Alat yang paling umum digunakan untuk pemantauan dan pemecahan masalah jaringan saat ini adalah Switch Port Analyzer (SPAN), juga dikenal sebagai Port mirroring. Alat ini memungkinkan kita untuk memantau lalu lintas jaringan dalam mode bypass out of band tanpa mengganggu layanan di jaringan aktif, dan mengirimkan salinan lalu lintas yang dipantau ke perangkat lokal atau jarak jauh, termasuk Sniffer, IDS, atau jenis alat analisis jaringan lainnya.
Beberapa penggunaan umum antara lain:
• Memecahkan masalah jaringan dengan melacak frame kontrol/data;
• Menganalisis latensi dan jitter dengan memantau paket VoIP;
• Menganalisis latensi dengan memantau interaksi jaringan;
• Mendeteksi anomali dengan memantau lalu lintas jaringan.
Lalu lintas SPAN dapat dicerminkan secara lokal ke port lain pada perangkat sumber yang sama, atau dicerminkan dari jarak jauh ke perangkat jaringan lain yang berdekatan dengan Layer 2 dari perangkat sumber (RSPAN).
Hari ini kita akan membahas teknologi pemantauan lalu lintas internet jarak jauh yang disebut ERSPAN (Encapsulated Remote Switch Port Analyzer) yang dapat ditransmisikan melalui tiga lapisan IP. Ini adalah perluasan dari SPAN menjadi Encapsulated Remote.
Prinsip operasi dasar ERSPAN
Pertama, mari kita lihat fitur-fitur ERSPAN:
• Salinan paket dari port sumber dikirim ke server tujuan untuk diuraikan melalui Generic Routing Encapsulation (GRE). Lokasi fisik server tidak dibatasi.
• Dengan bantuan fitur User Defined Field (UDF) pada chip, setiap offset 1 hingga 126 byte dijalankan berdasarkan domain dasar melalui daftar ekstensi tingkat ahli, dan kata kunci sesi dicocokkan untuk mewujudkan visualisasi sesi, seperti jabat tangan tiga arah TCP dan sesi RDMA;
• Mendukung pengaturan laju pengambilan sampel;
• Mendukung pemotongan panjang paket (Packet Slicing), mengurangi tekanan pada server target.
Dengan fitur-fitur ini, Anda dapat memahami mengapa ERSPAN merupakan alat penting untuk memantau jaringan di dalam pusat data saat ini.
Fungsi utama ERSPAN dapat dirangkum dalam dua aspek:
• Visibilitas Sesi: Gunakan ERSPAN untuk mengumpulkan semua sesi TCP dan Remote Direct Memory Access (RDMA) baru yang dibuat ke server back-end untuk ditampilkan;
• Pemecahan masalah jaringan: Merekam lalu lintas jaringan untuk analisis kesalahan ketika terjadi masalah jaringan.
Untuk melakukan ini, perangkat jaringan sumber perlu menyaring lalu lintas yang relevan bagi pengguna dari aliran data yang sangat besar, membuat salinan, dan membungkus setiap frame salinan ke dalam "wadah superframe" khusus yang membawa informasi tambahan yang cukup sehingga dapat dirutekan dengan benar ke perangkat penerima. Selain itu, memungkinkan perangkat penerima untuk mengekstrak dan memulihkan sepenuhnya lalu lintas yang dipantau sebelumnya.
Perangkat penerima dapat berupa server lain yang mendukung dekapsulasi paket ERSPAN.
Analisis Tipe dan Format Paket ERSPAN
Paket ERSPAN dienkapsulasi menggunakan GRE dan diteruskan ke tujuan yang dapat diakses melalui alamat IP melalui Ethernet. ERSPAN saat ini sebagian besar digunakan pada jaringan IPv4, dan dukungan IPv6 akan menjadi persyaratan di masa mendatang.
Untuk struktur enkapsulasi umum ERSAPN, berikut adalah tangkapan paket ICMP yang dicerminkan:
Protokol ERSPAN telah berkembang dalam jangka waktu yang lama, dan dengan peningkatan kemampuannya, beberapa versi telah terbentuk, yang disebut "Tipe ERSPAN". Tipe yang berbeda memiliki format header frame yang berbeda.
Hal ini didefinisikan dalam kolom Versi pertama pada header ERSPAN:
Selain itu, kolom Tipe Protokol dalam header GRE juga menunjukkan Tipe ERSPAN internal. Kolom Tipe Protokol 0x88BE menunjukkan ERSPAN Tipe II, dan 0x22EB menunjukkan ERSPAN Tipe III.
1. Tipe I
Frame ERSPAN Tipe I membungkus IP dan GRE langsung di atas header frame cermin asli. Pembungkusan ini menambahkan 38 byte di atas frame asli: 14 (MAC) + 20 (IP) + 4 (GRE). Keuntungan format ini adalah ukuran header yang ringkas dan mengurangi biaya transmisi. Namun, karena mengatur field GRE Flag dan Version menjadi 0, ia tidak membawa field tambahan apa pun dan Tipe I tidak banyak digunakan, sehingga tidak perlu diperluas lebih lanjut.
Format header GRE Tipe I adalah sebagai berikut:
2. Tipe II
Pada Tipe II, field C, R, K, S, S, Recur, Flags, dan Version pada header GRE semuanya bernilai 0 kecuali field S. Oleh karena itu, field Nomor Urutan ditampilkan pada header GRE Tipe II. Artinya, Tipe II dapat memastikan urutan penerimaan paket GRE, sehingga sejumlah besar paket GRE yang tidak berurutan tidak dapat diurutkan karena kesalahan jaringan.
Format header GRE Tipe II adalah sebagai berikut:
Selain itu, format frame ERSPAN Tipe II menambahkan header ERSPAN 8-byte di antara header GRE dan frame asli yang dicerminkan.
Format header ERSPAN untuk Tipe II adalah sebagai berikut:
Terakhir, tepat setelah bingkai gambar asli, terdapat kode pemeriksaan redundansi siklik (CRC) Ethernet 4-byte standar.
Perlu dicatat bahwa dalam implementasinya, frame cermin tidak memuat bidang FCS dari frame asli, melainkan nilai CRC baru dihitung ulang berdasarkan seluruh ERSPAN. Ini berarti bahwa perangkat penerima tidak dapat memverifikasi kebenaran CRC dari frame asli, dan kita hanya dapat berasumsi bahwa hanya frame yang tidak rusak yang dicerminkan.
3. Tipe III
Tipe III memperkenalkan header komposit yang lebih besar dan lebih fleksibel untuk mengatasi skenario pemantauan jaringan yang semakin kompleks dan beragam, termasuk namun tidak terbatas pada manajemen jaringan, deteksi intrusi, analisis kinerja dan penundaan, dan banyak lagi. Skenario ini perlu mengetahui semua parameter asli dari frame cermin dan termasuk parameter yang tidak ada dalam frame asli itu sendiri.
Header komposit ERSPAN Tipe III mencakup header wajib 12 byte dan subheader opsional 8 byte yang spesifik untuk platform.
Format header ERSPAN untuk Tipe III adalah sebagai berikut:
Sekali lagi, setelah bingkai cermin asli terdapat CRC 4-byte.
Seperti yang terlihat dari format header Tipe III, selain mempertahankan kolom Ver, VLAN, COS, T, dan Session ID berdasarkan Tipe II, banyak kolom khusus ditambahkan, seperti:
• BSO: digunakan untuk menunjukkan integritas pemuatan frame data yang dikirim melalui ERSPAN. 00 adalah frame yang baik, 11 adalah frame yang buruk, 01 adalah frame pendek, 11 adalah frame besar;
• Stempel waktu: diekspor dari jam perangkat keras yang disinkronkan dengan waktu sistem. Bidang 32-bit ini mendukung granularitas Stempel Waktu minimal 100 mikrodetik;
• Tipe Frame (P) dan Tipe Frame (FT): yang pertama digunakan untuk menentukan apakah ERSPAN membawa frame protokol Ethernet (frame PDU), dan yang kedua digunakan untuk menentukan apakah ERSPAN membawa frame Ethernet atau paket IP.
• HW ID: pengidentifikasi unik dari mesin ERSPAN di dalam sistem;
• Gra (Timestamp Granularity): Menentukan Granularitas Stempel Waktu. Misalnya, 00B mewakili Granularitas 100 mikrodetik, 01B Granularitas 100 nanodetik, 10B Granularitas IEEE 1588, dan 11B memerlukan sub-header khusus platform untuk mencapai Granularitas yang lebih tinggi.
• ID Platform vs. Informasi Spesifik Platform: Kolom Informasi Spesifik Platform memiliki format dan konten yang berbeda tergantung pada nilai ID Platform.
Perlu dicatat bahwa berbagai bidang header yang didukung di atas dapat digunakan dalam aplikasi ERSPAN reguler, bahkan saat melakukan mirroring frame error atau frame BPDU, sambil mempertahankan paket Trunk dan ID VLAN asli. Selain itu, informasi timestamp penting dan bidang informasi lainnya dapat ditambahkan ke setiap frame ERSPAN selama proses mirroring.
Dengan fitur header ERSPAN sendiri, kita dapat mencapai analisis lalu lintas jaringan yang lebih detail, dan kemudian cukup memasang ACL yang sesuai dalam proses ERSPAN untuk mencocokkan lalu lintas jaringan yang kita minati.
ERSPAN Menerapkan Visibilitas Sesi RDMA
Mari kita ambil contoh penggunaan teknologi ERSPAN untuk mencapai visualisasi sesi RDMA dalam skenario RDMA:
RDMARemote Direct Memory Access (REMA) memungkinkan adaptor jaringan server A untuk membaca dan menulis memori server B dengan menggunakan kartu antarmuka jaringan (INIC) dan switch cerdas, sehingga mencapai bandwidth tinggi, latensi rendah, dan pemanfaatan sumber daya yang rendah. Teknologi ini banyak digunakan dalam skenario big data dan penyimpanan terdistribusi berkinerja tinggi.
RoCEv2: RDMA melalui Converged Ethernet Versi 2. Data RDMA dienkapsulasi dalam Header UDP. Nomor port tujuan adalah 4791.
Pengoperasian dan pemeliharaan RDMA sehari-hari memerlukan pengumpulan banyak data, yang digunakan untuk mengumpulkan garis referensi ketinggian air harian dan alarm abnormal, serta sebagai dasar untuk menemukan masalah abnormal. Dikombinasikan dengan ERSPAN, data dalam jumlah besar dapat ditangkap dengan cepat untuk mendapatkan data kualitas penerusan dalam hitungan mikrodetik dan status interaksi protokol dari chip switching. Melalui statistik dan analisis data, penilaian dan prediksi kualitas penerusan ujung-ke-ujung RDMA dapat diperoleh.
Untuk mencapai visualisasi sesi RDAM, kita membutuhkan ERSPAN untuk mencocokkan kata kunci untuk sesi interaksi RDMA saat mencerminkan lalu lintas, dan kita perlu menggunakan daftar tambahan ahli.
Definisi bidang pencocokan daftar panjang tingkat ahli:
UDF terdiri dari lima bidang: kata kunci UDF, bidang dasar, bidang offset, bidang nilai, dan bidang mask. Dibatasi oleh kapasitas entri perangkat keras, total delapan UDF dapat digunakan. Satu UDF dapat mencocokkan maksimal dua byte.
• Kata kunci UDF: UDF1... UDF8 Berisi delapan kata kunci dari domain pencocokan UDF
• Kolom dasar: mengidentifikasi posisi awal kolom pencocokan UDF. Berikut ini
Header L4 (berlaku untuk RG-S6520-64CQ)
Header L5 (untuk RG-S6510-48VS8Cq)
• Offset: menunjukkan offset berdasarkan bidang dasar. Nilainya berkisar dari 0 hingga 126.
• Kolom nilai: nilai yang cocok. Kolom ini dapat digunakan bersama dengan kolom mask untuk mengkonfigurasi nilai spesifik yang akan dicocokkan. Bit yang valid adalah dua byte.
• Bidang mask: mask, bit valid adalah dua byte
(Tambahan: Jika beberapa entri digunakan dalam bidang pencocokan UDF yang sama, bidang dasar dan bidang offset harus sama.)
Dua paket kunci yang terkait dengan status sesi RDMA adalah Paket Pemberitahuan Kemacetan (Congestion Notification Packet/CNP) dan Pengakuan Negatif (Negative Acknowledgment/NAK):
Yang pertama dihasilkan oleh penerima RDMA setelah menerima pesan ECN yang dikirim oleh switch (ketika buffer eout mencapai ambang batas), yang berisi informasi tentang aliran atau QP yang menyebabkan kemacetan. Yang kedua digunakan untuk menunjukkan bahwa transmisi RDMA memiliki pesan respons kehilangan paket.
Mari kita lihat bagaimana cara mencocokkan kedua pesan ini menggunakan daftar lanjutan tingkat ahli:
daftar akses ahli diperluas rma
izin udp apa pun apa pun apa pun eq 4791udf 1 l4_header 8 0x8100 0xFF00(Cocok dengan RG-S6520-64CQ)
izin udp apa pun apa pun apa pun eq 4791udf 1 l5_header 0 0x8100 0xFF00(Cocok dengan RG-S6510-48VS8CQ)
daftar akses ahli diperluas rma
izin udp apa pun apa pun apa pun eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(Cocok dengan RG-S6520-64CQ)
izin udp apa pun apa pun apa pun eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(Cocok dengan RG-S6510-48VS8CQ)
Sebagai langkah terakhir, Anda dapat memvisualisasikan sesi RDMA dengan memasang daftar ekstensi ahli ke dalam proses ERSPAN yang sesuai.
Tulis di bagian terakhir
ERSPAN adalah salah satu alat yang sangat diperlukan dalam jaringan pusat data yang semakin besar saat ini, lalu lintas jaringan yang semakin kompleks, dan persyaratan operasi dan pemeliharaan jaringan yang semakin canggih.
Dengan meningkatnya tingkat otomatisasi O&M, teknologi seperti Netconf, RESTconf, dan gRPC populer di kalangan mahasiswa O&M dalam otomatisasi O&M jaringan. Penggunaan gRPC sebagai protokol dasar untuk mengirimkan kembali lalu lintas mirror juga memiliki banyak keuntungan. Misalnya, berdasarkan protokol HTTP/2, ia dapat mendukung mekanisme push streaming dalam koneksi yang sama. Dengan pengkodean ProtoBuf, ukuran informasi berkurang setengahnya dibandingkan dengan format JSON, sehingga transmisi data menjadi lebih cepat dan efisien. Bayangkan saja, jika Anda menggunakan ERSPAN untuk mencerminkan aliran data yang diminati dan kemudian mengirimkannya ke server analisis pada gRPC, apakah itu akan sangat meningkatkan kemampuan dan efisiensi operasi dan pemeliharaan otomatis jaringan?
Waktu posting: 10 Mei 2022
