同步式硬件处理—SPOH技术白皮书V1.0

网络安全的挑战

    现代网络的病毒和攻击行为泛滥成灾，其中内网的安全威胁越来越让人担忧，多年的统计数据表明了内网的安全事件在网络所有安全事件中的比例已经高达80%之多，单独依靠防火墙和杀毒软件的传统安全体系已经无法适应现代网络出现的多种安全威胁，2003年一度肆虐的“冲击波”病毒就是对传统安全体系最大的“冲击”，让网络的规划者清醒地认识到了作为网络结构基础的交换设备必须在网络安全防护体系中扮演更加重要的角色。

网络产品的安全防护现状分析

    在交换设备进行病毒和攻击行为的各种安全防护技术中，ACL功能是核心组成部分，ACL的性能表现将对交换设备的安全防护能力起到至关重要的最直接的影响，但目前国内外各网络产品对ACL功能的支持能力怎样呢？通过大量的实际使用情况调查分析，可以大致分为两大类：

第一种，启用ACL进行病毒和攻击防护以后，网络设备由于CPU利用率过高，基本无法正常运行，频繁发生设备死机现象，所以网络的病毒攻击防护需求依靠其它设备提供。
 

第二种，启用ACL进行病毒和攻击防护以后，网络设备CPU利用率基本没有影响，但在大型网络环境中，多个千兆端口大流量进行数据转发时，数据的转发受到不同程度的影响，无法达到线速。

    国内某电信运营测试部门多年来测试过大量的国内外高端网络产品，对目前各网络产品的ACL表现给予了客观的评价：很少（在测试过的所有产品中甚至没有）网络产品能在大流量数据转发的同时启用ACL功能以后依然保持数据的线速处理能力，许多设备甚至无法正常工作。

    这就是目前决大部分网络产品的安全防护现状，大量的交换设备在冲击波等病毒的冲击下无法正常运行，产品的安全防护能力无法让用户感到满意。

那作为网络建设中最关注的安全问题，为何目前大量网络设备的支持如此不理想呢？
 

1 交换机数据处理模式的发展历程

    作为网络设备中最为重要的产品，交换机除了自身的设备管理和协议控制，其主要任务可以大致划分为5大类数据处理行为，即二层数据转发（L2）、三层数据转发（L3）、组播转发和控制、服务质量控制（QOS）、访问控制和安全防护（ACL）。

    交换机对于L2功能的实现使用硬件方式，但L3、组播、QOS和ACL的处理方式却经历了一个非常漫长而复杂的发展历程。在此，我们对交换机数据处理模式的历史进行一个简要的回顾：

第一阶段：软件式处理阶段

    采用软件通过CPU实现L3/ACL/QOS/组播等功能，由于CPU性能的限制，一般只能达到KPPS级别的整机处理能力。随着启用这些功能端口数的增加和流量的增加，交换机的性能急剧下降，该类产品目前早已淘汰。

第二阶段：集中式硬件处理阶段

    由于CPU的性能限制，后来出现了可以硬件处理L2/L3/ACL/QOS/组播等功能的ASIC芯片，通过在管理模块增加ASIC芯片进行各种数据的处理，整机处理性能开始可以达到MPPS的处理级别。

图1-1 集中式硬件处理

    但由于整机仅在管理模块提供单个ASIC芯片集中处理所有L2/L3/ACL/QOS/组播功能，随着交换机不断增加用户线卡，启用L3/ACL/QOS等复杂功能端口数的增加和流量的增加，整机对数据的处理能力将成比例地下降。
 

第三阶段：分布式硬件处理阶段

    针对集中式硬件处理模式下整机只有单个ASIC芯片的设计缺点，后来发展为在每个用户线卡上都配备自己独立的ASIC芯片，线卡当地可以提供“统一硬件查询表”，负责自己线卡所有端口的L2/L3/ACL/QOS/组播等功能实现，这种设计方式即分布式硬件处理方式。
分布式硬件处理方式由于每增加一个线卡流量的同时也增加一个ASIC处理芯片，所以可以极大地提高整机处理能力，标志着交换机的设计和处理能力达到了一个新的水平，数据处理能力开始可以超过100MPPS。分布式硬件处理模式是目前各网络厂商在高端网络产品上普遍采用的设计方式。

图1-2 分布式硬件处理

    但由于每个线卡所有的数据行为都需要通过当地ASIC芯片的一个“统一硬件查询表”来实现，相对于线卡来说还是一种集中式处理。不论ASIC芯片如何快速地设计，当多个端口的数据同时到达ASIC芯片以后都需要等待ASIC芯片的“统一硬件查询表”资源调度排队。当线卡越来越多的端口启用各种复杂功能，每端口越来越多流量的增加，整机对数据的处理能力由于“统一硬件查询表”的调度资源限制而将受到一定影响。

    以交换产品安全防护能力中最为重要的ACL功能为例，分布式硬件处理模式对数据的ACL处理可以细分为两种方式：（因此，上文提到的业界交换产品对于ACL功能的支持能力也分为两大类）

1. 一次软件，多次硬件方式

    对于网络中每个流进行ACL控制时，第一个数据包都需要CPU进行判断，然后CPU把判断所需要的相关信息下载到ASIC芯片中的“统一硬件查询表”，该数据流后续的数据包就使用ASIC硬件直接处理。所以，在数据流量复杂，尤其在病毒和攻击泛滥时（经常表现为主机发出数据包的目的IP地址无序，每个数据包都有可能是一个独立的流），CPU的利用率极高，交换设备无法正常运行。这是目前绝大部分交换产品采用分布式处理模式时对ACL的处理方式。

2. 纯硬件方式

    每个线卡预先下载ACL控制所需要的相关信息，数据包进行ACL控制将直接通过“统一硬件查询表”实现，不需要CPU的干预，实现效率较高，但由于每线卡处理依然集中于ASIC芯片的“统一硬件查询表”，虽然在多端口大流量同时启用ACL时不影响CPU，却对数据处理效率有影响。

    所以，我们看到，目前交换产品普遍采用了先进的分布式处理模式实现数据处理，但依然无法提供强大的安全防护能力。

    面对目前高端产品表现出来的安全防护能力不足，如何来解决呢？同步式硬件处理模式——SPOH技术很好地解决了这个问题。

2 SPOH技术阐述

2.1 交换机功能分析

    通过对交换机五大类处理行为L2/L3/ACL/QOS/组播等功能的深入分析可以发现，这五大类数据行为可以根据对端口的依赖程度规结为两大类：

一类是L2/L3/组播等功能

    这些功能提供的是数据在不同端口之间的转发处理，数据的处理与相关的多个端口都有关联，需要同时在不同端口之间协调好充分的资源才能保证线速的转发，需要为相关端口提供统一调度处理。

一类是ACL和QOS等功能

    这些功能提供的是针对单独端口的数据处理行为，数据的处理与其它端口没有任何关系。
 

    SPOH的设计理念正是针对两类不同数据行为对端口依赖性的不同而各自采用不同的处理方式来最大限度地提升交换机对安全的防护能力和整机处理能力。SPOH即synchronization process over hardware，是“基于硬件的同步式处理技术”的意思。

2.2 SPOH技术的实现

    针对ACL、QOS等针对单独端口的数据处理行为，通过为ASIC芯片各端口增加可以独立硬件处理ACL/QOS功能的FFP模块（fast filter processor），各端口就可以同步地进行这些功能的硬件处理。（不存在分布式设计时多个端口在ASIC芯片中等待“统一硬件查询表”资源调度排队的问题）。

    而对于L2/L3/组播等涉及不同端口之间数据处理的行为则采用与分布式硬件处理一样的处理方式，即通过存放在线卡ASIC芯片上的“统一硬件查询表”对所有端口进行统一调度处理，提供数据在不同端口之间的线速转发。

图2-1 同步式硬件处理

    从图3可以看出，SPOH设计是在分布式硬件处理的基础上针对ACL/QOS等针对单独端口的数据行为，在ASIC芯片各端口通过提供专用的FFP模块进行ACL/QOS的硬件处理，最大程度上地达到了整机数据的同步处理。同时ACL/QOS的硬件处理FFP模块与ASIC芯片的硬件查询表分离，进一步降低了ACL/QOS处理对整机L2/L3/组播的处理影响。

    SPOH设计保证了在病毒环境和复杂大数据量环境下，即使启用了大量的ACL和QOS功能，CPU表现恒定，并且不会影响整机处理性能，大大提升了产品的安全防护能力。同时，在分布式设计模式下由于线卡承担了绝大部分交换机处理任务，极大地减轻了管理模块的压力，从而提高了整机稳定性，而SPOH设计由于把线卡的部分功能又进一步分布到端口而使线卡的数据处理压力也得到了分解，比分布式设计更加地提高了整机的稳定性。

3 SPOH技术总结

    SPOH技术避免了国内外大量交换设备启用ACL/QOS功能以后引起CPU利用率过高的问题，轻松应付病毒和攻击行为的影响。

    SPOH技术由于为端口提供独立的FFP模块，保证了交换设备在启用ACL、QOS功能以后依然保持整机线速的处理能力。

    SPOH技术通过把ACL、QOS的处理进一步分布到端口，减轻了系统和线卡的压力，进一步提高了系统稳定性。

4 附一：SPOH技术采用的

ASIC芯片结构原理图

图4-1

5 附二：各种交换机处理模式下测试结果列表

    测试条件：每端口启用ACL与QOS功能，发送端口使用Smartbit设备线速发送每端口满负荷100%数据，接收端口采用Smartbit设备进行接收，得出测试数据