交換機FFP(Fast Filter Processor)技術提供了先進的多層交換、報文分類及線速處理功能,能夠基于協議或字節對報文進行線速解析、分類,報文解析深度達80或128字節,廣泛用于各類基于流的報文分類、過濾及鏡像等應用,如:QOS(Quality of Service)、ACL(AccessControl Lists)、DSCP(DifferentiatedServices Codepoint)等。
原理介紹
一般來說,FFP硬件引擎都是由圖1所表示部件組成:
其主要作用是在數據流通過網絡設備時進行分類過濾,并對從指定接口輸入或者輸出的數據流進行檢查,根據匹配條件(Conditions)允許其通過(Permit)、丟棄(Deny)或者采取其他動作策略,由此來達到限制網絡中某些通信數據類型、限制網絡的使用者或使用設備的目的。我們通過FFP的這種特性實現各種ACL技術,從而滿足各種不同應用的需要。
下面,分別對各個部件的作用及工作原理進行介紹:
字段解析器
用于從各種來源的數據流中獲取各種指定字段,即匹配域,例如:報文的源MAC地址、目的MAC地址、源IP等字段,在進行報文解析之前,需要預先設置字段,用以對報文進行識別、分類,之后開始對報文進行解析,將解析出來的匹配域字段封裝成KEY送到查找匹配引擎中。
其中,各種來源的數據流包括報文流、各種硬件檢測信息(如:報文的類型、輸入的物理端口、是否在地址表中HIT等信息)。
查找匹配引擎
查找匹配引擎由一定數量的TCAM表項組成,我們將TCAM表項稱為匹配規則,在進行匹配之前,需要預先申明匹配條件,設置好匹配規則中的內容,匹配規則針對數據流的源地址、目標地址、上層協議等字段。匹配規則一般有兩部分組成:匹配內容和掩碼,匹配過程就是將輸入的KEY和掩碼進行相與,再將相與的結果和匹配內容進行比較,如果比較結果相同,則匹配成功,例如:配置一個ACE,如下:
permit 192.168.1.0 0.0.0.255,
則這條表項的匹配內容為192.168.1.0,掩碼為255.255.255.0。這時候,將輸入報文的源IP(通過字段解析器解析)與掩碼進行相與,如果結果等于192.168.1.0,則報文可以通過,即192.168.1.0/24網段的報文可以通過。
設置好匹配規則之后,將接收到的KEY與匹配規則一一進行比較,檢查報文是否與某一條匹配規則相匹配,返回該匹配規則(HIT表項)所在的偏移。
動作策略引擎
動作策略引擎由一定數量的策略表項組成,策略表項和匹配規則一一對應,當查找匹配引擎中的某條匹配規則匹配上后,返回該匹配規則的偏移,根據這個偏移值,就可以找到匹配規則對應的策略表項,執行策略表項中預先設置好的動作。同樣的,我們需要先申明滿足某個規則匹配后的對應行為。
動作策略引擎支持的動作包括:轉發、丟棄、重定向、鏡像、送CPU、改變報文優先級等等,不同產品支持的動作存在較大差異。
度量、統計引擎
動作策略表項被HIT上后,會觸發度量、統計引擎工作,動作策略表項中指定要使用的meter表項、counter表項的索引,meter表項、counter表項的各種屬性也是在報文解析過濾前預先設置完成。
一般情況下,將查找匹配引擎、動作策略引擎、度量統計引擎合在一起稱為一個slice,有些產品支持多個slice,有些產品則全局共享一個slice。
一般情況下,查找匹配引擎、動作策略引擎和度量統計引擎中的表項是一一對應,將一條匹配規則、策略表項及其對應的統計度量表項合在一起稱為一條表項。
動作仲裁引擎
動作仲裁引擎收集所有匹配表項產生的動作策略信息,包括動作策略及meter結果,對于不沖突的動作全部被執行,對于沖突動作,則依照優先級進行仲裁,高優先級動作被執行。
應用介紹
目前,各種交換產品中,有多個應用的實現依賴于FFP引擎特性,不同產品上,由于FFP引擎原理不同,導致各應用在實現過程中對表項占用情況、引擎分布情況存在較大差異。
各產品支持的應用
各種交換機產品支持的依賴于FFP引擎的應用:遠程鏡像、CPU保護模塊、防攻擊模塊(nfpp)、安全通道、防網關ARP欺騙、arp check、IP防掃描、全局IP + MAC 綁定、Dhcp_option82、Dot1x中的QOS應用、Dot1x中下發ACL應用、Dot1x認證用戶綁定應用、dhcp snooping綁定應用、GSN全局安全應用、QOS應用模塊、VLAN ACL應用、出口方向安全ACL應用、入口方向安全ACL應用、修改外部tag應用、QINQ、策略路由、IPV6_ROUTE、網絡域名轉換應用、數據流鏡像應用、重定向應用等。
表項及模板分配過程
除了目前廣泛使用的安全ACL外,FFP相關的其他各種應用也都是依賴于ACL技術實現,ACL全稱為訪問控制列表(Access ControlList),也稱為訪問列表(Access List),俗稱為防火墻,ACL通過定義一些規則對網絡設備接口上的數據報文進行控制,ACL 由一系列的表項組成,稱之為訪問控制列表表項(Access Control Entry:ACE),每個接入控制列表表項都申明了滿足該表項的匹配條件及行為(動作策略)。
有些應用可以顯式關聯各種類型的ACL(IP標準ACL、IP擴展ACL、專家擴展ACL等),如:安全ACL、安全通道、QOS等,這時候可以修改各ACL中的ACE,過濾各種指定的流;有些應用則由軟件自動創建ACL,這種應用下無法直接操作ACL中ACE,由軟件自動進行添加刪除操作。
1. 只要是符合某條ACE,就按照該ACE定義的動作策略處理報文(Permit、Deny、Copy_To_Cpu等),ACL 的ACE根據以太網報文的某些字段來標識以太網報文,這些字段包括:
二層字段(Layer 2 Fields):
48 位的源MAC 地址(必須申明所有48 位)
48 位的目的MAC 地址(必須申明所有48 位)
16 位的二層類型字段