די ERSPAN פאַרגאַנגענהייט און פאָרשטעלן פון Mylinking ™ נעץ וויזאַביליטי

די מערסט פּראָסט געצייַג פֿאַר נעץ מאָניטאָרינג און טראָובלעשאָאָטינג הייַנט איז סוויטש פּאָרט אַנאַליזער (SPAN), אויך באקאנט ווי פּאָרט מירערינג. עס אַלאַוז אונדז צו מאָניטאָר נעץ פאַרקער אין בייפּאַס אויס פון באַנד מאָדע אָן ינטערפירינג מיט באַדינונגס אויף די לעבן נעץ, און סענדז אַ קאָפּיע פון ​​​​די מאָניטאָרעד פאַרקער צו היגע אָדער ווייַט דעוויסעס, אַרייַנגערעכנט Sniffer, IDS אָדער אנדערע טייפּס פון נעץ אַנאַליסיס מכשירים.

עטלעכע טיפּיש ניצט זענען:

• טראָובלעשאָאָט נעץ פּראָבלעמס דורך טראַקינג קאָנטראָל / דאַטן ראָמען;

• אַנאַלייז לייטאַנסי און דזשיטער דורך מאָניטאָרינג וואָיפּ פּאַקיץ;

• אַנאַלייז לייטאַנסי דורך מאָניטאָרינג נעץ ינטעראַקשאַנז;

• דעטעקט אַנאַמאַליז דורך מאָניטאָרינג נעץ פאַרקער.

SPAN פאַרקער קענען זיין לאָוקאַלי שפּיגל צו אנדערע פּאָרץ אויף דער זעלביקער מקור מיטל, אָדער רימאָוטלי מירערד צו אנדערע נעץ דעוויסעס שכייניש צו שיכטע 2 פון די מקור מיטל (RSPAN).

הייַנט מיר וועלן רעדן וועגן ווייַט אינטערנעט פאַרקער מאָניטאָרינג טעכנאָלאָגיע גערופֿן ERSPAN (Encapsulated Remote Switch Port Analyzer) וואָס קענען זיין טראַנסמיטטעד איבער דריי לייַערס פון IP. דאָס איז אַ פאַרלענגערונג פון SPAN צו Encapsulated Remote.

יקערדיק אָפּעראַציע פּרינסאַפּאַלז פון ERSPAN

ערשטער, לאָמיר נעמען אַ קוק אין די פֿעיִקייטן פון ERSPAN:

• א קאָפּיע פון ​​די פּאַקאַט פון די מקור פּאָרט איז געשיקט צו די דעסטיניישאַן סערווער פֿאַר פּאַרסינג דורך גענעריק רוטינג ענקאַפּסולאַטיאָן (GRE). די גשמיות אָרט פון די סערווער איז נישט לימיטעד.

• מיט דער הילף פון די User Defined Field (UDF) שטריך פון די שפּאָן, קיין פאָטאָ פון 1 צו 126 ביטעס איז געפירט אויס באזירט אויף די באַזע פעלד דורך די עקסטענדעד רשימה פון עקספּערט-מדרגה, און די סעסיע טערמינען זענען מאַטשט צו פאַרשטיין די וויזשוואַלאַזיישאַן פון די סעסיע, אַזאַ ווי די TCP דריי-וועג האַנדשייק און RDMA סעסיע;

• סופּפּאָרט באַשטעטיקן מוסטערונג קורס;

• שטיצט פּאַקאַט ינטערסעפּשאַן לענג (פּאַקקעט סלייסינג), רידוסינג די דרוק אויף די ציל סערווער.

מיט די פֿעיִקייטן, איר קענען זען וואָס ERSPAN איז אַ יקערדיק געצייַג פֿאַר מאָניטאָרינג נעטוואָרקס אין דאַטן סענטערס הייַנט.

די הויפּט פאַנגקשאַנז פון ERSPAN קענען זיין סאַמערייזד אין צוויי אַספּעקץ:

• סעסיע וויסיביליטי: ניצן ERSPAN צו זאַמלען אַלע באשאפן נייַ טקפּ און רימאָוט דירעקט זכּרון אַקסעס (רדמאַ) סעשאַנז צו די צוריק-סוף סערווער פֿאַר ווייַז;

• נעץ טראָובלעשאָאָטינג: קאַפּטשערז נעץ פאַרקער פֿאַר שולד אַנאַליסיס ווען אַ נעץ פּראָבלעם אַקערז.

צו טאָן דאָס, די מקור נעץ מיטל דאַרף פילטער אויס די פאַרקער פון אינטערעס צו דער באַניצער פון די מאַסיוו דאַטן טייַך, מאַכן אַ קאָפּיע און ענקאַפּסאַלייט יעדער קאָפּיע ראַם אין אַ ספּעציעל "סופּערפריים קאַנטיינער" וואָס קאַריז גענוג נאָך אינפֿאָרמאַציע אַזוי אַז עס קענען זיין ריכטיק ראַוטיד צו די ריסיווינג מיטל. דערצו, געבן די ריסיווינג מיטל צו עקסטראַקט און גאָר צוריקקריגן דער אָריגינעל מאָניטאָרעד פאַרקער.

די ריסיווינג מיטל קענען זיין אן אנדער סערווער וואָס שטיצט דיקאַפּסאַלייטינג ERSPAN פּאַקיץ.

ענקאַפּסאַלייטינג ERSPAN פּאַקיץ

די ERSPAN טיפּ און פּעקל פֿאָרמאַט אַנאַליסיס

ERSPAN פּאַקיץ זענען ענקאַפּסאַלייטיד ניצן GRE און פאָרווערדיד צו קיין IP אַדרעסאַבאַל דעסטיניישאַן איבער עטהערנעט. ERSPAN איז דערווייַל דער הויפּט געניצט אויף IPv4 נעטוואָרקס, און IPv6 שטיצן וועט זיין אַ פאָדערונג אין דער צוקונפֿט.

פֿאַר די אַלגעמיינע ענקאַפּסולאַטיאָן סטרוקטור פון ERSAPN, די פאלגענדע איז אַ שפּיגל פּאַקאַט כאַפּן פון ICMP פּאַקיץ:

ענקאַפּסולאַטיאָן סטרוקטור פון ERSAPN

דער ERSPAN פּראָטאָקאָל איז דעוועלאָפּעד איבער אַ לאַנג צייט, און מיט די ימפּרוווינג זיין קייפּאַבילאַטיז, עטלעכע ווערסיעס זענען געשאפן, גערופֿן "ERSPAN טייפּס". פאַרשידענע טייפּס האָבן פאַרשידענע ראַם כעדער פֿאָרמאַטירונגען.

עס איז דיפיינד אין דער ערשטער ווערסיע פעלד פון די ERSPAN כעדער:

ERSPAN כעדער ווערסיע

אין אַדישאַן, די פּראָטאָקאָל טיפּ פעלד אין די GRE כעדער אויך ינדיקייץ די ינערלעך ERSPAN טיפּ. די פּראָטאָקאָל טיפּ פעלד 0x88BE ינדיקייץ ERSPAN טיפּ וו, און 0x22EB ינדיקייץ ERSPAN טיפּ III.

1. טיפּ איך

די ERSPAN ראַם פון טיפּ איך ענקאַפּסאַלייץ IP און GRE גלייַך איבער די כעדער פון דער אָריגינעל שפּיגל ראַם. דעם ענקאַפּסולאַטיאָן מוסיף 38 ביטעס איבער דער אָריגינעל ראַם: 14 (MAC) + 20 (IP) + 4 (GRE). די מייַלע פון ​​דעם פֿאָרמאַט איז אַז עס האט אַ סאָליד כעדער גרייס און ראַדוסאַז די טראַנסמיסיע קאָס. אָבער, ווייַל עס שטעלט GRE ​​Flag און ווערסיע פעלדער צו 0, עס טוט נישט פירן קיין עקסטענדעד פעלדער און טיפּ איך איז נישט וויידלי געניצט, אַזוי עס איז ניט דאַרפֿן צו יקספּאַנד מער.

די GRE כעדער פֿאָרמאַט פון טיפּ איך איז ווי גייט:

GRE כעדער פֿאָרמאַט I

2. טיפּ וו

אין טיפּ וו, די C, R, K, S, S, Recur, פלאַגס און ווערסיע פעלדער אין די GRE כעדער זענען אַלע 0 אַחוץ די S פעלד. דעריבער, די סיקוואַנס נומער פעלד איז געוויזן אין די GRE כעדער פון טיפּ וו. דאָס איז, טיפּ וו קענען ענשור די סדר פון ריסיווינג GRE פּאַקיץ, אַזוי אַז אַ גרויס נומער פון אויס-פון-סדר GRE פּאַקיץ קענען נישט זיין אויסגעשטעלט רעכט צו אַ נעץ שולד.

די GRE כעדער פֿאָרמאַט פון טיפּ וו איז ווי גייט:

GRE כעדער פֿאָרמאַט וו

אין אַדישאַן, די ERSPAN טיפּ וו ראַם פֿאָרמאַט מוסיף אַ 8-ביטע ERSPAN כעדער צווישן די GRE כעדער און דער אָריגינעל מירערד ראַם.

די ERSPAN כעדער פֿאָרמאַט פֿאַר טיפּ וו איז ווי גייט:

ERSPAN כעדער פֿאָרמאַט וו

צום סוף, גלייך נאָך דער אָריגינעל בילד ראַם, איז דער נאָרמאַל 4-ביטע עטהערנעט סייקליק יבעריקייַט טשעק (CRC) קאָד.

CRC

עס איז כדאי צו באמערקן אַז אין די ימפּלאַמענטיישאַן, דער שפּיגל ראַם טוט נישט אַנטהאַלטן די FCS פעלד פון דער אָריגינעל ראַם, אַנשטאָט אַ נייַע CRC ווערט איז ריקאַלקיאַלייטיד באזירט אויף די גאנצע ERSPAN. דעם מיטל אַז די ריסיווינג מיטל קענען נישט באַשטעטיקן די CRC קערעקטנאַס פון דער אָריגינעל ראַם, און מיר קענען נאָר יבערנעמען אַז בלויז אַנקאָררופּטיד ראָמען זענען שפּיגל.

3. טיפּ III

טיפּ III ינטראַדוסיז אַ גרעסערע און מער פלעקסאַבאַל קאָמפּאָסיטע כעדער צו אַדרעס ינקריסינגלי קאָמפּליצירט און דייווערס נעץ מאָניטאָרינג סינעריאָוז, אַרייַנגערעכנט אָבער ניט לימיטעד צו נעץ פאַרוואַלטונג, ינטרוזשאַן דיטעקשאַן, פאָרשטעלונג און פאַרהאַלטן אַנאַליסיס, און מער. די סינז דאַרפֿן צו וויסן אַלע די אָריגינעל פּאַראַמעטערס פון דער שפּיגל ראַם און אַרייַננעמען די וואָס זענען נישט פאָרשטעלן אין דער אָריגינעל ראַם זיך.

די ERSPAN טיפּ III קאָמפּאָסיטע כעדער כולל אַ מאַנדאַטאָרי 12-ביטע כעדער און אַ אַפּשאַנאַל 8-ביטע פּלאַטפאָרמע-ספּעציפיש סובהעדער.

די ERSPAN כעדער פֿאָרמאַט פֿאַר טיפּ III איז ווי גייט:

ERSPAN כעדער פֿאָרמאַט III

ווידער, נאָך דער אָריגינעל שפּיגל ראַם איז אַ 4-ביטע קרק.

CRC

ווי איר קענען זען פֿון די כעדער פֿאָרמאַט פון טיפּ III, אין אַדישאַן צו האַלטן די פעלד פון Ver, VLAN, COS, T און Session ID אויף די יקער פון טיפּ וו, פילע ספּעציעל פעלדער זענען צוגעגעבן, אַזאַ ווי:

• BSO: געניצט צו אָנווייַזן די מאַסע אָרנטלעכקייַט פון דאַטן ראָמען געפירט דורך ERSPAN. 00 איז אַ גוט ראַם, 11 איז אַ שלעכט ראַם, 01 איז אַ קורץ ראַם, 11 איז אַ גרויס ראַם;

• טימעסטאַמפּ: יקספּאָרטאַד פון די ייַזנוואַרג זייגער סינגקראַנייזד מיט די סיסטעם צייַט. דעם 32-ביסל פעלד שטיצט בייַ מינדסטער 100 מיקראָסעקאָנדס פון טימעסטאַמפּ גראַנולאַריטי;

• ראַם טיפּ (פּ) און ראַם טיפּ (פט): די ערשטע איז געניצט צו ספּעציפיצירן צי ERSPAN קאַריז עטהערנעט פּראָטאָקאָל ראָמען (פּדו ראָמען), און די יענער איז געניצט צו ספּעציפיצירן צי ERSPAN קאַריז עטהערנעט ראָמען אָדער IP פּאַקיץ.

• HW ID: יינציק ידענטיפיער פון די ERSPAN מאָטאָר אין די סיסטעם;

• גראַ (טיימסטאַמפּ גראַנולאַריטי): ספּעציפיצירט די גראַנולאַריטי פון די טיימסטאַמפּ. פֿאַר בייַשפּיל, 00B רעפּראַזענץ 100 מיקראָסעקאָנד גראַנולאַריטי, 01B 100 נאַנאָסעקאָנד גראַנולאַריטי, 10B IEEE 1588 גראַנולאַריטי, און 11B ריקווייערז פּלאַטפאָרמע-ספּעציפיש סאַב-כעדערס צו דערגרייכן העכער גראַנולאַריטי.

• פּלאַטף שייַן ווס פּלאַטפאָרם ספּעציפיש אינפֿאָרמאַציע: פּלאַטף ספּעציפיש אינפֿאָרמאַציע פעלדער האָבן פאַרשידענע פֿאָרמאַטירונגען און אינהאַלט דיפּענדינג אויף די פּלאַטף שייַן ווערט.

פּאָרט שייַן אינדעקס

עס זאָל זיין באמערקט אַז די פאַרשידן כעדער פעלדער געשטיצט אויבן קענען זיין געוויינט אין רעגולער ERSPAN אַפּלאַקיישאַנז, אפילו מירערינג טעות ראָמען אָדער BPDU ראָמען, בשעת איר האַלטן די אָריגינעל Trunk פּעקל און VLAN ID. אין אַדישאַן, שליסל טימעסטאַמפּ אינפֿאָרמאַציע און אנדערע אינפֿאָרמאַציע פעלדער קענען זיין מוסיף צו יעדער ERSPAN ראַם בעשאַס מירערינג.

מיט ERSPAN ס אייגענע פונקציע כעדערז, מיר קענען דערגרייכן אַ מער ראַפינירט אַנאַליסיס פון נעץ פאַרקער, און דאַן פשוט אָנקלאַפּן די קאָראַספּאַנדינג אַקל אין די ERSPAN פּראָצעס צו גלייַכן די נעץ פאַרקער וואָס מיר זענען אינטערעסירט אין.

ERSPAN ימפּלאַמאַנץ RDMA סעסיע וויזאַביליטי

לאָמיר נעמען אַ ביישפּיל פון ניצן ERSPAN טעכנאָלאָגיע צו דערגרייכן RDMA סעסיע וויזשוואַלאַזיישאַן אין אַ RDMA סצענאַר:

RDMA: רימאָוט דירעקט זכּרון אַקסעס ינייבאַלז די נעץ אַדאַפּטער פון סערווער א צו לייענען און שרייַבן די זכּרון פון סערווער ב דורך ניצן ינטעליגענט נעץ צובינד קאַרדס (יניקס) און סוויטשיז, דערגרייכן הויך באַנדווידט, נידעריק לייטאַנסי און נידעריק מיטל יוטאַלאַזיישאַן. עס איז וויידלי געניצט אין גרויס דאַטן און הויך-פאָרשטעלונג דיסטריביוטיד סטאָרידזש סינעריאָוז.

RoCEv2: רדמאַ איבער קאָנווערדזשד עטהערנעט ווערסיע 2. די רדמאַ דאַטן זענען ענקאַפּסאַלייטיד אין די ודפּ כעדער. די דעסטיניישאַן פּאָרט נומער איז 4791.

טעגלעך אָפּעראַציע און וישאַלט פון RDMA ריקווייערז קאַלעקטינג אַ פּלאַץ פון דאַטן, וואָס איז גענוצט צו זאַמלען טעגלעך וואַסער מדרגה רעפֿערענץ שורות און אַבנאָרמאַל אַלאַרמס, ווי געזונט ווי די יקער פֿאַר לאָוקייטינג אַבנאָרמאַל פּראָבלעמס. קאַמביינד מיט ERSPAN, מאַסיוו דאַטן קענען זיין קאַפּטשערד געשווינד צו קריגן מיקראָסעקאָנד פאָרווערדינג קוואַליטעט דאַטן און פּראָטאָקאָל ינטעראַקשאַן סטאַטוס פון סוויטשינג שפּאָן. דורך דאַטן סטאַטיסטיק און אַנאַליסיס, RDMA סוף-צו-סוף פאָרווערדינג קוואַליטעט אַסעסמאַנט און פּראָגנאָז קענען זיין באקומען.

צו דערגרייכן RDAM סעסיע וויזשוואַלאַזיישאַן, מיר דאַרפֿן ERSPAN צו גלייַכן טערמינען פֿאַר RDMA ינטעראַקשאַן סעשאַנז ווען מירערינג פאַרקער, און מיר דאַרפֿן צו נוצן די עקספּערט עקסטענדעד רשימה.

עקספּערט-מדרגה עקסטענדעד רשימה וואָס ריכטן פעלד דעפֿיניציע:

די UDF באשטייט פון פינף פעלדער: UDF קיווערד, באַזע פעלד, פאָטאָ פעלד, ווערט פעלד און מאַסקע פעלד. לימיטעד דורך די קאַפּאַציטעט פון ייַזנוואַרג איינסן, אַ גאַנץ פון אַכט UDFs קענען זיין געוויינט. איין UDF קענען גלייַכן אַ מאַקסימום פון צוויי ביטעס.

• UDF קיווערד: UDF1 ... UDF8 כּולל אַכט טערמינען פון די UDF וואָס ריכטן פעלד

• באַזע פעלד: יידענאַפייד די אָנהייב שטעלע פון ​​די UDF וואָס ריכטן פעלד. די פאלגענדע

L4_header (אָנווענדלעך צו RG-S6520-64CQ)

L5_header (פֿאַר RG-S6510-48VS8Cq)

• אָפסעט: ינדיקייץ די פאָטאָ באזירט אויף די באַזע פעלד. די ווערט ריינדזשאַז פון 0 צו 126

• ווערט פעלד: וואָס ריכטן ווערט. עס קענען זיין געוויינט צוזאַמען מיט די מאַסקע פעלד צו קאַנפיגיער די ספּעציפיש ווערט צו זיין מאַטשט. די גילטיק ביסל איז צוויי ביטעס

• מאַסקע פעלד: מאַסקע, גילטיק ביסל איז צוויי ביטעס

(לייג: אויב קייפל איינסן זענען געניצט אין דער זעלביקער UDF וואָס ריכטן פעלד, די באַזע און פאָטאָ פעלדער מוזן זיין די זעלבע.)

די צוויי שליסל פּאַקיץ פֿאַרבונדן מיט RDMA סעסיע סטאַטוס זענען קאַנדזשעסטשאַן אָנזאָג פּאַקאַט (CNP) און נעגאַטיוו אַקנאַלידזשמאַנט (NAK):

די ערשטע איז דזשענערייטאַד דורך די RDMA ופנעמער נאָך באקומען די ECN אָנזאָג געשיקט דורך די באַשטימען (ווען די eout Buffer ריטשאַז די שוועל), וואָס כּולל אינפֿאָרמאַציע וועגן די לויפן אָדער QP קאָזינג קאַנדזשעסטשאַן. די יענער איז געניצט צו אָנווייַזן אַז די RDMA טראַנסמיסיע האט אַ ענטפער אָנזאָג פון פּאַקאַט אָנווער.

זאל ס קוק ווי צו גלייַכן די צוויי אַרטיקלען ניצן די עקסטענדעד רשימה פון עקספּערט-מדרגה:

RDMA CNP

עקספּערט אַקסעס-רשימה עקסטענדעד רדמאַ

דערלויבן UDP קיין קיין קיין יקוו 4791udf 1 l4_header 8 0x8100 0xFF00(מאַטטשינג RG-S6520-64CQ)

דערלויבן UDP קיין קיין קיין יקוו 4791udf 1 l5_header 0 0x8100 0xFF00(וואָס ריכטן זיך RG-S6510-48VS8CQ)

RDMA CNP 2

עקספּערט אַקסעס-רשימה עקסטענדעד רדמאַ

דערלויבן UDP קיין קיין קיין יקוו 4791udf 1 l4_header 8 0x1100 0xFF00 udf 2 l4_header 20 0x6000 0xFF00(וואָס ריכטן זיך RG-S6520-64CQ)

דערלויבן UDP קיין קיין קיין יקוו 4791udf 1 l5_header 0 0x1100 0xFF00 udf 2 l5_header 12 0x6000 0xFF00(וואָס ריכטן זיך RG-S6510-48VS8CQ)

ווי אַ לעצט שריט, איר קענען וויזשוואַלייז די RDMA סעסיע דורך מאַונטינג די עקספּערט פאַרלענגערונג רשימה אין די צונעמען ERSPAN פּראָצעס.

שרייב אין די לעצטע

ERSPAN איז איינער פון די ינדיספּענסאַבאַל מכשירים אין הייַנט ס ינקריסינגלי גרויס דאַטן צענטער נעטוואָרקס, ינקריסינגלי קאָמפּלעקס נעץ פאַרקער און ינקריסינגלי סאַפיסטאַקייטיד נעץ אָפּעראַציע און וישאַלט רעקווירעמענץ.

מיט די ינקריסינג גראַד פון O&M אָטאַמיישאַן, טעקנאַלאַדזשיז אַזאַ ווי Netconf, RESTconf און gRPC זענען פאָלקס צווישן O&M סטודענטן אין נעץ אָטאַמאַטיק אָ&M. ניצן gRPC ווי די אַנדערלייינג פּראָטאָקאָל פֿאַר שיקן צוריק שפּיגל פאַרקער אויך האט פילע אַדוואַנטידזשיז. פֿאַר בייַשפּיל, באזירט אויף הטטפּ / 2 פּראָטאָקאָל, עס קענען שטיצן די סטרימינג שטופּ מעקאַניזאַם אונטער דער זעלביקער קשר. מיט ProtoBuf קאָדירונג, די גרייס פון אינפֿאָרמאַציע איז רידוסט מיט האַלב קאַמפּערד מיט JSON פֿאָרמאַט, וואָס מאכט דאַטן טראַנסמיסיע פאַסטער און מער עפעקטיוו. ימאַדזשאַן, אויב איר נוצן ERSPAN צו שפּיגל אינטערעסירט סטרימז און שיקן זיי צו די אַנאַליסיס סערווער אויף גרפּק, וועט דאָס זייער פֿאַרבעסערן די פיייקייט און עפעקטיווקייַט פון נעץ אָטאַמאַטיק אָפּעראַציע און וישאַלט?


פּאָסטן צייט: מאי 10-2022