La herramienta más común para monitorear y solucionar problemas de red en la actualidad es Switch Port Analyzer (SPAN), también conocida como duplicación de puertos. Nos permite monitorear el tráfico de la red en modo bypass fuera de banda sin interferir con los servicios en la red en vivo, y envía una copia del tráfico monitoreado a dispositivos locales o remotos, incluidos Sniffer, IDS u otros tipos de herramientas de análisis de red.
Algunos usos típicos son:
• Solucionar problemas de red mediante el seguimiento de marcos de control/datos;
• Analizar la latencia y la fluctuación mediante el monitoreo de paquetes VoIP;
• Analizar la latencia monitoreando las interacciones de la red;
• Detectar anomalías monitoreando el tráfico de la red.
El tráfico SPAN se puede duplicar localmente en otros puertos en el mismo dispositivo de origen o de forma remota en otros dispositivos de red adyacentes a la Capa 2 del dispositivo de origen (RSPAN).
Hoy vamos a hablar sobre la tecnología de monitoreo remoto del tráfico de Internet llamada ERSPAN (Analizador de puertos de conmutador remoto encapsulado) que se puede transmitir a través de tres capas de IP. Esta es una extensión de SPAN a Encapsulated Remote.
Principios básicos de funcionamiento de ERSPAN
Primero, echemos un vistazo a las características de ERSPAN:
• Se envía una copia del paquete desde el puerto de origen al servidor de destino para su análisis a través de la encapsulación de enrutamiento genérico (GRE). La ubicación física del servidor no está restringida.
• Con la ayuda de la función de campo definido por el usuario (UDF) del chip, cualquier desplazamiento de 1 a 126 bytes se lleva a cabo basándose en el dominio base a través de la lista extendida de nivel experto, y las palabras clave de la sesión se combinan para realizar la visualización. de la sesión, como el protocolo de enlace de tres vías TCP y la sesión RDMA;
• Admite la configuración de la frecuencia de muestreo;
• Admite la longitud de interceptación de paquetes (Packet Slicing), lo que reduce la presión sobre el servidor de destino.
Con estas características, puede ver por qué ERSPAN es una herramienta esencial para monitorear redes dentro de los centros de datos en la actualidad.
Las principales funciones de ERSPAN se pueden resumir en dos aspectos:
• Visibilidad de la sesión: use ERSPAN para recopilar todas las nuevas sesiones TCP y de acceso remoto directo a memoria (RDMA) creadas al servidor back-end para su visualización;
• Solución de problemas de red: captura el tráfico de la red para analizar fallas cuando ocurre un problema de red.
Para hacer esto, el dispositivo de red de origen necesita filtrar el tráfico de interés para el usuario del flujo de datos masivo, hacer una copia y encapsular cada cuadro de copia en un "contenedor de supercuadro" especial que contiene suficiente información adicional para que pueda ser enrutado correctamente al dispositivo receptor. Además, permita que el dispositivo receptor extraiga y recupere completamente el tráfico monitoreado original.
El dispositivo receptor puede ser otro servidor que admita la decapsulación de paquetes ERSPAN.
El análisis de tipo y formato de paquete de ERSPAN
Los paquetes ERSPAN se encapsulan mediante GRE y se reenvían a cualquier destino direccionable IP a través de Ethernet. Actualmente, ERSPAN se utiliza principalmente en redes IPv4 y la compatibilidad con IPv6 será un requisito en el futuro.
Para la estructura de encapsulación general de ERSAPN, la siguiente es una captura de paquetes espejo de paquetes ICMP:
El protocolo ERSPAN se ha desarrollado durante un largo período de tiempo y, con la mejora de sus capacidades, se han formado varias versiones, denominadas "Tipos ERSPAN". Los diferentes tipos tienen diferentes formatos de encabezado de marco.
Se define en el primer campo Versión del encabezado ERSPAN:
Además, el campo Tipo de protocolo en el encabezado GRE también indica el tipo ERSPAN interno. El campo Tipo de protocolo 0x88BE indica ERSPAN Tipo II y 0x22EB indica ERSPAN Tipo III.
1. Tipo I
El marco ERSPAN de Tipo I encapsula IP y GRE directamente sobre el encabezado del marco espejo original. Esta encapsulación agrega 38 bytes sobre la trama original: 14(MAC) + 20 (IP) + 4(GRE). La ventaja de este formato es que tiene un tamaño de encabezado compacto y reduce el costo de transmisión. Sin embargo, debido a que establece los campos Bandera GRE y Versión en 0, no incluye ningún campo extendido y el Tipo I no se usa ampliamente, por lo que no es necesario expandirlo más.
El formato de encabezado GRE de Tipo I es el siguiente:
2. Tipo II
En el tipo II, los campos C, R, K, S, S, Recur, Flags y Version en el encabezado GRE son todos 0 excepto el campo S. Por lo tanto, el campo Número de secuencia se muestra en el encabezado GRE de Tipo II. Es decir, el tipo II puede garantizar el orden de recepción de los paquetes GRE, de modo que una gran cantidad de paquetes GRE desordenados no se puedan clasificar debido a una falla de la red.
El formato de encabezado GRE de Tipo II es el siguiente:
Además, el formato de trama ERSPAN Tipo II agrega un encabezado ERSPAN de 8 bytes entre el encabezado GRE y el marco reflejado original.
El formato de encabezado ERSPAN para el Tipo II es el siguiente:
Finalmente, inmediatamente después del marco de la imagen original, se encuentra el código de verificación de redundancia cíclica (CRC) Ethernet estándar de 4 bytes.
Vale la pena señalar que en la implementación, el marco espejo no contiene el campo FCS del marco original, sino que se recalcula un nuevo valor CRC basado en todo el ERSPAN. Esto significa que el dispositivo receptor no puede verificar la corrección CRC del cuadro original y solo podemos asumir que solo se reflejan los cuadros no dañados.
3. Tipo III
El tipo III introduce un encabezado compuesto más grande y más flexible para abordar escenarios de monitoreo de red cada vez más complejos y diversos, que incluyen, entre otros, administración de red, detección de intrusiones, análisis de rendimiento y retrasos, y más. Estas escenas necesitan conocer todos los parámetros originales del marco del espejo e incluir aquellos que no están presentes en el marco original.
El encabezado compuesto ERSPAN Tipo III incluye un encabezado obligatorio de 12 bytes y un subencabezado opcional específico de la plataforma de 8 bytes.
El formato de encabezado ERSPAN para el Tipo III es el siguiente:
Nuevamente, después del marco espejo original hay un CRC de 4 bytes.
Como se puede ver en el formato de encabezado del Tipo III, además de conservar los campos Ver, VLAN, COS, T e ID de sesión según el Tipo II, se agregan muchos campos especiales, como por ejemplo:
• BSO: se utiliza para indicar la integridad de carga de las tramas de datos transportadas a través de ERSPAN. 00 es un fotograma bueno, 11 es un fotograma malo, 01 es un fotograma corto, 11 es un fotograma grande;
• Marca de tiempo: exportada desde el reloj del hardware sincronizado con la hora del sistema. Este campo de 32 bits admite al menos 100 microsegundos de granularidad de marca de tiempo;
• Tipo de trama (P) y Tipo de trama (FT): el primero se utiliza para especificar si ERSPAN transporta tramas de protocolo Ethernet (tramas PDU), y el segundo se utiliza para especificar si ERSPAN transporta tramas Ethernet o paquetes IP.
• HW ID: identificador único del motor ERSPAN dentro del sistema;
• Gra (Granularidad de la marca de tiempo): especifica la granularidad de la marca de tiempo. Por ejemplo, 00B representa una granularidad de 100 microsegundos, 01B una granularidad de 100 nanosegundos, 10B una granularidad IEEE 1588 y 11B requiere subencabezados específicos de la plataforma para lograr una mayor granularidad.
• ID de plataforma versus información específica de plataforma: Los campos de información específica de plataforma tienen diferentes formatos y contenidos según el valor de ID de plataforma.
Cabe señalar que los diversos campos de encabezado admitidos anteriormente se pueden usar en aplicaciones ERSPAN normales, incluso reflejando tramas de error o tramas BPDU, mientras se mantiene el paquete Trunk original y la ID de VLAN. Además, se puede agregar información clave de marca de tiempo y otros campos de información a cada cuadro de ERSPAN durante la duplicación.
Con los encabezados de funciones propios de ERSPAN, podemos lograr un análisis más refinado del tráfico de red y luego simplemente montar la ACL correspondiente en el proceso de ERSPAN para que coincida con el tráfico de red que nos interesa.
ERSPAN implementa la visibilidad de la sesión RDMA
Tomemos un ejemplo del uso de la tecnología ERSPAN para lograr la visualización de sesiones RDMA en un escenario RDMA:
RDMA: El acceso remoto directo a la memoria permite que el adaptador de red del servidor A lea y escriba la memoria del servidor B mediante el uso de tarjetas de interfaz de red inteligentes (inics) y conmutadores, logrando un gran ancho de banda, baja latencia y baja utilización de recursos. Se utiliza ampliamente en escenarios de big data y almacenamiento distribuido de alto rendimiento.
RoCEv2: RDMA sobre Ethernet convergente versión 2. Los datos RDMA están encapsulados en el encabezado UDP. El número de puerto de destino es 4791.
La operación y el mantenimiento diarios de RDMA requieren la recopilación de una gran cantidad de datos, que se utilizan para recopilar líneas de referencia del nivel de agua diario y alarmas anormales, así como la base para localizar problemas anormales. Combinado con ERSPAN, se pueden capturar datos masivos rápidamente para obtener datos de calidad de reenvío de microsegundos y el estado de interacción del protocolo del chip de conmutación. A través de estadísticas y análisis de datos, se puede obtener una evaluación y predicción de la calidad del reenvío de extremo a extremo de RDMA.
Para lograr la visualización de sesiones RDAM, necesitamos que ERSPAN haga coincidir palabras clave para sesiones de interacción RDMA al reflejar el tráfico, y necesitamos usar la lista extendida de expertos.
Definición de campo de coincidencia de lista extendida de nivel experto:
La UDF consta de cinco campos: palabra clave de la UDF, campo base, campo de desplazamiento, campo de valor y campo de máscara. Limitado por la capacidad de las entradas de hardware, se puede utilizar un total de ocho UDF. Una UDF puede coincidir con un máximo de dos bytes.
• Palabra clave UDF: UDF1... UDF8 Contiene ocho palabras clave del dominio coincidente UDF
• Campo base: identifica la posición inicial del campo coincidente de la UDF. La siguiente
L4_header (aplicable a RG-S6520-64CQ)
L5_header (para RG-S6510-48VS8Cq)
• Desplazamiento: indica el desplazamiento según el campo base. El valor oscila entre 0 y 126.
• Campo de valor: valor coincidente. Se puede utilizar junto con el campo de máscara para configurar el valor específico que debe coincidir. El bit válido son dos bytes.
• Campo de máscara: máscara, el bit válido son dos bytes
(Agregar: si se utilizan varias entradas en el mismo campo coincidente UDF, los campos base y desplazamiento deben ser los mismos).
Los dos paquetes clave asociados con el estado de la sesión RDMA son el paquete de notificación de congestión (CNP) y el reconocimiento negativo (NAK):
El primero es generado por el receptor RDMA después de recibir el mensaje ECN enviado por el switch (cuando el Buffer eout alcanza el umbral), que contiene información sobre el flujo o QP que causa la congestión. Este último se utiliza para indicar que la transmisión RDMA tiene un mensaje de respuesta de pérdida de paquetes.
Veamos cómo hacer coincidir estos dos mensajes usando la lista extendida de nivel experto:
lista de acceso de expertos rdma extendida
permitir udp cualquiera cualquiera cualquiera cualquier eq 4791udf 1 l4_encabezado 8 0x8100 0xFF00(Coincide con RG-S6520-64CQ)
permitir udp cualquiera cualquiera cualquiera cualquier eq 4791udf 1 l5_encabezado 0 0x8100 0xFF00(Coincidencia con RG-S6510-48VS8CQ)
lista de acceso de expertos rdma extendida
permitir udp cualquiera cualquiera cualquiera cualquier eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Coincide con RG-S6520-64CQ)
permitir udp cualquiera cualquiera cualquiera cualquier eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Coincide con RG-S6510-48VS8CQ)
Como paso final, puede visualizar la sesión RDMA montando la lista de extensiones de expertos en el proceso ERSPAN apropiado.
escribe en el ultimo
ERSPAN es una de las herramientas indispensables en las redes de centros de datos cada vez más grandes de hoy, en el tráfico de red cada vez más complejo y en los requisitos de operación y mantenimiento de la red cada vez más sofisticados.
Con el creciente grado de automatización de O&M, tecnologías como Netconf, RESTconf y gRPC son populares entre los estudiantes de O&M en O&M automático de red. El uso de gRPC como protocolo subyacente para enviar tráfico espejo también tiene muchas ventajas. Por ejemplo, basado en el protocolo HTTP/2, puede admitir el mecanismo de transmisión push bajo la misma conexión. Con la codificación ProtoBuf, el tamaño de la información se reduce a la mitad en comparación con el formato JSON, lo que hace que la transmisión de datos sea más rápida y eficiente. Imagínese, si usa ERSPAN para reflejar las transmisiones interesadas y luego las envía al servidor de análisis en gRPC, ¿mejorará en gran medida la capacidad y la eficiencia de la operación y el mantenimiento automáticos de la red?
Hora de publicación: 10 de mayo de 2022