專(zhuān)利名稱(chēng):融合多層并行處理的網(wǎng)絡(luò)接入設(shè)備一體化硬件實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信�、網(wǎng)絡(luò)安全和組網(wǎng)技術(shù)領(lǐng)域�����,特別涉及一種網(wǎng)絡(luò) 接入的融合方法及設(shè)備���。
背景技術(shù):
隨著Internet的高速發(fā)展,越來(lái)越多的個(gè)人和企業(yè)加入其中,隨之而來(lái)的 網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越受重視。目前����,網(wǎng)絡(luò)威脅呈現(xiàn)兩個(gè)主要的特點(diǎn)
1) 網(wǎng)絡(luò)帶寬越來(lái)越大�,光纖傳輸能力正在沿著每7個(gè)月傳輸帶寬增大 2倍的超摩爾定律速度發(fā)展��,現(xiàn)在企業(yè)級(jí)接入帶寬已經(jīng)達(dá)到了千兆級(jí)�。快 速增長(zhǎng)的網(wǎng)絡(luò)帶寬為網(wǎng)絡(luò)威脅提供了更多的空間����。
2) 近年來(lái),網(wǎng)絡(luò)威脅的種類(lèi)越來(lái)越多��,覆蓋了互聯(lián)網(wǎng)協(xié)議的各個(gè)層次�����。 在鏈路層����、網(wǎng)絡(luò)層上常見(jiàn)的威脅有地址欺騙、拒絕服務(wù)等����,在傳輸層上除 了常見(jiàn)的拒絕服務(wù)之外還存在端口掃描等,而在應(yīng)用層上則存在病毒�、木 馬�����、信息竊聽(tīng)與篡改等���。
相對(duì)于網(wǎng)絡(luò)威脅的迅速發(fā)展,傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備已經(jīng)無(wú)法滿足要求�����。 具體分析�,傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備主要存在以下兩個(gè)缺點(diǎn)性能低和功能單
傳統(tǒng)的防火墻一般是基于單一通用CPU或者基于網(wǎng)絡(luò)處理器(NP,
7Network Processor)實(shí)現(xiàn)。采用CPU實(shí)現(xiàn)時(shí)���,所有的安全業(yè)務(wù)都在一個(gè)CPU 上完成����,整體的處理能力通常低于百兆����。采用NP實(shí)現(xiàn)需要專(zhuān)用的開(kāi)發(fā)工 具和特別的開(kāi)發(fā)庫(kù)支持以及特有的編程模型,性能和穩(wěn)定性都無(wú)法保障���。 此外����,傳統(tǒng)的設(shè)備功能單一���,需要購(gòu)買(mǎi)多臺(tái)網(wǎng)絡(luò)設(shè)備才能完成接入功能�����, 這其中包括防火墻�����、路由器和交換機(jī)等��。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服上述不足���,將傳統(tǒng)上分離實(shí)現(xiàn)的二層交換機(jī)(數(shù) 據(jù)鏈路層交換設(shè)備),三層路由器(網(wǎng)絡(luò)層轉(zhuǎn)發(fā)設(shè)備)和更高層的防火墻(傳 輸層����,應(yīng)用層接入控制設(shè)備),采用分層并行預(yù)處理����、分層結(jié)果融合的方法 一體化實(shí)現(xiàn)于單個(gè)芯片中�����, 一方面能夠?qū)崿F(xiàn)單次解包操作完成所有處理�, 極大的提高性能����,可支持千兆速率接入,另一方面�����,基于該芯片能夠可迅 速形成一體化網(wǎng)絡(luò)接入設(shè)備���,實(shí)現(xiàn)單臺(tái)設(shè)備完成網(wǎng)絡(luò)接入功能���,降低用戶 成本和設(shè)備維護(hù)難度。
本發(fā)明的目的是這樣實(shí)現(xiàn)的 一種融合多層并行處理的網(wǎng)絡(luò)接入設(shè)備 一體化硬件實(shí)現(xiàn)方法����,所述方法包括合路輸入、分層預(yù)處理�����、分層結(jié)果融 合和分路輸出四個(gè)主要處理模塊,四個(gè)模塊依次串行完成����,其中�����,
所述合路輸入模塊將接入設(shè)備多個(gè)端口輸入的數(shù)據(jù)包進(jìn)行合路����,然后 單路輸入至分層預(yù)處理模塊,這樣可實(shí)現(xiàn)所有端口輸入數(shù)據(jù)單通路處理���, 節(jié)省大量硬件資源��;
所述分層預(yù)處理模塊首先將輸入數(shù)據(jù)包按照TCP/IP網(wǎng)絡(luò)五層協(xié)議模 型的包結(jié)構(gòu)進(jìn)行解包操作�,包分解后所得的各個(gè)字段按照所屬層次被對(duì)應(yīng)的2層��、3層��、3—4層和5層預(yù)處理通道取走���,實(shí)現(xiàn)4通道分層并行預(yù)處 理�,分別完成交換、路由�����、安全訪問(wèn)控制和應(yīng)用層控制功能�;
所述分層結(jié)果融合模塊接收上述4通道分層并行預(yù)處理的處理結(jié)果, 對(duì)所有通道的預(yù)處理結(jié)果進(jìn)行融合��,得出該數(shù)據(jù)包的最終處理結(jié)果——上 交�����、拒絕���、二層交換�����、三層轉(zhuǎn)發(fā)和四層策略轉(zhuǎn)發(fā)���;
所述分路輸出模塊將輸入的數(shù)據(jù)包按照其目的輸出接口進(jìn)行分路,并 將該包輸出到對(duì)應(yīng)的出口上��。
進(jìn)一步,所述分層預(yù)處理模塊包括四個(gè)并行的預(yù)處理通道�����,分別是數(shù) 據(jù)鏈路層預(yù)處理通道(2層預(yù)處理通道)��,網(wǎng)絡(luò)層預(yù)處理通道(3層預(yù)處理 通道�,完成路由預(yù)處理功能),網(wǎng)絡(luò)層�、傳輸層合并預(yù)處理通道(3—4層 預(yù)處理通道��,完成主要的安全過(guò)濾預(yù)處理功能)和應(yīng)用層預(yù)處理通道(5 層預(yù)處理通道�����,完成應(yīng)用層過(guò)濾預(yù)處理功能)���。四個(gè)通道并行實(shí)現(xiàn)�,可實(shí)現(xiàn) 數(shù)據(jù)包輸入后的四通道并行處理�,極大地提高性能。
數(shù)據(jù)鏈路層預(yù)處理通道(2層預(yù)處理通道)完成交換機(jī)主要處理功能�, 查找目的MAC表決定報(bào)文出口。包括
1) 二層數(shù)據(jù)域提取���。從輸入數(shù)據(jù)包中提取出數(shù)據(jù)鏈路層的頭部各個(gè)數(shù) 據(jù)域��,包括源MAC�����、目的MAC和協(xié)議類(lèi)型等��。
2) 報(bào)文分揀�。包括根據(jù)目的MAC地址判斷報(bào)文的層次(是二層交換 報(bào)文還是需要三層轉(zhuǎn)發(fā)報(bào)文);根據(jù)協(xié)議類(lèi)型判斷該包是協(xié)議報(bào)文(需上交 CPU的協(xié)議棧)�,還是普通數(shù)據(jù)包(正常轉(zhuǎn)發(fā))。
3) 目的MAC査表��。根據(jù)目的MAC査找該目的MAC對(duì)應(yīng)的出接口��。4) 査表結(jié)果判斷����。包括根據(jù)査表結(jié)果判斷報(bào)文的入虛擬局域網(wǎng)(Virtual Local Area Network, VLAN)和出VLAN是否一致;根據(jù)報(bào)文中源MAC地 址和目的MAC地址所在的端口是否相同決定是否丟棄該報(bào)文��。
5) 出口標(biāo)簽粘貼及輸出��。將目的MAC査表結(jié)果的出接口以標(biāo)簽形式 粘貼在數(shù)據(jù)包的頭部�,并輸出����。
網(wǎng)絡(luò)層預(yù)處理通道(3層預(yù)處理通道)完成路由器主要處理功能����,査 找路由表決定報(bào)文出口。包括.-
1 )三層數(shù)據(jù)域提取�����。從輸入數(shù)據(jù)包中提取出網(wǎng)絡(luò)層頭部的各個(gè)數(shù)據(jù)域����, 所提取的數(shù)據(jù)域是IP首部的基本頭(20字節(jié))和選項(xiàng)(如果有的話)�,包 括版本號(hào)、首部長(zhǎng)度���、服務(wù)類(lèi)型�、協(xié)議��、源IP地址和目的IP地址等���。
2) IP頭部域檢査及更新��。對(duì)網(wǎng)絡(luò)層各個(gè)數(shù)據(jù)域進(jìn)行正確性和合法性檢 查�,檢査的結(jié)果包括將數(shù)據(jù)包丟棄、上交CPU或者正常轉(zhuǎn)發(fā)����,同時(shí)將數(shù)據(jù) 包的存活時(shí)間(TimeToLive, TTL)域減1。
3) 路由査表��。根據(jù)目的IP地址查找路由器表����,得出下一跳出接口。
4) 出口標(biāo)簽粘貼及輸出��。將路由查表結(jié)果的下一跳出接口以標(biāo)簽形式 粘貼在數(shù)據(jù)包三層頭部����,并輸出。
網(wǎng)絡(luò)層���、傳輸層合并預(yù)處理通道(3—4層預(yù)處理通道)完成防火墻主 要功能����,包括安全過(guò)濾和網(wǎng)絡(luò)地址翻譯(Network Address Translation, NAT)�。 具體包括
1) 3—4層數(shù)據(jù)域提取�����。從輸入數(shù)據(jù)包中提取出網(wǎng)絡(luò)層和傳輸層頭部 的數(shù)據(jù)域�,其中�����,網(wǎng)絡(luò)層提取的數(shù)據(jù)域包括源IP地址�,目的IP地址,協(xié)議類(lèi)型(IP層)����,傳輸層提取的數(shù)據(jù)域包括源端口,目的端口等����。
2) 狀態(tài)過(guò)濾�����。根據(jù)五元組信息(源IP地址�、目的IP地址���、源端口�、 目的端口和協(xié)議類(lèi)型)査找硬件狀態(tài)表表項(xiàng)�����,看是否存在該連接,如果有�����, 確定連接的狀態(tài)(包括允許����、丟棄和上交CPU等)。
3) 目的地址轉(zhuǎn)換(DNAT)�����。査找硬件NAT表,并將數(shù)據(jù)包中原來(lái)的 目的IP地址替換為査表結(jié)果中的IP地址���。
4) 策略路由��。根據(jù)査DNAT表命中的目的IP地址查找策略路由表�, 得出下一跳出接口����。
5) 規(guī)則過(guò)濾。查找硬件規(guī)則表����,根據(jù)所定義的過(guò)濾規(guī)則過(guò)濾信息包, 包括允許數(shù)據(jù)包通過(guò),拒絕數(shù)據(jù)包通過(guò)����,丟棄等����。
6) 源地址轉(zhuǎn)換(SNAT)���。査找硬件NAT表���,并將數(shù)據(jù)包中原來(lái)的源 IP地址替換為査表結(jié)果中的IP地址����。
應(yīng)用層預(yù)處理通道(5層預(yù)處理通道)完成防火墻上層安全過(guò)濾功能, 例如HTTP的URL過(guò)濾等��,具體包括
1) 五層數(shù)據(jù)域提取。從輸入數(shù)據(jù)中提取出應(yīng)用層數(shù)據(jù)�����,即數(shù)據(jù)包的數(shù) 據(jù)部分�����。
2) 模式匹配�。根據(jù)內(nèi)容過(guò)濾的規(guī)則(例如HTTP的URL, EMAIL的 收件人�、發(fā)件人名單等),將提取出的五層數(shù)據(jù)進(jìn)行對(duì)應(yīng)模式匹配�。
3) 匹配結(jié)果輸出。將各種模式匹配的結(jié)果組合后輸出�,包括HTTP的 URL, EMAIL的收�、發(fā)件人等模式匹配的結(jié)果。
分層結(jié)果融合模塊用來(lái)接收分層預(yù)處理模塊的四個(gè)并行的預(yù)處理通道2層���、3層�、3—4層和5層預(yù)處理通道的處理結(jié)果��,對(duì)所有通道的預(yù) 處理結(jié)果進(jìn)行融合��,得出該數(shù)據(jù)包的最終處理結(jié)果。 具體的預(yù)處理結(jié)果融合方法如下1) 需丟棄的數(shù)據(jù)包���。若分層預(yù)處理中任一層的處理結(jié)果為丟棄,則該 包最終的處理結(jié)果為丟棄���。2) 上交CPU的數(shù)據(jù)包�。若分層預(yù)處理任一層的處理結(jié)果為非丟棄��, 且分層預(yù)處理任一層的處理結(jié)果為上交CPU���,則該包需要上交CPU����。3) 轉(zhuǎn)發(fā)的數(shù)據(jù)包����。若分層預(yù)處理任一層的處理結(jié)果為非丟棄且非上交 CPU,并且數(shù)據(jù)包2層預(yù)處理判斷為二層內(nèi)交換的數(shù)據(jù)包���,則直接按照二 層的目的MAC地址査表所得的出接口進(jìn)行轉(zhuǎn)發(fā)����。若判斷結(jié)果為非二層交 換數(shù)據(jù)包,且策略路由查表命中�,則按照三至四層預(yù)處理的策略路由查表 所得出接口轉(zhuǎn)發(fā);若判斷結(jié)果為非二層交換數(shù)據(jù)包���,且策略路由查表未命 中���,則按照三層預(yù)處理路由查表的所得的出接口轉(zhuǎn)發(fā)。所述分路輸出模塊將輸入的數(shù)據(jù)包按照其目的輸出接口進(jìn)行分路��,并 將該包輸出到對(duì)應(yīng)的出口線路上�。 本發(fā)明的有益效果提供了一種支持二層交換、三層路由和多層次網(wǎng)絡(luò)安全功能的一體化 電路實(shí)現(xiàn)方法����,只需一次解包操作便可實(shí)現(xiàn)所有接入功能,大大加快了處 理速度�,可實(shí)現(xiàn)吉比特級(jí)速率支持。該方法適合芯片實(shí)現(xiàn)����,以該芯片為核 心可迅速形成一體化網(wǎng)絡(luò)接入設(shè)備,實(shí)現(xiàn)交換��、路由器和防火墻功能的三 合一����,降低了設(shè)備成本����,簡(jiǎn)化了網(wǎng)絡(luò)設(shè)備的管理和維護(hù)�,提供了簡(jiǎn)單���、高速���、靈活的網(wǎng)絡(luò)接入。
圖1為互聯(lián)網(wǎng)協(xié)議模型的結(jié)構(gòu)示意框圖���。圖2為本發(fā)明的流程框圖����。圖3為合路輸入模塊實(shí)現(xiàn)原理框圖�。圖4為分路輸出模塊實(shí)現(xiàn)原理框圖。
具體實(shí)施方式
為網(wǎng)絡(luò)互聯(lián)而開(kāi)發(fā)的最重要協(xié)議是眾所周知的TCP/IP互聯(lián)網(wǎng)協(xié)議 (TCP/IP Internet Protocols), TCP / IP網(wǎng)絡(luò)協(xié)議模型(也稱(chēng)為互聯(lián)網(wǎng) 分層模型)分為五層��,由上至下分別是應(yīng)用層����、傳輸層���、網(wǎng)絡(luò)層、鏈路 層和物理層��,如圖l所示����。企業(yè)級(jí)接入網(wǎng)是網(wǎng)絡(luò)的基本單元,近年來(lái)發(fā)展迅速�,為社會(huì)發(fā)展做出 了巨大貢獻(xiàn)。本發(fā)明公布了一種支持二層交換���、三層路由和多層次網(wǎng)絡(luò)安 全功能的一體化電路實(shí)現(xiàn)方法�,適合于芯片實(shí)現(xiàn)�,以該芯片為核心可迅速 實(shí)現(xiàn)交換、路由器和防火墻功能的三合一����,能夠?yàn)槠髽I(yè)級(jí)用戶提供高性能、 高安全�����、低成本���、易維護(hù)的一體化接入設(shè)備��。下面以接入設(shè)備千兆接口輸入數(shù)據(jù)包輸入為例����,詳述該方法流程。該方法包括四個(gè)依次串行連接的處理模塊�����,分別是合路輸入模塊 (100)�����,分層預(yù)處理模塊(200)�,分層結(jié)果融合模塊(300)和分路輸出模 塊(400)�,如圖2所示。相應(yīng)的�,該方法處理流程包括四個(gè)步驟步驟l:數(shù)據(jù)包輸入后,首先進(jìn)入合路輸入處理模塊(100)�����,由該模塊將外部N個(gè)端口 (N根據(jù)具體接入設(shè)備而定)輸入的數(shù)據(jù)包分路進(jìn)行緩 存���,然后調(diào)度合成一路�����,如圖3所示����。這樣,所有端口輸入數(shù)據(jù)可利用單 通路完成處理����,節(jié)省大量硬件資源。步驟2:分層預(yù)處理模塊200從數(shù)據(jù)包入緩存模塊100中取出完整的 數(shù)據(jù)包�����,完成2層交換�����、3層路由和更上層的安全監(jiān)控等預(yù)處理功能���,并 將各層預(yù)處理結(jié)果(包括各層的正常轉(zhuǎn)發(fā)�、上交CPU和丟棄結(jié)果,還包括 下一跳出口結(jié)果)交給分層結(jié)果融合模塊(300)��。步驟3:分層結(jié)果融合模塊(300)接收分層預(yù)處理結(jié)果�����,并根據(jù)各種 預(yù)處理結(jié)果進(jìn)行綜合判斷����,生成數(shù)據(jù)包的最終硬件處理結(jié)果,包括1) 需丟棄的數(shù)據(jù)包�。若分層預(yù)處理中任一層的處理結(jié)果為丟棄,則該 包最終的處理結(jié)果為丟棄�����。2) 上交CPU的數(shù)據(jù)包��。若分層預(yù)處理任一層的處理結(jié)果為非丟棄�����, 且分層預(yù)處理任一層的處理結(jié)果為上交CPU�,則該包需要上交CPU��。3) 轉(zhuǎn)發(fā)的數(shù)據(jù)包�����。若分層預(yù)處理任一層的處理結(jié)果為非丟棄且非上交 CPU,并且數(shù)據(jù)包2層預(yù)處理判斷為二層內(nèi)交換的數(shù)據(jù)包�����,則直接按照二 層的目的MAC地址查表所得的出接口進(jìn)行轉(zhuǎn)發(fā)�。若判斷結(jié)果為非二層交 換數(shù)據(jù)包,且策略路由査表命中�����,則按照三至四層預(yù)處理的策略路由查表 所得出接口轉(zhuǎn)發(fā)�;若判斷結(jié)果為非二層交換數(shù)據(jù)包,且策略路由查表未命 中�,則按照三層預(yù)處理路由査表的所得的出接口轉(zhuǎn)發(fā)。對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包����,將最終的出接口粘貼在數(shù)據(jù)包頭部,封裝輸出 給分路輸出模塊���。步驟4:對(duì)步驟3中處理結(jié)果為需要轉(zhuǎn)發(fā)的數(shù)據(jù)包����,由分路輸出模塊按照其出接口輸出到對(duì)應(yīng)的出口線路上。具體實(shí)現(xiàn)的原理如圖4所示����。 進(jìn)一步的,步驟2中包括四個(gè)并行的預(yù)處理通道�,如圖2所示,分別是�����,211 — 215為數(shù)據(jù)包的二層預(yù)處理通道��,完成鏈路層數(shù)據(jù)處理�����,實(shí)現(xiàn)交 換機(jī)主要功能�;221—224為數(shù)據(jù)包的三層預(yù)處理通道,完成網(wǎng)絡(luò)層數(shù)據(jù)處理�,實(shí)現(xiàn)路 由器主要功能�;231—236為數(shù)據(jù)包的三至四層預(yù)處理通道,完成數(shù)據(jù)包的安全監(jiān)控���,實(shí)現(xiàn)防火墻的狀態(tài)過(guò)濾和NAT功能��;241—243為數(shù)據(jù)包的五層預(yù)處理通道����,實(shí)現(xiàn)防火墻的應(yīng)用層過(guò)濾功能。其中����,所對(duì)應(yīng)的二層預(yù)處理流程(211—215)具體為211: 二層數(shù)據(jù)域提取。數(shù)據(jù)包輸入后�,首先從中提取出數(shù)據(jù)鏈路層的頭部各個(gè)數(shù)據(jù)域,包括源MAC�、目的MAC和協(xié)議類(lèi)型;212:報(bào)文分揀�。包括根據(jù)步驟211中所提取的目的MAC地址判斷報(bào)文的層次(是二層交換報(bào)文還是需要三層轉(zhuǎn)發(fā)報(bào)文);根據(jù)協(xié)議類(lèi)型判斷該包是否為協(xié)議報(bào)文(需上交CPU的協(xié)議棧)����,還是普通數(shù)據(jù)包(正常轉(zhuǎn)發(fā)); 213:目的MAC査表。根據(jù)步驟212的處理結(jié)果判斷是否進(jìn)行目的MAC查表�����,若該數(shù)據(jù)包是二層交換報(bào)文���,且非協(xié)議報(bào)文,則根據(jù)目的MAC查找出接口;214:查表結(jié)果判斷�。根據(jù)步驟213的結(jié)果做進(jìn)一步判斷���,包括根據(jù)目的MAC査表結(jié)果判斷報(bào)文的入VLAN和出VLAN是否一致,根據(jù)報(bào)文 中源MAC地址和目的MAC地址所在的端口是否相同決定是否丟棄該報(bào) 文����,若入VLAN和出VLAN —致且源MAC和目的MAC所在接口不相同, 則將査表結(jié)果 遞交215;215:出口標(biāo)簽粘貼及輸出����。接收214査表結(jié)果,并將結(jié)果的出接口以 標(biāo)簽形式粘貼在數(shù)據(jù)包的二層頭部�����,隨同該層內(nèi)各個(gè)步驟的預(yù)處理結(jié)果一 并輸出至分層結(jié)果融合模塊(300)�。其中,所對(duì)應(yīng)的三層預(yù)處理流程(221—224)具體為221:三層數(shù)據(jù)域提取���。數(shù)據(jù)包輸入后���,首先從中提取出網(wǎng)絡(luò)層頭部的 各個(gè)數(shù)據(jù)域,提取數(shù)據(jù)是IP首部的基本頭(20字節(jié))和選項(xiàng)(如果有的話)�, 包括版本號(hào)、首部長(zhǎng)度�、服務(wù)類(lèi)型、協(xié)議�����、源IP地址和目的IP地址等����;222: IP頭部域檢査及更新。對(duì)步驟221中所提取的各個(gè)數(shù)據(jù)域的正確 性和合法性進(jìn)行檢査����,得出檢査的結(jié)果,包括丟棄(版本號(hào)錯(cuò)誤的數(shù)據(jù) 包���,校驗(yàn)和錯(cuò)誤的數(shù)據(jù)包等)���,上交CPU (路由査表未能命中的數(shù)據(jù)包), 正常轉(zhuǎn)發(fā)�。同時(shí)將數(shù)據(jù)包的TTL域減1;223:路由査表。對(duì)步驟222輸入的數(shù)據(jù)包�����,根據(jù)其目的IP地址查找 路由表,若査表命中����,則將得下一跳出接口結(jié)果送交224;224:出口標(biāo)簽粘貼及輸出。接收223的査表結(jié)果��,將結(jié)果的出接口以 標(biāo)簽形式粘貼在數(shù)據(jù)包三層頭部��,隨同該層內(nèi)各個(gè)步驟的預(yù)處理結(jié)果一并 輸出至分層結(jié)果融合模塊(300)�。其中,所對(duì)應(yīng)的三至四層預(yù)處理流程(231—235)具體為-231:三至四層數(shù)據(jù)域提取��。從輸入數(shù)據(jù)包中提取出網(wǎng)絡(luò)層和傳輸層頭 部���,包括三層中的源IP地址���,目的IP地址,協(xié)議(IP層)和四層中的TCP 頭部和UDP頭部����,數(shù)據(jù)域包括源端口號(hào)和目的端口號(hào)等;232:狀態(tài)過(guò)濾�����。根據(jù)步驟221中所提取的五元組信息(源地址、目的 地址���、源端口、目的端口和協(xié)議類(lèi)型)査找硬件狀態(tài)表�,看是否查表命中, 如果命中�,表明輸入五元組對(duì)應(yīng)連接已經(jīng)存在,讀出該連接的狀態(tài)(包括 允許通過(guò)�����、丟棄和上交CPU等)�����;233:目的地址轉(zhuǎn)換(DNAT)�。對(duì)步驟232中允許通過(guò)的數(shù)據(jù)包,査 找硬件NAT表��,根據(jù)査表結(jié)果將數(shù)據(jù)包中的目的IP替換為新的目的IP地 址�����;234:策略路由。根據(jù)步驟233中的査表結(jié)果——新的目的IP地址查 找策略路由表���,若查表命中���,則將得下一跳出接口結(jié)果送交235;235:規(guī)則過(guò)濾。對(duì)步驟232中未能查表命中的數(shù)據(jù)包�����,在完成步驟 232后���,需査找硬件規(guī)則表�,得出該包的規(guī)則表結(jié)果���,包括允許通過(guò)�����、丟 棄和上交CPU等���;236:源地址轉(zhuǎn)換(SNAT)。對(duì)步驟232或者235允許通過(guò)的數(shù)據(jù)包, 查找硬件NAT表���,根據(jù)査表結(jié)果替換數(shù)據(jù)包的源IP地址����。最后將該層內(nèi) 各個(gè)步驟的預(yù)處理結(jié)果輸出至分層結(jié)果融合模塊(300)�����。其中����,所對(duì)應(yīng)的五層預(yù)處理流程(241—243)具體為241:五層數(shù)據(jù)域提取�。從輸入數(shù)據(jù)中提取出應(yīng)用層數(shù)據(jù),即數(shù)據(jù)包的數(shù)據(jù)部分�;242:模式匹配。根據(jù)內(nèi)容過(guò)濾的規(guī)則(例如HTTP的URL���, EMAIL 的收件人����、發(fā)件人名單等)�,將241提取出的五層數(shù)據(jù)進(jìn)行對(duì)應(yīng)模式匹配, 具體模式匹配的方法很多,例如常見(jiàn)的Bloom—filter方法等�����;243:匹配結(jié)果輸出�。將各種模式匹配的結(jié)果組合后輸出,包括HTTP 的URL��, EMAIL的收��、發(fā)件人等模式匹配的結(jié)果����。最后將該層內(nèi)各個(gè)步 驟的預(yù)處理結(jié)果輸出至分層結(jié)果融合模塊(300)。上述方法可利用FPGA或者ASIC實(shí)現(xiàn)�,當(dāng)所述接入設(shè)備非千兆接口 時(shí),上述方法的原理和流程不變����,僅需根據(jù)具體接口類(lèi)型提取相應(yīng)的數(shù)據(jù) 鏈路層、網(wǎng)絡(luò)層���、傳輸層和應(yīng)用層的數(shù)據(jù)�,按照上述方法實(shí)現(xiàn)一體化處理����。
權(quán)利要求
1�����、一種融合多層并行處理的網(wǎng)絡(luò)接入設(shè)備一體化硬件實(shí)現(xiàn)方法��,其特征在于所述方法包括合路輸入����、分層預(yù)處理�����、分層結(jié)果融合和分路輸出四個(gè)處理模塊�����,四個(gè)模塊依次串行完成���,其中,所述合路輸入模塊將接入設(shè)備多個(gè)端口輸入的數(shù)據(jù)包進(jìn)行合路���,然后單路輸入至分層預(yù)處理模塊��;所述分層預(yù)處理模塊首先將輸入數(shù)據(jù)包按照TCP/IP網(wǎng)絡(luò)五層協(xié)議模型的包結(jié)構(gòu)進(jìn)行解包操作��,包分解后所得的各個(gè)字段按照所屬層次被對(duì)應(yīng)的2層����、3層、3-4層和5層預(yù)處理通道取走���,實(shí)現(xiàn)4通道分層并行預(yù)處理�����,分別完成交換��、路由����、安全訪問(wèn)控制和應(yīng)用層控制功能����;所述分層結(jié)果融合模塊接收上述4通道分層并行預(yù)處理的處理結(jié)果,對(duì)所有通道的預(yù)處理結(jié)果進(jìn)行融合���,得出該數(shù)據(jù)包的最終處理結(jié)果——上交�、拒絕、二層交換��、三層轉(zhuǎn)發(fā)和四層策略轉(zhuǎn)發(fā)�。所述分路輸出模塊將輸入的數(shù)據(jù)包按照其目的輸出接口進(jìn)行分路,并將該包輸出到對(duì)應(yīng)的出口上��。
2��、 根據(jù)權(quán)利要求1所述的一種融合多層并行處理的網(wǎng)絡(luò)接入設(shè)備一體 化硬件實(shí)現(xiàn)方法�����,其特征在于所述分層預(yù)處理模塊包括四個(gè)并行的預(yù)處 理通道���,分別是2層��、3層、3—4層和5層預(yù)處理通道���,該2層�、3層��、3 一4層和5層預(yù)處理通道分別對(duì)應(yīng)數(shù)據(jù)鏈路層預(yù)處理通道�,網(wǎng)絡(luò)層預(yù)處理 通道��,網(wǎng)絡(luò)層���、傳輸層合并預(yù)處理通道和應(yīng)用層預(yù)處理通道,四個(gè)通道并行實(shí)現(xiàn)�����,實(shí)現(xiàn)數(shù)據(jù)包輸入后的四通道并行處理�����。
3�����、根據(jù)權(quán)利要求2所述的一種融合多層并行處理的網(wǎng)絡(luò)接入設(shè)備一體 化硬件實(shí)現(xiàn)方法�,其特征在于所述數(shù)據(jù)鏈路層預(yù)處理通道包括1) 二層數(shù)據(jù)域提取從輸入數(shù)據(jù)包中提取出數(shù)據(jù)鏈路層的頭部各個(gè)數(shù)據(jù)域,包括源MAC�����、 目的MAC和協(xié)議類(lèi)型����,2) 報(bào)文分揀包括根據(jù)目的MAC地址判斷報(bào)文的層次��,根據(jù)協(xié)議類(lèi)型判斷該包是 協(xié)議報(bào)文��,還是普通數(shù)據(jù)包���,3) 目的MAC查表根據(jù)目的MAC査找該目的MAC對(duì)應(yīng)的出接口,4) 查表結(jié)果判斷包括根據(jù)査表結(jié)果判斷報(bào)文的入虛擬局域網(wǎng)和出VLAN是否一致�����,根 據(jù)報(bào)文中源MAC地址和目的MAC地址所在的端口是否相同決定是否丟 棄該報(bào)文���,5) 出口標(biāo)簽粘貼及輸出將目的MAC查表結(jié)果的出接口以標(biāo)簽形式粘貼在數(shù)據(jù)包的頭部����,并 輸出����;所述網(wǎng)絡(luò)層預(yù)處理通道包括 1 )三層數(shù)據(jù)域提取從輸入數(shù)據(jù)包中提取出網(wǎng)絡(luò)層頭部的各個(gè)數(shù)據(jù)域,所提取的數(shù)據(jù)域是 IP首部的基本頭����,如果有選項(xiàng)的話還有選項(xiàng)��,包括版本號(hào)、首部長(zhǎng)度�����、服 務(wù)類(lèi)型����、協(xié)議、源IP地址和目的IP地址�����,2) IP頭部域檢查及更新對(duì)網(wǎng)絡(luò)層各個(gè)數(shù)據(jù)域進(jìn)行正確性和合法性檢查�,檢查的結(jié)果包括將數(shù) 據(jù)包丟棄、上交CPU或者正常轉(zhuǎn)發(fā)���,同時(shí)將數(shù)據(jù)包的存活時(shí)間域減l�����,3) 路由査表根據(jù)目的IP地址査找路由器表��,得出下一跳出接口�����,4) 出口標(biāo)簽粘貼及輸出將路由査表結(jié)果的下一跳出接口以標(biāo)簽形式粘貼在數(shù)據(jù)包三層頭部����, 并輸出;所述網(wǎng)絡(luò)層�、傳輸層合并預(yù)處理通道包括-1) 3—4層數(shù)據(jù)域提取從輸入數(shù)據(jù)包中提取出網(wǎng)絡(luò)層和傳輸層頭部的數(shù)據(jù)域,其中����,網(wǎng)絡(luò)層 提取的數(shù)據(jù)域包括源IP地址,目的IP地址�,協(xié)議類(lèi)型,傳輸層提取的數(shù) 據(jù)域包括源端口�����,目的端口����,2) 狀態(tài)過(guò)濾根據(jù)源IP地址、目的IP地址�����、源端口、目的端口和協(xié)議類(lèi)型査找硬 件狀態(tài)表表項(xiàng)����,看是否存在該連接�����,如果有���,確定連接的狀態(tài)���,連接狀態(tài) 包括允許、丟棄和上交CPU�,3) 目的地址轉(zhuǎn)換査找硬件NAT表,并將數(shù)據(jù)包中原來(lái)的目的IP地址替換為査表結(jié)果 中的IP地址��,4) 策略路由根據(jù)査DNAT表命中的目的IP地址査找策略路由表���,得出下一跳出接□�,5) 規(guī)則過(guò)濾査找硬件規(guī)則表�����,根據(jù)所定義的過(guò)濾規(guī)則過(guò)濾信息包,包括允許數(shù)據(jù) 包通過(guò)���,拒絕數(shù)據(jù)包通過(guò)和丟棄���,6) 源地址轉(zhuǎn)換査找硬件NAT表,并將數(shù)據(jù)包中原來(lái)的源IP地址替換為査表結(jié)果中 的IP地址�;所述應(yīng)用層預(yù)處理通道包括1) 五層數(shù)據(jù)域提取從輸入數(shù)據(jù)中提取出應(yīng)用層數(shù)據(jù),即數(shù)據(jù)包的數(shù)據(jù)部分����,2) 模式匹配根據(jù)內(nèi)容過(guò)濾的規(guī)則,將提取出的五層數(shù)據(jù)進(jìn)行對(duì)應(yīng)模式匹配���,3) 匹配結(jié)果輸出將各種模式匹配的結(jié)果組合后輸出���。
4、根據(jù)權(quán)利要求l����、 2或3所述的一種融合多層并行處理的網(wǎng)絡(luò)接入 設(shè)備一體化硬件實(shí)現(xiàn)方法,其特征在于所述分層結(jié)果融合模塊的預(yù)處理 結(jié)果融合方法如下1) 需丟棄的數(shù)據(jù)包若分層預(yù)處理中任一層的處理結(jié)果為丟棄���,則該包最終的處理結(jié)果為丟棄��;2) 上交CPU的數(shù)據(jù)包若分層預(yù)處理任一層的處理結(jié)果為非丟棄��,且分層預(yù)處理任一層的處 理結(jié)果為上交CPU,則該包需要上交CPU;3) 轉(zhuǎn)發(fā)的數(shù)據(jù)包若分層預(yù)處理任一層的處理結(jié)果為非丟棄且非上交CPU,并且數(shù)據(jù)包 2層預(yù)處理判斷為二層內(nèi)交換的數(shù)據(jù)包��,則直接按照二層的目的MAC地址 查表所得的出接口進(jìn)行轉(zhuǎn)發(fā)����,若判斷結(jié)果為非二層交換數(shù)據(jù)包��,且策略路 由査表命中�����,則按照三至四層預(yù)處理的策略路由查表所得出接口轉(zhuǎn)發(fā)���;若 判斷結(jié)果為非二層交換數(shù)據(jù)包�����,且策略路由查表未命中���,則按照三層預(yù)處 理路由査表的所得的出接口轉(zhuǎn)發(fā)。
全文摘要
本發(fā)明涉及一種融合多層并行處理的網(wǎng)絡(luò)接入設(shè)備一體化硬件實(shí)現(xiàn)方法�,包括合路輸入、分層預(yù)處理、分層結(jié)果融合和分路輸出四個(gè)處理模塊����,合路輸入模塊將接入設(shè)備多個(gè)端口輸入的數(shù)據(jù)包進(jìn)行合路,然后單路輸入至分層預(yù)處理模塊����;分層預(yù)處理模塊將輸入數(shù)據(jù)包按照TCP/IP網(wǎng)絡(luò)五層協(xié)議模型的包結(jié)構(gòu)進(jìn)行解包操作,包分解后所得的各個(gè)字段按照所屬層次被對(duì)應(yīng)的2層���、3層��、3-4層和5層預(yù)處理通道取走�����;分層結(jié)果融合模塊接收上述4通道分層并行預(yù)處理的處理結(jié)果�����,對(duì)所有通道的預(yù)處理結(jié)果進(jìn)行融合��;分路輸出模塊將輸入的數(shù)據(jù)包按照其目的輸出接口進(jìn)行分路�����,并將該包輸出到對(duì)應(yīng)的出口上����。本發(fā)明提供了一種支持二層交換、三層路由和多層次網(wǎng)絡(luò)安全功能的一體化電路實(shí)現(xiàn)方法��。
文檔編號(hào)H04L29/06GK101321163SQ20081002295
公開(kāi)日2008年12月10日 申請(qǐng)日期2008年7月3日 優(yōu)先權(quán)日2008年7月3日
發(fā)明者丁賢根, 冉宇暉, 姜鯤鵬, 李玉峰, 王保進(jìn), 菡 邱, 錢(qián)菁華 申請(qǐng)人:江蘇華麗網(wǎng)絡(luò)工程有限公司;中國(guó)人民解放軍信息工程大學(xué)