Gaur egun sareak monitorizatzeko eta arazoak konpontzeko tresnarik ohikoena Switch Port Analyzer (SPAN) da, Port mirroring izenez ere ezaguna. Sarearen trafikoa bandaz kanpoko moduan monitorizatzeko aukera ematen digu, sareko zerbitzuetan eragin gabe, eta monitorizatutako trafikoaren kopia bat bidaltzen die tokiko edo urruneko gailuei, besteak beste, Sniffer, IDS edo bestelako sare-analisi tresnak.
Erabilera tipiko batzuk hauek dira:
• Sareko arazoak konpontzea kontrol/datu markoak jarraituz;
• VoIP paketeak monitorizatuz latentzia eta dardara aztertu;
• Sarearen elkarrekintzak monitorizatuz latentzia aztertu;
• Sareko trafikoa monitorizatuz anomaliak detektatu.
SPAN trafikoa lokalki islatu daiteke iturburu-gailu bereko beste portu batzuetara, edo urrunetik islatu daiteke iturburu-gailuaren (RSPAN) 2. geruzaren ondoan dauden beste sare-gailu batzuetara.
Gaur, ERSPAN (Encapsulated Remote Switch Port Analyzer) izeneko urruneko Interneteko trafikoaren monitorizazio-teknologiari buruz hitz egingo dugu, IParen hiru geruzatan zehar transmititu daitekeena. Hau SPAN-en Encapsulated Remote-rako luzapena da.
ERSPANen oinarrizko funtzionamendu printzipioak
Lehenik eta behin, ikus ditzagun ERSPANen ezaugarriak:
• Jatorrizko atakatik datorren paketearen kopia bat helmugako zerbitzarira bidaltzen da Generic Routing Encapsulation (GRE) bidez analizatzeko. Zerbitzariaren kokapen fisikoa ez dago mugatuta.
• Txiparen Erabiltzaileak Definitutako Eremuaren (UDF) funtzioaren laguntzarekin, 1etik 126 byterako edozein desplazamendu oinarrizko domeinuan oinarrituta egiten da, aditu mailako zerrenda zabalduaren bidez, eta saioko gako-hitzak bat datoz saioaren bistaratzea gauzatzeko, hala nola TCP hiru norabideko esku-ematea eta RDMA saioa;
• Laginketa-tasa ezartzeko laguntza;
• Paketeen atzematearen luzera (Packet Slicing) onartzen du, helburuko zerbitzariaren gaineko presioa murriztuz.
Ezaugarri hauekin, ikus dezakezu zergatik den ERSPAN tresna ezinbestekoa gaur egun datu-zentroen barruko sareak monitorizatzeko.
ERSPANen funtzio nagusiak bi alderditan laburbil daitezke:
• Saioaren ikusgarritasuna: Erabili ERSPAN sortutako TCP eta Urruneko Memoria Sarbide Zuzeneko (RDMA) saio berri guztiak atzeko zerbitzarian bistaratzeko;
• Sareko arazoak konpontzea: Sarearen arazo bat gertatzen denean, sareko trafikoa jasotzen du akatsak aztertzeko.
Horretarako, iturburu-sareko gailuak erabiltzailearentzat interesgarria den trafikoa datu-jario masibotik iragazi behar du, kopia bat egin eta kopia-fotograma bakoitza "superfotograma-edukiontzi" berezi batean kapsulatu behar du, informazio gehigarri nahikoa duena hartzaile-gailura behar bezala bideratu ahal izateko. Gainera, hartzaile-gailuari jatorrizko monitorizatutako trafikoa atera eta guztiz berreskuratzeko aukera eman behar dio.
Hartzeko gailua ERSPAN paketeak deskapsulatzea onartzen duen beste zerbitzari bat izan daiteke.
ERSPAN mota eta pakete formatuaren azterketa
ERSPAN paketeak GRE erabiliz kapsulatzen dira eta Ethernet bidez edozein IP helbidera birbidaltzen dira. ERSPAN gaur egun batez ere IPv4 sareetan erabiltzen da, eta IPv6 euskarria derrigorrezkoa izango da etorkizunean.
ERSAPNren kapsulazio-egitura orokorrari dagokionez, honako hau da ICMP paketeen ispilu-paketeen harrapaketa bat:
ERSPAN protokoloa denbora luzez garatu da, eta bere gaitasunak hobetzearekin batera, hainbat bertsio sortu dira, "ERSPAN motak" izenekoak. Mota ezberdinek marko-buru formatu desberdinak dituzte.
ERSPAN goiburuko lehenengo Bertsio eremuan definituta dago:
Horrez gain, GRE goiburuko Protokolo Mota eremuak barneko ERSPAN Mota ere adierazten du. 0x88BE Protokolo Mota eremuak ERSPAN II Mota adierazten du, eta 0x22EB ERSPAN III Mota.
1. I. mota
I motako ERSPAN markoak IP eta GRE kapsulatzen ditu zuzenean jatorrizko ispilu-markoaren goiburuaren gainean. Kapsulazio honek 38 byte gehitzen dizkio jatorrizko markoari: 14 (MAC) + 20 (IP) + 4 (GRE). Formatu honen abantaila da goiburuaren tamaina trinkoa duela eta transmisio-kostua murrizten duela. Hala ere, GRE bandera eta bertsio eremuak 0ra ezartzen dituenez, ez du eremu zabaldurik eramaten eta I mota ez da oso erabilia, beraz, ez dago gehiago zabaltzeko beharrik.
I. motako GRE goiburuaren formatua honako hau da:
2. II. mota
II. motan, GRE goiburuko C, R, K, S, S, Errepikapena, Banderak eta Bertsioa eremu guztiak 0 dira, S eremua izan ezik. Beraz, Sekuentzia Zenbakia eremua II. motako GRE goiburuan bistaratzen da. Hau da, II. motak GRE paketeak jasotzeko ordena berma dezake, ordenatik kanpo dauden GRE pakete kopuru handia ezin dadin ordenatu sareko akats baten ondorioz.
II motako GRE goiburuaren formatua honako hau da:
Horrez gain, ERSPAN II motako marko formatuak 8 byteko ERSPAN goiburu bat gehitzen du GRE goiburuaren eta jatorrizko ispiludun markoaren artean.
II motako ERSPAN goiburuaren formatua honako hau da:
Azkenik, jatorrizko irudi-fotogramaren ondoren, 4 byteko Ethernet zikliko erredundantzia-egiaztapen (CRC) kode estandarra dago.
Aipatzekoa da inplementazioan ispilu-markoak ez duela jatorrizko markoaren FCS eremua, horren ordez CRC balio berri bat berriro kalkulatzen dela ERSPAN osoan oinarrituta. Horrek esan nahi du hartzaileak ezin duela jatorrizko markoaren CRC zuzentasuna egiaztatu, eta hondatu gabeko markoak bakarrik islatzen direla suposa dezakegula.
3. III. mota
III. motak goiburu konposatu handiago eta malguagoa aurkezten du gero eta konplexuagoak eta anitzak diren sareko monitorizazio-eszenatokiei aurre egiteko, besteak beste, sarearen kudeaketa, intrusioen detekzioa, errendimenduaren eta atzerapenen analisia eta gehiago. Eszena hauek ispilu-markoaren jatorrizko parametro guztiak ezagutu behar dituzte, eta jatorrizko markoan bertan ez daudenak barne hartu.
ERSPAN III motako goiburu konposatuak 12 byteko goiburu derrigorrezkoa eta plataforma bakoitzerako 8 byteko azpigoiburu aukerakoa ditu.
III motako ERSPAN goiburuaren formatua honako hau da:
Berriz ere, jatorrizko ispilu-markoaren ondoren 4 byteko CRC bat dago.
III. motako goiburuaren formatuan ikus daitekeen bezala, II. motako Ver, VLAN, COS, T eta Saioaren ID eremuak mantentzeaz gain, eremu berezi asko gehitzen dira, hala nola:
• BSO: ERSPANen bidez garraiatutako datu-marken karga-osotasuna adierazteko erabiltzen da. 00 marko ona da, 11 marko txarra, 01 marko laburra eta 11 marko handia;
• Denbora-zigilua: sistemaren orduarekin sinkronizatutako hardware-erlojutik esportatua. 32 biteko eremu honek gutxienez 100 mikrosegundoko Denbora-zigiluaren granularitatea onartzen du;
• Marko Mota (P) eta Marko Mota (FT): lehenengoa ERSPANek Ethernet protokoloko markoak (PDU markoak) eramaten dituen zehazteko erabiltzen da, eta bigarrena ERSPANek Ethernet markoak edo IP paketeak eramaten dituen zehazteko.
• HW ID: ERSPAN motorraren identifikatzaile bakarra sistemaren barruan;
• Gra (Denbora-zigiluaren Granularitatea): Denbora-zigiluaren Granularitatea zehazten du. Adibidez, 00B-k 100 mikrosegundoko Granularitatea adierazten du, 01B-k 100 nanosegundoko Granularitatea, 10B-k IEEE 1588 Granularitatea eta 11B-k plataforma espezifikoen azpi-goiburuak behar ditu Granularitate handiagoa lortzeko.
• Plataformaren IDa vs. Plataformaren informazio espezifikoa: Plataformaren informazio espezifikoen eremuek formatu eta eduki desberdinak dituzte Plataformaren IDaren balioaren arabera.
Kontuan izan behar da goian onartutako goiburu-eremu desberdinak ERSPAN aplikazio arruntetan erabil daitezkeela, errore-markak edo BPDU markoak islatuz ere, jatorrizko Trunk paketea eta VLAN IDa mantenduz. Horrez gain, denbora-zigiluaren informazioa eta bestelako informazio-eremuak gehi daitezke ERSPAN marko bakoitzari islatzean zehar.
ERSPANen funtzio-buruekin, sareko trafikoaren analisi finduagoa lor dezakegu, eta ondoren dagokion ACLa ERSPAN prozesuan muntatu, interesatzen zaigun sareko trafikoarekin bat etor dadin.
ERSPANek RDMA saioaren ikusgarritasuna ezartzen du
Ikus dezagun ERSPAN teknologia erabiltzearen adibide bat RDMA eszenatoki batean RDMA saioaren bistaratzea lortzeko:
RDMAUrruneko Memoria Sarbide Zuzenak A zerbitzariaren sare-egokitzaileari B zerbitzariaren memoria irakurri eta idazteko aukera ematen dio sare-interfaze txartel adimendunak (inic) eta etengailuak erabiliz, banda-zabalera handia, latentzia baxua eta baliabideen erabilera baxua lortuz. Oso erabilia da datu handietan eta errendimendu handiko biltegiratze banatuko eszenatokietan.
RoCEv2RDMA Ethernet konbergentearen 2. bertsioa. RDMA datuak UDP goiburuan kapsulatuta daude. Helmugako ataka zenbakia 4791 da.
RDMAren eguneroko funtzionamenduak eta mantentze-lanak datu asko biltzea eskatzen du, eta datu horiek eguneroko ur-mailaren erreferentzia-lerroak eta alarma anormalak biltzeko erabiltzen dira, baita arazo anormalak kokatzeko oinarria ere. ERSPANekin konbinatuta, datu masiboak azkar jaso daitezke mikrosegundoetan birbidaltze-kalitatearen datuak eta kommutazio-txiparen protokoloaren interakzio-egoera lortzeko. Datuen estatistiken eta analisien bidez, RDMAren muturretik muturrerako birbidaltze-kalitatearen ebaluazioa eta iragarpena lor daitezke.
RDAM saioaren bistaratzea lortzeko, ERSPANek RDMA interakzio saioetarako gako-hitzak bat etortzea behar dugu trafikoa islatzean, eta adituen zerrenda zabaldua erabili behar dugu.
Aditu mailako zerrenda hedatu baten parekatze-eremuaren definizioa:
UDFak bost eremu ditu: UDF gako-hitza, oinarrizko eremua, desplazamendu eremua, balio eremua eta maskara eremua. Hardware sarreren edukierak mugatuta, zortzi UDF erabil daitezke guztira. UDF batek gehienez bi byte bat etor ditzake.
• UDF gako-hitza: UDF1... UDF8 UDF bat datorren domeinuko zortzi gako-hitz ditu
• Oinarrizko eremua: UDF bat etortze-eremuaren hasierako posizioa identifikatzen du. Honako hau
L4_goiburua (RG-S6520-64CQ-ri aplikagarria)
L5_goiburua (RG-S6510-48VS8Cq-rako)
• Desplazamendua: oinarrizko eremuan oinarritutako desplazamendua adierazten du. Balioa 0tik 126ra bitartekoa da.
• Balio eremua: bat datorren balioa. Maskara eremuarekin batera erabil daiteke bat etorriko den balio espezifikoa konfiguratzeko. Bit balioduna bi byte da.
• Maskara eremua: maskara, baliozko bit-a bi byte da
(Gehitu: UDF bat etortze-eremu berean sarrera anitz erabiltzen badira, oinarri- eta desplazamendu-eremuak berdinak izan behar dira.)
RDMA saioaren egoerarekin lotutako bi pakete nagusiak hauek dira: Congestion Notification Packet (CNP) eta Negative Acknowledgment (NAK):
Lehenengoa RDMA hartzaileak sortzen du etengailuak bidalitako ECN mezua jaso ondoren (eout Bufferra atalase batera iristen denean), eta bertan pilaketak eragiten dituen fluxuari edo QP-ri buruzko informazioa dago. Bigarrena RDMA transmisioak pakete-galera erantzun-mezu bat duela adierazteko erabiltzen da.
Ikus dezagun nola lotu bi mezu hauek aditu mailako zerrenda zabaldua erabiliz:
adituen sarbide-zerrenda luzatua rdma
baimendu udp edozein edozein edozein edozein ekuazioa 4791udf 1 l4_goiburua 8 0x8100 0xFF00(RG-S6520-64CQ bat datorrena)
baimendu udp edozein edozein edozein edozein ekuazioa 4791udf 1 l5_goiburua 0 0x8100 0xFF00(RG-S6510-48VS8CQ bat datorrena)
adituen sarbide-zerrenda luzatua rdma
baimendu udp edozein edozein edozein edozein ekuazioa 4791udf 1 l4_goiburua 8 0x1100 0xFF00 udf 2 l4_goiburua 20 0x6000 0xFF00(RG-S6520-64CQ bat datorrena)
baimendu udp edozein edozein edozein edozein ekuazioa 4791udf 1 l5_goiburua 0 0x1100 0xFF00 udf 2 l5_goiburua 12 0x6000 0xFF00(RG-S6510-48VS8CQ bat datorrena)
Azken urrats gisa, RDMA saioa bistaratu dezakezu adituen luzapenen zerrenda ERSPAN prozesu egokian muntatuz.
Idatzi azkenengoan.
ERSPAN ezinbesteko tresna bat da gaur egungo datu-zentro sare gero eta handiagoetan, sare-trafiko gero eta konplexuagoetan eta sarearen funtzionamendu eta mantentze-lan gero eta sofistikatuagoetan.
O&M automatizazio maila gero eta handiagoa denez, Netconf, RESTconf eta gRPC bezalako teknologiak oso ezagunak dira sareko O&M automatikoan O&M ikasleen artean. gRPC ispilu trafikoa itzultzeko oinarrizko protokolo gisa erabiltzeak abantaila asko ere baditu. Adibidez, HTTP/2 protokoloan oinarrituta, streaming push mekanismoa onar dezake konexio beraren pean. ProtoBuf kodeketarekin, informazioaren tamaina erdira murrizten da JSON formatuarekin alderatuta, datuen transmisioa azkarragoa eta eraginkorragoa bihurtuz. Imajinatu, ERSPAN erabiltzen baduzu interesa duten jarioak islatzeko eta gero gRPC-ko analisi zerbitzarira bidaltzeko, asko hobetuko al da sarearen funtzionamendu eta mantentze automatikoaren gaitasuna eta eraginkortasuna?
Argitaratze data: 2022ko maiatzaren 10a
