《全面深入交换机FFP技术探究》由会员分享,可在线阅读,更多相关《全面深入交换机FFP技术探究(2页珍藏版)》请在金锄头文库上搜索。
1、全面深入交换机FFP技术探究 交换机FFP(Fast Filter Processor)技术提供了先进的多层交换、报文分类及线速处理功能, 能够基于协议或字节对报文进行线速解析、分类,报文解析深度达80 或128 字节,广泛用于 各类基于流的报文分类、过滤及镜像等应用,如:Q0S(Quali ty of Service)、 ACL(AccessControl Lists)、DSCP(DifferentiatedServices Codepoint)等。原理介绍一般 来说, FFP 硬件引擎都是由图1 所表示部件组成:其主要作用是在数据流通过网络设备时进 行分类过滤,并对从指定接口输入或者输出的
2、数据流进行检查,根据匹配条件(Cond it ions) 允许其通过(Permit)、丢弃(Deny)或者采取其他动作策略,由此来达到限制网络中某些通信 数据类型、限制网络的使用者或使用设备的目的。我们通过FFP的这种特性实现各种ACL技 术,从而满足各种不同应用的需要。下面,分别对各个部件的作用及工作原理进行介绍:字 段解析器用于从各种来源的数据流中获取各种指定字段,即匹配域,例如:报文的源MAC地 址、目的MAC地址、源IP等字段,在进行报文解析之前,需要预先设置字段,用以对报文进 行识别、分类,之后开始对报文进行解析,将解析出来的匹配域字段封装成KEY送到查找匹 配引擎中。其中,各种来源
3、的数据流包括报文流、各种硬件检测信息(如:报文的类型、输入 的物理端口、是否在地址表中HIT等信息)。查找匹配引擎查找匹配引擎由一定数量的TCAM 表项组成,我们将TCAM表项称为匹配规则,在进行匹配之前,需要预先申明匹配条件,设置 好匹配规则中的内容,匹配规则针对数据流的源地址、目标地址、上层协议等字段。匹配规 则一般有两部分组成:匹配内容和掩码,匹配过程就是将输入的KEY和掩码进行相与,再将 相与的结果和匹配内容进行比较,如果比较结果相同,则匹配成功,例如:配置一个 ACE, 如下: permit 192.168.1.0 0.0.0.255 ,则这条表项的匹配内容为 192.168.1.0
4、,掩码为 255.255.255.0。这时候,将输入报文的源IP(通过字段解析器解析)与掩码进行相与,如果 结果等于192.168.1.0,则报文可以通过,即192.168.1.0/24网段的报文可以通过。设置好 匹配规则之后,将接收到的KEY与匹配规则一一进行比较,检查报文是否与某一条匹配规则 相匹配,返回该匹配规则(HIT表项)所在的偏移。动作策略引擎动作策略引擎由一定数量的 策略表项组成,策略表项和匹配规则一一对应,当查找匹配引擎中的某条匹配规则匹配上后, 返回该匹配规则的偏移,根据这个偏移值,就可以找到匹配规则对应的策略表项,执行策略 表项中预先设置好的动作。同样的,我们需要先申明满足
5、某个规则匹配后的对应行为。动作 策略引擎支持的动作包括:转发、丢弃、重定向、镜像、送CPU、改变报文优先级等等,不 同产品支持的动作存在较大差异。度量、统计引擎动作策略表项被HIT上后,会触发度量、 统计引擎工作,动作策略表项中指定要使用的meter表项、counter表项的索引,meter表项、 counter 表项的各种属性也是在报文解析过滤前预先设置完成。一般情况下,将查找匹配引 擎、动作策略引擎、度量统计引擎合在一起称为一个slice,有些产品支持多个slice,有些 产品则全局共享一个slice。一般情况下,查找匹配引擎、动作策略引擎和度量统计引擎中 的表项是一一对应,将一条匹配规则
6、、策略表项及其对应的统计度量表项合在一起称为一条 表项。动作仲裁引擎动作仲裁引擎收集所有匹配表项产生的动作策略信息,包括动作策略及 meter 结果,对于不冲突的动作全部被执行,对于冲突动作,则依照优先级进行仲裁,高优 先级动作被执行。应用介绍目前,各种交换产品中,有多个应用的实现依赖于FFP引擎特性, 不同产品上,由于FFP引擎原理不同,导致各应用在实现过程中对表项占用情况、引擎分布 情况存在较大差异。各产品支持的应用各种交换机产品支持的依赖于FFP引擎的应用:远程 镜像、CPU保护模块、防攻击模块(nfpp)、安全通道、防网关ARP欺骗、arp check、IP防扫 描、全局IP + MA
7、C绑定、Dhcp_op tion82、Do tlx中的QOS应用、Do tlx中下发ACL应用、 Dotlx认证用户绑定应用、dhcp snooping绑定应用、GSN全局安全应用、QOS应用模块、VLAN ACL应用、出口方向安全ACL应用、入口方向安全ACL应用、修改外部tag应用、QINQ、策 略路由、IPV6_R0UTE、网络域名转换应用、数据流镜像应用、重定向应用等。表项及模板分 配过程除了目前广泛使用的安全ACL外,FFP相关的其他各种应用也都是依赖于ACL技术实 现,ACL全称为访问控制列表(Access Con trolLis t),也称为访问列表(Access Lis t),
8、俗称 为防火墙, ACL 通过定义一些规则对网络设备接口上的数据报文进行控制, ACL 由一系列的 表项组成,称之为访问控制列表表项(Access Control Entry: ACE),每个接入控制列表表项 都申明了满足该表项的匹配条件及行为 (动作策略)。有些应用可以显式关联各种类型的 ACL(IP标准ACL、IP扩展ACL、专家扩展ACL等),如:安全ACL、安全通道、QOS等,这时 候可以修改各ACL中的ACE,过滤各种指定的流;有些应用则由软件自动创建ACL,这种应用 下无法直接操作ACL中ACE,由软件自动进行添加删除操作。1.只要是符合某条ACE,就按 照该ACE定义的动作策略处
9、理报文(Permit、Deny、Copy_To_Cpu等),ACL的ACE根据以太 网报文的某些字段来标识以太网报文,这些字段包括:二层字段(Layer 2 Fields): 48位的 源MAC地址(必须申明所有48位)48位的目的MAC地址(必须申明所有48位)16位的二层类型字段三层字段(Layer 3 Fields): 源IP地址字段 目的IP地址字段 协议类型字段四层字段(Layer 4 Fields): 可以申明一个TCP的源端口、目的端口或者都申明可以申明一个UDP的源端口、目的端口或者都申明 2.过滤域,指的就是在生成一条ACE时,根据报文中的哪些字段用以对报文进行识别、分类;3
10、.过滤域模板,就是这些字段组合的定义,对应于字段解析器中预先设置到的匹配域,比如,在 生成某一条ACE时希望根据报文的目的IP字段对报文进行识别、分类,而在生成另一条ACE 时,希望根据的是报文的源IP地址字段和UDP的源端口字段,这样,这两条ACE就使用了 不同的过滤域模板。4.规则(Rules),指的是ACE过滤域模板对应的值,对应于查找匹配引擎中预先申明的匹配规则。5行为(Action),指的是ACE中指定的动作,对应于动作策略引擎中预先申明的动作策略。 6. 比如有一条 ACE 内容如下: permittcphost 192.168.12.2 any eq telnet 在这条ACE中
11、,匹配域为以下字段的集合:源IP地址字 段、IP协议字段、目的TCP端口字段;匹配规则为:源IP地址=Host 192.168.12.2;IP协议二TCP;TCP目的端口二Telnet;动作策略为:允许通过(permit),即do_not_drop。在实现上,为每个应用创建一个或者多个ACL并关联,然后根据各种应用的优先级,将各应 用关联的ACL按照硬件表项的优先级关系设置硬件,从而达到高优先级表项优先生效的目的。 在不同产品上,支持的过滤域模板数量存在较大差异,实现原理及含义也不近一样。 默 认行为 在目前已经实现的各种FFP相关应用中,有些应用存在默认的行为,隐含“ 拒绝所有数
12、据流”规则表项,目的是为了将不匹配的非法报文全部丢弃,对于这些存在 默认行为的应用,存在默认添加的表项,占用了一定数量的硬件表项。 同时,在起机后 空配置的情况下,会有一些CPP及信任模式的默认表项,这些隐含的表项也占用了一定数量 的硬件表项,但是在统计硬件容量的过程中,又容易被忽略。 优先级冲突处理 应用 优先级是指多种应用同时存在时,根据应用的优先级关系,将高优先级应用的ACE装在高优 先级的硬件表项上,以保证高优先级的应用先生效,只有高优先级的应用没有表项匹配时, 低优先级应用的表项才能生效。某些应用由于隐含& ldquo;拒绝所有数据流& rdquo;规则,会存在一条den
13、y any的表项,这导致在同一个端口下多种应用同时打开时产生优先级冲突, 低优先级的应用表项完全不生效,例如:当一个端口同时打开DOT1X IP授权绑定、DHCP SNP 绑定,这时候由于DOT1X IP授权绑定默认会添加一个denyip any的表项,导致而DHCP SNP 绑定的所有表项不生效,因此,我们判断一个端口的某个应用配置是否生效是,需要考虑两 个方面: 1. 端口下是否存在高优先级应用被匹配,或者存在影响这个端口的高优先级全 局应用被匹配;2.端口下是否存在隐含“拒绝所有数据流”规则的高优先级应用。 3. 对于不同端口下的多种应用,则不存在优先级冲突。在交换机上嵌入各种功能 强大FFP引擎后,使得交换机能够提供强大的数据流过滤功能,能很方便根据网络具体情况 进行安全部署,对数据流进行控制,提高交换机在安全接入、汇聚等各方面的性能,在发展 迅速的网络市场中将得到广泛应用。
