Alat yang paling umum untuk pemantauan dan pemecahan masalah jaringan saat ini adalah Switch Port Analyzer (SPAN), yang juga dikenal sebagai Port mirroring. Alat ini memungkinkan kita untuk memantau lalu lintas jaringan dalam mode bypass out of band tanpa mengganggu layanan pada jaringan aktif, dan mengirimkan salinan lalu lintas yang dipantau ke perangkat lokal atau jarak jauh, termasuk Sniffer, IDS, atau jenis alat analisis jaringan lainnya.
Beberapa penggunaan umumnya adalah:
• Memecahkan masalah jaringan dengan melacak bingkai kontrol/data;
• Menganalisis latensi dan jitter dengan memantau paket VoIP;
• Menganalisis latensi dengan memantau interaksi jaringan;
• Mendeteksi anomali dengan memantau lalu lintas jaringan.
Lalu Lintas SPAN dapat dicerminkan secara lokal ke port lain pada perangkat sumber yang sama, atau dicerminkan dari jarak jauh ke perangkat jaringan lain yang berdekatan dengan Lapisan 2 perangkat sumber (RSPAN).
Hari ini kita akan membahas tentang teknologi pemantauan lalu lintas Internet jarak jauh yang disebut ERSPAN (Encapsulated Remote Switch Port Analyzer) yang dapat ditransmisikan melalui tiga lapisan IP. Ini merupakan perluasan dari SPAN ke Encapsulated Remote.
Prinsip dasar pengoperasian ERSPAN
Pertama, mari kita lihat fitur-fitur ERSPAN:
• Salinan paket dari port sumber dikirim ke server tujuan untuk diurai melalui Generic Routing Encapsulation (GRE). Lokasi fisik server tidak dibatasi.
• Dengan bantuan fitur User Defined Field (UDF) dari chip tersebut, setiap offset dari 1 hingga 126 byte dilakukan berdasarkan domain Dasar melalui daftar yang diperluas tingkat ahli, dan kata kunci sesi dicocokkan untuk mewujudkan visualisasi sesi, seperti jabat tangan tiga arah TCP dan sesi RDMA;
• Mendukung pengaturan laju pengambilan sampel;
• Mendukung panjang intersepsi paket (Packet Slicing), mengurangi tekanan pada server target.
Dengan fitur-fitur ini, Anda dapat melihat mengapa ERSPAN merupakan alat penting untuk memantau jaringan di dalam pusat data saat ini.
Fungsi utama ERSPAN dapat diringkas dalam dua aspek:
• Visibilitas Sesi: Gunakan ERSPAN untuk mengumpulkan semua sesi TCP dan Remote Direct Memory Access (RDMA) baru yang dibuat ke server back-end untuk ditampilkan;
• Pemecahan masalah jaringan: Menangkap lalu lintas jaringan untuk analisis kesalahan saat terjadi masalah jaringan.
Untuk melakukan ini, perangkat jaringan sumber perlu menyaring lalu lintas yang diminati pengguna dari aliran data besar, membuat salinan, dan merangkum setiap bingkai salinan ke dalam "wadah superframe" khusus yang membawa informasi tambahan yang cukup sehingga dapat diarahkan dengan benar ke perangkat penerima. Selain itu, memungkinkan perangkat penerima untuk mengekstrak dan memulihkan sepenuhnya lalu lintas asli yang dipantau.
Perangkat penerima dapat berupa server lain yang mendukung dekapsulasi paket ERSPAN.
Analisis Jenis dan Format Paket ERSPAN
Paket ERSPAN dienkapsulasi menggunakan GRE dan diteruskan ke tujuan yang dapat dialamatkan IP mana pun melalui Ethernet. ERSPAN saat ini sebagian besar digunakan pada jaringan IPv4, dan dukungan IPv6 akan menjadi persyaratan di masa mendatang.
Untuk struktur enkapsulasi umum ERSAPN, berikut ini adalah tangkapan paket cermin dari paket ICMP:
Protokol ERSPAN telah berkembang dalam jangka waktu yang panjang, dan dengan peningkatan kemampuannya, beberapa versi telah dibentuk, yang disebut "Jenis ERSPAN". Jenis yang berbeda memiliki format header bingkai yang berbeda.
Ini didefinisikan di bidang Versi pertama dari header ERSPAN:
Selain itu, kolom Jenis Protokol di header GRE juga menunjukkan Jenis ERSPAN internal. Kolom Jenis Protokol 0x88BE menunjukkan Jenis ERSPAN II, dan 0x22EB menunjukkan Jenis ERSPAN III.
1. Tipe I
Frame ERSPAN Tipe I merangkum IP dan GRE secara langsung di atas header frame mirror asli. Enkapsulasi ini menambahkan 38 byte di atas frame asli: 14(MAC) + 20 (IP) + 4(GRE). Keuntungan dari format ini adalah memiliki ukuran header yang ringkas dan mengurangi biaya transmisi. Namun, karena menetapkan kolom GRE Flag dan Version ke 0, format ini tidak membawa kolom yang diperluas dan Tipe I tidak digunakan secara luas, jadi tidak perlu diperluas lagi.
Format header GRE Tipe I adalah sebagai berikut:
2. Tipe II
Pada Tipe II, kolom C, R, K, S, S, Recur, Flags, dan Version di header GRE semuanya bernilai 0 kecuali kolom S. Oleh karena itu, kolom Sequence Number ditampilkan di header GRE Tipe II. Artinya, Tipe II dapat memastikan urutan penerimaan paket GRE, sehingga sejumlah besar paket GRE yang tidak berurutan tidak dapat disortir karena kesalahan jaringan.
Format header GRE Tipe II adalah sebagai berikut:
Selain itu, format bingkai ERSPAN Tipe II menambahkan header ERSPAN 8-byte antara header GRE dan bingkai cermin asli.
Format header ERSPAN untuk Tipe II adalah sebagai berikut:
Terakhir, tepat setelah bingkai gambar asli, adalah kode pemeriksaan redundansi siklik (CRC) Ethernet standar 4-byte.
Perlu dicatat bahwa dalam implementasinya, frame cermin tidak berisi bidang FCS dari frame asli, melainkan nilai CRC baru dihitung ulang berdasarkan seluruh ERSPAN. Ini berarti bahwa perangkat penerima tidak dapat memverifikasi kebenaran CRC dari frame asli, dan kita hanya dapat berasumsi bahwa hanya frame yang tidak rusak yang dicerminkan.
3. Tipe III
Tipe III memperkenalkan header komposit yang lebih besar dan lebih fleksibel untuk menangani skenario pemantauan jaringan yang semakin kompleks dan beragam, termasuk tetapi tidak terbatas pada manajemen jaringan, deteksi intrusi, analisis kinerja dan penundaan, dan banyak lagi. Adegan ini perlu mengetahui semua parameter asli bingkai cermin dan menyertakan parameter yang tidak ada dalam bingkai asli itu sendiri.
Header komposit ERSPAN Tipe III mencakup header 12-byte wajib dan subheader spesifik platform 8-byte opsional.
Format header ERSPAN untuk Tipe III adalah sebagai berikut:
Sekali lagi, setelah bingkai cermin asli adalah CRC 4-byte.
Seperti yang dapat dilihat dari format header Tipe III, selain mempertahankan bidang Ver, VLAN, COS, T dan Session ID berdasarkan Tipe II, banyak bidang khusus yang ditambahkan, seperti:
• BSO: digunakan untuk menunjukkan integritas muatan bingkai data yang dibawa melalui ERSPAN. 00 adalah bingkai baik, 11 adalah bingkai buruk, 01 adalah bingkai pendek, 11 adalah bingkai besar;
• Cap waktu: diekspor dari jam perangkat keras yang disinkronkan dengan waktu sistem. Bidang 32-bit ini mendukung setidaknya 100 mikrodetik ketelitian Cap Waktu;
• Jenis Bingkai (P) dan Jenis Bingkai (FT): yang pertama digunakan untuk menentukan apakah ERSPAN membawa bingkai protokol Ethernet (bingkai PDU), dan yang terakhir digunakan untuk menentukan apakah ERSPAN membawa bingkai Ethernet atau paket IP.
• HW ID: pengenal unik mesin ERSPAN dalam sistem;
• Gra (Timestamp Granularity): Menentukan Granularitas Timestamp. Misalnya, 00B mewakili Granularitas 100 mikrodetik, 01B Granularitas 100 nanodetik, Granularitas IEEE 1588 10B, dan 11B memerlukan sub-header khusus platform untuk mencapai Granularitas yang lebih tinggi.
• ID Platf vs. Info Spesifik Platform: Bidang Info Spesifik Platform memiliki format dan konten yang berbeda tergantung pada nilai ID Platf.
Perlu dicatat bahwa berbagai bidang header yang didukung di atas dapat digunakan dalam aplikasi ERSPAN biasa, bahkan mencerminkan frame kesalahan atau frame BPDU, sambil mempertahankan paket Trunk dan ID VLAN asli. Selain itu, informasi cap waktu utama dan bidang informasi lainnya dapat ditambahkan ke setiap frame ERSPAN selama pencerminan.
Dengan header fitur ERSPAN sendiri, kita dapat memperoleh analisis lalu lintas jaringan yang lebih teliti, lalu cukup memasang ACL terkait dalam proses ERSPAN agar sesuai dengan lalu lintas jaringan yang kita minati.
ERSPAN Menerapkan Visibilitas Sesi RDMA
Mari kita ambil contoh penggunaan teknologi ERSPAN untuk mencapai visualisasi sesi RDMA dalam skenario RDMA:
RDMA: Remote Direct Memory Access memungkinkan adaptor jaringan server A untuk membaca dan menulis Memori server B dengan menggunakan kartu antarmuka jaringan (inics) dan sakelar cerdas, sehingga mencapai bandwidth tinggi, latensi rendah, dan pemanfaatan sumber daya rendah. Ini banyak digunakan dalam skenario penyimpanan terdistribusi berkinerja tinggi dan data besar.
RoCEv2: RDMA melalui Converged Ethernet Versi 2. Data RDMA dienkapsulasi dalam UDP Header. Nomor port tujuan adalah 4791.
Pengoperasian dan pemeliharaan harian RDMA memerlukan pengumpulan banyak data, yang digunakan untuk mengumpulkan garis referensi level air harian dan alarm abnormal, serta sebagai dasar untuk menemukan masalah abnormal. Dikombinasikan dengan ERSPAN, data besar dapat ditangkap dengan cepat untuk mendapatkan data kualitas penerusan mikrodetik dan status interaksi protokol dari chip switching. Melalui statistik dan analisis data, penilaian dan prediksi kualitas penerusan RDMA ujung ke ujung dapat diperoleh.
Untuk mencapai visualisasi sesi RDAM, kita memerlukan ERSPAN untuk mencocokkan kata kunci untuk sesi interaksi RDMA saat mencerminkan lalu lintas, dan kita perlu menggunakan daftar lanjutan pakar.
Definisi bidang pencocokan daftar lengkap tingkat pakar:
UDF terdiri dari lima bidang: kata kunci UDF, bidang dasar, bidang offset, bidang nilai, dan bidang mask. Dibatasi oleh kapasitas entri perangkat keras, total delapan UDF dapat digunakan. Satu UDF dapat mencocokkan maksimum dua byte.
• Kata kunci UDF: UDF1... UDF8 Berisi delapan kata kunci dari domain pencocokan UDF
• Bidang dasar: mengidentifikasi posisi awal bidang pencocokan UDF. Berikut ini
L4_header (berlaku untuk RG-S6520-64CQ)
L5_header (untuk RG-S6510-48VS8Cq)
• Offset: menunjukkan offset berdasarkan bidang dasar. Nilai berkisar dari 0 hingga 126
• Bidang nilai: nilai yang cocok. Dapat digunakan bersama dengan bidang topeng untuk mengonfigurasi nilai tertentu yang akan dicocokkan. Bit yang valid adalah dua byte
• Bidang topeng: topeng, bit yang valid adalah dua byte
(Tambah: Jika beberapa entri digunakan dalam bidang pencocokan UDF yang sama, bidang dasar dan offset harus sama.)
Dua paket kunci yang terkait dengan status sesi RDMA adalah Congestion Notification Packet (CNP) dan Negative Acknowledgment (NAK):
Yang pertama dihasilkan oleh penerima RDMA setelah menerima pesan ECN yang dikirim oleh switch (ketika Buffer eout mencapai ambang batas), yang berisi informasi tentang aliran atau QP yang menyebabkan kemacetan. Yang terakhir digunakan untuk menunjukkan bahwa transmisi RDMA memiliki pesan respons kehilangan paket.
Mari kita lihat cara mencocokkan kedua pesan ini menggunakan daftar lengkap tingkat ahli:
daftar akses ahli rdma yang diperluas
izinkan udp apa pun apa pun apa pun eq 4791udf 1 l4_header 8 0x8100 0xFF00(Cocok dengan RG-S6520-64CQ)
izinkan udp apa pun apa pun apa pun eq 4791udf 1 l5_judul 0 0x8100 0xFF00(Cocok dengan RG-S6510-48VS8CQ)
daftar akses ahli rdma yang diperluas
izinkan udp apa pun apa pun apa pun eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Cocok dengan RG-S6520-64CQ)
izinkan udp apa pun apa pun apa pun eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Cocok dengan RG-S6510-48VS8CQ)
Sebagai langkah terakhir, Anda dapat memvisualisasikan sesi RDMA dengan memasang daftar ekstensi pakar ke dalam proses ERSPAN yang sesuai.
Tuliskan yang terakhir
ERSPAN adalah salah satu alat yang sangat diperlukan dalam jaringan pusat data saat ini yang semakin besar, lalu lintas jaringan yang semakin kompleks, dan persyaratan operasi dan pemeliharaan jaringan yang semakin canggih.
Dengan meningkatnya derajat otomatisasi O&M, teknologi seperti Netconf, RESTconf, dan gRPC populer di kalangan mahasiswa O&M dalam O&M otomatis jaringan. Menggunakan gRPC sebagai protokol dasar untuk mengirim kembali lalu lintas cermin juga memiliki banyak keuntungan. Misalnya, berdasarkan protokol HTTP/2, ia dapat mendukung mekanisme push streaming di bawah koneksi yang sama. Dengan pengodean ProtoBuf, ukuran informasi berkurang setengahnya dibandingkan dengan format JSON, membuat transmisi data lebih cepat dan lebih efisien. Bayangkan saja, jika Anda menggunakan ERSPAN untuk mencerminkan aliran yang diminati dan kemudian mengirimkannya ke server analisis di gRPC, apakah itu akan sangat meningkatkan kemampuan dan efisiensi operasi dan pemeliharaan otomatis jaringan?
Waktu posting: 10-Mei-2022
