cef

CEF（Common Event Format）是一種用于定義網(wǎng)絡(luò)安全事件的標(biāo)準格式，由ArcSight公司開發(fā)，現(xiàn)在已經(jīng)成為行業(yè)標(biāo)準。CEF是一種簡單的文本格式，用于將網(wǎng)絡(luò)安全事件和日志消息標(biāo)準化，以便進行統(tǒng)一的分析和跟蹤。CEF的格式為：CEF：<版本號> | <源設(shè)備> | <產(chǎn)品名稱> | <事件類型> | <可選字段> | <消息>。 CEF的應(yīng)用主要是用于網(wǎng)絡(luò)安全事件的標(biāo)準化，它可以使各種網(wǎng)絡(luò)安全事件在不同的系統(tǒng)中具有一致的格式，從而更容易被分析和跟蹤。CEF可以用于收集、傳輸和存儲網(wǎng)絡(luò)安全事件，并且可以支持多種網(wǎng)絡(luò)安全事件，包括網(wǎng)絡(luò)訪問、身份驗證、計算機病毒、惡意軟件、入侵檢測和其他安全事件。 CEF可以用于安全事件的自動分析，可以收集、傳輸和存儲安全事件，并且可以支持多種網(wǎng)絡(luò)安全事件，這樣可以更好地管理網(wǎng)絡(luò)安全事件，從而提高網(wǎng)絡(luò)安全性。CEF可以支持安全事件的自動化處理，可以根據(jù)安全事件的類型和級別，自動觸發(fā)相應(yīng)的響應(yīng)措施，從而更好地保護網(wǎng)絡(luò)安全。 CEF在通信中的應(yīng)用也很廣泛，可以用于安全事件的自動收集、傳輸和存儲，也可以用于安全事件的自動分析和處理，從而更好地保護網(wǎng)絡(luò)安全。此外，CEF還可以用于網(wǎng)絡(luò)安全事件的管理，可以更好地管理網(wǎng)絡(luò)安全事件，從而提高網(wǎng)絡(luò)安全性。

---


   

   傳統(tǒng)路由器的基本作用是路由計算和包轉(zhuǎn)發(fā)，通�；�于共享存儲器體系結(jié)構(gòu)，采和集中式CPU，即單個ＣＰＵ（或多個ＣＰＵ，聯(lián)結(jié)成路由器簇）控制共享總線，連接到多個接口卡上，接口卡包含簡單的隊列等結(jié)構(gòu)，與ＣＰＵ通信，通過共享總線實現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)。隨著Internet的快速發(fā)展和大量新的服務(wù)需求的不斷出現(xiàn)，對網(wǎng)絡(luò)的路由和交換性能提出了更高的要求，要同時提高包轉(zhuǎn)發(fā)速率和系統(tǒng)的性能，必須對傳統(tǒng)路由器與交換設(shè)備的設(shè)計體系結(jié)構(gòu)進行改進，并加入一些新的設(shè)計方案以完善系統(tǒng)性能。ＣＥＦ（Cisco Express Forwarding,Cisco特快交換）技術(shù)是思科公司推出的一種全新的路由交換方案，它具有良好的交換性能，增強的交換體系結(jié)構(gòu)和極高的包轉(zhuǎn)發(fā)速率。采用ＣＥＦ技術(shù)的ＧＳＲ1200系列千兆交換路由器，在體系結(jié)構(gòu)，路由方式和接口卡性能等方面都有質(zhì)的改變，特別適用于大業(yè)務(wù)量的ＩＳＰ網(wǎng)絡(luò)的核心層，同時也廣泛應(yīng)用于高速企業(yè)網(wǎng)的主干。本文將對ＣＥＦ特快交換技術(shù)作一介紹和分析。

一、路由器交換算法的簡單回顧

1.過程交換

最初的Cisco路由器采用集中式ＣＰＵ包交換，所有的包通過共享總線傳到ＣＰＵ，經(jīng)路由表查找，ＣＲＣ重算，再通過共享總線把包傳到適當(dāng)?shù)木�路卡上。

2.快速交換

到達某特定目的地址的ＩＰ包通常會引起數(shù)據(jù)包流，即假設(shè)交換過到特定目標(biāo)的包之后，另一個很可能不久也會到達。通過構(gòu)建最近交換目標(biāo)的高速緩存，可以減少包在全路由表中查找同一目標(biāo)的次數(shù)，這種“一次路由，然后交換”的方式稱為快速交換，快速交換大大提高了路由器的包轉(zhuǎn)發(fā)速率，因而成為Cisco路由器平臺上缺省的交換機制。但有一點需要注意，ＩＰ路由表的改變必須高速緩存無效，在路由狀況不斷變化的環(huán)境中，路由高速緩存的優(yōu)勢將受到很大限制。

3.自治交換

自治交換的特點是從ＣＰＵ中卸載了一些交換功能。在效果上，將路由高速緩存功能從ＣＰＵ移到輔助交換處理器上，線路卡上的接收包先在交換處理器中完成本地路由高速緩存目標(biāo)的查找，若查找失敗時才中斷ＣＰＵ執(zhí)行路由表查找。在此，Cisco將周期性計算路由的ＣＰＵ改名為路由處理器，把輔助交換處理器改名為交換處理器。Cisco 7000系列的路由器上執(zhí)行自治交換，可使吞吐量等性能進一步提高。

4.分布式交換

隨著ＶＩＰ（Versatile Interface Processor，通用接口處理器）卡引入，路由器的交換體系逐漸向?qū)Φ榷嗵幚砥鹘Y(jié)構(gòu)發(fā)展。每個ＶＩＰ卡都包含ＲＩＳＣ處理器，維護最新的由路由交換處理器產(chǎn)生的快速交換高速緩存的拷貝，并能獨立實現(xiàn)路由交換的功能，高速完成兩種類型的交換－－－本地ＶＩＰ的交換和ＶＩＰ之間的交換。

5.ＣＥＦ特快交換

如前所述，快速交換的高速緩存機制在Internet之類的高速動態(tài)路由選擇環(huán)境（經(jīng)常存在網(wǎng)絡(luò)拓撲變化，路由改變、路由震蕩等）中不能很好地伸縮，路由的改變導(dǎo)致高速緩存無效，而重建高速緩存（即執(zhí)行“過程交換”的過程）在計算上開銷很大；同時，隨著互聯(lián)網(wǎng)及其業(yè)務(wù)的迅猛發(fā)展，基于ＷＥＢ的各種應(yīng)用和交互式業(yè)務(wù)使得通信次數(shù)多而通信時間短的實時數(shù)據(jù)流大量增加，快速交換的高速緩存內(nèi)容處于不斷變化之中，重建高速緩存的負擔(dān)加大，從而導(dǎo)致路由器性能的降低。ＣＥＦ特快交換技術(shù)正是針對上述不足而設(shè)計提出的。

二、ＣＥＦ特快交換基本原理

1.ＣＥＦ部件

ＣＥＦ是一種高級的第三層交換技術(shù)，它主要是為高性能、高伸縮性的第三層ＩＰ骨干網(wǎng)交換設(shè)計的。為優(yōu)化包轉(zhuǎn)發(fā)的路由查找機制，ＣＥＦ定義了兩個主要部件：轉(zhuǎn)發(fā)信息庫（Forwarding Information base）和鄰接表（Adjacency Table）。

轉(zhuǎn)發(fā)信息庫（ＦＩＢ）是路由器決定目標(biāo)交換的查找表，ＦＩＢ的條目與ＩＰ路由表條目之間有一一對應(yīng)的關(guān)系，即ＦＩＢ是ＩＰ路由表中包含的路由信息的一個鏡像。由于ＦＩＢ包含了所有必需的路由信息，因此就不用再維護路由高速緩存了。當(dāng)網(wǎng)絡(luò)拓撲或路由發(fā)生變化時，ＩＰ路由表被更新，ＦＩＢ的內(nèi)容隨之發(fā)生變化。

ＣＥＦ利用鄰接表提供數(shù)據(jù)包的ＭＡＣ層重寫所需的信息。ＦＩＢ中的每一項都指向鄰接表里的某個下一跳中繼段。若相鄰節(jié)點間能通過數(shù)據(jù)鏈路層實現(xiàn)相互轉(zhuǎn)發(fā)，則這些節(jié)點被列入鄰接表中。

系統(tǒng)一旦發(fā)現(xiàn)鄰接關(guān)系，就將其寫到鄰接表中，鄰接序列隨時都在生成，每次生成一個鄰接條目，就會為那個鄰接節(jié)點預(yù)先計算一個鏈路層頭標(biāo)信息，并把這個鏈路層頭標(biāo)信息存儲在鄰接表中，當(dāng)決定路由時，它就指向下一網(wǎng)絡(luò)段及相應(yīng)的鄰接條目。隨后在對數(shù)據(jù)包進行ＣＥＦ交換時，用它來進行封裝。欲查看鄰接表的有關(guān)信息，可以使用Cisco IOS的命令：show adjacency/show adjacency detail。當(dāng)我們查看鄰接表信息時，會發(fā)現(xiàn)有以下兩種主要鄰接類型：Host adjacency和Point to Point。Host adjacency類型通常的顯示是一個ＩＰ地址，它表示鄰接的下一跳ＩＰ地址；Point to Point類型的顯示是“point 2point”，表示這是一條點對點電路。此外還有其他一些特殊類型，如Null adjacency、Glean adjacency等，此外不再贅述。

2.CEF操作模式

ＣＥＦ有兩種模式：集中式和分布式。集中式允許一個路由處理模塊運行特快交換，即ＦＩＢ和鄰接表駐留在路由處理模塊中，當(dāng)線路卡不可用或不具備分散ＣＥＦ交換的功能時，就可使用集中ＣＥＦ交換模式。

分布式（一般記作ｄＣＥＦ）允許路由器的多個線路卡（ＶＩＰ）分別運行特快交換功能，前提是線路是ＶＩＰ線路卡或ＧＳＲ線路卡。中央路由處理器完成系統(tǒng)管理/路由選擇和轉(zhuǎn)發(fā)表計算等功能，并把ＣＥＦ表分布到單個線路卡；每個線路卡維護著一個ＦＩＢ和鄰接表的相同的拷貝。線路卡在端口適配器之間執(zhí)行快速轉(zhuǎn)發(fā)，這樣，交換操作就無需路由交換模塊的參與了。ＤＣＥＦ采用一種“內(nèi)部過程通信”機制來保證路由處理器和接口卡之間ＦＩＢ和鄰接表的同步。

Cisco 12000系列路由器只運行dCEF模式，由線路卡執(zhí)行交換功能。在其它路由器中，可以在同一個路由器中混合使用各種類型的接口卡，如果一個不支持ＣＥＦ的接口卡收到數(shù)據(jù)包后，將把數(shù)據(jù)包轉(zhuǎn)發(fā)到路由處理器來進行處理，或把該數(shù)據(jù)包轉(zhuǎn)發(fā)到下一個網(wǎng)絡(luò)段處理。

ＣＥＦ在路由器上是全局激活的，但可在每個接口（或ＶＩＰ的底板）上啟用/禁用ＣＥＦ；ＣＥＦ和快速交換模式也可同時運行，但不推薦這樣使用，因為會占用大量的系統(tǒng)維護資源。

三、ＣＥＦ與快速交換的比較

與快速交換相似，ＣＥＦ也使用自己建立的數(shù)據(jù)結(jié)構(gòu)（而不是路由表）來執(zhí)行交換操作。快速交換通過生成并查找路由高速緩存交換數(shù)據(jù)包，該路由高速緩存交換數(shù)據(jù)包，該路收高速緩存的條目（包括目的ＩＰ地址，輸出接口，ＭＡＣ地址頭信息等）是在第一個數(shù)據(jù)包到來時，對整個路由表執(zhí)行最長匹配查找算法獲得下一跳ＩＰ地址，然后查找ＡＲＰ緩存獲得第二層的ＭＡＣ地址信息，并寫入路由高速緩存，之后的數(shù)據(jù)包則根據(jù)已經(jīng)生成的高速緩存的條目直接重寫ＭＡＣ頭信息完成交換操作。

ＣＥＦ通過ＦＩＢ和鄰接表對數(shù)據(jù)包進行交換，但ＦＩＢ和鄰接表是在數(shù)據(jù)包到來以前，由ＣＰＵ根據(jù)路由表生成并定時更新的，因此到達路由器的第一個數(shù)據(jù)包也無須執(zhí)行查找路由表的過程，直接由ＦＩＢ和鄰接表獲得新的ＭＡＣ頭信和盧，就可進行交換了，對于擁有大容量路由表的路由器來說，這種預(yù)先建立交換查找條目的方式能夠有效地提高交換性能。

四、基于ＣＥＦ的負載平衡的實現(xiàn)

當(dāng)?shù)竭_某一目的ＩＰ地址存在多條路徑時，每條路徑都有一個反映其代價的metric值，路由協(xié)議通過計算獲得到達目的地址的具有最短metric值的路徑，數(shù)據(jù)包通過該路徑到達目的地址。負載平衡的目的則是要把流量分配到多條路徑中，這樣可優(yōu)化資源的使用。ＣＥＦ特快交換支持兩種類型的負載平衡－－－按目的地配置的負載平衡和按數(shù)據(jù)包配置的負載平衡。

1.按目的地配置負載平衡

基本原理是：對于給定的一對源/目的ＩＰ地下，即使有多個路徑可用，也可保證數(shù)據(jù)包采用同一路徑；通往不同源/目的ＩＰ地址的數(shù)據(jù)流則傾向于采用不同的路徑。通過采用按目的地負載平衡的方法，可以保證對某個源/目的ＩＰ地址對的數(shù)據(jù)包以一定的次序到達。當(dāng)啟用ＣＥＦ時，按目的地配置的負載平衡被默認啟用。

2.按數(shù)據(jù)包配置負載平衡

基本原理是：采用輪轉(zhuǎn)法確定各個數(shù)據(jù)包按哪條路徑到達目的地。這種負載平衡方法可使路由器在路徑上連續(xù)發(fā)送數(shù)據(jù)包，即保證路徑的使用狀況比較好，但針對一個源/目的ＩＰ地址對的數(shù)據(jù)包可能會采用不同的路徑，從而導(dǎo)致目的端對數(shù)據(jù)包的重新排序。這種類型的負載平衡對某些類型的數(shù)據(jù)流傳送不是很合適（如ＶｏＩＰ數(shù)據(jù)流）。當(dāng)然，若在某一源/目的ＩＰ地址對之間有大量的數(shù)據(jù)流，通過并行鏈路傳送，如果按目的地負載平衡方式，將會使某條鏈路負擔(dān)過重，而其他鏈路上的數(shù)據(jù)流很少，此時采用按數(shù)據(jù)包的負載平衡是合理的。

五、小結(jié)

ＣＥＦ是專門為高性能、高伸縮性的ＩＰ骨干網(wǎng)絡(luò)設(shè)計的一種高速交換方式。從上述介紹我們不難看出，在大規(guī)模的動態(tài)ＩＰ網(wǎng)絡(luò)中，ＣＥＦ能夠提供前所未有的交換的一致性和穩(wěn)定性。它能夠有效彌補快速交換的高速緩存條目頻繁失效的缺陷，采用ｄＣＥＦ分布式交換可使每個線路卡進行完全的交換，提供更優(yōu)越的性能；ＣＥＦ比快速交換的路由高速緩存占用內(nèi)存要少，并能提供負載平衡，網(wǎng)絡(luò)記帳等功能。借助ＣＥＦ特快交換技術(shù)和其它一些革命性的創(chuàng)新技術(shù)，Cisco的ＧＳＲ路由器在全球取得了巨大的成功，在中國互聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)中發(fā)揮著極其重要的作用。

附：cisco關(guān)于CEF的介紹

Cisco&＃039;s Express Forwarding (CEF) technology for IP is a scalable, distributed, layer 3 switching solution designed to meet the future performance requirements of the Internet and Enterprise networks. It represents the latest advance in Cisco IOSTM switching capabilities that includes NetFlowTM Switching and Distributed Switching. CEF is also a key component of Cisco&＃039;s Tag Switching architecture.

Express Forwarding evolved to best accommodate the changing network dynamics and traffic characteristics resulting from increasing numbers of short duration flows typically associated with Web-based applications and interactive type sessions. Existing layer 3 switching paradigms use a route-cache model to maintain a fast lookup table for destination network prefixes. The route-cache entries are traffic-driven in that the first packet to a new destination is routed via routing table information and as part of that forwarding operation, a route-cache entry for that destination is then added. This allows subsequent packets flows to that same destination network to be switched based on an efficient route-cache match. These entries are periodically aged out to keep the route cache current and can be immediately invalidated if the network topology changes. This &＃039;demand-caching&＃039; scheme — maintaining a very fast access subset of the routing topology information — is optimized for scenarios whereby the majority of traffic flows are associated with a subset of destinations. However, given that traffic profiles at the core of the Internet (and potentially within some large Enterprise networks) are no longer resembling this model, a new switching paradigm was required that would eliminate the increasing cache maintenance resulting from growing numbers of topologically dispersed destinations and dynamic network changes.

CEF avoids the potential overhead of continuous cache churn by instead using a Forwarding Information Base (FIB) for the destination switching decision which mirrors the entire contents of the IP routing table. i.e. there is a one-to-one correspondence between FIB table entries and routing table prefixes; therefore no need to maintain a route-cache.

This offers significant benefits in terms of performance, scalability, network resilience and functionality, particularly in large complex networks with dynamic traffic patterns.
   



抱歉，此頁面的內(nèi)容受版權(quán)保護，復(fù)制需扣除次數(shù)，次數(shù)不足時需付費購買。

如需下載請點擊：點擊此處下載

關(guān)閉

掃碼付費即可復(fù)制
X

• 更多詳細解釋內(nèi)容
• 在通信搜索中檢索“cef”

• 王曉初：憂慮中國移動申請FDD牌照
• 中移動申請FDD牌照的“陽謀”與“陰謀”
• 中移動申請FDD牌照和13億人利益有啥關(guān)系
• 中國移動申請FDD牌照暗藏玄機：85萬2G基站待時而動
• 中移動申請FDD，工信部會當(dāng)真嗎？
• 中移動申請FDD，工信部會當(dāng)真嗎？
• 更多 cef 相關(guān)討論貼

• PCEF、PCRF與SAEGW的區(qū)別和聯(lián)系。
• PCRF、PCEF、PCC這幾個單元有什么區(qū)別？
• PCEF由哪個網(wǎng)元節(jié)點實現(xiàn)
• 請問什么是PCRF，什么是PCEF？
• 更多 cef 相關(guān)問答

• HMD申請Face Unlock商標(biāo)被拒絕 因該商標(biāo)不夠獨特
• 完整的“eNB-MME-HSS-SGW-PGW-HSGW-PCEF-PCRF”交互“附著-激活-PDN連接過程”
• 更多 cef 相關(guān)技術(shù)資料下載

mbu | 802.11h | 光纖傳感器 | 服務(wù)器托管 | 光柵 | platform | 李開復(fù) | SC-FDE | ICCID | GPRS網(wǎng)絡(luò)接口 | WLAＮ | SACCH/T |