【精华】一个报文的路由器之旅（一）

一个报文的路由器之旅

引言

‍‍‍‍‍‍‍‍‍‍‍‍‍‍如今，在互联网的各种级别的网络中都随处可见路由器，各种低、中、高端的，种类繁多，所具备的功能和内部实现不完全一样。为此，本文档将为您揭晓华为高端路由器（NE40E/80E/5000E）上的实现。‍‍‍‍‍‍‍‍‍‍‍‍‍‍

路由器吃进去的东西哪儿去了

路由器不断的在吞吐通信数据，就像鱼儿一样。通信数据像是路由器的食物。

鱼儿吃进去的食物，有的会被吸收了，进入血液，最终转换成能量或变为身体的一部分；没被吸收的经过肠道排泄到体外。

那么，路由器“吃”进去的数据，上哪去了呢？

鱼儿吞进去的大部分是水，这些水基本都吐出来了，并没有被吸收。同样的，进入路由器的数据，大部分从一个接口进去，从另一个接口出来，它们只是“过路”的业务报文，也有人称之为“过路”报文。有一小部分数据被“吸收”了（被上送CPU处理，或者因为各种原因中途被丢弃）。

路由器转发全景图

下图是路由器收到的业务报文和协议报文在转发层面的处理流程。

下图是路由器CPU发送的协议报文的在转发层面的处理流程。

是不是觉得上图太复杂、概念太多，看不懂？

上述图片只是给一个总的概念，以便更好的理解后续章节的描述。

为了方便理解，让读者知其然，并知其所以然，后续章节并非按设备执行的顺序进行介绍，而是按由主到次，由总到分的逻辑来介绍。

从“交换”谈起

数据是通过接口板接收和发送，通信线缆都要插接到接口板的接口上。那么，把某一个接口来的数据包送到另一个接口发出去，这两个接口需要连起来。但实际上，数据包可能从任意接口进来，从任意接口出去，都这么点到点连接的话，则需要N*(N-1)/2根线互联，太多了。

为了解决这种大量连接的问题，接口板和接口板之间需要通过交换网（Switch Fabric）板衔接起来，接口板只要通过若干连线跟交换网板连接，就能完成任意接口的互通。

说明：有的设备如NE40E-X1/X2，没有交换网板，但其接口板上有交换模块（Switch Module），其完成的功能都是一样的。

交换网属于“三无”部件，即与设备配置无关、与协议无关、与数据包类型无关。交换网专注于在入接口和出接口之间建立连接，完成数据的交换。

上行和下行

以交换网为中心，可将报文在路由器的行程一分为二，前半程称为“上行”，下半程称为“下行”。

寻址转发

可能有人会问，报文从一个接口进来，经过“交换”，从另一个接口出去，这个交换机也会做啊，何必用路由器？是的，交换机也有交换功能。但是，在互联网中，从一个节点到另一个节点，有许许多多的路径，路由器可以选择通畅的最短的路径，从而提高通信速度，减轻网络负荷，节约网络资源，这是交换机所不具备的能力。为数据包选择一条合适的（通常指最短的）传输路径，然后从对应的接口发送，这个过程就称为“寻址转发”。

路由器所在的网络几乎都是遵循TCP/IP体系的，路由器是工作在该体系的第三层，即网络层。

所以，刚才提到的“寻址”的”址“是指根据数据包的网络层地址——IP地址。为了寻址，路由器需要一张“地图”，以目的IP地址为索引的“地图”，也就是路由表。每个路由器中都有一张路由表。

{ 路由表长什么样 }

下图是一张实际的地铁出口地图。

实际的路由表跟上图有些相似。路由表的索引是目的IP地址/掩码，每个表项中都有对应的下一跳IP地址和出接口信息，如下图。

有了这张表，路由器接在收到数据包时就能做到心中有数了。比如收到一个目的地址为10.0.0.1的报文，路由器就可以查表得知需要将该报文发送到GE1/0/0这个接口。

这个路由表怎么得来的呢？一种办法是手工制作，对路由器进行手工设置固定的路由。但是这种路由不能对网络的改变作出反映，如果网络拓扑变化了，需要人工去修改设置。还有一种办法就是运行动态路由协议，让路由器之间相互传递路由信息，利用收集到的路由信息进行计算，生成路由表，这样就可以让路由表实时跟进网络拓扑的变化。在实际应用中，这两个办法都用上了，当动态路由与静态路由发生冲突时，以静态路由为准。当然，路由表还有一类路由，不是人工配置的，也不是路由协议的学习，而是由链路层协议发现的，称为直连路由。

{ 路由表放在哪 }

有了路由表，接下来要考虑的是，路由表放哪合适呢？

前面说过，数据包是从某个接口进来，经过交换网，再从另一个接口出去。那路由表能不能放交换网？答案是不行，因为交换网要完成整个设备所有报文的交换，为了让交换网完成高速交换，不成为瓶颈，不能再让交换网去运行路由协议、维护路由表、做寻址转发。

那路由表能不能放下行接口板？答案也是不行，交换网做交换的时候，就需要知道要送往哪块目的单板，所以寻址转发需要在上行完成。然而，如果把路由表放上行接口板，由于报文可能从任意接口板进来，那么所有的接口板都需要放一个路由表。其实，还有更好的办法，就是将路由表放在一个公共的地方，比如主控板上，由主控板的CPU运行路由协议，计算路由，生成和维护路由表。

{ 转发表与路由表 }

华为高端路由器采用的是“硬转发”，业务报文不经过主控板CPU处理，不能直接用主控板上的路由表，接口板上也需要有供寻址转发的信息。所以，主控板CPU生成路由表之后，还要将相关信息下发给各个接口板。这些相关的信息就是转发信息，存放在各个接口板的转发信息表FIB（Forwarding Information Base）中。各个接口板上的转发信息都是相同的，因为它们具有相同的来源，都来自主控板。

实际上，现代高性能路由器在架构上都是转发和控制分离：把转发层面和控制层面分配在不同的组件，控制层面运行路由协议，维护路由表，并下发转发表FIB到转发层面，由转发层面负责数据包转发。这样做的最基本的好处就是不会相互影响：如果流量很高导致转发层面高负荷，但是其不会影响控制层面进行正常的路由学习；相反的，如果控制层面对路由信息的处理比较繁忙，也不会影响转发层面进行其高速的数据包转发。

细心的读者会发现，路由表和转发表看起来差不多，都有目的IP地址/掩码、下一跳、出接口这三个信息。实际上，转发表是根据路由表生成的。路由表中可能包含到达目的地址的多条路由，但是转发表里面只取其中的最优路由。而且，路由表的下一跳是原始的下一跳，不一定是直接可达的，FIB是用于指导转发的，它的下一跳必须是直接可达。根据“原始下一跳”找到“直接下一跳”的过程就称为“路由迭代”。

路由器上电启动之后，就会运行路由协议学习网络拓扑，生成路由表，如果接口板注册成功，主控板就可以根据路由表生成转发表项并下发给接口板，这样路由器就可以根据转发表转发数据包了。执行数据包转发的部件是位于接口板上的一个被称为包转发引擎PFE（Packet Forwarding Engine）部件，通常是NP或ASIC芯片。

{ 找不到路怎么办？}

上述这种在转发报文前，提前准备好转发表，待收到报文时再查表转发的方式称为“预路由”，“先铺路，后通车”。现在路由器都采用这种方式进行IP单播转发。在这种方式中，查表转发时，如果没有匹配上（如果有默认路由，最终会匹配上默认路由，默认路由不存在“不匹配”的情况），意味着这台路由器没有到这个目的地址的路由（或者还没有学习到这个路由），也就是找不到路，迷路了。数据包迷路了怎么办，原路返回？想象下，如果迷路了就被原路返回给源端，那源端重发的还是同样的目的地址，那这个报文还是会在同一个地方迷路，再原路返回，死循环了。所以，数据包迷路了只能被丢弃。出于可维护方面的考虑，包转发引擎PFE会记录丢弃原因和统计丢弃的报文数。

{ 预路由与流触发 }

刚才说到路由器都采用“先铺路，后通车”的预路由方式。相对的，“先通车，后铺路”的方式，被称为“流触发”。流触发方式中，设备收到报文，查转发表，如果转发表中不存在对应的表项，就根据这个报文生成一个转发表项。这样，该用户流的下一个报文就可以命中转发表进行转发了。

目前，路由器和交换机在进行二层转发时所使用的MAC表，就是采用MAC地址学习方式，类似于“流触发”方式。

从安全性角度上，流触发显然容易造成流量攻击，为攻击者提供了一个合理合法的攻击路径。攻击者可以使用各种未知目的报文对系统进行遍历扫描攻击，形成对路由器的流量攻击。所以，华为高端路由器上，除了有MAC学习方式机制外，为了预防流量攻击，还提供了限制MAC地址学习的功能，即限制最多允许学习多少个MAC地址，并限制每次学习的时间间隔；而且还允许去使能MAC地址学习，允许人们像配置静态路由一样去手工配置MAC表项。

文章来源：华为

---END---