NP-L1-0001

并行处理架构

Intel IXP微引擎指令集

多微引擎并行处理模型

IXP微引擎并行调度算法

步骤1：微引擎分配
将P个微引擎分配给N个数据包流，每个微引擎支持T个硬件线程
步骤2：线程调度
采用零开销线程切换，当线程等待内存访问时切换到其他线程
步骤3：负载均衡
动态分配数据包到空闲微引擎：L_i = Q_i / C_i，选择最小L_i
步骤4：同步机制
使用信号量或原子操作进行微引擎间同步
参数优化：微引擎数P=16，线程数T=4，队列深度Q=32

吞吐量：Throughput = P×T×f/CPI
线程切换开销：≈0周期
强度：支持32线程并行

硬件多线程、零开销切换、并行计算理论

Intel IXP系列NP数据平面处理、线速包转发

P：微引擎数量
T：每个微引擎硬件线程数
Q_i：微引擎i的队列长度
C_i：微引擎i的处理能力
f：时钟频率
CPI：每条指令周期数

集合论：微引擎集合E={e_1,...,e_P}
队列理论：M/M/c排队模型
优化：负载均衡最小化max(L_i)
并行度：P×T并行线程

IXP微码、汇编语言

时序：
周期1：数据包到达分配队列
周期2：微引擎获取数据包描述符
周期3：线程执行处理流水线
周期4：零开销线程切换
周期5：结果写回
方程式：
吞吐量：T_put = (P×T×f)/(CPI×I_pkt)

数据流：数据包→分发器→微引擎队列→线程处理→输出队列
控制流：硬件线程调度器
流向：多生产者-多消费者队列模型

NP-L1-0002

包分类

专用查找指令集

多维包分类算法

元组空间搜索(TSS)

步骤1：字段提取
从数据包头提取d个字段F_1,...,F_d
步骤2：哈希计算
对每个字段计算哈希：h_i = hash(F_i) mod B_i
步骤3：元组构建
元组T = (h_1, h_2, ..., h_d)
步骤4：规则匹配
在元组空间查找匹配规则：R = lookup(T)
步骤5：复杂度
查找时间O(d)，空间O(N^{d/2})
参数优化：哈希函数选择，桶大小B_i

查找速度：每秒百万次查找
误匹配率：哈希冲突概率
内存使用：规则数×元组大小
强度：支持5元组分类

哈希理论、多维搜索、空间换时间

防火墙规则匹配、QoS分类、流量工程

d：字段维度（通常5）
F_i：第i个字段值
h_i：字段哈希值
B_i：哈希桶大小
T：元组向量
R：规则集合

哈希函数：h_i = (a·F_i + b) mod B_i
组合数学：元组空间大小∏B_i
概率：哈希冲突概率P_collision
集合：规则集合交集

NP微码、P4语言

时序：
周期1：提取5个包头字段
周期2：并行计算5个哈希值
周期3：构建元组T
周期4：查找元组空间
周期5：返回最高优先级规则
方程式：
查找时间：T_lookup = Σ_{i=1}^d T_hash(i) + T_table_lookup

数据流：数据包→字段提取→哈希计算→元组构建→表查找→动作
控制流：流水线阶段处理
流向：线性流水线

NP-L1-0003

路由查找

最长前缀匹配指令

多比特Trie查找

多比特Trie(LPM)算法

步骤1：构建Trie
根据路由前缀构建深度为W/k的Trie，每步检查k比特
步骤2：查找过程
从根节点开始，每次取k比特作为索引访问子节点
步骤3：前缀扩展
存储每个节点的最佳匹配前缀
步骤4：复杂度
查找步数：⌈W/k⌉，空间：O(N·2^k)
参数优化：k=4或8平衡步数和空间

查找速度：步数⌈32/k⌉（IPv4）
内存占用：O(N·2^k)
更新复杂度：O(W/k)
强度：线速查找

Trie数据结构、最长前缀匹配、空间换时间

IP路由查找、转发信息库(FIB)

W：地址位数（IPv4:32, IPv6:128）
k：每一步检查的比特数
N：路由条目数
T：Trie节点
child[2^k]：子节点指针
BMP：最佳匹配前缀

树结构：k叉Trie树
字符串匹配：前缀匹配
空间复杂度：O(N·2^k)
时间复杂度：O(W/k)

硬件描述语言、微码

时序：
周期1：取IP地址前k比特
周期2：访问当前节点子指针
周期3：读取BMP并存储
周期4：重复直到地址结束
周期5：返回最后存储的BMP
方程式：
查找步数：S = ⌈W/k⌉

数据流：IP地址→按k比特分割→Trie遍历→BMP记录→最终BMP
控制流：状态机{取比特,查表,更新BMP,判断结束}
流向：树形遍历

NP-L1-0004

流量管理

队列管理指令集

随机早期检测

RED算法

步骤1：平均队列长度计算
avg_q = (1-w)·avg_q + w·q_len
步骤2：丢包概率计算
if avg_q < min_th: p=0
else if min_th ≤ avg_q < max_th: p = p_max·(avg_q-min_th)/(max_th-min_th)
else: p=1
步骤3：随机丢弃
生成随机数r∈[0,1)，如果r<p则丢弃包
步骤4：参数设置
w=0.002, min_th, max_th根据队列大小设置
参数优化：w控制平滑度，min_th/max_th设置阈值

平均队列长度：稳定在(min_th+max_th)/2附近
丢包率：与拥塞程度成正比
吞吐量：避免全局同步
强度：预防拥塞崩溃

控制理论、随机过程、主动队列管理

路由器队列管理、拥塞避免、TCP友好

avg_q：平均队列长度
q_len：瞬时队列长度
w：权重因子（通常0.002）
min_th：最小阈值
max_th：最大阈值
p_max：最大丢包概率（通常0.1）
p：当前丢包概率

指数加权移动平均：avg_q更新公式
线性插值：丢包概率计算
概率：随机丢弃决策
控制理论：负反馈系统

NP微码、数据平面编程

时序：
包到达：更新q_len
计算avg_q：avg_q = (1-w)·avg_q + w·q_len
决策：if avg_q≥min_th then 计算p else p=0
丢弃：if random()<p then discard
入队：else enqueue
方程式：
平均队列长度：E[avg_q] ≈ (min_th+max_th)/2

数据流：数据包→队列长度测量→avg_q计算→丢包决策→入队/丢弃
控制流：反馈控制循环
流向：基于概率的随机丢弃

NP-L1-0005

包调度

加权公平队列指令

加权公平队列

WFQ算法

步骤1：虚拟时间计算
V(t) = ∫0^t (1/Σ{i∈B(τ)} w_i) dτ，其中B(τ)为忙连接集合
步骤2：完成时间标记
包p{i,k}的完成时间：F{i,k} = max(V(arrival{i,k}), F{i,k-1}) + L_{i,k}/w_i
步骤3：调度决策
选择最小完成时间的包发送
步骤4：复杂度
使用堆维护完成时间，O(log N) per packet
参数优化：权重w_i设置，虚拟时间更新粒度

公平性：保证每个流获得w_i/Σw_i比例带宽
时延界限：最坏情况时延可计算
实现复杂度：O(log N)
强度：精确的公平性保证

广义处理器共享、虚拟时间系统、公平排队理论

QoS调度、带宽保证、公平带宽分配

V(t)：虚拟时间
w_i：流i的权重
L{i,k}：流i的第k个包长度
F{i,k}：包p{i,k}的完成时间
arrival{i,k}：到达时间
B(t)：忙流集合

积分：虚拟时间计算
排序：完成时间最小堆
公平性：w_i比例分配
最坏情况分析：时延上界

调度器微码、硬件队列管理

时序：
包到达：计算F{i,k}并插入堆
包发送完成：更新V(t)
调度决策：从堆中取最小F的包
发送：传输该包
更新：包发送后更新V(t)和堆
方程式：
虚拟时间更新：dV/dt = 1/Σ{i∈B(t)} w_i

数据流：包到达→计算完成时间→插入堆→调度器选择最小F→发送→更新虚拟时间
控制流：基于虚拟时间的排序调度
流向：优先级队列流

NP-L1-0006

加密处理

加密协处理器指令

AES-GCM加密

AES-GCM硬件加速

步骤1：AES加密
使用AES-128/256加密数据，10/14轮
步骤2：GHASH计算
H = E_K(0^{128})
for i=1 to n: X_i = (X_{i-1} ⊕ C_i)·H
步骤3：认证标签生成
T = MSB_t(X_n ⊕ E_K(J_0))
步骤4：并行优化
使用4路或8路并行GHASH
参数优化：轮密钥预计算，并行度选择

加密速度：Gbps级
认证强度：128位认证标签
资源使用：面积与速度权衡
强度：NIST认证标准

Galois域运算、AES加密、认证加密模式

IPsec VPN、TLS加密、存储加密

K：加密密钥（128/256位）
IV：初始化向量
P：明文
C：密文
A：附加认证数据
T：认证标签
H：GHASH密钥
J_0：初始计数器

有限域GF(2^128)：乘法运算
AES轮函数：SubBytes, ShiftRows, MixColumns, AddRoundKey
并行：多路GHASH并行计算
代数：伽罗瓦域算术

加密指令集、协处理器编程

时序：
阶段1：密钥扩展（预计算）
阶段2：CTR模式加密生成密钥流
阶段3：明文与密钥流异或
阶段4：并行GHASH计算认证
阶段5：生成认证标签
方程式：
GHASH：X_i = (X_{i-1}⊕C_i)·H in GF(2^128)

数据流：IV→计数器生成→AES加密→密钥流→与明文异或→密文→GHASH→认证标签
控制流：流水线加密认证
流向：CTR模式加密流

NP-L1-0007

压缩处理

压缩协处理器指令

LZ77硬件加速

LZ77滑动窗口压缩

步骤1：滑动窗口维护
搜索缓冲区大小W=32KB，前瞻缓冲区L=258字节
步骤2：哈希链匹配
为前瞻缓冲区前3字节计算哈希，查找哈希链获取可能匹配位置
步骤3：最长匹配查找
沿哈希链查找最长匹配，最大长度258
步骤4：编码输出
输出(offset, length)对或字面量
步骤5：哈希链更新
更新哈希表以包含新位置
参数优化：W=32KB，哈希表大小64K条目

压缩比：取决于数据，通常2:1到5:1
压缩速度：硬件加速可达10Gbps
内存使用：W+L+哈希表
强度：DEFLATE标准基础

滑动窗口、哈希链、最长匹配查找

HTTP压缩、文件压缩、实时压缩

W：搜索缓冲区大小（通常32KB）
L：前瞻缓冲区大小（通常258B）
offset：匹配偏移（1-32768）
length：匹配长度（3-258）
hash_table：哈希表（大小64K）
hash_chain：哈希链

哈希函数：h(x,y,z)=((x<<8)^y<<8)^z
字符串匹配：最长公共前缀
滑动窗口：先进先出缓冲区
编码：变长编码

压缩指令、硬件加速器

时序：
周期1：计算前瞻缓冲区哈希
周期2：查找哈希表获取链头
周期3：遍历哈希链找最长匹配
周期4：输出(offset,length)或字面量
周期5：滑动窗口并更新哈希表
方程式：
匹配长度：L = max{i

S[pos-i...pos-i+L-1] = lookahead[0...L-1]}

NP-L1-0008

深度包检测

正则表达式匹配指令

确定性有限自动机

DFA正则匹配

步骤1：正则表达式编译
将正则表达式转换为DFA状态转移表
步骤2：状态转移
对于输入字符c，状态s：s' = δ(s, c)
步骤3：匹配检测
如果s'是接受状态，则报告匹配
步骤4：并行优化
多字符并行处理：s' = δ(δ(s, c1), c2)
步骤5：复杂度
每字符O(1)时间，但可能状态爆炸
参数优化：状态压缩，表驱动优化

匹配速度：每字符1次查表
内存使用：状态数×字符集大小
可扩展性：状态爆炸问题
强度：线速DPI

自动机理论、正则表达式、状态机

入侵检测、病毒扫描、内容过滤

Σ：字符集（通常256）
Q：状态集合
q0：初始状态
F：接受状态集合
δ：Q×Σ→Q转移函数
s：当前状态

自动机：DFA=(Q,Σ,δ,q0,F)
状态转移：s'=δ(s,c)
并行：多字符批处理
复杂度：O(n)时间，O(

Q

·

Σ

NP-L1-0009

流量统计

计数器管理指令

指数衰减计数器

指数衰减流量统计

步骤1：计数器更新
新值 = α·旧值 + (1-α)·新样本
步骤2：时间衰减
α = e^{-Δt/τ}，其中τ为时间常数
步骤3：多粒度统计
维护多个不同τ的计数器
步骤4：资源优化
使用定点数运算避免浮点
参数优化：τ选择（1s, 5s, 30s等），α=0.95对应τ≈20Δt

统计精度：相对误差<5%
内存使用：每个流少量计数器
计算开销：每次更新几次运算
强度：实时流量监控

指数平滑、时间序列分析、衰减模型

流量监控、异常检测、计费统计

C(t)：时刻t的计数器值
α：衰减因子（0<α<1）
τ：时间常数
Δt：采样间隔
sample：新样本值

指数衰减：C(t)=α·C(t-Δt)+(1-α)·sample
极限：当t→∞时C(t)→E[sample]
微积分：微分方程dC/dt = (sample-C)/τ
定点数：整数运算近似

统计指令、硬件计数器

时序：
定时触发：每Δt时间
采样：获取当前流量值sample
更新：C = (α·C + (1-α)·sample)>>N（定点）
存储：更新计数器值
方程式：
离散形式：C_n = α·C_{n-1} + (1-α)·X_n

数据流：流量样本→衰减计算→更新计数器→存储
控制流：定时触发更新
流向：时间序列流

NP-L1-0010

包重组

TCP重组指令

IP分片重组

IP分片重组算法

步骤1：分片接收
根据(源IP,目的IP,标识)识别属于同一数据报的分片
步骤2：排序缓冲
按偏移量排序分片，检测重叠和缺失
步骤3：完整性检查
检查MF标志和偏移量，确定是否收齐
步骤4：重组
所有分片到达后按偏移量拼接
步骤5：超时处理
设置重组超时（通常30s-60s）
参数优化：缓冲区大小，超时时间

重组成功率：受丢包影响
内存使用：每个数据报缓冲区
时延：等待最后一个分片
强度：支持分片攻击防护

IP协议分片、缓冲区管理、超时处理

防火墙、NAT、IDS/IPS

id：IP标识字段
src_ip, dst_ip：源目的IP
offset：分片偏移（8字节单位）
MF：更多分片标志
fragments：分片列表
timer：重组定时器

排序：按offset排序分片
完整性：检查MF=0且无缺失
超时：定时器管理
缓冲区：动态分配管理

IP协议处理微码

时序：
分片到达：提取(id,src_ip,dst_ip,offset,MF)
查找：查找对应重组上下文
插入：按offset插入排序列表
检查：if MF=0且offset连续 then 完整
重组：完整则拼接所有分片
超时：超时则丢弃所有分片
方程式：
数据报长度 = last_offset×8 + last_length

数据流：分片到达→分类→排序插入→完整性检查→完整则重组→递交
控制流：基于定时器的状态机
流向：分片收集与重组

NP-L1-0011

流量整形

令牌桶算法

令牌桶流量整形

令牌桶整形器

步骤1：令牌生成
以速率r生成令牌，桶容量为b
步骤2：包到达处理
包大小L需要L个令牌，如果桶中令牌≥L则发送并扣除令牌，否则排队或丢弃
步骤3：桶状态更新
桶中令牌数：tokens = min(b, tokens + r·Δt)
步骤4：突发处理
桶容量b控制允许的突发大小
参数优化：r设置承诺速率，b设置突发容量

平均速率：限制为r
突发容量：最大突发b字节
时延界限：最坏情况时延可计算
强度：精确的速率控制

令牌桶模型、漏桶理论、流量整形

流量整形、速率限制、QoS保证

r：令牌生成速率（字节/秒）
b：桶容量（字节）
tokens：当前令牌数
L：包长度（字节）
Δt：时间间隔

积分：令牌累积∫r dt
最小值：tokens = min(b, tokens+r·Δt)
不等式：tokens ≥ L才能发送
控制理论：速率限制器

流量管理指令、整形器硬件

时序：
令牌生成：每Δt时间，tokens += r·Δt
包到达：if tokens ≥ L then 发送，tokens -= L else 排队/丢弃
桶限制：tokens = min(tokens, b)
方程式：
令牌更新：tokens(t) = min(b, tokens(0) + ∫_0^t r(τ)dτ - ΣL_sent)

数据流：包到达→令牌检查→足够则发送扣除令牌→不足则排队→令牌定期生成
控制流：令牌生成与消耗平衡
流向：基于令牌的准入控制

NP-L1-0012

负载均衡

一致性哈希

一致性哈希负载均衡

一致性哈希算法

步骤1：哈希环构建
将服务器和键映射到2^m的环上，通常m=32或64
步骤2：服务器映射
每个服务器映射到环上k个虚拟节点
步骤3：键映射
键的哈希值在环上顺时针找到的第一个服务器节点
步骤4：服务器增减
添加/删除服务器只影响相邻区间的键
步骤5：复杂度
查找O(log N)使用平衡树，O(1)使用哈希表
参数优化：虚拟节点数k=100-200

负载均衡度：虚拟节点数越多越均衡
重新映射比例：服务器增减时约1/N键受影响
查找效率：O(log N)或O(1)
强度：最小化重新映射

一致性哈希、环哈希、虚拟节点

分布式缓存、负载均衡、服务器选择

m：哈希环大小（2^m）
N：服务器数量
k：每个服务器虚拟节点数
hash()：哈希函数
server_nodes：服务器虚拟节点集合
key：待映射的键

哈希函数：h(x)映射到[0,2^m-1]
环结构：模2^m循环
排序：节点在环上排序
查找：顺时针第一个节点

分布式系统库、哈希指令

时序：
初始化：构建哈希环，添加所有服务器虚拟节点
查找：计算key的哈希h
搜索：在环上找到≥h的最小节点
映射：返回该节点对应的服务器
更新：服务器增减时更新虚拟节点
方程式：
服务器选择：server = argmin_{node∈ring, node≥hash(key)} node

数据流：键→哈希计算→环上查找→找到节点→映射服务器
控制流：环上二分查找或哈希查找
流向：环状映射流

NP-L1-0013

拥塞控制

显式拥塞通知

ECN标记算法

ECN拥塞标记

步骤1：ECN能力协商
TCP连接建立时通过SYN包协商ECN能力
步骤2：队列管理
当队列长度超过阈值时，标记包头的ECN位而非丢弃
步骤3：接收方响应
接收方收到ECN标记包后，在ACK包中设置ECE标志
步骤4：发送方调整
发送方收到ECE后，将拥塞窗口减半（类似丢包响应）
步骤5：参数设置
标记阈值通常设为RED的min_th
参数优化：标记概率函数设计

丢包减少：相比丢包，ECN减少实际丢包
收敛速度：更快拥塞信号传递
吞吐量：提高高带宽时延积网络吞吐
强度：主动拥塞通知

主动队列管理、显式反馈、TCP扩展

数据中心网络、高速网络、TCP优化

ECT：ECN-Capable Transport标志
CE：Congestion Experienced标志
ECE：ECN-Echo标志
CWR：Congestion Window Reduced标志
threshold：标记阈值

概率：标记概率函数
反馈控制：闭环拥塞控制
协议：TCP/IP扩展
优化：阈值设置优化

TCP/IP协议栈、路由器队列管理

时序：
包到达：if queue_length > threshold then 以概率p标记CE位
接收方：收到CE标记包，在ACK中设置ECE
发送方：收到ECE，将cwnd减半，设置CWR
下一ACK：接收方看到CWR后清除ECE
方程式：
标记概率：p = (avg_q - min_th)/(max_th - min_th) · p_max

数据流：数据包→队列检查→标记CE→传输→接收方发现CE→ACK中设ECE→发送方减cwnd→发送CWR
控制流：显式拥塞通知反馈环
流向：双向拥塞信号流

NP-L1-0014

内存管理

缓冲池管理

动态缓冲池分配

缓冲池伙伴系统

步骤1：缓冲区分块
将内存划分为2^k大小的块，k从min到max
步骤2：分配算法
请求大小s，找到最小k使2^k ≥ s，如果该尺寸块空闲则分配，否则分裂更大块
步骤3：释放算法
释放块后检查伙伴块是否空闲，是则合并
步骤4：碎片控制
通过合并减少外部碎片
步骤5：复杂度
分配和释放O(log N)
参数优化：min和max块大小设置

内存利用率：减少外部碎片
分配速度：O(log N)时间
碎片程度：伙伴系统减少外部碎片
强度：高效内存管理

伙伴系统、内存分配、碎片整理

NP内存管理、缓冲池分配、包缓冲区

min_size：最小块大小（如64B）
max_size：最大块大小（如4KB）
free_lists[k]：大小为2^k的空闲链表
buddy：伙伴块计算函数
s：请求大小

二进制：块大小2^k
伙伴计算：buddy(x, k) = x XOR 2^k
链表：空闲块链表管理
递归：分裂与合并递归

内存管理指令、硬件分配器

时序：
分配：计算k=ceil(log2(s))
查找：if free_lists[k]非空 then 分配 else 分裂更大块
分裂：从free_lists[k+1]取块，分裂为两个2^k块，一个分配一个加入free_lists[k]
释放：释放块加入free_lists[k]，检查伙伴是否空闲，是则合并加入free_lists[k+1]
方程式：
伙伴地址：buddy(address, k) = address XOR (1<<k)

数据流：分配请求→计算所需块大小→查找空闲链表→有则分配→无则分裂更大块→返回地址
控制流：伙伴系统分裂合并算法
流向：树形块管理流

NP-L1-0015

包解析

协议解析指令

分层协议解析

协议解析流水线

步骤1：以太网解析
解析目的MAC、源MAC、以太类型
步骤2：IP解析
解析版本、IHL、总长度、协议等
步骤3：TCP/UDP解析
解析源端口、目的端口、长度等
步骤4：应用层解析
根据端口号解析HTTP、DNS等
步骤5：元数据提取
提取5元组等关键元数据
步骤6：并行优化
多包并行解析，流水线化
参数优化：解析深度，并行度

解析速度：线速解析
灵活性：可编程解析逻辑
资源使用：解析状态机大小
强度：支持多种协议栈

协议分层、有限状态机、流水线处理

包分类、深度包检测、协议分析

pkt：原始数据包
offset：当前解析偏移
protocol_stack：协议栈标识
metadata：提取的元数据
parser_state：解析状态

分层：OSI/TCP-IP分层模型
状态机：解析状态转移
流水线：多级解析流水线
并行：多包并行解析

可编程解析器、协议解析指令

时序：
阶段1：以太网解析（14字节）
阶段2：IP解析（20+字节）
阶段3：TCP/UDP解析（8+字节）
阶段4：应用层解析（可变）
阶段5：元数据提取
方程式：
解析偏移：offset_{i+1} = offset_i + header_length_i

数据流：原始包→以太网解析→IP解析→传输层解析→应用层解析→元数据
控制流：分层状态机转移
流向：线性解析流水线

NP-L1-0016

流量测量

采样测量算法

随机流采样

sFlow采样算法

步骤1：固定间隔采样
每N个包采样1个，或每固定时间间隔采样
步骤2：随机采样
以概率p=1/N采样每个包
步骤3：流记录
对采样包提取5元组，更新流统计
步骤4：统计外推
将采样统计乘以N估计总流量
步骤5：误差分析
采样误差与√N成正比
参数优化：采样率1/N权衡精度与开销

采样率：通常1/N，N=100-1000
估计误差：相对误差≈1/√(n_samples)
内存使用：只存储采样流记录
强度：可扩展到大流量

随机采样、统计估计、流测量

流量监控、流量工程、计费

N：采样间隔（每N包采1个）
p：采样概率（p=1/N）
flow_key：流键（5元组）
counters：流计数器
n_samples：采样包数

概率：伯努利采样P(sample)=p
统计：估计量^X = X_sample/p
误差：标准差σ = √(np(1-p))
缩放：乘以1/p估计总量

采样指令、测量硬件

时序：
包到达：生成随机数r∈[0,1)
采样决策：if r < p then 采样 else 跳过
流查找：提取5元组查找流记录
统计更新：计数器++
定期导出：定期将流记录导出
方程式：
总量估计：总字节数 ≈ (采样字节数)/p

数据流：数据包→采样决策→采样则提取流键→更新流统计→定期导出
控制流：随机采样决策
流向：采样流记录流

NP-L1-0017

错误检测

CRC计算指令

循环冗余校验

CRC-32计算

步骤1：多项式选择
CRC-32使用多项式0x04C11DB7
步骤2：查表法优化
预计算256项查找表T[256]
步骤3：逐字节计算
crc = (crc >> 8) ^ T[(crc & 0xFF) ^ data_byte]
步骤4：最终处理
crc = crc ^ 0xFFFFFFFF
步骤5：并行计算
使用4字节或8字节并行CRC
参数优化：查找表大小，并行度

错误检测能力：检测所有单比特、双比特错误，奇数个错误等
计算速度：查表法每字节几次操作
资源使用：256×4字节查找表
强度：以太网、PPP等标准

循环码、多项式算术、有限域

错误检测、数据完整性校验、存储校验

poly：生成多项式（0x04C11DB7）
crc：当前CRC值（初始0xFFFFFFFF）
T[256]：预计算查找表
data：输入数据字节
n：数据长度

多项式：G(x)=x^32+x^26+...+1
有限域：GF(2)上的多项式运算
查表：T[i]=CRC32(字节i)
并行：多字节同时计算

CRC指令、硬件校验器

时序：
初始化：crc = 0xFFFFFFFF
对于每个字节b：
index = (crc & 0xFF) XOR b
crc = (crc >> 8) XOR T[index]
最终：crc = crc XOR 0xFFFFFFFF
方程式：
CRC计算：CRC(M) = (M(x)·x^32) mod G(x)

数据流：数据字节→索引计算→查表→XOR运算→移位→下一字节
控制流：迭代计算
流向：线性计算流

NP-L1-0018

定时器管理

分层时间轮

分层时间轮定时器

分层时间轮算法

步骤1：时间轮层次
设计多级时间轮，如5级：毫秒、秒、分、时、天
步骤2：定时器插入
定时器到期时间t，计算与当前时间的差值d，根据d大小插入对应轮
步骤3：时间推进
每毫秒推进毫秒轮，当毫秒轮转完一圈推进秒轮一格
步骤4：定时器迁移
当上级轮推进时，将下级轮的定时器迁移到毫秒轮
步骤5：复杂度
插入O(1)，到期处理O(1)摊销
参数优化：轮大小，层级数

插入复杂度：O(1)
到期处理：O(1)摊销
内存使用：多级轮数组
精度：毫秒级
强度：支持大量定时器

分层时间轮、哈希定时器、优先级队列

超时管理、TCP重传、会话超时

wheels[5]：5级时间轮数组
current_time：当前时间
slots：每轮的槽数
granularity：每级粒度（ms,s,min,hour,day）
timer：定时器结构

模运算：slot = (expiry>>shift) & mask
分层：多级时间轮
迁移：上级轮推进时下级轮迁移
哈希：定时器散列到槽

定时器指令、硬件定时器

时序：
每毫秒：current_time++，处理毫秒轮当前槽的所有定时器
毫秒轮转完：推进秒轮一格，将秒轮该槽的定时器迁移到毫秒轮
类似地推进更高级轮
定时器插入：计算差值d，根据d选择轮和槽插入
方程式：
槽计算：slot = (expiry_time - current_time) >> level_shift & mask

数据流：定时器插入→计算到期时间差→选择层级和槽→插入定时器列表→时间推进→处理到期定时器→迁移下级定时器
控制流：分层时间轮推进
流向：定时器迁移流

NP-L1-0019

包修改

包头修改指令

NAT地址转换

网络地址转换

步骤1：连接跟踪
建立五元组到NAT映射的表项
步骤2：地址转换
出方向：源IP:Port替换为NAT IP:Port
入方向：目的IP:Port替换为原始IP:Port
步骤3：端口分配
使用端口映射，维护IP:Port到内部IP:Port的映射
步骤4：状态维护
维护连接状态和超时
步骤5：ALG支持
应用层网关处理特殊协议（FTP、SIP等）
参数优化：端口范围，超时时间

转换速度：线速转换
连接数支持：受NAT表大小限制
ALG支持：特殊协议穿透
强度：大规模部署

连接跟踪、地址转换、端口映射

网络地址转换、防火墙、负载均衡

orig_ip, orig_port：原始IP和端口
nat_ip, nat_port：NAT IP和端口
protocol：协议（TCP/UDP）
state：连接状态
timeout：超时时间

映射函数：f(orig_ip,orig_port)→(nat_ip,nat_port)
状态机：连接状态转移
超时：定时器管理
端口分配：端口池管理

NAT指令、连接跟踪模块

时序：
出方向包：查找NAT表，若无表项则分配新映射，修改源IP:Port，创建或更新表项
入方向包：查找NAT表，修改目的IP:Port，更新表项时间戳
定期清理：超时表项删除
方程式：
映射：NAT(orig_ip,orig_port) = (nat_ip, nat_port)

数据流：出向包→连接跟踪→NAT查找→分配映射→修改包头→转发
入向包→NAT反向查找→修改包头→转发
控制流：基于连接的状态跟踪
流向：双向地址转换流

NP-L1-0020

流量识别

端口+DPI识别

应用协议识别

深度包检测识别

步骤1：端口初步识别
根据目的端口猜测协议（80→HTTP，443→HTTPS等）
步骤2：DPI深度检测
检查包负载特征：HTTP方法、SSL握手、DNS格式等
步骤3：状态跟踪
维护协议状态机，跟踪连接状态
步骤4：机器学习辅助
使用流量统计特征辅助识别
步骤5：结果融合
综合端口、DPI、统计特征得出最终识别结果
参数优化：特征库大小，DPI深度

识别准确率：>95%对常见协议
处理开销：DPI比端口识别开销大
可扩展性：新协议需要更新特征
强度：应对端口伪装

模式匹配、状态机、机器学习

应用识别、流量分类、策略执行

port：目的端口
payload：包负载
state：协议状态机状态
features：统计特征向量
signatures：协议特征库

模式匹配：正则表达式匹配
状态机：协议状态转移
统计：流量特征分布
融合：多特征加权决策

DPI引擎、模式匹配指令

时序：
阶段1：端口匹配，初步分类
阶段2：负载特征匹配（前几个包）
阶段3：状态机跟踪（后续包）
阶段4：统计特征提取（流量特征）
阶段5：综合决策，输出协议类型
方程式：
决策：protocol = argmax_i Σ_j w_j·score_{i,j}

数据流：数据包→端口检查→负载

NP-L1-0021​

包调度

层次化队列调度指令

分层令牌桶

HTB (Hierarchical Token Bucket)

步骤1：层次结构建模
构建树状队列结构，每个节点对应一个类，有速率r和桶容量b。
步骤2：令牌分配规则
父类令牌可借给子类：if tokens_child < 0 and tokens_parent > 0: borrow = min(-tokens_child, tokens_parent)。
步骤3：发送决策
从根到叶遍历，只有当一个类及其祖先都有足够令牌时才能发送。
步骤4：速率保证与限制
每个类保证速率guaranteed_rate，可限制最大速率ceil_rate。
参数优化：桶大小设置避免饥饿，借用因子控制公平性。

速率控制精度：实际速率与设定速率的偏差。
公平性指数：子类间带宽分配的公平程度。
实现复杂度：树遍历与令牌管理开销。

分层公平排队、令牌桶模型、借用机制。

复杂QoS策略、云租户带宽隔离、差异化服务。

r_c：类c的承诺速率。
b_c：类c的令牌桶容量。
t_c(t)：类c在t时刻的令牌数。
L：待发送包长度。
parent(c)：类c的父类。

树论：队列的树形结构。
不等式：t_c(t) ≥ L发送条件。
借用逻辑：borrow(c) = f(t_c, t_parent)。
优化：在保证速率约束下最小化时延。

流量控制API、QoS配置语言。

时序：
1. 包到达叶队列。
2. 自底向上检查令牌：need = L。
3. 从当前类开始，若t_c < need，则向父类借用。
4. 若根类也无法满足，则等待或丢弃。
5. 发送成功后，自顶向下扣除令牌：t_c -= need。
方程式：令牌更新t_c(t+Δt) = min(b_c, t_c(t) + r_c*Δt - L_sent)。

数据流：包→叶类队列→递归令牌检查与借用→发送→递归令牌扣除。
控制流：基于树遍历的准入控制。
流向：层次化的令牌借贷流。

NP-L1-0022​

查找算法

并行TCAM搜索指令

并行TCAM匹配

三态内容可寻址存储器并行查找

步骤1：关键字准备
将查找键广播到所有TCAM行的比较逻辑。
步骤2：并行比较
每行同时比较：match = ∀i, (mask[i]=1) → (key[i] = tcam_entry[i])。
步骤3：优先级编码
多行匹配时，选择地址最低（优先级最高）的行。
步骤4：结果输出
输出匹配行的关联数据（如下一跳）。
步骤5：功耗优化
使用分块启用、预比较等技术降低功耗。
参数优化：TCAM宽度、深度、分区大小。

查找速度：单周期完成，吞吐量极高。
功耗：与活跃行数成正比，优化后降低。
密度：存储密度低于SRAM，成本高。

并行比较、三态逻辑（0,1,X）、优先级编码。

极高速路由查找、访问控制列表(ACL)、防火墙策略。

key[W]：W位宽查找键。
mask[W]：掩码位，1表示比较，0（X）表示不关心。
entry[W]：TCAM行存储值。
pri_encoder()：优先级编码器函数。

并行性：W位同时比较。
逻辑：谓词match = ∧_i (mask[i] → (key[i]==entry[i]))。
排序：多匹配时取最小地址。
集合：匹配行集合。

硬件描述语言(Verilog/VHDL)、内存映射接口。

时序：
周期1：锁存查找键key。
周期2：key与所有entry并行比较，产生匹配向量match_vec。
周期3：优先级编码器将match_vec转换为匹配地址match_addr。
周期4：用match_addr读取关联RAM，输出结果。
方程式：`match_addr = pri_encoder( {i

∀j, (mask[i][j]!=0) ⇒ (key[j]==entry[i][j])} )`。

NP-L1-0023​

流量测量

大流识别指令

Count-Min Sketch

计数最小草图(Count-Min Sketch)

步骤1：数据结构初始化
创建d个哈希表，每个宽w，初始化为0。
步骤2：流更新
对流IDe，计算d个哈希值：h_i(e) mod w，对每个表i，位置h_i(e)的计数器加1。
步骤3：流查询
查询流e的计数：count'(e) = min_{i∈[1,d]} C[i][h_i(e)]。
步骤4：误差分析
真实计数count(e)，估计值满足：count(e) ≤ count'(e) ≤ count(e) + ε·N，概率1-δ，其中w=⌈e/ε⌉，d=⌈ln(1/δ)⌉。
参数优化：根据内存和误差要求选择w和d。

估计误差：上界为ε·N（N为总事件数）。
内存使用：d*w个计数器。
查询速度：O(d)次内存访问。
强度：在有限内存下识别大流。

随机投影、哈希、最小值估计。

网络测量、大流（大象流）检测、流量热点发现。

d：哈希表数量（深度）。
w：每个哈希表的宽度。
C[d][w]：计数器数组。
h_i()：第i个哈希函数。
ε：误差参数。
δ：失败概率参数。
N：总事件数。

概率：估计误差的概率保证。
最小值运算：min操作减少高估。
哈希：多哈希减少冲突。
随机性：哈希函数的随机性。

流处理库、草图数据结构API。

时序：
事件到达（流e）：
1. 对i=1 to d：计算pos = h_i(e) mod w。
2. 原子递增C[i][pos]。
查询流e的计数：
1. 对i=1 to d：计算pos = h_i(e) mod w，读取c_i = C[i][pos]。
2. 返回min(c_1, ..., c_d)。
方程式：Pr[count'(e) ≤ count(e) + εN] ≥ 1-δ。

数据流：流ID→多哈希计算→对应计数器递增→定期或查询时取最小值作为估计。
控制流：流式更新，按需查询。
流向：多路哈希投影与聚合流。

NP-L1-0024​

包处理

多播复制指令

多播树复制引擎

多播包复制与封装

步骤1：多播组查找
根据目的多播地址查找组G，获取成员列表M = {m1, m2, ..., mk}。
步骤2：包复制
创建k个包副本，每个副本的目的地址修改为mi。
步骤3：封装调整
根据输出接口调整TTL、校验和等字段。
步骤4：负载分担
将副本分发到多个输出队列，避免拥塞。
步骤5：复杂度
复制开销O(k)，k为组成员数。
参数优化：复制引擎并行度，输出队列选择策略。

复制吞吐量：每秒可复制的包副本数。
时延：复制引入的额外处理时延。
资源消耗：与组成员数k成正比的缓冲区占用。

集合复制、树形分发、并行处理。

IPTV、视频会议、软件定义网络(SDN)组播。

G：多播组标识。
M：组成员地址列表，大小k。
pkt：原始数据包。
pkt_i：第i个副本。
out_queue[j]：输出队列j。

集合：组成员集合M。
复制：k个副本的生成。
映射：副本到输出端口的映射函数f: i → port。
并行：多副本同时封装。

多播转发API、复制引擎微码。

时序：
1. 接收多播包，提取组地址G。
2. 查多播转发表，得到k个输出端口/下一跳列表M。
3. 并行复制包k次。
4. 对每个副本i：修改目的地址为M[i]，更新TTL/校验和。
5. 将副本放入对应端口的输出队列。
方程式：总输出数据量 = k * sizeof(pkt)。

数据流：多播包→组查找→成员列表→并行复制引擎→k个副本流→封装修改→多输出队列。
控制流：一到多的扇出复制。
流向：扇出到多个端口的并行流。

NP-L1-0025​

拥塞控制

数据中心TCP

DCTCP (Data Center TCP)

数据中心TCP拥塞控制

步骤1：ECN标记
交换机使用瞬时队列长度标记ECN：if q_len ≥ K then mark CE，K为阈值。
步骤2：标记比例计算
接收方计算标记包比例α = (标记包数)/(窗口内总包数)。
步骤3：窗口调整
发送方更新拥塞窗口：cwnd = cwnd * (1 - α/2)。
步骤4：AIMD结合
轻微拥塞时乘性减，严重拥塞（丢包）时加性增。
参数优化：阈值K（如~20%缓冲区大小），α平滑因子。

队列长度：保持低且稳定，接近阈值K。
吞吐量：高吞吐，低时延。
公平性：在数据中心拓扑中表现良好。
强度：适用于低时延、高吞吐的数据中心。

显式拥塞通知(ECN)、比例控制、AIMD改进。

数据中心内部流量、存储网络、RDMA over Converged Ethernet (RoCE)。

q_len：交换机瞬时队列长度。
K：ECN标记阈值。
α：ECN标记比例估计值。
cwnd：拥塞窗口大小。
F：平滑因子（通常0.0625）。

比例控制：窗口调整与α成正比。
统计：标记比例估计。
反馈控制：基于ECN的闭环控制。
优化：最小化队列震荡和时延。

数据中心TCP协议栈、交换机ECN配置。

时序：
1. 交换机：包到达，若q_len ≥ K，标记CE位。
2. 接收方：收集一个RTT内的ACK，计算α。
3. 接收方：在ACK中回显α（或通过ECE标志）。
4. 发送方：收到ACK后，cwnd = cwnd * (1 - α/2)。
5. 发送方：正常AIMD增长（如每个RTT增加1）。
方程式：α_new = (1-g)*α_old + g*α_sample，g为平滑因子。

数据流：数据包→交换机ECN标记→接收方计算α→ACK反馈α→发送方调整cwnd→发送新数据。
控制流：基于α比例的乘性减窗口控制。
流向：ECN标记比例反馈环。

NP-L1-0026​

包分类

决策树分类

HyperCuts 算法

决策树包分类优化

步骤1：规则集预处理
将规则投影到多维空间，构建决策树。
步骤2：切割维度选择
选择能最大程度减少规则副本的维度进行切割。
步骤3：节点切割
在选定维度上，在规则边界处进行等距或不等距切割。
步骤4：叶子节点优化
叶子节点包含少量规则，使用线性搜索或小规模TCAM。
步骤5：复杂度
查找复杂度为树深度，空间复杂度因规则副本而增加。
参数优化：切割阈值、叶子节点最大规则数。

查找速度：树深度决定，通常5-10次内存访问。
内存使用：存在规则副本，比原始规则集大。
更新复杂度：高，可能需重构树。
强度：支持大型多维规则集。

计算几何、决策树、空间划分。

下一代防火墙、高级QoS策略、SDN流表。

rules：规则集合，每条规则是d维区间。
node：决策树节点，包含切割维度和切割点。
leaf：叶子节点，包含规则列表。
binth：叶子节点允许的最大规则数。

几何：多维超矩形相交与切割。
决策树：基于维度的划分。
优化：最小化规则副本数或树深度。
集合：规则在子空间的投影。

包分类编译器、决策树描述语言。

时序：
1. 从根节点开始，当前节点=根。
2. 读取包头，提取当前节点的切割维度dim的值v。
3. 根据切割点数组，找到v所属的子区间，得到子节点索引。
4. 若子节点为非叶子，跳转至2；若为叶子，读取叶子节点规则列表。
5. 在叶子规则列表中线性搜索，返回最高优先级匹配规则。
方程式：子节点选择child_idx = i where cut_points[i] ≤ v < cut_points[i+1]。

数据流：包头字段→根节点→按维取值→查找切割区间→进入子节点→...→到达叶子节点→线性搜索→输出规则。
控制流：决策树遍历。
流向：基于维度值的选择流。

NP-L1-0027​

安全处理

IPsec ESP处理指令

IPsec ESP加解密与认证

IPsec ESP (封装安全载荷) 处理

步骤1：ESP头部处理
处理SPI、序列号，检查抗重放窗口。
步骤2：加解密
使用算法（如AES-CBC）解密载荷数据。
步骤3：认证验证
使用算法（如HMAC-SHA256）验证ICV（完整性校验值）。
步骤4：解封装
移除ESP尾部（填充、下一头部等），还原原始IP包。
步骤5：抗重放
使用滑动窗口检查序列号，丢弃旧包或重复包。
参数优化：加解密算法选择，抗重放窗口大小。

处理速度：加解密是瓶颈，硬件加速后可达线速。
安全性：加密强度（如AES-256）、认证强度（SHA-256）。
符合性：符合IPsec RFC标准。
强度：提供机密性、完整性、抗重放。

密码学、封装协议、滑动窗口。

VPN网关、站点到站点加密、远程访问。

SPI：安全参数索引。
SEQ：序列号。
IV：初始化向量。
enc_data：加密的载荷。
ICV：完整性校验值。
anti-replay_win：抗重放窗口位图。

密码学：对称加密、哈希消息认证码(HMAC)。
滑动窗口：序列号检查。
协议格式：ESP头部、尾部格式解析。
位操作：抗重放窗口位图操作。

IPsec协议栈、安全处理器指令。

时序（解密流程）：
1. 检查序列号是否在抗重放窗口内且未重复，否则丢弃。
2. 从包中提取IV和enc_data。
3. 使用SA中的密钥，解密enc_data得到明文和填充。
4. 计算整个ESP包（除ICV）的认证值，与包中ICV比较，失败则丢弃。
5. 移除填充和ESP尾部，还原原始IP包，转发。
方程式：解密P = D_K(C, IV)，认证`ICV_calc = HMAC_K(ESP_header

NP-L1-0028​

内存管理

缓存预取指令

流式预取器

步长预取算法

步骤1：地址访问跟踪
监控缓存未命中的地址序列A = {a1, a2, ...}。
步骤2：步长检测
计算连续地址差：delta = a_i - a_{i-1}。若连续N次delta相同，则识别出步长S。
步骤3：预取触发
检测到稳定步长后，在访问a_i时，预取地址a_i + k*S，k=1,2,...,P（预取深度）。
步骤4：预取度调整
根据缓存利用率动态调整预取深度P。
参数优化：确认步长所需的连续次数N，预取深度P，初始P=2-4。

预取准确率：预取块中被实际使用的比例。
缓存污染：不准确预取导致有用数据被换出。
覆盖率：预取覆盖的缓存未命中比例。
强度：提升规则访问模式的性能。

时间局部性、空间局部性、步长预测。

CPU/NPU缓存优化、规则内存访问模式（如数组遍历）。

a_i：第i次缓存未命中的地址。
S：检测到的访问步长（以缓存块大小为单元）。
N：确认步长所需的连续次数。
P：预取深度。
prefetch_addr：预取地址。

序列：地址访问序列。
差分：delta = a_i - a_{i-1}。
模式识别：识别稳定步长。
预测：prefetch_addr = current_addr + k*S。

缓存控制寄存器、预取提示指令。

时序：
1. 发生缓存未命中，地址为a_i。
2. 记录a_i，计算delta = a_i - a_{i-1}。
3. 更新步长历史：若delta与历史相同，计数器加1，否则重置计数器。
4. 若计数器≥N，则步长S确认，进入预取状态。
5. 在预取状态下，每次未命中a_i，触发对a_i+S, a_i+2S, ..., a_i+P*S的预取请求。
方程式：预取地址PF_j = a_i + j * S, j=1..P。

数据流：未命中地址流→步长检测状态机→确认后生成预取地址流→向内存控制器发送预取请求。
控制流：基于历史匹配的状态机（训练、确认、预取）。
流向：地址流驱动的预测流。

NP-L1-0029​

流量工程

链路状态路由计算

Dijkstra 最短路径优先

Dijkstra 算法硬件加速

步骤1：图初始化
将网络拓扑表示为图G=(V,E)，边权重w(u,v)为链路代价。
步骤2：距离初始化
设置源节点s距离dist[s]=0，其他节点dist[v]=∞，所有节点未访问。
步骤3：主循环
当有未访问节点时：
a. 选择未访问节点中dist最小的节点u。
b. 标记u为已访问。
c. 对u的每个邻居v：若dist[u] + w(u,v) < dist[v]，则更新dist[v]，记录prev[v]=u。
步骤4：路径提取
从目的节点d根据prev[]回溯到s得到路径。
参数优化：使用优先级队列（最小堆）选择节点u，复杂度`O(

E

+

V

log

V

)`。

计算复杂度：`O(

E

NP-L1-0030​

包修改

VLAN处理指令

VLAN标签的添加/移除

IEEE 802.1Q VLAN 处理

步骤1：入方向处理
根据端口默认VLAN或MAC表，决定是否添加VLAN标签。若添加，在源MAC后插入4字节802.1Q标签（TPID 0x8100，PCP，DEI，VID）。
步骤2：转发决策
基于目的MAC和VID查MAC/VLAN转发表，确定输出端口和允许的VLAN。
步骤3：出方向处理
根据输出端口配置（Access或Trunk），决定保留、剥离或替换VLAN标签。
步骤4：优先级映射
将VLAN标签中的PCP映射到输出队列优先级。
参数优化：VLAN表大小，标签处理流水线深度。

处理速度：线速添加/剥离标签。
VLAN数量支持：标准VID为12位，支持4094个VLAN。
优先级支持：3位PCP，8个优先级。
强度：基本的二层网络隔离与QoS。

IEEE 802.1Q标准、标签栈、优先级映射。

企业网接入交换、虚拟局域网隔离、QoS标记。

pkt：以太网帧。
vid：VLAN ID (12 bits)。
pcp：优先级代码点 (3 bits)。
tpid：标签协议标识 (0x8100)。
port_mode：端口模式（Access, Trunk, Hybrid）。

位操作：在帧中特定位置插入/移除4字节。
表查找：基于(MAC, VID)的转发。
映射：PCP到队列优先级的映射函数。
集合：端口允许的VLAN集合。

交换机配置CLI、VLAN处理微码。

时序（入向Access端口）：
1. 接收无标签帧。
2. 根据入端口默认VIDPVID，在源MAC后插入802.1Q标签（TPID=0x8100，VID=PVID）。
3. 基于目的MAC和VID进行二层转发查找。
（出向Access端口）：
1. 确定输出帧VID与端口PVID相同。
2. 剥离802.1Q标签。
3. 发送无标签帧。
方程式：标签值 = `(tpid << 16)

(pcp << 13)

NP-L1-0031​

流量测量

熵估计指令

流大小分布熵计算

网络流量熵估计

步骤1：流大小统计
使用草图（如Count-Min Sketch）或采样估计各流大小s_i。
步骤2：总流量计算
估计总流量S = Σ_i s_i。
步骤3：概率计算
计算每个流（或流类别）的流量比例p_i = s_i / S。
步骤4：熵计算
计算香农熵H = - Σ_i p_i * log2(p_i)。
步骤5：应用
高熵表示流量分散（如DDoS攻击），低熵表示流量集中（如大流主导）。
参数优化：流定义粒度（如源IP、五元组），测量间隔。

估计误差：源自流大小估计误差ε，导致熵估计误差O(ε log(1/ε))。
计算开销：需要计算对数和。
检测灵敏度：能有效检测流量分布突变。
强度：用于异常检测的宏观指标。

信息论、香农熵、统计估计。

DDoS攻击检测、网络异常检测、流量模式分析。

s_i：第i个流的大小（字节或包数）估计值。
S：总流量估计值。
p_i：流i的流量比例。
H：香农熵（比特）。
N：流的总数（估计）。

信息论：熵H = -Σ p_i log p_i。
概率：p_i构成概率分布。
对数运算：log2计算。
近似：基于估计值的近似熵。

测量与遥测库、熵计算函数。

时序：
1. 在一个测量周期内，使用草图更新各流大小s_i。
2. 周期结束时，遍历草图（或其主要条目）获取s_i和S的估计。
3. 对每个s_i > 0，计算p_i = s_i / S。
4. 计算累加和H = - Σ p_i * log2(p_i)。
5. 输出熵值H，可用于与阈值比较。
方程式：H = - Σ_{i=1}^{N} (s_i / S) * log2(s_i / S)。

数据流：包流→流大小草图更新→周期触发→从草图读取流大小分布→计算总和S→计算每个p_i→计算熵H→输出。
控制流：周期性批处理计算。
流向：从包流到统计量再到标量熵值的聚合流。

NP-L1-0032​

包调度

赤字轮询

DRR (Deficit Round Robin)

赤字轮询调度算法

步骤1：队列配额分配
每个队列i有一个固定量子Quantum_i（如MTU）和一个赤字计数器Deficit_i（初始0）。
步骤2：轮询服务
轮询到队列i时：Deficit_i += Quantum_i。
步骤3：包发送决策
当队列非空且队首包大小L ≤ Deficit_i时，发送该包，Deficit_i -= L。重复直到条件不满足。
步骤4：赤字保留
若队首包L > Deficit_i，则保留当前Deficit_i值，服务下一个队列。
参数优化：Quantum_i设置与队列权重成正比，通常为MTU的整数倍。

公平性：长期带宽分配与Quantum_i成正比。
实现复杂度：低，O(1) per packet。
时延特性：不如WFQ精确，但实现简单。
强度：高效的近似公平排队。

轮询调度、赤字累积、公平性近似。

路由器输出调度、交换机QoS、加权公平带宽分配。

Quantum_i：队列i每轮获得的量子（字节）。
Deficit_i：队列i的当前赤字计数器。
L：队首包长度。
active_list：活动队列（非空）列表。

累加：Deficit_i += Quantum_i。
比较：L ≤ Deficit_i发送条件。
减法：发送后Deficit_i -= L。
轮询：循环遍历活动队列。

调度器配置、队列管理API。

时序：
1. 维护一个活动队列列表（非空队列）。
2. 调度器轮询活动列表：
a. 对当前队列i：Deficit_i += Quantum_i。
b. while (队列i非空 且 队首包大小L ≤ Deficit_i)：发送队首包，Deficit_i -= L，出队。
c. 如果发送后队列i为空，将其从活动列表移除，并重置Deficit_i=0；否则（L > Deficit_i），保留Deficit_i，处理下一队列。
方程式：长期带宽比例B_i / B_j ≈ Quantum_i / Quantum_j。

数据流：各队列包到达→维护活动列表→轮询器遍历→为队列增加Quantum→尝试发送队首包（满足赤字条件）→发送并扣减赤字→循环发送或跳过→下一队列。
控制流：轮询循环，赤字控制内层循环。
流向：基于赤字的受控轮询流。

NP-L1-0033​

查找算法

Bloom Filter 指令

布隆过滤器成员查询

布隆过滤器 (Bloom Filter)

步骤1：初始化
分配m位的位数组B，全部置0。选择k个独立的哈希函数h1,...,hk。
步骤2：插入元素e
计算k个哈希值hi(e) mod m，将位数组B中对应位置1。
步骤3：查询元素e
计算k个哈希值hi(e) mod m，若所有对应位均为1，则返回“可能存在”；否则返回“肯定不存在”。
步骤4：误判率
误判率p ≈ (1 - e^{-kn/m})^k，最优k = (m/n) ln2。
参数优化：根据预期元素数n和可接受误判率p选择m和k。

误判率p：如上公式，可精确控制。
空间效率：m/nbits per element。
查询速度：k次内存访问，O(k)。
强度：空间高效的集合成员概率查询。

概率数据结构、哈希、集合成员。

路由表前置过滤器、拼写检查、避免不必要的昂贵查找。

m：位数组长度（bits）。
k：哈希函数个数。
B[0..m-1]：位数组。
h_i()：第i个哈希函数。
n：预期插入的元素数量。

概率：误判率的概率分析。
哈希：多哈希映射。
位操作：置位与测试。
优化：给定m,n下最小化p求k。

布隆过滤器库、硬件位操作指令。

时序：
插入e：
1. 计算pos1 = h1(e) mod m, ..., posk = hk(e) mod m。
2. 设置B[pos1]=1, ..., B[posk]=1。
查询e：
1. 计算pos1 = h1(e) mod m, ..., posk = hk(e) mod m。
2. 如果B[pos1]==1 && ... && B[posk]==1，返回true（可能存在），否则返回false（肯定不存在）。
方程式：最优哈希函数数k_opt = (m/n) * ln2。

数据流：元素e→k路哈希计算→映射到位数组k个位置→插入时置位，查询时检查所有位→输出布尔结果。
控制流：多哈希并行或串行计算与检查。
流向：元素到多个位位置的映射流。

NP-L1-0034​

安全处理

SYN Flood防御

SYN Cookie 机制

TCP SYN Cookie 防御DDoS

步骤1：连接请求接收
收到SYN包时，不立即分配连接资源（半连接队列）。
步骤2：Cookie生成
使用密码哈希计算一个序列号（Cookie）：cookie = Hash(源IP, 源端口, 目的IP, 目的端口, 秘密值, MSS索引) mod 2^32。高几位编码MSS等信息。
步骤3：SYN-ACK响应
发送SYN-ACK，其确认号ack_num = cookie，序列号为随机值iss。
步骤4：连接验证
收到ACK时，验证ack_num - 1是否为有效的Cookie。有效则重建连接状态，完成握手。
参数优化：哈希函数选择（如SHA1），秘密值更新频率。

资源消耗：几乎不消耗服务器内存用于半连接。
计算开销：每SYN需要一次哈希计算。
兼容性：对标准TCP客户端透明。
强度：有效防御SYN Flood攻击。

密码学、无状态连接、挑战-响应。

服务器抗DDoS、防火墙、负载均衡器。

sip, sport, dip, dport：四元组。
secret：服务器定期更新的秘密值。
t：时间相关的计数器（如每5分钟递增）。
mss：客户端通告的MSS编码。
cookie：计算的32位Cookie值。

密码哈希：cookie = H(sip,sport,dip,dport,secret,t,mss)。
编码：将MSS等少量信息编码到cookie中。
验证：ACK中ack_num-1与重新计算的cookie比较。

操作系统TCP栈、防火墙模块。

时序：
1. 服务器收到SYN，提取四元组和MSS。
2. 计算cookie = H(sip,sport,dip,dport,secret,t,mss_index)。
3. 发送SYN-ACK，seq=iss（随机），ack=cookie。
4. 服务器丢弃SYN包，不保存任何状态。
5. 合法客户端回复ACK，ack=cookie+1。
6. 服务器收到ACK，验证ack-1是否为有效Cookie（使用当前或上一个secret和t重算）。有效则创建完整连接。
方程式：`有效 = (ack-1) == Hash(sip,sport,dip,dport, secret_{cur

prev}, t, mss_index)`。

NP-L1-0035​

包处理

GTP隧道处理指令

GTP-U隧道封装/解封装

GTP (GPRS Tunneling Protocol) 处理

步骤1：隧道映射
根据内层包（如用户IP包）的隧道端点标识符（TEID）查找隧道出口信息（远端IP/UDP端口）。
步骤2：封装
添加外层IP/UDP头，再添加GTP-U头（包括TEID、序列号等），内层包作为载荷。
步骤3：解封装
识别UDP目的端口2152，剥离外层IP/UDP和GTP-U头，得到内层包。
步骤4：转发
将内层包（或封装后的隧道包）根据路由表转发。
参数优化：TEID表大小，序列号检查使能。

隧道容量：支持的并发隧道数（TEID数）。
处理开销：封装/解封装引入的额外CPU和带宽开销。
符合性：符合3GPP GTP-U标准。
强度：移动核心网用户面数据转发。

隧道协议、封装、移动通信协议栈。

4G/5G移动核心网（SGW/PGW/UPF）、蜂窝数据回传。

teid：隧道端点标识符，标识一个用户设备(UE)的承载。
inner_pkt：原始用户IP包。
outer_src_ip, outer_dst_ip：隧道端点IP。
gtp_hdr：GTP-U头（包括版本、PT=1、TEID、序列号等）。

封装：`隧道包 = outer_iphdr

outer_udp

NP-L1-0036​

流量整形

基于层次的整形

分层整形(Hierarchical Shaping)

层次化整形算法

步骤1：层次结构定义
定义树形整形层次，如根为总出口带宽，子节点为不同用户或业务类。
步骤2：令牌分层分配
父节点的令牌按子节点的保证速率分配给子节点。子节点令牌也可来自自身令牌生成器。
步骤3：整形决策
包从叶子队列发送需满足：叶子节点及其所有祖先节点都有足够令牌。
步骤4：借用与限制
子节点可向父节点借用空闲令牌，但不能超过自身的峰值限制。
参数优化：每层令牌生成速率、桶大小、借用策略。

整形精度：能够精确控制每个层次节点的输出速率。
灵活性：支持复杂的带宽分配策略。
实现复杂度：树遍历和令牌管理较复杂。
强度：实现多租户、多业务的层次化速率控制。

层次化令牌桶、借用机制、树形约束。

云服务提供商带宽管理、多租户网络切片、企业网分层QoS。

r_{node}：节点保证速率。
b_{node}：节点令牌桶容量。
t_{node}：节点当前令牌数。
ceil_{node}：节点峰值速率限制。
children(node)：节点的子节点集合。
L：包长度。

树结构：整形策略树。
不等式：发送条件∧_{ancestor} t_{ancestor} ≥ L。
分配：父到子的令牌分配函数。
优化：在层次约束下最大化利用率。

层次化QoS配置语言、流量控制API。

时序：
1. 令牌定期生成：从根开始，按速率r增加令牌，但不超过桶容量b。
2. 父节点令牌可分配给有需求的子节点（按保证速率比例）。
3. 包到达叶子队列等待发送。
4. 发送时，从叶子到根检查令牌：对路径上每个节点i，若t_i ≥ L，则标记为可借用；若某节点t_i < L，则该节点需向父节点借用（如果允许）。
5. 如果从根到叶都能满足L个令牌，则发送包，并从路径上每个节点扣除L个令牌。
方程式：节点令牌更新t_i(t+Δt) = min(b_i, t_i(t) + r_i*Δt - Σ_{sent} L)。

数据流：包在叶子队列等待→自底向上遍历树收集所需令牌→若路径上令牌不足则尝试借用→所有节点令牌足够则发送并扣除令牌→否则等待。
控制流：基于树遍历的令牌检查与扣减。
流向：令牌在树中自上而下分配，在发送时自下而上申请。

NP-L1-0037​

包分类

基于TCAM的范围匹配

范围匹配编码

前缀扩展法（Prefix Expansion）

步骤1：范围转前缀
将范围[L, H]转换为多个前缀的集合。例如[0,7]转换为000***（即前缀0/3）。算法：区间转前缀(L, H)输出一个前缀列表。
步骤2：TCAM条目扩展
原始一条范围规则被扩展为多条前缀规则，写入TCAM。
步骤3：查找与优先级
TCAM并行匹配，可能匹配多条扩展条目，选择原始优先级最高的。
步骤4：空间优化
范围[L,H]最多扩展为2(W-1)个前缀（W为字段位宽）。
参数优化：合并相同动作的前缀，优化TCAM条目数。

空间膨胀：最坏情况，一条范围规则可能扩展为O(W)条TCAM条目。
查找速度：仍为TCAM单周期查找。
更新复杂度：高，可能需重写多条条目。
强度：利用TCAM实现高速范围匹配。

区间到前缀的转换、TCAM逻辑、空间换时间。

防火墙端口范围、VLAN范围、IP地址范围匹配。

L, H：范围的上下界（整数）。
W：字段位宽（如16位用于端口）。
prefix_list：转换得到的前缀列表，每个前缀是(value, mask)对。
original_rule：原始规则，含优先级。

区间划分：将[L,H]划分为多个2的幂次的区间。
前缀表示：value/mask形式。
集合：扩展后的前缀集合。
最坏情况分析：最大扩展数2W-2。

TCAM编程接口、范围编译工具。

时序：
1. 离线/编译时：对每条规则的范围字段，运行前缀扩展算法，生成前缀列表。
2. 将所有规则的所有扩展前缀按优先级写入TCAM。
3. 在线查找：TCAM接收查找键（如目的端口），并行匹配。
4. 可能匹配多个前缀（来自不同原始规则），选择优先级最高的原始规则对应的动作执行。
方程式：前缀扩展算法递归函数Prefixes(L,H)：若L==0 and H==2^W-1返回*/W；否则找到最大的k使得2^k ≤ H-L+1且L mod 2^k == 0，返回前缀L/k∪ Prefixes(L+2^k, H)。

数据流：范围规则→前缀扩展编译器→多条TCAM条目→在线查找键→TCAM并行匹配→多匹配优先级仲裁→输出获胜规则动作。
控制流：编译时扩展，运行时单周期TCAM查找。
流向：规则编译流与硬件查找流分离。

NP-L1-0038​

拥塞控制

快速TCP

Fast TCP

基于时延的拥塞控制

步骤1：时延测量
测量基RTT（baseRTT，历史最小RTT）和当前RTT（currentRTT）。计算排队时延qDelay = currentRTT - baseRTT。
步骤2：窗口计算
目标窗口w = α / qDelay + w_c，其中α是常数，w_c是当前窗口。实际采用增量更新。
步骤3：窗口更新
每个RTT：w = min(2w, (1-γ)w + γ(α / qDelay + w))，γ是平滑因子。
步骤4：慢启动与超时
初始慢启动，超时处理与传统TCP类似。
参数优化：参数α控制平衡点（如α=200），γ=0.5。

排队时延：保持较小的恒定排队时延（约α/C，C为瓶颈带宽）。
公平性：在异构RTT下比Reno更公平。
稳定性：基于时延，避免丢包，更稳定。
强度：适用于高速、长肥网络。

基于时延的拥塞控制、优化理论。

高速科研网络、数据中心广域网、高带宽时延积网络。

baseRTT：观测到的最小RTT。
currentRTT：当前平滑RTT。
qDelay：排队时延估计。
α：控制平衡点的常数（单位：数据包）。
γ：平滑因子（0<γ<1）。
w：拥塞窗口（包数）。

反比例关系：目标窗口∝ 1/qDelay。
平滑：指数加权移动平均更新。
优化：在时延和吞吐间取得平衡。
控制理论：基于时延的反馈控制。

Fast TCP协议栈实现。

时序：
1. 持续测量RTT，更新baseRTT（取长期最小值）。
2. 每个RTT估计一次平均排队时延qDelay = currentRTT - baseRTT。
3. 每个RTT更新窗口：w = (1-γ)*w + γ*(α / qDelay + w)，但不超过2倍增速。
4. 根据窗口w发送数据。
5. 发生丢包时，执行传统TCP的快速重传/恢复。
方程式：平衡点时，w = α / qDelay，且w = C * (baseRTT + qDelay)，可得qDelay ≈ α/C。

数据流：数据包发送→RTT采样→更新baseRTT和qDelay→每个RTT计算新窗口→调整发送速率。
控制流：基于时延的窗口控制循环。
流向：时延测量反馈控制流。

NP-L1-0039​

内存管理

垃圾回收指令

引用计数与周期检测

实时垃圾回收（增量式）

步骤1：引用计数
每个对象维护引用计数ref_count。分配时ref_count=1，指针赋值时增减对应计数。计数为0时立即释放。
步骤2：循环引用检测
定期或增量地运行标记-清扫算法，从根集出发，标记所有可达对象。清扫阶段，释放未被标记的对象（即使ref_count>0）。
步骤3：增量与并发
将标记-清扫过程分解为小步，与应用线程交替执行，减少停顿时间。
步骤4：写屏障
使用写屏障记录并发修改，保证正确性。
参数优化：GC触发阈值、增量步长、并发度。

停顿时间：增量式GC将长停顿分解为多次短停顿。
内存开销：引用计数和标记位开销。
CPU开销：引用计数维护和周期检测开销。
强度：适用于需要实时性的网络应用内存管理。

引用计数、可达性分析、并发算法。

动态配置存储、会话表管理、协议解析中间数据。

obj：内存对象。
ref_count：对象的引用计数。
marked：标记-清扫中的标记位。
roots：根对象集合（全局变量、栈变量等）。
grey_set：灰色对象集合（三色标记法）。

图论：对象引用构成有向图。
计数：ref_count增减操作。
遍历：图的深度/广度优先搜索（标记）。
并发：写屏障和同步原语。

带有GC的运行时库、智能指针。

时序（增量标记-清扫）：
1. 初始停顿：暂停所有线程，设置根对象为灰色，开始标记阶段。
2. 增量标记：恢复线程，每次GC步进，从灰色集合取一个对象，将其子对象标记为灰色，自身标记为黑色。重复直到灰色集合为空。
3. 写屏障：应用线程修改指针时，将被引用对象标记为灰色（防止漏标）。
4. 最终停顿：灰色集空时，暂停线程，清扫所有白色（未标记）对象，释放内存。
方程式：内存回收Σ_{obj in white_set} size(obj)。

数据流：对象分配→引用计数更新→GC触发→从根集开始图遍历（标记）→识别不可达对象（白色）→释放白色对象内存。
控制流：增量式状态机（空闲、标记、清扫）。
流向：对象生命周期的状态流（白→灰→黑→白）。

NP-L1-0040​

包处理

MPLS标签交换指令

MPLS标签压入/交换/弹出

MPLS 标签操作

步骤1：标签查找
根据入标签和入接口索引标签信息库(LIB)，得到出标签、出接口、下一跳等操作。
步骤2：标签操作
- 压入(Push)：在IP头前添加一个或多个MPLS标签栈。
- 交换(Swap)：将顶层MPLS标签值替换为出标签。
- 弹出(Pop)：移除顶层MPLS标签。若弹出后栈为空，则暴露原始IP包（Penultimate Hop Popping）。
步骤3：TTL处理
MPLS TTL = IP TTL - 1 或 入MPLS TTL - 1。
步骤4：转发
根据出接口和下一跳转发带新标签的MPLS包或IP包。
参数优化：LIB表大小，标签栈深度支持。

交换速度：线速标签交换。
标签空间：20位标签，支持约100万个标签。
隧道支持：通过标签栈支持分层隧道（LSP）。
强度：实现流量工程和VPN的核心技术。

标签交换、栈操作、隧道技术。

MPLS网络核心交换、VPN（L3VPN、L2VPN）、流量工程(TE)。

in_label：入栈顶标签值。
out_label：出标签值。
op：操作（push, swap, pop）。
exp：实验位（用于QoS）。
ttl：MPLS TTL值。
label_stack：MPLS标签栈。

栈操作：压入、弹出、替换栈顶。
表查找：(in_label, in_if) → (out_label, out_if, op)。
递减：ttl = ttl - 1。
嵌套：多层标签栈。

MPLS转发平面控制、标签操作指令。

时序（LSR标签交换）：
1. 接收MPLS包，读取栈顶标签L_in和入接口I_in。
2. 查LIB表，得到条目：out_label=L_out, out_if=I_out, op=swap。
3. 执行操作：将栈顶标签值从L_in替换为L_out。
4. MPLS TTL减1，若为0则丢弃。
5. 从接口I_out转发修改后的MPLS包。
（Ingress LER）：
1. 接收IP包，根据目的IP和FEC，决定压入标签L。
2. 在IP头前压入一个MPLS标签（标签值=L，TTL=IP.TTL-1）。
3. 转发MPLS包。
方程式：新标签栈 = op(label_stack, operation, new_label)。

数据流：MPLS包→读入标签→查LIB→确定操作→执行标签操作(Push/Swap/Pop)→更新TTL→转发。
控制流：基于LIB查找的确定操作。
流向：标签在LSP路径上的重写流。

NP-L1-0041​

流量测量

Top-K流识别

Space-Saving 算法

Space-Saving 频繁项查找

步骤1：数据结构
维护m个计数器，每个计数器监控一个流ID并记录其估计计数。
步骤2：新元素到达
若元素e被某个计数器监控，则递增该计数器。否则，找到计数最小的计数器min，将其监控的流替换为e，并将计数器值设为min_count + 1。
步骤3：查询Top-K
返回监控中计数最大的K个（K ≤ m）流及其计数。
步骤4：误差保证
对于任何流e，其真实计数f_e满足：估计计数(e) ≤ f_e ≤ 估计计数(e) + εN，其中ε ≈ 1/m，N为总元素数。
参数优化：计数器数量m决定精度和内存开销。

估计误差：如上所述，有确定上界。
内存使用：m个计数器，每个存储流ID和计数。
查询速度：返回Top-K需O(m log K)或O(m)（若m小）。
强度：在有限内存下准确识别最频繁的流。

流算法、频繁项挖掘、计数器管理。

网络热点检测、广告点击统计、异常流识别。

m：计数器数量。
counter[i]：第i个计数器，包含(flow_id, count)。
e：到达的流标识符。
K：需要查询的Top K大小。
N：总元素数。

计数：维护m个计数。
替换策略：总是替换最小计数。
误差分析：估计计数的误差界。
排序：按计数值排序取Top-K。

流式处理库、Top-K查询API。

时序：
1. 初始化m个计数器为(null, 0)。
2. 对于每个到达的流e：
a. 如果e被某个计数器i监控，则counter[i].count++。
b. 否则，找到计数最小的计数器j（若有多个，任选）。
c. 将counter[j]的流ID替换为e，计数设为counter[j].count + 1。
3. 当需要Top-K时，返回计数最大的K个计数器记录的流和计数。
方程式：最小计数min_count = min_{i=1..m} counter[i].count。

数据流：流ID序列→查找是否被监控→是则递增对应计数器→否则替换最小计数器→更新计数器列表。
控制流：基于最小计数的替换策略。
流向：流ID到计数器集的竞争性替换流。

NP-L1-0042​

包调度

最早截止时间优先（网络）

截止时间感知队列调度

Earliest Deadline First (EDF) for Networks

步骤1：截止时间分配
为每个包分配一个截止时间deadline = arrival_time + delay_budget。
步骤2：队列排序
每个输出队列按包的截止时间排序，最早截止时间在前。
步骤3：调度决策
总是发送队首的包（截止时间最早）。
步骤4：可调度性分析
若流量负载Σ (L_i / T_i) ≤ 1且deadline ≥ arrival_time + L_i/C（C为链路速率），则可调度。
参数优化：delay_budget设置，队列管理策略（丢弃超截止时间包）。

截止时间错过率：包的实际时延超过截止时间的比例。
时延确定性：为实时流量提供时延上界。
实现复杂度：需按截止时间排序，O(log n) per packet。
强度：适用于硬实时或软实时网络流量。

实时调度理论、EDF最优性。

工业网络、音视频流、金融交易、确定性网络。

pkt_i：第i个包。
a_i：到达时间。
d_i：截止时间。
delay_budget_i：允许的最大排队时延。
Q：按d_i排序的优先级队列。

排序：按d_i升序排列。
不等式：可调度条件（Liu & Layland）。
优化：最小化错过截止时间的包数。

实时网络协议、调度器配置。

时序：
1. 包到达，根据其流类别（如DSCP）获得delay_budget，计算deadline = current_time + delay_budget。
2. 将包按deadline插入优先级队列Q。
3. 链路空闲时，调度器从Q中取出队首包（deadline最小）发送。
4. 定期检查队首包是否已超过其截止时间，若是则丢弃（避免占用资源）。
方程式：发送选择pkt_to_send = argmin_{pkt in Q} pkt.deadline。

数据流：包到达→计算截止时间→插入按截止时间排序的队列→调度器总是取队首发送→发送后从队列移除。
控制流：基于绝对截止时间的优先级调度。
流向：按时间紧迫性的有序流出。

NP-L1-0043​

查找算法

二分查找指令

有序数组二分查找

二分查找算法

步骤1：初始化边界
设置low = 0, high = n-1，n为数组长度。
步骤2：循环比较
当low ≤ high时：
mid = (low + high) / 2（或防溢出写法）。
比较key与A[mid]：
- 若key == A[mid]，返回mid（找到）。
- 若key < A[mid]，high = mid - 1。
- 若key > A[mid]，low = mid + 1。
步骤3：未找到
循环结束未返回，则查找失败。
步骤4：复杂度
时间复杂度O(log n)，空间O(1)。
参数优化：使用循环展开、预取等优化访存。

查找速度：O(log n)次比较和内存访问。
内存使用：仅需存储有序数组。
预处理：需要数组有序，维护成本高。
强度：适用于静态或低频更新的表。

分治策略、有序数组、对数复杂度。

IP路由表前缀长度查找、策略查找、数据库索引。

A[0..n-1]：已排序的数组。
key：待查找的值。
low, high, mid：搜索边界和中点索引。
n：数组元素个数。

分治：每次将搜索空间减半。
对数：时间复杂度log2(n)。
比较：基于有序性的三向比较。
循环不变量：key在A[low..high]中（如果存在）。

通用算法库、搜索指令。

时序：
1. 计算初始low=0, high=n-1。
2. while low ≤ high：
a. 计算mid = (low + high) >> 1。
b. 从内存读取A[mid]。
c. 比较key与A[mid]：
相等：返回mid，结束。
小于：high = mid - 1，继续循环。
大于：low = mid + 1，继续循环。
3. 循环结束，返回“未找到”。
方程式：最大比较次数 = ⌈log2(n+1)⌉。

数据流：查找键key和有序数组A→初始化边界→计算中点→读取中点值→比较→根据结果更新边界→循环直到找到或边界无效。
控制流：基于比较的二分决策循环。
流向：在有序空间中的折半搜索流。

NP-L1-0044​

安全处理

深度包检测（正则优化）

正则表达式分组与编译

正则表达式分组优化

步骤1：正则表达式分析
将一组正则表达式{RE1, RE2, ..., REn}解析为语法树或NFA。
步骤2：公共前缀提取
识别不同正则表达式的共同前缀，将它们分组以减少重复匹配。
步骤3：NFA融合
将多个NFA合并为一个大的NFA，共享公共状态和转移，但为每个正则标记独立的接受状态。
步骤4：DFA转换与优化
将融合的NFA转换为DFA，并进行状态最小化、压缩等优化。
参数优化：分组阈值，NFA融合策略，DFA状态压缩算法。

匹配速度：融合后单个DFA可同时匹配所有模式，避免多次扫描。
内存使用：融合可能减少总状态数，但也可能导致状态爆炸。
更新复杂度：增加/删除一个正则可能需要重新编译整个组。
强度：提升多模式DPI引擎效率。

自动机理论、正则表达式、NFA/DFA转换。

入侵检测系统(IDS)、防病毒、内容过滤系统。

RE_set：正则表达式集合。
NFA：非确定性有限自动机。
DFA：确定性有限自动机。
state：自动机状态。
accept_state_map：接受状态到规则ID的映射。

自动机：NFA融合（并运算）。
图论：状态机图。
优化：状态最小化、转移表压缩。
集合：规则ID集合关联到接受状态。

正则表达式编译器、DPI引擎。

时序（编译阶段）：
1.

NP-L1-0045​

网络测量

哈希与采样混合

哈希流采样 (Hash-based Flow Sampling)

可调精度流采样 (Adaptive Sampled NetFlow)

步骤1：哈希阈值过滤
对每个包计算流键哈希h = hash(flow_key)，定义采样概率p = 1 / 2^s，其中s为精度参数。若h mod 2^s == 0，则采样该包。
步骤2：流记录创建/更新
对采样到的包，创建或更新对应流的计数器（字节、包数）。
步骤3：精度动态调整
根据测量负载动态调整s：负载高时增大s（降低采样率），负载低时减小s。
步骤4：统计外推
流统计量需乘以2^s来估计原始流量。
参数优化：初始s值，负载阈值，调整步长。

采样误差：方差与2^s成正比，相对误差~1/sqrt(n_sample)。
资源消耗：与活动流数和采样率成正比。
适应性：能根据流量动态调整开销。
强度：平衡测量精度与处理开销。

随机采样、哈希函数、负载自适应。

网络流量监控（如NetFlow、IPFIX）、异常检测、计费。

flow_key：流标识（如五元组）。
h：哈希值（如32位）。
s：采样精度参数（0≤s≤32）。
p：采样概率p=1/2^s。
counters：流记录计数器。

哈希：h = H(flow_key)。
模运算：(h & ((1<<s)-1)) == 0采样条件。
概率：伯努利采样。
动态：根据负载反馈调整s。

流量采样配置、sFlow/IPFIX输出。

时序：
1. 包到达，提取flow_key。
2. 计算哈希h = hash(flow_key)。
3. 检查采样条件：(h & ((1<<s)-1)) == 0。
4. 若为真，查找或创建该flow_key的流记录，更新字节和包计数器。
5. 定期（或基于流超时）导出流记录，计数器值乘以2^s后输出。
6. 监控系统负载，按需调整s。
方程式：估计总字节= sampled_bytes * 2^s。

数据流：包→计算流键哈希→检查采样掩码→命中则更新流记录→定期导出并放大统计量。
控制流：基于哈希的确定性采样，辅以动态精度调整。
流向：基于哈希的过滤与聚合流。

NP-L1-0046​

包处理

隧道解封装

VXLAN 封装/解封装

VXLAN (Virtual eXtensible Local Area Network) 处理

步骤1：封装（Ingress）
根据内层以太网帧的目的MAC查MAC表，得到远端VTEP IP和VNI。添加外层UDP（目的端口4789）、IP头，再添加VXLAN头（8字节，含VNI）。
步骤2：解封装（Egress）
识别UDP目的端口为4789，验证VNI有效性。剥离外层UDP/IP和VXLAN头，得到原始二层帧。
步骤3：桥接或路由
根据内层帧的目的MAC或IP进行二层交换或三层路由。
步骤4：多播复制
对广播/未知单播/组播（BUM）流量，可能使用多播组进行头部复制。
参数优化：VTEP表大小，VNI数量（24位，16M）。

隧道规模：24位VNI，支持16M个逻辑二层域。
封装开销：50字节（外层IP+UDP+VXLAN）。
处理性能：硬件卸载后可线速。
强度：大规模云数据中心网络虚拟化。

叠加网络、隧道封装、MAC-in-UDP。

云数据中心网络虚拟化、多租户隔离、跨三层网络的二层扩展。

inner_frame：原始以太网帧。
vni：虚拟网络标识符（24位）。
vtep_src_ip, vtep_dst_ip：VTEP隧道端点IP。
vxlan_hdr：VXLAN头（标志、保留、VNI等）。
udp_dport：4789。

封装：`隧道包 = outer_ip

outer_udp

NP-L1-0047​

查找算法

基于硬件的布谷鸟哈希

布谷鸟哈希 (Cuckoo Hashing)

布谷鸟哈希表查找与插入

步骤1：哈希表结构
维护两个哈希表T1、T2，每个有m个桶，每个桶可存b个键（通常b=1或4）。使用两个哈希函数h1(x), h2(x)。
步骤2：查找
检查T1[h1(x)]和T2[h2(x)]两个桶，若任一包含x则找到。
步骤3：插入
尝试放入T1[h1(x)]或T2[h2(x)]的空位。若均满，则随机选择其中一个桶，驱逐其中现有键y，放入x，然后尝试为y重新插入到其另一个位置。此过程可能递归，直到成功或达到最大置换次数（检测到循环）。
步骤4：复杂度
查找O(1)，插入摊销O(1)但最坏O(n)。
参数优化：桶大小b，哈希函数质量，最大置换次数。

查找速度：最多检查2b个位置，O(1)。
空间利用率：可达>90%（取决于b）。
插入延迟：最坏情况可能触发多次置换。
强度：高空间利用率的常数查找时间哈希。

哈希、置换、随机化。

MAC地址表、流表、快速键值存储。

T1[m], T2[m]：两个哈希桶数组。
h1, h2：两个哈希函数。
b：每个桶的条目数（关联度）。
x：待插入或查找的键。
MAX_KICK：最大置换次数。

哈希：键到两个候选桶的映射。
置换：递归的驱逐与重定位过程。
图论：可以用二部图表示，插入对应寻找增广路径。
概率：成功插入的概率与负载因子相关。

哈希表库、硬件查找引擎。

时序（插入x）：
1. 检查桶T1[h1(x)]和T2[h2(x)]是否有空位。有则放入x，结束。
2. 若均满，随机选择桶T1[h1(x)]，驱逐其中一个现有键y，将x放入。
3. 现在需要为y寻找新位置。其候选桶为T1[h1(y)]和T2[h2(y)]，但T1[h1(x)]刚被占，因此尝试放入另一个候选桶T2[h2(y)]。
4. 若T2[h2(y)]满，则重复置换过程，为被驱逐的键寻找新家。
5. 最多进行MAX_KICK次置换，若仍失败，则触发扩容或认为表满。
方程式：桶选择bucket1 = h1(x) mod m, bucket2 = h2(x) mod m。

数据流：键x→计算h1(x),h2(x)→并行检查两个候选桶→找到则返回→插入时若无空位则启动置换循环（键在T1和T2间交替移动）直到成功或失败。
控制流：基于置换的递归插入算法。
流向：键在哈希桶之间的置换流。

NP-L1-0048​

拥塞控制

基于速率的拥塞控制

BBR (Bottleneck Bandwidth and Round-trip propagation time)

BBR拥塞控制算法

步骤1：状态估计
持续测量：
- 瓶颈带宽BtlBw= 最近N个RTT窗口内最大吞吐量。
- 往返传播时延RTprop= 最近T时间内的最小RTT。
步骤2：建模与 pacing
目标速率 = BtlBw，目标飞行数据量 = BtlBw * RTprop(BDp)。
使用pacing机制以目标速率发送数据。
步骤3：状态机
顺序经历状态：Startup（指数增长至估算BtlBw）、Drain（排空队列）、ProbeBW（周期波动探测）、ProbeRTT（周期降低飞行量测最小RTT）。
步骤4：参数
N=6-10个RTT窗口，T=10s，ProbeBW周期1.25*BtlBw和0.75*BtlBw交替。
参数优化：窗口大小N，ProbeBW增益系数。

排队时延：主动控制，通常保持较小队列。
吞吐量：高，能充分利用可用带宽。
公平性：与BBR流公平，但与Loss-based流竞争时可能占优。
强度：避免缓冲区膨胀，适用于高速长肥网络。

网络建模、带宽与时延乘积、控制理论。

广域网、互联网服务、视频流（如YouTube）。

BtlBw：估计的瓶颈带宽。
RTprop：估计的往返传播时延。
BDp：带宽时延积。
cwnd：拥塞窗口。
pacing_rate： pacing速率。
state：BBR状态机状态。

最大/最小估计：BtlBw = max(delivery_rate), RTprop = min(rtt)。
乘积：BDp = BtlBw * RTprop。
控制状态机：四个状态的转移逻辑。
优化：最大化吞吐量同时最小化时延。

BBR TCP协议栈实现。

时序：
1. 持续测量每个RTT的交付速率（ack承载的数据量/RTT）和RTT。
2. 更新BtlBw为过去N个RTT窗口内交付速率的最大值。
3. 更新RTprop为过去T秒内RTT的最小值。
4. 根据状态机：
- Startup: pacing_gain=2.89, cwnd_gain=2，快速增长直至带宽不再增长。
- Drain: pacing_gain=1/2.89，排空Startup建立的队列。
- ProbeBW: 8轮循环，使用[1.25, 0.75, 1, 1, 1, 1, 1, 1]的pacing_gain，周期调整速率。
- ProbeRTT: 每~10s，进入0.75*RTprop的保持期，测量最小RTT。
方程式：飞行数据量inflight = cwnd，目标inflight = BDp。

数据流：数据发送→ACK返回→测量交付速率和RTT→更新BtlBw和RTprop估计→BBR状态机决策→计算pacing_rate和cwnd→控制发送。
控制流：基于测量的状态机驱动控制环。
流向：基于带宽和时延估计的闭环控制流。

NP-L1-0049​

包调度

严格优先级调度

严格优先级队列 (SPQ)

严格优先级调度算法

步骤1：队列优先级定义
定义n个优先级队列Q1, Q2, ..., Qn，优先级P1 > P2 > ... > Pn。
步骤2：调度决策
总是检查最高优先级非空队列Qi，发送其队首包。
步骤3：服务规则
只要高优先级队列非空，就持续服务，低优先级队列会被饿死。
步骤4：实现
通常配合整形器（如令牌桶）限制高优先级流量，避免饿死低优先级。
参数优化：优先级数量，各队列的流量整形参数。

时延确定性：高优先级流量享有低时延。
公平性：无，低优先级可能完全得不到服务。
实现复杂度：极低，O(1) per packet。
强度：为关键流量提供绝对优先服务。

优先级调度、饿死问题、确定性时延。

语音、视频、网络控制等关键流量调度、交换机出口队列。

Q_i：优先级为i的队列，i=1最高。
P_i：队列i的优先级，P_i > P_{i+1}。
pkt：数据包。
active_bitmap：标识非空队列的位图。

优先级排序：P1 ≻ P2 ≻ ... ≻ Pn。
选择函数：next_queue = min_{i: Q_i非空} i。
饿死：低优先级队列可能长期得不到服务。
组合：与整形器结合。

队列配置CLI、硬件调度器。

时序：
1. 包到达，根据其优先级标记（如DSCP、VLAN PCP）进入对应优先级队列Q_i。
2. 调度器维护一个活动队列位图active_bits。
3. 当输出端口空闲时，调度器扫描active_bits，找到最高优先级的置位i（即最小的i使得Q_i非空）。
4. 从队列Q_i的队首取出一个包发送。
5. 如果发送后Q_i变空，则清除active_bits中的第i位。
方程式：调度选择j = argmin_{i∈{1..n}, Q_i非空} i。

数据流：包到达→分类进入优先级队列→调度器总是选择最高优先级非空队列→发送其队首包→更新队列状态。
控制流：基于优先级的饥饿调度。
流向：高优先级绝对优先的流。

NP-L1-0050​

安全处理

状态防火墙指令

连接状态跟踪与检查

状态防火墙包过滤

步骤1：包分类
提取五元组，确定流量方向（出站、入站、相关）。
步骤2：状态表查找
在连接跟踪表中查找匹配现有连接的条目。
步骤3：状态验证
根据协议状态机（如TCP SYN/SYN-ACK/ACK）和流方向验证包是否合法。例如，对入站TCP包，若状态为ESTABLISHED且序列号在窗口内，则允许。
步骤4：规则匹配
若无匹配连接，则匹配静态规则表（ACL）。若规则允许且为连接起始包（如TCP SYN），则创建新的连接跟踪条目。
步骤5：状态更新与超时
更新连接状态和超时定时器。
参数优化：连接表大小，协议特定超时值。

安全性：比无状态ACL更安全，能防欺骗。
连接数支持：受状态表容量限制。
处理开销：每个包需状态表查找和更新。
强度：现代防火墙的基础功能。

状态检测、协议有限状态机、连接跟踪。

网络边界安全、NAT、入侵防御系统(IPS)。

conn_key：连接标识（五元组）。
state：连接状态（如NEW, ESTABLISHED, RELATED, INVALID）。
proto_info：协议特定信息（TCP序列号、窗口）。
timeout：状态超时时间。
acl_rules：访问控制列表。

状态机：TCP等协议的状态转移图。
表查找：基于五元组的连接跟踪表。
超时：基于定时器的状态清理。
方向：流量方向与规则的匹配逻辑。

防火墙策略配置、连接跟踪API。

时序（TCP SYN包入站）：
1. 包到达，提取五元组，标记为入站。
2. 查连接跟踪表，无匹配（新连接）。
3. 匹配入站ACL规则，若规则允许SYN包，则创建新连接条目，状态=SYN_SENT（或NEW），启动定时器。
4. 转发包（若策略允许）。
（后续TCP ACK包入站）：
1. 查连接跟踪表，找到条目，状态=SYN_SENT。
2. 验证TCP标志和序列号符合预期。
3. 更新连接状态为ESTABLISHED，刷新定时器。
4. 允许包通过。
方程式：连接键key = hash(sip, sport, dip, dport, proto)。

数据流：包到达→提取五元组和方向→连接跟踪表查找→找到则状态验证和更新→通过；未找到则ACL规则匹配→允许则创建新状态条目→通过/拒绝。
控制流：基于连接状态的有状态包过滤。
流向：包触发连接状态机的转移流。

NP-L1-0051​

流量测量

流量分布估计

分位数估计 (Quantile Estimation)

GK算法 (Greenwald-Khanna) 流式分位数

步骤1：数据结构
维护一个有序摘要S，包含元组(v, g, Δ)，v是值，g是最小秩到下界差，Δ是最大秩到上界差。保证g+Δ ≤ 2εN，N是元素数。
步骤2：插入操作
找到v的插入位置，计算其g=1，Δ=⌊2εN⌋。为维持容量，定期合并摘要中g+Δ ≤ 2εN的相邻元组。
步骤3：查询分位数φ
找到满足r_min ≤ φN ≤ r_max的元组，其v可作为φ分位数的估计。r_min = Σ g_i, r_max = r_min + Δ_i。
步骤4：误差界
估计误差不超过εN。
参数优化：误差参数ε，合并频度。

估计误差：绝对误差≤ εN。
内存使用：O((1/ε) log(εN))个元组。
计算开销：每次插入O(log(1/ε))。
强度：在流式数据中高效估计任意分位数。

流算法、分位数、近似计算。

网络时延分布、流大小分布、性能监控。

S：有序摘要，元素为(v_i, g_i, Δ_i)。
N：已处理的元素总数。
ε：误差参数（0<ε<1）。
φ：要查询的分位数（0≤φ≤1）。
r：秩。

有序统计：维持值的全序。
区间：每个元组v_i代表一个秩区间[r_min, r_max]。
合并：压缩摘要的操作。
误差：`

r(φ) - φN

≤ εN`。

流式统计库、分位数查询API。

NP-L1-0052​

包处理

报头校验和指令

IP/TCP/UDP 校验和计算

增量更新校验和

步骤1：初始计算
对16位字进行反码求和，再取反码，得到校验和。checksum = ~∑_i w_i，其中∑为反码加法。
步骤2：增量更新规则
已知旧校验和C，将字段从旧值m更新为新值m'，则新校验和C' = C + (~m) + m'。等价于C' = C + (m' - m)，在反码算术下。
步骤3：多字段更新
可连续应用增量更新，或合并所有变化Δ = ∑ (~m_old_i) + ∑ m_new_i，然后C' = C + Δ。
步骤4：最终规约
对结果进行反码加法的高16位回卷，最后取反。
参数优化：使用32位累加器避免多次回卷。

计算正确性：必须与从头计算完全一致。
计算速度：增量更新比从头计算快，尤其只更新TTL时。
强度：IP、TCP、UDP等协议完整性校验基础。

反码算术、校验和、增量计算。

路由器TTL递减、NAT地址转换、隧道封装时校验和修复。

C：旧校验和（16位）。
m_old, m_new：字段的旧值和新值（16位字）。
w_i：数据包的16位字。
~：按位取反。
+：反码加法（带回卷）。

反码算术：定义a +' b = (a+b) mod 0xFFFF，若a+b有进位，则结果加1。
增量：Δ = (~m_old) +' m_new。
结合律：增量可合并。
代数：校验和补码性质。

网络协议栈、校验和计算库。

时序（IP TTL递减）：
1. 读取IP头，提取旧TTL值ttl_old和旧首部校验和C_old。
2. 计算新TTL ttl_new = ttl_old - 1。
3. 将ttl_old, ttl_new视为16位值（高8位为0），计算增量Δ = (~ttl_old) + ttl_new。在反码算术中，~ttl_old = 0xFFFF - ttl_old，故Δ = 0xFFFF - ttl_old + ttl_new = 0xFFFF - 1（因为ttl_new = ttl_old - 1）。
4. 计算新校验和C_new = C_old + Δ。进行反码加法规约（高16位加到低16位）。
5. 将C_new写入IP头校验和字段。
方程式：checksum = ~(∑_{i=0}^{n-1} w_i)，其中∑是反码和。

数据流：旧包/头→提取旧校验和和待更新字段→计算增量变化→应用增量更新到校验和→写回新校验和。
控制流：基于旧值和新值的确定性计算。
流向：校验和增量更新流。

NP-L1-0053​

查找算法

基于TCAM的 ACL 优化

位向量选择 (Bit Vector Selection)

基于位向量的并行包分类

步骤1：规则集划分
将规则集按字段划分为多个子集，每个子集对应一个查找引擎（如TCAM或哈希表）。
步骤2：并行查找
包同时被所有查找引擎处理，每个引擎返回一个位向量BV_i，长度等于规则数，位j为1表示包匹配该引擎的子规则j。
步骤3：位向量聚合
对BV_i进行按位与（AND）操作，得到最终匹配向量BV_final = BV_1 & BV_2 & ... & BV_k。
步骤4：优先级编码
BV_final中为1的最低位（或根据优先级映射）对应匹配的规则。
步骤5：复杂度
查找时间O(1)，空间开销为存储多个位向量和规则副本。
参数优化：划分策略，位向量压缩。

查找速度：k个引擎并行，结果聚合，速度极快。
内存开销：规则被复制到多个引擎，位向量存储开销。
更新复杂度：高，更新一个规则可能影响多个引擎。
强度：通过并行性实现高速多维分类。

并行处理、位操作、集合交集。

高速防火墙、负载均衡器、SDN交换机流表。

R：规则集，大小为N。
k：查找引擎数量（通常等于字段数）。
BV_i：第i个引擎返回的N位位向量。
match_vector：最终匹配位向量。
pri_encoder：优先级编码器。

并行：k个引擎同时工作。
位操作：按位与&求交集。
集合：位向量表示规则集合。
逻辑：匹配是所有子条件（字段匹配）的逻辑与。

包分类编译器、硬件查找架构。

时序：
1. 包到达，提取d个字段F1..Fd。
2. 并行地，字段F1送入引擎1（如源IP前缀TCAM），返回BV1；字段F2送入引擎2，返回BV2；... 字段Fd送入引擎d，返回BVd。
3. 对BV1..BVd执行按位与操作：match_bv = BV1 & BV2 & ... & BVd。
4. 优先级编码器在match_bv中找到为1的最高优先级位（假设低位优先级高），输出对应规则ID。
5. 执行规则动作。
方程式：match_bv[j] = 1 iff ∀i∈[1,d], 包匹配子规则R_{i,j}。

数据流：包→字段提取→多引擎并行查找→生成位向量→位向量按位与聚合→优先级编码→输出规则ID。
控制流：多路并行与聚合。
流向：数据包字段到多路位向量的扇出与聚合流。

NP-L1-0054​

流量管理

公平队列与赤字轮询结合

加权赤字轮询 (WDRR)

加权赤字轮询调度算法

步骤1：权重分配
每个队列i分配权重w_i，表示其应得的带宽比例。
步骤2：量子计算
队列i的每轮量子Quantum_i = w_i * MTU（或固定值）。
步骤3：DRR核心
同标准DRR：轮询时Deficit_i += Quantum_i；当Deficit_i ≥ 队首包长L时发送，Deficit_i -= L。
步骤4：权重比例保证
长期平均带宽B_i / B_j = w_i / w_j。
步骤5：复杂度
O(1) per packet，实现简单。
参数优化：Quantum_i基数，MTU值选择。

公平性：长期带宽比等于权重比。
时延特性：不如WFQ，但对突发容忍更好。
实现复杂度：低，与DRR相同。
强度：简单有效的加权公平队列近似。

赤字轮询、加权公平、比例分配。

路由器QoS、交换机出口调度、差异化服务。

w_i：队列i的权重。
Quantum_i：队列i的每轮基本量子。
Deficit_i：队列i的赤字计数器。
MTU：最大传输单元。
active_list：活动队列列表。

比例：Quantum_i ∝ w_i。
累加与扣减：同DRR。
公平性：长期带宽比= w_i/w_j。
轮询：循环服务活动队列。

调度器配置API、QoS策略。

时序：
1. 初始化：计算每个队列的Quantum_i = w_i * Q_base（Q_base可配置，如MTU）。
2. 维护活动队列列表（非空队列）。
3. 调度器轮询活动列表，对当前队列i：
a. Deficit_i += Quantum_i。
b. while (队列i非空 且 Deficit_i ≥ 队首包长L)：发送队首包，Deficit_i -= L。
c. 若发送后队列空，则从活动列表移除，Deficit_i=0；否则（L > Deficit_i）处理下一队列。
方程式：Quantum_i = (w_i / Σ_{active} w_j) * K，K为常数。

数据流：包入队→活动列表管理→轮询增加赤字（按权重比例）→尝试发送队首包（赤字足够）→发送并扣减赤字→循环或跳过→下一队列。
控制流：加权轮询循环，赤字控制内循环。
流向：基于权重加权的赤字轮询流。

NP-L1-0055​

安全处理

随机丢包防御

惩罚性随机丢包

惩罚箱 (Penalty Box) 算法

步骤1：流分类
根据包特征（如五元组）识别流。
步骤2：丢包决策
对每个包，以概率p_drop随机丢弃，无论其内容或状态。p_drop可全局固定，或基于流的历史行为动态调整。
步骤3：动态概率
对疑似恶意流（如速率超阈值），增大其p_drop；对良性流，降低甚至设为0。
步骤4：同步攻击缓解
随机丢包打破攻击流的同步性，增加其攻击成本。
参数优化：基础丢包率p_base，动态调整因子，评估窗口。

防御有效性：增加攻击者不确定性，缓解泛洪攻击。
对正常流量影响：基础丢包率引入额外损耗。
实现复杂度：低，主要开销是随机数生成和概率比较。
强度：一种轻量级、不可预测的防御手段。

随机化、概率决策、DDoS缓解。

DDoS防御、防火墙前级过滤、对抗低速率攻击。

p_drop：丢包概率（0≤p≤1）。
flow_id：流标识。
rate：流当前速率。
threshold：速率阈值。
rand()：均匀随机数生成器。

概率：伯努利试验决定丢包。
随机性：打破确定性模式。
动态：p_drop可随流行为变化。
阈值比较：rate > threshold触发惩罚。

安全策略配置、随机数生成指令。

时序：
1. 包到达，提取flow_id。
2. 可选：更新该flow_id的近期速率统计。
3. 根据flow_id查找其当前丢包概率p（可能基于速率：若rate > threshold，p = p_high，否则p = p_low）。
4. 生成随机数r ∈ [0,1)。
5. 如果r < p，则丢弃该包；否则，允许其进入后续处理流程。
6. 定期根据全局负载或攻击态势调整p_high和p_low。
方程式：P(丢弃) = p_drop(flow_id)。

数据流：包→流标识→查当前丢包概率→生成随机数→比较→若小于概率则丢弃，否则放行。
控制流：基于概率的随机丢弃决策。
流向：随机过滤流。

NP-L1-0056​

包处理

基因重组 (分段卸载)

Large Receive Offload (LRO)

大接收卸载 (LRO)

步骤1：包接收与分类
接收属于同一个TCP流的分段包，根据五元组和TCP序列号分类。
步骤2：重组检查
检查分段包的TCP序列号是否连续，载荷数据是否重叠（应无重叠）。检查TCP标志（如FIN, RST）和校验和。
步骤3：重组决策
如果多个分段能组成一个更大的、序列号连续的数据块，则将它们合并成一个大的数据包。更新TCP序列号、确认号、IP总长度、校验和等字段。
步骤4：提交上层
将重组后的大包提交给上层协议栈，减少中断和协议处理开销。
步骤5：超时与提交
设置定时器，防止为等待丢失分段而长时间等待。
参数优化：重组缓冲区大小，最大重组包大小，超时时间。

吞吐量提升：显著减少协议栈处理的小包数量，提升吞吐。
时延增加：可能引入重组等待时延。
CPU开销降低：减少每字节处理开销。
强度：提升TCP接收性能，尤其对小包密集流量。

TCP协议、分段重组、协议卸载。

服务器网络接口卡(NIC)、虚拟交换机、网络存储。

seg_list：属于同一流的分段包列表。
next_seq：期待的下一个TCP序列号。
buffered_data：已缓冲的连续载荷数据。
max_len：允许的最大重组包长度。
timer：重组等待定时器。

序列号：TCP序列号算术。
连续性：检查seg.seq == next_seq。
聚合：合并多个分段载荷。
超时：定时器触发强制提交。

NIC驱动程序、硬件重组引擎。

时序：
1. NIC收到TCP分段，提取五元组和序列号。
2. 查找该流的重组上下文。若不存在则创建。
3. 检查该分段序列号是否与已缓冲数据连续且无重叠。若是，则将分段数据放入缓冲区，更新next_seq。
4. 检查条件：a) 缓冲区数据达到max_len；b) 收到PSH标志；c) 定时器超时；d) 收到乱序分段。若任一满足，则将当前连续缓冲区数据重组为一个新包（更新IP总长、TCP序列号、校验和等），提交给上层，重置缓冲区。
5. 若收到乱序分段，可选择丢弃或保留（取决于实现）。
方程式：新IP总长 = 原始IP头长 + TCP头长 + Σ(分段载荷长)。

数据流：TCP分段流→按流分类→检查序列号连续性→缓冲连续数据→触发条件满足时重组为大包→提交协议栈。
控制流：基于序列号和定时器的重组状态机。
流向：小包合并为大包的聚合流。

NP-L1-0057​

查找算法

最长后缀匹配

后缀树/后缀数组查找

最长后缀匹配 (LSM)

步骤1：字符串预处理
对于给定的字符串集合（如域名），构建后缀树或后缀数组索引。
步骤2：查找过程
给定查询串Q，在后缀树中查找与Q具有最长公共后缀的字符串。这可以通过遍历后缀树，从Q的末尾开始反向匹配来实现。
步骤3：复杂度
后缀树查找O(m)，m为查询串长度；后缀数组结合LCP数组，可O(m + log n)查找。
步骤4：应用
常用于域名匹配（如匹配*.example.com）。
参数优化：索引结构选择（后缀树/数组），内存优化。

查找速度：后缀树O(m)，很快。
索引大小：后缀树O(n)空间但常数大，后缀数组O(n)更紧凑。
支持通配符：天然支持后缀通配（如*.com）。
强度：高效解决后缀匹配问题。

字符串匹配、后缀树、后缀数组。

URL过滤、域名黑名单、CDN域名匹配。

S：字符串集合，总长n。
Q：查询字符串，长m。
suffix_tree/array：后缀索引结构。
lcp：最长公共前缀数组。

字符串：后缀、前缀、子串。
树：后缀树的树结构。
数组：后缀数组的排序和LCP。
匹配：反向比较字符。

字符串搜索库、域名匹配引擎。

时序（后缀树查找）：
1. 从根节点开始，当前节点=根。
2. 从查询串Q的最后一个字符开始，设i = m-1。
3. 查找当前节点出边中标签以字符Q[i]开头的边。若存在，则沿该边向下，同时比较边上后续字符与Q的相应字符（从i-1递减比较）。若全部匹配，则移动到子节点，i减去匹配的字符数。
4. 重复步骤3，直到无法匹配或到达叶子节点。
5. 查找过程中记录匹配长度最长的节点对应的原始字符串（可能需从叶子节点获取）。
方程式：匹配长度L = max_{s∈S} length(LongestCommonSuffix(s, Q))。

数据流：查询字符串Q→从末尾字符开始→在后缀树中遍历匹配→记录最长匹配路径→返回对应字符串。
控制流：基于字符的后缀树遍历。
流向：在后缀树中的反向匹配流。

NP-L1-0058​

拥塞控制

延迟梯度拥塞控制

Vegas 算法

TCP Vegas 拥塞控制

步骤1：时延测量
测量每个RTT的最小RTTminRTT（视为传播时延）和当前RTTcurrentRTT。
步骤2：期望与实际吞吐量计算
期望吞吐量Expected = cwnd / minRTT。实际吞吐量Actual = cwnd / currentRTT。
步骤3：差值计算
Diff = Expected - Actual = cwnd/minRTT - cwnd/currentRTT = cwnd*(currentRTT - minRTT)/(minRTT*currentRTT)。
步骤4：窗口调整
设置阈值α和β（α<β，如1和3）。每个RTT：
- 若Diff < α，说明未充分利用带宽，cwnd++。
- 若Diff > β，说明排队时延过大，可能拥塞，cwnd--。
- 否则，cwnd不变。
步骤5：慢启动与快速恢复
有自己变体。
参数优化：α，β，RTT采样平滑。

排队时延：主动维持少量包在队列中（α到β之间）。
丢包率：极低，通过时延避免丢包。
公平性：Vegas流之间公平，但与Reno流竞争处于劣势。
强度：基于时延的拥塞避免，平滑。

基于时延的拥塞控制、优化理论。

对丢包敏感的应用、长距离链路、实验性TCP。

minRTT：测量的最小RTT。
currentRTT：当前平滑RTT。
cwnd：拥塞窗口。
α, β：阈值参数（包数）。
Diff：期望与实际吞吐量差值。

差值计算：Diff = cwnd*(1/minRTT - 1/currentRTT)。
阈值比较：α < Diff < β为目标区。
控制：根据差值符号和大小调整窗口。
比例：Diff与排队包数成正比。

TCP Vegas协议栈实现。

时序：
1. 持续测量RTT，更新minRTT（取长期最小值）。
2. 每个RTT（或更频繁）计算：
Expected = cwnd / minRTT
Actual = cwnd / currentRTT
Diff = Expected - Actual。
3. 根据Diff调整窗口：
- 如果Diff < α：cwnd = cwnd + 1下一RTT。
- 如果Diff > β：cwnd = cwnd - 1下一RTT。
- 否则，cwnd不变。
4. 发送窗口内数据。
5. 丢包时执行快速重传/恢复。
方程式：平衡时α ≤ cwnd*(1/minRTT - 1/baseRTT) ≤ β。

数据流：数据发送→RTT采样→更新minRTT和currentRTT→计算期望和实际吞吐量差值→根据差值调整cwnd→控制发送。
控制流：基于时延差值的反馈控制环。
流向：吞吐量差值驱动的窗口控制流。

NP-L1-0059​

包调度

基于类的队列

Class-Based Queueing (CBQ)

基于类的队列调度

步骤1：流量分类
根据过滤器（如ACL）将流量划分到不同的类（class）。每个类对应一个队列。
步骤2：层次化结构
类可以组织成树形结构，根是链路，内部节点是聚合类，叶子是具体流量类。
步骤3：带宽分配
为每个类分配保证带宽guaranteed_rate，并可设置上限ceil_rate。使用令牌桶或类似机制控制类可用的带宽。
步骤4：调度
在满足父类约束的前提下，对同层子类使用轮询、优先级等调度策略。
步骤5：借用与限制
允许类借用父类的空闲带宽，但不能超过其ceil_rate。
参数优化：类层次设计，带宽参数，借用策略。

灵活性：支持复杂的分类和层次化策略。
资源保证：可保证每个类的最小带宽。
实现复杂度：较高，需管理层次和令牌桶。
强度：经典的层次化QoS模型。

分层排队、类、借用机制。

企业网QoS、服务提供商差异化服务、流量工程。

class：流量类，包含过滤器、队列、令牌桶参数。
parent：父类。
children：子类列表。
guaranteed_rate：保证速率。
ceil_rate：峰值速率限制。
tokens：当前令牌数。

树结构：类的层次。
令牌桶：每个类的速率控制。
借用：空闲带宽分配逻辑。
调度：同层类间的调度策略（如DRR）。

QoS配置语言（如MQC）、流量控制API。

时序：
1. 包到达，匹配过滤器，进入对应的叶子类队列。
2. 调度器从根类开始，尝试发送一个包：
a. 选择当前有令牌且队列非空的一个子类（选择策略如轮询）。
b. 检查该类及其祖先令牌是否足够发送队首包L字节。是则发送，并从该类及其所有祖先扣除L个令牌。
c. 如果某祖先令牌不足，该类可尝试“借用”祖先的令牌（如果允许且未超ceil_rate）。
3. 令牌定期生成：每个类按其guaranteed_rate累积令牌，不超过桶容量。
4. 借用的令牌在后续生成中会优先偿还。
方程式：类令牌更新tokens_c(t+Δt) = min(capacity_c, tokens_c(t) + r_c*Δt - L_sent + borrowed)。

数据流：包→分类到叶子类队列→调度器从根开始遍历树，选择符合条件的子类→检查令牌链→足够则发送并扣除令牌→不足则尝试借用→发送。
控制流：层次化令牌检查与借用决策。
流向：基于类的层次化调度流。

NP-L1-0060​

网络测量

流采样与聚合

流随机聚合 (Flow Aggregation Sampling)

基于哈希的流聚合

步骤1：流键哈希
对每个包的流键（如五元组）计算哈希h = hash(flow_key)。
步骤2：聚合决策
定义聚合掩码M，保留哈希h的高k位。如果两个流的哈希高k位相同，则它们被聚合为一个“超级流”。
步骤3：统计收集
为每个不同的高k位值维护一个聚合计数器，累加所有映射到该值的流的流量。
步骤4：精度与开销权衡
k越大，聚合程度越低，精度越高，但计数器越多。k越小，聚合程度高，开销小，但精度低。
参数优化：选择k以平衡内存和精度需求。

内存使用：最多2^k个聚合计数器。
信息损失：流级别信息丢失，只有聚合视图。
测量开销：极低，适合大规模网络。
强度：以可控的信息损失换取可扩展的流量测量。

哈希、聚合、采样。

大规模网络流量聚合视图、趋势分析、异常检测（粗粒度）。

flow_key：流标识。
h：哈希值（如32位）。
k：聚合掩码位数。
agg_key：聚合键（h的高k位）。
counters[2^k]：聚合计数器数组。

哈希：h = H(flow_key)。
位操作：agg_key = h >> (32-k)。
聚合：多个流映射到同一个agg_key。
统计：对聚合键的流量求和。

流量测量库、聚合采样配置。

时序：
1. 包到达，提取flow_key。
2. 计算哈希h = hash(flow_key)。
3. 提取聚合键agg_id = h >> (HASH_BITS - k)。
4. 查找或创建聚合计数器counters[agg_id]，更新字节和包计数。
5. 定期导出所有counters[]，每个条目代表一个聚合流（由多个原始流组成）。
方程式：聚合流量= Σ_{flow: agg_key(flow)=i} traffic(flow)。

数据流：包→计算流键哈希→取哈希高k位作为聚合ID→更新对应聚合计数器→定期输出聚合统计。
控制流：基于哈希的确定性聚合。
流向：多对一的流聚合映射流。

NP-L1-0061​

包处理

协议无关帧处理

通用帧处理流水线

可编程解析器-匹配器-动作 (P4-like)

步骤1：可编程解析
用户定义包头格式和解析状态机。解析器根据包头字段值决定下一跳头部，生成包含提取字段的“包元数据”。
步骤2：匹配-动作流水线
包元数据顺序通过多个匹配-动作表。每个表包含键、动作、动作数据。匹配成功后执行动作（如修改字段、添加头、丢弃、转发到某个端口或下一表）。
步骤3：逆解析（Deparsing）
根据修改后的元数据和动作结果，重新组装包（可能添加或删除头部）。
步骤4：目标相关优化
编译器将高级程序映射到底层硬件资源（如TCAM、SRAM、ALU）。
参数优化：流水线阶段数，表大小，动作复杂度。

灵活性：通过编程定义新的协议和处理逻辑。
性能：编译优化后可接近线速。
资源约束：受硬件资源（表项、计算单元）限制。
强度：实现数据平面可编程性。

可编程数据平面、匹配-动作、协议无关处理。

软件定义网络(SDN)交换机、网络功能虚拟化(NFV)、自定义协议处理。

parser：解析器状态机。
metadata：包处理中间数据。
match-action table：表定义(key, action, params)。
action：原子操作集合。
deparser：逆解析器。

状态机：解析状态转移。
表查找：基于键的匹配。
动作序列：对元数据和包头的操作序列。
流水线：多个阶段的顺序处理。

P4语言、可编程数据平面编译器。

时序：
1. 解析：从链路层开始，根据解析图逐字节解析包头，填充metadata。
2. 进入流水线阶段1：根据metadata计算表1的查找键，查表1，执行匹配动作（可能修改metadata）。
3. 进入阶段2...阶段N，类似处理。
4. 逆解析：根据最终的metadata和动作指示（如egress_port），从内层到外层组装包头发送。
方程式：处理逻辑= deparser( table_N( ... table_2( table_1( parser(pkt) ) ) ) )。

数据流：原始比特流→可编程解析器生成元数据→流经多级匹配-动作表（每级可能修改元数据）→逆解析器根据最终元数据组装输出包→发送。
控制流：基于表的流控制，动作决定下一跳表或结束。
流向：可配置的数据平面处理流水线。

NP-L1-0062​

安全处理

应用层网关

SIP ALG (Application Layer Gateway)

SIP 应用层网关处理

步骤1：SIP消息解析
解析SIP消息（INVITE, 200 OK, ACK等），提取关键字段：Call-ID, From, To, Contact, SDP（媒体IP和端口）。
步骤2：NAT绑定创建/更新
根据SIP消息中的媒体地址（SDP中的c=和m=行），创建或更新NAT/防火墙的pinhole，允许后续RTP/RTCP媒体流通过。
步骤3：地址重写
修改SIP消息头和SDP体中的IP地址和端口，将私网地址替换为公网地址（出方向），反之（入方向）。
步骤4：状态跟踪
跟踪SIP对话状态，在对话结束时（收到BYE）清理NAT绑定。
步骤5：协议一致性
处理SIP特定的NAT穿越问题（如VIA头修改）。
参数优化：SIP解析深度，绑定超时时间。

协议穿透性：使SIP/RTP能穿越NAT/防火墙。
处理复杂度：需解析应用层协议，较高。
状态维护：需维护每个SIP会话的状态。
强度：实现SIP等复杂协议在NAT后的正常工作。

应用层协议解析、NAT穿越、状态跟踪。

VoIP网关、SIP代理、企业防火墙。

sip_msg：SIP消息。
call_id：SIP呼叫标识。
sdp：SDP消息体，含c=（连接地址）和m=（媒体端口）。
private_ip:port：私网媒体地址。
public_ip:port：公网映射地址。
binding：NAT绑定表项。

协议解析：SIP语法解析。
地址替换：字符串搜索与替换。
状态机：SIP对话状态跟踪。
映射：私网到公网地址端口映射。

SIP协议栈、ALG模块。

时序（出方向INVITE）：
1. 收到内网发出的SIP INVITE，解析SIP头和SDP。
2. 从SDP中提取私网媒体地址c=private_ip和端口m=private_port。
3. 为(private_ip, private_port)创建NAT绑定，分配公网地址(public_ip, public_port)。
4. 修改SDP中的c=和m=为公网地址端口。
5. 可选修改SIP头（如Contact, Via）。
6. 转发修改后的INVITE到公网。
（入方向200 OK）：
1. 收到公网来的200 OK，解析SDP。
2. 查找与Call-ID对应的NAT绑定，得到私网地址。
3. 修改SDP中的公网地址端口为私网地址端口。
4. 转发修改后的200 OK到内网。
方程式：SDP修改c=private_ip → c=public_ip，m=private_port → m=public_port。

数据流：SIP消息→解析→提取媒体地址→NAT映射与地址转换→修改SIP/SDP消息→转发→后续媒体流匹配NAT绑定通过。
控制流：基于SIP方法（INVITE, BYE）的状态管理。
流向：SIP信令触发NAT控制的媒体流建立。

NP-L1-0063​

流量管理

链路聚合控制协议

LACP (Link Aggregation Control Protocol) 处理

链路聚合组 (LAG) 管理与负载均衡

步骤1：LACP PDU交换
端口启用LACP后，定期发送LACP协议数据单元，包含系统ID、端口ID、密钥、状态等。
步骤2：聚合协商
对端比较收到的系统ID、密钥、端口能力。匹配的端口被聚合到同一个聚合组中。
步骤3：负载均衡决策
流量在聚合组成员链路上分布。常用哈希算法：对包头部字段（如源/目的MAC/IP、端口）计算哈希，根据哈希值选择输出链路。
步骤4：故障检测与恢复
通过LACP PDU超时检测链路故障，将其从活动组中移除，流量重哈希到剩余链路。
步骤5：复杂度
负载均衡O(1)，管理开销低。
参数优化：哈希字段选择，LACP超时时间。

带宽聚合：多条物理链路逻辑上成为一条高带宽链路。
故障恢复：毫秒级切换。
负载均衡：基于流的哈希，保证同一流有序。
强度：提高带宽和可靠性的标准方法。

链路聚合、负载均衡、协议状态机。

交换机间链路聚合、服务器网卡绑定。

lag_id：链路聚合组标识。
member_ports：组成员端口列表。
hash_key：用于负载均衡的哈希键（字段选择）。
lacp_pdu：LACP协议报文。
actor_state：本端端口状态（活动、超时等）。

哈希：link_index = hash(pkt_fields) mod N。
集合：活动端口集合。
状态机：LACP端口状态机（初始、超时、活动等）。
协商：参数匹配（系统ID，密钥）。

链路聚合配置、LACP协议栈。

时序：
1. 端口启用LACP，进入初始状态，定期发送LACP PDU。
2. 收到对端的LACP PDU，检查系统ID、密钥、端口参数是否匹配。
3. 如果匹配，端口进入活动状态，加入对应的聚合组。
4. 流量从聚合组发送时，提取哈希键（如源/目的MAC、IP、端口），计算哈希值h。
5. 选择活动端口member_ports[h mod count_active]作为输出端口。
6. 如果某个端口停止接收LACP PDU（超时），则将其状态置为超时，从活动端口中移除，流量重新分布。
方程式：出端口选择`out_port = member_ports[ hash(sip, dip, sport, dport) mod

member_ports

NP-L1-0064​

查找算法

并行哈希查找

多bank哈希表

多bank并行哈希查找

步骤1：表结构
哈希表被划分为B个独立的bank（存储体）。每个bank有自己的读/写端口。
步骤2：哈希与bank选择
对键key计算哈希h = hash(key)。bank索引b = h mod B。桶内偏移offset = (h / B) mod table_size_per_bank。
步骤3：并行查找
多个查找请求（如来自不同流水线阶段）可以同时访问不同的bank，无冲突。
步骤4：冲突解决
每个bank内部使用链地址法或开放地址法。
步骤5：吞吐量
理想情况下，吞吐量可达B个查找/周期。
参数优化：bank数量B（通常为2的幂），每个bank大小，哈希函数。

吞吐量：B路并行，大幅提升查找吞吐。
冲突减少：bank划分将全局冲突局部化到各bank。
实现复杂度：需要B个存储体和仲裁逻辑。
强度：通过存储体并行提升哈希表性能。

并行访问、存储体冲突、哈希。

高吞吐流表、会话表、MAC表查找。

B：bank数量。
hash(key)：哈希函数。
bank_index：b = hash(key) mod B。
table[b]：第b个bank的哈希表。
bucket：桶，可包含多个条目。

模运算：bank_index = h mod B。
划分：键空间到B个bank的划分。
并行：B个bank可同时服务B个请求（如果bank不同）。
冲突：每个bank内部冲突处理。

并行哈希表库、硬件查找架构。

时序：
1. 接收多个查找请求key1, key2, ..., keyM（M≤B）。
2. 并行计算每个key_i的哈希h_i。
3. 并行计算每个key_i的bank索引b_i = h_i mod B和桶地址addr_i。
4. 仲裁：如果多个请求映射到同一个bank，则需串行处理（排队或流水）。
5. 对每个可并行执行的请求，同时访问对应的table[b_i]，读取桶内容。
6. 并行比较桶内条目，找到匹配的键（如果存在）。
方程式：平均吞吐量≈ B / (1 + 冲突概率)。

数据流：多个查找键→并行哈希计算→bank索引计算→（可能仲裁）→并行访问多个bank存储器→并行比较→返回结果。
控制流：多bank并行访问与仲裁。
流向：查找请求到多bank的扇出与结果聚合流。

NP-L1-0065​

拥塞控制

基于学习的拥塞控制

Remy 算法

Remy 基于机器学习的CC

步骤1：离线模型训练
给定网络模型（RTT分布、瓶颈带宽、缓冲区大小、流量模式等）和优化目标（如高吞吐、低时延），使用优化算法（如爬山、模拟退火）搜索最优的CC规则映射。规则映射是一个函数，将当前测量状态（如吞吐、RTT、发送速率）映射到动作（如发送窗口变化）。
步骤2：在线规则应用
部署生成的规则映射。发送方持续测量网络状态，根据规则映射决定窗口调整量。
步骤3：无参数自适应
规则映射是确定性的查找表，无需在线调整参数。
步骤4：局限性
性能依赖于训练环境与真实环境的匹配度。
参数优化：训练时的网络模型参数，优化算法参数。

性能：在匹配的训练场景下可超越传统CC算法。
通用性：对训练环境之外的场景可能表现不佳。
训练开销：离线训练计算量大。
强度：展示了机器学习优化CC的潜力。

机器学习、优化理论、控制理论。

研究、特定环境（如数据中心）的定制CC。

state：测量状态向量（如[ throughput, rtt, delivery_rate ]）。
action：控制动作（如delta_cwnd）。
rule_map：从状态到动作的映射（如查找表）。
model：训练用的网络环境模型。

优化：在模型下搜索最大化目标函数的规则。
映射：action = rule_map(state)。
状态空间：可能的状态向量离散化。
目标函数：如throughput - δ * delay。

研究框架、离线编译器生成CC代码。

时序（在线部分）：
1. 发送方持续测量网络状态（如每个RTT的平均吞吐量T，最小RTTrtt_min，平滑RTTrtt_sm）。
2. 将测量状态量化为离散的状态向量S（根据训练时的量化表）。
3. 使用S作为索引，查找离线生成的规则表rule_map[S]，得到动作A（如cwnd_change）。
4. 根据动作A调整拥塞窗口cwnd。
5. 以新的cwnd发送数据。
方程式：cwnd(t+1) = cwnd(t) + rule_map( quantize( [T(t), rtt_min(t), ...] ) )。

数据流：网络测量→状态量化→查规则映射表→得到动作→调整窗口→发送数据→影响网络→新测量。
控制流：基于预计算规则表的确定性控制。
流向：测量-查表-动作的控制流。

NP-L1-0066​

包处理

多协议标签交换流量工程

MPLS-TE 路径计算

约束最短路径优先 (CSPF)

步骤1：拓扑与资源信息
通过扩展IGP（如OSPF-TE）收集网络拓扑、链路带宽、可用带宽、代价、管理组（颜色）等信息。
步骤2：约束定义
为LSP请求定义约束：带宽要求B、链路颜色包含/排除、跳数限制、路径分离性等。
步骤3：CSPF计算
在拓扑数据库上运行Dijkstra算法，但只考虑满足所有约束的链路。链路代价通常为管理代价，与可用带宽无关（除非使用基于带宽的代价）。
步骤4：路径建立
使用RSVP-TE信令沿计算路径建立LSP。
步骤5：重优化
定期或在拓扑变化时重新计算优化路径。
参数优化：约束权重，重优化触发条件。

路径优化：满足约束的“最短”路径。
资源利用率：通过显式路由优化资源使用。
计算复杂度：高于普通SPF，需过滤链路。
强度：实现流量工程和资源预留。

约束路由、图算法、资源管理。

MPLS流量工程、网络规划、带宽保证服务。

`G=(V,E

NP-L1-0067​

SRv6处理

基本SRH处理指令

SRv6 Segment Routing Header 处理

SRH 基本转发 (End)

步骤1：包分类与SRH存在性检查
检查IPv6扩展头链，查找下一个头部为43（路由头）的SRH。验证其Segments Left (SL) > 0且 Last Entry有效。
步骤2：目的地址更新
设置新目的地址IPv6.DA = SRH.SegmentList[SL-1]。
步骤3：SL递减与下一段选择
SL = SL - 1。如果SL > 0，下一SID类型为End（继续转发）；如果SL = 0，则下一SID为End.DT*（解封装）。
步骤4：剩余路径处理
如果SL减为0，则移除SRH（或根据Last Entry保留）。
步骤5：转发
根据新的IPv6.DA执行IPv6路由查找。
参数优化：SRH缓存，SID表查找优化。

处理时延：几个时钟周期完成SRH解析与DA更新。
表项规模：支持全局SID空间（IPv6地址）。
功能正确性：严格遵循RFC 8986 SRH处理流程。
强度：SRv6数据平面转发的基石。

IPv6扩展头、SRH格式、有状态包修改。

SRv6基础转发平面、SR域内节点。

SRH: Segment Routing Header。
SL: Segments Left 字段。
SegList[]: 段列表数组。
IPv6.DA: IPv6目的地址。
SID: 段标识符（一个IPv6地址）。
Last Entry: SRH中最后一个条目索引。

索引：SegList[SL-1]访问。
递减：SL = SL - 1。
条件分支：SL > 0vs SL = 0。
表查找：IPv6 DA到下一跳的映射。

SRv6转发平面微码、P4 SRH处理库。

时序：
1. 识别包携带SRH，读取SL和Last Entry。
2. 验证0 < SL ≤ Last Entry+1。
3. 读取SegList[SL-1]，将其写入IPv6.DA字段。
4. SL = SL - 1，写回SRH的SL字段。
5. 如果SL == 0，则设置内部标志指示下一步为End.DT*处理；否则，指示为End处理。
6. 基于新的IPv6.DA执行IPv6 FIB查找，转发。
方程式：DA_new = SegList[SL_old - 1]; SL_new = SL_old - 1。

数据流：IPv6包+SRH→检查SL→读取SegList[SL-1]→更新DA→递减SL→IPv6路由查找→转发。
控制流：基于SL值的状态转移（递减、判断、下一步动作）。
流向：目的地址沿SRH段列表逐步更新的流。

NP-L1-0068​

SRv6处理

SRv6端点指令

SRv6 End.DT4 功能

解封装并查找IPv4表 (End.DT4)

步骤1：SRH终结检查
收到包，SL值为0，识别本地SID为End.DT4。
步骤2：SRH移除与解封装
移除IPv6头部及SRH，暴露内层载荷（应为IPv4包）。
步骤3：IPv4路由查找
以内层IPv4包的目的地址查找IPv4路由表（VRF感知），得到下一跳和出接口。
步骤4：转发
将内层IPv4包从对应接口转发出去。
步骤5：上下文关联
End.DT4SID可能关联特定VPN实例（VRF）。
参数优化：解封装与路由查找流水线优化。

处理开销：解封装和额外表查找引入时延。
功能隔离：通过VRF实现多租户IPv4路由隔离。
强度：实现SRv6 VPN（L3VPN over SRv6）的PE节点功能。

隧道解封装、VRF路由、协议转换。

SRv6 L3VPN 提供商边缘(PE)、云网关。

Inner_IPv4: 内层IPv4包。
VRF: 虚拟路由转发实例。
IPv4_FIB: IPv4转发信息库。
SID_Local: 本地配置的End.DT4 SID。

解封装：剥离外层头和SRH。
表查找：IPv4.DA → (next_hop, out_if)。
映射：SID → VRF。
上下文切换：进入对应VRF进行查找。

SRv6 SID配置、VRF路由CLI。

时序：
1. 匹配本地SID表，确定动作为End.DT4，关联VRF_X。
2. 验证SL == 0。
3. 移除外层IPv6头、扩展头链（包括SRH）。
4. 解析内层IPv4头，提取目的地址D_ipv4。
5. 在VRF_X的IPv4 FIB中查找D_ipv4，得到下一跳和出接口。
6. 可选：更新内层IPv4 TTL。
7. 从指定接口转发内层IPv4包。
方程式：forward(Inner_IPv4, VRF_X.FIB)。

数据流：SRv6封装包（SL=0）→匹配End.DT4 SID→剥离外层IPv6+SRH→内层IPv4包→进入关联VRF查找IPv4 FIB→转发。
控制流：基于SID类型的解封装与上下文关联路由。
流向：SRv6隧道终结，转为原生IPv4转发流。

NP-L1-0069​

SRv6处理

SRv6端点指令

SRv6 End.DT6 功能

解封装并查找IPv6表 (End.DT6)

步骤1：SRH终结检查
SL = 0，识别本地SID为End.DT6。
步骤2：解封装
移除IPv6头及SRH，暴露内层IPv6包。
步骤3：IPv6路由查找
以内层IPv6 DA查找IPv6路由表（VRF感知）。
步骤4：转发
转发内层IPv6包。
步骤5：与End.DT4区别
内层协议为IPv6，查找IPv6 FIB。
参数优化：同上，注意IPv6地址查找长度。

处理开销：类似End.DT4。
功能隔离：支持IPv6 VRF。
强度：实现IPv6 L3VPN over SRv6。

隧道解封装、IPv6路由、VRF。

SRv6 L3VPN for IPv6、6PE。

Inner_IPv6: 内层IPv6包。
IPv6_FIB: IPv6转发信息库。
SID_Local: 本地End.DT6 SID。

同End.DT4，但内层协议和查找表不同。

同End.DT4。

时序：
类似End.DT4，但内层为IPv6，查找IPv6 FIB。
方程式：forward(Inner_IPv6, VRF_X.IPv6_FIB)。

数据流：SRv6封装包（SL=0）→匹配End.DT6 SID→剥离外层→内层IPv6包→VRF IPv6 FIB查找→转发。
控制流：基于SID类型的解封装与IPv6路由。
流向：SRv6隧道终结，转为原生IPv6转发流。

NP-L1-0070​

SRv6处理

SRv6转发指令

SRv6 插入/压入SID列表

SRH 封装（H.Encaps）

步骤1：业务流识别
根据ACL或FIB匹配，识别需要进入SRv6路径的原始包（IPv4/IPv6）。
步骤2：外层IPv6头封装
创建外层IPv6头：SA=本地节点SRv6源地址，DA=SID列表的第一个SID（SegList[0]）。
步骤3：SRH构建与插入
构建SRH，其中Segments Left = n-1（n为SID列表长度），Last Entry = n-1，Segment List[0..n-1]填入完整的SID路径。
步骤4：载荷封装
将原始包作为外层IPv6头的载荷。更新外层IPv6头的载荷长度、下一个头部等字段。
步骤5：转发
基于外层DA（第一个SID）转发封装后的SRv6包。
参数优化：封装流水线，SID列表缓存。

封装开销：增加~40字节（IPv6头）+ (16n+8)字节（SRH）。
策略灵活性：基于流的灵活路径引导。
强度：SRv6隧道起始点（Ingress）的核心功能。

隧道封装、SRH构建、策略路由。

SRv6业务链发起点、流量工程入口、SDN控制器驱动封装。

Orig_pkt: 原始IP包。
SID_List[0..n-1]: 路径段列表。
Outer_IPv6: 外层IPv6头。
SRH_new: 新建的SRH。
n: SID列表长度。

封装：`SRv6_pkt = Outer_IPv6

SRH_new

NP-L1-0071​

SRv6处理

SRv6转发指令

SRv6 插入SID列表并减少SL

SRH 插入 (H.Insert)

步骤1：在现有SRv6包中插入SID
收到一个已带SRH的包（SL=k）。策略决定在其当前SRH的段列表索引i处插入m个新的SID。
步骤2：SRH扩展与重组
创建新的SRH，其段列表为：原SegList[0..i-1]+ 新插入的m个SID + 原SegList[i..Last]。更新Last Entry和SL：Last Entry' = Last Entry + m, SL' = SL + m（因为插入点在当前活动SID之前）。
步骤3：包头替换
用新的SRH替换原SRH，更新IPv6头的载荷长度。
步骤4：转发
根据当前DA（即SegList[SL'-1]）转发。
参数优化：动态SID插入策略，SRH重组效率。

动态性：支持路径中途的动态业务链扩展。
处理复杂度：需重组SRH，比封装开销高。
强度：实现网络编程中的“途中加塞”功能。

列表插入、动态SRH修改、网络编程。

服务功能链动态插入、策略增强、网络切片。

SRH_old: 原SRH。
Insert_SIDs[0..m-1]: 待插入的SID列表。
Insert_index: 插入位置（在原SRH段列表中的索引）。
SRH_new: 新SRH。

数组操作：在指定位置插入子数组。
索引更新：Last Entry' = LE_old + m, SL' = SL_old + m（如果Insert_index <= SL_old-1）。
重组：构建新的段列表数组。

SRv6动态策略API、P4复杂动作。

时序：
1. 解析现有SRH，读取SL_old, Last_old, SegList_old[]。
2. 根据策略，确定在位置i插入m个新SID S_new[]。
3. 计算新SRH参数：Last_new = Last_old + m。
4. 计算SL_new：如果i <= SL_old-1，则SL_new = SL_old + m；否则SL_new = SL_old。
5. 分配新SRH内存，构建SegList_new[]：复制SegList_old[0..i-1]，复制S_new[0..m-1]，复制SegList_old[i..Last_old]。
6. 替换包中SRH，更新IPv6载荷长度。
7. 转发。
方程式：SegList_new = concat( SegList_old[0:i], S_new, SegList_old[i:] )。

数据流：SRv6包→策略匹配决定插入→读取原SRH→构建新段列表数组（插入）→生成新SRH→替换包头→更新长度→转发。
控制流：基于动态策略的SRH修改。
流向：SRv6路径的动态扩展流。

NP-L1-0072​

SRv6处理

SRv6端点指令

SRv6 复制SID列表并封装 (End.AS)

可扩展的邻接段 (End.AS)

步骤1：匹配与复制准备
匹配本地End.ASSID。此SID关联一个SID列表L_as和一个流量策略（如重定向到特定链路/对等体）。
步骤2：封装与SRH构建
复制原始包，并为副本封装新的外层IPv6头和SRH。外层DA=L_as[0]，SRH包含L_as列表，SL = len(L_as)-1。
步骤3：原始包处理
原始包可被丢弃、继续本地处理（如End）或转发（如End.X）。End.AS行为由具体子类型定义。
步骤4：转发副本
转发封装后的副本包。
步骤5：应用
用于流量镜像、被动测量、保护切换等。
参数优化：包复制开销，策略表规模。

复制开销：包复制消耗内存带宽和处理器资源。
策略灵活性：将流量复制到任意SRv6路径。
强度：实现SRv6网络中的带内流量复制与遥测。

包复制、封装、策略重定向。

流量镜像、合法监听、网络探针、快速重路由(FRR)旁路检测。

Orig_pkt: 原始SRv6包。
SID_List_AS: 关联的SID列表。
Copy_pkt: 复制并封装的包。
policy: 定义原始包和副本包的处理方式。

复制：内存拷贝生成包副本。
封装：同H.Encaps，但源是已存在的SRv6包。
条件分支：根据子类型处理原始包。
并行：复制与封装可流水线化。

SRv6 SID子类型配置、流量镜像策略。

时序：
1. 匹配End.ASSID，读取关联的SID列表L_as和策略P。
2. 根据策略P，可能先对原始包执行End或End.X行为（更新DA，SL--，转发原始包）。
3. 并行/后续：复制原始包（或其处理后的版本）得到pkt_copy。
4. 对pkt_copy执行类似H.Encaps的操作：封装新的IPv6头（DA=L_as[0]），添加包含L_as的SRH。
5. 转发封装后的pkt_copy。
方程式：Copy_pkt = H.Encaps( Process_Original(Orig_pkt, P), L_as )。

数据流：SRv6包→匹配End.AS SID→（可选）处理原始包→复制包→对副本封装新SRv6头/SRH→转发副本。
控制流：主包处理与复制封装并行/串行执行。
流向：一到二（或更多）的包复制与重定向流。

NP-L1-0073​

SRv6优化

微码内嵌SID处理

SRv6 微码加速End/End.X

SRH 处理硬件状态机

步骤1：指令预取与解码
将常用的SRv6端点行为（如End, End.X）固化为微码指令。收到包时，根据目的SID（DA）匹配到微码程序入口。
步骤2：专用寄存器组
设置专用寄存器存储SL、SegList指针、New_DA、下一跳等。
步骤3：并行字段提取与更新
微码控制下，硬件并行执行：从SRH指定偏移读取SegList[SL-1]，同时计算SL-1，将新DA写入包缓冲区，更新SRH中的SL字段。
步骤4：下一跳并行查找
在更新DA的同时，基于新DA发起下一跳查找（TCAM或哈希）。
步骤5：单周期/少周期提交
优化流水线，使整个End操作在极少数周期内完成。
参数优化：微码长度，寄存器数量，内存访问宽度。

处理时延：从几十周期降至几个周期甚至单周期。
吞吐量：大幅提升，支持线速处理。
灵活性：微码编程可支持标准及部分定制行为。
强度：通过硬件微码化实现性能与灵活性的平衡。

微码、硬件状态机、并行执行。

高性能SRv6转发节点、核心路由器、可编程交换芯片。

µPC: 微程序计数器。
µStore: 微码存储器。
SRH_REG: SRH相关字段寄存器组。
ALU: 算术逻辑单元（用于计算SL-1等）。
Lookup Engine: 下一跳查找引擎。

并行：读内存、计算、写内存、表查找并发。
微码：if (SL>0) then { DA<=SegList[SL-1]; SL<=SL-1; }。
流水线：取指、解码、执行、写回阶段。

微码编程语言、硬件描述语言(HDL)。

时序（单End操作）：
周期1: 根据IPv6.DA查找SID表，得到µPC启动地址和动作类型(End)。
周期2: 取微码指令，解码。硬件自动读取SL和SegList基址到寄存器。
周期3: （并行）计算SL_new = SL - 1；计算SegList条目地址addr = base + (SL-1)*16；启动下一跳查找（基于预测的新DA）。
周期4: 从addr读取New_SID；接收下一跳查找结果。
周期5: 将New_SID写入包DA字段；将SL_new写入SRH；将下一跳结果关联到包。
周期6: 包送至交换矩阵或输出队列。
方程式：µInstr = (opcode:DA_UPDATE, src_addr: base+(SL-1)*16, dst_field: IPv6.DA)。

数据流：包进入微码引擎→SID表查µPC→取指/解码→并行硬件单元执行字段读、计算、表查找→更新包字段→转发。
控制流：微码指令驱动的硬件流水线。
流向：高度并行化的SRH处理流。

NP-L1-0074​

SRv6优化

SRH 缓存与预取

基于流的SRH缓存

SRH 活跃段列表缓存

步骤1：流识别
对到达的SRv6包，提取流键（如内层五元组或外层流标签）。
步骤2：缓存查找
用流键查找SRH缓存。缓存条目可能包含：SegList指针、当前SL、下一跳信息、预测的下一个SID等。
步骤3：缓存命中处理
若命中，直接使用缓存的SegList[SL-1]更新DA，递减缓存的SL，并使用缓存的下一跳转发。避免再次读取完整的SRH。
步骤4：缓存未命中处理
未命中，则执行完整的SRH解析，并将相关信息插入缓存。
步骤5：缓存替换
使用LRU等策略管理缓存。
参数优化：缓存大小，流键定义，预取策略。

命中率：取决于流的持续性和缓存大小，高则性能提升显著。
访问延迟：缓存命中可大幅减少内存访问次数。
内存开销：缓存占用额外芯片内存。
强度：通过利用流局部性提升SRv6转发性能。

缓存、流局部性、预取。

长流密集的场景（如数据中心东西向流量）、SRv6 VPN。

flow_key: 流标识键。
SRH_cache: 缓存结构，条目为(flow_key, SegList_ptr, SL_cached, next_hop)。
hit/miss: 缓存命中与否标志。
LRU_counter: 最近最少使用计数器。

哈希：flow_key → cache_index。
缓存一致性：SL_cached与包中SL需同步更新。
预测：缓存下一个SID或下一跳。
替换策略：LRU, LFU等。

缓存管理微码、硬件流表。

时序：
1. 提取流键F。
2. 查找SRH缓存C。
3. 如果命中且C[F].SL_cached > 0：
a. New_DA = SegList[C[F].SL_cached - 1]（从缓存指针读取）。
b. 更新包DA字段。
c. C[F].SL_cached--。
d. 使用C[F].next_hop转发。
4. 如果未命中或C[F].SL_cached == 0：
a. 完整解析SRH，获取SegList_ptr, SL, next_hop。
b. 更新包DA和SL。
c. 在缓存C中为F创建/替换条目，填入解析的信息。
d. 转发。
方程式：缓存命中时，内存访问从O(SRH_size)降至O(1)。

数据流：SRv6包→提取流键→查SRH缓存→命中则用缓存信息快速更新转发→未命中则正常解析并更新缓存→转发。
控制流：基于缓存的快速路径与慢速路径选择。
流向：利用流状态加速的SRv6处理流。

NP-L1-0075​

SRv6优化

并行SID处理

多SID并行查找与动作链

SRv6 并行端点处理

步骤1：复合SID解码
一个SID（IPv6地址）的低位（如Function部分）可编码多个连续的动作（如End-> End.DT4）。微程序或硬件解析出动作链[Act1, Act2, ..., Actk]。
步骤2：并行条件检查
并行检查执行每个动作的前提条件（如SL值，内层协议）。
步骤3：顺序/并行执行
对于无依赖的动作，在流水线不同阶段并行执行。例如，在执行End（更新DA）的同时，可以预取End.DT4所需的VRF表。
步骤4：结果提交
按顺序提交动作结果，确保最终包状态正确。
参数优化：动作链最大长度，并行度，依赖检测。

处理时延：将多个顺序动作部分重叠执行，降低总时延。
功能密度：一个SID实现复杂功能，节约SID空间。
硬件复杂度：增加并行执行单元和依赖管理逻辑。
强度：提升复杂SRv6端点功能的处理效率。

指令级并行、动作链、数据依赖。

紧凑编码的复杂业务链、高性能SRv6服务端点。

Action_Chain: 动作序列，如[End, End.DT4]。
Precond_i: 动作i的前提条件。
Exec_Unit_i: 执行动作i的功能单元。
dependency: 动作间数据依赖关系。

并行：若Act_i不依赖Act_j的输出，则可并行执行。
顺序：有依赖则需顺序执行。
流水线：将动作链映射到多级流水线。
复合函数：SID_func = compose(Act1, Act2, ...)。

复合SID定义语言、微码调度器。

时序（例：End+End.DT4复合SID）：
周期1-2: 识别SID，解码动作链[End, End.DT4]，检查SL==1（End后SL为0）。
周期3: （并行）执行End动作：读取SegList[0]更新DA，计算SL=0。同时，启动End.DT4动作的预取：根据SID关联的VRF ID，预取VRF FIB元数据。
周期4: 提交End动作结果（写包DA和SL）。同时，End.DT4动作开始：验证SL==0，启动内层IPv4 DA查找（使用预取的元数据）。
周期5: 完成内层FIB查找，得到下一跳。开始解封装（移除外层头和SRH）。
周期6: 完成解封装，关联下一跳，转发内层包。
方程式：总时延 ≈ max( Latency(End), Prefetch_latency ) + Latency(End.DT4)。

数据流：包→解码复合SID动作链→并行检查条件与预取→流水线执行各动作（可能重叠）→顺序提交结果→转发。
控制流：基于动作链的微码调度与并行化执行。
流向：多阶段并行处理的SRv6端点流。

NP-L1-0076​

SRv6处理

SRv6 网络编程指令

SRv6 双向关联段 (End.B6.Encaps)

反向路径封装 (End.B6.Encaps)

步骤1：接收与正向处理
作为End.B6.EncapsSID，接收一个SRv6包。首先对包执行正常的End行为：更新DA，SL--。
步骤2：反向路径SID获取
该SID关联一个反向SID列表R。R可以静态配置，或从收到包的SRH中某个TLV（如性能测量TLV）动态获取。
步骤3：生成并发送反向包
生成一个反向的探测或确认包。为此包封装新的IPv6头和SRH，其中SRH的段列表为R，外层DA=R[0]。
步骤4：反向包载荷
反向包可携带测量信息（如时间戳）或简单的确认信息。
步骤5：应用
用于OAM、性能测量、双向隧道的建立等。
参数优化：反向SID列表生成策略，测量信息格式。

开销：生成并发送额外包，增加网络负载。
功能：实现带内网络测量和诊断。
强度：SRv6网络可编程性的体现，支持主动OAM。

包生成、反向路径、带内测量。

SRv6性能测量（丢包、时延）、路径追踪、双向LSP确认。

R: 反向路径SID列表。
Probe_pkt: 生成的反向探测包。
F-B: 正向行为（如End）。
TLV: SRH中的可选TLV字段，可携带信息。

反向：路径R是正向路径F的逆序或不同路径。
包生成：构造新IP包。
关联：End.B6.EncapsSID绑定(F-behavior, R-list)。

SRv6 OAM配置、双向SID绑定。

时序：
1. 包到达，匹配End.B6.EncapsSID，关联正向行为F（如End）和反向列表R。
2. 对原始包执行行为F（如更新DA，SL--），并正常转发此包。
3. （并行或后续）构造反向探测包：
a. 分配新包缓冲区，构建IPv6头（SA=本地SID，DA=R[0]）。
b. 构建SRH，包含R列表，SL=len(R)-1。
c. 载荷可包含：时间戳、原包序列号、接收接口等OAM信息。
4. 发送反向探测包。
方程式：Probe_pkt = H.Encaps( OAM_payload, R )。

数据流：正向SRv6包→匹配End.B6.Encaps SID→执行正向行为并转发→（旁路）生成反向探测包→封装反向SRH→发送反向包。
控制流：正向处理触发反向包生成。
流向：正向流触发反向OAM流的生成与发送。

NP-L1-0077​

SRv6优化

SRH TLV 处理加速

SRH TLVs 快速解析与跳过

SRH 可选TLV处理引擎

步骤1：TLV存在性判断
解析SRH头部长度Hdr Ext Len，计算SRH总字节数8*(Hdr Ext Len + 1)。如果大于基本SRH长度(8 * 4 + 16*Segments)，则存在TLV。
步骤2：TLV遍历
从SRH基本部分之后开始，按TLV格式（类型-长度-值）遍历。对于不需要处理的TLV类型，根据Length字段快速跳过。
步骤3：关键TLV处理
对需要处理的TLV（如PadN，HMAC，性能测量），调用相应的处理函数。可能涉及密码运算、时间戳记录等。
步骤4：硬件加速
为常用TLV（如PadN跳过，HMAC验证）设计专用硬件或微码。
参数优化：TLV处理函数表，跳过长度的快速计算。

处理开销：TLV增加SRH处理复杂度，尤其是密码运算。
灵活性：TLV机制提供了极大的可扩展性。
强度：SRH可扩展性的基础，但需高效处理以降低影响。

TLV格式、可变长数据结构、快速跳过。

SRv6 OAM、安全认证、实验性功能扩展。

Hdr_Ext_Len: SRH头部扩展长度字段。
TLV_Type, TLV_Length, TLV_Value: TLV字段。
SRH_base_len: SRH基础长度 = 8 * 4 + 16*Segments。
offset: 当前在SRH中的解析偏移。

长度计算：SRH_total_len = 8 * (Hdr_Ext_Len + 1)。
遍历：offset += 2 + 2 + TLV_Length（对齐到8字节）。
查找：TLV_Type → handler_function。
条件处理：基于类型的处理或跳过。

TLV处理库、微码扩展。

时序：
1. 解析SRH，计算SRH_total_len和base_len。
2. 如果SRH_total_len > base_len，设置offset = base_len。
3. while offset < SRH_total_len:
a. 在offset处读取TLV_Type和TLV_Length。
b. 查TLV处理表，如果类型是“跳过”（如未知类型或PadN），则offset += 4 + TLV_Length（4字节为Type+Length自身），跳到下一个TLV。
c. 如果类型需要处理（如Performance Measurement），调用对应的处理微码/硬件，然后offset增加相应长度。
4. TLV处理完成后，继续SRH的正常处理（如更新DA）。
方程式：next_TLV_offset = current_offset + 4 + align8(TLV_Length)。

数据流：SRH→计算总长→定位TLV起始点→循环：读TLV头→查表决定动作（处理/跳过）→执行动作并移动偏移→直到SRH结束→继续SRH转发逻辑。
控制流：基于TLV类型的分发与处理循环。
流向：TLV的快速扫描与选择性处理流。

NP-L1-0078​

SRv6处理

SRv6 与网络功能虚拟化

SRv6 服务功能链 (SFC) 卸载

SRv6-aware 服务平面

步骤1：分类与SFC策略标识
识别流量所属的SFC，映射到一个SRv6 SID列表L_sfc，其中SID对应虚拟网络功能(VNF)或服务节点。
步骤2：SRH封装
在Ingress节点封装SRH，SegList = L_sfc。
步骤3：服务节点处理
每个服务节点配置一个End.AD（应用层代理）SID。收到包时，End.AD行为将包重定向到本地服务实例（如防火墙、NAT）。服务处理后，将包送回SRv6转发平面，通常将SL减1，继续转发到下一SID。
步骤4：路径优化
服务节点可动态调整SRH，插入或删除SID，实现弹性SFC。
参数优化：服务重定向开销，SFC状态同步。

灵活性：通过SRH动态定义和修改业务链。
服务延迟：服务处理引入额外延迟，SRv6负责串联。
强度：将SFC与underlay路由统一，简化控制与管理。

服务功能链、网络功能、重定向。

云网络安全组、运营商边缘计算、5G用户面功能链。

SFC_ID: 服务功能链标识。
L_sfc: 对应SFC的SID列表。
VNF_Instance: 虚拟网络功能实例。
End.AD: 应用层代理SID行为。
Service_Port: 连接服务实例的接口。

链：SID列表定义有序的服务链。
重定向：End.AD修改包出端口到服务平面。
状态保持：服务处理需保持流状态，与SRv6转发平面交互。
拓扑：逻辑链覆盖在物理网络上。

SFC策略配置、SRv6 SID与服务实例绑定。

时序（服务节点N）：
1. 包到达N，DA匹配本地End.ADSID，关联服务S和重定向接口I。
2. 执行类似End的行为：更新DA=SegList[SL-1], SL--。（可选，部分实现可能在服务处理后做）
3. 将包从接口I发送到服务实例S（如通过虚拟端口）。
4. 服务实例S处理包（如防火墙检查），处理完成后，将包送回N的指定接口。
5. N收到从服务返回的包，根据其当前DA（已是下一个SID）和SL继续转发。
方程式：SFC_forwarding = H.Encaps( Original_pkt, [SID_VNF1, SID_VNF2, ..., SID_Egress] )。

数据流：原始包→Ingress封装SRH SFC路径→节点1(End.AD)重定向至VNF1→VNF1处理→回送节点1→转发至节点2(End.AD)→...→Egress解封装。
控制流：SRH驱动SFC，每个服务节点重定向到本地服务平面。
流向：穿行于转发平面与服务平面的交替流。

NP-L1-0079​

SRv6优化

压缩SRH (uSID) 处理

微段 (uSID) 解码与转发

uSID (微段) 压缩转发

步骤1：uSID载体识别
识别使用uSID的SRv6包。uSID可能编码在SRH的SegList中（每个SID不再是128位，而是16或32位），或通过特定标志/下一个头部指示。
步骤2：uSID展开
每个uSID是一个短标识符（如16位）。转发节点根据本地uSID映射表，将uSID_i展开为完整的128位IPv6地址SID_full。映射表可能包含公共前缀P，`SID_full = P

uSID_i。<br>**步骤3：SRH模拟处理**<br>处理逻辑同普通SRH，但操作对象是展开后的SID_full列表。<br>**步骤4：增量更新优化**<br>由于uSID列表更紧凑，更新SL和读取SegList[SL-1]`的内存访问开销更小。
参数优化：uSID长度选择（16/32位），映射表大小与查找速度。

头部开销：显著减少SRH长度，提升链路利用率。
表查找开销：需要额外的uSID到完整SID的映射查找。
兼容性：需要网络支持uSID。
强度：解决SRv6头部开销大的关键优化技术。

压缩编码、地址映射、前缀聚合。

对头部开销敏感的网络（移动回传、带宽受限链路）、大规模SRv6部署。

uSID: 微段标识符（如16位）。
uSID_Map: 映射表，uSID -> (Prefix, Args)。
SID_full: 展开的完整128位SID。
C-SRH: 压缩的SRH格式。

拼接：`SID_full = Prefix

(uSID << offset)。<br>压缩：Compression_ratio = 128 / uSID_bits。<br>表查找：SID_full = Map[uSID]`。
空间换时间：牺牲表查找时间换取带宽节省。

NP-L1-0080​

SRv6优化

增量校验和更新 (SRH)

SRH 修改后的校验和更新

针对SRH的增量校验和

步骤1：变化字段识别
SRH处理（End, H.Insert等）会修改SRH内的字段（Segments Left）和IPv6头中的目的地址。
步骤2：计算变化量Δ
将变化视为16位字的序列。对于IPv6 DA更新，旧DA和新DA各视为8个16位字。Δ = Σ (~old_word_i) + Σ new_word_i（反码和）。SL字段同理。
步骤3：应用增量更新
外层IPv6头的校验和C更新为C' = C + Δ，执行反码加法规约。
步骤4：内层校验和
如果SRH处理触发了内层包的解封装（如End.DT4），则内层IPv4校验和也可能因TTL递减等需要更新。
参数优化：专用硬件计算Δ，批量处理多个字段变化。

计算速度：比重新计算整个包的校验和快得多。
正确性：必须精确匹配逐字计算的结果。
强度：高性能SRv6处理的必备优化，避免校验和成为瓶颈。

反码算术、增量更新、校验和。

所有修改SRH或IPv6头的SRv6处理节点。

C_old: 旧校验和。
Δ: 字段变化引起的反码和增量。
words_old[], words_new[]: 变化字段的旧值和新值（16位数组）。
C_new: 新校验和。

同通用增量校验和，应用于SRH特定字段。
变化量：Δ = sum_ones_complement(~words_old) + sum_ones_complement(words_new)。
合并：多个字段变化可合并计算一个Δ。

网络协议栈校验和库。

时序（End行为后）：
1. 确定修改的字段：IPv6.DA（8个16位字变化），SRH.SL（1个16位字变化）。
2. 读取这些字段的旧值V_old和新值V_new。
3. 计算Δ_DA = Σ_{i=0}^7 ( (~V_old_DA[i]) + V_new_DA[i] )（反码和）。
4. 计算Δ_SL = (~SL_old) + SL_new。
5. 计算总增量Δ = Δ_DA + Δ_SL（反码加法）。
6. 读取外层IPv6头的校验和C（对于UDP封装的上层协议，如VXLAN over SRv6，需更新外层UDP校验和）。
7. 计算新校验和C' = C + Δ，执行回卷和取反。
8. 将C'写回校验和字段。
方程式：C' = ones_complement_add(C, Δ)。

数据流：包修改（更新DA, SL）→提取变化字段旧值/新值→计算反码增量Δ→读取旧校验和→计算新校验和→写回。
控制流：基于字段变化的增量计算流。
流向：校验和的快速修补流。

NP-L1-0081​

SRv6处理

SRv6 保护切换指令

SRv6 快速重路由 (FRR)

SRv6 TI-LFA (Topology Independent LFA)

步骤1：预先计算备份路径
基于IGP拓扑，为每个目的前缀和每个可能故障（链路、节点）预先计算无环备份路径，编码为SID列表B。
步骤2：故障检测
通过BFD或链路层机制快速检测故障。
步骤3：备份路径激活与封装
检测到故障后，对流向受影响目的地的流量，在故障点的上一跳节点上，执行H.Encaps或H.Insert，将备份SID列表B添加到包的SRH中（或封装新的SRH），引导流量绕开故障点。
步骤4：转发
沿备份SRH路径转发。
步骤5：收敛
控制平面收敛后，恢复主路径。
参数优化：备份路径计算复杂度，故障检测时间，封装速度。

切换时间：可达50ms内，提供链路/节点级保护。
路径最优性：TI-LFA可保证计算得到的备份路径无环且最优（在约束下）。
状态：无需在数据面维护每个流的状态，基于前缀保护。
强度：SRv6原生支持的高可靠性机制。

图论、无环备用路径、预先计算。

运营商网络、数据中心骨干、高可靠关键业务。

Prefix: 受保护的目的前缀。
F: 故障场景（如链路L失效）。
Backup_SID_List_B: 为(Prefix, F)预先计算的备份SID列表。
PLR: 故障点的上一跳节点（Point of Local Repair）。

图论：在拓扑G \ F（移除故障元素）上计算到目的的最短路径。
编码：将路径表示为SID列表。
条件触发：故障事件触发备份路径激活。
无环：TI-LFA保证备份路径在G\F中无环。

IGP扩展（OSPF/IS-IS SRv6 TI-LFA）、FRR策略配置。

时序（PLR节点检测到下游链路故障）：
1. 故障检测机制（如BFD）通知控制平面链路L失效。
2. 控制平面激活为（目的前缀P, 故障L）预计算的备份SID列表B。
3. 数据平面：对于每个到达、目的地址匹配P且出接口为L的包：
a. 执行H.Encaps（如果原包非SRv6）或H.Insert（如果原包已有SRH），添加包含B的SRH。
b. 基于新SRH的第一个SID转发包。
4. 流量沿备份路径B到达目的地，绕开故障。
5. 当控制平面收敛，网络路由更新后，取消备份封装，恢复常规转发。
方程式：备份路径B = SID_List使得在G\{故障}中，PLR经B到达P无环。

数据流：去往P的包到达PLR→故障发生→PLR匹配包目的前缀和出接口→触发备份封装→添加备份SRH→沿备份SID列表转发→绕开故障到达目的。
控制流：故障事件触发条件封装策略。
流向：主路径流在故障点无缝切换至备份隧道流。

NP-L1-0082​

SRv6处理

SRv6 网络切片指令

SRv6 切片标识与隔离

基于SID的切片选择

步骤1：切片标识注入
在Ingress节点，根据订阅或策略，为流量分配一个切片标识Slice_ID。可通过以下方式体现：
- 使用特定的SRv6 SID（其前缀或Function部分编码Slice_ID）。
- 在SRH中添加自定义TLV携带Slice_ID。
步骤2：资源映射
网络节点维护切片资源映射：(Slice_ID, SID) -> 资源池，如特定队列、带宽配额、处理核。
步骤3：切片感知转发
节点处理SRv6包时，从SID或TLV提取Slice_ID，将其包调度到对应的资源池进行处理和转发。
步骤4：端到端隔离
通过逐跳的切片资源映射，实现不同切片流量的隔离。
参数优化：Slice_ID编码效率，资源映射表规模。

隔离性：提供带宽、时延、丢包率的隔离保证。
可扩展性：切片数量受SID空间或TLV扩展性限制。
管理复杂度：需要管理切片策略和资源映射。
强度：利用SRv6的可编程性实现网络切片数据平面。

资源隔离、策略映射、标识编码。

5G网络切片、多租户云网络、垂直行业专网。

Slice_ID: 切片标识符。
SID_Slice: 编码了切片信息的SID。
Resource_Pool: 为切片分配的资源集合（队列、CPU、带宽）。
Slice_Policy: 切片策略（如最小带宽）。

编码：`SID = Slice_Prefix

Slice_ID

NP-L1-0083​

SRv6优化

推测执行与预取

SRv6 下一SID预取

基于SRH的推测预取

步骤1：路径推测
在节点处理当前SID（索引i）时，推测下一个待处理的SID是SegList[i-2]（当SL从i减到i-1后，下一个将是i-2）。
步骤2：SID预取
在更新当前DA和SL的同时，发起对推测的下一SID（SegList[i-2]）的预取内存访问。即使推测错误（如遇到End.DT*），预取浪费的带宽也有限。
步骤3：下一跳预查找
更进一步，基于预取的SID，提前发起下一跳路由查找，将结果暂存。
步骤4：提交与验证
当实际需要处理下一个SID时，如果预取命中，则直接使用预取结果，大幅减少延迟。
参数优化：预取距离（如提前1个或2个SID），预取触发条件。

性能收益：隐藏内存访问延迟，提升吞吐量，尤其对长SID列表。
错误预取开销：浪费内存带宽和少量计算资源。
强度：利用SRH处理的可预测性进行硬件优化。

推测执行、预取、内存访问优化。

高性能SRv6核心路由器、处理长路径的节点。

current_idx: 当前SID在SegList中的索引（SL_old-1）。
next_spec_idx: 推测的下一SID索引（current_idx-1）。
prefetch_addr: 预取的内存地址（SegList基址+next_spec_idx*16）。
prefetched_SID: 预取到的SID值。

推测：next_idx = current_idx - 1（高概率正确）。
地址计算：线性地址base + idx*16。
预取：发起内存读取请求，不阻塞流水线。
使用：条件满足时使用预取值，否则取消。

硬件预取引擎、微码推测指令。

时序：
周期N（处理当前SIDi）：
1. 计算new_DA = SegList[i]，SL_new = i。
2. （推测）计算next_idx = i-1。如果next_idx >= 0，则计算prefetch_addr = SegList_base + next_idx*16，发起对该地址的缓存预取。
3. （可选）基于prefetch_addr预取的值，在下一个周期发起下一跳查找。
周期N+1：
1. 提交当前SID处理结果（更新DA, SL）。
2. 如果预取的SID数据就绪，可提前用于后续计算。
周期N+2（处理下一个包或下一阶段）：
1. 实际需要SegList[i-1]时，若预取命中缓存，则可极快读取，否则需从内存载入。
方程式：prefetch_addr = SRH_base + 8 * 4 + (current_idx-1)*16。

数据流：处理当前SID→并行计算下一SID地址并预取其内存内容→提交当前处理→当需要下一SID时，从缓存快速获取→加速处理。
控制流：推测预取与正常执行的流水线重叠。
流向：带预取的内存访问流，隐藏延迟。

NP-L1-0084​

SRv6处理

SRv6 多域协同指令

SRv6 边界节点处理 (Cross-Domain)

域间SRv6 SID转换

步骤1：域内SRH处理
在域边界节点，作为本域出口，其SID（如End.X到对等体）将被处理，SL减为0，准备解封装或转发到邻域。
步骤2：域间策略与SID转换
边界节点根据域间策略，将内层信息（如原始流五元组、QoS标记）映射到邻域的SID列表L_peer。这可能需要查询BGP SRv6策略或本地配置。
步骤3：重新封装
移除旧的SRH（本域路径已完成），封装新的SRH，其中包含邻域的SID列表L_peer，外层DA设为L_peer[0]。
步骤4：转发至邻域
将新封装的SRv6包发送到邻域。
参数优化：域间映射表规模，封装/解封装效率。

可扩展性：实现大规模、多管理域SRv6网络互联。
策略灵活性：域边界实施丰富的路由和流量工程策略。
强度：构建全球SRv6网络的关键，处理域间技术和策略差异。

域间路由、策略映射、重新封装。

运营商间对接、企业分支互联、云网协同。

Domain_A_SRH: 本域（A域）的SRH。
Domain_B_SID_List: 邻域（B域）的SID列表。
Inter-Domain_Policy: 域间映射策略。
Border_Node: 域边界节点。

映射：(inner_flow, QoS) → Domain_B_SID_List。
封装转换：SRH_A被 SRH_B替换。
策略：基于BGP的SRv6策略属性（如Color, Segment List）。
网关功能：协议和SID空间转换。

BGP SRv6策略配置、域间对等配置。

时序（ASBR从域A到域B）：
1. 收到发往域B的SRv6包，其SL=1，DA为本地End.XSID（指向对等ASBR）。
2. 执行End.X行为：更新DA为SegList[0]（即对端ASBR在域A的地址），SL减为0。转发到直连对等ASBR接口。
3. 在发送前（或作为本节点功能），识别此包为跨域流量，查询Inter-Domain_Policy表，根据内层流信息获取域B的SID列表L_B。
4. 剥离域A的SRH（因为SL=0，可作为End行为的一部分）。
5. 封装新的IPv6头和SRH（包含L_B），外层DA=L_B[0]。
6. 将新包发送到域B的对等链路。
方程式：Packet_to_B = H.Encaps( deA_SRH(Packet_from_A), L_B )。

数据流：域A SRv6包→边界节点End.X处理（SL->0）→域间策略匹配→获取域B SID列表→移除域A SRH→封装域B SRH→转发至域B。
控制流：域内路径终结与域间路径重建立的转换控制。
流向：跨域SRv6隧道的接力流。

NP-L1-0085​

SRv6优化

拥塞感知的SRv6

SRv6 显式拥塞通知 (ECN) 处理

SRv6 与 ECN 协同

步骤1：ECN字段继承
在SRv6封装（H.Encaps）时，内层IP头的ECN字段应拷贝到外层IPv6头的ECN字段（RFC 6040）。
步骤2：路径中ECN标记
SRv6路径中的任何节点在发生拥塞时，可标记外层IPv6头的ECN CE位，如同普通IP包。
步骤3：SRH端点处的ECN处理
在SRv6端点（如End.DT4），解封装时，需要将外层IPv6头的ECN状态反映到内层IP头。规则：内层ECN = max(内层原始ECN, 外层ECN)。
步骤4：反向通知
接收方通过ACK（TCP）或ICMP等将拥塞信号反馈给发送方。
参数优化：ECN字段处理流水线，避免额外的内存访问。

功能透明性：SRv6隧道不应妨碍端到端的ECN功能。
处理一致性：需严格遵循RFC 6040（隧道中IP Tunneling ECN）规则。
强度：使SRv6网络支持现代拥塞控制，提升性能。

显式拥塞通知、隧道ECN处理、最大操作。

所有支持ECN的SRv6网络，特别是数据中心和广域网。

ECN_outer: 外层IPv6头中的ECN字段（2比特）。
ECN_inner: 内层IP头中的ECN字段。
CE: Congestion Experienced 标记位。
max(): 逐比特取最大值（ECN语义）。

映射：ECN_outer = ECN_inner（封装时）。
最大操作：ECN_final = max(ECN_inner, ECN_outer)（解封装时）。
位操作：提取和设置IP头中特定比特。

协议栈ECN处理模块、隧道封装库。

时序（End.DT4解封装时的ECN处理）：
1. 读取外层IPv6头中的ECN字段E_o。
2. 读取内层IPv4头中的ECN字段E_i。
3. 计算最终ECN值E_f = max(E_i, E_o)。这里max是ECN语义的：Not-ECT(00)< ECT(01)/ECT(10)< CE(11)。实际上，如果E_o == CE(11)，则E_f = CE；否则E_f = E_i。
4. 将E_f写回内层IPv4头的ECN字段。
5. 继续解封装和转发内层包。
方程式：E_f = (E_o == CE) ? CE : E_i。

数据流：SRv6封装包→路径中节点可能标记外层ECN→端点解封装→读取内外层ECN→计算最终ECN（取最拥塞标记）→更新内层头ECN→转发内层包。
控制流：遵循RFC 6040的ECN隧道处理规则。
流向：ECN状态在隧道中传递与合并的流。

NP-L1-0086​

SRv6处理

SRv6 与 Segment Routing MPLS 互通

SR-MPLS 与 SRv6 互操作

SRv6 封装/解封装 SR-MPLS 标签栈

步骤1：映射与封装
在SRv6域边界，需要将SR-MPLS标签栈[L1, L2, ..., Ln]映射为等价的SRv6 SID列表[S1, S2, ..., Sn]。然后对原始包执行H.Encaps，SRH包含映射后的SID列表。
步骤2：处理与转发
在SRv6域内按SRv6规则转发。
步骤3：解封装与还原
到达SRv6域另一边界，执行End.DT4/6或End.DX4/6后，得到内层IP包。边界节点需要根据策略，为发往SR-MPLS域的内层IP包压入SR-MPLS标签栈。
步骤4：信令
映射关系通过BGP或控制器分发。
参数优化：映射表规模，双栈处理能力。

互通性：实现SR-MPLS网络与SRv6网络的平滑互通与迁移。
头部开销：SRv6头部通常大于MPLS标签栈。
强度：保护现有投资，支持渐进式演进。

协议转换、映射、双栈转发。

网络迁移场景、多厂商异构SR网络互联。

MPLS_Label_Stack: MPLS标签栈。
SID_List_Equivalent: 等效的SRv6 SID列表。
Mapping_Table: MPLS标签到SRv6 SID的映射。
SR-MPLS_PE: SR-MPLS提供商边缘设备。

映射：MPLS Label -> SRv6 SID（一对一或一对多）。
栈与列表：有序结构的转换。
封装格式转换：从MPLS-in-IP到IPv6+SRH。

跨域BGP策略、SR双栈配置。

时序（SR-MPLS -> SRv6边界节点）：
1. 收到带SR-MPLS标签栈[L1,..,Ln]的包。
2. 弹出顶层标签L1，查找L1映射表，得到对应SRv6 SID S1，以及下一跳动作。
3. 如果L1指示为倒数第二跳弹出(PHP)，则继续处理内层标签L2，映射到S2，依此类推，构建SID列表[S1, S2, ...]。
4. 对原始IP包（已无MPLS标签）执行H.Encaps，SRH的SegList为[S1, S2, ...]，外层DA=S1。
5. 转发SRv6包进入SRv6域。
方程式：SID_i = Map_Table(MPLS_Label_i)。

数据流：SR-MPLS包→边界节点弹出MPLS标签→映射为SRv6 SID列表→封装SRH和IPv6头→SRv6域转发→对端边界解封装→映射SRv6 SID为MPLS标签→压入MPLS标签→转发至SR-MPLS域。
控制流：基于映射表的协议转换控制。
流向：SR-MPLS与SRv6域间的协议转换流。

NP-L1-0087​

SRv6优化

负载均衡的SRv6

基于SID的等代价多路径 (ECMP)

SRv6 SID 感知的ECMP

步骤1：ECMP候选下一跳集
对于某个SID（IPv6地址），路由表可能包含多个等价的下一跳{NH1, NH2, ..., NHk}。
步骤2：哈希键构造
为了保持流的有序性，哈希键应包含流标识信息。对于SRv6包，哈希键可选择：
- 标准五元组（外层SA, DA, 流标签, 内层协议/端口）
- 增强：包括SRH中的Segments Left或当前SID索引，以实现更精细的负载均衡（如针对同一SID的不同流或不同位置）。
步骤3：哈希计算与选择
index = hash(key) mod k，选择NH_index。
步骤4：转发
从选定下一跳转发包。
参数优化：哈希算法（CRC16

NP-L1-0088​

SRv6处理

确定性网络端点指令

SRv6 确定性网络 (DetNet) 端点

End.DETF (Endpoint with DetNet Forwarding)

步骤1：时间同步与周期识别
节点与网络时间精确同步。解析包携带的时间戳或周期标识C_i。计算包所属的周期相位：phase = (arrival_time - base_time) mod cycle_duration。
步骤2：周期门控与排队
包被放入对应周期C_i和优先级P的专用队列Q(C_i, P)。调度器仅在周期的特定时间窗口（门）打开时才服务该队列，确保无排队抖动。
步骤3：SRH处理与时戳更新
执行标准End行为（更新DA，SL--）。可选在SRH TLV中更新入口/出口时间戳，用于延迟测量和补偿。
步骤4：门控转发
在调度门打开时，立即发送队首包。门控由基于全局时间的定时器触发。
参数优化：周期时长T_cycle，门控时长T_gate，时间同步精度ε。

时延抖动：理论上可降至亚微秒级，由门控同步精度决定。
带宽利用率：周期规划决定，可能存在静默期浪费。
确定性：提供有界的端到端时延和零拥塞丢失。
强度：将SRv6与IEEE 802.1Qbv/TSN门控调度结合，实现IP层的确定性转发。

周期调度、门控、时间敏感网络。

工业自动化、车载网络、航空航天、金融交易。

C_i：周期标识（整数）。
T_cycle：周期时长（如125μs）。
phase：包到达在周期内的相位。
Gate(C_i, P)：周期C_i优先级P的调度门状态（开/关）。
Q_{C,P}：对应周期和优先级的队列。

模运算：phase = t_arrival mod T_cycle。
门控函数：Gate(t) = 1 if t in [t_open, t_close] else 0。
调度：仅在Gate(t)=1时从Q发送。
时间戳：t_out - t_in测量链路延迟。

确定性网络配置、门控调度表、PTP时间同步。

时序：
1. 包到达，读取其携带的周期标识C_i（可能来自SID的Function部分或TLV）。
2. 根据本地精确时间t_local，计算phase，并将包放入队列Q(C_i, P)。
3. 独立的门控调度器根据离线配置的调度表，在时间t_open(C_i, P)打开门Gate(C_i, P)。
4. 当Gate打开且Q(C_i, P)非空时，调度器取出队首包。
5. 对该包执行End行为：更新DA，SL--，更新时间戳TLV（如需）。
6. 立即发送该包（通常有最高优先级）。
7. 在t_close(C_i, P)时刻关闭门，停止服务该队列。
方程式：调度条件：send_pkt iff (Gate(C_i,P,t)=1 AND pkt ∈ Q(C_i,P) AND at_head)。

数据流：带周期标识的SRv6包→时间分类入周期队列→等待调度门打开→门开则出队→执行SRH处理→立即发送。
控制流：基于全局时间表的门控调度，与包处理流水线同步。
流向：时间触发、门控放行的确定性流。

NP-L1-0089​

SRv6优化

微码内联SID链表处理

链式SID列表遍历

SRH 链表式SID存储与处理

步骤1：SID链表结构
SRH的Segment List[0]存储一个指针（IPv6地址），指向下一个SID节点。每个SID节点包含：SID_value（128位）和next_pointer（128位，或0表示结束）。
步骤2：遍历处理
节点处理当前SID（DA），同时从当前SID节点读取next_pointer。若next_pointer != 0，则将其预取或直接作为下一个待处理的SID地址（在SL逻辑上相当于减1）。
步骤3：SRH简化
SRH中只需存储链表头指针，Segments Left字段可表示剩余跳数，或由End-of-chain指示器替代。
步骤4：动态更新
控制器可动态修改链表中任意节点的next_pointer，实现路径的即时重路由。
参数优化：链表节点内存布局，预取策略，指针编码。

路径动态性：极高，可实时修改任意后续路径。
头部开销：固定，与路径长度无关（仅一个指针）。
遍历延迟：每跳需额外一次内存访问读取next_pointer。
强度：将SRH从静态数组变为动态链表，极大增强网络编程灵活性。

链表、指针跳转、动态数据结构。

高频交易网络动态路由、自适应服务链、研究性网络。

head_ptr: SRH中存储的链表头指针（IPv6地址）。
node: SID节点结构体{SID; next_ptr;}。
current_node_addr: 当前正在处理的节点地址。
DA: 包的目的地址，取自node.SID。

指针：next_ptr指向下一个节点地址。
遍历：while (node.next_ptr != nil) { process(node.SID); node = fetch(node.next_ptr); }。
链表操作：插入、删除、修改指针。
地址转换：指针为IPv6地址，可路由到存储节点。

链表SID编程API、动态路由控制平面。

时序：
1. 包到达，DA匹配某个链式SID处理入口。
2. 从head_ptr（或当前node_ptr缓存）读取第一个SID节点N0。
3. 将N0.SID写入包的DA字段。
4. 读取N0.next_ptr。如果非零，则将其预取/加载为下一个SID节点N1，并更新内部node_ptr缓存。
5. 如果N0.next_ptr == 0，则设置内部标志，指示下一行为End.DT*等终结行为。
6. 转发包（基于新的DA）。
7. 下一节点收到包，其DA将匹配N0.SID，重复步骤2-6，但使用缓存的node_ptr（即N0.next_ptr）作为当前节点地址。
方程式：next_hop_addr = resolve_route( fetch(current_ptr).SID )。

数据流：包携带头指针→节点读取指针指向的SID节点→用节点.SID更新DA→读取节点.next_ptr作为下一节点地址→转发→下一节点重复。
控制流：基于指针的链式遍历，结束条件为空指针。
流向：沿内存中链表结构跳转的包转发流。

NP-L1-0090​

SRv6优化

内存池化与零拷贝SRH

共享内存SRH处理

基于描述符的SRH零拷贝修改

步骤1：包描述符与SRH描述符分离
包在内存中由pkt_desc描述，包含元数据和指向载荷数据的指针。SRH作为元数据的一部分，存储在独立的SRH_desc结构中，pkt_desc指向SRH_desc。
步骤2：多包共享SRH描述符
属于同一流或同一路径的多个包，其pkt_desc可指向同一个SRH_desc。SRH_desc包含SegList数组和当前SL（或索引）。
步骤3：原子更新SRH描述符
当需要处理（如End）时，硬件原子地读取SRH_desc.current_idx，计算新值new_idx = current_idx - 1，并更新SRH_desc.current_idx = new_idx。包转发的目的地址直接从SRH_desc.SegList[new_idx]获取。
步骤4：零拷贝转发
包载荷无需移动，仅更新pkt_desc中的目的地址和输出端口等元数据，实现零拷贝。
参数优化：SRH_desc缓存策略，原子操作粒度，描述符池大小。

内存带宽：大幅减少，尤其对于小包，避免了SRH在内存中的搬运。
处理延迟：降低，更新操作在小的描述符上进行。
并发控制：需要原子操作或锁来管理共享SRH_desc的更新。
强度：通过元数据与数据分离、描述符共享，极致优化SRv6处理性能。

零拷贝、描述符、共享内存、原子操作。

高性能SRv6网关、软件交换机（DPDK/VPP）、智能网卡。

pkt_desc: 包描述符{metadata, payload_ptr, srh_desc_ptr}。
SRH_desc: SRH描述符{SegList[], current_index, ref_count}。
current_index: 当前活跃的SID在SegList中的索引。
ref_count: 引用计数，管理SRH_desc生命周期。

指针：pkt_desc->srh_desc_ptr。
原子操作：CAS(&srh_desc->idx, old, new)。
引用计数：atomic_inc/dec(ref_count)。
间接寻址：DA = srh_desc->SegList[srh_desc->idx]。

数据平面开发套件(DPDK)库、描述符管理API。

时序：
1. 包到达，分配或复用pkt_desc，关联SRH_desc（通过流查找或封装时创建）。
2. 处理引擎读取pkt_desc->srh_desc_ptr得到SD。
3. 原子操作读取SD->current_idx的旧值idx_old，计算新值idx_new = idx_old - 1。
4. 原子比较并交换CAS(&SD->current_idx, idx_old, idx_new)。如果成功，则DA = SD->SegList[idx_new]；如果失败（被其他核并发更新），则重试或采用其他策略。
5. 将DA填入pkt_desc的目的地址字段，并基于DA查找下一跳。
6. 将pkt_desc提交给输出引擎，SRH_desc和载荷内存无拷贝。
7. 当最后一个使用该SRH_desc的包发出后，引用计数降为0，释放SRH_desc。
方程式：DA = SD->SegList[ atomic_fetch_sub(&SD->current_idx, 1) - 1 ]。

数据流：包数据存入内存→创建/关联SRH描述符和包描述符→处理引擎原子更新SRH描述符索引→从描述符读SID作为DA→更新包描述符元数据→转发引擎根据描述符发送数据。
控制流：基于原子操作的并发SRH状态管理。
流向：描述符驱动、数据零拷贝的转发流。

NP-L1-0091​

SRv6处理

内生安全与SRv6

SRv6 基于身份的签名验证

End.Auth (Authenticated Endpoint)

步骤1：签名生成与封装
Ingress节点或控制器为SID列表生成数字签名`Sig = Sign(SK, H( SegList

Nonce

Timestamp ))。将签名和必要信息（Nonce, Timestamp）放入SRH的TLV中。<br>**步骤2：逐跳或端到端验证**<br>每个配置了End.Auth行为的节点，在转发前验证签名。提取SRH中的SegList、Nonce、Timestamp，使用预配置的公钥PK验证签名Sig的有效性。<br>**步骤3：验证结果处理**<br>如果验证通过，则执行正常转发（如End`）；如果失败，则记录日志并丢弃包，可能触发告警。
步骤4：密钥管理
公钥可通过带外或带内（如另一个TLV）安全分发。
参数优化：签名算法选择（如EdDSA），Nonce长度，时间窗口容忍度。

安全性：防止SRH路径被篡改、伪造或重放攻击。
处理开销：非对称签名验证计算量大，需硬件加速。
强度：为SRv6提供数据源认证和路径完整性保护，实现“可编程安全”。

数字签名、消息认证、公钥密码学。

军政高安全网络、金融核心网、物联网关键指令。

SegList: 段列表。
Nonce: 随机数，防重放。
Timestamp: 时间戳。
SK/PK: 私钥/公钥对。
Sig: 数字签名。
H(): 哈希函数（如SHA-256）。

NP-L1-0092​

SRv6优化

近似匹配与模糊SID

基于 Bloom Filter 的SID集合验证

SRH Bloom Filter 成员检查

步骤1：Bloom Filter嵌入
控制器计算路径L的Bloom Filter BF(L)，将其嵌入SRH的TLV或某个预留字段。BF是一个m位的位数组，路径上所有SID的哈希值对应位置1。
步骤2：转发时模糊验证
节点收到包，提取当前待验证的SID（SegList[SL-1]或节点自身SID）。计算该SID的k个哈希值，检查BF中对应位是否均为1。若是，则SID“很可能”在授权路径上，允许转发；否则，SID“肯定不在”路径上，丢弃包。
步骤3：误报处理
存在误报概率p。可与严格ACL结合，BF用于快速过滤，ACL用于最终裁决。
步骤4：动态更新
路径变化时，控制器生成新的BF下发。
参数优化：BF大小m，哈希函数数k，权衡误报率与开销。

验证速度：k次内存访问和位测试，非常快。
空间开销：m位，通常几十到几百字节。
误报率：p ≈ (1 - e^{-kn/m})^k，可控。
强度：轻量级的路径合规性检查，适用于对性能要求极高的场景。

Bloom Filter、概率数据结构、成员测试。

DDoS缓解（快速丢弃伪造路径包）、大规模网络轻量级策略执行。

BF[0..m-1]: m位Bloom Filter位数组。
SID: 待验证的段标识符。
h1..hk: k个哈希函数。
n: 编码在BF中的SID数量（路径长度）。
p: 误判率。

哈希：pos_i = h_i(SID) mod m。
位测试：BF[pos_1] & BF[pos_2] & ... & BF[pos_k]。
概率：P(误报) = (1 - e^{-kn/m})^k。
优化：给定n, p，求最优m, k。

网络安全策略、Bloom Filter生成库。

时序：
1. 控制器为路径L=[S1, S2, ..., Sn]计算Bloom Filter BF：初始化BF全0；对每个S_i，计算h1(S_i)...hk(S_i)，将BF对应位置1。
2. 将BF嵌入SRH TLV。
3. 中间节点收到包，假设需要验证当前SID S_cur（例如，检查DA是否在BF中）。
4. 计算h1(S_cur) ... hk(S_cur)，得到k个位位置p1..pk。
5. 读取SRH中的BF，检查是否BF[p1]==1 && ... && BF[pk]==1。
6. 如果所有位为1，则认为S_cur可能在路径L中，执行正常转发；如果有任何位为0，则S_cur肯定不在L中，丢弃包并告警。
方程式：authorized = ∧_{i=1}^k (BF[ h_i(S_cur) mod m ] == 1)。

数据流：控制器生成路径BF→嵌入SRH→中间节点提取当前SID→计算多路哈希→查BF位图→全部命中则放行，任一未命中则丢弃。
控制流：基于概率成员测试的快速过滤决策。
流向：携带路径“摘要”的包流，经逐跳快速验证。

NP-L1-0093​

SRv6处理

算力感知的SRv6

SRv6 计算资源寻址与调度

End.Compute (Compute Endpoint)

步骤1：算力需求编码
SID的Function部分编码计算任务标识Task_ID和资源需求（如CPU核数、内存、GPU类型）。例如，`SID = Prefix

Task_ID

Resource_Spec。<br>**步骤2：算力发现与匹配**<br>节点配置End.ComputeSID，并关联本地计算资源池。收到包时，解码Task_ID和Resource_Spec，查询本地任务队列或计算资源状态，决定是否接受以及预计排队时间T_queue`。
步骤3：任务卸载与执行
如果接受，将包载荷（包含计算输入数据）卸载到本地计算单元（CPU/GPU/FPGA）执行。计算完成后，将结果封装到新的包中。
步骤4：结果返回
根据SID或TLV中的返回路径信息，将结果包发送回请求源或下一目的地。
参数优化：资源描述编码，任务调度算法，计算上下文切换开销。

计算延迟：包含通信延迟、排队延迟、执行延迟。
资源利用率：通过网络动态调度计算负载。
强度：实现“算力网络”，将计算能力作为网络可寻址和可调度的资源。

资源调度、服务功能、任务卸载。

边缘计算、函数即服务(FaaS)、分布式AI推理、渲染农场。

Task_ID: 计算任务类型标识。
Resource_Spec: 资源需求向量（核心，内存，加速器）。
Input_Data: 包载荷中的输入数据。
Result_Data: 计算结果数据。
T_queue: 预计排队时间。

NP-L1-0094​

SRv6优化

能耗感知的SRv6路由

基于能耗模型的SID选择

绿色SR (Green SR) 路径计算

步骤1：链路/节点能耗建模
每个网络元素（链路、路由器）关联一个能耗模型。链路能耗E_link = P_idle + β * utilization。节点能耗E_node与处理负载和风扇等相关。
步骤2：路径能耗计算
给定路径P = [S1, S2, ..., Sk]，其总能耗估计E(P) = Σ_{i} (E_node(Si) + E_link(Si, Si+1))。需要考虑状态相关能耗，如唤醒延迟。
步骤3：约束下的绿色路径计算
在满足时延D_max、带宽B_min等约束下，计算能耗最低的路径，并将其编码为SID列表L_green。可使用修改的约束最短路径算法。
步骤4：动态调整
根据网络负载和能量来源（如可再生能源）动态调整L_green。
参数优化：能耗模型参数α, β，约束权重。

节能潜力：与最短路径相比，可降低5-30%网络总能耗。
路径可能延长：绿色路径可能非最短，增加跳数或时延。
强度：将能量效率作为SR-TE的优化目标，支持可持续网络。

优化理论、约束最短路径、能耗模型。

数据中心广域网、运营商骨干网、注重环保的企业网络。

E_link(u,v): 链路(u,v)的能耗（瓦特）。
E_node(v): 节点v的能耗。
D_max: 最大允许时延。
B_min: 最小要求带宽。
utilization: 链路利用率。

目标函数：min Σ E。
约束：Σ delay(link) ≤ D_max, min(available_bandwidth(link)) ≥ B_min。
加权和：有时将能耗转换为代价Cost = α * Energy + β * Delay。
凸优化：在约束条件下求极值。

网络能量管理平台、绿色TE策略。

时序（集中式控制器计算）：
1. 收集网络拓扑、链路利用率、节点功耗状态。
2. 为每条链路和节点计算当前单位流量能耗e。
3. 收到业务请求，带约束(src, dst, B, D)。
4. 在拓扑图G上，以e为边的权重，运行约束最短路径算法（如CSPF），寻找满足B, D约束且Σ e最小的路径P。
5. 将路径P转换为SID列表L_green。
6. 通过PCEP/BGP将L_green下发到Ingress节点。
7. Ingress节点对匹配的流量执行H.Encaps(L_green)。
8. 定期根据网络状态重新计算和优化路径。
方程式：min_{P∈Paths} Σ_{l∈P} E(l) s.t. Delay(P)≤D, BW(P)≥B。

数据流：网络状态采集→控制器运行绿色路径计算→生成低能耗SID列表→下发至Ingress→Ingress封装绿色路径SRH→流量沿低能耗路径转发。
控制流：基于能量优化的集中式路径计算与下发。
流向：能量感知的流量引导流。

NP-L1-0095​

SRv6处理

存储感知的SRv6

SRv6 存储访问端点

End.Storage (Storage Access Endpoint)

步骤1：存储命令编码
SID的Function部分编码存储操作：Op ∈ {READ, WRITE, DELETE}，对象标识Object_ID，偏移Offset，长度Length等。例如，`SID = Prefix

Op

Object_ID

...。<br>**步骤2：存储访问重定向**<br>节点配置End.Storage` SID，关联本地存储系统（文件系统、键值存储、对象存储）。收到包后，解码操作语义，将包载荷（对于WRITE）或请求信息传递给存储接口。
步骤3：执行存储操作
对于READ，从存储系统读取数据，封装到响应包中。对于WRITE，将数据写入存储，返回确认。操作可能在存储集群内部分发。
步骤4：响应返回
将操作结果（数据或状态）封装到新的SRv6包中，沿返回路径或指定路径发送。
参数优化：存储协议映射（NVMe over Fabrics），数据分块大小，缓存策略。

访问延迟：包含网络RTT和存储I/O延迟。
吞吐量：受网络和存储带宽限制。
强度：实现“存算一体”或“存储网络”，将存储访问抽象为网络原生操作。

存储协议、远程过程调用、数据平面访问。

NP-L1-0096​

SRv6优化

带内网络遥测增强

SRv6 增强的带内测量 (IOAM)

SRv6 集成 IOAM 指令

步骤1：IOAM数据空间预分配
在SRH中预留或动态添加IOAM TLV，包含一个数据数组Data[0..n-1]，每个元素对应路径上一跳的测量数据（如节点ID、入口/出口时间戳、队列深度、校验和增量等）。
步骤2：逐跳仪器化
每个SRv6节点在处理包时（无论End、End.X等），都将指定的测量数据写入Data[SL]位置（SL是处理前的值，标识跳数索引）。这需要修改SRH处理微码，在更新DA/SL后，执行测量和写入。
步骤3：数据导出
在路径终点（End.DT*）或中间收集点，读取完整的IOAM数据数组，通过带外或带内（另一个包）发送给收集器。
步骤4：低开销设计
支持部分部署、预分配循环缓冲区、数据压缩。
参数优化：测量数据类型选择，数据数组大小，采样率。

测量精度：提供逐跳的精确数据，无插值误差。
开销：每个包携带测量数据，增加头部开销，可采样降低。
强度：SRv6与IOAM无缝集成，提供前所未有的网络可视性。

带内测量、数据记录、可观测性。

网络性能监控、故障诊断、容量规划、SLA验证。

IOAM_Data[]: 测量数据数组，每个元素对应一跳。
index: 写入数据的索引，通常为SL_old。
metrics: 测量的指标集合{node_id, timestamp_in, timestamp_out, q_depth, ...}。
collector: 数据收集器地址。

数组操作：IOAM_Data[index] = record_metrics()。
索引映射：index = f(SL)，确保每跳写入唯一位置。
数据聚合：在收集器对多个包的IOAM数据进行统计。
采样：以概率p进行测量记录。

IOAM数据模型、遥测导出协议。

时序（逐跳记录）：
1. Ingress节点封装SRH，预留IOAM TLV，初始化Data[]（如全0）。
2. 第一个中间节点收到包，SL=k。执行SRH处理前，记录t_in, q_depth等。
3. 执行SRH处理：更新DA，SL--。
4. 记录t_out，计算latency = t_out - t_in。将{node_id, t_in, t_out, q_depth, latency}写入Data[k]。
5. 转发包。
6. 后续节点重复步骤2-5，但使用其对应的索引（SL_old）。
7. 在Egress节点（End.DT4），解封装前，记录最后一跳数据。之后，读取完整的IOAM_Data[]，通过gRPC或IPFIX发送给收集器。
方程式：Data[SL_old] = {node_id: N, hop_latency: t_out - t_in, queue: q}。

数据流：包携带IOAM数据区→每跳处理前记录入口信息→处理SRH→记录出口信息→写入数据区对应槽位→转发→终点收集并导出数据。
控制流：测量操作嵌入SRH处理流水线，索引由SL自动管理。
流向：包转发与测量数据填充同步进行的流。

NP-L1-0097​

SRv6处理

量子密钥分发集成

SRv6 后量子安全启动

End.QKD (Quantum Key Distribution Endpoint)

步骤1：QKD密钥获取
节点与一个或多个对等节点通过量子信道共享了秘密密钥K_qkd。密钥池通过经典信道进行隐私放大和纠错后建立。
步骤2：SID与密钥关联
End.QKDSID关联一个特定的密钥标识Key_ID，指向本地QKD密钥池中的密钥K。
步骤3：包处理与加密/解密
收到目的地址为该SID的包时，使用密钥K对包载荷（或整个内层包）进行解密（如果来自对端）。处理后，如需转发，可能使用下一跳的QKD密钥重新加密。
步骤4：密钥更新
QKD密钥是消耗品，定期更新。SID与密钥的映射需要同步更新。
步骤5：应用
为SRv6路径提供信息论安全（或计算安全）的加密，抵御量子计算攻击。
参数优化：加密算法（AES-256，基于QKD的OTP），密钥消耗速率，同步机制。

安全性：基于量子物理原理，提供可证明的安全性，抗量子攻击。
密钥分发延迟：QKD过程需要时间，可能影响连接建立。
强度：将QKD的无条件安全与SRv6的灵活路由结合，构建未来安全网络基石。

量子密码学、信息论安全、密钥管理。

军政通信、金融核心交易、高安全数据中心互联。

K_qkd: 通过QKD生成的共享秘密密钥（比特串）。
Key_ID: 密钥标识符。
Ciphertext: 加密的载荷。
QKD_Link: 量子密钥分发链路。

加密：C = Encrypt_K(Plaintext)。
解密：P = Decrypt_K(Ciphertext)。
一次性便签：如果`

K

≥

P

NP-L1-0098​

SRv6优化

无线感知的SRv6

SRv6 无线资源切片端点

End.Wireless (Wireless Access Endpoint)

步骤1：无线上下文感知
SID的Function部分或TLV可编码无线相关参数：小区IDCell_ID、 QoS等级5QI、无线承载标识RB_ID、信道质量指示CQI。
步骤2：无线资源映射
节点（如gNB或接入点）配置End.WirelessSID。收到下行包时，根据SID/无线承载ID将包映射到对应的无线承载和调度队列。收到上行包时，根据源信息添加或验证无线上下文。
步骤3：跨层优化
SRv6节点可利用无线信道状态信息（CQI）动态调整路径（选择不同回传链路），或将信息通过SRH传递给核心网用于计费和策略控制。
步骤4：移动性支持
当UE移动时，其锚定SID可能不变，但无线接入点SID变化，需要路径更新。
参数优化：无线参数编码效率，无线-有线QoS映射，移动性更新延迟。

无线集成：实现从核心网到无线接入的端到端SRv6策略执行。
实时性：无线资源调度严格时延要求，SRv6处理需低延迟。
强度：将5G/6G无线接入网深度集成到SRv6承载网，实现真正统一的网络架构。

无线通信、跨层优化、移动性管理。

5G/6G移动回传和前传、无线切片、车联网(V2X)。

Cell_ID: 无线小区标识。
5QI: 5G QoS标识符。
RB_ID: 无线承载标识。
CQI: 信道质量指示。
UE_ID: 用户设备标识（可能编码在SID中）。

映射：SID_Function → (Cell_ID, 5QI, RB_ID)。
QoS映射：5QI -> DSCP/TC -> 队列优先级。
移动性：UE的锚点SID不变，但路径随附着点变化：Path_UE = [SID_Anchor, SID_gNB_current]。

3GPP 5G架构、无线控制平面(N2)集成。

时序（下行，从UPF到UE）：
1. UPF收到发往UE的IP包，查询PCF/UDM策略，决定使用的无线切片和QoS。
2. UPF封装SRv6，外层DA为UE的锚点SID或直接为gNB的End.WirelessSID。在SRH或TLV中嵌入5QI、RB_ID等无线上下文。
3. 包经SRv6网络转发到目标gNB。
4. gNB的End.Wireless行为解析SID/TLV，提取5QI、RB_ID。
5. gNB根据5QI将包放入对应的无线调度队列，根据RB_ID映射到特定的无线承载。
6. gNB的无线调度器在适当时隙将包发送给UE。
（上行类似，但由gNB添加无线上下文）
方程式：无线调度grant_UE = f(QoS, CQI, buffer_status)。