网络清静的挑战

    现代网络的病毒和攻击行为漫溢成灾，其中内网的清静威胁越来越让人担心，多年的统计数据批注晰内网的清静事务在网络所有清静事务中的比例已经高达80%之多，单独依赖防火墙和杀毒软件的古板清静系统已经无法顺应现代网络泛起的多种清静威胁，2003年一度肆虐的“攻击波”病毒就是对古板清静系统最大的“攻击”，让网络的妄想者苏醒地熟悉到了作为网络结构基础的交流装备必需在网络清静防护系统中饰演越发主要的角色。

网络产品的清静防护现状剖析

    在交流装备举行病毒和攻击行为的种种清静防护手艺中，ACL功效是焦点组成部分，ACL的性能体现将对交流装备的清静防护能力起到至关主要的最直接的影响，但现在海内外各网络产品对ACL功效的支持能力怎样呢？通过大宗的现实使用情形视察剖析，可以大致分为两大类：

第一种，启用ACL举行病毒和攻击防护以后，网络装备由于CPU使用率过高，基本无法正常运行，频仍爆发装备死机征象，以是网络的病毒攻击防护需求依赖其它装备提供。
 

第二种，启用ACL举行病毒和攻击防护以后，网络装备CPU使用率基本没有影响，但在大型网络情形中，多个千兆端口大流量举行数据转发时，数据的转发受到差别水平的影响，无法抵达线速。

    海内某电信运营测试部分多年来测试过大宗的海内外高端网络产品，对现在各网络产品的ACL体现给予了客观的评价：很少（在测试过的所有产品中甚至没有）网络产品能在大流量数据转发的同时启用ACL功效以后依然坚持数据的线速处置惩罚能力，许多装备甚至无法正常事情。

    这就是现在决大部分网络产品的清静防护现状，大宗的交流装备在攻击波等病毒的攻击下无法正常运行，产品的清静防护能力无法让用户感应知足。

那作为网络建设中最关注的清静问题，为何现在大宗网络装备的支持云云不睬想呢？
 

1 交流机数据处置惩罚模式的生长历程

    作为网络装备中最为主要的产品，交流机除了自身的装备治理和协议控制，其主要使命可以大致划分为5大类数据处置惩罚行为，即二层数据转发（L2）、三层数据转发（L3）、组播转发和控制、效劳质量控制（QOS）、会见控制和清静防护（ACL）。

    交流机关于L2功效的实现使用硬件方法，但L3、组播、QOS和ACL的处置惩罚方法却履历了一个很是漫长而重大的生长历程。在此，我们对交流机数据处置惩罚模式的历史举行一个简要的回首：

第一阶段：软件式处置惩罚阶段

    接纳软件通过CPU实现L3/ACL/QOS/组播等功效，由于CPU性能的限制，一样平常只能抵达KPPS级别的整机处置惩罚能力。随着启用这些功效端口数的增添和流量的增添，交流机的性能急剧下降，该类产品现在早已镌汰。

第二阶段：集中式硬件处置惩罚阶段

    由于CPU的性能限制，厥后泛起了可以硬件处置惩罚L2/L3/ACL/QOS/组播等功效的ASIC芯片，通过在治理？樵鎏鞟SIC芯片举行种种数据的处置惩罚，整机处置惩罚性能最先可以抵达MPPS的处置惩罚级别。

图1-1 集中式硬件处置惩罚

    但由于整机仅在治理？樘峁┑ジ鯝SIC芯片集中处置惩罚所有L2/L3/ACL/QOS/组播功效，随着交流机一直增添用户线卡，启用L3/ACL/QOS等重大功效端口数的增添和流量的增添，整机对数据的处置惩罚能力将成比例地下降。
 

第三阶段：漫衍式硬件处置惩罚阶段

    针对集中式硬件处置惩罚模式下整机只有单个ASIC芯片的设计弱点，厥后生长为在每个用户线卡上都配备自己自力的ASIC芯片，线卡外地可以提供“统一硬件盘问表”，认真自己线卡所有端口的L2/L3/ACL/QOS/组播等功效实现，这种设计方法即漫衍式硬件处置惩罚方法。
漫衍式硬件处置惩罚方法由于每增添一个线卡流量的同时也增添一个ASIC处置惩罚芯片，以是可以极大地提高整机处置惩罚能力，标记着交流机的设计和处置惩罚能力抵达了一个新的水平，数据处置惩罚能力最先可以凌驾100MPPS。漫衍式硬件处置惩罚模式是现在各网络厂商在高端网络产品上普遍接纳的设计方法。

图1-2 漫衍式硬件处置惩罚

    但由于每个线卡所有的数据行为都需要通过外地ASIC芯片的一个“统一硬件盘问表”来实现，相关于线卡来说照旧一种集中式处置惩罚。岂论ASIC芯片怎样快速地设计，当多个端口的数据同时抵达ASIC芯片以后都需要期待ASIC芯片的“统一硬件盘问表”资源调理排队。当线卡越来越多的端口启用种种重大功效，每端口越来越多流量的增添，整机对数据的处置惩罚能力由于“统一硬件盘问表”的调理资源限制而将受到一定影响。

    以交流产品清静防护能力中最为主要的ACL功效为例，漫衍式硬件处置惩罚模式对数据的ACL处置惩罚可以细分为两种方法：（因此，上文提到的业界交流产品关于ACL功效的支持能力也分为两大类）

1. 一次软件，多次硬件方法

    关于网络中每个流举行ACL控制时，第一个数据包都需要CPU举行判断，然后CPU把判断所需要的相关信息下载到ASIC芯片中的“统一硬件盘问表”，该数据流后续的数据包就使用ASIC硬件直接处置惩罚。以是，在数据流量重大，尤其在病毒和攻击漫溢时（经常体现为主机发出数据包的目的IP地点无序，每个数据包都有可能是一个自力的流），CPU的使用率极高，交流装备无法正常运行。这是现在绝大部分交流产品接纳漫衍式处置惩罚模式时对ACL的处置惩罚方法。

2. 纯硬件方法

    每个线卡预先下载ACL控制所需要的相关信息，数据包举行ACL控制将直接通过“统一硬件盘问表”实现，不需要CPU的干预，实现效率较高，但由于每线卡处置惩罚依然集中于ASIC芯片的“统一硬件盘问表”，虽然在多端口大流量同时启用ACL时不影响CPU，却对数据处置惩罚效率有影响。

    以是，我们看到，现在交流产品普遍接纳了先进的漫衍式处置惩罚模式实现数据处置惩罚，但依然无法提供强盛的清静防护能力。

    面临现在高端产品体现出来的清静防护能力缺乏，怎样来解决呢？同步式硬件处置惩罚模式——SPOH手艺很好地解决了这个问题。

2 SPOH手艺叙述

2.1 交流机功效剖析

    通过对交流机五大类处置惩罚行为L2/L3/ACL/QOS/组播等功效的深入剖析可以发明，这五大类数据行为可以凭证对端口的依赖水平规结为两大类：

一类是L2/L3/组播等功效

    这些功效提供的是数据在差别端口之间的转发处置惩罚，数据的处置惩罚与相关的多个端口都有关联，需要同时在差别端口之间协调好充分的资源才华包管线速的转发，需要为相关端口提供统一调理处置惩罚。

一类是ACL和QOS等功效

    这些功效提供的是针对单独端口的数据处置惩罚行为，数据的处置惩罚与其它端口没有任何关系。
 

    SPOH的设计理念正是针对两类差别数据行为对端口依赖性的差别而各自接纳差别的处置惩罚方法来最大限度地提升交流机对清静的防护能力和整机处置惩罚能力。SPOH即synchronization process over hardware，是“基于硬件的同步式处置惩罚手艺”的意思。

2.2 SPOH手艺的实现

    针对ACL、QOS等针对单独端口的数据处置惩罚行为，通过为ASIC芯片各端口增添可以自力硬件处置惩罚ACL/QOS功效的FFP？椋╢ast filter processor），各端口就可以同步地举行这些功效的硬件处置惩罚。（不保存漫衍式设计时多个端口在ASIC芯片中期待“统一硬件盘问表”资源调理排队的问题）。

    而关于L2/L3/组播等涉及差别端口之间数据处置惩罚的行为则接纳与漫衍式硬件处置惩罚一样的处置惩罚方法，即通过存放在线卡ASIC芯片上的“统一硬件盘问表”对所有端口举行统一调理处置惩罚，提供数据在差别端口之间的线速转发。

图2-1 同步式硬件处置惩罚

    从图3可以看出，SPOH设计是在漫衍式硬件处置惩罚的基础上针对ACL/QOS等针对单独端口的数据行为，在ASIC芯片各端口通过提供专用的FFP？榫傩蠥CL/QOS的硬件处置惩罚，最洪流平上地抵达了整机数据的同步处置惩罚。同时ACL/QOS的硬件处置惩罚FFP？橛階SIC芯片的硬件盘问表疏散，进一步降低了ACL/QOS处置惩罚对整机L2/L3/组播的处置惩罚影响。

    SPOH设计包管了在病毒情形和重大大数据量情形下，纵然启用了大宗的ACL和QOS功效，CPU体现恒定，并且不会影响整机处置惩罚性能，大大提升了产品的清静防护能力。同时，在漫衍式设计模式下由于线卡肩负了绝大部分交流机处置惩罚使命，极大地减轻了治理？榈难沽，从而提高了整机稳固性，而SPOH设计由于把线卡的部分功效又进一步漫衍到端口而使线卡的数据处置惩罚压力也获得了剖析，比漫衍式设计越发地提高了整机的稳固性。

3 SPOH手艺总结

    SPOH手艺阻止了海内外大宗交流装备启用ACL/QOS功效以后引起CPU使用率过高的问题，轻松应付病毒和攻击行为的影响。

    SPOH手艺由于为端口提供自力的FFP？，包管了交流装备在启用ACL、QOS功效以后依然坚持整机线速的处置惩罚能力。

    SPOH手艺通过把ACL、QOS的处置惩罚进一步漫衍到端口，减轻了系统和线卡的压力，进一步提高了系统稳固性。

4 附一：SPOH手艺接纳的

ASIC芯片结构原理图

图4-1

5 附二：种种交流机处置惩罚模式下测试效果列表

    测试条件：每端口启用ACL与QOS功效，发送端口使用Smartbit装备线速发送每端口满负荷100%数据，吸收端口接纳Smartbit装备举行吸收，得出测试数据