เครื่องมือที่พบบ่อยที่สุดสำหรับการตรวจสอบเครือข่ายและการแก้ไขปัญหาในปัจจุบันคือ Switch Port Analyzer (SPAN) หรือที่เรียกว่าการมิเรอร์พอร์ต ช่วยให้เราสามารถตรวจสอบการรับส่งข้อมูลเครือข่ายในโหมดบายพาสนอกแบนด์โดยไม่รบกวนบริการบนเครือข่ายสด และส่งสำเนาของการรับส่งข้อมูลที่ได้รับการตรวจสอบไปยังอุปกรณ์ภายในหรือระยะไกล รวมถึง Sniffer, IDS หรือเครื่องมือวิเคราะห์เครือข่ายประเภทอื่น ๆ
การใช้งานทั่วไปบางประการ ได้แก่:
• แก้ไขปัญหาเครือข่ายโดยการติดตามเฟรมควบคุม/ข้อมูล
• วิเคราะห์ความล่าช้าและความกระวนกระวายใจโดยการตรวจสอบแพ็กเก็ต VoIP;
• วิเคราะห์เวลาแฝงโดยการตรวจสอบการโต้ตอบของเครือข่าย
• ตรวจจับความผิดปกติโดยการตรวจสอบการรับส่งข้อมูลเครือข่าย
SPAN Traffic สามารถมิเรอร์ในเครื่องไปยังพอร์ตอื่นบนอุปกรณ์ต้นทางเดียวกัน หรือมิเรอร์จากระยะไกลไปยังอุปกรณ์เครือข่ายอื่นที่อยู่ติดกับเลเยอร์ 2 ของอุปกรณ์ต้นทาง (RSPAN)
วันนี้เราจะมาพูดถึงเทคโนโลยีการตรวจสอบการรับส่งข้อมูลทางอินเทอร์เน็ตระยะไกลที่เรียกว่า ERSPAN (Encapsulated Remote Switch Port Analyzer) ที่สามารถส่งผ่าน IP สามชั้นได้ นี่เป็นส่วนขยายของ SPAN ไปจนถึง Encapsulated Remote
หลักการทำงานพื้นฐานของ ERSPAN
ก่อนอื่น มาดูคุณสมบัติของ ERSPAN กันก่อน:
• สำเนาของแพ็กเก็ตจากพอร์ตต้นทางจะถูกส่งไปยังเซิร์ฟเวอร์ปลายทางเพื่อแยกวิเคราะห์ผ่าน Generic Routing Encapsulation (GRE) ไม่จำกัดตำแหน่งทางกายภาพของเซิร์ฟเวอร์
• ด้วยความช่วยเหลือของฟีเจอร์ User Defined Field (UDF) ของชิป การชดเชยใดๆ ที่ 1 ถึง 126 ไบต์จะดำเนินการตามโดเมนฐานผ่านรายการขยายระดับผู้เชี่ยวชาญ และคีย์เวิร์ดของเซสชันจะถูกจับคู่เพื่อให้เกิดการแสดงภาพ ของเซสชัน เช่น TCP three-way handshake และ RDMA session;
• รองรับการตั้งค่าอัตราการสุ่มตัวอย่าง;
• รองรับความยาวการสกัดกั้นแพ็คเก็ต (Packet Slicing) ช่วยลดแรงกดดันต่อเซิร์ฟเวอร์เป้าหมาย
ด้วยคุณสมบัติเหล่านี้ คุณจะเห็นได้ว่าเหตุใด ERSPAN จึงเป็นเครื่องมือสำคัญในการตรวจสอบเครือข่ายภายในศูนย์ข้อมูลในปัจจุบัน
หน้าที่หลักของ ERSPAN สามารถสรุปได้เป็น 2 ด้าน คือ
• การมองเห็นเซสชัน: ใช้ ERSPAN เพื่อรวบรวมเซสชัน TCP และ Remote Direct Memory Access (RDMA) ใหม่ที่สร้างขึ้นทั้งหมดไปยังเซิร์ฟเวอร์ส่วนหลังเพื่อแสดงผล
• การแก้ไขปัญหาเครือข่าย: บันทึกการรับส่งข้อมูลเครือข่ายเพื่อการวิเคราะห์ข้อผิดพลาดเมื่อเกิดปัญหาเครือข่าย
ในการดำเนินการนี้ อุปกรณ์เครือข่ายต้นทางจำเป็นต้องกรองการรับส่งข้อมูลที่ผู้ใช้สนใจออกจากสตรีมข้อมูลขนาดใหญ่ ทำสำเนา และห่อหุ้มแต่ละเฟรมการคัดลอกลงใน "คอนเทนเนอร์ซูเปอร์เฟรม" พิเศษที่มีข้อมูลเพิ่มเติมเพียงพอเพื่อให้สามารถ ถูกส่งไปยังอุปกรณ์รับอย่างถูกต้อง นอกจากนี้ ให้เปิดใช้งานอุปกรณ์รับสัญญาณเพื่อแยกและกู้คืนการรับส่งข้อมูลที่ได้รับการตรวจสอบดั้งเดิมอย่างสมบูรณ์
อุปกรณ์รับสามารถเป็นเซิร์ฟเวอร์อื่นที่รองรับการถอดรหัสแพ็กเก็ต ERSPAN
การวิเคราะห์ประเภท ERSPAN และรูปแบบแพ็คเกจ
แพ็กเก็ต ERSPAN ถูกห่อหุ้มโดยใช้ GRE และส่งต่อไปยังปลายทางที่สามารถระบุที่อยู่ IP ได้ผ่านอีเธอร์เน็ต ปัจจุบัน ERSPAN ใช้งานบนเครือข่าย IPv4 เป็นหลัก และการสนับสนุน IPv6 จะเป็นข้อกำหนดในอนาคต
สำหรับโครงสร้างการห่อหุ้มทั่วไปของ ERSAPN ต่อไปนี้คือการจับแพ็กเก็ตมิเรอร์ของแพ็กเก็ต ICMP:
โปรโตคอล ERSPAN ได้รับการพัฒนามาเป็นเวลานาน และด้วยการปรับปรุงขีดความสามารถ จึงได้มีการสร้างเวอร์ชันต่างๆ ขึ้นเรียกว่า "ประเภท ERSPAN" ประเภทต่างๆ มีรูปแบบส่วนหัวของเฟรมที่แตกต่างกัน
ถูกกำหนดไว้ในฟิลด์เวอร์ชันแรกของส่วนหัว ERSPAN:
นอกจากนี้ ฟิลด์ประเภทโปรโตคอลในส่วนหัว GRE ยังระบุประเภท ERSPAN ภายในด้วย ฟิลด์ประเภทโปรโตคอล 0x88BE หมายถึง ERSPAN Type II และ 0x22EB หมายถึง ERSPAN Type III
1. ประเภทที่ 1
กรอบ ERSPAN ของ Type I ห่อหุ้ม IP และ GRE โดยตรงเหนือส่วนหัวของกรอบกระจกดั้งเดิม การห่อหุ้มนี้เพิ่ม 38 ไบต์เหนือเฟรมดั้งเดิม: 14(MAC) + 20 (IP) + 4(GRE) ข้อดีของรูปแบบนี้คือมีขนาดส่วนหัวที่กะทัดรัดและลดต้นทุนในการส่งข้อมูล อย่างไรก็ตาม เนื่องจากตั้งค่าฟิลด์ GRE Flag และ Version เป็น 0 จึงไม่มีช่องขยายใดๆ และประเภท I ไม่ได้ใช้กันอย่างแพร่หลาย ดังนั้นจึงไม่จำเป็นต้องขยายเพิ่มเติม
รูปแบบส่วนหัว GRE ของ Type I เป็นดังนี้:
2. ประเภทที่สอง
ใน Type II ฟิลด์ C, R, K, S, S, Recur, Flags และ Version ในส่วนหัว GRE จะเป็น 0 ทั้งหมด ยกเว้นฟิลด์ S ดังนั้นฟิลด์ Sequence Number จะแสดงในส่วนหัว GRE ของ Type II นั่นคือ Type II สามารถรับประกันลำดับการรับแพ็กเก็ต GRE ดังนั้นจึงไม่สามารถจัดเรียงแพ็กเก็ต GRE ที่ไม่อยู่ในลำดับจำนวนมากได้เนื่องจากข้อผิดพลาดของเครือข่าย
รูปแบบส่วนหัว GRE ของ Type II เป็นดังนี้:
นอกจากนี้ รูปแบบเฟรม ERSPAN Type II จะเพิ่มส่วนหัว ERSPAN ขนาด 8 ไบต์ระหว่างส่วนหัว GRE และเฟรมมิเรอร์ดั้งเดิม
รูปแบบส่วนหัว ERSPAN สำหรับ Type II เป็นดังนี้:
สุดท้ายถัดจากเฟรมภาพต้นฉบับคือรหัสตรวจสอบความซ้ำซ้อนแบบวนรอบอีเธอร์เน็ต (CRC) มาตรฐาน 4 ไบต์
เป็นที่น่าสังเกตว่าในการใช้งาน กรอบกระจกเงาไม่มีฟิลด์ FCS ของเฟรมดั้งเดิม แต่ค่า CRC ใหม่จะถูกคำนวณใหม่ตาม ERSPAN ทั้งหมด ซึ่งหมายความว่าอุปกรณ์รับสัญญาณไม่สามารถตรวจสอบความถูกต้องของ CRC ของเฟรมดั้งเดิมได้ และเราสามารถสรุปได้ว่ามีเพียงเฟรมที่ไม่เสียหายเท่านั้นที่ถูกมิเรอร์
3. ประเภทที่สาม
Type III นำเสนอส่วนหัวคอมโพสิตที่ใหญ่และยืดหยุ่นมากขึ้นเพื่อจัดการกับสถานการณ์การตรวจสอบเครือข่ายที่ซับซ้อนและหลากหลายมากขึ้น รวมถึงแต่ไม่จำกัดเพียงการจัดการเครือข่าย การตรวจจับการบุกรุก การวิเคราะห์ประสิทธิภาพและความล่าช้า และอื่นๆ ฉากเหล่านี้จำเป็นต้องรู้พารามิเตอร์ดั้งเดิมทั้งหมดของกรอบกระจก และรวมถึงพารามิเตอร์ที่ไม่มีอยู่ในเฟรมดั้งเดิมด้วย
ส่วนหัวคอมโพสิต ERSPAN Type III ประกอบด้วยส่วนหัวบังคับขนาด 12 ไบต์และส่วนหัวย่อยเฉพาะแพลตฟอร์มเพิ่มเติมขนาด 8 ไบต์
รูปแบบส่วนหัว ERSPAN สำหรับ Type III เป็นดังนี้:
อีกครั้งหลังจากกรอบกระจกเดิมเป็น CRC ขนาด 4 ไบต์
ดังที่เห็นได้จากรูปแบบส่วนหัวของ Type III นอกเหนือจากการรักษาฟิลด์ Ver, VLAN, COS, T และ Session ID ไว้บนพื้นฐานของ Type II แล้ว ยังมีการเพิ่มฟิลด์พิเศษจำนวนมาก เช่น:
• BSO: ใช้เพื่อระบุความสมบูรณ์ของโหลดของเฟรมข้อมูลที่ส่งผ่าน ERSPAN 00 คือเฟรมที่ดี 11 คือเฟรมที่ไม่ดี 01 คือเฟรมสั้น 11 คือเฟรมใหญ่
• การประทับเวลา: ส่งออกจากนาฬิกาฮาร์ดแวร์ที่ซิงโครไนซ์กับเวลาของระบบ ฟิลด์ 32 บิตนี้รองรับรายละเอียดการประทับเวลาอย่างน้อย 100 ไมโครวินาที
• ประเภทเฟรม (P) และประเภทเฟรม (FT) : แบบแรกใช้เพื่อระบุว่า ERSPAN รองรับเฟรมโปรโตคอลอีเธอร์เน็ต (เฟรม PDU) หรือไม่ และแบบหลังใช้เพื่อระบุว่า ERSPAN รองรับเฟรมอีเทอร์เน็ตหรือแพ็กเก็ต IP หรือไม่
• HW ID: ตัวระบุเฉพาะของกลไก ERSPAN ภายในระบบ;
• Gra (Timestamp Granularity) : ระบุรายละเอียดของ Timestamp ตัวอย่างเช่น 00B แสดงถึงความละเอียด 100 ไมโครวินาที, 01B ความละเอียด 100 นาโนวินาที, ความละเอียด 10B IEEE 1588 และ 11B ต้องใช้ส่วนหัวย่อยเฉพาะแพลตฟอร์มเพื่อให้ได้ความละเอียดที่สูงขึ้น
• Platf ID เทียบกับข้อมูลเฉพาะแพลตฟอร์ม: ช่องข้อมูลเฉพาะ Platf มีรูปแบบและเนื้อหาที่แตกต่างกัน ขึ้นอยู่กับค่า Platf ID
ควรสังเกตว่าฟิลด์ส่วนหัวต่างๆ ที่ได้รับการสนับสนุนข้างต้นสามารถใช้ได้ในแอปพลิเคชัน ERSPAN ทั่วไป แม้กระทั่งการมิเรอร์เฟรมข้อผิดพลาดหรือเฟรม BPDU ในขณะที่ยังคงรักษาแพ็กเกจ Trunk ดั้งเดิมและ VLAN ID ไว้ นอกจากนี้ คุณสามารถเพิ่มข้อมูลการประทับเวลาคีย์และช่องข้อมูลอื่นๆ ลงในแต่ละเฟรม ERSPAN ระหว่างการมิเรอร์ได้
ด้วยส่วนหัวคุณลักษณะของ ERSPAN เราจึงสามารถบรรลุผลการวิเคราะห์การรับส่งข้อมูลเครือข่ายที่ละเอียดยิ่งขึ้น จากนั้นเพียงติดตั้ง ACL ที่เกี่ยวข้องในกระบวนการ ERSPAN เพื่อให้ตรงกับการรับส่งข้อมูลเครือข่ายที่เราสนใจ
ERSPAN ใช้การมองเห็นเซสชัน RDMA
มาดูตัวอย่างการใช้เทคโนโลยี ERSPAN เพื่อให้เกิดการแสดงภาพเซสชัน RDMA ในสถานการณ์ RDMA:
อาร์ดีเอ็มเอ: การเข้าถึงหน่วยความจำโดยตรงระยะไกลช่วยให้อะแดปเตอร์เครือข่ายของเซิร์ฟเวอร์ A สามารถอ่านและเขียนหน่วยความจำของเซิร์ฟเวอร์ B โดยใช้การ์ดอินเทอร์เฟซเครือข่ายอัจฉริยะ (inics) และสวิตช์ ทำให้ได้แบนด์วิธสูง เวลาแฝงต่ำ และการใช้ทรัพยากรต่ำ มีการใช้กันอย่างแพร่หลายในสถานการณ์ข้อมูลขนาดใหญ่และการจัดเก็บข้อมูลแบบกระจายที่มีประสิทธิภาพสูง
RoCEv2: RDMA บน Converged Ethernet เวอร์ชัน 2 ข้อมูล RDMA ถูกห่อหุ้มไว้ในส่วนหัว UDP หมายเลขพอร์ตปลายทางคือ 4791
การทำงานและการบำรุงรักษา RDMA ในแต่ละวันจำเป็นต้องรวบรวมข้อมูลจำนวนมาก ซึ่งใช้ในการรวบรวมเส้นอ้างอิงระดับน้ำในแต่ละวันและการแจ้งเตือนที่ผิดปกติ รวมถึงพื้นฐานในการระบุปัญหาที่ผิดปกติ เมื่อใช้ร่วมกับ ERSPAN จะสามารถบันทึกข้อมูลขนาดใหญ่ได้อย่างรวดเร็วเพื่อรับข้อมูลคุณภาพการส่งต่อในระดับไมโครวินาที และสถานะการโต้ตอบของโปรโตคอลของชิปสวิตช์ ด้วยสถิติและการวิเคราะห์ข้อมูล ทำให้สามารถประเมินและคาดการณ์คุณภาพการส่งต่อแบบ end-to-end ของ RDMA ได้
เพื่อให้บรรลุการแสดงภาพเซสชัน RDAM เราจำเป็นต้องมี ERSPAN เพื่อจับคู่คำหลักสำหรับเซสชันการโต้ตอบ RDMA เมื่อมิเรอร์การรับส่งข้อมูล และเราจำเป็นต้องใช้รายการขยายของผู้เชี่ยวชาญ
คำนิยามฟิลด์การจับคู่รายการขยายระดับผู้เชี่ยวชาญ:
UDF ประกอบด้วยห้าฟิลด์: คำสำคัญ UDF, ฟิลด์ฐาน, ฟิลด์ออฟเซ็ต, ฟิลด์ค่า และฟิลด์มาสก์ จำกัดด้วยความจุของรายการฮาร์ดแวร์ สามารถใช้ UDF ได้ทั้งหมดแปดรายการ หนึ่ง UDF สามารถจับคู่ได้สูงสุดสองไบต์
• คำหลัก UDF: UDF1... UDF8 ประกอบด้วยคำหลักแปดคำของโดเมนที่ตรงกัน UDF
• ฟิลด์ฐาน: ระบุตำแหน่งเริ่มต้นของฟิลด์การจับคู่ UDF ต่อไปนี้
L4_header (ใช้ได้กับ RG-S6520-64CQ)
L5_header (สำหรับ RG-S6510-48VS8Cq)
• ออฟเซ็ต: ระบุออฟเซ็ตตามฟิลด์ฐาน ค่าอยู่ระหว่าง 0 ถึง 126
• ฟิลด์ค่า: ค่าที่ตรงกัน สามารถใช้ร่วมกับฟิลด์มาสก์เพื่อกำหนดค่าเฉพาะที่จะจับคู่ได้ บิตที่ถูกต้องคือสองไบต์
• ฟิลด์มาสก์: มาสก์ บิตที่ถูกต้องคือ 2 ไบต์
(เพิ่ม: หากใช้หลายรายการในฟิลด์การจับคู่ UDF เดียวกัน ฟิลด์ฐานและออฟเซ็ตจะต้องเหมือนกัน)
แพ็กเก็ตหลักสองแพ็กเก็ตที่เกี่ยวข้องกับสถานะเซสชัน RDMA คือแพ็กเก็ตการแจ้งเตือนความแออัด (CNP) และการตอบรับเชิงลบ (NAK):
แบบแรกถูกสร้างขึ้นโดยตัวรับ RDMA หลังจากได้รับข้อความ ECN ที่ส่งโดยสวิตช์ (เมื่อบัฟเฟอร์ eout ถึงขีดจำกัด) ซึ่งมีข้อมูลเกี่ยวกับโฟลว์หรือ QP ที่ทำให้เกิดความแออัด ส่วนหลังใช้เพื่อระบุว่าการส่ง RDMA มีข้อความตอบกลับการสูญเสียแพ็กเก็ต
มาดูวิธีจับคู่ข้อความทั้งสองนี้โดยใช้รายการขยายระดับผู้เชี่ยวชาญ:
รายการเข้าถึงผู้เชี่ยวชาญขยาย rdma
อนุญาต udp ใด ๆ ใด ๆ eq 4791udf 1 l4_header 8 0x8100 0xFF00(ตรงกับ RG-S6520-64CQ)
อนุญาต udp ใด ๆ ใด ๆ eq 4791udf 1 l5_header 0 0x8100 0xFF00(ตรงกับ RG-S6510-48VS8CQ)
รายการเข้าถึงผู้เชี่ยวชาญขยาย rdma
อนุญาต udp ใด ๆ ใด ๆ eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(ตรงกับ RG-S6520-64CQ)
อนุญาต udp ใด ๆ ใด ๆ eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(ตรงกับ RG-S6510-48VS8CQ)
ในขั้นตอนสุดท้าย คุณสามารถแสดงภาพเซสชัน RDMA ได้โดยการติดตั้งรายการส่วนขยายผู้เชี่ยวชาญลงในกระบวนการ ERSPAN ที่เหมาะสม
เขียนเป็นอันสุดท้าย
ERSPAN เป็นหนึ่งในเครื่องมือที่ขาดไม่ได้ในเครือข่ายศูนย์ข้อมูลที่มีขนาดใหญ่ขึ้นในปัจจุบัน การรับส่งข้อมูลเครือข่ายที่ซับซ้อนมากขึ้น และข้อกำหนดในการดำเนินงานและบำรุงรักษาเครือข่ายที่ซับซ้อนมากขึ้น
ด้วยระดับที่เพิ่มขึ้นของระบบอัตโนมัติ O&M เทคโนโลยี เช่น Netconf, RESTconf และ gRPC จึงได้รับความนิยมในหมู่นักศึกษา O&M ใน O&M อัตโนมัติบนเครือข่าย การใช้ gRPC เป็นโปรโตคอลพื้นฐานสำหรับการส่งการรับส่งข้อมูลมิเรอร์กลับมีข้อดีหลายประการเช่นกัน ตัวอย่างเช่น ตามโปรโตคอล HTTP/2 สามารถรองรับกลไกการสตรีมมิงแบบพุชภายใต้การเชื่อมต่อเดียวกันได้ ด้วยการเข้ารหัส ProtoBuf ขนาดของข้อมูลจะลดลงครึ่งหนึ่งเมื่อเทียบกับรูปแบบ JSON ทำให้การรับส่งข้อมูลเร็วขึ้นและมีประสิทธิภาพมากขึ้น ลองจินตนาการดูว่า หากคุณใช้ ERSPAN เพื่อจำลองสตรีมที่สนใจ แล้วส่งไปยังเซิร์ฟเวอร์การวิเคราะห์บน gRPC จะปรับปรุงความสามารถและประสิทธิภาพของการทำงานและบำรุงรักษาเครือข่ายอัตโนมัติได้อย่างมากหรือไม่
เวลาโพสต์: May-10-2022
