问

路由、交换、安全设备的转发技术咨询

2024-01-11提问

1关注
0收藏，822浏览

小圆圆

小圆圆零段

粉丝：0人关注：3人

问题描述：

关于路由、交换、安全设备的转发原理，存在以下技术咨询，希望各位大佬解答：

1、数据流首次经过路由、交换、安全设备，是否会上主控板进行软表查表（软表查表，CPU是否深度参与？），查询软表之后，是否会在接口板上生成硬件转发表项？硬件转发表项是否是通过其他的专有芯片进行转发？如果数据流后续根据硬件转发表通过专有芯片进行报文转发，那么CPU是否参与硬件查表转发的过程？是一点也不参与，还是说CPU也参与转发，不过参与不多，对CPU的性能消耗不大？

2、当接口配置ACL之后，对于路由、交换、安全设备而言，数据流根据ACL中Rule的匹配查询，是否CPU会深度参与？还是说，ACL表项也会下在硬件转发表中，数据流直接根据硬件转发表进行ACL规则匹配，CPU不参与或者参与不多？

3、安全设备ACL配置数量过多，或者Rule配置过多，不开启加速的话，可能导致CPU升高，那么路由交换设备 ACL数量配置多，Rule数目多（但是ACL数目及Rule条目数量虽多，但仍然在规格内），未开启加速，是否也会导致路由交换设备的CPU升高？

4、安全设备，数据流首次到达，会进行状态检测，之后生成会话表项，我可否理解成，数据流首包进行状态检测的时候，会到安全业务板查找安全策略软表？如果是，这一上安全业务板查找安全策略的行为CPU是否会较多参与？后续生成的会话表项，是否是下发在接口板上的硬件表项，后续数据流直接查找接口板的硬件表项通过专有芯片进行转发，以减少对 CPU的性能消耗？

希望以上问题可以得到各位大佬的帮助！

最佳答案

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：220人关注：8人

这些问题涉及到路由、交换和安全设备的转发原理，尤其是关于软表查表、硬件转发表项、ACL规则匹配以及CPU参与程度等方面的技术细节。以下是针对这些问题的解答：

数据流首次经过路由、交换或安全设备时，通常会先由主控板进行软表查表。软表查表过程中，CPU深度参与，进行表项的查询和匹配。一旦查询完成，结果会生成硬件转发表项，这些表项通常存储在专有芯片中，用于后续的数据流转发。CPU在硬件转发表项的生成过程中也会参与，但具体参与程度会根据设备型号和配置有所不同。硬件转发表项一旦生成，后续的数据流将根据这些表项通过专有芯片进行转发，CPU的参与程度会大大降低，主要是在数据流需要特殊处理时才会深度参与。
当接口配置ACL之后，对于路由、交换或安全设备而言，数据流根据ACL中Rule的匹配查询通常会在主控板上进行。在这个过程中，CPU会深度参与。然而，一些高端设备可能会将部分ACL表项下发到硬件转发表中，以便数据流能够直接根据硬件转发表进行匹配，减少CPU的参与。但总的来说，CPU在ACL规则匹配过程中是深度参与的。
对于路由和交换设备，如果ACL数量配置过多或Rule数目过多（但仍在规格内），并且未开启加速功能，可能会导致CPU使用率升高。这是因为CPU需要深度参与更多的匹配和数据处理工作。
安全设备在进行数据流状态检测和生成会话表项时，通常会在安全业务板上进行。在这个过程中，CPU会较多参与，进行安全策略的查找和匹配。一旦会话表项生成后，它们会被下发到接口板上的硬件表项中。后续数据流将直接查找这些硬件表项并通过专有芯片进行转发，以减少对CPU的性能消耗。

总体来说，CPU在路由、交换和安全设备的转发过程中起着重要作用，尤其是在数据流首次经过设备时。然而，为了提高转发效率并减少CPU的性能消耗，这些设备通常会使用专有芯片来处理大部分转发工作。同时，一些高级功能和特性可能需要更多的CPU参与。