解密MCP-CPU “三級CPU保護”技術(shù)

    隨著數(shù)據(jù)流量的快速增長，推動交換機虛擬化技術(shù)的快速普及、交換機端口密度的提升和成本的下降，常見的以太網(wǎng)網(wǎng)絡(luò)組網(wǎng)架構(gòu)也隨著逐步發(fā)生變化，其中最明顯的就是大家非常熟悉的三層物理組網(wǎng)架構(gòu)逐步轉(zhuǎn)變?yōu)槎�層扁平化架�?gòu)。由于此模式下終端網(wǎng)關(guān)多直接部署在核心交換機上，雖然帶來網(wǎng)絡(luò)架構(gòu)彈性強、運行效率高等特點，但同時也引入了核心交換機設(shè)備負載重，風(fēng)險高等弊端，比如常見的各類攻擊報文、異常報文等等全面涌入核心交換機CPU，造成CPU負載重，日常運維反應(yīng)慢，體驗差，甚至嚴(yán)重出現(xiàn)CPU擁塞，造成業(yè)務(wù)中斷等風(fēng)險出現(xiàn)。

    為了適應(yīng)業(yè)務(wù)發(fā)展新需求，進一步優(yōu)化和提升扁平化組網(wǎng)架構(gòu)應(yīng)用價值，邁普重新基于原交換機上開發(fā)的多種CPU保護功能上進行優(yōu)化和提升，按照“管道化”思路重新進行功能整合，形成邁普CPU保護V2.0技術(shù)：MCP-CPU技術(shù)（Multilevel channel protection CPU）。

    正式進行MCP-CPU技術(shù)講解前，先回顧一下三平面分離和CPU保護技術(shù)。

    近幾年隨著高端交換機所承載業(yè)務(wù)量的急劇上升，對設(shè)備的穩(wěn)定性要求越來越高，主流廠商在高端交換機上多采取了分布式多平面架構(gòu)設(shè)計；邁普高端交換機同樣采用了類似技術(shù)：三平面分布管理體系（管理平面、控制平面、數(shù)據(jù)平面）。如圖1

（圖1）

    控制平面：簡單理解就是主控卡的工作范圍，主要包括路由計算、用戶命令處理、維持協(xié)議運行等，比如響應(yīng)Telnet、OSPF、BGP協(xié)議計算等；

    數(shù)據(jù)平面：簡單理解就是交換機的數(shù)據(jù)轉(zhuǎn)發(fā)功能，由ASIC交換芯片和轉(zhuǎn)發(fā)子系統(tǒng)組成，主要完成報文的快速轉(zhuǎn)發(fā)；

    管理平面（OAM平面）：簡單理解就是交換機主控卡與業(yè)務(wù)卡之間的獨立硬件管理系統(tǒng)，內(nèi)容包括系統(tǒng)啟動下載、配置及管理數(shù)據(jù)同步和備份；

    各平面解耦分離設(shè)計后，產(chǎn)品穩(wěn)定性獲得了很大提升，從業(yè)務(wù)應(yīng)用角度看，控制平面CPU的運行狀態(tài)是否穩(wěn)定會直接影響整機甚至整個網(wǎng)絡(luò)是否穩(wěn)定運行，在MCP-CPU技術(shù)之前，傳統(tǒng)上針對該類風(fēng)險通常是通過限制整體上CPU報文的數(shù)量和速率方式來達到CPU保護的目的；但是隨著目前多業(yè)務(wù)、精細化業(yè)務(wù)管理需求越來越被重視，原來的簡單粗暴控制上CPU報文的技術(shù)已經(jīng)無法滿足業(yè)務(wù)特性需求。邁普順勢推出了CPU保護V2.0技術(shù)：MCP-CPU。

    如下圖2，參照一個標(biāo)準(zhǔn)的數(shù)據(jù)報文進入交換機的處理流程來看下系統(tǒng)是如何進行CPU保護的。

（圖2）

    各類業(yè)務(wù)報文通過業(yè)務(wù)板卡端口進入交換機，在各業(yè)務(wù)板卡上先按照報文協(xié)議類型進行第一次分類，對于符合某些報文特征的報文先交由ASIC限速硬件芯片處理，按照用戶配置的閥值進行限速處理，比如arp限速、廣播風(fēng)暴抑制等（CPU第一級保護：協(xié)議限速器）；

    如果報文是普通數(shù)據(jù)報文，直接轉(zhuǎn)交數(shù)據(jù)平面的ASIC數(shù)據(jù)轉(zhuǎn)發(fā)芯片進行快速轉(zhuǎn)發(fā)；

    如果是協(xié)議報文，則需要通過管理平面的IPU通道上送至控制平面交由CPU處理；

    在通過管理平面的線卡端IPU通道出口時，基于硬件隊列技術(shù)實現(xiàn)的CPU Pakcet功能對報文進行第二次分類，按照報文優(yōu)先級進入8個不同隊列；一般來講，協(xié)議報文優(yōu)先級高于普通報文，且在各種協(xié)議報文之間再次區(qū)分優(yōu)先級，保證實時性要求高的基礎(chǔ)協(xié)議（如STP協(xié)議）優(yōu)先得到CPU資源。（CPU第二級保護：CPU Packet）

    對于框式設(shè)備，由于同時會有很多業(yè)務(wù)板卡的處理報文會同時進入控制平面的CPU，所以必須在控制平面的CPU入口進行第三級保護。在CPU入口處通過CPU Guard功能對報文限速分類（9個不同隊列）。保障高優(yōu)先級報文優(yōu)先處理，確保各種網(wǎng)絡(luò)協(xié)議的正常運行。（CPU第三級保護：CPU Guard）

    將CPU保護功能按照報文處理流程的前后順序進行“管道化”設(shè)計，我們稱之為MCP-CPU技術(shù)（Multilevel channel protection CPU）。

    應(yīng)用效果分析對比：

    由于邁普“神盾”S12800交換機除了定位于數(shù)據(jù)中心應(yīng)用部署外，還適用于大型園區(qū)網(wǎng)、局域網(wǎng)部署，所以在產(chǎn)品功能設(shè)計上天然繼承了邁普MCP-CPU技術(shù)。

    考慮到網(wǎng)絡(luò)真實運行的復(fù)雜性，我們做了一個簡單對比實驗：

    測試環(huán)境：通過測試儀，模擬大型園區(qū)網(wǎng)常見的報文類型，包含：ARP攻擊、廣播風(fēng)暴及OSPF、STP等協(xié)議報文類型測試流量共計10Gbps；

    未啟用MCP-CPU保護：

    60s后，S12800 主控CPU上升到90%以上，分別在Console、SSH及Telnet方式下登錄設(shè)備，命令輸出平滑，但反饋信息滯后1.5S; 協(xié)議計算OSPF、STP完成時間延長50%，控制平面整體處于高負載臨界狀態(tài)。

    開啟MCP-CPU保護：

    S12800 CPU穩(wěn)定工作在45%左右，分別在Console、SSH及Telnet方式下登錄設(shè)備，命令輸出平滑、反饋信息連續(xù)，無任何停滯感；整機工作狀態(tài)良好，普通數(shù)據(jù)轉(zhuǎn)發(fā)正常。