技術領域

本發明涉及網絡通信、網絡安全和組網技術領域，特別涉及一種網絡接入的融合方法及設備。

背景技術

隨著Internet的高速發展，越來越多的個人和企業加入其中，隨之而來的網絡安全問題也越來越受重視。目前，網絡威脅呈現兩個主要的特點：

1)網絡帶寬越來越大，光纖傳輸能力正在沿著每7個月傳輸帶寬增大2倍的超摩爾定律速度發展，現在企業級接入帶寬已經達到了千兆級。快速增長的網絡帶寬為網絡威脅提供了更多的空間。

2)近年來，網絡威脅的種類越來越多，覆蓋了互聯網協議的各個層次。在鏈路層、網絡層上常見的威脅有地址欺騙、拒絕服務等，在傳輸層上除了常見的拒絕服務之外還存在端口掃描等，而在應用層上則存在病毒、木馬、信息竊聽與篡改等。

相對于網絡威脅的迅速發展，傳統網絡安全設備已經無法滿足要求。具體分析，傳統的網絡安全設備主要存在以下兩個缺點：性能低和功能單一。

傳統的防火墻一般是基于單一通用CPU或者基于網絡處理器(NP，Network?Processor)實現。采用CPU實現時，所有的安全業務都在一個CPU上完成，整體的處理能力通常低于百兆。采用NP實現需要專用的開發工具和特別的開發庫支持以及特有的編程模型，性能和穩定性都無法保障。此外，傳統的設備功能單一，需要購買多臺網絡設備才能完成接入功能，這其中包括防火墻、路由器和交換機等。

發明內容

本發明的目的在于克服上述不足，將傳統上分離實現的二層交換機(數據鏈路層交換設備)，三層路由器(網絡層轉發設備)和更高層的防火墻(傳輸層，應用層接入控制設備)，采用分層并行預處理、分層結果融合的方法一體化實現于單個芯片中，一方面能夠實現單次解包操作完成所有處理，極大的提高性能，可支持千兆速率接入，另一方面，基于該芯片能夠可迅速形成一體化網絡接入設備，實現單臺設備完成網絡接入功能，降低用戶成本和設備維護難度。

本發明的目的是這樣實現的：一種融合多層并行處理的網絡接入設備一體化硬件實現方法，所述方法包括合路輸入、分層預處理、分層結果融合和分路輸出四個主要處理模塊，四個模塊依次串行完成，其中，

所述合路輸入模塊將接入設備多個端口輸入的數據包進行合路，然后單路輸入至分層預處理模塊，這樣可實現所有端口輸入數據單通路處理，節省大量硬件資源；

所述分層預處理模塊首先將輸入數據包按照TCP/IP網絡五層協議模型的包結構進行解包操作，包分解后所得的各個字段按照所屬層次被對應的2層、3層、3-4層和5層預處理通道取走，實現4通道分層并行預處理，分別完成交換、路由、安全訪問控制和應用層控制功能；

所述分層結果融合模塊接收上述4通道分層并行預處理的處理結果，對所有通道的預處理結果進行融合，得出該數據包的最終處理結果——上交、拒絕、二層交換、三層轉發和四層策略轉發；

所述分路輸出模塊將輸入的數據包按照其目的輸出接口進行分路，并將該包輸出到對應的出口上。

進一步，所述分層預處理模塊包括四個并行的預處理通道，分別是數據鏈路層預處理通道(2層預處理通道)，網絡層預處理通道(3層預處理通道，完成路由預處理功能)，網絡層、傳輸層合并預處理通道(3-4層預處理通道，完成主要的安全過濾預處理功能)和應用層預處理通道(5層預處理通道，完成應用層過濾預處理功能)。四個通道并行實現，可實現數據包輸入后的四通道并行處理，極大地提高性能。

數據鏈路層預處理通道(2層預處理通道)完成交換機主要處理功能，查找目的MAC表決定報文出口。包括：

1)二層數據域提取。從輸入數據包中提取出數據鏈路層的頭部各個數據域，包括源MAC、目的MAC和協議類型等。

2)報文分揀。包括根據目的MAC地址判斷報文的層次(是二層交換報文還是需要三層轉發報文)；根據協議類型判斷該包是協議報文(需上交CPU的協議棧)，還是普通數據包(正常轉發)。

3)目的MAC查表。根據目的MAC查找該目的MAC對應的出接口。

4)查表結果判斷。包括根據查表結果判斷報文的入虛擬局域網(VirtualLocal?Area?Network，VLAN)和出VLAN是否一致；根據報文中源MAC地址和目的MAC地址所在的端口是否相同決定是否丟棄該報文。

5)出口標簽粘貼及輸出。將目的MAC查表結果的出接口以標簽形式粘貼在數據包的頭部，并輸出。

網絡層預處理通道(3層預處理通道)完成路由器主要處理功能，查找路由表決定報文出口。包括：