[发明专利]用于对异常分组的慢路径处理进行动态速率限制的方法、系统和计算机可读介质

说明书

相关申请

本申请要求享有2008年3月28日提交的、序号为61/066,145的美国临时专利申请和2008年4月10日提交的、序号为12/100,498的美国专利申请的优先权；通过引用的方式将上述每个申请的全部公开内容并入本申请。

技术领域

本申请描述的主题涉及在层2和层3分组转发设备中处理异常分组。更具体地，本申请描述的主题涉及用于对分组转发设备中异常分组的慢路径处理进行动态速率限制的方法、系统和计算机可读介质。

背景技术

层2和层3分组转发设备(例如以太网交换机和IP路由器)使用专用硬件转发设备和通用处理资源的组合来处理分组。举例来说，硬件转发设备可以包括专用集成电路(ASIC)、现场可编程门阵列(FPGA)、网络处理单元(NPU)或者上述的组合，用于对层2和/或层3分组执行高密度、高速(即，线路速度)的处理。然而，使用硬件转发设备的一个缺点是其实现起来代价昂贵并且可能不能处理(例如，由于缺少对接收到的分组进行硬件编程的转发的原因)分组转发设备接收到的所有分组。

因此，除了包括分组转发硬件以外，层2或层3分组转发设备可以包括多用途中央处理单元(CPU)或一组CPU，以用于执行不能使用分组转发硬件进行的各种任务。例如，CPU可以用于执行用于以下操作的软件：接受用户配置信息、管理交换机、对分组转发硬件进行编程、以及处理转发硬件不能处理的任何分组。转发硬件不能处理的分组称作异常分组，由CPU对异常分组进行的处理称作慢路径处理(slowpath processing)。因为对这些分组进行CPU处理要慢于使用硬件转发对分组进行处理，所以异常分组的慢路径处理一般是不希望的。为了获得在市场上有竞争力的价格，传统的层2或层3分组转发设备通常包括的CPU除了它们的其它应有的任务以外不能支持高分组转发速率。因此，层2或层3交换机中用于对异常分组的慢路径转发的处理资源可能是有限的。

对层2和层3分组转发设备中异常分组进行慢路径处理的传统方法中的一个问题在于：异常分组的提高的速率可能会使CPU的利用率升高，因此，CPU执行的其它重要功能的性能可能受到影响。虽然异常分组的速率的提高通常是临时的情况，但是如果CPU利用率过高，则分组转发设备可能容易受到安全威胁并出现软件崩溃。

例如，转发设备接收到的异常分组的数量在拒绝服务(DoS)攻击期间可能显著增加。在DoS攻击期间，受攻击的计算机或设备可能会被转发硬件不能处理的大量分组淹没。因此，交换机可能被迫消耗其CPU资源来处理这些异常分组，直到其无法提供如用户配置或管理之类的其它服务为止。

在另一实例中，可能因网络拓扑而不是恶意行为而产生异常分组。例如，层2或层3分组转发设备可以通过基于各种路由协议来交换包含网络路由信息的消息的方式将网络路由信息传输给其它网络节点。示例性的路由协议可以包括地址解析协议(ARP)、路由信息协议(RIP)、边界网关协议(BGP)、以及开放式最短路径优先协议(OSPF)路由协议。在大量网络设备同时连接到单个分组转发设备的情形下，为了确定网络拓扑的细节，通过这些协议发送给分组转发设备的路由协议消息数量可能会出现大的尖峰。该网络行为是临时且预期的(即，非恶意攻击)，但可能仍然会对CPU的完整性和服务造成损害。

防止与处理异常分组相关联的层2或层3分组转发设备中的CPU过载的一种传统办法是对CPU在给定期间内处理的异常分组的数量设置静态的速率限制。对异常分组的静态速率限制处理包括：一直限制CPU可以处理的异常分组的数量，而不论CPU使用情况以及处理能力如何。从而，在异常分组增加期间，CPU受到保护而不过载。虽然静态的速率限制可以防止CPU过载，但是因为其人为地减少了处理异常分组的速率，所以它同时也使CPU资源在较轻负载期间未得到充分利用。对异常分组的处理进行静态速率限制的结果可以包括：减慢的层2媒体访问控制(MAC)地址学习、减慢的对异常分组的慢路径转发、以及意外的协议分组丢弃。

对异常分组的传统处理的另一缺陷是：在速度更快的CPU可用时，这种处理的扩展性不佳。例如，层2或层3转发设备中的CPU可能能够每秒处理一定数量的异常分组。如果CPU被升级从而使得可以处理更多的分组，则传统的静态速率限制或者忽略该额外的处理能力，或者需要手动调至更高以实现增加的处理能力。在前一情形下，可能浪费CPU资源。在后一情形下，可能浪费人力管理资源来手动调整速率限制。