锐捷网络万兆的持续创新

2003年9月：第二代万兆

    2002年6月份，万兆以太网技术基于光纤传输的第一个标准IEEE 802.3ae获得通过。为了迎接万兆以太网应用时代的到来，各厂家首先在核心设备上推出了众多的万兆以太网交换机。当时，市场上的万兆交换机一般是在千兆交换机的基础上增加万兆模块，但这种设计，无法真正满足万兆线速转发，习惯上称之为第一代万兆技术。

    2003年，锐捷网络在RG-S6800交换上采用了创新的第二代万兆技术，整体软、硬件构架真正以满足万兆端口线速交换为目的，产品性能得到了极大的提升，锐捷网络成为国内最先提供万兆端口线速技术的厂家。全球当时仅有少数几个厂家可提供该技术。

2003年9月：SPOH

    通过对交换机数据处理的L2/L3/QOS/ACL/组播等行为进行深入分析后可以发现，不同的数据处理行为对端口的依赖性是不同的：L2/L3/组播等数据在不同端口之间转发，与多个端口关联，需要统一协调关联端口的资源情况；而ACL和QOS则依赖于独立的单个端口，实施效果则受制于端口本身可获得的资源情况。
 

    SPOH技术是针对ACL、QOS等独立端口的数据处理行为，进行彻底的分布式设计，实现端口级分布式硬件处理，达到各不同端口可以同步处理ACL、QOS功能。SPOH设计为每个交换机的物理端口都提供了智能保障和安全防护的硬件器件，保证了网络设备在启用智能保障和安全防护时达到最高的效率，而且完全不影响数据的处理性能和CPU利用率，达到性能、安全和智能在核心交换设备的全面提升。
 

    锐捷第二代万兆交换机RG-S6800在业界优先应用了SPOH同步式硬件处理技术，在03年“冲击波”病毒泛滥时，也全面保障了设备的稳定运行。

2004年9月：NP+ASIC

    ASIC芯片是业界到目前为止处理能力最高的芯片，而NP是业界到目前为止可灵活提供功能扩展器件中处理能力最强的产品。使用ASIC芯片高速处理各种传统的业务，如二层交换、三层路由、ACL、QOS以及组播处理等等，满足核心交换机对于交换机处理性能的需求。利用NP实现各种非传统或未成熟的业务，根据需要灵活支多种业务功能，满足核心交换机对于业务按需叠加的需求；同时NP接近ASIC的高效特性又保障了多业务提供的高性能，依然保持了核心交换机对于强大处理能力的需求。

    NP+ASIC设计方式具有提供强大处理能力，业务按需叠加，业务与性能并重等特性。
 

    2004年，锐捷网络RG-S6800E在国内早期应用了NP+ASIC的设计方式，并成为了国内第一台支持IPv6的高端核心交换机，同时通过了IPv6 Ready认证。

2004年9月：三平面分离

    交换机的基本工作是处理不同接口上各种类型的数据，对于数据处理过程中各种具体的处理转发过程，例如L2/L3/ACL/QOS/组播/安全防护等各种网络功能的具体执行，都划分为交换机的数据平面；而控制平面用于控制各种网络协议的运行，例如控制OSPF、ARP、STP等等协议的正常运行，控制平面提供了对网络环境的准确认识，提供了数据平面数据处理转发前所必须的各种网络信息和转发查询表项；至于管理平面的功能是提供给网络管理人员使用TELNET、WEB、SSH、SNMP、RMON等方式管理设备的各种管理接口，并支持、理解和执行管理人员对于网络设备各种网络功能的设置命令。

    为什么需要对数据平面、控制平面和管理平面进行相互的分离呢？
 

    假设这几个平面不进行任何的分离，数据平面和控制、管理平面使用共用的主机资源，在大数据流量、复杂应用环境下，数据平面由于承担着繁重的日常任务，将可能消耗绝大部分资源，这对于整个交换机系统无疑是灾难性的。因为在某些极端的情况下，控制平面将没有充分的资源来保障运行，这就意味网络设备失去了对设备所处网络环境的真实了解，网络设备将立即陷于非正常工作状态甚至瘫痪状态，而管理人员也没有资源使用管理平面对网络设备的运行进行干预，所以数据平面需要严格地与控制平面、管理平面进行分离。
 

    管理平面所要求的系统资源是最低的，分离出一定的系统资源独立运行管理平面并不影响控制平面的运行，反而能更好地保证控制平面的正常运行。因为，在网络环境频繁变动、网络协议剧烈动荡的情况下，控制平面所需要的资源将持续保持在一个极高的水平线，这其实说明了网络设备在该网络情况下是无法适应和正常运行的。管理平面的分离让系统管理员可以在控制平面出现异常状况的时候依然拥有足够的资源顺利地打开设备的管理界面，通过改变或终止某个协议、端口的运行来阻止非正常网络环境对网络设备的剧烈影响，最终达到在线改变网络设备控制平面非正常运行的局面，因为控制平面的正常运行是至关重要的。

    通过采用数据平面、控制平面、管理平面相互分离的结构模型，保证了大量的数据处理不影响管理和控制，而在路由和环境复杂条件下，控制平面不影响管理平面，高度保证了系统安全稳定性。

 作为传统方案的演进，“三平面分离”技术在稳定性设计上进一步增强， “三平面分离”技术注重于保护核心设备在病毒和攻击环境下依然提供正常的网络设备管理，满足在线地定位和解决安全问题。

2006年9月：十万兆平台

    自从2002年业界出现了万兆技术以后，下一代的高带宽以太网技术就成为了研究的方向。2006年1月，业界出现了100G以太网的联盟。2006年7月20日，IEEE全体会议在美国San Diego正式批准新的100Gbps高速以太网标准建议。至此，业界对于以太网下一代速率的发展形成了一致的答案——100G。

    十万兆平台以扩展100G接口为设计目标，以分布式CROSSBAR的结构支撑每线卡带宽在200G以上，因此也得以在100G标准出来之前提供高密度的万兆线卡，满足万兆大规模普及到汇聚以后对核心设备高密度万兆的要求。
 

    2006年9月，锐捷网络推出了基于十万兆平台设计的核心交换机RG-S8600/RG-S9600，每线卡带宽分别达到200G/300G，并相继推出了8口万兆线卡，支持万兆大规模普及的应用。锐捷十万兆平台不仅在带宽性能上得到了提升，在核心产品最为重要的安全稳定方面也得到了加强。首先十万兆平台采用了模块化的操作系统RGOS，模块化操作系统由于可以隔离不同功能模块之间的故障，对系统稳定性有极其重要的帮助。其次，十万兆平台应用了自研的基于设备级别的CSS安全体系。

2006年9月：CPP技术

    从交换机的体系结构来看，交换机由两部分组成：ASIC芯片用于高速的转发数据包，而CPU主要是来处理一些更为复杂的事务，包括对网络管理方面任务和请求进行处理；处理各种协议报文以及部分特殊的数据报文。

    常见的对网络设备的病毒和攻击实际上就是让主机没有资源去应付这些正常的请求，把大量的资源都用在处理那些非法性质的请求和事务上，从而导致系统的不可用。

    随着交换机应用的逐渐普及，以及网络攻击的不断增多，越来越需要为数据交换机提供一种保护机制，对发往交换机CPU的数据流，进行流分类和优先级分级处理，以及CPU的带宽限速，以确保在任何情况下CPU都不会出现负载过高的状况，从而能为用户提供一个稳定的网络环境，这种保护机制就是CPU Protect Policy，简称CPP。

    锐捷CPP采用硬件的技术限制各种流量进入CPU的速率，或完全屏蔽某种危害流量，保护网络设备的稳定运行。

2007年1月：模块化操作系统RGOS

    RGOS的全称是Ruijie General Operation System，中文意思是“锐捷通用操作系统”。RGOS是一个为了安全互联网络而设计的完全模块化的支持多种平台的网络操作系统，它拥有三大关键特性：安全性、完全模块化和开放性。

    模块化： 模块化操作系统的优势是各功能和进程各自独立，可以实现相互故障隔离，提升系统稳定性。这是模块化设计的最大优势，而且开发的新功能不影响原有功能，提升了新功能开发与测试效率，可以更加快速地提供新功能和新技术。

    开放性： RGOS拥有一个“硬件抽象层”，因此RGOS可以通过不同的设备驱动程序连接不同的硬件设备。目前锐捷网络交换产品和路由产品都陆续统一到了RGOS操作系统平台，而未来还计划扩展到无线、存储、安全等产品线。在软件设计方面，RGOS还拥有POSIX可移植操作系统接口，该接口是国际标准接口，通过POSIX，操作系统的内核可以和各种符合POSIX接口的软件功能模块通信和调度。

    由于全线产品均采用同一个RGOS操作系统，更加广泛的产品应用，可以推动操作系统更快速地升级和优化，有助于系统的功能丰富性和系统稳定。而且可以集中研发资源，有利于更快地发展产品和技术，同样对系统的功能丰富性和系统稳定都有帮助。并且RGOS可灵活扩展软件功能、硬件模块，从技术平台上提供了保护用户投资，满足现在及未来各种应用需求的基础。

    安全性： 锐捷RGOS从操作系统的层面上保证了网络的安全，提供基于设备级别的完整安全体系——CSS安全体系。CSS是国内第一个基于设备级别的整体安全体系，包括了安全监控、安全防护、安全管理、安全数据和安全模块等五个方面的系统安全技术。CSS安全体系可以保证设备在安全威胁不断升级的今天仍然能够正常运行，提升网络基础设备的安全等级。

2007年1月：CSS安全体系

    完整的安全体系是一个整网概念，网络中的每个设备都必须充分发挥其自身的安全防护能力，这样整网的安全才能健壮。同时要考虑在没有整网安全防护体系的网络中，设备如何履行安全职责，所以设备的安全特性不论在哪种安全构架中都至关重要。

    CSS安全体系是国内第一个基于设备级别的安全体系，它包括了安全监控、安全防护、安全管理、安全数据、安全模块等方面技术。

    CSS安全体系包含了完整的安全特性，即“信息的安全”和“系统的安全”。对网络设备而言，设备系统的安全最重要，而如何发现安全和保护安全是其关键所在。CSS安全体系提供了联动网络设备的安全检测和安全防护的NFPP技术，同时在安全监控方面引入了国际标准的流量监视技术IPFIX。

2008年4月：NFPP技术

    NFPP是英文Network Foundation Protection Policy的缩写，中文意思是“基础网络保护策略”，NFPP技术最核心的思想是联动网络设备的安全检测和安全防护技术，实现网络设备的智能安全体系，最关键的词语是“联动和智能”，也是RGOS操作系统提供的CSS安全体系的最核心技术。

    CPU和交换机端口是网络中流量经过的核心部件，对主机的攻击一般都针对CPU进行，而针对网络的任何攻击都会经过交换机端口。因此只要能为“CPU”和“交换机端口”提供完善的安全检测和安全防护技术就能极大提升交换机的安全保障能力。
 

NFPP的技术分为三个阶段：

    第一阶段：针对网络设备的CPU进行安全监控和安全防护的联动

    NFPP技术对发往CPU的数据流进行速率监控，同时可以设定“限速基准”和“攻击基准”。当被监视流的速率超过了“限速基准”，超出基准的数据包将被抛弃，避免CPU压力过大，同时继续对数据流进行速率监控；当被监视流的速率继续增大，超过了“攻击基准”，则NFPP技术可以判断该数据流是一个非法的攻击数据流，可以对该数据流进行隔离，达到保护CPU的效果。

    第二阶段：针对网络设备的交换机端口进行安全监控和安全防护的联动

    当交换机配备IPFIX多业务卡后，交换机可以对流经交换机端口的数据流进行监控，并智能地对交换机端口进行安全防护控制，工作原理与NFPP针对CPU的监视和防护联动相同。
    NFPP技术通过IFPIX对经过交换机端口的数据流进行速率监控，同时可以设定“限速基准”和“攻击基准”，当被监视流的速率超过了“限速基准”，多余的数据包将被抛弃，同时继续对数据流进行速率监控，当被监视流的速率继续增大，超过了“攻击基准”，则NFPP技术可以判断该数据流是一个非法的攻击数据流，可以对该数据流进行隔离，达到保护网络设备和网络带宽的效果。

    第三阶段：配合安全管理平台联动其它网络设备

    NFPP第三阶段可以把CPU监视或IPFIX对交换机端口监控的结果发送给后台的安全管理平台，安全管理平台可以设置“攻击基准”和“攻击模型“，当被监视流的速率超过了“攻击基准”，或被监控流的数据特征符合“攻击模型”，NFPP都可以对网络中支持NFPP的网络设备进行安全防护命令下发，对攻击数据流进行隔离，达到保护网络设备和网络带宽的效果。