CN110855685B - 一种多Slice交换芯片实现CoPP的方法及装置 - Google Patents
一种多Slice交换芯片实现CoPP的方法及装置 Download PDFInfo
- Publication number
- CN110855685B CN110855685B CN201911128140.6A CN201911128140A CN110855685B CN 110855685 B CN110855685 B CN 110855685B CN 201911128140 A CN201911128140 A CN 201911128140A CN 110855685 B CN110855685 B CN 110855685B
- Authority
- CN
- China
- Prior art keywords
- copp
- cpu
- processing module
- protocol message
- slice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/25—Flow control; Congestion control with rate being modified by the source upon detecting a change of network conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明揭示了一种多Slice交换芯片实现CoPP的方法及装置,方法包括:在入方向CoPP上,每个Slice的入方向处理模块接收报文,通过ACL识别上送CPU并对其限速,进一步将报文发送至与CPU相连的出方向处理模块中进行集中限速;在出方向CoPP上,每个Slice的出方向处理模块接收报文,通过ACL识别上送CPU并对其限速,进一步将报文环回至对应Slice的入方向处理模块中,每个Slice的入方向处理模块将报文发送至与CPU相连的出方向处理模块中进行集中限速。本发明能够在多Slice交换芯片实现CoPP,并在每个入方向和出方向处理模块中先对协议报文进行分布式限速,再在与CPU相连出方向处理模块进行集中限速,对上送CPU的协议报文精确限速。
Description
技术领域
本发明涉及交换机技术领域,尤其是涉及一种多Slice交换芯片实现CoPP的方法及装置。
背景技术
交换机的转发引擎具有处理性能高的优点,若通过转发引擎在转发面实现安全检测,识别出非法报文并合理的处理,对网络安全来说是最好的方案。然而转发引擎一般都是通过硬件实现,如ASIC芯片、NP芯片等,其灵活性不如纯软件,其只能够对具有固定特征、无需复杂计算和处理的非法报文进行检测,并且安全处理机制要求较为简单且流程相对固定。但转发面相对于控制面来说,其处理能力可以认为是无限的,转发面能够轻易的上送海量的报文,将控制面直接冲击过载。
为了防止转发面上送过多的报文给控制面,需要对上送管道进行限速,同时,为了不影响正常的业务运行,转发面与控制面间的管道控制机制只能保证CPU不会被攻击过载,并不感知上送的报文是否存在安全隐患。而CoPP可实现上述目的,CoPP(Control of PlaneProtect,控制平面保护),用于对上送CPU的报文进行限速,可针对上送CPU的报文进行限制和约束,使单位时间内上送CPU报文的数量限制在一定范围之内,从而保护CPU的安全,保证CPU对业务的正常处理。
传统CoPP实现是基于单Slice(片)交换芯片的,其是基于单入方向处理模块(IPE)/出方向处理模块(EPE)的一些硬逻辑识别出协议报文,如ARP(Address ResolutionProtocol,地址解析协议)、BGP(Border Gateway Protocol,边界网关协议)、OSPF(OpenShortest Path First,开放式最短路径优先)等,并限速后上送控制面。一方面,由于通过硬逻辑识别报文,因此不能可编程化识别一些新的报文,也即硬逻辑不会做成识别所有协议报文的;另一方面,随着网络交换的高速发展,多端口数和高带宽的强烈需求推捧着多slice交换芯片的出现,因此,如何在多Slice交换芯片中实现CoPP是亟需解决的问题。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种在多Slice交换芯片中实现CoPP的方法及装置。
为实现上述目的,本发明提出如下技术方案:一种多Slice交换芯片实现CoPP的方法,包括入方向CoPP处理和出方向CoPP处理,
在入方向CoPP处理中,每个Slice的入方向处理模块通过ACL识别出协议报文上送CPU并对其进行限速处理,进一步将协议报文发送至与CPU相连的出方向处理模块中进行集中限速处理;
在出方向CoPP处理中,每个Slice的出方向处理模块通过ACL识别出协议报文上送CPU并对其进行限速处理,进一步将协议报文环回至对应Slice的入方向处理模块中,每个Slice的入方向处理模块将报文发送至与CPU相连的出方向处理模块中进行集中限速。
优选地,在入方向CoPP中,入方向处理模块通过如下步骤识别出协议报文并对协议报文进行限速处理:
入方向处理模块通过ACL识别出协议报文,并为该协议报文分配上送CPU的原因编号和CoPP计数指针;
根据CoPP计数指针对该协议报文进行计数,并对预设时间内超过预设阈值的报文丢弃。
优选地,在入方向CoPP中,与CPU相连的出方向处理模块通过如下步骤对协议报文进行集中限速处理:
根据上报CPU的原因编号映射出监察指针,进一步并根据所述监察指针对协议报文进行计数,并对预设时间内超过预设阈值的报文进行丢弃。
优选地,在出方向CoPP中,出方向处理模块通过如下步骤识别出协议报文并对协议报文进行限速处理:
出方向处理模块通过ACL识别出协议报文,并为该协议报文分配上送CPU的原因编号和CoPP计数指针;
根据CoPP计数指针对该协议报文进行计数,并对预设时间内超过预设阈值的报文丢弃。
优选地,在出方向CoPP中上,与CPU相连的出方向处理模块通过如下步骤对协议报文进行集中限速处理:
根据上报CPU的原因编号映射出监察指针,进一步并根据所述监察指针对协议报文进行计数,并对预设时间内超过预设阈值的报文进行丢弃。
本发明还揭示了一种多Slice交换芯片实现CoPP的装置,包括
入方向CoPP处理模块,用于在入方向CoPP处理中,使每个Slice的入方向处理模块通过ACL识别出协议报文上送CPU并对其进行限速处理,进一步将协议报文发送至与CPU相连的出方向处理模块中进行集中限速处理;
出方向CoPP处理模块,用于在出方向CoPP处理中,使每个Slice的出方向处理模块通过ACL识别出协议报文上送CPU并对其进行限速处理,进一步将协议报文环回至对应Slice的入方向处理模块中,每个Slice的入方向处理模块将报文发送至与CPU相连的出方向处理模块中进行集中限速。
优选地,所述入方向CoPP处理模块包括
第一限速模块,设于每个Slice的入方向处理模块中,用于通过ACL识别出协议报文上送CPU并对其进行限速处理;
第二限速模块,设于与CPU相连的Slice的出方向处理模块中,且其他Slice上的不工作,用于对每个Slice入方向和出方向发送的协议报文进行集中限速处理。
优选地,所述第一限速模块包括第一ACL模块和第一CoPP计数模块,所述第一ACL模块用于通过ACL识别出协议报文,并为协议报文分配上送CPU的原因编号和CoPP计数指针;所述第一CoPP计数模块用于根据CoPP计数指针对上送CPU的报文进行计数,对预设时间内超过预设阈值的报文进行丢弃;
第二限速模块包括监察计数模块,用于根据原因编号映射出监察指针,并根据所述监察指针对报文进行计数,对预设时间内超过预设阈值的报文进行丢弃。
优选地,所述出方向CoPP处理模块包括
第三限速模块,设于每个Slice的出方向处理模块中,用于通过ACL识别出协议报文上送CPU并对其进行限速处理,进一步将协议报文环回至对应Slice的入方向处理模块中,最终发送至连接CPU的Slice出方向处理模块中进行集中限速。
优选地,所述第三限速模块包括第二ACL模块和第二CoPP计数模块,所述第二ACL模块用于通过ACL识别出协议报文,并为协议报文分配上送CPU的原因编号和CoPP计数指针;所述第二CoPP计数模块用于根据CoPP计数指针对报文进行计数,对预设时间内超过预设阈值的报文进行丢弃。
本发明的有益效果是:
本发明通过ACL对报文进行匹配识别,可识别出几乎所有报文,提高适用范围,同时,通过分布式限速降低其他Slice向接CPU的Slice中转发报文的带宽,进一步在接CPU的Slice中通过集中限速方式确保最终上报CPU的协议报文速率符合预配置速率。
附图说明
图1是本发明的入方向CoPP流程示意图;
图2是本发明的出方向CoPP流程示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
本发明所揭示的多Slice交换芯片实现CoPP的方法,通过分布式限速降低其他Slice向接CPU的Slice中转发报文的带宽,进一步在接CPU的Slice中通过集中限速方式确保最终上报CPU的协议报文速率符合预配置速率。
本实施例中,多Slice交换芯片中的每个Slice均包括入方向处理模块(IPE)、内存管理模块(BSR)和出方向处理模块(EPE),其中,入方向处理模块用于业务识别,路由查找等;内存管理模块用于报文复制,通道选择,QoS(Quality of Service,服务质量)等;出方向处理模块用于报文编辑等。实施时,报文依次经过入方向处理模块、内存管理模块及出方向处理模块处理。
进一步地,多Slice交换芯片通常只在其中的一个Slice上接CPU,CPU用于处理每个slice上送的协议报文,同时还处理多Slice交换芯片不能处理的情形,如路由计算等等。
为了在多Slice交换芯片实现CoPP,需使入方向处理模块和出方向处理模块均能够对上送CPU的协议报文进行限速。结合图1和图2所示,对本发明所揭示的多Slice交换芯片实现CoPP的方法进行详细地说明。多Slice交换芯片实现CoPP的方法,包括
在入方向CoPP中,每个Slice的入方向处理模块通过ACL识别出协议报文上送CPU并对其进行限速处理,进一步将协议报文发送至与CPU相连的出方向处理模块中进行集中限速处理;
在出方向CoPP中,每个Slice的出方向处理模块通过ACL识别出协议报文上送CPUP并对其进行限速处理,进一步将协议报文环回至对应Slice的入方向处理模块中,每个Slice的入方向处理模块将报文发送至与CPU相连的出方向处理模块中进行集中限速。
具体地,如图1所示为本发明的入方向CoPP流程,图中示出两个Slice,分别记为Slice0和Slice1,其中,Slice0包括第一入方向处理模块(记为IPE0)、第一内存管理模块(记为BSR0)和第一出方向处理模块(记为EPE0);Slice1包括第二入方向处理模块(记为IPE1)、第二内存管理模块(记为BSR1)和第二出方向处理模块(记为EPE1)。在其他实施例中,Slice的数量可根据实际需求进行设定。
不同Slice的入方向处理模块均可能进入同一种需要上报CPU的协议报文,每个Slice的入方向处理模块均需对进入的报文进行识别上送CPU并限速。
每个Slice的入方向处理模块通过如下方式对进入的报文进行识别上送CPU并限速:
首先,入方向处理模块通过ACL(Access Control List,访问控制列表)识别出协议报文,如根据报文中特有字段识别出ARP报文或BGP报文等等;当识别出协议报文后,进一步为该协议报文分配上送CPU的原因编号(Reason ID)和CoPP计数指针(CoPP MeterPointer),其中,CoPP计数指针用于对上送CPU的协议报文进行限速;
最后,根据CoPP计数指针对协议报文进行计数,并对预设时间内超过预设阈值的协议报文进行丢弃,实现对协议报文的第一次限速。
当每个入方向处理模块对协议报文进行限速后,进一步将协议报文发送至与CPU相连的出方向处理模块中进行集中限速。与CPU相连的出方向处理模块通过如下方式进行集中限速:根据上报CPU的原因编号(Reason ID)映射出监察指针(Policer Pointer),进一步根据监察指针对协议报文进行计数,对预设时间内超过预设阈值的报文进行丢弃。
如图1所示,存在两个相同的协议报文,协议报文0和协议报文1,分别记为PDU0和PDU1,其中,PDU0进入IPE0,PDU1进入IPE1。Slice0上PDU0在IPE0中通过ACL查找匹配后为其分配上送CPU的原因编号100(Reason ID)和用于对报文进行限速的CoPP计数指针。由于配置了将协议报文上报CPU的处理机制,因此IPE0限速后的协议报文最终上送至与Slice0中EPE0相接的CPU中,而在上送至CPU之前,IPE0将协议报文转送到BSR0进行报文复制然后送到EPE0。同时会采用总线(Bus)的形式把原因编号携带到EPE0,根据原因编号映射出监察指针进一步做报文限速。
Slice1上PDU1在IPE1中通过ACL查找匹配后同样为其分配上送CPU的原因编号100(Reason ID)和用于对报文进行限速的CoPP计数指针。由于配置了将协议报文上报CPU的处理机制,因此IPE1限速后的协议报文最终上送至与Slice0中EPE0相接的CPU中,而在上送至CPU之前,IPE1将协议报文转送到BSR0进行报文复制然后送到EPE0。同时会采用总线(Bus)的形式把原因编号携带到EPE0,根据原因编号映射出监察指针进一步做报文限速。假设对某种协议报文设定上报速率为1000pbs,而PDU0上报速率为1500pbs,PDU1上报速率为2000pbs,启用入方向CoPP后,IPE0送往BSR0的速率为1000pbs,IPE1送往BSR0的速率为1000pbs。此时EPE0收到的协议报文速率是2000pbs,进一步在EPE0中做集中式限速使此协议报文最终上送CPU的速率为1000pbs。第一次的分布式限速是很有必要的,否则送往BSR0的报文带宽就是IPE0和IPE1的总和,这会造成BSR0的负荷严重,第二次的集中限速是为了使最终上送CPU的速率符合配置的速率值。
本发明通过ACL对报文进行匹配识别,可识别出几乎所有报文,提高适用范围。同时,在每个入方向和出方向处理模块中先对协议报文进行分布式限速,再在与CPU相连出方向处理模块进行集中限速,对上送CPU的协议报文精确限速。
如图2所示,为本发明的出方向CoPP流程,图中共包括两个Slice,分别记为Slice0和Slice1,其中,Slice0包括第一入方向处理模块(记为IPE0)、第一内存管理模块(记为BSR0)和第一出方向处理模块(记为EPE0);Slice1包括第二入方向处理模块(记为IPE1)、第二内存管理模块(记为BSR1)和第二出方向处理模块(记为EPE1)。在其他实施例中,Slice的数量可根据实际需求进行设定。
不同Slice的出方向处理模块均可能进入同一种需要上报CPU的协议报文,每个Slice的出方向处理模块均需对进入的报文进行识别上送CPU并限速。每个Slice的出方向处理模块通过如下方式对进入的报文进行识别上送CPU并限速:
首先,出方向处理模块通过ACL(Access Control List,访问控制列表)识别出协议报文,如根据报文中特有字段识别出ARP报文或BGP报文等等;当识别出协议报文后,进一步为该协议报文分配上送CPU的原因编号(Reason ID)和CoPP计数指针(CoPP MeterPointer),其中,CoPP计数指针用于对上送CPU的协议报文进行限速;
最后,根据CoPP计数指针对协议报文进行计数,并对预设时间内超过预设阈值的协议报文进行丢弃,实现对协议报文的第一次限速。
当每个出方向处理模块对协议报文进行限速后,进一步将协议报文环回至对应Slice的入方向处理模块中,每个Slice的入方向处理模块将报文发送至与CPU相连的出方向处理模块中进行集中限速。与CPU相连的出方向处理模块通过如下方式进行集中限速:根据上报CPU的原因编号(Reason ID)映射出监察指针(Policer Pointer),进一步根据监察指针对协议报文进行限速,对预设时间内超过预设阈值的报文进行丢弃。
如图2所示,存在两个相同的协议报文,协议报文0和协议报文1,分别记为PDU0和PDU1,其中,PDU0进入EPE0,PDU1进入EPE1。Slice0上PDU0在EPE0中通过ACL查找匹配后为其分配上送CPU的原因编号100(Reason ID)和用于对报文进行限速的CoPP计数指针。由于配置了将协议报文上报CPU的处理机制,因此EPE0限速后的协议报文最终上送至与Slice0中EPE0相接的CPU中,而在上送至CPU之前,EPE0将协议报文先环回至IPE0中再转送到BSR0进行报文复制然后送到EPE0。同时会采用总线(Bus)的形式把原因编号携带到EPE0,根据原因编号映射出监察指针进一步做报文限速。
Slice1上PDU1在EPE1中通过ACL查找匹配后同样为其分配上送CPU的原因编号100(Reason ID)和用于对报文进行限速的CoPP计数指针。由于配置了将协议报文上报CPU的处理机制,因此EPE1限速后的协议报文最终上送至与Slice0中EPE0相接的CPU中,而在上送至CPU之前,EPE1将协议报文先环回至IPE1中再转送到BSR0进行报文复制然后送到EPE0。同时会采用总线(Bus)的形式把原因编号携带到EPE0,根据原因编号映射出监察指针进一步做报文限速。假设对某种协议报文设定上报速率为1000pbs。而PDU0上报速率为1500pbs,PDU1上报速率为2000pbs,启用出方向CoPP后,EPE0环回后送往BSR0的速率为1000pbs,IPE1环回后送往BSR0的速率为1000pbs。此时EPE0收到的协议报文速率是2000pbs,通过EPE0做集中式限速使此协议报文最终上送CPU的速率为1000pbs。第一次的分布式限速是很有必要的,否则送往BSR0的报文带宽就是IPE0和IPE1的总和,这会造成BSR0的负荷严重,第二次的集中限速是为了使最终上报CPU的速率符合配置的速率值。
本发明还揭示了一种多Slice交换芯片实现CoPP的装置,包括入方向CoPP处理模块和出方向CoPP处理模块,其中,入方向CoPP处理模块用于在入方向CoPP处理中,使每个Slice的入方向处理模块通过ACL识别出协议报文上送CPU并对其进行限速处理,进一步将协议报文发送至与CPU相连的出方向处理模块中进行集中限速处理;出方向CoPP处理模块用于在出方向CoPP处理中,使每个Slice的出方向处理模块通过ACL识别出协议报文上送CPU并对其进行限速处理,进一步将协议报文环回至对应Slice的入方向处理模块中,每个Slice的入方向处理模块将报文发送至与CPU相连的出方向处理模块中进行集中限速。
具体地,结合图1和图2所示,入方向CoPP处理模块包括第一限速模块和第二限速模块,每个Slice的入方向处理模块中设置第一限速模块,与CPU相连的出方向处理模块中设置第二限速模块,且其他Slice上的不工作,其中,第一限速模块用于通过ACL识别出协议报文并对协议报文进行限速处理,用于对每个Slice入方向和出方向发送的协议报文进行集中限速处理。
进一步地,第一限速模块包括第一ACL模块和第一CoPP计数模块,其中,第一ACL模块用于通过ACL识别出协议报文,并为协议报文分配上送CPU的原因编号和CoPP计数指针;第一CoPP计数模块用于根据CoPP计数指针对上送CPU的报文进行计数,对预设时间内超过预设值的报文进行丢弃。第二限速模块包括监察计数模块(Policer Meter),用于根据上报CPU所分配的编号映射出监察指针,并根据所述监察指针对报文进行计数,对预设时间内超过预设阈值的报文进行丢弃。本实施例中,第二限速模块是各Slice入方向和出方向共用的,即集中式限速只有接CPU的Slice出方向上才会设置,并且不接CPU的Slice的出方向处理模块种第二限速模块是无效的。
出方向CoPP处理模块包括第三限速模块,每个Slice的出方向处理模块中设置第三限速模块,其中,第三限速模块用于通过ACL识别出协议报文并对协议报文进行限速处理,进一步将协议报文环回至对应Slice的入方向处理模块中,最终发送至连接CPU的Slice出方向处理模块中进行集中限速。
进一步地,第三限速模块包括第二ACL模块和第二CoPP计数模块,其中,第二ACL模块用于通过ACL识别出协议报文,并为协议报文分配上送CPU的原因编号和CoPP计数指针;第二CoPP计数模块用于根据CoPP计数指针对报文进行计数,对预设时间内超过预设阈值的报文进行丢弃。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
Claims (10)
1.一种多Slice交换芯片实现CoPP的方法,其特征在于,包括入方向CoPP处理和出方向CoPP处理,
在入方向CoPP处理中,每个Slice的入方向处理模块通过ACL识别出需要上送CPU的协议报文并对其进行限速处理,进一步将协议报文发送至与CPU相连的出方向处理模块中进行集中限速处理;
在出方向CoPP处理中,每个Slice的出方向处理模块通过ACL识别出需要上送CPU的协议报文并对其进行限速处理,进一步将协议报文环回至对应Slice的入方向处理模块中,每个Slice的入方向处理模块将报文发送至与CPU相连的出方向处理模块中进行集中限速。
2.根据权利要求1所述的方法,其特征在于,在入方向CoPP中,入方向处理模块通过如下步骤识别出协议报文并对协议报文进行限速处理:
入方向处理模块通过ACL识别出协议报文,并为该协议报文分配上送CPU的原因编号和CoPP计数指针;
根据CoPP计数指针对该协议报文进行计数,并对预设时间内超过预设阈值的报文丢弃。
3.根据权利要求2所述的方法,其特征在于,在入方向CoPP中,与CPU相连的出方向处理模块通过如下步骤对协议报文进行集中限速处理:
根据上报CPU的原因编号映射出监察指针,进一步并根据所述监察指针对协议报文进行计数,并对预设时间内超过预设阈值的报文进行丢弃。
4.根据权利要求1所述的方法,其特征在于,在出方向CoPP中,出方向处理模块通过如下步骤识别出协议报文并对协议报文进行限速处理:
出方向处理模块通过ACL识别出协议报文,并为该协议报文分配上送CPU的原因编号和CoPP计数指针;
根据CoPP计数指针对该协议报文进行计数,并对预设时间内超过预设阈值的报文丢弃。
5.根据权利要求4所述的方法,其特征在于,在出方向CoPP中上,与CPU相连的出方向处理模块通过如下步骤对协议报文进行集中限速处理:
根据上报CPU的原因编号映射出监察指针,进一步并根据所述监察指针对协议报文进行计数,并对预设时间内超过预设阈值的报文进行丢弃。
6.一种多Slice交换芯片实现CoPP的装置,其特征在于,包括
入方向CoPP处理模块,用于在入方向CoPP处理中,使每个Slice的入方向处理模块通过ACL识别出需要上送CPU的协议报文并对其进行限速处理,进一步将协议报文发送至与CPU相连的出方向处理模块中进行集中限速处理;
出方向CoPP处理模块,用于在出方向CoPP处理中,使每个Slice的出方向处理模块通过ACL识别出需要上送CPU的协议报文并对其进行限速处理,进一步将协议报文环回至对应Slice的入方向处理模块中,每个Slice的入方向处理模块将报文发送至与CPU相连的出方向处理模块中进行集中限速。
7.根据权利要求6所述的装置,其特征在于,所述入方向CoPP处理模块包括
第一限速模块,设于每个Slice的入方向处理模块中,用于通过ACL识别出需要上送CPU的协议报文并对其进行限速处理;
第二限速模块,设于与CPU相连的Slice的出方向处理模块中,且其他Slice上的不工作,用于对每个Slice入方向和出方向发送的协议报文进行集中限速处理。
8.根据权利要求7所述的装置,其特征在于,所述第一限速模块包括第一ACL模块和第一CoPP计数模块,所述第一ACL模块用于通过ACL识别出协议报文,并为协议报文分配上送CPU的原因编号和CoPP计数指针;所述第一CoPP计数模块用于根据CoPP计数指针对上送CPU的报文进行计数,对预设时间内超过预设阈值的报文进行丢弃;
第二限速模块包括监察计数模块,用于根据原因编号映射出监察指针,并根据所述监察指针对报文进行计数,对预设时间内超过预设阈值的报文进行丢弃。
9.根据权利要求6所述的装置,其特征在于,所述出方向CoPP处理模块包括
第三限速模块,设于每个Slice的出方向处理模块中,用于通过ACL识别出需要上送CPU的协议报文并对其进行限速处理,进一步将协议报文环回至对应Slice的入方向处理模块中,最终发送至连接CPU的Slice出方向处理模块中进行集中限速。
10.根据权利要求9所述的装置,其特征在于,所述第三限速模块包括第二ACL模块和第二CoPP计数模块,所述第二ACL模块用于通过ACL识别出协议报文,并为协议报文分配上送CPU的原因编号和CoPP计数指针;所述第二CoPP计数模块用于根据CoPP计数指针对报文进行计数,对预设时间内超过预设阈值的报文进行丢弃。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911128140.6A CN110855685B (zh) | 2019-11-18 | 2019-11-18 | 一种多Slice交换芯片实现CoPP的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911128140.6A CN110855685B (zh) | 2019-11-18 | 2019-11-18 | 一种多Slice交换芯片实现CoPP的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110855685A CN110855685A (zh) | 2020-02-28 |
CN110855685B true CN110855685B (zh) | 2021-08-27 |
Family
ID=69601906
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911128140.6A Active CN110855685B (zh) | 2019-11-18 | 2019-11-18 | 一种多Slice交换芯片实现CoPP的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110855685B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113114579B (zh) * | 2021-03-30 | 2022-03-25 | 杭州迪普信息技术有限公司 | Acl下发方法及装置 |
CN114553796B (zh) * | 2022-02-24 | 2023-10-20 | 昆高新芯微电子(江苏)有限公司 | 交换芯片基于cpu reason id实现CoPP的方法和装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101741664A (zh) * | 2009-12-21 | 2010-06-16 | 中兴通讯股份有限公司 | 以太网接口系统实现方法及实现装置 |
CN102231697A (zh) * | 2011-06-17 | 2011-11-02 | 瑞斯康达科技发展股份有限公司 | 一种报文队列的带宽调度方法、报文上报方法及其装置 |
CN102780640A (zh) * | 2012-08-17 | 2012-11-14 | 盛科网络(苏州)有限公司 | 交换芯片中实现多层lm的方法及装置 |
CN106789759A (zh) * | 2016-12-19 | 2017-05-31 | 迈普通信技术股份有限公司 | 一种报文上送方法及交换芯片 |
CN107959638A (zh) * | 2017-11-23 | 2018-04-24 | 迈普通信技术股份有限公司 | 报文发送方法及装置 |
CN109379356A (zh) * | 2018-10-16 | 2019-02-22 | 盛科网络(苏州)有限公司 | 自动捕获cpu攻击报文的方法及装置 |
-
2019
- 2019-11-18 CN CN201911128140.6A patent/CN110855685B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101741664A (zh) * | 2009-12-21 | 2010-06-16 | 中兴通讯股份有限公司 | 以太网接口系统实现方法及实现装置 |
CN102231697A (zh) * | 2011-06-17 | 2011-11-02 | 瑞斯康达科技发展股份有限公司 | 一种报文队列的带宽调度方法、报文上报方法及其装置 |
CN102780640A (zh) * | 2012-08-17 | 2012-11-14 | 盛科网络(苏州)有限公司 | 交换芯片中实现多层lm的方法及装置 |
CN106789759A (zh) * | 2016-12-19 | 2017-05-31 | 迈普通信技术股份有限公司 | 一种报文上送方法及交换芯片 |
CN107959638A (zh) * | 2017-11-23 | 2018-04-24 | 迈普通信技术股份有限公司 | 报文发送方法及装置 |
CN109379356A (zh) * | 2018-10-16 | 2019-02-22 | 盛科网络(苏州)有限公司 | 自动捕获cpu攻击报文的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110855685A (zh) | 2020-02-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8351433B2 (en) | Intelligent electronic device with segregated real-time ethernet | |
US7860009B2 (en) | Providing backpressure flow control to specific traffic flows | |
CN111788803B (zh) | 网络中的流管理 | |
US6185214B1 (en) | Use of code vectors for frame forwarding in a bridge/router | |
CN100466629C (zh) | 一种网络设备和基于多核处理器的报文转发方法 | |
CN102413059B (zh) | 一种基于spb网络的组播转发方法和spbm桥 | |
CN111294291B (zh) | 一种协议报文的处理方法和装置 | |
US8867345B2 (en) | Intelligent electronic device with segregated real-time ethernet | |
CN110855685B (zh) | 一种多Slice交换芯片实现CoPP的方法及装置 | |
WO2014092780A1 (en) | Network congestion management by packet circulation | |
US9350631B2 (en) | Identifying flows causing undesirable network events | |
CN109728931B (zh) | 网络的故障定界方法、装置以及计算机存储介质 | |
CN111431811B (zh) | 一种报文传输控制方法、装置和网络设备 | |
US20200145315A1 (en) | Deduplication of mirror traffic in analyzer aggregation network | |
CN112104564A (zh) | 一种负载分担方法及设备 | |
US8553539B2 (en) | Method and system for packet traffic congestion management | |
US20170063660A1 (en) | Application-specific integrated circuit data flow entity counting | |
JP4087319B2 (ja) | ブリッジ装置 | |
JP6373403B2 (ja) | ネットワークにおける障害ノードの検出 | |
US9806907B2 (en) | Methods and apparatuses for implementing network packet brokers and taps | |
US10547532B2 (en) | Parallelization of inline tool chaining | |
US20040120254A1 (en) | Input port routing circuit that performs output port filtering | |
CN110336759B (zh) | 基于rdma的协议报文转发方法及装置 | |
CN112532544B (zh) | 一种处理报文的方法和交换设备 | |
WO2015050552A1 (en) | Duplicating packets efficiently within a network security appliance |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |