análisis en GRPC, ¿mejorará en gran medida la capacidad y la eficiencia de la operación y el mantenimiento automáticos de la red?
Tiempo de publicación: mayo-10-2022
