今日のネットワーク監視とトラブルシューティングのための最も一般的なツールは、ポートミラーリングとも呼ばれるスイッチポートアナライザー(SPAN)です。ライブネットワーク上のサービスに干渉することなく、バンドモードからバイパスのネットワークトラフィックを監視し、監視されているトラフィックのコピーを、Sniffer、ID、またはその他のタイプのネットワーク分析ツールなどのローカルまたはリモートデバイスに送信します。
いくつかの典型的な用途は次のとおりです。
•コントロール/データフレームを追跡することにより、ネットワークの問題をトラブルシューティングします。
•VoIPパケットを監視して、レイテンシとジッタを分析します。
•ネットワークの相互作用を監視してレイテンシを分析します。
•ネットワークトラフィックを監視して、異常を検出します。
SPANトラフィックは、同じソースデバイスの他のポートにローカルにミラー化されるか、ソースデバイス(RSPAN)のレイヤー2に隣接する他のネットワークデバイスにリモートミラーリングできます。
今日は、3層のIP層に送信できるERSPAN(カプセル化されたリモートスイッチポートアナライザー)と呼ばれるリモートインターネットトラフィックモニタリングテクノロジーについてお話します。これは、カプセル化されたリモコンへのスパンの拡張です。
erspanの基本的な操作原則
まず、ERSPANの機能を見てみましょう。
•ソースポートからのパケットのコピーは、一般的なルーティングカプセル化(GRE)を介して解析するために宛先サーバーに送信されます。サーバーの物理的な位置は制限されていません。
•チップのユーザー定義フィールド機能(UDF)機能の助けを借りて、1〜126バイトのオフセットは、エキスパートレベルの拡張リストを介してベースドメインに基づいて実行され、セッションキーワードはTCP 3方向ハンドシェイクやRDMAセッションなどのセッションの視覚化を実現するために一致します。
•サンプリングレートをサポートします。
•パケットインターセプトの長さ(パケットスライス)をサポートし、ターゲットサーバーの圧力を軽減します。
これらの機能を使用すると、ERSPANが今日のデータセンター内のネットワークを監視するための不可欠なツールである理由を確認できます。
erspanの主な機能は、2つの側面で要約できます。
•セッションの可視性:ERSPANを使用して、作成されたすべての新しいTCPおよびリモートダイレクトメモリアクセス(RDMA)セッションをバックエンドサーバーに収集します。
•ネットワークトラブルシューティング:ネットワークの問題が発生したときに障害分析のためにネットワークトラフィックをキャプチャします。
これを行うには、ソースネットワークデバイスは、大規模なデータストリームからユーザーの関心のあるトラフィックを除外し、コピーを作成し、各コピーフレームを、受信デバイスに正しくルーティングできるように十分な追加情報を運ぶ特別な「スーパーフレームコンテナ」にカプセル化する必要があります。さらに、受信デバイスが元の監視されたトラフィックを抽出して完全に回復できるようにします。
受信デバイスは、脱カプセンシングERSPANパケットをサポートする別のサーバーにすることができます。
ERSPANタイプとパッケージ形式の分析
ERSPANパケットは、GREを使用してカプセル化され、イーサネット上のIPアドレス可能な宛先に転送されます。 ERSPANは現在、主にIPv4ネットワークで使用されており、IPv6サポートは将来の要件になります。
ERSAPNの一般的なカプセル化構造の場合、以下はICMPパケットのミラーパケットキャプチャです。
ERSPANプロトコルは長期間にわたって開発されており、その能力の向上により、「erspanタイプ」と呼ばれるいくつかのバージョンが形成されています。タイプが異なると、フレームヘッダー形式が異なります。
ERSPANヘッダーの最初のバージョンフィールドで定義されています。
さらに、GREヘッダーのプロトコルタイプフィールドは、内部ERSPANタイプも示しています。プロトコルタイプフィールド0x88beは、ERSPAN TYPE IIを示し、0x22EBはERSPAN型IIIを示します。
1。タイプI
タイプIのerspanフレームは、元のミラーフレームのヘッダーを介してIPとGREを直接カプセル化します。このカプセル化により、元のフレームに38バイトが追加されます:14(Mac) + 20(IP) + 4(GRE)。この形式の利点は、コンパクトなヘッダーサイズがあり、送信コストが削減されることです。ただし、GREフラグとバージョンのフィールドを0に設定するため、拡張フィールドは拡張されておらず、タイプIは広く使用されていないため、さらに拡張する必要はありません。
タイプIのGREヘッダー形式は次のとおりです。
2。タイプII
タイプIIでは、GREヘッダーのC、R、K、S、S、Recur、Flag、およびバージョンフィールドは、Sフィールドを除くすべて0です。したがって、シーケンス番号フィールドは、タイプIIのGREヘッダーに表示されます。つまり、タイプIIはGREパケットを受信する順序を保証するため、ネットワーク障害のために多数の秩序外GREパケットをソートできません。
タイプIIのGREヘッダー形式は次のとおりです。
さらに、ERSPANタイプIIフレーム形式は、GREヘッダーと元のミラー化されたフレームの間に8バイトのerspanヘッダーを追加します。
タイプIIのerspanヘッダー形式は次のとおりです。
最後に、元の画像フレームの直後に、標準の4バイトイーサネットサイクリック冗長チェック(CRC)コードがあります。
実装では、ミラーフレームには元のフレームのFCSフィールドが含まれておらず、代わりにERSPAN全体に基づいて新しいCRC値が再計算されることに注意してください。これは、受信デバイスが元のフレームのCRC正確性を検証できないことを意味し、腐敗していないフレームのみがミラーリングされていると仮定することができます。
3。タイプIII
タイプIIIでは、より大きくて柔軟な複合ヘッダーを導入して、ネットワーク管理、侵入検知、パフォーマンス、遅延分析などを含むがこれらに限定されない、ますます複雑で多様なネットワーク監視シナリオに対処します。これらのシーンは、ミラーフレームのすべての元のパラメーターを知り、元のフレーム自体に存在しないシーンを含める必要があります。
ERSPANタイプIIIコンポジットヘッダーには、必須の12バイトヘッダーとオプションの8バイトプラットフォーム固有のサブヘッダーが含まれています。
タイプIIIのerspanヘッダー形式は次のとおりです。
繰り返しますが、元のミラーフレームは4バイトのCRCです。
タイプIIIのヘッダー形式からわかるように、VER、VLAN、COS、T、およびセッションIDフィールドをタイプIIに基づいて保持することに加えて、以下などの多くの特別なフィールドが追加されます。
•BSO:ERSPANを通じて運ばれるデータフレームの負荷の整合性を示すために使用されます。 00は良いフレームで、11は悪いフレーム、01は短いフレーム、11は大きなフレームです。
•タイムスタンプ:システム時間と同期したハードウェアクロックからエクスポートされます。この32ビットフィールドは、少なくとも100マイクロ秒のタイムスタンプの粒度をサポートしています。
•フレームタイプ(P)およびフレームタイプ(FT):前者は、ERSPANがイーサネットプロトコルフレーム(PDUフレーム)を運ぶかどうかを指定するために使用され、後者はERSPANがイーサネットフレームまたはIPパケットを運ぶかどうかを指定するために使用されます。
•HW ID:システム内のerspanエンジンの一意の識別子。
•GRA(タイムスタンプの粒度):タイムスタンプの粒度を指定します。たとえば、00Bは100マイクロ秒の粒度、01B 100ナノ秒粒度、10B IEEE 1588粒度を表し、11Bはより高い粒度を達成するためにプラットフォーム固有のサブヘッダーを必要とします。
•PLATF ID対プラットフォーム固有の情報:Platf固有の情報フィールドには、Platf ID値に応じて異なる形式と内容があります。
上記のさまざまなヘッダーフィールドは、通常のトランクパッケージとVLAN IDを維持しながら、エラーフレームやBPDUフレームをミラーリングすることも、通常のERSPANアプリケーションで使用できることに注意してください。さらに、ミラーリング中は、主要なタイムスタンプ情報やその他の情報フィールドを各ERSPANフレームに追加できます。
ERSPAN独自の機能ヘッダーを使用すると、ネットワークトラフィックのより洗練された分析を実現し、それに対応するACLをERSPANプロセスにマウントして、関心のあるネットワークトラフィックを一致させることができます。
ERSPANはRDMAセッションの可視性を実装します
RDMAのシナリオでRDMAセッションの視覚化を実現するためにERSPANテクノロジーを使用した例を見てみましょう。
RDMA:リモートダイレクトメモリアクセスにより、サーバーAのネットワークアダプターは、インテリジェントネットワークインターフェイスカード(INIC)とスイッチを使用して、サーバーBのメモリを読み取り、書き込み、高い帯域幅、低レイテンシ、および低リソース利用を実現します。ビッグデータと高性能分散ストレージシナリオで広く使用されています。
rocev2:RDMA上のRDMAは、イーサネットバージョン2です。RDMAデータはUDPヘッダーにカプセル化されています。宛先ポート番号は4791です。
RDMAの毎日の操作とメンテナンスには、多くのデータを収集する必要があります。これは、毎日の水位参照ラインと異常なアラームを収集するためだけでなく、異常な問題を見つけるための基礎です。 ERSPANと組み合わせることで、大規模なデータを迅速にキャプチャでき、マイクロ秒転送品質データとスイッチングチップのプロトコル相互作用ステータスを取得できます。データ統計と分析により、RDMAエンドツーエンドの転送品質評価と予測を取得できます。
RDAMセッションの視覚化を実現するには、トラフィックをミラーリングするときにRDMAインタラクションセッションのキーワードを一致させるためにERSPANが必要であり、エキスパート拡張リストを使用する必要があります。
エキスパートレベルの拡張リストマッチングフィールド定義:
UDFは、UDFキーワード、ベースフィールド、オフセットフィールド、値フィールド、およびマスクフィールドの5つのフィールドで構成されています。ハードウェアエントリの容量によって制限されているため、合計8つのUDFを使用できます。 1つのUDFは、最大2バイトと一致させることができます。
•UDFキーワード:UDF1 ... UDF8には、UDFマッチングドメインの8つのキーワードが含まれています
•ベースフィールド:UDFマッチングフィールドの開始位置を識別します。次の
L4_header(RG-S6520-64CQに適用)
L5_Header(RG-S6510-48VS8CQ用)
•オフセット:ベースフィールドに基づいてオフセットを示します。値の範囲は0〜126です
•値フィールド:一致する値。マスクフィールドと一緒に使用して、一致する特定の値を構成できます。有効なビットは2バイトです
•マスクフィールド:マスク、有効なビットは2バイトです
(追加:同じUDFマッチングフィールドで複数のエントリが使用されている場合、ベースフィールドとオフセットフィールドは同じでなければなりません。)
RDMAセッションのステータスに関連付けられた2つの重要なパケットは、混雑通知パケット(CNP)と否定的な承認(NAK)です。
前者は、スイッチによって送信されたECNメッセージを受信した後(Eoutバッファがしきい値に達するとき)、RDMAレシーバーによって生成されます。後者は、RDMA伝送にパケット損失応答メッセージがあることを示すために使用されます。
エキスパートレベルの拡張リストを使用して、これら2つのメッセージを一致させる方法を見てみましょう。
Expert Access-List拡張RDMA
Eq 4791をudpに許可しますUDF 1 L4_Header 8 0x8100 0xff00(RG-S6520-64CQの一致)
Eq 4791をudpに許可しますUDF 1 L5_Header 0 0x8100 0xff00(RG-S6510-48VS8CQの一致)
Expert Access-List拡張RDMA
Eq 4791をudpに許可しますudf 1 l4_header 8 0x1100 0xff00 udf 2 l4_header 20 0x6000 0xff00(RG-S6520-64CQの一致)
Eq 4791をudpに許可しますudf 1 l5_header 0 0x1100 0xff00 udf 2 l5_header 12 0x6000 0xff00(RG-S6510-48VS8CQの一致)
最後のステップとして、専門家の拡張リストを適切なERSPANプロセスに取り付けることにより、RDMAセッションを視覚化できます。
最後に書いてください
ERSPANは、今日のますます大規模なデータセンターネットワーク、ますます複雑になっているネットワークトラフィック、およびますます洗練されたネットワーク運用とメンテナンスの要件に不可欠なツールの1つです。
O&M自動化の程度が増加すると、NetConf、RestConf、GRPCなどのテクノロジーは、Network Automatic O&MのO&M学生の間で人気があります。 Mirror Trafficを送り返すための基礎となるプロトコルとしてGRPCを使用することには、多くの利点もあります。たとえば、HTTP/2プロトコルに基づいて、同じ接続の下でストリーミングプッシュメカニズムをサポートできます。 Protobufエンコードを使用すると、情報のサイズがJSON形式と比較して半分に削減され、データの伝送がより速く効率的になります。 ERSPANを使用して興味のあるストリームをミラーリングしてからGRPCの分析サーバーに送信する場合、ネットワークの自動操作とメンテナンスの能力と効率を大幅に向上させると想像してください。
投稿時間:5月10〜2022年
