|
南方學(xué)院網(wǎng)絡(luò)建設(shè)方案建議書
資源天下 2019/8/25 8:48:55
(接上頁)的IP地址”的主機轉(zhuǎn)發(fā)表,對于其它不明目的網(wǎng)段IP地址的數(shù)據(jù)包直接通過硬件缺省路由轉(zhuǎn)發(fā)��。因此��,LPM技術(shù)的優(yōu)點是極大地節(jié)約存儲空間�����,病毒和攻擊數(shù)據(jù)可以通過硬件網(wǎng)段路由或缺省路由進行轉(zhuǎn)發(fā)����,不增加額外的硬件表項���,避免了存儲溢出問題,保障設(shè)備的正常運行��。
在LPM技術(shù)中依然保留了CPU參與一次路由的需要�����,雖然每個網(wǎng)段只有一次CPU參與的需要����,但是在三層設(shè)備擁有直連網(wǎng)段,主機轉(zhuǎn)發(fā)表數(shù)量比較多的情況下���,CPU的第一次參與依然會對三層轉(zhuǎn)發(fā)的處理效率產(chǎn)生一些影響���,HDR技術(shù)可以進一步優(yōu)化LPM技術(shù)的處理效率,主機直接路由(HDR:Host direct Route)用于解決CPU參與“一次路由”的不足����。主機直接路由(HDR)支持三層設(shè)備在最長匹配硬件轉(zhuǎn)發(fā)中的下一跳節(jié)點和數(shù)據(jù)轉(zhuǎn)發(fā)出口運行ARP協(xié)議時把對應(yīng)的MAC地址直接下載到硬件轉(zhuǎn)發(fā)表。因此���,沒有了第一次CPU參與路由的效率影響�,網(wǎng)絡(luò)中的所有主機(Host)都可以通過最長匹配硬件轉(zhuǎn)發(fā)表進行直接的三層轉(zhuǎn)發(fā)。
LPM+HDR三層交換技術(shù)不需要CPU參與�����、節(jié)約了緩存空間���,不僅極大地提高了路由效率,而且避免了病毒和攻擊對網(wǎng)絡(luò)設(shè)備本身的影響�,提高設(shè)備的穩(wěn)定性。
第二代Crossbar硬件體系提供更強的數(shù)據(jù)轉(zhuǎn)發(fā)效率
銳捷多業(yè)務(wù)核心路由交換機采用最先進的第二代Crossbar硬件體系架構(gòu):
圖3 第二代Crossbar硬件體系架構(gòu)
第二代Buffered Crossbar技術(shù)具有如下特性:
調(diào)度任務(wù)非常簡單����,通過背壓流控,每個交叉點自動獨立地進行調(diào)度����,不需要配置整個系統(tǒng)的所有“輸出輸入線卡對”,不帶來Crossbar的調(diào)度損耗 �。
調(diào)度相互獨立,不存在所有“輸出輸入線卡對”同步地從一個狀態(tài)變化到另一個狀態(tài)��,因此�����,就不需同步每個數(shù)據(jù)包發(fā)送的結(jié)束時間,允許直接對非定長數(shù)據(jù)包進行操作����,沒有包分割和重組。
因為沒有包分割和調(diào)度效率的影響�����,內(nèi)部超速并不需要�����。Buffered Crossbar可以處理相同速率的外部線卡
Buffered Crossbar技術(shù)克服第一代Crossbar架構(gòu)技術(shù)的局限性�,Buffered Crossbar架構(gòu)內(nèi)置了眾多緩存,采用分布式調(diào)度�����,無需內(nèi)部加速��,可直接處理非定長包����,充分發(fā)揮Crossbar芯片的交換效率和處理性能�,從而使整個設(shè)備系統(tǒng)達到了電信級的高性能和高可靠性�����。
三平面分離保護技術(shù)提供更高的穩(wěn)定可靠性
銳捷網(wǎng)絡(luò)核心路由交換機通過采用數(shù)據(jù)平面�����、控制平面��、管理平面相互分離的設(shè)計方式��,保證了最耗費主機資源的數(shù)據(jù)處理轉(zhuǎn)發(fā)任務(wù)不影響交換機的管理和協(xié)議運行����,而在路由和環(huán)境復(fù)雜多變條件下����,控制平面的任務(wù)不影響交換機的管理,高度保證了交換機系統(tǒng)的穩(wěn)定性�����。保證了即便出現(xiàn)設(shè)備由于數(shù)據(jù)交換異常癱瘓狀態(tài)情況,依然可以通過Telnet����、Console等管理界面正常登陸管理該設(shè)備。從根本上高度保證了系統(tǒng)的穩(wěn)定可靠性����。
圖3 三平面分離保護技術(shù)示意圖
CPP(CPU Protect Policy)機制提供更強的安全性
盡管通過加密認證可以保護網(wǎng)絡(luò)中的通信協(xié)議,但是它并不能完全的防止非法惡意用戶對路由引擎(CPU)上特定協(xié)議的攻擊�����。例如���,攻擊者仍可以利用偽造的數(shù)據(jù)包瞄準(zhǔn)具體協(xié)議�,向路由交換機發(fā)動攻擊���。盡管這些數(shù)據(jù)包無法通過鑒權(quán)檢查�,但是攻擊仍可以消耗CPU上的資源(CPU循環(huán)和通信隊列)�����,因此在某種程度上達到攻擊的目的����。
銳捷網(wǎng)絡(luò)核心路由交換產(chǎn)品通過硬件的方式對發(fā)往控制平面的數(shù)據(jù)進行分類�,把不同的協(xié)議數(shù)據(jù)歸類到不同的隊列然后對不同的隊列進行限速�,專門對路由引擎進行保護,阻擋外界的 DOS 攻擊���。而且并不影響轉(zhuǎn)發(fā)速度���,所以CPP能夠在不限制性能的前提下,靈活且有力的防止攻擊����,而且保證了即使有大規(guī)模攻擊數(shù)據(jù)發(fā)往CPU的時候依然可以在交換機內(nèi)部對數(shù)據(jù)進行區(qū)分對外。
CPP提供三種保護方法�����,來保護CPU的利用率���。
第一,可以配置CPU接受數(shù)據(jù)流的總帶寬����,從全局上保護CPU。
第二,可以設(shè)備QOS隊列�����,為每種隊列設(shè)置帶寬�����。
第三�,為每種類型的報文設(shè)置最大速率。
具體實現(xiàn)方式如下:
針對不同的系統(tǒng)報文進行分類�。CPP可針對arp、bpdu�、dhcp、igmp�����、rip�����、ospf��、pim�、gvrp���、vvrp的報文進行分類,(未完��,下一頁)
|