技術領域

本發明涉及網絡設備領域，特別是一種通過FPGA實現TAP設備硬件過濾的系統。

背景技術

以太網分路器（以下簡稱TAP設備）是一種以太網流量復制設備，該設備能夠在不中斷網絡正常流量的情況下，實時獲取網絡數據。隨著端到端網絡的可視性增長，流量必須為適應大多數監測工具而定義，因此TAP設備需要根據每個獨特的網絡環境實現對特定流量的完全可視性，避免查看多余的數據包。

TAP設備常被用來實時為安全和監測被動復制和轉發網絡流量。許多監測和分析工具的設計都是為了處理帶有特定協議、標簽或封裝的流量。因此需要根據用戶的特定需要來選擇由每個網絡側接口發送到各個監控測端口的輸入流量，這樣每個監控測端口都可以獨立、完全地自由選擇要監測的網絡流量，將需要的流量引導到監控工具中，減輕過度接收，充分利用各組的工具資源，從而在保持會話完整性的同時提高輸出能力。TAP設備一般使用過濾技術以剝離有關的數據流，這種技術可以基于硬件（ASIC、FPGA）或軟件（NPU）處理實現。

傳統TAP設備實現流量過濾一般有二種實現方式，一是通過內嵌交換機芯片實現；二是通過NPU（網絡處理器）實現。

參照圖1所示的第一種實現方式，原有鏈路的數據經過RJ接口接入TAP設備，經過繼電器、變壓器和PHY進入Switch芯片，通過配置Switch的過濾引擎參數實現過濾功能。這種方式是基于ASIC實現。但這種實現方式中，交換機芯片屬于專用集成芯片，功能固定無法靈活配置；受限于交換機芯片的緩存資源限制，實現的過濾規則數目有限，過濾內容有限；受制于交換機芯片的成本，一般只有高端交換機芯片具有過濾功能，導致系統成本增加。

參照圖2所示的第二種實現方式，原有鏈路的數據經過RJ接口接入TAP設備，經過繼電器、變壓器和PHY進入NPU，通過高速串口輸入到NPU并緩存在RAM中等待NPU的分析及過濾實現。但這種實現方式，受限于NPU的軟處理機制，轉發延遲較大，查詢匹配的效率低，無法做到實時大流量的數據處理；NPU需要的外圍配置電路多，增加了系統的復雜程度及成本。

發明內容

為解決上述問題，本發明的目的在于提供一種在FPGA中實現TAP設備硬件過濾的方法，基于硬件實現，匹配效率快，實時性強；過濾內容豐富，流量可以被如下關鍵字識別：源/目的 MAC地址、以太網類型、IP協議類型、IP地址、TCP/UDP端口，以及特殊的協議如DCCP、 MTP、 PGM、SCTP、UDP-Lite的端口；并且，通過可配置的寄存器、可配置的存儲器和可重配置的FPGA三個方面保證能靈活和快速的實現TAP硬件過濾功能。

本發明解決其問題所采用的技術方案是：

一種通過FPGA實現TAP設備硬件過濾的系統，包括網絡側端口和監控側端口，所述網絡側端口與監控側端口之間連接有包括過濾裝置的FPGA，所述過濾裝置包括：

HASH查找引擎；

數據流敏感信息提取模塊，用于從網絡側端口的輸入數據中提取敏感信息；

過濾規則添加模塊，用于通過HASH查找引擎添加下發的過濾規則；

過濾規則刪除模塊，用于通過HASH查找引擎刪除下發的過濾規則；

過濾信息匹配模塊，用于通過HASH查找引擎將敏感信息與過濾規則添加模塊和過濾規則刪除模塊處理后的過濾規則進行匹配，并輸出匹配結果；

流量過濾控制模塊，用于根據過濾信息匹配模塊的匹配結果，輸出匹配成功的數據至監控側端口。

所述數據流敏感信息提取模塊包括有提取單元，所述提取單元用于從網絡側端口的輸入數據中識別數據的關鍵字段作為敏感信息。

所述關鍵字段包括源/目的 MAC地址、以太網類型、IP協議類型、IP地址、TCP/UDP端口，以及協議DCCP、 MTP、 PGM、 SCTP、 UDP-Lite的端口。

所述HASH查找引擎包括CAMtable、CAMIntable、MANtable、FILtable查找表以及HASH計算單元，且FILtable查找表為鏈表結構，其中：

所述CAMtable表用于存儲下發的過濾規則；

所述HASH計算單元用于計算過濾規則或提取的敏感信息的HASH值；

所述FILtable表用于存儲過濾規則添加模塊所添加的過濾規則或用于從中刪除過濾規則刪除模塊需要刪除的過濾規則；

所述CAMIntable表用于存儲FILtable表的入口地址，并通過HASH計算單元計算的HASH值進行訪問；