网络安全的挑战

    现代网络的病毒和攻击行为泛滥成灾
，其中内网的安全威胁越来越让人忧郁
，多年的统计数据讲了然内网的安全事务在网络所有安全事务中的比例已经高达80%之多
，单独依附防火墙和杀毒软件的传统安整个系已经无法适应现代网络出现的多种安全威胁
，2003年一度肆虐的“冲击波”病毒就是对传统安整个系最大的“冲击”
，让网络的规划者复苏地意识到了作为网络结构基础的互换设备必须在网络安全防护系统中表演越发沉要的角色
。

网络产品的安全防护近况分析

    在互换设备进行病毒和攻击行为的各类安全防护技术中
，ACL职能是主题组成部门
，ACL的机能阐发将对互换设备的安全防护能力起到至关沉要的最直接的影响
，但目前国内表各网络产品对ACL职能的支持能力怎么呢？通过大量的现实使用情况调查分析
，能够大体分为两大类：

第一种
，启用ACL进行病毒和攻击防护以来
，网络设备由于CPU利用率过高
，根基无法正常运行
，频仍产生设备死机景象
，所以网络的病毒攻击防护需要依附其它设备提供
。
 

第二种
，启用ACL进行病毒和攻击防护以来
，网络设备CPU利用率根基没有影响
，但在大型网络环境中
，多个千兆端口大流量进行数据转发时
，数据的转发受到分歧水平的影响
，无法达到线速
。

    国内某电信运营测试部门多年来测试过大量的国内表高端网络产品
，对目前各网络产品的ACL阐发赐与了客观的评价：很少（在测试过的所有产品中甚至没有）网络产品能在大流量数据转发的同时启用ACL职能以来依然维持数据的线速处置能力
，很多设备甚至无法正常工作
。

    这就是目前大部门网络产品的安全防护近况
，大量的互换设备在冲击波等病毒的冲击下无法正常运行
，产品的安全防护能力无法让用户感应中意
。

那作为网络建设中最关注的安全问题
，为何目前大量网络设备的支持如此不梦想呢？
 

1 互换机数据处置模式的发展过程

    作为网络设备中最为沉要的产品
，互换机除了自身的设备治理和和谈节造
，其重要工作能够大体划分为5大类数据处置行为
，即二层数据转发（L2）、三层数据转发（L3）、组播转发和节造、服务质量节造（QOS）、接见节造和安全防护（ACL）
。

    互换机对于L2职能的实现使用硬件方式
，但L3、组播、QOS和ACL的处置方式却经历了一个极度漫长而复杂的发展过程
。在此
，我们对互换机数据处置模式的汗青进行一个简要的回首：

第一阶段：软件式处置阶段

    选取软件通过CPU实现L3/ACL/QOS/组播等职能
，由于CPU机能的限度
，通常只能达到KPPS级此外整机处置能力
。随着启用这些职能端口数的增长和流量的增长
，互换机的机能急剧降落
，该类产品目前早已裁减
。

第二阶段：集中式硬件处置阶段

    由于CPU的机能限度
，后来出现了能够硬件处置L2/L3/ACL/QOS/组播等职能的ASIC芯片
，通过在治理？樵龀SIC芯片进行各类数据的处置
，整机处置机能起头能够达到MPPS的处置级别
。

图1-1 集中式硬件处置

    但由于整机仅在治理？樘峁┑ジ鯝SIC芯片集中处置所有L2/L3/ACL/QOS/组播职能
，随着互换机不休增长用户线卡
，启用L3/ACL/QOS等复杂职能端口数的增长和流量的增长
，整机对数据的处置能力将成比例地降落
。
 

第三阶段：散布式硬件处置阶段

    针对集中式硬件处置模式下整机只有单个ASIC芯片的设计弊端
，后来发展为在每个用户线卡上都建设自己独立的ASIC芯片
，线卡本地能够提供“统一硬件查问表”
，掌管自己线卡所有端口的L2/L3/ACL/QOS/组播等职能实现
，这种设计方式即散布式硬件处置方式
。
散布式硬件处置方式由于每增长一个线卡流量的同时也增长一个ASIC处置芯片
，所以能够极大地提高整机处置能力
，标志取互换机的设计和处置能力达到了一个新的水平
，数据处置能力起头能够超过100MPPS
。散布式硬件处置模式是目前各网络厂商在高端网络产品上普遍选取的设计方式
。

图1-2 散布式硬件处置

    但由于每个线卡所有的数据行为都必要通过本地ASIC芯片的一个“统一硬件查问表”来实现
，相对于线卡来说还是一种集中式处置
。不论ASIC芯片若何急剧地设计
，当多个端口的数据同时达到ASIC芯片以来都必要期待ASIC芯片的“统一硬件查问表”资源调度列队
。当线卡越来越多的端口启用各类复杂职能
，每端口越来越多流量的增长
，整机对数据的处置能力由于“统一硬件查问表”的调度资源限度而将受到肯定影响
。

    以互换产品安全防护能力中最为沉要的ACL职能为例
，散布式硬件处置模式对数据的ACL处置能够细分为两种方式：（因而
，上文提到的业界互换产品对于ACL职能的支持能力也分为两大类）

1. 一次软件
，屡次硬件方式

    对于网络中每个流进行ACL节造时
，第一个数据包都必要CPU进行判断
，而后CPU把判断所必要的有关信息下载到ASIC芯片中的“统一硬件查问表”
，该数据流后续的数据包就使用ASIC硬件直接处置
。所以
，在数据流量复杂
，尤其在病毒和攻击泛滥时（时时阐发为主机发出数据包的主张IP地址无序
，每个数据包都有可能是一个独立的流）
，CPU的利用率极高
，互换设备无法正常运行
。这是目前绝大部门互换产品选取散布式处置模式时对ACL的处置方式
。

2. 纯硬件方式

    每个线卡预先下载ACL节造所必要的有关信息
，数据包进行ACL节造将直接通过“统一硬件查问表”实现
，不必要CPU的过问
，实现效能较高
，但由于每线卡处置依然集中于ASIC芯片的“统一硬件查问表”
，固然在多端口大流量同时启用ACL时不影响CPU
，却对数据处置效能有影响
。

    所以
，我们看到
，目前互换产品普遍选取了先进的散布式处置模式实现数据处置
，但依然无法提供壮大的安全防护能力
。

    面对目前高端产品阐发出来的安全防护能力不及
，若何来解决呢？同步式硬件处置模式——SPOH技术很好地解决了这个问题
。

2 SPOH技术论述

2.1 互换机职能分析

    通过对互换机五大类处置行为L2/L3/ACL/QOS/组播等职能的深刻分析能够发现
，这五大类数据行为能够凭据对端口的依赖水平综合为两大类：

一类是L2/L3/组播等职能

    这些职能提供的是数据在分歧端口之间的转发处置
，数据的处置与有关的多个端口都有关联
，必要同时在分歧端口之间协调好充分的资源能力保障线速的转发
，必要为有关端口提供统一调度处置
。

一类是ACL和QOS等职能

    这些职能提供的是针对单独端口的数据处置行为
，数据的处置与其它端口没有任何干系
。
 

    SPOH的设计理想正是针对两类分歧数据行为对端口依赖性的分歧而各自选取分歧的处置方式来最大限度地提升互换机对安全的防护能力和整机处置能力
。SPOH即synchronization process over hardware
，是“基于硬件的同步式处置技术”的意思
。

2.2 SPOH技术的实现

    针对ACL、QOS等针对单独端口的数据处置行为
，通过为ASIC芯片各端口增长能够独立硬件处置ACL/QOS职能的FFP？椋╢ast filter processor）
，各端口就能够同步地进行这些职能的硬件处置
。（不存在散布式设计时多个端口在ASIC芯片中期待“统一硬件查问表”资源调度列队的问题）
。

    而对于L2/L3/组播等涉及分歧端口之间数据处置的行为则选取与散布式硬件处置一样的处置方式
，即通过存放在线卡ASIC芯片上的“统一硬件查问表”对所有端口进行统一调度处置
，提供数据在分歧端口之间的线速转发
。

图2-1 同步式硬件处置

    从图3能够看出
，SPOH设计是在散布式硬件处置的基础上针对ACL/QOS等针对单独端口的数据行为
，在ASIC芯片各端口通过提供专用的FFP？榻蠥CL/QOS的硬件处置
，最大水平上地达到了整机数据的同步处置
。同时ACL/QOS的硬件处置FFP？橛階SIC芯片的硬件查问表分离
，进一步降低了ACL/QOS处置对整机L2/L3/组播的处置影响
。

    SPOH设计保障了在病毒环境和复杂大数据量环境下
，即便启用了大量的ACL和QOS职能
，CPU阐发恒定
，并且不会影响整机处置机能
，大大提升了产品的安全防护能力
。同时
，在散布式设计模式下由于线卡承担了绝大部门互换机处置工作
，极大地减轻了治理？榈难沽
，从而提高了整机不变性
，而SPOH设计由于把线卡的部门职能又进一步散布到端口而使线卡的数据处置压力也得到了分化
，比散布式设计越发地提高了整机的不变性
。

3 SPOH技术总结

    SPOH技术预防了国内表大量互换设备启用ACL/QOS职能以来引起CPU利用率过高的问题
，有效应酬病毒和攻击行为的影响
。

    SPOH技术由于为端口提供独立的FFP？
，在启用ACL与QoS战术后
，整机处置机能仍能维持在高水平
，有效保峻峭害业务履历
。

    SPOH技术通过把ACL、QOS的处置进一步散布到端口
，减轻了系统和线卡的压力
，进一步提高了系统不变性
。

4 附一：SPOH技术选取的

ASIC芯片结构道理图

图4-1

5 附二：各类互换机处置模式下测试了局列表

    测试前提：每端口启用ACL与QOS职能
，发送端口使用Smartbit设备线速发送每端口满负荷100%数据
，接管端口选取Smartbit设备进行接管
，得出测试数据