[發明專利]融合多層并行處理的網絡接入設備一體化硬件實現方法無效
| 申請號: | 200810022951.3 | 申請日: | 2008-07-03 |
| 公開(公告)號: | CN101321163A | 公開(公告)日: | 2008-12-10 |
| 發明(設計)人: | 李玉峰;邱菡;丁賢根;姜鯤鵬;王保進;冉宇暉;錢菁華 | 申請(專利權)人: | 江蘇華麗網絡工程有限公司;中國人民解放軍信息工程大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/56 |
| 代理公司: | 江陰市同盛專利事務所 | 代理人: | 唐紉蘭 |
| 地址: | 214432江*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 融合 多層 并行 處理 網絡 接入 設備 一體化 硬件 實現 方法 | ||
技術領域
本發明涉及網絡通信、網絡安全和組網技術領域,特別涉及一種網絡接入的融合方法及設備。
背景技術
隨著Internet的高速發展,越來越多的個人和企業加入其中,隨之而來的網絡安全問題也越來越受重視。目前,網絡威脅呈現兩個主要的特點:
1)網絡帶寬越來越大,光纖傳輸能力正在沿著每7個月傳輸帶寬增大2倍的超摩爾定律速度發展,現在企業級接入帶寬已經達到了千兆級。快速增長的網絡帶寬為網絡威脅提供了更多的空間。
2)近年來,網絡威脅的種類越來越多,覆蓋了互聯網協議的各個層次。在鏈路層、網絡層上常見的威脅有地址欺騙、拒絕服務等,在傳輸層上除了常見的拒絕服務之外還存在端口掃描等,而在應用層上則存在病毒、木馬、信息竊聽與篡改等。
相對于網絡威脅的迅速發展,傳統網絡安全設備已經無法滿足要求。具體分析,傳統的網絡安全設備主要存在以下兩個缺點:性能低和功能單一。
傳統的防火墻一般是基于單一通用CPU或者基于網絡處理器(NP,Network?Processor)實現。采用CPU實現時,所有的安全業務都在一個CPU上完成,整體的處理能力通常低于百兆。采用NP實現需要專用的開發工具和特別的開發庫支持以及特有的編程模型,性能和穩定性都無法保障。此外,傳統的設備功能單一,需要購買多臺網絡設備才能完成接入功能,這其中包括防火墻、路由器和交換機等。
發明內容
本發明的目的在于克服上述不足,將傳統上分離實現的二層交換機(數據鏈路層交換設備),三層路由器(網絡層轉發設備)和更高層的防火墻(傳輸層,應用層接入控制設備),采用分層并行預處理、分層結果融合的方法一體化實現于單個芯片中,一方面能夠實現單次解包操作完成所有處理,極大的提高性能,可支持千兆速率接入,另一方面,基于該芯片能夠可迅速形成一體化網絡接入設備,實現單臺設備完成網絡接入功能,降低用戶成本和設備維護難度。
本發明的目的是這樣實現的:一種融合多層并行處理的網絡接入設備一體化硬件實現方法,所述方法包括合路輸入、分層預處理、分層結果融合和分路輸出四個主要處理模塊,四個模塊依次串行完成,其中,
所述合路輸入模塊將接入設備多個端口輸入的數據包進行合路,然后單路輸入至分層預處理模塊,這樣可實現所有端口輸入數據單通路處理,節省大量硬件資源;
所述分層預處理模塊首先將輸入數據包按照TCP/IP網絡五層協議模型的包結構進行解包操作,包分解后所得的各個字段按照所屬層次被對應的2層、3層、3-4層和5層預處理通道取走,實現4通道分層并行預處理,分別完成交換、路由、安全訪問控制和應用層控制功能;
所述分層結果融合模塊接收上述4通道分層并行預處理的處理結果,對所有通道的預處理結果進行融合,得出該數據包的最終處理結果——上交、拒絕、二層交換、三層轉發和四層策略轉發;
所述分路輸出模塊將輸入的數據包按照其目的輸出接口進行分路,并將該包輸出到對應的出口上。
進一步,所述分層預處理模塊包括四個并行的預處理通道,分別是數據鏈路層預處理通道(2層預處理通道),網絡層預處理通道(3層預處理通道,完成路由預處理功能),網絡層、傳輸層合并預處理通道(3-4層預處理通道,完成主要的安全過濾預處理功能)和應用層預處理通道(5層預處理通道,完成應用層過濾預處理功能)。四個通道并行實現,可實現數據包輸入后的四通道并行處理,極大地提高性能。
數據鏈路層預處理通道(2層預處理通道)完成交換機主要處理功能,查找目的MAC表決定報文出口。包括:
1)二層數據域提取。從輸入數據包中提取出數據鏈路層的頭部各個數據域,包括源MAC、目的MAC和協議類型等。
2)報文分揀。包括根據目的MAC地址判斷報文的層次(是二層交換報文還是需要三層轉發報文);根據協議類型判斷該包是協議報文(需上交CPU的協議棧),還是普通數據包(正常轉發)。
3)目的MAC查表。根據目的MAC查找該目的MAC對應的出接口。
4)查表結果判斷。包括根據查表結果判斷報文的入虛擬局域網(VirtualLocal?Area?Network,VLAN)和出VLAN是否一致;根據報文中源MAC地址和目的MAC地址所在的端口是否相同決定是否丟棄該報文。
5)出口標簽粘貼及輸出。將目的MAC查表結果的出接口以標簽形式粘貼在數據包的頭部,并輸出。
網絡層預處理通道(3層預處理通道)完成路由器主要處理功能,查找路由表決定報文出口。包括:
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于江蘇華麗網絡工程有限公司;中國人民解放軍信息工程大學,未經江蘇華麗網絡工程有限公司;中國人民解放軍信息工程大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/200810022951.3/2.html,轉載請聲明來源鉆瓜專利網。





