交换机之ERSPAN【转】

最新推荐文章于 2024-07-08 16:49:07 发布
最新推荐文章于 2024-07-08 16:49:07 发布
阅读量1.9k 收藏 8
点赞数 1
分类专栏: 数据中心/硬件 文章标签: 服务器
原文链接:https://www.ruijie.com.cn/jszl/61499/
版权

目录

ERSPAN介绍

时下常用的网络监控和排错工具非SPAN(Switch Port Analyzer)莫属了,SPAN也通常被称作端口镜像。它可以让我们以旁路的方式来监控网络流量,不会对现网的业务造成干扰,同时将监控流量的副本发送到本地或远端的设备上。
SPAN可以在本地操作,将流量镜像到同一个源设备的其他端口(local SPAN)。
也可以远程镜像到其他与源设备二层相邻的网络设备上(RSPAN: remote span)
今天我们来聊一聊可以跨三层IP传输的远程网络流量监控技术——ERSPAN(Encapsulated Remote Switch Port Analyzer),即在SPAN的基础上扩展了encapsulated remote的特性。

原理

首先,我们来看一下ERSPAN的特性:

  • GRE封装
    将源端口报文复制一份通过GRE(Generic Routing Encapsulation)封装发送到目的服务器进行解析,采集服务器的物理位置不受限制
  • 过滤:base + offset偏移过滤指定字段
    借助芯片的UDF(User Defined Field)特性,通过专家级扩展列表基于Base域进行1~126字节的任意偏移,对会话关键字进行匹配实现会话的可视化,例如针对TCP三次握手、RDMA会话的可视
  • 采样比例
    支持设置采样率
  • 报文截取
    支持报文截取长度,降低目标服务器压力。

在这里插入图片描述

ERSPAN的封装格式

ERSPAN的报文基于GRE封装,并通过以太网转发到任何IP路由可达的地方。当前ERSPAN主要应用在IPv4网络,未来对IPv6的支持也会是一个刚需。

下面是一个ICMP报文的镜像抓包:
在这里插入图片描述

ERSPAN types

ERSPAN协议经过长期发展,随着能力的增强形成多个版本,称为"ERSPAN Types”,不同Type具有不同的帧头部格式。
在ERSPAN头部的第一个Version字段里有作定义:
在这里插入图片描述
另外在GRE头部中的Protocol Type字段也有指明内部的ERSPAN类型,Protocol Type字段值为0x88BE表示是ERSPAN Type II;
0x22EB 表示是ERSPAN Type III。

type 1

Type I的ERSPAN帧直接将IP+GRE封装在原始镜像帧头部之上,这种封装方式在原始帧之上增加了38字节:14(MAC) + 20 (IP) + 4(GRE)。

这种格式的优势在于其头部尺寸紧凑,减少传输过程的开支,但因为其将 GRE Flag和Version字段全部设置为0,即不携带任何拓展字段,也导致Type I并没有大规模应用
在这里插入图片描述

type 2

在Type II中,GRE头部中的C, R, K, S,s, Recur, Flags, Version字段,除了S字段为1,其余字段皆为0,所以Sequence Number字段会出现在Type II的GRE头部中。

有seq num 即意味着Type II可以确保接收GRE报文的次序,不会出现因为网络故障,导致收到一堆无序的GRE报文之后无法排序的情况。
在这里插入图片描述
注:
另外,ERSPAN Type II的帧格式还增加了8字节的ERSPAN头部在GRE头部和原始镜像帧之间。
在这里插入图片描述

值得注意的是,在实现中,镜像帧并没有包含原始帧的FCS字段,作为替代的是基于整个ERSPAN重新计算的新CRC值。这意味着接收设备无法检验原始帧的CRC正确性,我们只能假设仅仅是未损坏的帧被镜像了。

type 3

Type III引入了一个更大、更灵活的复合报头,以满足日益复杂和多样化的网络监控场景,包含且不限于网络管理、入侵检测、性能和延迟分析等。这些场景需要知道镜像帧的所有原始参数,并包括那些不存在于原始帧本身的内容。

ERSPAN Type III复合报头包括一个强制的12字节头部和一个可选的8字节平台特定子头部;如下所示:
在这里插入图片描述
从Type III的头部格式中可以看到,除了在Type II的基础上保留了Ver、VLAN、COS、T、Session ID字段之外,还新增了很多特有的字段,如

  • BSO
    用来表示通过ERSPAN承载的数据帧的负载完整性,00是没问题的帧、11是有问题的帧、01是短帧、11是超大帧;

  • Timestamp
    从与系统时间同步的硬件时钟里面导出,这32比特的字段至少支持100微秒的时间戳粒度

  • P与FT(Frame Type)
    前者用来指明ERSPAN承载的是以太网协议帧(PDU帧),后者用来指明是以太网帧还是IP包

  • HW ID
    在系统内ERSPAN引擎的唯一标识符;

  • Gra (Timestamp Granularity)
    用来定义时间戳的颗粒度,如00b代表100微秒粒度,01b代表100纳秒粒度,10b代表IEEE 1588粒度,11b则需要结合平台特定子头部来实现更高精的粒度;

此外,在镜像帧的过程中,也可以在每个ERSPAN帧中添加关键时间戳信息以及其他信息字段。
通过ERSPAN自身的各种特征头部,我们可以实现更为精细化的网络流量分析,接下来只需要在ERSPAN进程中挂载相应的ACL,来匹配我们感兴趣的网络流量即可。

拓展

在数据中心网络规模日益庞大,网络流量日益复杂,而对网络运维要求日益精细的今天,ERSPAN是必不可少的工具之一。

随着运维自动化程度越来越高,Netconf、RESTconf、gRPC等技术在网络自动化运维中受到广大运维同学的欢迎,利用gRPC来作为镜像流量回传的底层协议也具有诸多优势。如:基于HTTP/2协议,可以支持同一连接下串流推送机制;使用ProtoBuf编码,比JSON格式的信息大小降低了一半,可以使数据传输更加快捷和高效。试想一下,如果利用ERSPAN对感兴趣流镜像之后,再利用gRPC上送到分析服务器,是不是就会极大提高网络自动化运维的能力和效率呢。

参考



https://www.ruijie.com.cn/jszl/61499/
legend050709ComeON
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
流量可视化ERSPAN协议简介.pdf
05-28
ERSPAN主要的作用借助ERSPAN把新建TCP、RDMA(Remote Direct Memory Access)等的所有会话都采集到后端服务器进行展示;当出现网络问题时,去抓取网络流量做故障分析。
SPAN, RSPAN, ERSPAN
weixin_30405421的博客
08-06 1571
该文档摘自:Home>CCIE Routing and Switching Study Group>Discussions 由Deben于 2015-2-6 上午6:50 创建,最后由Deben于 2015-2-6 上午9:51 修改。 SPAN, RSPAN, ERSPAN Switch port Analyzer (SPAN) is a...
LAN switching technologIes(SPAN,RSPAN,ERSPAN)
openlab网工之路
02-19 798
使用流量镜像(SPAN): 本地流量镜像,主要是对于流量的提取与分析,拷贝流量到PC 使用流量镜像(RSPAN): remote SPAN远程流量镜像,跨越二层网络 SW1: vlan 100 用于remote SPAN传输 name SPAM-VLAN remote-span monitor session 1 source interface f0/7 monitor session ...
SPAN&RSPAN&ERSPAN简介
huaxia520sun的专栏
11-06 2万+
SPAN     用户可以利用端口镜像(SPAN)提供的功能,将指定端口的报文复制到交换机上另一个连接有网络监测设备的端口,进行网络监控与故障排除。    SPAN并不影响源端口和目的端口的报文交换,只是将所有进入和从源端口输出的报文原样复制了一份到目的端口。但是在镜像流量超过目的端口带宽的情况下,例如100Mbps目的端口监控1000Mbps源端口的流量,可能导致报文被丢弃   RS
HUAWEI-镜像
weixin_42899191的博客
09-11 466
在华为交换机中,镜像使用的是ERSPAN(Encapsulated Remote Switched Port Analyzer)协议。 RSPAN协议 ERSPAN协议是一种远程端口镜像技术,类似于RSPAN协议,它允许将源交换机上的特定端口的流量复制到目标交换机上的监控端口,以便进行网络流量分析、故障排除和安全监控等操作。 通过配置ERSPAN协议,管理员可以实时监控和分析华为交换机上的流量,...
SPAN配置
凯歌响起的博客
08-06 1304
SPAN是一种高效,高性能的流量监控系统,它在横向交换时将网络流量复制到一个或者多个监控接口,SPAN用于解决连接问题,计算网络利用率和性能等
SPAN/RSPAN/ERSPAN
技术永不眠 Q:53195017
07-31 7777
在构建交换园区网的时候,我们经常用一些抓包工具对数据包进行分析,进行入侵检测.本文以Catalyst 3550/3750/4000(native IOS)/6500(native IOS)为例,从理论到配置,讲述如果实现这一功能.如有不足或错误之处,欢迎读者指正与交流.      交换端口分析:      交换式端口分析器(SPAN)分析经过某个本地端口或VLAN的流量信息.SPAN发送一
交换机在江湖之维护宝典合集pdf_V3.0.zip
04-25
第四章玩盒式交换机指灯 第五章玩框式交换机指示灯 第六章玩盒式交机插卡 第七章玩Poe供电 轻松处理故障 第八章轻松处理单板无法注册问题的那几招 第九章轻松处理ping不通的那几招 第十章轻松处理Eth-Trunk...
Cisco交换机之Catalyst 3750G交换机端口限速的实例
10-01
主要为大家介绍了Cisco交换机中Catalyst3750G交换机端口限速的过程,在3750核心交换机的g1/0/41端口的入方向上,对进来的流量(从1.1.1.1到2.2.2.2的指定IP Conversation)实施20M带宽限制的方法,需要的朋友可以参考...
华为enspCE交换机镜像包
12-02
华为ENSP(Enterprise Network Simulation Platform)是华为推出的一款强大的网络仿真平台,主要用于模拟和测试华为的网络设备,包括路由器、交换机等。在本压缩包“华为enspCE交换机镜像包”中,主要包含的是华为CE...
pyton telnet自动备份交换机配置
06-24
使用python编写的自动备份交换机配置的程序,单文件直接运行即可,目前只支持telnet方式连接交换机,支持华为、华三、锐捷交换机,通过tftp方式自动备份配置 管理信息表格为[管理信息.csv],和本程序放在同一个目录 ...
交换机配置之物理连接
03-04
交换机的本地配置方式是通过计算机与交换机的“Console”端口直接连接的方式进行通信的,可进行网络管理的交换机上一般都有一个“Console”端口 它是专门用于对交换机进行配置和管理的。不同类型的交换机Console...
cisco 3548x 低延时交换机erspan获取ns时间戳
yangpengaas的博客
10-22 1788
cisco 3548x 低延时交换机erspan获取ns时间戳背景设备Cisco Nexus 3548-X 交换机功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 背景 项目中需要测试网卡进出口数据的延时情况,要求ns级别 设备C
内核IP隧道的FallBack设备与隧道
redwingz的博客
12-16 2247
基于内核IP TUNNEL体系的隧道,在初始化时默认创建一个FallBack设备及相应的FallBack隧道。例如GRE类隧道、IPIP和VTI隧道。 GRE IPv4模块加载之后,默认创建三个设备,分别为gre0、gretap0和erspan0,IPIP隧道默认创建tunl0名字的设备,VTI隧道创建的默认设备名为ip_vti0。这些设备为隧道的FallBack设备。每种类型的FB设备每个网络命...
第二节 Fanout路由交换机:订阅发布模式
大宇的博客,欢迎访问
04-23 904
一、基本模型 P代表生产者,就是发消息的一方。 X代表的是路由器交换机,它负责接收发送者发送的消息并将消息发到订阅它的所有队列上。 红色部分是队列。它如果对某个交换机感兴趣的话,那么就可以把自己绑定到这个交换机上,专业术语叫绑定。 交换机X在收到任何消息后,都会直接将消息分发给订阅它的队列。这相当于发布...
CISCO Catalyst 6500交换机配置ERSPAN造成CPU高的问题以及解决办法
blakegao的专栏
04-25 2869
软硬件平台 硬件平台: Catalyst 6500 系列交换机 当前,支持ERSPAN的硬件为Supervisor 720 配置 PFC3 (其中PFC3A需要硬件版本号为3.2或以上)。 硬件平台: Catalyst 6500 系列交换机 问题描述 和传统的SPAN一样,ERSPAN能够将SPAN源接口的流量复制到目的接口上,但是ERSPAN更吸引人的地方在于,
br-lan、eth0、eth1及lo
热门推荐
u013485792的专栏
03-21 3万+
如果你的设备含有不少于1个的LAN接口,那这个设备在不同的接口之间可能有一个被称为交换(switch)的特殊连接。大多数的内部构造如下图所示: br-lan=lan网桥 eth0=lan接口(注意 是路由上的LAN RJ45口) eth1=wan接口(注解同上) wlan0=无线端口 eth0 eth0是一块物理网卡。eth0.1 eth0.2都是从
GRE隧道封装协议及内核处理解析
redwingz的博客
10-22 2万+
Generic Routing Encapsulation (GRE)通用路由封装协议,基于IP网络层协议封装以太网报文,可用于在IPSec VPN网络间传输多播路由信息报文,或者在PPTP协议中,承载PPP数据报文。其在数据帧中的位置如下: |-------------------|----------------|----------------------|-----------...
【nginx】一般nginx会和目标服务部署在同一台服务器上?
最新发布
qq_39666711的博客
07-08 192
Nginx与目标服务是否部署在同一台服务器上并没有固定的答案。你需要根据项目的实际需求、资源限制以及安全要求来做出最合适的选择。在实际应用中,很多项目会采用混合部署策略,即根据服务的不同特性和需求来灵活选择部署位置。
ensp交换机查看发表
10-11
要查看交换机发表,你可以使用以下命令: 1. 对于华为交换机: - 进入特权模式:enable - 进入全局配置模式:configure terminal - 查看发表:display mac-address table 2. 对于思科交换机: - 进入特权模式:enable - 进入全局配置模式:configure terminal - 查看发表:show mac address-table

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值