הכלי הנפוץ ביותר לניטור רשת ופתרון בעיות כיום הוא Switch Port Analyzer (SPAN), המכונה גם Port mirroring. הוא מאפשר לנו לנטר תעבורת רשת במצב עקיפה מחוץ לפס מבלי להפריע לשירותים ברשת החיה, ושולח עותק של התעבורה המנוטרת למכשירים מקומיים או מרוחקים, כולל Sniffer, IDS או סוגים אחרים של כלי ניתוח רשת.
כמה שימושים אופייניים הם:
• פתרון בעיות רשת על ידי מעקב אחר מסגרות בקרה/נתונים;
• ניתוח השהייה וריצוד על ידי ניטור חבילות VoIP;
• ניתוח השהייה על ידי ניטור אינטראקציות רשת;
• זיהוי אנומליות על ידי ניטור תעבורת הרשת.
ניתן לשקף תעבורת SPAN באופן מקומי לפורטים אחרים באותו התקן מקור, או לשקף מרחוק להתקני רשת אחרים הסמוכים לשכבה 2 של התקן המקור (RSPAN).
היום נדבר על טכנולוגיית ניטור תעבורת אינטרנט מרחוק הנקראת ERSPAN (Encapsulated Remote Switch Port Analyzer) שניתן להעביר על פני שלוש שכבות של IP. זוהי הרחבה של SPAN ל-Encapsulated Remote.
עקרונות הפעולה הבסיסיים של ERSPAN
ראשית, בואו נסתכל על התכונות של ERSPAN:
• עותק של החבילה מיציאת המקור נשלח לשרת היעד לצורך ניתוח באמצעות Generic Routing Encapsulation (GRE). המיקום הפיזי של השרת אינו מוגבל.
• בעזרת תכונת השדה המוגדר על ידי המשתמש (UDF) של השבב, כל היסט של 1 עד 126 בתים מתבצע על סמך תחום הבסיס דרך הרשימה המורחבת ברמת המומחה, ומילות המפתח של הסשן מותאמות כדי לממש את הוויזואליזציה של הסשן, כגון לחיצת יד תלת-כיוונית של TCP והפעלת RDMA;
• תמיכה בקביעת קצב דגימה;
• תומך באורך יירוט חבילות (Packet Slicing), מה שמפחית את העומס על שרת היעד.
בעזרת תכונות אלו, ניתן להבין מדוע ERSPAN הוא כלי חיוני לניטור רשתות בתוך מרכזי נתונים כיום.
ניתן לסכם את הפונקציות העיקריות של ERSPAN בשני היבטים:
• נראות סשן: השתמש ב-ERSPAN כדי לאסוף את כל הסשנים החדשים של TCP ו-RDMA שנוצרו לשרת האחורי לצורך תצוגה;
• פתרון בעיות רשת: לוכד תעבורת רשת לצורך ניתוח תקלות כאשר מתרחשת בעיית רשת.
לשם כך, התקן רשת המקור צריך לסנן את התעבורה המעניינת את המשתמש מזרם הנתונים העצום, ליצור עותק ולקפל כל מסגרת העתקה לתוך "מיכל מסגרת-על" מיוחד הנושא מספיק מידע נוסף כדי שניתן יהיה לנתב אותו בצורה נכונה להתקן המקבל. יתר על כן, לאפשר להתקן המקבל לחלץ ולשחזר במלואה את התעבורה המקורית המנוטרת.
התקן המקבל יכול להיות שרת אחר התומך בפירוק חבילות ERSPAN.
ניתוח סוג ופורמט חבילה של ERSPAN
חבילות ERSPAN נעטפות באמצעות GRE ומועברות לכל יעד הניתן לכתובת IP דרך Ethernet. ERSPAN משמש כיום בעיקר ברשתות IPv4, ותמיכה ב-IPv6 תהיה דרישה בעתיד.
עבור מבנה האנקפסולציה הכללי של ERSAPN, להלן לכידת חבילות ICMP במראה:
פרוטוקול ERSPAN התפתח במשך תקופה ארוכה, ועם שיפור יכולותיו, נוצרו מספר גרסאות, הנקראות "סוגי ERSPAN". לסוגים שונים יש פורמטים שונים של כותרות מסגרת.
זה מוגדר בשדה הגרסה הראשון של כותרת ה-ERSPAN:
בנוסף, השדה סוג פרוטוקול בכותרת ה-GRE מציין גם את סוג ה-ERSPAN הפנימי. שדה סוג הפרוטוקול 0x88BE מציין ERSPAN סוג II, ו-0x22EB מציין ERSPAN סוג III.
1. סוג א'
מסגרת ERSPAN מסוג I עוטפת את ה-IP וה-GRE ישירות מעל הכותרת של מסגרת המראה המקורית. אנקפסולציה זו מוסיפה 38 בתים למסגרת המקורית: 14(MAC) + 20 (IP) + 4(GRE). היתרון של פורמט זה הוא גודל הכותרת הקומפקטי שלו והוא מפחית את עלות השידור. עם זאת, מכיוון שהוא מגדיר את השדות GRE Flag ו-Version ל-0, הוא אינו נושא שדות מורחבים וסוג I אינו בשימוש נרחב, ולכן אין צורך להרחיב עוד.
פורמט כותרת ה-GRE של סוג I הוא כדלקמן:
2. סוג II
בסוג II, השדות C, R, K, S, S, Recur, Flags ו-Version בכותרת ה-GRE הם כולם 0 למעט השדה S. לכן, השדה Sequence Number מוצג בכותרת ה-GRE של סוג II. כלומר, סוג II יכול להבטיח את סדר קבלת חבילות GRE, כך שלא ניתן יהיה למיין מספר רב של חבילות GRE שאינן מסודרות עקב תקלה ברשת.
פורמט כותרת ה-GRE של סוג II הוא כדלקמן:
בנוסף, פורמט המסגרת ERSPAN Type II מוסיף כותרת ERSPAN של 8 בתים בין כותרת ה-GRE למסגרת המשוקפת המקורית.
פורמט הכותרת של ERSPAN עבור סוג II הוא כדלקמן:
לבסוף, מיד לאחר מסגרת התמונה המקורית, נמצא קוד בדיקת יתירות מחזורית (CRC) סטנדרטי של 4 בייט של Ethernet.
ראוי לציין שבמימוש, מסגרת השיקוף אינה מכילה את שדה ה-FCS של המסגרת המקורית, במקום זאת ערך CRC חדש מחושב מחדש על סמך כל ה-ERSPAN. משמעות הדבר היא שהמכשיר המקבל אינו יכול לאמת את נכונות ה-CRC של המסגרת המקורית, ואנו יכולים רק להניח שרק מסגרות שלא פגומות משתקפות.
3. סוג ג'
סוג III מציג כותרת מורכבת גדולה וגמישה יותר כדי להתמודד עם תרחישי ניטור רשת מורכבים ומגוונים יותר ויותר, כולל אך לא רק ניהול רשת, זיהוי חדירות, ניתוח ביצועים ועיכובים ועוד. סצנות אלו צריכות להכיר את כל הפרמטרים המקוריים של מסגרת המראה ולכלול את אלה שאינם קיימים במסגרת המקורית עצמה.
כותרת ה-ERSPAN Type III המורכבת כוללת כותרת חובה של 12 בתים וכותרת משנה אופציונלית ספציפית לפלטפורמה של 8 בתים.
פורמט הכותרת של ERSPAN עבור סוג III הוא כדלקמן:
שוב, אחרי מסגרת המראה המקורית יש CRC של 4 בייט.
כפי שניתן לראות מפורמט הכותרת של Type III, בנוסף לשמירה על השדות Ver, VLAN, COS, T ו-Session ID על בסיס Type II, נוספו שדות מיוחדים רבים, כגון:
• BSO: משמש לציון שלמות הטעינה של מסגרות נתונים המועברות דרך ERSPAN. 00 הוא מסגרת טובה, 11 הוא מסגרת לא טובה, 01 הוא מסגרת קצרה, 11 הוא מסגרת גדולה;
• חותמת זמן: מיוצא משעון החומרה המסונכרן עם זמן המערכת. שדה 32 סיביות זה תומך בפירוט של לפחות 100 מיקרו-שניות של חותמת זמן;
• סוג מסגרת (P) וסוג מסגרת (FT): הראשון משמש לציון האם ERSPAN נושא מסגרות פרוטוקול Ethernet (מסגרות PDU), והשני משמש לציון האם ERSPAN נושא מסגרות Ethernet או חבילות IP.
• מזהה חומרה: מזהה ייחודי של מנוע ERSPAN בתוך המערכת;
• Gra (גרנולריות חותמת זמן): מציין את גרנולריות חותמת הזמן. לדוגמה, 00B מייצג גרנולריות של 100 מיקרו-שניות, 01B גרנולריות של 100 ננו-שניות, 10B גרנולריות של IEEE 1588, ו-11B דורש כותרות משנה ספציפיות לפלטפורמה כדי להשיג גרנולריות גבוהה יותר.
• מזהה פלטפורמה לעומת מידע ספציפי לפלטפורמה: לשדות מידע ספציפי לפלטפורמה יש פורמטים ותוכן שונים בהתאם לערך מזהה הפלטפורמה.
יש לציין כי ניתן להשתמש בשדות הכותרת השונים הנתמכים לעיל ביישומי ERSPAN רגילים, אפילו בשיקוף מסגרות שגיאה או מסגרות BPDU, תוך שמירה על חבילת Trunk ומזהה ה-VLAN המקוריים. בנוסף, ניתן להוסיף מידע חותמת זמן מרכזי ושדות מידע אחרים לכל מסגרת ERSPAN במהלך השיקוף.
בעזרת כותרות התכונות של ERSPAN, נוכל להשיג ניתוח מעודכן יותר של תעבורת הרשת, ולאחר מכן פשוט להרכיב את ה-ACL המתאים בתהליך ERSPAN כך שיתאים לתעבורת הרשת בה אנו מעוניינים.
ERSPAN מיישם נראות מושב RDMA
בואו ניקח דוגמה לשימוש בטכנולוגיית ERSPAN כדי להשיג ויזואליזציה של סשן RDMA בתרחיש RDMA:
RDMAגישה ישירה מרחוק לזיכרון מאפשרת למתאם הרשת של שרת A לקרוא ולכתוב לזיכרון של שרת B באמצעות כרטיסי ממשק רשת חכמים (inics) ומתגים, ובכך להשיג רוחב פס גבוה, השהייה נמוכה וניצול משאבים נמוך. היא נמצאת בשימוש נרחב בתרחישי ביג דאטה ואחסון מבוזר בעלי ביצועים גבוהים.
RoCEv2RDMA over Converged Ethernet גרסה 2. נתוני ה-RDMA כלולים בכותרת UDP. מספר יציאת היעד הוא 4791.
תפעול ותחזוקה יומיומיים של RDMA דורשים איסוף נתונים רבים, המשמשים לאיסוף קווי ייחוס מפלס מים יומיים ואזעקות חריגות, וכן מהווים בסיס לאיתור בעיות חריגות. בשילוב עם ERSPAN, ניתן ללכוד במהירות נתונים עצומים כדי לקבל נתוני איכות העברה במיקרו-שניות וסטטוס אינטראקציה עם הפרוטוקול של שבב המיתוג. באמצעות סטטיסטיקות וניתוח נתונים, ניתן להשיג הערכה וחיזוי של איכות העברה מקצה לקצה של RDMA.
כדי להשיג ויזואליזציה של סשנים של RDAM, אנו זקוקים ל-ERSPAN שיתאים למילות מפתח עבור סשנים של אינטראקציה עם RDMA בעת שיקוף תעבורה, ועלינו להשתמש ברשימה המורחבת של המומחים.
הגדרת שדה התאמה של רשימה מורחבת ברמת מומחה:
ה-UDF מורכב מחמישה שדות: מילת מפתח של UDF, שדה בסיס, שדה היסט, שדה ערך ושדה מסכה. מוגבל על ידי קיבולת ערכי החומרה, ניתן להשתמש בסך הכל בשמונה UDFs. UDF אחד יכול להתאים לשני בתים לכל היותר.
• מילת מפתח UDF: UDF1... UDF8 מכילה שמונה מילות מפתח של תחום ההתאמה של UDF
• שדה בסיס: מזהה את מיקום ההתחלה של שדה ההתאמה של UDF. הבא
כותרת_L4 (חלה על RG-S6520-64CQ)
כותרת_L5 (עבור RG-S6510-48VS8Cq)
• קיזוז: מציין את הקיזוז בהתבסס על שדה הבסיס. הערך נע בין 0 ל-126
• שדה ערך: ערך תואם. ניתן להשתמש בו יחד עם שדה המסכה כדי להגדיר את הערך הספציפי שיש להתאים. הסיבית התקינה היא שני בייטים
• שדה מסכה: מסכה, סיבית חוקית היא שני בייטים
(הוסף: אם נעשה שימוש במספר ערכים באותו שדה התאמה של UDF, שדות הבסיס והיסט חייבים להיות זהים.)
שתי החבילות המרכזיות הקשורות למצב סשן RDMA הן חבילת התראות על עומס (CNP) ואישור שלילי (NAK):
הראשון נוצר על ידי מקלט ה-RDMA לאחר קבלת הודעת ה-ECN שנשלחה על ידי המתג (כאשר מאגר ה-eout מגיע לסף), המכילה מידע על הזרימה או ה-QP הגורמים לעומס. האחרון משמש כדי לציין שלשידור ה-RDMA יש הודעת תגובה לאובדן חבילות.
בואו נבחן כיצד להתאים את שתי ההודעות הללו באמצעות הרשימה המורחבת ברמת המומחה:
רשימת גישה מורחבת של מומחים (rdma)
היתר UDP כל כל כל משוואה 4791udf 1 l4_header 8 0x8100 0xFF00(תואם ל-RG-S6520-64CQ)
היתר UDP כל כל כל משוואה 4791udf 1 l5_header 0 0x8100 0xFF00(תואם RG-S6510-48VS8CQ)
רשימת גישה מורחבת של מומחים (rdma)
היתר UDP כל כל כל משוואה 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(תואם ל-RG-S6520-64CQ)
היתר UDP כל כל כל משוואה 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(תואם RG-S6510-48VS8CQ)
כצעד אחרון, ניתן להציג את סשן ה-RDMA על ידי הרכבת רשימת הרחבות המומחים בתהליך ERSPAN המתאים.
כתוב באחרון
ERSPAN הוא אחד הכלים החיוניים ברשתות מרכזי נתונים גדולות יותר ויותר של ימינו, עם תעבורת רשת מורכבת יותר ויותר ודרישות תפעול ותחזוקה מתוחכמות יותר ויותר של רשת.
עם העלייה ברמת האוטומציה של תפעול ותחזוקה, טכנולוגיות כמו Netconf, RESTconf ו-gRPC פופולריות בקרב סטודנטים לתפעול ותחזוקה אוטומטיים ברשת. לשימוש ב-gRPC כפרוטוקול הבסיסי לשליחת תעבורת שיקוף חזרה טומן בחובו גם יתרונות רבים. לדוגמה, בהתבסס על פרוטוקול HTTP/2, הוא יכול לתמוך במנגנון דחיפת סטרימינג תחת אותו חיבור. עם קידוד ProtoBuf, גודל המידע מצטמצם בחצי בהשוואה לפורמט JSON, מה שהופך את העברת הנתונים למהירה ויעילה יותר. רק דמיינו, אם תשתמשו ב-ERSPAN כדי לשקף סטרימינג ולאחר מכן תשלחו אותם לשרת הניתוח ב-gRPC, האם זה ישפר מאוד את היכולת והיעילות של תפעול ותחזוקה אוטומטיים של הרשת?
זמן פרסום: 10 במאי 2022
