全面深入交換機FFP技術(shù)探究

交換機FFP(Fast Filter Processor)技術(shù)提供了先進(jìn)的多層交換、報文分類(lèi)及線(xiàn)速處理功能，能夠基于協(xié)議或字節對報文進(jìn)行線(xiàn)速解析、分類(lèi)，報文解析深度達80或128字節，廣泛用于各類(lèi)基于流的報文分類(lèi)、過(guò)濾及鏡像等應用，如：QOS(Quality of Service)、ACL(AccessControl Lists)、DSCP(DifferentiatedServices Codepoint)等。

原理介紹

一般來(lái)說(shuō)，FFP硬件引擎都是由圖1所表示部件組成：

其主要作用是在數據流通過(guò)網(wǎng)絡(luò )設備時(shí)進(jìn)行分類(lèi)過(guò)濾，并對從指定接口輸入或者輸出的數據流進(jìn)行檢查，根據匹配條件(Conditions)允許其通過(guò)(Permit)、丟棄(Deny)或者采取其他動(dòng)作策略，由此來(lái)達到限制網(wǎng)絡(luò )中某些通信數據類(lèi)型、限制網(wǎng)絡(luò )的使用者或使用設備的目的。我們通過(guò)FFP的這種特性實(shí)現各種ACL技術(shù)，從而滿(mǎn)足各種不同應用的需要。

下面，分別對各個(gè)部件的作用及工作原理進(jìn)行介紹：

字段解析器

用于從各種來(lái)源的數據流中獲取各種指定字段，即匹配域，例如：報文的源MAC地址、目的MAC地址、源IP等字段，在進(jìn)行報文解析之前，需要預先設置字段，用以對報文進(jìn)行識別、分類(lèi)，之后開(kāi)始對報文進(jìn)行解析，將解析出來(lái)的匹配域字段封裝成KEY送到查找匹配引擎中。

其中，各種來(lái)源的數據流包括報文流、各種硬件檢測信息(如：報文的類(lèi)型、輸入的物理端口、是否在地址表中HIT等信息)。

查找匹配引擎

查找匹配引擎由一定數量的TCAM表項組成，我們將TCAM表項稱(chēng)為匹配規則，在進(jìn)行匹配之前，需要預先申明匹配條件，設置好匹配規則中的內容，匹配規則針對數據流的源地址、目標地址、上層協(xié)議等字段。匹配規則一般有兩部分組成：匹配內容和掩碼，匹配過(guò)程就是將輸入的KEY和掩碼進(jìn)行相與，再將相與的結果和匹配內容進(jìn)行比較，如果比較結果相同，則匹配成功，例如：配置一個(gè)ACE，如下：

permit 192.168.1.0 0.0.0.255，

則這條表項的匹配內容為192.168.1.0，掩碼為255.255.255.0。這時(shí)候，將輸入報文的源IP(通過(guò)字段解析器解析)與掩碼進(jìn)行相與，如果結果等于192.168.1.0，則報文可以通過(guò)，即192.168.1.0/24網(wǎng)段的報文可以通過(guò)。

設置好匹配規則之后，將接收到的KEY與匹配規則一一進(jìn)行比較，檢查報文是否與某一條匹配規則相匹配，返回該匹配規則(HIT表項)所在的偏移。

動(dòng)作策略引擎

動(dòng)作策略引擎由一定數量的策略表項組成，策略表項和匹配規則一一對應，當查找匹配引擎中的某條匹配規則匹配上后，返回該匹配規則的偏移，根據這個(gè)偏移值，就可以找到匹配規則對應的策略表項，執行策略表項中預先設置好的動(dòng)作。同樣的，我們需要先申明滿(mǎn)足某個(gè)規則匹配后的對應行為。

動(dòng)作策略引擎支持的動(dòng)作包括：轉發(fā)、丟棄、重定向、鏡像、送CPU、改變報文優(yōu)先級等等，不同產(chǎn)品支持的動(dòng)作存在較大差異。

度量、統計引擎

動(dòng)作策略表項被HIT上后，會(huì )觸發(fā)度量、統計引擎工作，動(dòng)作策略表項中指定要使用的meter表項、counter表項的索引，meter表項、counter表項的各種屬性也是在報文解析過(guò)濾前預先設置完成。

一般情況下，將查找匹配引擎、動(dòng)作策略引擎、度量統計引擎合在一起稱(chēng)為一個(gè)slice，有些產(chǎn)品支持多個(gè)slice，有些產(chǎn)品則全局共享一個(gè)slice。

一般情況下，查找匹配引擎、動(dòng)作策略引擎和度量統計引擎中的表項是一一對應，將一條匹配規則、策略表項及其對應的統計度量表項合在一起稱(chēng)為一條表項。

動(dòng)作仲裁引擎

動(dòng)作仲裁引擎收集所有匹配表項產(chǎn)生的動(dòng)作策略信息，包括動(dòng)作策略及meter結果，對于不沖突的動(dòng)作全部被執行，對于沖突動(dòng)作，則依照優(yōu)先級進(jìn)行仲裁，高優(yōu)先級動(dòng)作被執行。

應用介紹

目前，各種交換產(chǎn)品中，有多個(gè)應用的實(shí)現依賴(lài)于FFP引擎特性，不同產(chǎn)品上，由于FFP引擎原理不同，導致各應用在實(shí)現過(guò)程中對表項占用情況、引擎分布情況存在較大差異。

各產(chǎn)品支持的應用

各種交換機產(chǎn)品支持的依賴(lài)于FFP引擎的應用：遠程鏡像、CPU保護模塊、防攻擊模塊(nfpp)、安全通道、防網(wǎng)關(guān)ARP欺騙、arp check、IP防掃描、全局IP + MAC 綁定、Dhcp_option82、Dot1x中的QOS應用、Dot1x中下發(fā)ACL應用、Dot1x認證用戶(hù)綁定應用、dhcp snooping綁定應用、GSN全局安全應用、QOS應用模塊、VLAN ACL應用、出口方向安全ACL應用、入口方向安全ACL應用、修改外部tag應用、QINQ、策略路由、IPV6_ROUTE、網(wǎng)絡(luò )域名轉換應用、數據流鏡像應用、重定向應用等。

表項及模板分配過(guò)程

除了目前廣泛使用的安全ACL外，FFP相關(guān)的其他各種應用也都是依賴(lài)于A(yíng)CL技術(shù)實(shí)現，ACL全稱(chēng)為訪(fǎng)問(wèn)控制列表(Access ControlList)，也稱(chēng)為訪(fǎng)問(wèn)列表(Access List)，俗稱(chēng)為防火墻，ACL通過(guò)定義一些規則對網(wǎng)絡(luò )設備接口上的數據報文進(jìn)行控制，ACL 由一系列的表項組成，稱(chēng)之為訪(fǎng)問(wèn)控制列表表項(Access Control Entry：ACE)，每個(gè)接入控制列表表項都申明了滿(mǎn)足該表項的匹配條件及行為(動(dòng)作策略)。

有些應用可以顯式關(guān)聯(lián)各種類(lèi)型的ACL(IP標準ACL、IP擴展ACL、專(zhuān)家擴展ACL等)，如：安全ACL、安全通道、QOS等，這時(shí)候可以修改各ACL中的ACE，過(guò)濾各種指定的流;有些應用則由軟件自動(dòng)創(chuàng )建ACL，這種應用下無(wú)法直接操作ACL中ACE，由軟件自動(dòng)進(jìn)行添加刪除操作。

1. 只要是符合某條ACE，就按照該ACE定義的動(dòng)作策略處理報文(Permit、Deny、Copy_To_Cpu等)，ACL 的ACE根據以太網(wǎng)報文的某些字段來(lái)標識以太網(wǎng)報文，這些字段包括：

二層字段(Layer 2 Fields)：

48 位的源MAC 地址(必須申明所有48 位)

48 位的目的MAC 地址(必須申明所有48 位)

16 位的二層類(lèi)型字段

三層字段(Layer 3 Fields)：

源IP 地址字段

目的IP 地址字段

協(xié)議類(lèi)型字段