เครื่องมือที่ใช้ตรวจสอบและแก้ไขปัญหาเครือข่ายในปัจจุบันคือ Switch Port Analyzer (SPAN) หรือที่เรียกอีกอย่างว่า Port mirroring เครื่องมือนี้ช่วยให้เราตรวจสอบปริมาณการรับส่งข้อมูลในเครือข่ายในโหมดบายพาสนอกแบนด์โดยไม่รบกวนบริการบนเครือข่ายสด และส่งสำเนาของปริมาณการรับส่งข้อมูลที่ตรวจสอบแล้วไปยังอุปกรณ์ในพื้นที่หรือระยะไกล รวมถึง Sniffer, IDS หรือเครื่องมือวิเคราะห์เครือข่ายประเภทอื่น
การใช้งานทั่วไปมีดังนี้:
• แก้ไขปัญหาเครือข่ายโดยติดตามเฟรมควบคุม/ข้อมูล
• วิเคราะห์เวลาแฝงและความสั่นไหวโดยการตรวจสอบแพ็คเก็ต VoIP
• วิเคราะห์เวลาแฝงโดยการตรวจสอบการโต้ตอบของเครือข่าย
• ตรวจจับสิ่งผิดปกติโดยการตรวจสอบปริมาณการรับส่งข้อมูลบนเครือข่าย
การรับส่งข้อมูล SPAN สามารถทำมิเรอร์ภายในเครื่องไปยังพอร์ตอื่นๆ บนอุปกรณ์ต้นทางเดียวกัน หรือทำมิเรอร์ระยะไกลไปยังอุปกรณ์เครือข่ายอื่นๆ ที่อยู่ติดกับเลเยอร์ 2 ของอุปกรณ์ต้นทาง (RSPAN) ได้
วันนี้เราจะมาพูดถึงเทคโนโลยีการตรวจสอบปริมาณการรับส่งข้อมูลทางอินเทอร์เน็ตระยะไกลที่เรียกว่า ERSPAN (Encapsulated Remote Switch Port Analyzer) ซึ่งสามารถส่งข้อมูลผ่าน IP ได้สามชั้น ซึ่งเป็นส่วนขยายของ SPAN ต่อจาก Encapsulated Remote
หลักการทำงานพื้นฐานของ ERSPAN
ก่อนอื่นมาดูคุณสมบัติของ ERSPAN กันก่อน:
• สำเนาของแพ็กเก็ตจากพอร์ตต้นทางจะถูกส่งไปยังเซิร์ฟเวอร์ปลายทางเพื่อวิเคราะห์ผ่าน Generic Routing Encapsulation (GRE) ตำแหน่งทางกายภาพของเซิร์ฟเวอร์ไม่ถูกจำกัด
• ด้วยความช่วยเหลือของคุณลักษณะ User Defined Field (UDF) ของชิป การออฟเซ็ตใดๆ ตั้งแต่ 1 ถึง 126 ไบต์จะดำเนินการโดยอิงตามโดเมนฐานผ่านรายการขยายระดับผู้เชี่ยวชาญ และคำสำคัญของเซสชันจะถูกจับคู่กันเพื่อให้เกิดการแสดงภาพของเซสชัน เช่น แฮนด์เชคสามทางของ TCP และเซสชัน RDMA
• รองรับการตั้งค่าอัตราการสุ่มตัวอย่าง
• รองรับความยาวการสกัดกั้นแพ็กเก็ต (Packet Slicing) ช่วยลดแรงกดดันบนเซิร์ฟเวอร์เป้าหมาย
ด้วยคุณลักษณะเหล่านี้ คุณจะเห็นว่าเหตุใด ERSPAN จึงเป็นเครื่องมือสำคัญในการตรวจสอบเครือข่ายภายในศูนย์ข้อมูลในปัจจุบัน
ฟังก์ชันหลักของ ERSPAN สามารถสรุปได้เป็นสองด้าน:
• การมองเห็นเซสชัน: ใช้ ERSPAN เพื่อรวบรวมเซสชัน TCP ใหม่ทั้งหมดที่สร้างขึ้นและเซสชัน Remote Direct Memory Access (RDMA) ไปยังเซิร์ฟเวอร์แบ็คเอนด์เพื่อแสดง
• การแก้ไขปัญหาเครือข่าย: บันทึกปริมาณการรับส่งข้อมูลบนเครือข่ายเพื่อวิเคราะห์ข้อผิดพลาดเมื่อเกิดปัญหาเครือข่าย
ในการดำเนินการนี้ อุปกรณ์เครือข่ายต้นทางจำเป็นต้องกรองข้อมูลการรับส่งข้อมูลที่ผู้ใช้สนใจออกจากสตรีมข้อมูลขนาดใหญ่ ทำสำเนา และห่อหุ้มเฟรมสำเนาแต่ละเฟรมไว้ใน "คอนเทนเนอร์ซูเปอร์เฟรม" พิเศษที่บรรจุข้อมูลเพิ่มเติมเพียงพอเพื่อให้สามารถส่งต่อไปยังอุปกรณ์รับได้อย่างถูกต้อง นอกจากนี้ ยังต้องทำให้อุปกรณ์รับสามารถแยกและกู้คืนข้อมูลการรับส่งข้อมูลที่ตรวจสอบเดิมได้อย่างสมบูรณ์
อุปกรณ์รับอาจเป็นเซิร์ฟเวอร์อื่นที่รองรับการถอดรหัสแพ็คเก็ต ERSPAN
การวิเคราะห์ประเภทและรูปแบบแพ็คเกจของ ERSPAN
แพ็กเก็ต ERSPAN จะถูกห่อหุ้มโดยใช้ GRE และส่งต่อไปยังปลายทางที่สามารถระบุที่อยู่ IP ได้ผ่านทางอีเทอร์เน็ต ปัจจุบัน ERSPAN ใช้ในเครือข่าย IPv4 เป็นหลัก และการรองรับ IPv6 จะเป็นข้อกำหนดในอนาคต
สำหรับโครงสร้างการหุ้มโดยทั่วไปของ ERSAPN ต่อไปนี้คือการจับแพ็คเก็ตมิเรอร์ของแพ็คเก็ต ICMP:
โปรโตคอล ERSPAN ได้รับการพัฒนามาเป็นเวลานาน และด้วยการพัฒนาความสามารถให้ดีขึ้น จึงได้มีการสร้างเวอร์ชันต่างๆ ขึ้นมา เรียกว่า "ประเภท ERSPAN" ประเภทต่างๆ จะมีรูปแบบส่วนหัวของเฟรมที่แตกต่างกัน
ถูกกำหนดไว้ในฟิลด์เวอร์ชันแรกของส่วนหัว ERSPAN:
นอกจากนี้ ฟิลด์ประเภทโปรโตคอลในส่วนหัว GRE ยังระบุประเภท ERSPAN ภายในอีกด้วย ฟิลด์ประเภทโปรโตคอล 0x88BE ระบุประเภท ERSPAN II และ 0x22EB ระบุประเภท ERSPAN III
1.ประเภทที่ 1
เฟรม ERSPAN ของ Type I จะห่อหุ้ม IP และ GRE ไว้เหนือส่วนหัวของเฟรมมิเรอร์เดิมโดยตรง การห่อหุ้มนี้จะเพิ่ม 38 ไบต์เหนือเฟรมเดิม: 14 (MAC) + 20 (IP) + 4 (GRE) ข้อดีของรูปแบบนี้คือมีขนาดส่วนหัวที่กะทัดรัดและลดต้นทุนในการส่งข้อมูล อย่างไรก็ตาม เนื่องจากกำหนดฟิลด์ GRE Flag และ Version เป็น 0 จึงไม่มีฟิลด์ที่ขยายเพิ่ม และ Type I ก็ไม่ได้ถูกใช้กันอย่างแพร่หลาย ดังนั้นจึงไม่จำเป็นต้องขยายเพิ่ม
รูปแบบส่วนหัว GRE ของประเภท I มีดังนี้:
2.ประเภทที่ 2
ในประเภท II ฟิลด์ C, R, K, S, S, Recur, Flags และ Version ในส่วนหัว GRE จะเป็น 0 ทั้งหมด ยกเว้นฟิลด์ S ดังนั้น ฟิลด์ Sequence Number จะแสดงในส่วนหัว GRE ของประเภท II นั่นคือ ประเภท II สามารถรับรองลำดับของแพ็กเก็ต GRE ที่ได้รับ ดังนั้น แพ็กเก็ต GRE จำนวนมากที่ไม่เรียงลำดับจึงไม่สามารถเรียงลำดับได้เนื่องจากความผิดพลาดของเครือข่าย
รูปแบบส่วนหัว GRE ประเภท II มีดังนี้:
นอกจากนี้ รูปแบบเฟรม ERSPAN ชนิด II ยังเพิ่มส่วนหัว ERSPAN ขนาด 8 ไบต์ระหว่างส่วนหัว GRE และเฟรมมิเรอร์เดิมอีกด้วย
รูปแบบส่วนหัว ERSPAN สำหรับประเภท II มีดังนี้:
ในที่สุด ถัดจากเฟรมภาพต้นฉบับทันที จะเป็นรหัสตรวจสอบความซ้ำซ้อนแบบวนซ้ำ (CRC) อีเทอร์เน็ต 4 ไบต์มาตรฐาน
ที่น่าสังเกตคือในการใช้งาน เฟรมมิเรอร์ไม่มีฟิลด์ FCS ของเฟรมเดิม แต่จะมีการคำนวณค่า CRC ใหม่โดยอิงจาก ERSPAN ทั้งหมด ซึ่งหมายความว่าอุปกรณ์รับไม่สามารถตรวจสอบความถูกต้องของ CRC ของเฟรมเดิมได้ และเราสามารถสันนิษฐานได้เพียงว่ามีการมิเรอร์เฉพาะเฟรมที่ไม่เสียหายเท่านั้น
3.ประเภทที่ 3
Type III แนะนำส่วนหัวคอมโพสิตที่ใหญ่ขึ้นและยืดหยุ่นมากขึ้นเพื่อจัดการกับสถานการณ์การตรวจสอบเครือข่ายที่ซับซ้อนและหลากหลายมากขึ้น รวมถึงแต่ไม่จำกัดเพียงการจัดการเครือข่าย การตรวจจับการบุกรุก การวิเคราะห์ประสิทธิภาพและความล่าช้า และอื่นๆ ฉากเหล่านี้จำเป็นต้องทราบพารามิเตอร์ดั้งเดิมทั้งหมดของเฟรมมิเรอร์และรวมถึงพารามิเตอร์ที่ไม่มีอยู่ในเฟรมดั้งเดิมด้วย
ส่วนหัวผสม ERSPAN ประเภท III ประกอบด้วยส่วนหัวแบบบังคับ 12 ไบต์ และส่วนหัวย่อยเฉพาะแพลตฟอร์มแบบ 8 ไบต์ที่เป็นทางเลือก
รูปแบบส่วนหัว ERSPAN สำหรับประเภท III มีดังนี้:
อีกครั้ง หลังจากกรอบกระจกเดิมเป็น CRC 4 ไบต์
ดังที่เห็นได้จากรูปแบบส่วนหัวของ Type III นอกเหนือจากการเก็บรักษาฟิลด์ Ver, VLAN, COS, T และ Session ID ตามพื้นฐานของ Type II แล้ว ยังมีการเพิ่มฟิลด์พิเศษมากมาย เช่น:
• BSO: ใช้เพื่อระบุความสมบูรณ์ของการโหลดเฟรมข้อมูลที่ส่งผ่าน ERSPAN 00 เป็นเฟรมที่ดี 11 เป็นเฟรมที่ไม่ดี 01 เป็นเฟรมสั้น 11 เป็นเฟรมขนาดใหญ่
• ไทม์สแตมป์: ส่งออกจากนาฬิกาฮาร์ดแวร์โดยซิงโครไนซ์กับเวลาของระบบ ฟิลด์ 32 บิตนี้รองรับความละเอียดของไทม์สแตมป์อย่างน้อย 100 ไมโครวินาที
• ประเภทเฟรม (P) และประเภทเฟรม (FT): ประเภทเฟรม (P) ใช้เพื่อระบุว่า ERSPAN นำส่งเฟรมโปรโตคอล Ethernet (เฟรม PDU) หรือไม่ และประเภทเฟรม (FT) ใช้เพื่อระบุว่า ERSPAN นำส่งเฟรม Ethernet หรือแพ็กเก็ต IP
• HW ID: ตัวระบุเฉพาะของเครื่องยนต์ ERSPAN ภายในระบบ
• Gra (ความละเอียดของเวลา) : ระบุความละเอียดของเวลา ตัวอย่างเช่น 00B แทนความละเอียด 100 ไมโครวินาที 01B แทนความละเอียด 100 นาโนวินาที ความละเอียด 10B IEEE 1588 และ 11B ต้องใช้ซับเฮดเดอร์เฉพาะแพลตฟอร์มเพื่อให้ได้ความละเอียดที่สูงขึ้น
• รหัสแพลตฟอร์มเทียบกับข้อมูลเฉพาะแพลตฟอร์ม: ช่องข้อมูลเฉพาะแพลตฟอร์มมีรูปแบบและเนื้อหาที่แตกต่างกัน ขึ้นอยู่กับค่ารหัสแพลตฟอร์ม
โปรดทราบว่าฟิลด์ส่วนหัวต่างๆ ที่รองรับด้านบนสามารถใช้ในแอปพลิเคชัน ERSPAN ทั่วไปได้ แม้กระทั่งการมิเรอร์เฟรมข้อผิดพลาดหรือเฟรม BPDU ในขณะที่ยังคงรักษาแพ็กเกจ Trunk ดั้งเดิมและ VLAN ID นอกจากนี้ ยังสามารถเพิ่มข้อมูลประทับเวลาคีย์และฟิลด์ข้อมูลอื่นๆ ให้กับแต่ละเฟรม ERSPAN ในระหว่างการมิเรอร์ได้
ด้วยฟีเจอร์ส่วนหัวของ ERSPAN เอง เราสามารถวิเคราะห์ปริมาณการรับส่งข้อมูลบนเครือข่ายได้ละเอียดยิ่งขึ้น จากนั้นจึงติดตั้ง ACL ที่สอดคล้องกันในกระบวนการ ERSPAN เพื่อให้ตรงกับปริมาณการรับส่งข้อมูลบนเครือข่ายที่เราสนใจ
ERSPAN นำ RDMA Session Visibility มาใช้
มาดูตัวอย่างการใช้เทคโนโลยี ERSPAN เพื่อสร้างภาพเซสชัน RDMA ในสถานการณ์ RDMA กัน:
กรมควบคุมโรค:การเข้าถึงหน่วยความจำโดยตรงระยะไกลทำให้ตัวแปลงเครือข่ายของเซิร์ฟเวอร์ A สามารถอ่านและเขียนหน่วยความจำของเซิร์ฟเวอร์ B ได้โดยใช้การ์ดอินเทอร์เฟซเครือข่ายอัจฉริยะ (inics) และสวิตช์ ทำให้มีแบนด์วิดท์สูง ความหน่วงต่ำ และใช้ทรัพยากรน้อย มีการใช้กันอย่างแพร่หลายในสถานการณ์ข้อมูลขนาดใหญ่และการจัดเก็บแบบกระจายประสิทธิภาพสูง
โรซีอีวี2:RDMA ผ่าน Converged Ethernet เวอร์ชัน 2 ข้อมูล RDMA จะถูกห่อหุ้มไว้ใน UDP Header หมายเลขพอร์ตปลายทางคือ 4791
การดำเนินงานและการบำรุงรักษาระบบ RDMA ในแต่ละวันต้องรวบรวมข้อมูลจำนวนมาก ซึ่งใช้ในการรวบรวมเส้นอ้างอิงระดับน้ำในแต่ละวันและสัญญาณเตือนที่ผิดปกติ ตลอดจนข้อมูลพื้นฐานสำหรับการระบุปัญหาที่ผิดปกติ เมื่อใช้ร่วมกับ ERSPAN จะสามารถรวบรวมข้อมูลจำนวนมากได้อย่างรวดเร็วเพื่อให้ได้ข้อมูลคุณภาพการส่งต่อในระดับไมโครวินาทีและสถานะการโต้ตอบของโปรโตคอลของชิปสวิตช์ ผ่านสถิติข้อมูลและการวิเคราะห์ เราจึงสามารถประเมินและคาดการณ์คุณภาพการส่งต่อแบบครบวงจรของระบบ RDMA ได้
ในการสร้างภาพเซสชัน RDAM เราต้องใช้ ERSPAN เพื่อจับคู่คำสำคัญสำหรับเซสชันการโต้ตอบ RDMA เมื่อทำการมิเรอร์การรับส่งข้อมูล และเราจำเป็นต้องใช้รายการขยายของผู้เชี่ยวชาญ
รายชื่อขยายระดับผู้เชี่ยวชาญที่ตรงกับคำจำกัดความของฟิลด์:
UDF ประกอบด้วยฟิลด์ 5 ฟิลด์ ได้แก่ คีย์เวิร์ด UDF ฟิลด์ฐาน ฟิลด์ออฟเซ็ต ฟิลด์ค่า และฟิลด์มาสก์ เนื่องจากความจุของรายการฮาร์ดแวร์จำกัด จึงสามารถใช้ UDF ได้ทั้งหมด 8 รายการ UDF หนึ่งรายการสามารถจับคู่ได้สูงสุด 2 ไบต์
• คีย์เวิร์ด UDF: UDF1... UDF8 มีคีย์เวิร์ดแปดคำของโดเมนที่ตรงกับ UDF
• ฟิลด์ฐาน: ระบุตำแหน่งเริ่มต้นของฟิลด์ที่ตรงกับ UDF ดังต่อไปนี้
L4_header (ใช้ได้กับ RG-S6520-64CQ)
L5_header (สำหรับ RG-S6510-48VS8Cq)
• ออฟเซ็ต: ระบุออฟเซ็ตตามฟิลด์ฐาน ค่าจะมีตั้งแต่ 0 ถึง 126
• ฟิลด์ค่า: ค่าที่ตรงกัน สามารถใช้ร่วมกับฟิลด์มาส์กเพื่อกำหนดค่าเฉพาะที่ต้องการให้ตรงกัน บิตที่ถูกต้องคือ 2 ไบต์
• ฟิลด์หน้ากาก: หน้ากาก บิตที่ถูกต้องคือสองไบต์
(เพิ่ม: หากใช้รายการหลายรายการในฟิลด์ที่ตรงกับ UDF เดียวกัน ฟิลด์ฐานและออฟเซ็ตจะต้องเป็นฟิลด์เดียวกัน)
แพ็กเก็ตคีย์สองชุดที่เกี่ยวข้องกับสถานะเซสชัน RDMA คือแพ็กเก็ตการแจ้งเตือนความแออัด (CNP) และการรับทราบเชิงลบ (NAK)
แบบแรกจะสร้างขึ้นโดยตัวรับ RDMA หลังจากได้รับข้อความ ECN ที่ส่งโดยสวิตช์ (เมื่อบัฟเฟอร์ eout ถึงเกณฑ์) ซึ่งมีข้อมูลเกี่ยวกับโฟลว์หรือ QP ที่ทำให้เกิดความแออัด แบบหลังใช้เพื่อระบุว่าการส่งข้อมูลของ RDMA มีข้อความตอบสนองการสูญเสียแพ็กเก็ต
มาดูวิธีการจับคู่ข้อความทั้งสองนี้โดยใช้รายการขยายระดับผู้เชี่ยวชาญ:
รายชื่อผู้เชี่ยวชาญที่เข้าถึงได้ขยาย RDMA
อนุญาต udp ใดๆ ใดๆ ใดๆ eq 4791udf1 l4_เฮดเดอร์ 8 0x8100 0xFF00(ตรงกับ RG-S6520-64CQ)
อนุญาต udp ใดๆ ใดๆ ใดๆ eq 4791udf1 l5_เฮดเดอร์ 0 0x8100 0xFF00(ตรงกับ RG-S6510-48VS8CQ)
รายชื่อผู้เชี่ยวชาญที่เข้าถึงได้ขยาย RDMA
อนุญาต udp ใดๆ ใดๆ ใดๆ eq 4791udf1 l4_header 8 0x1100 0xFF00 udf2 l4_header 20 0x6000 0xFF00(ตรงกับ RG-S6520-64CQ)
อนุญาต udp ใดๆ ใดๆ ใดๆ eq 4791udf1 l5_header 0 0x1100 0xFF00 udf2 l5_header 12 0x6000 0xFF00(ตรงกับ RG-S6510-48VS8CQ)
ขั้นตอนสุดท้าย คุณสามารถมองเห็นเซสชัน RDMA ได้โดยการติดตั้งรายการส่วนขยายของผู้เชี่ยวชาญลงในกระบวนการ ERSPAN ที่เหมาะสม
เขียนในครั้งสุดท้าย
ERSPAN เป็นหนึ่งในเครื่องมือที่ขาดไม่ได้ในเครือข่ายศูนย์ข้อมูลขนาดใหญ่ที่เพิ่มขึ้นเรื่อยๆ ในปัจจุบัน ซึ่งมีปริมาณการรับส่งข้อมูลบนเครือข่ายที่ซับซ้อนมากขึ้นเรื่อยๆ และความต้องการการดำเนินการและการบำรุงรักษาเครือข่ายที่ซับซ้อนมากขึ้นเรื่อยๆ
ด้วยระดับการทำงานอัตโนมัติของ O&M ที่เพิ่มมากขึ้น เทคโนโลยีต่างๆ เช่น Netconf, RESTconf และ gRPC จึงเป็นที่นิยมในหมู่นักศึกษา O&M ใน O&M อัตโนมัติของเครือข่าย การใช้ gRPC เป็นโปรโตคอลพื้นฐานในการส่งข้อมูลมิเรอร์แบบแบ็คมิเรอร์ก็มีข้อดีมากมายเช่นกัน ตัวอย่างเช่น บนพื้นฐานของโปรโตคอล HTTP/2 สามารถรองรับกลไกการส่งสตรีมแบบพุชภายใต้การเชื่อมต่อเดียวกัน ด้วยการเข้ารหัส ProtoBuf ขนาดของข้อมูลจะลดลงครึ่งหนึ่งเมื่อเทียบกับรูปแบบ JSON ทำให้การส่งข้อมูลเร็วขึ้นและมีประสิทธิภาพมากขึ้น ลองนึกดูว่าหากคุณใช้ ERSPAN เพื่อมิเรอร์สตรีมที่สนใจแล้วส่งไปยังเซิร์ฟเวอร์การวิเคราะห์บน gRPC ความสามารถและประสิทธิภาพของการทำงานและการบำรุงรักษาอัตโนมัติของเครือข่ายจะดีขึ้นอย่างมากหรือไม่
เวลาโพสต์ : 10 พฤษภาคม 2565
