高端网络芯片如何处理数据包？.docxVIP

随着网络芯片带宽的持续提升，其内部数据包处理单元的工作负载也随之增加。然而，如果处理单元无法与网络接口的传入速率相匹配，将无法及时处理数据包，这不仅会导致数据包随机丢失，更会降低网络的吞吐量。

本文将深入探讨与数据包处理相关的各项工作和挑战，分析处理单元吞吐量的需求演变，以及在网络芯片中执行这些功能的多种方法和技术。

数据包处理

网络芯片中的数据包处理是指，当网络数据包通过路由器、交换机或防火墙中的芯片时，芯片对网络数据包执行的一系列操作。网络芯片主要检查数据包的L2/L3报头信息。从宏观层面来看，数据包处理的主要功能可以概述如下：

解析

第一步是对数据包报头进行分析，以了解其结构和所采用的协议（如以太网、VLAN、IP、TCP/UDP以及现有的封装）。解析过程中会识别出后续处理步骤中需要使用的关键字段，例如源地址和目标地址、端口号和协议类型。

封装是网络通信中的一种常见做法，即在数据包外部添加额外的一层报头信息，通常是为了提供额外的功能，例如安全性（在VPN的情况下）和隧道（如GRE或VXLAN）。这样就形成了具有外部报头和一个/多个内部报头的数据包。在这种情况下，解析逻辑需要同时检查外部报头和内部报头。此功能对于严重依赖封装技术对网络流量进行分段、保护和管理的现代网络基础设施至关重要。?

分类

首先要确定数据包的来源。

数据包的来源包括其主机身份、接收接口（逻辑和物理）及其转发域。通常，会执行第2层地址和数据包进入的物理接口之间的绑定检查。然后根据数据包的报头字段（例如源/目标IP地址、端口号和协议类型）对数据包进行分类。分类决定了如何处理数据包，例如应用哪些服务质量(QoS)策略。

隧道终止

通过比较隧道报头字段与隧道端点信息，逻辑确定是否需要终止隧道。

对于需要终止的隧道，其封装的数据包将被解封装，恢复到原始格式后再被发送至最终目的地。外部/内部报头有许多变体，网络芯片可以根据其部署用例支持不同的隧道终止子集。一些常见的受支持的隧道技术包括MPLS、VXLAN、GRE、MPLSoverUDP、IPinIP等。

过滤

许多设备通过访问控制列表(ACL)实现数据包过滤。ACL通常由一组规则（即ACL条目）组成，每个ACL条目定义了一种访问控制策略，包括允许或拒绝特定类型的流量或访问请求。ACL通常基于源地址、目标地址、协议类型、端口号、时间等条件来控制网络访问。

路由查找

根据数据包的目标地址和路由表，处理器决定数据包的下一跳，并据此进行转发。这一过程涉及对IPv4/IPv6数据包执行最长前缀匹配查找，以及在转发MPLS数据包时执行索引查找，或者在基于目标MAC地址进行L2转发时进行精确匹配。查找结果可以直接指示数据包应离开的发送接口，或者指向一系列下一跳指令，这些指令被执行后将找到正确的发送接口。

下一跳处理

下一跳处理（执行存储在大内存中的一系列下一跳指令）决定了如何将数据包转发到其目的地。该处理过程会得出数据包必须离开的目标端口、实现ECMP或?LAG?的负载平衡，以及确定推送或交换的MPLS标签等。此外，数据包可选择性地执行策略控制和计数。

重写

最后一步，数据包报头将被修改以剥离封装报头（在隧道终止的情况下）、更新TTL?递减、V4校验和更新、时间戳更新等。?

入站数据包处理

在入站数据包处理完成后，如果目标队列拥塞，或者该数据包被选择为WRED丢弃对象，则数据包可能会被丢弃。当数据包被允许转发时，它会在片上缓冲区或外部内存缓冲区内排队等待。无论是入站处的数据包排队/出站的可选排队，还是出站调度，这些过程都极大地依赖于网络芯片的架构特性。

出站数据包处理

当数据包从缓冲区中读出，并准备离开出站接口时，它会在出站阶段进行进一步的处理，以便在传输前对数据包进行必要的修改。这些修改包括添加新的L2?报头和/或VLAN标签、封装（当网络设备位于隧道入口点时）、添加MPLS标签等。此外，数据包还可以选择性地通过出站过滤/策略执行。这些实现方式因设备而异。

具有入站/出站数据路径和数据包处理子系统的独立网络交换机

大型路由器可以使用多个模块化路由芯片通过switchfabric相互连接，这些模块化路由芯片可使用术语“数据包转发实体（PFE）”来指代。在这些系统中，入站数据包处理发生在网络流量进入的PFE中，出站数据包处理发生在流量离开的PFE中。?

数据包处理实现

数据包处理的实现方式取决于所需的灵活性、设备的总吞吐量、以及该功能的功耗/性能/面积预算。?

专用处理引擎

大约二十年前，随着网络协议快速演化，新的可选/扩展报头和隧道标准也随之涌现。数据包的处理是通过大量高度灵活且可编程的专用处理引擎实现的。这些专用处理引擎通常包含存