Günümüzde ağ izleme ve sorun giderme için en yaygın kullanılan araç, Port yansıtma olarak da bilinen Switch Port Analyzer (SPAN)'dır. Bu araç, canlı ağdaki hizmetlere müdahale etmeden, bant dışı modda ağ trafiğini izlememizi sağlar ve izlenen trafiğin bir kopyasını Sniffer, IDS veya diğer ağ analiz araçları da dahil olmak üzere yerel veya uzak cihazlara gönderir.
Bazı tipik kullanım alanları şunlardır:
• Kontrol/veri çerçevelerini izleyerek ağ sorunlarını giderme;
• VoIP paketlerini izleyerek gecikme ve titreşimi analiz edin;
• Ağ etkileşimlerini izleyerek gecikmeyi analiz edin;
• Ağ trafiğini izleyerek anormallikleri tespit edin.
SPAN trafiği, aynı kaynak cihazdaki diğer portlara yerel olarak yansıtılabilir veya kaynak cihazın 2. katmanına bitişik diğer ağ cihazlarına uzaktan yansıtılabilir (RSPAN).
Bugün, üç IP katmanı üzerinden iletilebilen ERSPAN (Encapsulated Remote Switch Port Analyzer) adlı uzaktan internet trafiği izleme teknolojisinden bahsedeceğiz. Bu, SPAN'ın Encapsulated Remote'a (kapsüllenmiş uzaktan erişim) bir uzantısıdır.
ERSPAN'ın temel çalışma prensipleri
Öncelikle, ERSPAN'ın özelliklerine bir göz atalım:
• Kaynak porttan gelen paketin bir kopyası, Genel Yönlendirme Kapsüllemesi (GRE) aracılığıyla ayrıştırılmak üzere hedef sunucuya gönderilir. Sunucunun fiziksel konumu kısıtlanmamıştır.
• Çipin Kullanıcı Tanımlı Alan (UDF) özelliği yardımıyla, uzman düzeyinde genişletilmiş liste üzerinden Temel alan temelinde 1 ila 126 bayt arasındaki herhangi bir ofset gerçekleştirilir ve oturum anahtar kelimeleri eşleştirilerek TCP üç yönlü el sıkışması ve RDMA oturumu gibi oturumun görselleştirilmesi sağlanır;
• Örnekleme hızının ayarlanmasını desteklemek;
• Paket kesme uzunluğunu (Paket Dilimleme) destekleyerek hedef sunucu üzerindeki yükü azaltır.
Bu özellikleriyle, ERSPAN'ın günümüzde veri merkezlerindeki ağları izlemek için neden vazgeçilmez bir araç olduğunu anlayabilirsiniz.
ERSPAN'ın temel işlevleri iki açıdan özetlenebilir:
• Oturum Görünürlüğü: ERSPAN kullanarak arka uç sunucuya oluşturulan tüm yeni TCP ve Uzaktan Doğrudan Bellek Erişimi (RDMA) oturumlarını toplayıp görüntüleyebilirsiniz;
• Ağ sorun giderme: Bir ağ sorunu oluştuğunda hata analizi için ağ trafiğini yakalar.
Bunu yapmak için, kaynak ağ cihazının, kullanıcının ilgisini çeken trafiği büyük veri akışından filtrelemesi, bir kopyasını oluşturması ve her kopya çerçevesini, alıcı cihaza doğru şekilde yönlendirilebilmesi için yeterli ek bilgi taşıyan özel bir "süper çerçeve kapsayıcısı" içine kapsüllemesi gerekir. Ayrıca, alıcı cihazın orijinal izlenen trafiği ayıklamasını ve tamamen kurtarmasını sağlaması gerekir.
Alıcı cihaz, ERSPAN paketlerinin kapsülünün açılmasını destekleyen başka bir sunucu olabilir.
ERSPAN Türü ve Paket Formatı Analizi
ERSPAN paketleri GRE kullanılarak kapsüllenir ve Ethernet üzerinden IP adreslenebilir herhangi bir hedefe iletilir. ERSPAN şu anda ağırlıklı olarak IPv4 ağlarında kullanılmaktadır ve gelecekte IPv6 desteği bir gereklilik olacaktır.
ERSAPN'nin genel kapsülleme yapısı için, ICMP paketlerinin ayna görüntüsü aşağıdadır:
ERSPAN protokolü uzun bir süre boyunca geliştirilmiş ve yeteneklerinin artmasıyla birlikte "ERSPAN Tipleri" olarak adlandırılan çeşitli sürümleri oluşturulmuştur. Farklı Tiplerin farklı çerçeve başlığı biçimleri vardır.
Bu, ERSPAN başlığının ilk Sürüm alanında tanımlanmıştır:
Ek olarak, GRE başlığındaki Protokol Tipi alanı, dahili ERSPAN Tipini de gösterir. 0x88BE Protokol Tipi alanı ERSPAN Tip II'yi, 0x22EB ise ERSPAN Tip III'ü gösterir.
1. Tip I
Tip I ERSPAN çerçevesi, IP ve GRE'yi doğrudan orijinal ayna çerçevesinin başlığı üzerine kapsüller. Bu kapsülleme, orijinal çerçeveye 38 bayt ekler: 14 (MAC) + 20 (IP) + 4 (GRE). Bu formatın avantajı, kompakt bir başlık boyutuna sahip olması ve iletim maliyetini düşürmesidir. Bununla birlikte, GRE Bayrağı ve Sürüm alanlarını 0'a ayarladığı için herhangi bir genişletilmiş alan içermez ve Tip I yaygın olarak kullanılmadığından daha fazla genişletmeye gerek yoktur.
Tip I GRE başlık formatı aşağıdaki gibidir:
2. Tip II
Tip II'de, GRE başlığındaki C, R, K, S, S, Recur, Flags ve Version alanlarının tümü 0'dır, yalnızca S alanı hariç. Bu nedenle, Tip II'nin GRE başlığında Sıra Numarası alanı görüntülenir. Yani, Tip II, GRE paketlerinin alınma sırasını garanti eder, böylece ağ hatası nedeniyle sıralanmamış çok sayıda GRE paketi sıralanamaz.
GRE Tip II başlık formatı aşağıdaki gibidir:
Ek olarak, ERSPAN Tip II çerçeve formatı, GRE başlığı ile orijinal aynalı çerçeve arasına 8 baytlık bir ERSPAN başlığı ekler.
Tip II için ERSPAN başlık formatı aşağıdaki gibidir:
Son olarak, orijinal görüntü karesinin hemen ardından standart 4 baytlık Ethernet döngüsel yedeklilik kontrolü (CRC) kodu yer almaktadır.
Uygulamada, ayna çerçevesinin orijinal çerçevenin FCS alanını içermediğini, bunun yerine tüm ERSPAN'a dayalı olarak yeni bir CRC değerinin yeniden hesaplandığını belirtmekte fayda var. Bu, alıcı cihazın orijinal çerçevenin CRC doğruluğunu doğrulayamayacağı ve yalnızca bozulmamış çerçevelerin aynalandığını varsayabileceğimiz anlamına gelir.
3. Tip III
Tip III, ağ yönetimi, izinsiz giriş tespiti, performans ve gecikme analizi ve daha fazlasını içeren, giderek daha karmaşık ve çeşitli ağ izleme senaryolarını ele almak için daha büyük ve daha esnek bir bileşik başlık sunar. Bu senaryolar, ayna karesinin tüm orijinal parametrelerini bilmeli ve orijinal karede bulunmayan parametreleri de içermelidir.
ERSPAN Tip III bileşik başlığı, zorunlu 12 baytlık bir başlık ve isteğe bağlı 8 baytlık platforma özgü bir alt başlık içerir.
Tip III için ERSPAN başlık formatı aşağıdaki gibidir:
Yine, orijinal ayna çerçevesinden sonra 4 baytlık bir CRC bulunur.
Tip III'ün başlık biçiminden de görülebileceği gibi, Tip II'ye dayalı olarak Ver, VLAN, COS, T ve Oturum Kimliği alanlarının korunmasına ek olarak, aşağıdakiler gibi birçok özel alan da eklenmiştir:
• BSO: ERSPAN üzerinden taşınan veri çerçevelerinin yük bütünlüğünü belirtmek için kullanılır. 00 iyi bir çerçeve, 11 kötü bir çerçeve, 01 kısa bir çerçeve, 11 büyük bir çerçevedir;
• Zaman damgası: Sistem saatiyle senkronize edilmiş donanım saatinden dışa aktarılır. Bu 32 bitlik alan, en az 100 mikrosaniyelik zaman damgası hassasiyetini destekler;
• Çerçeve Tipi (P) ve Çerçeve Tipi (FT): İlki, ERSPAN'ın Ethernet protokol çerçeveleri (PDU çerçeveleri) taşıyıp taşımadığını belirtmek için kullanılır; ikincisi ise ERSPAN'ın Ethernet çerçeveleri mi yoksa IP paketleri mi taşıdığını belirtmek için kullanılır.
• HW ID: Sistem içindeki ERSPAN motorunun benzersiz tanımlayıcısı;
• Gra (Zaman Damgası Hassasiyeti): Zaman damgasının hassasiyetini belirtir. Örneğin, 00B 100 mikrosaniye hassasiyetini, 01B 100 nanosaniye hassasiyetini, 10B IEEE 1588 hassasiyetini temsil eder ve 11B daha yüksek hassasiyet elde etmek için platforma özgü alt başlıklar gerektirir.
• Platform Kimliği ve Platforma Özgü Bilgiler: Platforma Özgü Bilgiler alanları, Platform Kimliği değerine bağlı olarak farklı biçimlere ve içeriklere sahiptir.
Yukarıda desteklenen çeşitli başlık alanlarının, orijinal Trunk paketini ve VLAN kimliğini koruyarak, hata çerçevelerini veya BPDU çerçevelerini yansıtma da dahil olmak üzere, normal ERSPAN uygulamalarında kullanılabileceği unutulmamalıdır. Ayrıca, yansıtma sırasında her ERSPAN çerçevesine önemli zaman damgası bilgileri ve diğer bilgi alanları eklenebilir.
ERSPAN'ın kendi özellik başlıkları sayesinde, ağ trafiğinin daha ayrıntılı bir analizini gerçekleştirebilir ve ardından ilgilendiğimiz ağ trafiğiyle eşleşecek şekilde ERSPAN işleminde ilgili ACL'yi kolayca uygulayabiliriz.
ERSPAN, RDMA Oturum Görünürlüğünü Uyguluyor
RDMA senaryosunda RDMA oturum görselleştirmesini sağlamak için ERSPAN teknolojisinin kullanımına bir örnek verelim:
RDMAUzaktan Doğrudan Bellek Erişimi (REMA), akıllı ağ arayüz kartları (INC'ler) ve anahtarlar kullanarak sunucu A'nın ağ bağdaştırıcısının sunucu B'nin belleğini okumasını ve yazmasını sağlar; bu sayede yüksek bant genişliği, düşük gecikme süresi ve düşük kaynak kullanımı elde edilir. Büyük veri ve yüksek performanslı dağıtılmış depolama senaryolarında yaygın olarak kullanılır.
RoCEv2Birleşik Ethernet Üzerinden RDMA Sürüm 2. RDMA verileri UDP Başlığına kapsüllenmiştir. Hedef port numarası 4791'dir.
RDMA'nın günlük işletimi ve bakımı, günlük su seviyesi referans çizgilerini ve anormal alarmları toplamak ve anormal sorunların yerini belirlemek için kullanılan çok miktarda veri toplamayı gerektirir. ERSPAN ile birlikte, mikrosaniyelik iletim kalitesi verileri ve anahtarlama çipinin protokol etkileşim durumu elde etmek için büyük miktarda veri hızlı bir şekilde yakalanabilir. Veri istatistikleri ve analizi yoluyla, RDMA uçtan uca iletim kalitesi değerlendirmesi ve tahmini elde edilebilir.
RDAM oturum görselleştirmesini elde etmek için, trafiği yansıtırken RDMA etkileşim oturumları için anahtar kelimeleri eşleştirmek üzere ERSPAN'a ve uzman genişletilmiş listeye ihtiyacımız var.
Uzman düzeyinde genişletilmiş liste eşleştirme alanı tanımı:
Kullanıcı tanımlı fonksiyon (UDF) beş alandan oluşur: UDF anahtar kelimesi, temel alan, ofset alanı, değer alanı ve maske alanı. Donanım girişlerinin kapasitesiyle sınırlı olmak üzere, toplam sekiz UDF kullanılabilir. Bir UDF en fazla iki baytla eşleşebilir.
• UDF anahtar kelimesi: UDF1... UDF8, UDF eşleştirme alanının sekiz anahtar kelimesini içerir.
• Temel alan: UDF eşleştirme alanının başlangıç konumunu belirler. Aşağıdakiler
L4_başlığı (RG-S6520-64CQ için geçerlidir)
L5_başlığı (RG-S6510-48VS8Cq için)
• Ofset: Temel alana göre ofseti gösterir. Değer 0 ile 126 arasında değişir.
• Değer alanı: Eşleşen değer. Eşleştirilecek belirli değeri yapılandırmak için maske alanı ile birlikte kullanılabilir. Geçerlilik biti iki bayttır.
• Maske alanı: maske, geçerlilik biti iki bayttır.
(Ek bilgi: Aynı UDF eşleştirme alanında birden fazla giriş kullanılıyorsa, temel ve ofset alanları aynı olmalıdır.)
RDMA oturum durumuyla ilişkili iki temel paket, Tıkanıklık Bildirim Paketi (CNP) ve Olumsuz Onay Paketi (NAK)'dir:
İlki, anahtar tarafından gönderilen ECN mesajını aldıktan sonra (eout tamponu eşiğe ulaştığında) RDMA alıcısı tarafından oluşturulur ve tıkanıklığa neden olan akış veya QP hakkında bilgi içerir. İkincisi ise RDMA iletiminin paket kaybı yanıt mesajı içerdiğini belirtmek için kullanılır.
Şimdi de uzman seviyesindeki genişletilmiş listeyi kullanarak bu iki mesajı nasıl eşleştirebileceğimize bakalım:
uzman erişim listesi genişletilmiş rdma
izin udp herhangi herhangi herhangi herhangi eq 4791udf 1 l4_header 8 0x8100 0xFF00(RG-S6520-64CQ ile uyumlu)
izin udp herhangi herhangi herhangi herhangi eq 4791udf 1 l5_header 0 0x8100 0xFF00(RG-S6510-48VS8CQ ile uyumlu)
uzman erişim listesi genişletilmiş rdma
izin udp herhangi herhangi herhangi herhangi eq 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(RG-S6520-64CQ ile uyumlu)
izin udp herhangi herhangi herhangi herhangi eq 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(RG-S6510-48VS8CQ ile uyumlu)
Son adım olarak, uzman uzantı listesini uygun ERSPAN işlemine bağlayarak RDMA oturumunu görselleştirebilirsiniz.
En sonuncuyu yazın.
ERSPAN, günümüzün giderek büyüyen veri merkezi ağlarında, giderek karmaşıklaşan ağ trafiğinde ve giderek daha gelişmiş ağ işletimi ve bakım gereksinimlerinde vazgeçilmez araçlardan biridir.
Ağ işletim ve bakım otomasyonunun artmasıyla birlikte, Netconf, RESTconf ve gRPC gibi teknolojiler, ağ otomatik işletim ve bakımında çalışan öğrenciler arasında popüler hale gelmiştir. Yansıtılan trafiği geri göndermek için temel protokol olarak gRPC kullanmanın da birçok avantajı vardır. Örneğin, HTTP/2 protokolüne dayanarak, aynı bağlantı altında akış itme mekanizmasını destekleyebilir. ProtoBuf kodlamasıyla, JSON formatına kıyasla bilgi boyutu yarıya indirilir, bu da veri iletimini daha hızlı ve verimli hale getirir. Düşünün, ERSPAN kullanarak ilgili akışları yansıtıp ardından bunları gRPC üzerinden analiz sunucusuna gönderirseniz, ağın otomatik işletim ve bakımının yeteneğini ve verimliliğini büyük ölçüde artıracaktır.
Yayın tarihi: 10 Mayıs 2022
