الأداة الأكثر شيوعًا لمراقبة الشبكة واستكشاف الأخطاء وإصلاحها اليوم هي Switch Port Analyzer (SPAN) ، والمعروفة أيضًا باسم Mirroring Port. يتيح لنا مراقبة حركة مرور الشبكة في وضع خارج نطاق النطاق دون التدخل في الخدمات على الشبكة المباشرة ، ويرسل نسخة من حركة المرور المراقبة إلى الأجهزة المحلية أو البعيدة ، بما في ذلك sniffer أو IDS أو غيرها من أنواع أدوات تحليل الشبكة.
بعض الاستخدامات النموذجية هي:
• استكشاف مشاكل الشبكة من خلال تتبع إطارات التحكم/البيانات ؛
• تحليل الكمون والارتعاش عن طريق مراقبة حزم VoIP ؛
• تحليل الكمون من خلال مراقبة تفاعلات الشبكة ؛
• اكتشاف الحالات الشاذة عن طريق مراقبة حركة المرور في الشبكة.
يمكن أن تنعكس حركة المرور المحلية إلى منافذ أخرى على نفس الجهاز المصدر ، أو تنعكس عن بُعد إلى أجهزة الشبكة الأخرى المتاخمة للطبقة 2 من جهاز المصدر (RSPAN).
سنتحدث اليوم عن تقنية مراقبة حركة المرور عن بُعد على الإنترنت تسمى ERSPAN (محلل منفذ التبديل عن بُعد مغلف) والتي يمكن أن تنتقل عبر ثلاث طبقات من IP. هذا امتداد للتمديد إلى جهاز التحكم عن بُعد مغلف.
مبادئ التشغيل الأساسية لـ Erspan
أولاً ، دعونا نلقي نظرة على ميزات Erspan:
• يتم إرسال نسخة من الحزمة من المنفذ المصدر إلى الخادم الوجهة لتحليلها من خلال تغليف التوجيه العام (GRE). الموقع الفعلي للخادم غير مقيد.
• بمساعدة ميزة الحقل المحدد للمستخدم (UDF) من الشريحة ، يتم تنفيذ أي إزاحة من 1 إلى 126 بايت بناءً على المجال الأساسي من خلال القائمة الموسعة على مستوى الخبراء ، ويتم مطابقة الكلمات الرئيسية للجلسة لتحقيق تصور الجلسة ، مثل TCP ثلاثية الطريق وجلسة RDMA ؛
• دعم إعداد أخذ العينات ؛
• يدعم طول اعتراض الحزمة (تقطيع الحزمة) ، مما يقلل من الضغط على الخادم المستهدف.
مع هذه الميزات ، يمكنك معرفة سبب كون Erspan أداة أساسية لمراقبة الشبكات داخل مراكز البيانات اليوم.
يمكن تلخيص وظائف Erspan الرئيسية في جانبين:
• الرؤية للجلسة: استخدم ERSPAN لجمع جميع جلسات TCP الجديدة TCP والوصول البعيد للوصول إلى الذاكرة (RDMA) إلى الخادم الخلفي للعرض ؛
• استكشاف الأخطاء وإصلاحها للشبكة: يلتقط حركة مرور الشبكة لتحليل الأعطال عند حدوث مشكلة في الشبكة.
للقيام بذلك ، يحتاج جهاز الشبكة المصدر إلى تصفية حركة المرور ذات الاهتمام للمستخدم من دفق البيانات الضخم ، وقم بإنشاء نسخة ، وتغليف كل إطار نسخة إلى "حاوية SuperFrame" خاصة تحمل ما يكفي من المعلومات بحيث يمكن توجيهها بشكل صحيح إلى جهاز الاستقبال. علاوة على ذلك ، قم بتمكين جهاز الاستقبال لاستخراج وحركة المرور الأصلية المراقبة بالكامل.
يمكن أن يكون جهاز الاستقبال خادمًا آخر يدعم فك حزم erspan.
تحليل نوع ERSPAN وتنسيق الحزمة
يتم تغليف حزم ERSPAN باستخدام GRE وتم إعادة توجيهها إلى أي وجهة قابلة للعنوان عبر IP عبر Ethernet. يستخدم ERSPAN حاليًا بشكل أساسي على شبكات IPv4 ، وسيكون دعم IPv6 شرطًا في المستقبل.
بالنسبة إلى بنية التغليف العامة لـ ERSAPN ، فإن ما يلي هو التقاط حزم المرآة لحزم ICMP:
تطور بروتوكول ERSPAN على مدى فترة طويلة من الزمن ، ومع تعزيز قدراته ، تم تشكيل العديد من الإصدارات ، تسمى "أنواع ERSPAN". الأنواع المختلفة لها تنسيقات رأس إطار مختلفة.
يتم تعريفه في حقل الإصدار الأول من رأس ERSPAN:
بالإضافة إلى ذلك ، يشير حقل نوع البروتوكول في رأس GRE أيضًا إلى نوع erspan الداخلي. يشير حقل نوع البروتوكول 0x88be إلى erspan من النوع II ، ويشير 0x22EB إلى ERSPAN Type III.
1. النوع الأول
يلف إطار ERSPAN من النوع الأول IP و GRE مباشرة فوق رأس إطار المرآة الأصلي. يضيف هذا التغليف 38 بايت على الإطار الأصلي: 14 (MAC) + 20 (IP) + 4 (GRE). ميزة هذا التنسيق هي أنه يحتوي على حجم رأس مضغوط ويقلل من تكلفة الإرسال. ومع ذلك ، نظرًا لأنه يضع حقول العلم والنسخة GRE إلى 0 ، فإنه لا يحمل أي حقول ممتدة والنوع I غير مستخدم على نطاق واسع ، لذلك ليست هناك حاجة للتوسع أكثر.
تنسيق رأس GRE من النوع الأول هو كما يلي:
2. النوع الثاني
في النوع II ، C ، R ، K ، S ، S ، Recur ، Flags ، و Exerive Fields في رأس GRE كلها 0 باستثناء حقل S. لذلك ، يتم عرض حقل رقم التسلسل في رأس GRE من النوع الثاني. أي أن النوع الثاني يمكن أن يضمن ترتيب تلقي حزم GRE ، بحيث لا يمكن فرز عدد كبير من حزم GRE خارج الطلب بسبب خطأ الشبكة.
تنسيق رأس GRE من النوع الثاني كما يلي:
بالإضافة إلى ذلك ، يضيف تنسيق إطار إيرسبان من النوع الثاني رأسًا إيرسبان 8 بايت بين رأس GRE والإطار الأصلي.
تنسيق رأس ERSPAN للنوع الثاني كما يلي:
أخيرًا ، مباشرة بعد إطار الصورة الأصلي ، هو رمز فحص التكرار الدوري 4-بايت 4-بايت.
تجدر الإشارة إلى أنه في التنفيذ ، لا يحتوي إطار المرآة على حقل FCS للإطار الأصلي ، بدلاً من ذلك ، يتم إعادة حساب قيمة CRC جديدة بناءً على ERSPAN بالكامل. هذا يعني أن جهاز الاستقبال لا يمكنه التحقق من صحة CRC للإطار الأصلي ، ولا يمكننا إلا أن نفترض أن الإطارات غير المنقولة فقط تنعكس.
3. النوع الثالث
يقدم Type III رأسًا مركبًا أكبر وأكثر مرونة لمعالجة سيناريوهات مراقبة الشبكة معقدة ومتنوعة بشكل متزايد ، بما في ذلك على سبيل المثال لا الحصر لإدارة الشبكات ، والكشف عن التسلل ، وتحليل الأداء وتأخير ، وأكثر من ذلك. تحتاج هذه المشاهد إلى معرفة جميع المعلمات الأصلية لإطار المرآة وتشمل تلك الموجودة في الإطار الأصلي نفسه.
يتضمن رأس ERSPAN Type III Composite رأسًا إلزاميًا من 12 بايت ورأس فرعي اختياري خاص ببايت بايت.
تنسيق رأس ERSPAN للنوع الثالث هو كما يلي:
مرة أخرى ، بعد إطار المرآة الأصلي هو CRC 4 بايت.
كما يتضح من تنسيق الرأس من النوع الثالث ، بالإضافة إلى الحفاظ على حقول VER و VLAN و COS و T و ID على أساس النوع II ، تتم إضافة العديد من الحقول الخاصة ، مثل:
• BSO: تستخدم للإشارة إلى سلامة تحميل إطارات البيانات التي يتم حملها من خلال ERSPAN. 00 هو إطار جيد ، 11 هو إطار سيء ، 01 هو إطار قصير ، 11 هو إطار كبير ؛
• الطابع الزمني: تم تصديره من ساعة الأجهزة المتزامنة مع وقت النظام. يدعم هذا المجال 32 بت ما لا يقل عن 100 ميكروثانية من الحبيبات الطابع الزمني ؛
• نوع الإطار (P) ونوع الإطار (FT): يتم استخدام الأول لتحديد ما إذا كان ERSPAN يحمل إطارات بروتوكول Ethernet (إطارات PDU) ، ويتم استخدام الأخير لتحديد ما إذا كان ERSPAN يحمل إطارات Ethernet أو حزم IP.
• معرف HW: معرف فريد لمحرك ERSPAN داخل النظام ؛
• GRA (تحبيب الطابع الزمني): يحدد تفريغ الطابع الزمني. على سبيل المثال ، يمثل 00b 100 الحبيبية المجهرية ، و 01 ب 100 الحبيبية النانوية ، و 10 ب ب iEEE 1588 ، و 11b تتطلب من المنصات الفرعية الخاصة من النظام الأساسي لتحقيق تفاصيل أعلى.
• معرف Platf مقابل النظام الأساسي معلومات محددة: حقول معلومات Platf محددة لها تنسيقات ومحتويات مختلفة حسب قيمة معرف Platf.
تجدر الإشارة إلى أنه يمكن استخدام حقول الرأس المختلفة المدعومة أعلاه في تطبيقات ERSPAN العادية ، وحتى إطارات الأخطاء النسبية أو إطارات BPDU ، مع الحفاظ على حزمة الجذع الأصلية ومعرف VLAN. بالإضافة إلى ذلك ، يمكن إضافة معلومات الطابع الزمني الرئيسي وحقول المعلومات الأخرى إلى كل إطار ERSPAN أثناء النسخ المتطابق.
من خلال رؤوس الميزات الخاصة بـ Erspan ، يمكننا تحقيق تحليل أكثر دقة لحركة مرور الشبكة ، ثم ببساطة قم بتركيب ACL المقابل في عملية ERSPAN لمطابقة حركة الشبكة التي يهتمنا بها.
ERSPAN ينفذ رؤية جلسة RDMA
دعونا نأخذ مثالاً على استخدام تقنية erspan لتحقيق تصور جلسة RDMA في سيناريو RDMA:
RDMA: يتيح الوصول إلى الذاكرة المباشر عن بُعد محول الشبكة للخادم A لقراءة وكتابة ذاكرة الخادم B باستخدام بطاقات واجهة الشبكة الذكية (INICS) والمفاتيح ، وتحقيق عرض النطاق الترددي العالي ، والتقنية المنخفضة ، واستخدام الموارد المنخفضة. يستخدم على نطاق واسع في البيانات الكبيرة وسيناريوهات التخزين الموزعة عالية الأداء.
ROCEV2: RDMA عبر الإصدار 2 من Ethernet المتقارب. يتم تغليف بيانات RDMA في رأس UDP. رقم منفذ الوجهة هو 4791.
يتطلب التشغيل اليومي والصيانة لـ RDMA جمع الكثير من البيانات ، والتي يتم استخدامها لجمع الخطوط المرجعية لمستوى المياه اليومية وأجهزة الإنذار غير الطبيعية ، وكذلك الأساس لتحديد مشاكل غير طبيعية. بالاقتران مع ERSPAN ، يمكن التقاط البيانات الضخمة بسرعة للحصول على بيانات جودة إعادة التوجيه المجهرية وحالة تفاعل البروتوكول في رقاقة التبديل. من خلال إحصاءات البيانات وتحليلها ، يمكن الحصول على تقييم جودة إعادة التوجيه RDMA.
لتحقيق تصور جلسة RDAM ، نحتاج إلى ERSPAN لمطابقة الكلمات الرئيسية لجلسات التفاعل RDMA عند عكس حركة المرور ، ونحن بحاجة إلى استخدام القائمة الممتدة الخبراء.
تعريف الحقل المطابقة على مستوى الخبراء:
يتكون UDF من خمسة حقول: الكلمة الرئيسية UDF ، حقل الأساس ، حقل الإزاحة ، حقل القيمة ، وحقل القناع. يقتصر على سعة إدخالات الأجهزة ، يمكن استخدام ما مجموعه ثمانية udfs. يمكن لـ UDF واحد مطابقة بحد أقصى اثنين من البايتات.
• الكلمة الرئيسية UDF: UDF1 ... يحتوي UDF8 على ثماني كلمات رئيسية لمجال مطابقة UDF
• الحقل الأساسي: يحدد موضع بدء حقل مطابقة UDF. ما يلي
l4_header (ينطبق على RG-S6520-64CQ)
L5_Header (لـ RG-S6510-48VS8CQ)
• الإزاحة: يشير إلى الإزاحة بناءً على حقل الأساس. تتراوح القيمة من 0 إلى 126
• حقل القيمة: قيمة المطابقة. يمكن استخدامه مع حقل القناع لتكوين القيمة المحددة المراد مطابقة. البت الصالح هو بايتان
• حقل القناع: قناع ، بت الصالحة هو بايتان
(أضف: إذا تم استخدام إدخالات متعددة في نفس حقل مطابقة UDF ، فيجب أن تكون حقول القاعدة والإزاحة هي نفسها.)
الحزم الرئيسية المرتبطة بحالة جلسة RDMA هما حزمة إشعار الازدحام (CNP) والاعتراف السلبي (NAK):
يتم إنشاء الأول بواسطة جهاز استقبال RDMA بعد تلقي رسالة ECN التي أرسلها المفتاح (عندما يصل المخزن المؤقت لـ EOUT إلى العتبة) ، والذي يحتوي على معلومات حول التدفق أو QP الذي يسبب الازدحام. يتم استخدام هذا الأخير للإشارة إلى أن نقل RDMA يحتوي على رسالة استجابة فقدان الحزمة.
دعونا نلقي نظرة على كيفية مطابقة هاتين الرسائلتين باستخدام القائمة الممتدة على مستوى الخبراء:
قائمة الوصول الخبراء الممتدة RDMA
السماح UDP بأي أي أي EQ 4791udf 1 l4_header 8 0x8100 0xFF00(مطابقة RG-S6520-64CQ)
السماح UDP بأي أي أي EQ 4791udf 1 l5_header 0 0x8100 0xFF00(مطابقة RG-S6510-48VS8CQ)
قائمة الوصول الخبراء الممتدة RDMA
السماح UDP بأي أي أي EQ 4791udf 1 l4_header 8 0x1100 0xff00 udf 2 l4_header 20 0x6000 0xff00(مطابقة RG-S6520-64CQ)
السماح UDP بأي أي أي EQ 4791udf 1 l5_header 0 0x1100 0xff00 udf 2 l5_header 12 0x6000 0xff00(مطابقة RG-S6510-48VS8CQ)
كخطوة أخيرة ، يمكنك تصور جلسة RDMA عن طريق تركيب قائمة تمديد الخبراء في عملية ERSPAN المناسبة.
اكتب في آخر
ERSPAN هي واحدة من الأدوات التي لا غنى عنها في شبكات مركز البيانات الكبيرة اليوم ، وحركة مرور الشبكة معقدة بشكل متزايد ، ومتطلبات الشبكة المتطورة ومتطلبات الصيانة.
مع زيادة درجة أتمتة O&M ، تحظى التقنيات مثل NetConf و RestConf و GRPC بشعبية بين طلاب O&M في شبكة O&M التلقائية. باستخدام GRPC كبروتوكول أساسي لإرسال مرور المرآة أيضًا له العديد من المزايا. على سبيل المثال ، استنادًا إلى بروتوكول HTTP/2 ، يمكن أن يدعم آلية دفع البث تحت نفس الاتصال. مع ترميز Protobuf ، يتم تقليل حجم المعلومات بمقدار النصف مقارنة بتنسيق JSON ، مما يجعل نقل البيانات أسرع وأكثر كفاءة. فقط تخيل ، إذا كنت تستخدم ERSPAN لعكس التدفقات المهتمة ثم إرسالها إلى خادم التحليل على GRPC ، فهل سيحسن بشكل كبير من قدرة التشغيل التلقائي للتشغيل والصيانة؟
وقت النشر: مايو -10-2022
