Günümüzde ağ izleme ve sorun giderme için en yaygın araç, Port yansıtma olarak da bilinen Switch Port Analyzer'dır (SPAN). Canlı ağdaki hizmetlere müdahale etmeden bant dışı bypass modunda ağ trafiğini izlememizi sağlar ve izlenen trafiğin bir kopyasını Sniffer, IDS veya diğer ağ analiz araçları gibi yerel veya uzak cihazlara gönderir.
Bazı tipik kullanımlar şunlardır:
• Kontrol/veri çerçevelerini izleyerek ağ sorunlarını giderin;
• VoIP paketlerini izleyerek gecikmeyi ve titremeyi analiz edin;
• Ağ etkileşimlerini izleyerek gecikmeyi analiz edin;
• Ağ trafiğini izleyerek anormallikleri tespit edin.
SPAN Trafiği, aynı kaynak aygıt üzerindeki diğer bağlantı noktalarına yerel olarak yansıtılabilir veya kaynak aygıtın 2. Katmanına bitişik diğer ağ aygıtlarına uzaktan yansıtılabilir (RSPAN).
Bugün, üç IP katmanında iletilebilen ERSPAN (Encapsulated Remote Switch Port Analyzer) adlı Uzaktan İnternet trafiği izleme teknolojisinden bahsedeceğiz. Bu, SPAN'ın Encapsulated Remote'a bir uzantısıdır.
ERSPAN'ın temel çalışma prensipleri
Öncelikle ERSPAN'ın özelliklerine bir göz atalım:
• Kaynak porttan gelen paketin bir kopyası, Genel Yönlendirme Kapsüllemesi (GRE) aracılığıyla ayrıştırılmak üzere hedef sunucuya gönderilir. Sunucunun fiziksel konumu kısıtlanmamıştır.
• Çipin Kullanıcı Tanımlı Alan (UDF) özelliğinin yardımıyla, uzman düzeyindeki genişletilmiş liste üzerinden Base domain bazında 1 ile 126 bayt arasındaki herhangi bir ofset gerçekleştirilir ve oturum anahtar sözcükleri eşleştirilerek TCP üç yönlü el sıkışma ve RDMA oturumu gibi oturumun görselleştirilmesi gerçekleştirilir;
• Örnekleme oranının ayarlanmasını destekler;
• Paket kesme uzunluğunu (Paket Dilimleme) destekler, hedef sunucu üzerindeki baskıyı azaltır.
Bu özellikler göz önüne alındığında ERSPAN'ın günümüzde veri merkezlerinin içindeki ağları izlemek için neden vazgeçilmez bir araç olduğunu görebilirsiniz.
ERSPAN’ın temel işlevleri iki başlık altında özetlenebilir:
• Oturum Görünürlüğü: Görüntülemek üzere tüm yeni oluşturulan TCP ve Uzaktan Doğrudan Bellek Erişimi (RDMA) oturumlarını arka uç sunucusuna toplamak için ERSPAN'ı kullanın;
• Ağ sorun giderme: Bir ağ sorunu oluştuğunda hata analizi için ağ trafiğini yakalar.
Bunu yapmak için, kaynak ağ aygıtının kullanıcı için ilgi çekici trafiği büyük veri akışından filtrelemesi, bir kopya oluşturması ve her kopya çerçevesini yeterli ek bilgi taşıyan özel bir "süper çerçeve kapsayıcısına" kapsüllemesi gerekir, böylece alıcı aygıta doğru şekilde yönlendirilebilir. Dahası, alıcı aygıtın orijinal izlenen trafiği çıkarmasını ve tamamen kurtarmasını sağlayın.
Alıcı cihaz, ERSPAN paketlerinin kapsüllenmesini destekleyen başka bir sunucu olabilir.
ERSPAN Tip ve Paket Formatı Analizi
ERSPAN paketleri GRE kullanılarak kapsüllenir ve Ethernet üzerinden herhangi bir IP adreslenebilir hedefe iletilir. ERSPAN şu anda çoğunlukla IPv4 ağlarında kullanılır ve gelecekte IPv6 desteği bir gereklilik olacaktır.
ERSAPN'nin genel kapsülleme yapısı için, ICMP paketlerinin ayna paketi yakalaması aşağıdaki gibidir:
ERSPAN protokolü uzun bir zaman diliminde gelişmiştir ve yeteneklerinin artmasıyla birlikte "ERSPAN Türleri" adı verilen çeşitli versiyonlar oluşturulmuştur. Farklı Türlerin farklı çerçeve başlık biçimleri vardır.
ERSPAN başlığının ilk Sürüm alanında tanımlanmıştır:
Ayrıca, GRE başlığındaki Protokol Türü alanı da dahili ERSPAN Türünü belirtir. Protokol Türü alanı 0x88BE ERSPAN Tür II'yi belirtir ve 0x22EB ERSPAN Tür III'ü belirtir.
1. Tip I
Tip I'in ERSPAN çerçevesi IP ve GRE'yi doğrudan orijinal ayna çerçevesinin başlığı üzerine kapsüller. Bu kapsülleme orijinal çerçeveye 38 bayt ekler: 14(MAC) + 20 (IP) + 4(GRE). Bu formatın avantajı kompakt bir başlık boyutuna sahip olması ve iletim maliyetini düşürmesidir. Ancak, GRE Bayrağı ve Sürüm alanlarını 0 olarak ayarladığı için herhangi bir genişletilmiş alan taşımaz ve Tip I yaygın olarak kullanılmaz, bu nedenle daha fazla genişletmeye gerek yoktur.
Tip I GRE başlık formatı aşağıdaki gibidir:
2. Tip II
Tip II'de, GRE başlığındaki C, R, K, S, S, Recur, Flags ve Version alanlarının hepsi S alanı hariç 0'dır. Bu nedenle, Sıra Numarası alanı Tip II'nin GRE başlığında görüntülenir. Yani, Tip II, GRE paketlerinin alınma sırasını garanti edebilir, böylece çok sayıda sıra dışı GRE paketi bir ağ arızası nedeniyle sıralanamaz.
Tip II GRE başlık formatı aşağıdaki gibidir:
Ayrıca, ERSPAN Tip II çerçeve biçimi, GRE başlığı ile orijinal yansıtılmış çerçeve arasına 8 baytlık bir ERSPAN başlığı ekler.
Tip II için ERSPAN başlık biçimi aşağıdaki gibidir:
Son olarak, orijinal görüntü karesinin hemen ardından standart 4 baytlık Ethernet döngüsel yedeklilik denetimi (CRC) kodu gelir.
Uygulamada, ayna çerçevesinin orijinal çerçevenin FCS alanını içermediğini, bunun yerine tüm ERSPAN'a dayalı olarak yeni bir CRC değerinin yeniden hesaplandığını belirtmekte fayda var. Bu, alıcı cihazın orijinal çerçevenin CRC doğruluğunu doğrulayamayacağı ve yalnızca bozulmamış çerçevelerin yansıtıldığını varsayabileceğimiz anlamına gelir.
3. Tip III
Tip III, ağ yönetimi, saldırı tespiti, performans ve gecikme analizi ve daha fazlası dahil ancak bunlarla sınırlı olmamak üzere giderek daha karmaşık ve çeşitli ağ izleme senaryolarını ele almak için daha büyük ve daha esnek bir bileşik başlık sunar. Bu sahnelerin ayna çerçevesinin tüm orijinal parametrelerini bilmesi ve orijinal çerçevenin kendisinde bulunmayanları içermesi gerekir.
ERSPAN Tip III bileşik başlığı, zorunlu 12 baytlık bir başlık ve isteğe bağlı 8 baytlık platforma özgü bir alt başlık içerir.
Tip III için ERSPAN başlık biçimi aşağıdaki gibidir:
Yine orijinal ayna çerçevesinden sonra 4 baytlık bir CRC gelir.
Tip III'ün başlık formatından da görülebileceği gibi, Tip II bazında Ver, VLAN, COS, T ve Session ID alanlarının korunmasının yanı sıra; aşağıdaki gibi birçok özel alan eklenmiştir:
• BSO: ERSPAN üzerinden taşınan veri çerçevelerinin yük bütünlüğünü belirtmek için kullanılır. 00 iyi bir çerçeve, 11 kötü bir çerçeve, 01 kısa bir çerçeve, 11 büyük bir çerçevedir;
• Zaman damgası: sistem saatiyle senkronize edilmiş donanım saatinden dışa aktarılır. Bu 32 bitlik alan en az 100 mikrosaniyelik Zaman damgası ayrıntısını destekler;
• Çerçeve Türü (P) ve Çerçeve Türü (FT): Birincisi, ERSPAN'ın Ethernet protokol çerçeveleri (PDU çerçeveleri) taşıyıp taşımadığını belirtmek için kullanılır ve ikincisi, ERSPAN'ın Ethernet çerçeveleri mi yoksa IP paketleri mi taşıdığını belirtmek için kullanılır.
• HW ID: ERSPAN motorunun sistem içindeki benzersiz tanımlayıcısı;
• Gra (Zaman Damgası Granülerliği): Zaman Damgasının Granülerliğini belirtir. Örneğin, 00B 100 mikrosaniye Granülerliğini, 01B 100 nanosaniye Granülerliğini, 10B IEEE 1588 Granülerliğini temsil eder ve 11B daha yüksek Granülerliğe ulaşmak için platforma özgü alt başlıklar gerektirir.
• Platf ID ve Platforma Özgü Bilgiler: Platf Özgü Bilgi alanları, Platf ID değerine bağlı olarak farklı biçimlere ve içeriklere sahiptir.
Yukarıda desteklenen çeşitli başlık alanlarının, orijinal Trunk paketi ve VLAN ID'sini koruyarak, hata çerçevelerini veya BPDU çerçevelerini bile yansıtan normal ERSPAN uygulamalarında kullanılabileceği unutulmamalıdır. Ek olarak, yansıtma sırasında her ERSPAN çerçevesine anahtar zaman damgası bilgileri ve diğer bilgi alanları eklenebilir.
ERSPAN'ın kendi özellik başlıklarıyla, ağ trafiğinin daha ayrıntılı bir analizini elde edebilir ve daha sonra ilgilendiğimiz ağ trafiğiyle eşleşmesi için ERSPAN sürecine karşılık gelen ACL'yi bağlayabiliriz.
ERSPAN RDMA Oturum Görünürlüğünü Uygular
Bir RDMA senaryosunda RDMA oturum görselleştirmesini elde etmek için ERSPAN teknolojisinin kullanımına dair bir örnek ele alalım:
RDMA: Uzaktan Doğrudan Bellek Erişimi, sunucu A'nın ağ bağdaştırıcısının akıllı ağ arabirim kartları (inics) ve anahtarlar kullanarak sunucu B'nin Belleğini okumasını ve yazmasını sağlar, böylece yüksek bant genişliği, düşük gecikme ve düşük kaynak kullanımı elde edilir. Büyük veri ve yüksek performanslı dağıtılmış depolama senaryolarında yaygın olarak kullanılır.
RoCEv2: RDMA over Converged Ethernet Sürüm 2. RDMA verileri UDP Başlığında kapsüllenmiştir. Hedef bağlantı noktası numarası 4791'dir.
RDMA'nın günlük işletimi ve bakımı, günlük su seviyesi referans çizgilerini ve anormal alarmları toplamak ve anormal sorunları tespit etmek için kullanılan çok sayıda verinin toplanmasını gerektirir. ERSPAN ile birleştirildiğinde, mikro saniye iletim kalitesi verilerini ve anahtarlama çipinin protokol etkileşim durumunu elde etmek için büyük miktarda veri hızla yakalanabilir. Veri istatistikleri ve analizi yoluyla, RDMA uçtan uca iletim kalitesi değerlendirmesi ve tahmini elde edilebilir.
RDAM oturum görselleştirmesini elde etmek için, trafiği yansıtırken RDMA etkileşim oturumları için anahtar kelimeleri eşleştirmek üzere ERSPAN'a ihtiyacımız var ve uzman genişletilmiş listesini kullanmamız gerekiyor.
Uzman düzeyinde genişletilmiş liste eşleştirme alanı tanımı:
UDF beş alandan oluşur: UDF anahtar sözcüğü, temel alan, ofset alanı, değer alanı ve maske alanı. Donanım girişlerinin kapasitesiyle sınırlı olarak toplam sekiz UDF kullanılabilir. Bir UDF en fazla iki baytla eşleşebilir.
• UDF anahtar sözcüğü: UDF1... UDF8 UDF eşleşen etki alanının sekiz anahtar sözcüğünü içerir
• Temel alan: UDF eşleştirme alanının başlangıç konumunu tanımlar. Aşağıdakiler
L4_header (RG-S6520-64CQ için geçerlidir)
L5_header (RG-S6510-48VS8Cq için)
• Ofset: temel alana dayalı ofseti gösterir. Değer 0 ile 126 arasında değişir
• Değer alanı: eşleşen değer. Eşleştirilecek belirli değeri yapılandırmak için maske alanıyla birlikte kullanılabilir. Geçerli bit iki bayttır
• Maske alanı: maske, geçerli bit iki bayttır
(Ek: Aynı UDF eşleştirme alanında birden fazla giriş kullanılıyorsa, taban ve ofset alanları aynı olmalıdır.)
RDMA oturum durumuyla ilişkili iki temel paket Tıkanıklık Bildirim Paketi (CNP) ve Olumsuz Onay (NAK)'dır:
Birincisi, anahtar tarafından gönderilen ECN mesajını aldıktan sonra RDMA alıcısı tarafından üretilir (eout Buffer eşiğe ulaştığında), bu mesaj tıkanıklığa neden olan akış veya QP hakkında bilgi içerir. İkincisi, RDMA iletiminin bir paket kaybı yanıt mesajına sahip olduğunu belirtmek için kullanılır.
Uzman seviyesindeki genişletilmiş listeyi kullanarak bu iki mesajın nasıl eşleştirileceğine bakalım:
uzman erişim listesi genişletilmiş rdma
udp'ye izin ver herhangi herhangi herhangi herhangi herhangi bir eq 4791udf 1 l4_başlığı 8 0x8100 0xFF00(RG-S6520-64CQ ile uyumlu)
udp'ye izin ver herhangi herhangi herhangi herhangi herhangi bir eq 4791udf 1 l5_başlığı 0 0x8100 0xFF00(RG-S6510-48VS8CQ ile uyumlu)
uzman erişim listesi genişletilmiş rdma
udp'ye izin ver herhangi herhangi herhangi herhangi herhangi bir eq 4791udf 1 l4_başlık 8 0x1100 0xFF00 udf 2 l4_başlık 20 0x6000 0xFF00(RG-S6520-64CQ ile uyumlu)
udp'ye izin ver herhangi herhangi herhangi herhangi herhangi bir eq 4791udf 1 l5_başlık 0 0x1100 0xFF00 udf 2 l5_başlık 12 0x6000 0xFF00(RG-S6510-48VS8CQ ile uyumlu)
Son adım olarak, uzman uzantı listesini uygun ERSPAN sürecine bağlayarak RDMA oturumunu görselleştirebilirsiniz.
Son olarak yaz
ERSPAN, günümüzün giderek büyüyen veri merkezi ağları, giderek karmaşıklaşan ağ trafiği ve giderek karmaşıklaşan ağ işletim ve bakım gereksinimleri karşısında vazgeçilmez araçlardan biridir.
O&M otomasyonunun artan derecesiyle birlikte, Netconf, RESTconf ve gRPC gibi teknolojiler ağ otomatik O&M'deki O&M öğrencileri arasında popülerdir. Ayna trafiğini geri göndermek için temel protokol olarak gRPC kullanmanın da birçok avantajı vardır. Örneğin, HTTP/2 protokolüne dayanarak, aynı bağlantı altında akış itme mekanizmasını destekleyebilir. ProtoBuf kodlamasıyla, bilgi boyutu JSON formatına kıyasla yarı yarıya azaltılır ve veri iletimi daha hızlı ve daha verimli hale gelir. Bir düşünün, ERSPAN'ı ilgili akışları yansıtmak ve ardından bunları gRPC'deki analiz sunucusuna göndermek için kullanırsanız, bu ağ otomatik işletimi ve bakımının yeteneğini ve verimliliğini büyük ölçüde artıracak mıdır?
Yayınlanma zamanı: 10-Mayıs-2022
