專利名稱:根據(jù)協(xié)議、端口分流支持多應(yīng)用的智能加速網(wǎng)卡的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)通信領(lǐng)域�����,具體涉及一種根據(jù)協(xié)議�����、端口分流支持多應(yīng)用的智能加速網(wǎng)卡���。
背景技術(shù):
近年來主干網(wǎng)網(wǎng)絡(luò)帶寬增加迅猛,互聯(lián)網(wǎng)應(yīng)用種類日益增多���,網(wǎng)絡(luò)安全事件的種類和數(shù)量都呈現(xiàn)了指數(shù)性增長��,為了維護(hù)國家安全�����、保障國家的根本利益�����,涌現(xiàn)出了一大批針對(duì)不同類型防御對(duì)象的類I DS(入侵檢測系統(tǒng))��。但由于機(jī)房空間�����、散熱�����、成本等因素的限制使得靠無限的增加服務(wù)器來運(yùn)行新的業(yè)務(wù)系統(tǒng)和應(yīng)對(duì)新增加的流量成為不可能�,而一臺(tái)服務(wù)器上運(yùn)行多套業(yè)務(wù)系統(tǒng)是一個(gè)較好的解決辦法。傳統(tǒng)的多應(yīng)用處理思想是將數(shù)據(jù)包拷貝多份然后由多個(gè)應(yīng)用對(duì)拷貝的數(shù)據(jù)包進(jìn) 行處理�����,這種方式的優(yōu)點(diǎn)是各個(gè)應(yīng)用互不干涉�����,應(yīng)用之間耦合少�,但是缺點(diǎn)也很明顯,需要將數(shù)據(jù)包拷貝多份���,拷貝數(shù)據(jù)的開銷巨大�,嚴(yán)重的影響了上層業(yè)務(wù)系統(tǒng)的運(yùn)行。為了解決該問題�,部分廠商提出了支持多應(yīng)用的零拷貝技術(shù),該技術(shù)在用戶空間開辟一個(gè)共享內(nèi)存區(qū)�,通過內(nèi)存映射這一機(jī)制,將網(wǎng)卡得到的數(shù)據(jù)直接放入用戶空間里去�����,多個(gè)用戶通過共享緩沖區(qū)的機(jī)制工作����。這種方式避免了數(shù)據(jù)包的多次拷貝���,一定程度上提高了處理的效率��,但每個(gè)應(yīng)用仍舊需要處理所有的數(shù)據(jù)包�。然而在實(shí)際的處理過程中����,應(yīng)用往往需要根據(jù)流量的不同類型采取不同的處理方式,而之前的處理模式并沒有對(duì)流量按類型進(jìn)行分類����,致使每個(gè)應(yīng)用都要處理所有的流量�,例如���,針對(duì)IPv4TCP流量進(jìn)行分析的應(yīng)用完全不用分析IPv4UPD和IPv6的流量�,這將極大的降低應(yīng)用的處理效率?�,F(xiàn)有的在一臺(tái)服務(wù)器支持多個(gè)類IDS業(yè)務(wù)系統(tǒng)的技術(shù)主要是數(shù)據(jù)包多重拷貝技術(shù)和采用零拷貝的緩沖區(qū)全局共享技術(shù)����。數(shù)據(jù)包多重拷貝技術(shù)是對(duì)接收的數(shù)據(jù)復(fù)制多份,并分別上傳給不同的應(yīng)用���,這種方式可以避免應(yīng)用之間的耦合�,使多個(gè)應(yīng)用互不干擾的獨(dú)立處理數(shù)據(jù)包�,但缺點(diǎn)也很明顯,需要將數(shù)據(jù)包拷貝多份��,拷貝數(shù)據(jù)的開銷巨大���,嚴(yán)重的影響了上層業(yè)務(wù)系統(tǒng)的運(yùn)行���;采用零拷貝的緩沖區(qū)全局共享技術(shù)是在用戶空間開辟一個(gè)共享內(nèi)存區(qū),通過內(nèi)存映射這一機(jī)制,將網(wǎng)卡得到的數(shù)據(jù)直接DMA到用戶空間里去�����,多個(gè)用戶通過共享緩沖區(qū)的機(jī)制共享緩沖區(qū)的數(shù)據(jù)包���,由驅(qū)動(dòng)程序控制數(shù)據(jù)的接收與釋放�����,這種方式避免了數(shù)據(jù)包的多次拷貝��,一定程度上提高了處理的效率�����,但每個(gè)應(yīng)用仍舊需要處理所有的數(shù)據(jù)包,而實(shí)際中很多應(yīng)用是基于特定的流量特征進(jìn)行分析的����,對(duì)不相關(guān)流量的處理不僅沒有效果,反而會(huì)因處理的帶寬過大����,嚴(yán)重影響處理的效率。
發(fā)明內(nèi)容
為克服上述缺陷,本發(fā)明提供了一種根據(jù)協(xié)議���、端口分流支持多應(yīng)用的智能加速網(wǎng)卡��,解決了處理的帶寬過大�����,嚴(yán)重影響處理的效率的問題�����。
為實(shí)現(xiàn)上述目的��,本發(fā)明提供一種根據(jù)協(xié)議�����、端口分流支持多應(yīng)用的智能加速網(wǎng)卡����,其改進(jìn)之處在于�,所述網(wǎng)卡包括分流單元和與其連接的存儲(chǔ)單元。本發(fā)明提供的優(yōu)選技術(shù)方案中���,所述分流單元包括依次連接的寄存器��、規(guī)則匹配模塊和負(fù)載均衡計(jì)算模塊�。本發(fā)明提供的第二優(yōu)選技術(shù)方案中,所述存儲(chǔ)單元����,用于緩沖數(shù)據(jù)包和存放分流規(guī)則。本發(fā)明提供的第三優(yōu)選技術(shù)方案中��,所述寄存器���,用于加載存放于所述存儲(chǔ)單元中的分流規(guī)則�。本發(fā)明提供的第四優(yōu)選技術(shù)方案中���,所述規(guī)則匹配模塊����,根據(jù)讀取的分流規(guī)則�����,對(duì)接收的數(shù)據(jù)包與進(jìn)行分流規(guī)則匹配��,并將匹配成功的數(shù)據(jù)包的源IP和目的IP傳遞到所述負(fù)載均衡計(jì)算模塊���。 本發(fā)明提供的第五優(yōu)選技術(shù)方案中��,所述負(fù)載均衡計(jì)算模塊���,根據(jù)計(jì)算得到歸屬的緩沖區(qū)ID,然后將該數(shù)據(jù)包DMA到該緩沖區(qū)中���。本發(fā)明提供的第六優(yōu)選技術(shù)方案中�,設(shè)置如下參數(shù)源IP地址ip���、目的IP地址dip���、中間狀態(tài)值r和最終狀態(tài)值r2,計(jì)算過程如下(a).源IP地址ip和目的IP地址dip做異或運(yùn)算����,得到中間狀態(tài)值r ;(b).將r右移動(dòng)4位之后的值與r右移12位的值做異或運(yùn)算�,得到最終狀態(tài)值r2 ;(c).將最終狀態(tài)值r2與OxOOOOffff進(jìn)行與運(yùn)算����,取得最終狀態(tài)值r2的最低16位�;其中�����,最終狀態(tài)值r2的最低16位為數(shù)據(jù)包的hash值��。本發(fā)明提供的第七優(yōu)選技術(shù)方案中�����,所述分流單元��,采用型號(hào)為XC5VLX110T的FPGA芯片�����。本發(fā)明提供的第八優(yōu)選技術(shù)方案中����,所述存儲(chǔ)單元采用容量為4G的DDR3存儲(chǔ)器。與現(xiàn)有技術(shù)比��,本發(fā)明提供的一種根據(jù)協(xié)議�����、端口分流支持多應(yīng)用的智能加速網(wǎng)卡���,可以根據(jù)業(yè)務(wù)系統(tǒng)的需要��,將滿足相應(yīng)協(xié)議和端口的流量分配到指定的緩沖區(qū)��,業(yè)務(wù)系統(tǒng)只需要從該緩沖區(qū)中取數(shù)據(jù)即可��,該加速卡采用緩沖區(qū)共享的機(jī)制對(duì)多應(yīng)用進(jìn)行支持��,并且支持多應(yīng)用設(shè)置優(yōu)先級(jí)���。因?yàn)槊總€(gè)業(yè)務(wù)只需要與自己相關(guān)的流量,從而降低了該業(yè)務(wù)需要處理的帶寬���,提高了業(yè)務(wù)處理的效率�,有效的減少了投資規(guī)模��。
圖I為根據(jù)協(xié)議�、端口分流支持多應(yīng)用的智能加速網(wǎng)卡的結(jié)構(gòu)示意圖。圖2為分流單元的結(jié)構(gòu)示意圖��。
具體實(shí)施例方式如圖I所示,根據(jù)協(xié)議��、端口分流支持多應(yīng)用的智能加速網(wǎng)卡��,其改進(jìn)之處在于��,所述網(wǎng)卡包括分流單元和與其連接的存儲(chǔ)單元��。如圖2所示����,所述分流單元包括依次連接的寄存器、規(guī)則匹配模塊和負(fù)載均衡計(jì)算模塊��。
所述存儲(chǔ)單元�,用于緩沖數(shù)據(jù)包和存放分流規(guī)則。所述寄存器�,用于加載存放于所述存儲(chǔ)單元中的分流規(guī)則。所述規(guī)則匹配模塊����,根據(jù)讀取的分流規(guī)則,對(duì)接收的數(shù)據(jù)包與進(jìn)行分流規(guī)則匹配���,并將匹配成功的數(shù)據(jù)包的源IP和目的IP傳遞到所述負(fù)載均衡計(jì)算模塊���。所述負(fù)載均衡計(jì)算模塊,根據(jù)以下公式進(jìn)行計(jì)算���,得到歸屬的緩沖區(qū)ID��,然后將該數(shù)據(jù)包DMA到該緩沖區(qū)中���。負(fù)載均衡計(jì)算公式以sip (源IP地址)、dip (目的IP地址)兩個(gè)值做為參數(shù)inline int getHashValue (—u32sip,—u32dip) {int r, r2 �;計(jì)算步驟一源IP地址和目的IP地址做異或運(yùn)算,得到中間狀態(tài)值rr = sip Λ dip �;計(jì)算步驟二 將r右移動(dòng)4位之后的值再與r右移12位的值做異或運(yùn)算,得到最將狀態(tài)值r2r2 = (r > > 4) Λ (r >> 12)�����;計(jì)算步驟三將r2與OxOOOOffff�����,即取得r2的最低16位retu rn r2&0x0000ffff ��;}其中,最終狀態(tài)值r2的最低16位為數(shù)據(jù)包的hash值�����。通過以上公式相同的源I P和目的I P將得到相同的hash值�,相同hash值的數(shù)據(jù)包將會(huì)將DMA到同一個(gè)緩沖區(qū)中。所述分流單元�,采用型號(hào)為XC5VLX110T的FPGA芯片。所述存儲(chǔ)單元采用容量為4G的DDR3存儲(chǔ)器����。通過以下實(shí)施例對(duì)根據(jù)協(xié)議、端口分流支持多應(yīng)用的智能加速網(wǎng)卡作進(jìn)一步描述��。一款可根據(jù)協(xié)議��、端口分流且支持多應(yīng)用的智能加速網(wǎng)卡�,該卡是一個(gè)基于FPGA芯片的PCIe接口插卡式產(chǎn)品,該卡可根據(jù)三層協(xié)議���、四層協(xié)議和端口等屬性對(duì)網(wǎng)絡(luò)報(bào)文進(jìn)行分類�����,滿足不同屬性種類的數(shù)據(jù)包會(huì)被分配到不同的緩沖區(qū)���,多個(gè)緩沖區(qū)通過源IP和目的IP實(shí)現(xiàn)了同源同宿的負(fù)載均衡分流��,保證了同一個(gè)連接的數(shù)據(jù)包總是被分配到一個(gè)緩沖區(qū)����,此外該卡實(shí)現(xiàn)了 IPv4和IPv6雙棧的功能�,可接收處理IPv4和IPv6流量的數(shù)據(jù)包���。上層業(yè)務(wù)系統(tǒng)根據(jù)其需要的流量特征���,選擇與其相關(guān)的緩沖區(qū)取數(shù)據(jù)處理即可,選擇幾個(gè)緩沖區(qū)完全由應(yīng)用程序自主控制�,由卡的驅(qū)動(dòng)程序負(fù)責(zé)維護(hù)各個(gè)應(yīng)用取包信息,對(duì)多個(gè)應(yīng)用按照其設(shè)定的優(yōu)先級(jí)進(jìn)行差別化支持�,根據(jù)業(yè)務(wù)系統(tǒng)的優(yōu)先級(jí)保證高優(yōu)先級(jí)的應(yīng)用優(yōu)先取包。為了提高在一臺(tái)服務(wù)器運(yùn)行多個(gè)業(yè)務(wù)系統(tǒng)的吞吐量���,提高多業(yè)務(wù)系統(tǒng)的處理效率�����,滿足對(duì)日益增加和日趨復(fù)雜的流量的監(jiān)管�,保護(hù)網(wǎng)民的合法權(quán)益,維護(hù)和諧網(wǎng)絡(luò)環(huán)境�,曙光公司研發(fā)了一款根據(jù)協(xié)議、端口分流且支持多應(yīng)用的智能加速網(wǎng)卡�,該卡核心部件是一個(gè)專用FPGA芯片,通過芯片內(nèi)部的邏輯電路實(shí)現(xiàn)根據(jù)協(xié)議����、端口進(jìn)行分流,同時(shí)該卡還對(duì)多應(yīng)用提供了支持����,多個(gè)應(yīng)用可通過共享緩沖隊(duì)列的方實(shí)現(xiàn)共享,避免了數(shù)據(jù)包的多次拷貝�����,該卡支持IPv4和IPv6雙棧模式�����,提供了極大的擴(kuò)展性���。整個(gè)智能加速卡上集成了 4GB內(nèi)存����,負(fù)責(zé)緩沖高速數(shù)據(jù)包和存放分流規(guī)則,命中分流規(guī)則的數(shù)據(jù)包將會(huì)被DMA到相應(yīng)的緩沖區(qū)隊(duì)列中���,如果一個(gè)分流規(guī)則對(duì)應(yīng)多個(gè)緩沖區(qū)隊(duì)列���,卡的FPGA芯片會(huì)根據(jù)數(shù)據(jù)包的源IP和目的IP選擇一個(gè)緩沖區(qū)隊(duì)列,選擇的算法即可保證多個(gè)緩沖區(qū)隊(duì)列負(fù)載均衡��,又要保證同一個(gè)連接的數(shù)據(jù)包始終DMA到同一個(gè)緩沖區(qū)隊(duì)列中去����,整個(gè)分流命中過程完全由卡上的核心芯片控制�,不占用任何主機(jī)資源,所以在保持高效分流的同時(shí)����,還可以將主機(jī)的全部計(jì)算資源留給業(yè)務(wù)系統(tǒng)。業(yè)務(wù)系統(tǒng)根據(jù)其需要的流量特征�,選擇與其相關(guān)的緩沖區(qū)取數(shù)據(jù)處理即可,選擇幾個(gè)緩沖區(qū)完全由應(yīng)用程序自主控制���,由卡的驅(qū)動(dòng)程序負(fù)責(zé)維護(hù)各個(gè)業(yè)務(wù)系統(tǒng)的取包隊(duì)列����,對(duì)多個(gè)應(yīng)用按照其設(shè)定的優(yōu)先級(jí)進(jìn)行差別化支持,根據(jù)業(yè)務(wù)系統(tǒng)的優(yōu)先級(jí)保持高優(yōu)先級(jí)的應(yīng)用優(yōu)先取包�����。設(shè)置加速卡的分流規(guī)則�����,加速卡加載時(shí)會(huì)按照配置文件將分流規(guī)則加載到加速卡寄存器��,數(shù)據(jù)包到達(dá)加速卡后與分流規(guī)則匹配�,匹配后再進(jìn)行負(fù)載均衡計(jì)算,最終得到歸屬 的緩沖區(qū)ID�,然后加速卡將該數(shù)據(jù)包DMA到該緩沖區(qū)中。支持多應(yīng)用的驅(qū)動(dòng)程序根據(jù)各個(gè)應(yīng)用的優(yōu)先級(jí)維護(hù)各個(gè)共享緩沖區(qū)隊(duì)列�。業(yè)務(wù)系統(tǒng)選擇需要的流量特征所對(duì)應(yīng)的緩沖區(qū),并從緩沖區(qū)中取包分析�,選擇緩沖區(qū)的個(gè)數(shù)完全和類型完全由業(yè)務(wù)系統(tǒng)控制,通過這種機(jī)制�����,每個(gè)業(yè)務(wù)系統(tǒng)可屏蔽掉無關(guān)的數(shù)據(jù)��,這將極大的提高整體系統(tǒng)的吞吐量�����,降低業(yè)務(wù)系統(tǒng)的規(guī)模。需要聲明的是�,本發(fā)明內(nèi)容及具體實(shí)施方式
意在證明本發(fā)明所提供技術(shù)方案的實(shí)際應(yīng)用,不應(yīng)解釋為對(duì)本發(fā)明保護(hù)范圍的限定�����。本領(lǐng)域技術(shù)人員在本發(fā)明的精神和原理啟發(fā)下����,可作各種修改、等同替換�、或改進(jìn)。但這些變更或修改均在申請(qǐng)待批的保護(hù)范圍內(nèi)����。
權(quán)利要求
1.一種根據(jù)協(xié)議���、端口分流支持多應(yīng)用的智能加速網(wǎng)卡����,其特征在于�����,所述網(wǎng)卡包括分流單元和與其連接的存儲(chǔ)單元。
2.根據(jù)權(quán)利要求I所述的智能加速網(wǎng)卡����,其特征在于,所述分流單元包括依次連接的寄存器��、規(guī)則匹配模塊和負(fù)載均衡計(jì)算模塊�����。
3.根據(jù)權(quán)利要求I所述的智能加速網(wǎng)卡��,其特征在于��,所述存儲(chǔ)單元��,用于緩沖數(shù)據(jù)包和存放分流規(guī)則���。
4.根據(jù)權(quán)利要求2所述的智能加速網(wǎng)卡���,其特征在于,所述寄存器,用于加載存放于所述存儲(chǔ)單元中的分流規(guī)則�����。
5.根據(jù)權(quán)利要求2所述的智能加速網(wǎng)卡���,其特征在于��,所述規(guī)則匹配模塊�,根據(jù)讀取的分流規(guī)則���,對(duì)接收的數(shù)據(jù)包與進(jìn)行分流規(guī)則匹配�,并將匹配成功的數(shù)據(jù)包的源IP和目的IP傳遞到所述負(fù)載均衡計(jì)算模塊��。
6.根據(jù)權(quán)利要求I所述的智能加速網(wǎng)卡�,其特征在于,所述負(fù)載均衡計(jì)算模塊����,根據(jù)計(jì)算得到歸屬的緩沖區(qū)ID���,然后將該數(shù)據(jù)包DMA到該緩沖區(qū)中�����。
7.根據(jù)權(quán)利要求6所述的智能加速網(wǎng)卡�,其特征在于,設(shè)置如下參數(shù)源IP地址ip���、目的IP地址dip��、中間狀態(tài)值r和最終狀態(tài)值r2���,計(jì)算過程如下 (a).源IP地址ip和目的IP地址dip做異或運(yùn)算,得到中間狀態(tài)值r�; (b).將r右移動(dòng)4位之后的值與r右移12位的值做異或運(yùn)算,得到最終狀態(tài)值r2�; (c).將最終狀態(tài)值r2與OxOOOOfTfT進(jìn)行與運(yùn)算,取得最終狀態(tài)值r2的最低16位��; 其中��,最終狀態(tài)值r2的最低16位為數(shù)據(jù)包的hash值�����。
8.根據(jù)權(quán)利要求1�、2所述的智能加速網(wǎng)卡,其特征在于,所述分流單元�,采用型號(hào)為XC5VLX110T 的 FPGA 芯片。
9.根據(jù)權(quán)利要求1�、2所述的智能加速網(wǎng)卡,其特征在于����,所述存儲(chǔ)單元采用容量為4G的DDR3存儲(chǔ)器。
全文摘要
本發(fā)明提供了一種根據(jù)協(xié)議���、端口分流支持多應(yīng)用的智能加速網(wǎng)卡����,所述網(wǎng)卡包括分流單元和與其連接的存儲(chǔ)單元�。本發(fā)明提供的根據(jù)協(xié)議、端口分流支持多應(yīng)用的智能加速網(wǎng)卡����,解決了處理的帶寬過大,嚴(yán)重影響處理的效率的問題�。
文檔編號(hào)H04L12/803GK102904729SQ20121041795
公開日2013年1月30日 申請(qǐng)日期2012年10月26日 優(yōu)先權(quán)日2012年10月26日
發(fā)明者劉興彬 申請(qǐng)人:曙光信息產(chǎn)業(yè)(北京)有限公司