解密MCPCPU “三级CPU保护”技术

本篇文章2117字，读完约5分钟

北京2015-11-16(商务电信)-随着数据流量的快速增长、交换机虚拟化技术的快速普及、交换机端口密度的提高和成本的降低，普通以太网组网架构逐渐发生了变化，其中最明显的是人们熟悉的三层物理组网架构逐渐转变为两层平面架构。在这种模式下，终端网关大多直接部署在核心交换机上，这带来了网络架构灵活性强、运行效率高的特点，但同时也带来了核心交换机负载大、风险高的缺点，如常见的攻击消息和异常消息涌入核心交换机的cpu，导致cpu负载大、日常运行维护响应慢、体验差，甚至出现严重的cpu拥塞和业务中断。

为了适应业务发展的新要求，进一步优化和提升平面组网架构的应用价值，Maipu对原有交换机上开发的cpu保护功能进行了重新优化和增强，并按照流水线思想对功能进行了重新整合，形成了Maipu cpu保护2.0技术:mcp-cpu技术(多级通道保护cpu)。

在正式解释mcp-cpu技术之前，先回顾一下三平面分离和cpu保护技术。

近年来，随着高端交换机承载流量的快速增长，对设备稳定性的要求越来越高，主流厂商在高端交换机上采用了分布式多平面架构设计，麦普高端交换机也采用了类似的技术:三平面分布式管理系统(管理平面、控制平面和数据平面)。如图1所示

(图1)

控制平面:简单理解为主控制卡的工作范围，主要包括路由计算、用户命令处理、维护协议操作等。，如响应telnet、ospf、bgp协议计算等。；数据平面:简单了解交换机的数据转发功能，交换机由asic交换芯片和转发子系统组成，主要完成报文的快速转发；管理平面(oam平面):简称为主控制卡和交换机服务卡之间的独立硬件管理系统，包括系统启动和下载、配置和管理数据同步和备份；

经过各个平面的解耦和分离设计，产品的稳定性得到了很大的提高。从业务应用的角度来看，控制平面中cpu的运行状态是否稳定，将直接影响到整个机器甚至整个网络的稳定运行。在mcp-cpu技术之前，传统上，对于这种风险，cpu保护通常是通过限制cpu消息的数量和速率来实现的；然而，随着多业务和精细化服务管理的需求越来越受到重视，原有的简单粗暴的cpu消息控制技术已经不能满足服务特性的需求。迈普介绍了cpu保护2.0技术:mcp-cpu。

如下图2所示，参考进入交换机的数据消息的标准处理流程，了解系统如何执行cpu保护。(图2)各种业务报文通过名片的端口进入交换机，并首次根据每张名片上的报文协议类型进行分类。满足一定报文特征的报文首先由asic限速硬件芯片处理，并根据用户配置的阈值进行限速处理，如arp限速和广播风暴抑制。(cpu初级保护:协议限速器)；

如果是普通数据报文，则直接转发到数据平面的asic数据转发芯片进行快速转发；如果是协议报文，需要通过管理平面的ipu通道发送到控制平面，并交给cpu处理；

当通过管理平面线卡端的ipu通道出口时，基于硬件队列技术的cpu pakcet功能对报文进行第二次分类，并根据报文优先级进入八个不同的队列；一般来说，协议消息的优先级高于普通消息，不同的协议消息会被重新划分优先级，以保证实时性要求高的基本协议(如stp协议)首先获得cpu资源。(cpu二级保护:cpu数据包)

对于框架式设备，由于会有大量来自业务板的处理报文同时进入控制平面的cpu，因此必须在控制平面的cpu入口处进行三级保护。通过中央处理器入口处的中央处理器保护功能对消息速度限制(9个不同的队列)进行分类。保证高优先级报文的优先处理，保证各种网络协议的正常运行。(cpu三级保护:cpu防护)

cpu保护功能按照消息处理流程的顺序进行流水线操作，这种技术称为mcp-cpu技术(多级通道保护cpu)。应用效果分析与比较:比较项目mcp-cpu保护、单点cpu保护、保护深度、三级名片级、背板总线级、cpu入口级、一级或二级业务板级或cpu入口级、成熟的技术、成熟的支持场景盒开关盒开关盒开关保护效果、低cpu利用率、平稳线性运行、cpu利用率波动大、瞬时过载现象、应用体验设备运行稳定。维修操作命令及时反馈；抵御网络攻击的能力很强，在极端情况下，很容易没有操作命令的反馈和异常的数据转发。由于Maipu宙斯盾s12800交换机不仅位于数据中心应用部署，而且适合大型校园网和局域网部署，因此在产品功能设计上自然继承了Maipu mcp-cpu技术。

考虑到网络实际运行的复杂性，我们做了一个简单的对比实验:

测试环境:通过测试仪，模拟大型校园网常见的报文类型，包括:arp攻击、广播风暴和ospf、stp等协议报文类型，测试流量总计10gbps；

Mcp-cpu保护未启用:

60秒后，s12800的主控cpu上升到90%以上，分别以控制台、ssh和telnet模式登录设备。命令输出是平滑的，但是反馈信息落后了1.5秒。ospf和stp的完成时间延长了50%，整个控制平面处于高负载的临界状态。

打开mcp-cpu保护:

S12800 cpu稳定工作在45%左右，分别以控制台、ssh和telnet模式登录设备，命令输出流畅，信息反馈连续，无停滞现象；整机工作状况良好，普通数据转发正常。