TSN協(xié)議族根據(jù)實(shí)現(xiàn)功能可以分為：定時(shí)與同步、延時(shí)、可靠性和資源管理四個(gè)類別，往期的時(shí)間同步——TSN協(xié)議802.1AS介紹一文向大家介紹了定時(shí)與同步功能的核心——802.1AS協(xié)議，而在基于TSN工具的時(shí)間同步分析（七種延時(shí)，一次厘清）一文中討論了評(píng)價(jià)時(shí)間同步精度的七個(gè)指標(biāo)，本文則將介紹實(shí)現(xiàn)可靠性功能中的802.1Qci協(xié)議。

一、簡(jiǎn)介

IEEE 802.1 Qci全稱Per-Stream Filtering and Policing（以下使用簡(jiǎn)稱PSFP），即對(duì)每個(gè)數(shù)據(jù)流采取過(guò)濾和控制策略，以確保輸入流量符合規(guī)范，從而避免由故障或惡意攻擊（如Dos攻擊）引起的異常流量問(wèn)題。本文將通過(guò)分析異常流量問(wèn)題，闡釋可行的過(guò)濾控制策略，以及為什么Qci推薦使用對(duì)每個(gè)數(shù)據(jù)流（Per-stream）的過(guò)濾控制策略，最后介紹PSFP的基本工作過(guò)程。

二、異常流量問(wèn)題

異常流量是指發(fā)送端或交換機(jī)發(fā)送了過(guò)多流量，或是在錯(cuò)誤的時(shí)間發(fā)送流量，這樣就占用了其他流量的帶寬，導(dǎo)致這些流量的帶寬和時(shí)延都無(wú)法保證，甚至?xí)绊懙秸麄€(gè)網(wǎng)絡(luò)。

下圖展示了基本的異常流量現(xiàn)象，圖中T1、T2是兩個(gè)發(fā)送節(jié)點(diǎn)，L1、L2、L3作為三個(gè)接收節(jié)點(diǎn)，B1、B2是兩個(gè)Bridge設(shè)備，紅色、綠色分別表示T1、T2發(fā)送的數(shù)據(jù)流；這里T1發(fā)送的數(shù)據(jù)流超出其規(guī)定的帶寬，導(dǎo)致同樣從B1流出的T2數(shù)據(jù)流受到影響，使得接收節(jié)點(diǎn)L3接收數(shù)據(jù)的帶寬和延遲要求沒(méi)有滿足。

為了解決上述的異常流量現(xiàn)象，可以在異常流量進(jìn)入Bridge設(shè)備時(shí)采取過(guò)濾和控制策略，如下圖所示：

圖中，在B1輸入端口處引入過(guò)濾器，過(guò)濾器會(huì)對(duì)經(jīng)過(guò)的異常流量采取限制措施，使得在B1輸出端口處各流量均能滿足其帶寬要求。

三、過(guò)濾和控制策略

在對(duì)流量的限制上，有多種過(guò)濾和控制策略，按照過(guò)濾方式可以分為：

（1）對(duì)單個(gè)流量過(guò)濾（以下簡(jiǎn)稱單流）

（2）對(duì)單個(gè)流量類（Traffic class）過(guò)濾（以下簡(jiǎn)稱單類）

按照控制方式可以分為：

（1）限流

（2）阻斷

組合起來(lái)就有四種過(guò)濾和控制策略，接下來(lái)分析這些策略。需要注意的是，過(guò)濾和控制都是針對(duì)有帶寬要求的流量，即不適用于BE（Best Effort）數(shù)據(jù)流。

1、單類+限流

如圖所示，每個(gè)交換節(jié)點(diǎn)的輸入端口均設(shè)置了單類過(guò)濾器，在輸出端口設(shè)置有基于信用的整型器（CBS）；圖中的紅、藍(lán)、綠三種顏色表示的流量均屬于同一流量類，因此，在B1的單類過(guò)濾器處，由于紅色流量發(fā)生異常，導(dǎo)致總的流量類帶寬為35+20超出40Mbit/s的限額，從而觸發(fā)限流控制策略，使得紅色流量實(shí)際輸出帶寬為30Mbit/s，藍(lán)色流量實(shí)際輸出帶寬變?yōu)?0Mbit/s；在B2輸入端口處，紅、綠、藍(lán)流量均滿足了單類過(guò)濾器的要求，但在輸出端口處，紅、綠流量之和為30+55超出了75Mbit/s整型要求，使得綠色流量的最終輸出變?yōu)?5Mbit/s。

由此可以看出，單類+限流的過(guò)濾控制策略不能隔絕異常流量的影響，在上圖中藍(lán)、綠流量自身沒(méi)有異常但最終仍受到紅色異常流量的影響。

2、單類+阻斷

如圖所示，通過(guò)改變控制方式為阻斷，可以確保綠色流量的帶寬要求，但藍(lán)色流量因?yàn)榕c紅色流量同屬一個(gè)流量類，因此也被阻斷。

再考慮另一情況：

同樣是單類+阻斷的過(guò)濾控制，但是僅紅色流量異常變?yōu)?0Mbit/s，而藍(lán)色流量此時(shí)沒(méi)有數(shù)據(jù)發(fā)送，所以對(duì)于B1的單類過(guò)濾器無(wú)法檢測(cè)出紅色流量的異常；在B2輸出端口，由于CBS限制使得紅色流量變?yōu)?5Mbit/s，而綠色流量變?yōu)?0Mbit/s，由此可以看出單類檢測(cè)會(huì)存在不能徹底檢測(cè)異常流量的情況，也就無(wú)法隔絕異常流量對(duì)其他流量的影響。

3、單流+限流

如圖所示，采用單流+限流的方式，成功限制了異常流量，并且其他流量沒(méi)有受到影響；但是，由于采用限流的方式，這意味著存在選擇性丟包的情況，即數(shù)據(jù)可能發(fā)生錯(cuò)誤，而接收端會(huì)認(rèn)為接收到的是正常的流量。

4、單流+阻斷

最后是單流+阻斷的過(guò)濾控制策略，此時(shí)，僅有出現(xiàn)異常的流量受到影響，其他流量正常傳輸。

從以上四種過(guò)濾控制策略的對(duì)比可以看出，單類過(guò)濾僅需要實(shí)現(xiàn)更少的過(guò)濾器，但無(wú)法保證正常流量的帶寬和延時(shí)要求；與之相對(duì)的，單流過(guò)濾可以確保僅異常流量受到控制，其他正常流量不受影響，但需要對(duì)每個(gè)流量都要實(shí)現(xiàn)單獨(dú)的過(guò)濾器，這無(wú)疑需要更多開(kāi)銷(xiāo)；阻斷控制相比限流控制更直接也更安全，一方面確保惡意流量無(wú)法進(jìn)入，另一方面確保流入的數(shù)據(jù)是完整的。

PSFP支持以上四種過(guò)濾控制方式，但推薦采用的是單流過(guò)濾和阻斷控制的組合，因?yàn)榇朔N方式既隔絕異常流量、而不影響網(wǎng)絡(luò)中其他流量，又能最大程度地保障數(shù)據(jù)的完整性。

四、PSFP工作過(guò)程

PSFP由圖中Stream Filters、Stream Gates和Flow Meters三個(gè)表配合完成，下面就來(lái)簡(jiǎn)要介紹它們：

▲Stream Filters，即流過(guò)濾器表，每個(gè)表項(xiàng)表示某個(gè)流對(duì)應(yīng)的過(guò)濾器，與下文中的特定門(mén)控（Gate）和流量計(jì)（Meter）關(guān)聯(lián)；

▲Stream Gates，即流門(mén)控表，每個(gè)表項(xiàng)表示對(duì)某個(gè)流采取的門(mén)控措施（如，門(mén)控狀態(tài)為關(guān)表示禁止對(duì)應(yīng)流量流入）；

▲Flow Meters，即流量計(jì)表，每個(gè)表項(xiàng)表示對(duì)某個(gè)流的流量統(tǒng)計(jì)，當(dāng)該流量超過(guò)了限制帶寬則采取限流或阻斷的控制。

下面介紹PSFP的基本工作流程：首先流過(guò)濾器根據(jù)其中定義的流標(biāo)識(shí)（Stream ID）、優(yōu)先級(jí)（Priority）信息，識(shí)別出流量是否遵循該過(guò)濾器，若由該過(guò)濾器控制，根據(jù)對(duì)應(yīng)的門(mén)控決定是否允許流量流入，若允許流入，則由流量計(jì)中參數(shù)判斷是否超出限額，若超出限額，根據(jù)配置決定采用限流還是阻斷。

再來(lái)考慮PSFP的基本應(yīng)用場(chǎng)景：

▲對(duì)于未知來(lái)源的流量，PSFP通過(guò)設(shè)置門(mén)控關(guān)閉，阻止可疑流量流入；

▲對(duì)于已知來(lái)源的異常流量，這里的異常表現(xiàn)不限于帶寬（帶寬超出預(yù)留帶寬），還包括如：最大數(shù)據(jù)服務(wù)單元（SDU）長(zhǎng)度超出要求等，PSFP可以選擇阻斷或限流。

由此，PSFP通過(guò)對(duì)入站流量的過(guò)濾和控制策略，提高了網(wǎng)絡(luò)的可靠性。

五、結(jié)語(yǔ)

以上就是本次對(duì)802.1Qci協(xié)議介紹的全部?jī)?nèi)容了，總的來(lái)說(shuō)，Qci提供限制或阻斷異常流量的功能，由此提升整體網(wǎng)絡(luò)的健壯性和安全性。后續(xù)會(huì)帶來(lái)更多TSN協(xié)議的解讀，敬請(qǐng)期待。

此外，北匯信息提供TSN技術(shù)Workshop，其中對(duì)行業(yè)現(xiàn)狀及趨勢(shì)分析、根據(jù)應(yīng)用場(chǎng)景提出TSN網(wǎng)絡(luò)架構(gòu)解決方案等內(nèi)容，將有效地幫助客戶迎接下一代E/E架構(gòu)中時(shí)間敏感網(wǎng)絡(luò)帶來(lái)的挑戰(zhàn)。

北匯信息還是TSN Systems在中國(guó)的獨(dú)家合作伙伴，借助TSN Systems公司專業(yè)的TSN網(wǎng)絡(luò)設(shè)備及分析軟件，能夠?yàn)橄乱淮鶨/E架構(gòu)中時(shí)間敏感網(wǎng)絡(luò)提供系統(tǒng)級(jí)測(cè)試解決方案，包括系統(tǒng)設(shè)計(jì)測(cè)試、系統(tǒng)性能測(cè)試以及系統(tǒng)魯棒性測(cè)試等。

參考文檔

[1] IEEE Std 802.1Qci-2017

[2] Ingress Policing IEEE 802.1 TSN Plenary November 10-15, 2013 – Dallas, USA

[3] Time-Sensitive Networking (TSN) Profiles