오늘날 네트워크 모니터링 및 문제 해결을위한 가장 일반적인 도구는 포트 미러링 (Port Mirroring)이라고도하는 SPAN (Switch Port Analyzer)입니다. 이를 통해 라이브 네트워크의 서비스를 방해하지 않고 대역 모드에서 바이 패스로 네트워크 트래픽을 모니터링 할 수 있으며, 모니터링 된 트래픽의 사본을 스나이퍼, ID 또는 기타 유형의 네트워크 분석 도구를 포함한 로컬 또는 원격 장치로 보냅니다.
몇 가지 일반적인 용도는 다음과 같습니다.
• 제어/데이터 프레임을 추적하여 네트워크 문제를 해결합니다.
• VoIP 패킷을 모니터링하여 대기 시간 및 지터를 분석합니다.
• 네트워크 상호 작용을 모니터링하여 대기 시간을 분석합니다.
• 네트워크 트래픽을 모니터링하여 이상을 감지합니다.
스팬 트래픽은 동일한 소스 장치의 다른 포트에 로컬로 미러링되거나 소스 장치 (RSPAN)의 레이어 2에 인접한 다른 네트워크 장치와 원격으로 반영 될 수 있습니다.
오늘 우리는 3 개의 IP 계층에서 전송할 수있는 ERSPAN (캡슐화 된 원격 스위치 포트 분석기)이라는 원격 인터넷 트래픽 모니터링 기술에 대해 이야기 할 것입니다. 이것은 캡슐화 된 리모컨으로의 스팬 확장입니다.
ERSPAN의 기본 작동 원리
먼저 Erspan의 기능을 살펴 보겠습니다.
• 소스 포트의 패킷 사본은 일반 라우팅 캡슐화 (GRE)를 통해 구문 분석하기 위해 대상 서버로 전송됩니다. 서버의 물리적 위치는 제한되지 않습니다.
• 칩의 사용자 정의 필드 (UDF) 기능의 도움을 받아 1 ~ 126 바이트의 오프셋은 전문가 수준 확장 목록을 통해 기본 도메인을 기반으로 수행되며 세션 키워드는 일치하여 TCP 3 자 핸드 셰이크 및 RDMA 세션과 같은 세션의 시각화를 실현합니다.
• 지원 설정 샘플링 속도;
• 패킷 차단 길이 (패킷 슬라이싱)를 지원하여 대상 서버의 압력을 줄입니다.
이러한 기능을 통해 ERSPAN이 오늘날 데이터 센터 내부의 네트워크를 모니터링하는 데 필수적인 도구 인 이유를 알 수 있습니다.
ERSPAN의 주요 기능은 두 가지 측면으로 요약 될 수 있습니다.
• 세션 가시성 : ERSPAN을 사용하여 생성 된 모든 새 TCP 및 원격 직접 메모리 액세스 (RDMA) 세션을 백엔드 서버로 수집합니다.
• 네트워크 문제 해결 : 네트워크 문제가 발생할 때 결함 분석을위한 네트워크 트래픽을 캡처합니다.
이를 위해 소스 네트워크 장치는 대규모 데이터 스트림에서 사용자에게 관심있는 트래픽을 필터링하고 사본을 작성하며 각 사본 프레임을 특수 "슈퍼 프레임 컨테이너"로 캡슐화하여 수신 장치로 올바르게 라우팅 할 수 있도록 충분한 추가 정보를 전달할 수 있습니다. 또한 수신 장치가 원래 모니터링 된 트래픽을 추출하고 완전히 복구 할 수 있도록하십시오.
수신 장치는 ERSPAN 패킷을 캡슐화하는 것을 지원하는 또 다른 서버가 될 수 있습니다.
ERSPAN 유형 및 패키지 형식 분석
ERSPAN 패킷은 GRE를 사용하여 캡슐화되고 이더넷을 통해 모든 IP 주소 대상으로 전달됩니다. ERSPAN은 현재 주로 IPv4 네트워크에서 사용되며 IPv6 지원은 향후 요구 사항이 될 것입니다.
ERSAPN의 일반적인 캡슐화 구조의 경우 다음은 ICMP 패킷의 미러 패킷 캡처입니다.
ERSPAN 프로토콜은 오랜 시간에 걸쳐 개발되었으며, 그 기능의 향상으로 "ERSPAN 유형"이라는 여러 버전이 형성되었습니다. 다른 유형마다 프레임 헤더 형식이 다릅니다.
ERSPAN 헤더의 첫 번째 버전 필드에 정의됩니다.
또한 GRE 헤더의 프로토콜 유형 필드는 내부 ERSPAN 유형을 나타냅니다. 프로토콜 유형 필드 0x88be는 ERSPAN 유형 II를 나타내고 0x22EB는 ERSPAN 유형 III을 나타냅니다.
1. I 형
타입 I의 ERSPAN 프레임은 원래 미러 프레임의 헤더 위로 직접 IP와 GRE를 캡슐화합니다. 이 캡슐화는 원래 프레임에 38 바이트를 추가합니다 : 14 (Mac) + 20 (IP) + 4 (GRE). 이 형식의 장점은 컴팩트 한 헤더 크기를 가지며 전송 비용을 줄이는 것입니다. 그러나 GRE 플래그와 버전 필드를 0으로 설정하기 때문에 확장 된 필드를 전달하지 않으며 유형 I은 널리 사용되지 않으므로 더 많은 확장 할 필요가 없습니다.
유형 I의 GRE 헤더 형식은 다음과 같습니다.
2. II 형
II 형에서 GRE 헤더의 C, R, K, S, S, RECUR, 플래그 및 버전 필드는 S 필드를 제외하고 모두 0입니다. 따라서 시퀀스 번호 필드는 유형 II의 GRE 헤더에 표시됩니다. 즉, 유형 II는 GRE 패킷을 수신하는 순서를 보장 할 수 있으므로 네트워크 오류로 인해 많은 수의 주문 외 GRE 패킷을 정렬 할 수 없습니다.
유형 II의 GRE 헤더 형식은 다음과 같습니다.
또한 ERSPAN Type II 프레임 형식은 GRE 헤더와 원래 미러링 된 프레임 사이에 8 바이트 ERSPAN 헤더를 추가합니다.
타입 II의 ERSPAN 헤더 형식은 다음과 같습니다.
마지막으로, 원래 이미지 프레임 바로 뒤에 표준 4 바이트 이더넷 순환 중복성 확인 (CRC) 코드가 있습니다.
구현에서 미러 프레임은 원래 프레임의 FCS 필드를 포함하지 않고 대신 전체 ERSPAN에 따라 새로운 CRC 값이 다시 계산된다는 점에 주목할 가치가 있습니다. 이는 수신 장치가 원래 프레임의 CRC 정확성을 검증 할 수 없으며 부패하지 않은 프레임 만 미러링된다고 가정 할 수 있습니다.
3. 타입 III
타입 III은 네트워크 관리, 침입 탐지, 성능 및 지연 분석 등을 포함하여 점점 더 복잡하고 다양한 네트워크 모니터링 시나리오를 해결하기 위해 더 크고 유연한 복합 헤더를 소개합니다. 이 장면은 미러 프레임의 모든 원래 매개 변수를 알아야하고 원래 프레임 자체에 존재하지 않는 매개 변수를 포함해야합니다.
ERSPAN Type III 복합 헤더에는 필수 12 바이트 헤더와 옵션 8 바이트 플랫폼 별 부산재가 포함되어 있습니다.
타입 III의 ERSPAN 헤더 형식은 다음과 같습니다.
다시, 원래 미러 프레임은 4 바이트 CRC입니다.
유형 III의 헤더 형식에서 볼 수 있듯이, II 형을 기반으로 Ver, VLAN, COS, T 및 세션 ID 필드를 유지하는 것 외에도 다음과 같은 많은 특수 필드가 추가됩니다.
• BSO : ERSPAN을 통해 운반되는 데이터 프레임의 부하 무결성을 나타내는 데 사용됩니다. 00은 좋은 프레임이고 11은 나쁜 프레임, 01은 짧은 프레임, 11은 큰 프레임입니다.
• 타임 스탬프 : 시스템 시간과 동기화 된 하드웨어 클럭에서 내보내기. 이 32 비트 필드는 최소 100 마이크로 초의 타임 스탬프 세분화를 지원합니다.
• 프레임 유형 (P) 및 프레임 유형 (FT) : 전자는 ERSPAN이 이더넷 프로토콜 프레임 (PDU 프레임)을 운반하는지 여부를 지정하는 데 사용되며 후자는 ERSPAN이 ETHERNET 프레임 또는 IP 패킷을 운반하는지 여부를 지정하는 데 사용됩니다.
• HW ID : 시스템 내에서 ERSPAN 엔진의 고유 식별자;
• GRA (타임 스탬프 세분화) : 타임 스탬프의 세분성을 지정합니다. 예를 들어, 00B는 100 마이크로 초 세상도, 01b 100 나노 초 세상도, 10b IEEE 1588 세상도를 나타내며, 11b는 더 높은 세분성을 달성하기 위해 플랫폼 별 하위 헤더를 요구합니다.
• Platf ID vs. 플랫폼 별 정보 : Platf 특정 정보 필드는 Platf ID 값에 따라 다른 형식과 내용을 가지고 있습니다.
위에서 지원되는 다양한 헤더 필드는 일반 트렁크 패키지 및 VLAN ID를 유지하면서 오류 프레임 또는 BPDU 프레임을 미러링하는 일반적인 ERSPAN 응용 프로그램에서 사용될 수 있습니다. 또한 주요 타임 스탬프 정보 및 기타 정보 필드를 미러링 중에 각 ERSPAN 프레임에 추가 할 수 있습니다.
ERSPAN의 자체 기능 헤더를 사용하면 네트워크 트래픽에 대한보다 세련된 분석을 달성 한 다음, 해당 ACL을 ERSPAN 프로세스에 마운트하여 관심있는 네트워크 트래픽과 일치 할 수 있습니다.
ERSPAN은 RDMA 세션 가시성을 구현합니다
RDMA 시나리오에서 RDMA 세션 시각화를 달성하기 위해 ERSPAN 기술을 사용하는 예를 들어 보겠습니다.
RDMA: 원격 직접 메모리 액세스를 사용하면 지능형 네트워크 인터페이스 카드 (INIC) 및 스위치를 사용하여 서버 A의 메모리를 읽고 쓸 수 있으며 높은 대역폭, 낮은 대기 시간 및 낮은 리소스 사용률을 달성하여 서버 B의 메모리를 읽고 쓸 수 있습니다. 빅 데이터 및 고성능 분산 스토리지 시나리오에서 널리 사용됩니다.
ROCEV2: 수렴 된 이더넷 버전 2에 대한 RDMA. RDMA 데이터는 UDP 헤더에 캡슐화됩니다. 대상 포트 번호는 4791입니다.
RDMA의 일일 운영 및 유지 보수에는 일일 수위 기준선과 비정상 경보를 수집하는 데 사용되는 많은 데이터를 수집하고 비정상적인 문제를 찾는 기초가 필요합니다. ERSPAN과 결합하여 대규모 데이터를 빠르게 캡처하여 스위칭 칩의 마이크로 초 전달 품질 데이터 및 프로토콜 상호 작용 상태를 얻을 수 있습니다. 데이터 통계 및 분석을 통해 RDMA 엔드 투 엔드 전달 품질 평가 및 예측을 얻을 수 있습니다.
RDAM 세션 시각화를 달성하려면 트래픽을 반영 할 때 RDMA 상호 작용 세션의 키워드와 일치하는 ERSPAN이 필요하며 전문가 확장 목록을 사용해야합니다.
전문가 수준 확장 목록 일치 필드 정의 :
UDF는 UDF 키워드, 기본 필드, 오프셋 필드, 값 필드 및 마스크 필드의 5 가지 필드로 구성됩니다. 하드웨어 항목의 용량에 의해 제한되면 총 8 개의 UDF를 사용할 수 있습니다. 하나의 UDF는 최대 2 바이트와 일치 할 수 있습니다.
• UDF 키워드 : UDF1 ... UDF8은 UDF 매칭 도메인의 8 가지 키워드를 포함합니다.
• 기본 필드 : UDF 매칭 필드의 시작 위치를 식별합니다. 다음
L4_ 헤더 (RG-S6520-64CQ에 적용 가능)
L5_ 헤더 (RG-S6510-48VS8CQ 용)
• 오프셋 :베이스 필드를 기준으로 오프셋을 나타냅니다. 값은 0에서 126입니다
• 값 필드 : 일치하는 값. 마스크 필드와 함께 사용하여 일치 할 특정 값을 구성 할 수 있습니다. 유효한 비트는 두 바이트입니다
• 마스크 필드 : 마스크, 유효한 비트는 두 바이트입니다
(추가 : 동일한 UDF 일치 필드에서 여러 항목을 사용하는 경우베이스 및 오프셋 필드는 동일해야합니다.)
RDMA 세션 상태와 관련된 두 가지 주요 패킷은 CNP (Congestion Notification Packet) 및 NAK (Negative Accumordgent)입니다.
전자는 스위치에서 전송 된 ECN 메시지를 수신 한 후 (EOUT 버퍼가 임계 값에 도달 할 때) RDMA 수신기에 의해 생성되며, 여기에는 흐름 또는 QP에 대한 정보가 포함되어 있습니다. 후자는 RDMA 전송에 패킷 손실 응답 메시지가 있음을 나타내는 데 사용됩니다.
전문가 수준 확장 목록을 사용 하여이 두 메시지를 일치시키는 방법을 살펴 보겠습니다.
전문가 액세스리스트 확장 RDMA
EQ 4791을 UDP로 허용하십시오UDF 1 L4_Header 8 0x8100 0xff00(RG-S6520-64CQ 일치)
EQ 4791을 UDP로 허용하십시오UDF 1 l5_header 0 0x8100 0xff00(일치하는 RG-S6510-48VS8CQ)
전문가 액세스리스트 확장 RDMA
EQ 4791을 UDP로 허용하십시오UDF 1 L4_Header 8 0x1100 0xff00 UDF 2 L4_Header 20 0x6000 0xff00(RG-S6520-64CQ 일치)
EQ 4791을 UDP로 허용하십시오UDF 1 L5_HEADER 0 0X1100 0XFF00 UDF 2 L5_HEADER 12 0X6000 0XFF00(일치하는 RG-S6510-48VS8CQ)
마지막 단계로, 전문가 확장 목록을 적절한 ERSPAN 프로세스에 장착하여 RDMA 세션을 시각화 할 수 있습니다.
마지막으로 쓰십시오
ERSPAN은 오늘날 점점 더 큰 데이터 센터 네트워크, 점점 더 복잡한 네트워크 트래픽 및 점점 더 정교한 네트워크 운영 및 유지 보수 요구 사항에서 없어서는 안될 도구 중 하나입니다.
O & M 자동화 정도가 증가함에 따라 NetConf, RestConf 및 GRPC와 같은 기술은 Network Automatic O & M의 O & M 학생들에게 인기가 있습니다. GRPC를 거울 트래픽을 다시 전송하기위한 기본 프로토콜로 사용하면 많은 장점이 있습니다. 예를 들어, HTTP/2 프로토콜을 기반으로 동일한 연결 하에서 스트리밍 푸시 메커니즘을 지원할 수 있습니다. Protobuf 인코딩을 사용하면 정보의 크기가 JSON 형식에 비해 절반 정도 감소하여 데이터 전송을보다 빠르고 효율적으로 만듭니다. ERSPAN을 사용하여 관심있는 스트림을 미러링 한 다음 GRPC의 분석 서버로 보내면 네트워크 자동 작동 및 유지 보수의 능력과 효율성을 크게 향상시킬 수 있다고 상상해보십시오.
시간 후 : 5 월 10 일 -2022222222
