Günümüzde ağ izleme ve sorun giderme için en yaygın kullanılan araç, Port yansıtma olarak da bilinen Switch Port Analyzer'dır (SPAN). Bu araç, canlı ağdaki hizmetleri etkilemeden bant dışı bypass modunda ağ trafiğini izlememizi sağlar ve izlenen trafiğin bir kopyasını Sniffer, IDS veya diğer ağ analiz araçları dahil olmak üzere yerel veya uzak cihazlara gönderir.
Bazı tipik kullanımlar şunlardır:
• Kontrol/veri çerçevelerini izleyerek ağ sorunlarını giderin;
• VoIP paketlerini izleyerek gecikmeyi ve titremeyi analiz edin;
• Ağ etkileşimlerini izleyerek gecikmeyi analiz edin;
• Ağ trafiğini izleyerek anormallikleri tespit edin.
SPAN Trafiği, aynı kaynak aygıttaki diğer bağlantı noktalarına yerel olarak yansıtılabilir veya kaynak aygıtın 2. Katmanına bitişik diğer ağ aygıtlarına uzaktan yansıtılabilir (RSPAN).
Bugün, üç IP katmanı üzerinden iletilebilen ERSPAN (Encapsulated Remote Switch Port Analyzer) adlı Uzaktan İnternet trafiği izleme teknolojisinden bahsedeceğiz. Bu teknoloji, SPAN'ın Encapsulated Remote'a bir uzantısıdır.
ERSPAN'ın temel çalışma prensipleri
Öncelikle ERSPAN'ın özelliklerine bir bakalım:
• Kaynak porttan gelen paketin bir kopyası, Genel Yönlendirme Kapsüllemesi (GRE) aracılığıyla ayrıştırılmak üzere hedef sunucuya gönderilir. Sunucunun fiziksel konumu kısıtlanmamıştır.
• Çipin Kullanıcı Tanımlı Alan (UDF) özelliği sayesinde uzman seviyesindeki genişletilmiş liste üzerinden Base domain bazında 1 ile 126 bayt arasında herhangi bir ofset gerçekleştirilir ve oturum anahtar kelimeleri eşleştirilerek TCP üç yönlü el sıkışma ve RDMA oturumu gibi oturumun görselleştirilmesi gerçekleştirilir;
• Örnekleme oranının ayarlanmasını destekler;
• Paket kesme uzunluğunu (Paket Dilimleme) destekler, hedef sunucu üzerindeki baskıyı azaltır.
Bu özellikleriyle ERSPAN'ın günümüzde veri merkezlerinin içindeki ağları izlemek için neden vazgeçilmez bir araç olduğunu görebilirsiniz.
ERSPAN'ın temel işlevleri iki başlık altında özetlenebilir:
• Oturum Görünürlüğü: ERSPAN'ı kullanarak oluşturulan tüm yeni TCP ve Uzaktan Doğrudan Bellek Erişimi (RDMA) oturumlarını arka uç sunucusunda görüntülenmek üzere toplayın;
• Ağ sorun giderme: Bir ağ sorunu oluştuğunda hata analizi için ağ trafiğini yakalar.
Bunu yapmak için, kaynak ağ cihazının, kullanıcının ilgisini çeken trafiği büyük veri akışından filtrelemesi, bir kopya oluşturması ve her kopya çerçevesini, alıcı cihaza doğru bir şekilde yönlendirilebilmesi için yeterli ek bilgi taşıyan özel bir "süper çerçeve kapsayıcısına" yerleştirmesi gerekir. Ayrıca, alıcı cihazın orijinal izlenen trafiği çıkarmasını ve tamamen kurtarmasını sağlamalıdır.
Alıcı cihaz, ERSPAN paketlerinin kapsülden çıkarılmasını destekleyen başka bir sunucu olabilir.
ERSPAN Tip ve Paket Formatı Analizi
ERSPAN paketleri GRE kullanılarak kapsüllenir ve Ethernet üzerinden herhangi bir IP adreslenebilir hedefe iletilir. ERSPAN şu anda çoğunlukla IPv4 ağlarında kullanılmakta olup, gelecekte IPv6 desteği bir gereklilik haline gelecektir.
ERSAPN'nin genel kapsülleme yapısı için ICMP paketlerinin ayna paket yakalaması aşağıdaki gibidir:
ERSPAN protokolü uzun bir süre boyunca geliştirilmiş ve yeteneklerinin artmasıyla birlikte "ERSPAN Tipleri" adı verilen çeşitli versiyonları oluşturulmuştur. Farklı Tiplerin farklı çerçeve başlık formatları vardır.
ERSPAN başlığının ilk Sürüm alanında tanımlanmıştır:
Ayrıca, GRE başlığındaki Protokol Türü alanı dahili ERSPAN Türünü de belirtir. Protokol Türü alanı 0x88BE, ERSPAN Tür II'yi ve 0x22EB, ERSPAN Tür III'ü belirtir.
1. Tip I
Tip I ERSPAN çerçevesi, IP ve GRE'yi doğrudan orijinal ayna çerçevesinin başlığı üzerine kapsüller. Bu kapsülleme, orijinal çerçeveye 38 bayt ekler: 14(MAC) + 20 (IP) + 4(GRE). Bu formatın avantajı, kompakt bir başlık boyutuna sahip olması ve iletim maliyetini düşürmesidir. Ancak, GRE Bayrağı ve Sürüm alanlarını 0 olarak ayarladığı için herhangi bir genişletilmiş alan taşımaz ve Tip I yaygın olarak kullanılmadığı için daha fazla genişletmeye gerek yoktur.
Tip I'in GRE başlık formatı aşağıdaki gibidir:
2. Tip II
Tip II'de, GRE başlığındaki C, R, K, S, S, Recur, Flags ve Version alanlarının S alanı hariç tümü 0'dır. Bu nedenle, Tip II'nin GRE başlığında Sıra Numarası alanı görüntülenir. Yani Tip II, GRE paketlerinin alınma sırasını garanti altına alabilir, böylece bir ağ arızası nedeniyle çok sayıda sıra dışı GRE paketi sıralanamaz.
Tip II GRE başlık formatı aşağıdaki gibidir:
Ayrıca, ERSPAN Tip II çerçeve biçimi, GRE başlığı ile orijinal yansıtılmış çerçeve arasına 8 baytlık bir ERSPAN başlığı ekler.
Tip II için ERSPAN başlık formatı aşağıdaki gibidir:
Son olarak, orijinal görüntü karesinin hemen ardından standart 4 baytlık Ethernet döngüsel yedeklilik denetimi (CRC) kodu gelir.
Uygulamada, ayna çerçevesinin orijinal çerçevenin FCS alanını içermediğini, bunun yerine tüm ERSPAN'a göre yeni bir CRC değerinin yeniden hesaplandığını belirtmekte fayda var. Bu, alıcı cihazın orijinal çerçevenin CRC doğruluğunu doğrulayamayacağı ve yalnızca bozulmamış çerçevelerin yansıtıldığını varsayabileceğimiz anlamına gelir.
3. Tip III
Tip III, ağ yönetimi, saldırı tespiti, performans ve gecikme analizi gibi giderek karmaşıklaşan ve çeşitlenen ağ izleme senaryolarını ele almak için daha büyük ve daha esnek bir bileşik başlık sunar. Bu sahnelerin, yansıtma çerçevesinin tüm orijinal parametrelerini bilmesi ve orijinal çerçevede bulunmayan parametreleri de içermesi gerekir.
ERSPAN Tip III bileşik başlığı, zorunlu 12 baytlık bir başlık ve isteğe bağlı 8 baytlık platforma özgü bir alt başlık içerir.
Tip III için ERSPAN başlık formatı aşağıdaki gibidir:
Yine orijinal ayna çerçevesinden sonra 4 baytlık bir CRC gelir.
Tip III'ün başlık formatından da görüleceği üzere, Tip II bazında Ver, VLAN, COS, T ve Session ID alanlarının korunmasının yanı sıra; aşağıdaki gibi birçok özel alan eklenmiştir:
• BSO: ERSPAN üzerinden taşınan veri çerçevelerinin yük bütünlüğünü belirtmek için kullanılır. 00 iyi bir çerçeve, 11 kötü bir çerçeve, 01 kısa bir çerçeve, 11 büyük bir çerçevedir;
• Zaman Damgası: Sistem saatiyle senkronize edilmiş donanım saatinden dışa aktarılır. Bu 32 bitlik alan, en az 100 mikrosaniyelik Zaman Damgası ayrıntısını destekler;
• Çerçeve Türü (P) ve Çerçeve Türü (FT): Birincisi, ERSPAN'ın Ethernet protokol çerçeveleri (PDU çerçeveleri) taşıyıp taşımadığını belirtmek için kullanılır ve ikincisi, ERSPAN'ın Ethernet çerçeveleri mi yoksa IP paketleri mi taşıdığını belirtmek için kullanılır.
• HW ID: ERSPAN motorunun sistem içindeki benzersiz tanımlayıcısı;
• Gra (Zaman Damgası Ayrıntılılığı): Zaman Damgasının Ayrıntılılığını belirtir. Örneğin, 00B 100 mikrosaniye Ayrıntılılığını, 01B 100 nanosaniye Ayrıntılılığını, 10B IEEE 1588 Ayrıntılılığını ve 11B ise daha yüksek Ayrıntılılığa ulaşmak için platforma özgü alt başlıklar gerektirir.
• Platf ID ve Platforma Özgü Bilgiler: Platf Özgü Bilgi alanları, Platf ID değerine bağlı olarak farklı biçimlere ve içeriklere sahiptir.
Yukarıda desteklenen çeşitli başlık alanlarının, orijinal Trunk paketi ve VLAN kimliği korunarak, hata çerçeveleri veya BPDU çerçevelerinin yansıtılması dahil olmak üzere normal ERSPAN uygulamalarında kullanılabileceği unutulmamalıdır. Ayrıca, yansıtma sırasında her ERSPAN çerçevesine anahtar zaman damgası bilgileri ve diğer bilgi alanları eklenebilir.
ERSPAN'ın kendi özellik başlıklarıyla, ağ trafiğinin daha ayrıntılı bir analizini elde edebilir ve ardından ilgilendiğimiz ağ trafiğiyle eşleşmesi için ERSPAN sürecine karşılık gelen ACL'yi bağlayabiliriz.
ERSPAN, RDMA Oturum Görünürlüğünü Uygular
Bir RDMA senaryosunda RDMA oturum görselleştirmesini elde etmek için ERSPAN teknolojisinin kullanımına bir örnek verelim:
RDMAUzaktan Doğrudan Bellek Erişimi, sunucu A'nın ağ bağdaştırıcısının, akıllı ağ arayüz kartları (INIC'ler) ve anahtarlar kullanarak sunucu B'nin belleğini okumasını ve yazmasını sağlayarak yüksek bant genişliği, düşük gecikme süresi ve düşük kaynak kullanımı sağlar. Büyük veri ve yüksek performanslı dağıtılmış depolama senaryolarında yaygın olarak kullanılır.
RoCEv2: Birleşik Ethernet Üzerinden RDMA Sürüm 2. RDMA verileri UDP Başlığında kapsüllenir. Hedef bağlantı noktası numarası 4791'dir.
RDMA'nın günlük işletimi ve bakımı, günlük su seviyesi referans çizgilerini ve anormal alarmları toplamak ve anormal sorunları tespit etmek için kullanılan çok sayıda verinin toplanmasını gerektirir. ERSPAN ile birlikte kullanıldığında, mikrosaniye iletim kalitesinde veriler ve anahtarlama çipinin protokol etkileşim durumu elde etmek için büyük miktarda veri hızla toplanabilir. Veri istatistikleri ve analizi yoluyla, RDMA uçtan uca iletim kalitesi değerlendirmesi ve tahmini elde edilebilir.
RDAM oturum görselleştirmesini elde etmek için, trafiği yansıtırken RDMA etkileşim oturumları için anahtar kelimeleri eşleştirmek üzere ERSPAN'a ihtiyacımız var ve uzman genişletilmiş listesini kullanmamız gerekiyor.
Uzman düzeyinde genişletilmiş liste eşleştirme alanı tanımı:
UDF, beş alandan oluşur: UDF anahtar sözcüğü, temel alan, ofset alanı, değer alanı ve maske alanı. Donanım girişlerinin kapasitesiyle sınırlı olarak toplam sekiz UDF kullanılabilir. Bir UDF en fazla iki baytla eşleşebilir.
• UDF anahtar sözcüğü: UDF1... UDF8 UDF eşleşen etki alanının sekiz anahtar sözcüğünü içerir
• Temel alan: UDF eşleştirme alanının başlangıç konumunu tanımlar. Aşağıdakiler
L4_header (RG-S6520-64CQ için geçerlidir)
L5_header (RG-S6510-48VS8Cq için)
• Ofset: Temel alana göre ofseti gösterir. Değer 0 ile 126 arasında değişir.
• Değer alanı: eşleşen değer. Eşleştirilecek belirli değeri yapılandırmak için maske alanıyla birlikte kullanılabilir. Geçerli bit iki bayttır.
• Maske alanı: maske, geçerli bit iki bayttır
(Ek: Aynı UDF eşleştirme alanında birden fazla giriş kullanılıyorsa, taban ve ofset alanları aynı olmalıdır.)
RDMA oturum durumuyla ilişkili iki temel paket Tıkanıklık Bildirim Paketi (CNP) ve Olumsuz Onay'dır (NAK):
İlki, anahtar tarafından gönderilen ve tıkanıklığa neden olan akış veya QP hakkında bilgi içeren ECN mesajını aldıktan sonra (eout Tamponu eşiğe ulaştığında) RDMA alıcısı tarafından oluşturulur. İkincisi ise, RDMA iletiminin bir paket kaybı yanıt mesajına sahip olduğunu belirtmek için kullanılır.
Uzman seviyesindeki genişletilmiş listeyi kullanarak bu iki mesajın nasıl eşleştirileceğine bakalım:
uzman erişim listesi genişletilmiş rdma
udp'ye izin ver herhangi herhangi herhangi herhangi herhangi bir denklem 4791udf 1 l4_başlık 8 0x8100 0xFF00(RG-S6520-64CQ ile uyumlu)
udp'ye izin ver herhangi herhangi herhangi herhangi herhangi bir denklem 4791udf 1 l5_başlığı 0 0x8100 0xFF00(RG-S6510-48VS8CQ ile uyumlu)
uzman erişim listesi genişletilmiş rdma
udp'ye izin ver herhangi herhangi herhangi herhangi herhangi bir denklem 4791udf 1 l4_başlık 8 0x1100 0xFF00 udf 2 l4_başlık 20 0x6000 0xFF00(RG-S6520-64CQ ile uyumlu)
udp'ye izin ver herhangi herhangi herhangi herhangi herhangi bir denklem 4791udf 1 l5_başlık 0 0x1100 0xFF00 udf 2 l5_başlık 12 0x6000 0xFF00(RG-S6510-48VS8CQ ile uyumlu)
Son adım olarak, uzman uzantı listesini uygun ERSPAN sürecine bağlayarak RDMA oturumunu görselleştirebilirsiniz.
Son olarak yaz
ERSPAN, günümüzün giderek büyüyen veri merkezi ağları, giderek karmaşıklaşan ağ trafiği ve giderek karmaşıklaşan ağ işletim ve bakım gereksinimleri için vazgeçilmez araçlardan biridir.
İşletme ve bakım otomasyonunun giderek yaygınlaşmasıyla birlikte, Netconf, RESTconf ve gRPC gibi teknolojiler, ağ otomatik işletme ve bakımında işletme ve bakım öğrencileri arasında popülerlik kazanmıştır. Yansıtma trafiğini geri göndermek için temel protokol olarak gRPC kullanmanın da birçok avantajı vardır. Örneğin, HTTP/2 protokolüne dayalı olarak, aynı bağlantı altında akışlı itme mekanizmasını destekleyebilir. ProtoBuf kodlamasıyla, bilgi boyutu JSON formatına kıyasla yarı yarıya azaltılarak veri iletimi daha hızlı ve daha verimli hale gelir. ERSPAN kullanarak ilgili akışları yansıtıp ardından gRPC üzerindeki analiz sunucusuna gönderdiğinizde, ağ otomatik işletim ve bakımının kapasitesini ve verimliliğini önemli ölçüde artıracağını hayal edin.
Gönderim zamanı: 10 Mayıs 2022
