解密MCP-CPU “三級(jí)CPU保護(hù)”技術(shù)

    隨著數(shù)據(jù)流量的快速增長(zhǎng)，推動(dòng)交換機(jī)虛擬化技術(shù)的快速普及、交換機(jī)端口密度的提升和成本的下降，常見的以太網(wǎng)網(wǎng)絡(luò)組網(wǎng)架構(gòu)也隨著逐步發(fā)生變化，其中最明顯的就是大家非常熟悉的三層物理組網(wǎng)架構(gòu)逐步轉(zhuǎn)變?yōu)槎�層扁平化架�?gòu)。由于此模式下終端網(wǎng)關(guān)多直接部署在核心交換機(jī)上，雖然帶來網(wǎng)絡(luò)架構(gòu)彈性強(qiáng)、運(yùn)行效率高等特點(diǎn)，但同時(shí)也引入了核心交換機(jī)設(shè)備負(fù)載重，風(fēng)險(xiǎn)高等弊端，比如常見的各類攻擊報(bào)文、異常報(bào)文等等全面涌入核心交換機(jī)CPU，造成CPU負(fù)載重，日常運(yùn)維反應(yīng)慢，體驗(yàn)差，甚至嚴(yán)重出現(xiàn)CPU擁塞，造成業(yè)務(wù)中斷等風(fēng)險(xiǎn)出現(xiàn)。

    為了適應(yīng)業(yè)務(wù)發(fā)展新需求，進(jìn)一步優(yōu)化和提升扁平化組網(wǎng)架構(gòu)應(yīng)用價(jià)值，邁普重新基于原交換機(jī)上開發(fā)的多種CPU保護(hù)功能上進(jìn)行優(yōu)化和提升，按照“管道化”思路重新進(jìn)行功能整合，形成邁普CPU保護(hù)V2.0技術(shù)：MCP-CPU技術(shù)（Multilevel channel protection CPU）。

    正式進(jìn)行MCP-CPU技術(shù)講解前，先回顧一下三平面分離和CPU保護(hù)技術(shù)。

    近幾年隨著高端交換機(jī)所承載業(yè)務(wù)量的急劇上升，對(duì)設(shè)備的穩(wěn)定性要求越來越高，主流廠商在高端交換機(jī)上多采取了分布式多平面架構(gòu)設(shè)計(jì)；邁普高端交換機(jī)同樣采用了類似技術(shù)：三平面分布管理體系（管理平面、控制平面、數(shù)據(jù)平面）。如圖1

（圖1）

    控制平面：簡(jiǎn)單理解就是主控卡的工作范圍，主要包括路由計(jì)算、用戶命令處理、維持協(xié)議運(yùn)行等，比如響應(yīng)Telnet、OSPF、BGP協(xié)議計(jì)算等；

    數(shù)據(jù)平面：簡(jiǎn)單理解就是交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)功能，由ASIC交換芯片和轉(zhuǎn)發(fā)子系統(tǒng)組成，主要完成報(bào)文的快速轉(zhuǎn)發(fā)；

    管理平面（OAM平面）：簡(jiǎn)單理解就是交換機(jī)主控卡與業(yè)務(wù)卡之間的獨(dú)立硬件管理系統(tǒng)，內(nèi)容包括系統(tǒng)啟動(dòng)下載、配置及管理數(shù)據(jù)同步和備份；

    各平面解耦分離設(shè)計(jì)后，產(chǎn)品穩(wěn)定性獲得了很大提升，從業(yè)務(wù)應(yīng)用角度看，控制平面CPU的運(yùn)行狀態(tài)是否穩(wěn)定會(huì)直接影響整機(jī)甚至整個(gè)網(wǎng)絡(luò)是否穩(wěn)定運(yùn)行，在MCP-CPU技術(shù)之前，傳統(tǒng)上針對(duì)該類風(fēng)險(xiǎn)通常是通過限制整體上CPU報(bào)文的數(shù)量和速率方式來達(dá)到CPU保護(hù)的目的；但是隨著目前多業(yè)務(wù)、精細(xì)化業(yè)務(wù)管理需求越來越被重視，原來的簡(jiǎn)單粗暴控制上CPU報(bào)文的技術(shù)已經(jīng)無法滿足業(yè)務(wù)特性需求。邁普順勢(shì)推出了CPU保護(hù)V2.0技術(shù)：MCP-CPU。

    如下圖2，參照一個(gè)標(biāo)準(zhǔn)的數(shù)據(jù)報(bào)文進(jìn)入交換機(jī)的處理流程來看下系統(tǒng)是如何進(jìn)行CPU保護(hù)的。

（圖2）

    各類業(yè)務(wù)報(bào)文通過業(yè)務(wù)板卡端口進(jìn)入交換機(jī)，在各業(yè)務(wù)板卡上先按照?qǐng)?bào)文協(xié)議類型進(jìn)行第一次分類，對(duì)于符合某些報(bào)文特征的報(bào)文先交由ASIC限速硬件芯片處理，按照用戶配置的閥值進(jìn)行限速處理，比如arp限速、廣播風(fēng)暴抑制等（CPU第一級(jí)保護(hù)：協(xié)議限速器）；

    如果報(bào)文是普通數(shù)據(jù)報(bào)文，直接轉(zhuǎn)交數(shù)據(jù)平面的ASIC數(shù)據(jù)轉(zhuǎn)發(fā)芯片進(jìn)行快速轉(zhuǎn)發(fā)；

    如果是協(xié)議報(bào)文，則需要通過管理平面的IPU通道上送至控制平面交由CPU處理；

    在通過管理平面的線卡端IPU通道出口時(shí)，基于硬件隊(duì)列技術(shù)實(shí)現(xiàn)的CPU Pakcet功能對(duì)報(bào)文進(jìn)行第二次分類，按照?qǐng)?bào)文優(yōu)先級(jí)進(jìn)入8個(gè)不同隊(duì)列；一般來講，協(xié)議報(bào)文優(yōu)先級(jí)高于普通報(bào)文，且在各種協(xié)議報(bào)文之間再次區(qū)分優(yōu)先級(jí)，保證實(shí)時(shí)性要求高的基礎(chǔ)協(xié)議（如STP協(xié)議）優(yōu)先得到CPU資源。（CPU第二級(jí)保護(hù)：CPU Packet）

    對(duì)于框式設(shè)備，由于同時(shí)會(huì)有很多業(yè)務(wù)板卡的處理報(bào)文會(huì)同時(shí)進(jìn)入控制平面的CPU，所以必須在控制平面的CPU入口進(jìn)行第三級(jí)保護(hù)。在CPU入口處通過CPU Guard功能對(duì)報(bào)文限速分類（9個(gè)不同隊(duì)列）。保障高優(yōu)先級(jí)報(bào)文優(yōu)先處理，確保各種網(wǎng)絡(luò)協(xié)議的正常運(yùn)行。（CPU第三級(jí)保護(hù)：CPU Guard）

    將CPU保護(hù)功能按照?qǐng)?bào)文處理流程的前后順序進(jìn)行“管道化”設(shè)計(jì)，我們稱之為MCP-CPU技術(shù)（Multilevel channel protection CPU）。

    應(yīng)用效果分析對(duì)比：

    由于邁普“神盾”S12800交換機(jī)除了定位于數(shù)據(jù)中心應(yīng)用部署外，還適用于大型園區(qū)網(wǎng)、局域網(wǎng)部署，所以在產(chǎn)品功能設(shè)計(jì)上天然繼承了邁普MCP-CPU技術(shù)。

    考慮到網(wǎng)絡(luò)真實(shí)運(yùn)行的復(fù)雜性，我們做了一個(gè)簡(jiǎn)單對(duì)比實(shí)驗(yàn)：

    測(cè)試環(huán)境：通過測(cè)試儀，模擬大型園區(qū)網(wǎng)常見的報(bào)文類型，包含：ARP攻擊、廣播風(fēng)暴及OSPF、STP等協(xié)議報(bào)文類型測(cè)試流量共計(jì)10Gbps；

    未啟用MCP-CPU保護(hù)：

    60s后，S12800 主控CPU上升到90%以上，分別在Console、SSH及Telnet方式下登錄設(shè)備，命令輸出平滑，但反饋信息滯后1.5S; 協(xié)議計(jì)算OSPF、STP完成時(shí)間延長(zhǎng)50%，控制平面整體處于高負(fù)載臨界狀態(tài)。

    開啟MCP-CPU保護(hù)：

    S12800 CPU穩(wěn)定工作在45%左右，分別在Console、SSH及Telnet方式下登錄設(shè)備，命令輸出平滑、反饋信息連續(xù)，無任何停滯感；整機(jī)工作狀態(tài)良好，普通數(shù)據(jù)轉(zhuǎn)發(fā)正常。