什么是CPCAR?
CPCAR是网络设备CPU防攻击的核心部分,通过对上送控制平面的不同业务的协议报文分别进行限速,来保护控制平面的安全,从而保证CPU对业务的正常处理。报文限速的方式主要分为:基于协议的限速、基于队列的调度和限速、所有报文统一限速。
为什么需要CPCAR?
CPCAR是CPU防攻击的核心部分,CPU防攻击是本机防攻击的功能之一。为什么要对CPU进行防攻击保护呢?
在网络中,存在着大量针对网络设备CPU的恶意攻击报文以及需要正常上送CPU的各类报文。针对CPU的恶意攻击报文会导致CPU长时间繁忙的处理攻击报文,从而引发其他业务的中断甚至系统的中断;大量正常的报文也会导致CPU占用率过高,性能下降,从而影响正常的业务。
为了保护CPU,并且保证CPU对正常业务的处理和响应,网络设备可以使用本机防攻击功能。本机防攻击针对的是上送CPU的报文,主要用于保护设备自身安全,保证已有业务在发生攻击时的正常运转,避免设备遭受攻击时各业务的相互影响。
CPCAR如何保护控制平面?
CPCAR通常会限制上送到控制平面将由CPU处理的数据包,并不会影响正常转发的数据包。例如,与FIB表中的转发条目相关的流量不会受到影响,因为这部分流量不由CPU进行处理。如下图所示,数据包1和数据包4将被上送到CPU处理,它们会受到CPCAR的限制。由于已经协议速率超过了配置的CPCAR值,数据包4被丢弃。而数据包2、3、5和6由于不会被CPU处理,不受CPCAR影响,被正常转发。
CPCAR如何对协议报文进行限速?
CPCAR如何对协议报文进行限速?
CPCAR核心技术
网络设备通过ACL识别各类业务的协议报文,然后以CAR的形式限定各类协议报文上送CPU的速率阈值,从而达到保护控制平面的作用。CPCAR可以设置上送CPU报文的分类限速上送规则,报文限速主要分为如下几类:基于协议的限速、基于队列的调度和限速、所有报文统一限速。如下图所示。
上送CPU的报文限速分类
- 基于协议报文的限速:是指CPCAR中可以针对每种协议单独设置承诺信息速率CIR(Committed Information Rate)和承诺突发尺寸CBS(Committed Burst Size),对于超过该速率值的协议报文,设备直接予以丢弃,从而可以保证每种协议对应的业务能够得到正常处理,同时可以保证协议之间不会相互影响,避免因为某种协议的流量过大导致其它协议报文得不到处理的情况发生。
- 基于队列的调度和限速:协议限速之后,设备可对一类协议再分配一个队列,比如Telnet、SSH等管理类协议分为一个队列,路由协议分为一个队列,各个队列之间按照权重或优先级方式调度,保证各类业务的优先级,优先级高的业务被CPU调度的几率更大,在有冲突的情况下保证高优先级业务优先处理。同时,可以针对每个队列进行限速,限制各个队列向CPU上送报文的最大速率。对于超过最大速率的协议报文,设备会直接丢弃。
- 所有报文统一限速:所有报文统一限速是为了限制CPU处理的报文总数,保证CPU在其正常处理能力范围内尽可能多的处理报文,而不会造成CPU异常,保证了设备CPU的正常运行。
当上面三种限速方式同时生效时,设备以最小限速值进行限速。
为了解决固定的默认CPCAR值无法满足实际应用中协议报文上送速度的动态需求,网络设备还提供了根据业务规模、报文的丢包行为以及CPU占用率自动调整协议报文的默认CPCAR值的功能。
