專利名稱:基于網(wǎng)絡(luò)處理器和cpu陣列的交換架構(gòu)的安全過濾分流器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種高速網(wǎng)絡(luò)流量環(huán)境下的數(shù)據(jù)處理裝置,特別是一種基于網(wǎng)絡(luò)處理器和CPU陣列的交換架構(gòu)的安全過濾分流器�,用于網(wǎng)絡(luò)信息技術(shù)領(lǐng)域。
背景技術(shù):
近年來����,我國(guó)在寬帶骨干網(wǎng)絡(luò)方面的發(fā)展較快���,目前大部分區(qū)域骨干網(wǎng)的帶寬達(dá)到2.5G�,部分骨干網(wǎng)的帶寬達(dá)到10G甚至40G����。從過去近10年互聯(lián)網(wǎng)的發(fā)展來看,處理器的速度每18個(gè)月翻一番�,但互聯(lián)網(wǎng)骨干連接的帶寬每12個(gè)月就要翻一番?����?梢姡绾位诂F(xiàn)有處理器性能達(dá)到寬帶網(wǎng)絡(luò)的高速數(shù)據(jù)處理需求是保障網(wǎng)絡(luò)服務(wù)質(zhì)量的關(guān)鍵�����。負(fù)載均衡和數(shù)據(jù)分流技術(shù)是當(dāng)前提高網(wǎng)絡(luò)數(shù)據(jù)處理性能的一種解決方案����,許多安全產(chǎn)品都借助這些技術(shù)來擴(kuò)展服務(wù)器帶寬和增加吞吐量。根據(jù)實(shí)現(xiàn)原理的不同��,負(fù)載均衡和數(shù)據(jù)分流設(shè)備主要包括以下類型1.采用通用CPU(中央處理單元��,或中央處理器或微處理器)配合軟件的技術(shù)方案實(shí)現(xiàn)����。這種基于X86單機(jī)和網(wǎng)卡的架構(gòu)實(shí)現(xiàn),由于受到CPU處理能力和PCI總線速度的制約���,已經(jīng)難以滿足千兆以上骨干網(wǎng)絡(luò)的高速數(shù)據(jù)處理需求��。
2.采用ASIC(專用集成電路)實(shí)現(xiàn)��。在高速數(shù)據(jù)處理方面����,雖然ASIC仍是當(dāng)前網(wǎng)絡(luò)設(shè)備的主流處理核心技術(shù),它通過把指令或計(jì)算邏輯固化到硬件中以實(shí)現(xiàn)很高的處理速度�����,從而很好滿足了網(wǎng)絡(luò)設(shè)備對(duì)性能的要求����,但ASIC缺乏靈活性,研制周期長(zhǎng)����,研發(fā)費(fèi)用高,前期投入風(fēng)險(xiǎn)高���,特別是在數(shù)據(jù)“智能化處理”和對(duì)用戶定制化服務(wù)方面有缺陷,成為限制其進(jìn)一步發(fā)展的主要因素��。
目前通常是將分發(fā)各種服務(wù)請(qǐng)求所需要的處理時(shí)間作為衡量負(fù)載均衡和數(shù)據(jù)分流設(shè)備的重要性能指標(biāo)�,而不關(guān)心這些請(qǐng)求數(shù)據(jù)包對(duì)后端處理器的安全性和有效性,事實(shí)上很多設(shè)備把大量的攻擊包和無(wú)效數(shù)據(jù)包也都一并轉(zhuǎn)發(fā)給了后端應(yīng)用系統(tǒng)���,這使得后端應(yīng)用和安全系統(tǒng)不得不面對(duì)較大的數(shù)據(jù)處理負(fù)擔(dān)和安全威脅���。
經(jīng)對(duì)現(xiàn)有技術(shù)文獻(xiàn)的檢索發(fā)現(xiàn)����,朱奮起等人在《計(jì)算機(jī)應(yīng)用研究》2004年vol.21��,No.5��,p.149-151上發(fā)表“基于數(shù)據(jù)分流實(shí)現(xiàn)高速網(wǎng)入侵檢測(cè)的研究與實(shí)踐”中��,提出一種數(shù)據(jù)分流的方法�,將捕獲的網(wǎng)絡(luò)數(shù)據(jù)按某種規(guī)則分流轉(zhuǎn)發(fā)至多臺(tái)檢測(cè)設(shè)備進(jìn)行處理,以達(dá)到提高整個(gè)系統(tǒng)的檢測(cè)性能����,解決高速網(wǎng)絡(luò)下網(wǎng)絡(luò)入侵檢測(cè)設(shè)備因性能缺陷而帶來的丟包問題。但該文提出的分流設(shè)備采用普通PC機(jī)作為前端機(jī)���,使用千兆網(wǎng)卡獲取網(wǎng)絡(luò)數(shù)據(jù)�,是典型的“單機(jī)+網(wǎng)卡”的結(jié)構(gòu)��,僅適用于千兆網(wǎng)絡(luò)環(huán)境��,根本無(wú)法滿足10G高流量網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)處理要求�����。由此可見,在網(wǎng)絡(luò)帶寬和安全威脅不斷增加的情況下�,對(duì)網(wǎng)絡(luò)設(shè)備在數(shù)據(jù)轉(zhuǎn)發(fā)處理上的實(shí)時(shí)性、安全性和有效性等方面都提出了更高的要求�,而現(xiàn)有的技術(shù)和產(chǎn)品還無(wú)法滿足寬帶網(wǎng)絡(luò)對(duì)海量數(shù)據(jù)處理提出的較高實(shí)時(shí)性和可靠性的要求。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有數(shù)據(jù)分流系統(tǒng)在寬帶網(wǎng)絡(luò)環(huán)境中存在的缺陷�,提出一種基于網(wǎng)絡(luò)處理器和CPU陣列的交換架構(gòu)的安全過濾分流器。使其針對(duì)10G以上寬帶網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)處理需求��,根據(jù)網(wǎng)絡(luò)處理器和通用CPU處理器在海量數(shù)據(jù)處理上的特性����,將對(duì)網(wǎng)絡(luò)數(shù)據(jù)的過濾分流處理工作進(jìn)行合理分解,對(duì)請(qǐng)求數(shù)據(jù)包在不同的處理器上進(jìn)行分層次的數(shù)據(jù)轉(zhuǎn)發(fā)處理和安全審查�,使二種處理器能夠充分地發(fā)揮各自的優(yōu)勢(shì),并采用數(shù)據(jù)分流策略制定與數(shù)據(jù)轉(zhuǎn)發(fā)相分離的架構(gòu)�,從而減輕了安全過濾分流器的核心處理單元的工作負(fù)擔(dān),在寬帶網(wǎng)絡(luò)環(huán)境下能夠達(dá)到安全高效的數(shù)據(jù)過濾分流處理性能���,能夠?yàn)楦鞣N寬帶網(wǎng)絡(luò)應(yīng)用提供較高的數(shù)據(jù)接入質(zhì)量。
本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的�����,本發(fā)明由接入單元、主控單元����、安全審查單元、交換輸出單元組成�����,接入單元與主控單元互連�,主控單元與交換輸出單元互連,安全審查單元與主控單元互連�����。
接入單元由10G(千兆位)光電信號(hào)轉(zhuǎn)換模塊�,2.5G POS光電信號(hào)轉(zhuǎn)換模塊和成幀芯片組成,10G光電信號(hào)轉(zhuǎn)換模塊和光電信號(hào)轉(zhuǎn)換模塊不能同時(shí)使用���,兩種模塊通過SFI(并串/串并轉(zhuǎn)換器和成幀芯片接口)和成幀芯片連接��,成幀芯片通過高速SPI-4.2(系統(tǒng)包接口4.2類型)接口與主控單元連接�����;所述10G光電信號(hào)轉(zhuǎn)換模塊可兼容10G POS(基于同步數(shù)位階層光纖網(wǎng)絡(luò)的數(shù)據(jù)包)��、10G LAN(局域網(wǎng))���、WAN(廣域網(wǎng)絡(luò))�����。
接入單元對(duì)來自網(wǎng)絡(luò)中各種類型的數(shù)據(jù)流進(jìn)行光電轉(zhuǎn)換�����、串/并轉(zhuǎn)換�����,幀處理��,按照PPP/HDLC Over SONET/SDH(基于同步光網(wǎng)絡(luò)協(xié)議/同步數(shù)位階層光纖網(wǎng)絡(luò)的點(diǎn)到點(diǎn)/高級(jí)數(shù)據(jù)鏈路控制)協(xié)議規(guī)范從SONET/SDH(同步光網(wǎng)絡(luò)協(xié)議/同步數(shù)位階層光纖網(wǎng)絡(luò))將數(shù)據(jù)流還原為PPP(點(diǎn)到點(diǎn)協(xié)議)數(shù)據(jù)包�����,然后通過高速SPI-4.2接口傳遞給主控單元處理�。
主控單元由網(wǎng)絡(luò)處理器單元和4路千兆物理接口組成����,網(wǎng)絡(luò)處理器單元包括幀頭信息處理模塊、分類查找處理模塊�����、轉(zhuǎn)發(fā)決策處理模塊���;幀頭信息處理模塊通過SPI-4.2接口與接入單元相連���,分類查找處理模塊與幀頭信息處理模塊相連,轉(zhuǎn)發(fā)決策處理模塊與分類查找處理模塊相連��,轉(zhuǎn)發(fā)決策處理模塊通過GMII(千兆位媒體獨(dú)立接口)與安全審查單元相連�,轉(zhuǎn)發(fā)決策處理模塊通過XAUI(附件單元接口)與交換輸出單元相連。
主控單元是本發(fā)明的核心處理單元�����,主要負(fù)責(zé)對(duì)接入單元接收并處理過的數(shù)據(jù)包進(jìn)行粗過濾(通過預(yù)先設(shè)置粗粒度數(shù)據(jù)包內(nèi)容檢查規(guī)則)和數(shù)據(jù)分流策略的判定�����。
所述幀頭信息處理模塊按照標(biāo)準(zhǔn)協(xié)議規(guī)范檢驗(yàn)接入單元發(fā)送過來的數(shù)據(jù)包的完整性并處理基本的協(xié)議連接���;分類查找處理模塊按照預(yù)先設(shè)置的過濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行七層線速匹配�,過濾項(xiàng)主要依據(jù)七層協(xié)議的頭信息進(jìn)行過濾,屬于粗粒度過濾����,主要的過濾項(xiàng)包括規(guī)則號(hào)、源MAC地址�����、目的MAC地址��、源IP地址����、源IP掩碼、目的IP地址����、目的IP掩碼、源端口號(hào)�、目的端口號(hào)、URL地址���、相應(yīng)過濾操作�,其中“相應(yīng)過濾操作”選項(xiàng)中包括細(xì)粒度處理、丟棄�����、轉(zhuǎn)發(fā)三種選擇����,分類查找處理模塊根據(jù)規(guī)則匹配結(jié)果�����,過濾掉標(biāo)簽為“丟棄”的非法數(shù)據(jù)包和異常數(shù)據(jù)包�,將需要進(jìn)一步細(xì)粒度處理的數(shù)據(jù)包和直接轉(zhuǎn)發(fā)數(shù)據(jù)包分別打上“細(xì)粒度處理”標(biāo)簽和“轉(zhuǎn)發(fā)處理”標(biāo)簽,發(fā)送到轉(zhuǎn)發(fā)決策處理模塊��;轉(zhuǎn)發(fā)決策處理模塊將標(biāo)簽為“細(xì)粒度處理”的數(shù)據(jù)包通過內(nèi)置的千兆口轉(zhuǎn)發(fā)到安全審查單元��,將標(biāo)簽為“轉(zhuǎn)發(fā)處理”的數(shù)據(jù)包按通用負(fù)載均衡算法��,如最小響應(yīng)時(shí)間法�,最小連接法進(jìn)行分發(fā)策略的計(jì)算,要保證所有的數(shù)據(jù)在任意一條鏈路上保持其TCP完整連接�����,轉(zhuǎn)發(fā)決策處理模塊將計(jì)算得到的分發(fā)策略通過SPI-4.2接口發(fā)送到交換輸出單元。
安全審查單元由4個(gè)帶千兆電口接口的標(biāo)準(zhǔn)CPU處理模塊組成���,所述4個(gè)CPU處理模塊采用并行處理的工作模式�����,實(shí)現(xiàn)對(duì)數(shù)據(jù)包內(nèi)容的細(xì)粒度檢查����,大大提高了系統(tǒng)對(duì)數(shù)據(jù)包進(jìn)行細(xì)粒度檢查的處理效率����。細(xì)粒度檢查主要是針對(duì)不同種類應(yīng)用的審查需要,根據(jù)應(yīng)用層協(xié)議規(guī)范中的定義��,通過設(shè)置要匹配內(nèi)容的字段偏移量����、字段長(zhǎng)度、字段內(nèi)容以及過濾操作��,利用關(guān)鍵字匹配的方法對(duì)數(shù)據(jù)包進(jìn)行內(nèi)容審查����。安全審查單元具有基于會(huì)話的數(shù)據(jù)包內(nèi)容審查功能����,將從一個(gè)會(huì)話中的多個(gè)數(shù)據(jù)包提取出的信息進(jìn)行拼接�����,再進(jìn)行內(nèi)容匹配���,可以發(fā)現(xiàn)分散在多個(gè)數(shù)據(jù)包中的異常情況。安全審查單元將檢查結(jié)果反饋給主控單元�����,主控單元根據(jù)細(xì)粒度過濾結(jié)果為該數(shù)據(jù)包制定分流策略�����,并將制定好的數(shù)據(jù)分流策略下發(fā)給交換輸出單元執(zhí)行具體的數(shù)據(jù)轉(zhuǎn)發(fā)操作��。
交換輸出單元主要由千兆交換主控模塊����、千兆電口接口模塊、千兆光口接口模塊組成�,交換輸出單元共8個(gè)千兆電口和4個(gè)千兆光口�����,千兆交換主控模塊通過GMII(千兆位媒體獨(dú)立接口)接口分別與千兆電口接口模塊和千兆光口接口模塊相連�,交換輸出單元根據(jù)主控單元制定的分發(fā)策略完成數(shù)據(jù)轉(zhuǎn)發(fā)操作�。
對(duì)局域網(wǎng)內(nèi)的服務(wù)請(qǐng)求的轉(zhuǎn)發(fā)處理,為了緩解主控單元的處理負(fù)擔(dān)��,主控單元僅對(duì)每個(gè)會(huì)話的第一個(gè)數(shù)據(jù)包進(jìn)行數(shù)據(jù)分流策略的判定��,對(duì)于屬于同一個(gè)會(huì)話的后續(xù)數(shù)據(jù)包由交換輸出單元根據(jù)主控單元制定并下發(fā)的轉(zhuǎn)發(fā)策略執(zhí)行具體的策略判斷與數(shù)據(jù)轉(zhuǎn)發(fā)處理操作�。
本發(fā)明具有實(shí)質(zhì)性特點(diǎn)和顯著進(jìn)步(1)采用多級(jí)架構(gòu)設(shè)計(jì),將海量數(shù)據(jù)處理任務(wù)合理拆解��,分配到不同的處理單元負(fù)責(zé)���,緩解了核心的數(shù)據(jù)分流處理單元的工作壓力����,提高了系統(tǒng)整體的處理性能�����;(2)采用高性能的網(wǎng)絡(luò)處理器技術(shù)實(shí)現(xiàn)數(shù)據(jù)分流處理,支持萬(wàn)兆的數(shù)據(jù)處理性能��;(3)采用交換架構(gòu)的設(shè)計(jì)����,使局域網(wǎng)內(nèi)的服務(wù)請(qǐng)求的數(shù)據(jù)分流策略的制定與數(shù)據(jù)轉(zhuǎn)發(fā)的具體實(shí)施相分離,提高了系統(tǒng)核心處理單元的工作效率�;(4)利用通用CPU陣列進(jìn)行數(shù)據(jù)包內(nèi)容的細(xì)粒度過濾,提高了所述安全過濾分流器在應(yīng)用層的安全處理性能�,使網(wǎng)絡(luò)處理器能夠更好的發(fā)揮其在網(wǎng)絡(luò)層以下的包處理優(yōu)勢(shì),深入的應(yīng)用層數(shù)據(jù)分析提高了數(shù)據(jù)轉(zhuǎn)發(fā)策略的安全性和有效性����。
本發(fā)明提出的安全過濾分流器能夠?qū)崿F(xiàn)對(duì)2.5G�、10G高流量背景下網(wǎng)絡(luò)數(shù)據(jù)的線速無(wú)遺漏的獲取,充分利用網(wǎng)絡(luò)處理器技術(shù)結(jié)合通用處理器技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)包的七層線速預(yù)處理和智能的內(nèi)容安全過濾�����,有效的解決了高速網(wǎng)絡(luò)環(huán)境下對(duì)海量數(shù)據(jù)進(jìn)行集群處理在實(shí)時(shí)性和安全性上的需求��,適用于高速骨干網(wǎng)上的網(wǎng)絡(luò)監(jiān)測(cè)�、入侵檢測(cè)、流量統(tǒng)計(jì)�����、內(nèi)容審計(jì)等多種安全應(yīng)用的實(shí)施。
圖1本發(fā)明結(jié)構(gòu)框2接入單元組成結(jié)構(gòu)框3主控單元組成結(jié)構(gòu)框4安全審查單元組成結(jié)構(gòu)框5交換輸出單元組成結(jié)構(gòu)框圖具體實(shí)施方式
如圖1所示�����,所述系統(tǒng)采用多路輸入輸出接口結(jié)構(gòu)設(shè)計(jì)����,接入單元1包括2.5GPOS接口,10G POS接口和千兆接口��,接入單元1與主控單元2之間通過SPI(系統(tǒng)包接口)總線互連��,SPI總線的帶寬資源為10G�,主控單元2與安全審查單元3之間通過PCI(外部設(shè)備接口)總線進(jìn)行數(shù)據(jù)通信,PCI總線的帶寬資源為1000MBps��,主控單元2與交換輸出單元4之間通過SPI(系統(tǒng)包接口)總線互連���,SPI總線的帶寬資源為10G����。
如圖2所示�,接入單元由10G光電信號(hào)轉(zhuǎn)換模塊,2.5G POS光電信號(hào)轉(zhuǎn)換模塊CP-3395和成幀芯片IXF19301組成,10G光電信號(hào)轉(zhuǎn)換模塊和2.5G轉(zhuǎn)換模塊不能同時(shí)使用�����,兩種模塊通過SFI接口和成幀芯片連接��,成幀芯片通過高速SPI-4.2接口與主控單元連接����;所述10G光電信號(hào)轉(zhuǎn)換模塊可兼容10G POS(基于同步數(shù)位階層光纖網(wǎng)絡(luò)的數(shù)據(jù)包)、10G LAN(局域網(wǎng))���、WAN(廣域網(wǎng)絡(luò))�。
如圖3所示���,主控單元由網(wǎng)絡(luò)處理器單元NP-1322和4路千兆物理接口c8304組成�,網(wǎng)絡(luò)處理器單元包括幀頭信息處理模塊��、分類查找處理模塊�、轉(zhuǎn)發(fā)決策處理模塊�;幀頭信息處理模塊通過SPI-4.2接口與接入單元相連,分類查找處理模塊與幀頭信息處理模塊相連�,轉(zhuǎn)發(fā)決策處理模塊與分類查找處理模塊相連,轉(zhuǎn)發(fā)決策處理模塊通過GMII(千兆位媒體獨(dú)立接口)與安全審查單元相連,轉(zhuǎn)發(fā)決策處理模塊通過XAUI(附件單元接口)與交換輸出單元相連����。主控單元是所述安全過濾分流器的核心處理單元,主要負(fù)責(zé)對(duì)接入單元接收并處理過的數(shù)據(jù)包進(jìn)行粗過濾(通過預(yù)先設(shè)置粗粒度數(shù)據(jù)包內(nèi)容檢查規(guī)則)和數(shù)據(jù)分流策略的判定����。主控單元采用網(wǎng)絡(luò)處理器實(shí)現(xiàn),由于網(wǎng)絡(luò)處理器具有可編程的特性���,因此可以根據(jù)實(shí)際應(yīng)用的需要靈活選擇適用的負(fù)載均衡算法�。
如圖4所示�,安全審查單元由4個(gè)帶千兆電口接口的標(biāo)準(zhǔn)CPU處理模塊組成,所述4個(gè)CPU處理模塊采用并行處理的工作模式��,實(shí)現(xiàn)對(duì)數(shù)據(jù)包內(nèi)容的細(xì)粒度檢查�。雖然網(wǎng)絡(luò)處理器與通用處理器相比在數(shù)據(jù)處理上具有明顯的優(yōu)勢(shì),但是網(wǎng)絡(luò)處理器的優(yōu)勢(shì)主要在于網(wǎng)絡(luò)層以下的包處理上�����,由于對(duì)數(shù)據(jù)包進(jìn)行應(yīng)用層的細(xì)粒度過濾具有一定的復(fù)雜性����,若是采用網(wǎng)絡(luò)處理器進(jìn)行應(yīng)用層的內(nèi)容處理則會(huì)導(dǎo)致網(wǎng)絡(luò)處理器性能的下降�����,因此安全審查單元采用通用CPU處理器實(shí)現(xiàn)����。
如圖5所示���,交換輸出單元主要由千兆交換主控模塊����、千兆電口接口模塊���、千兆光口接口模塊組成����,交換輸出單元共8個(gè)千兆電口和4個(gè)千兆光口���,千兆交換主控模塊通過GMII接口分別與千兆電口接口模塊和千兆光口接口模塊相連��,交換輸出單元根據(jù)主控單元制定的分發(fā)策略完成數(shù)據(jù)轉(zhuǎn)發(fā)操作。
本發(fā)明的主要工作流程如下由接入單元1對(duì)來自網(wǎng)絡(luò)中的各種類型的數(shù)據(jù)流進(jìn)行光電轉(zhuǎn)換�、串/并轉(zhuǎn)換���,幀處理,數(shù)據(jù)流按照PPP/HDLC Over SONET/SDH規(guī)范從SONET/SDH數(shù)據(jù)流還原為PPP數(shù)據(jù)包�����,然后通過高速接口傳遞給主控單元2�����;主控單元2按照標(biāo)準(zhǔn)協(xié)議規(guī)范檢驗(yàn)接入單元發(fā)送過來的數(shù)據(jù)包的完整性�,然后,按照預(yù)先設(shè)置的過濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行七層線速過濾�,過濾掉非法數(shù)據(jù)包和異常數(shù)據(jù)包;主控單元2把需要進(jìn)行深度內(nèi)容檢查的數(shù)據(jù)包提交給安全審查單元作進(jìn)一步的細(xì)粒度的內(nèi)容分析����,對(duì)于不需要進(jìn)行細(xì)粒度內(nèi)容審查的數(shù)據(jù)包,有主控單元2根據(jù)負(fù)載均衡算法運(yùn)算得出該數(shù)據(jù)包的分流策略��,并將制定好的數(shù)據(jù)分流策略下發(fā)給交換輸出單元4執(zhí)行具體的數(shù)據(jù)轉(zhuǎn)發(fā)操作�����;安全審查單元3按照細(xì)粒度過濾規(guī)則對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行深入過濾���,將過濾結(jié)果反饋給主控單元2�����,主控單元2根據(jù)細(xì)粒度過濾結(jié)果為該數(shù)據(jù)包制定分流策略���,并將制定好的數(shù)據(jù)分流策略下發(fā)給交換輸出單元4執(zhí)行具體的數(shù)據(jù)轉(zhuǎn)發(fā)操作����;對(duì)局域網(wǎng)內(nèi)的服務(wù)請(qǐng)求的轉(zhuǎn)發(fā)處理��,由交換輸出單元4通過檢驗(yàn)數(shù)據(jù)包頭中“SYN”字段的值來判斷該的數(shù)據(jù)包是否為新建立會(huì)話的第一個(gè)報(bào)文段��,將新建立的會(huì)話的第一個(gè)數(shù)據(jù)包發(fā)送給主控單元2進(jìn)行新會(huì)話的分流策略判定����。主控單元2僅對(duì)每個(gè)會(huì)話的第一個(gè)數(shù)據(jù)包進(jìn)行數(shù)據(jù)分流策略的判定,由交換輸出單元4通過檢驗(yàn)數(shù)據(jù)包結(jié)束標(biāo)志“FIN”的值來判斷當(dāng)前的會(huì)話是否結(jié)束���,對(duì)于屬于同一個(gè)會(huì)話的后續(xù)數(shù)據(jù)包由交換輸出單元4根據(jù)主控單元2制定并下發(fā)的數(shù)據(jù)分流策略執(zhí)行具體的策略判斷與數(shù)據(jù)轉(zhuǎn)發(fā)處理操作�����。
權(quán)利要求
1.一種基于網(wǎng)絡(luò)處理器和CPU陣列的交換架構(gòu)的安全過濾分流器�,由接入單元����、主控單元、安全審查單元�、交換輸出單元組成,其特征在于�,接入單元與主控單元互連,主控單元與交換輸出單元互連���,安全審查單元與主控單元互連���,其中所述的接入單元由10G光電信號(hào)轉(zhuǎn)換模塊,2.5G POS光電信號(hào)轉(zhuǎn)換模塊和成幀芯片組成��,10G光電信號(hào)轉(zhuǎn)換模塊和光電信號(hào)轉(zhuǎn)換模塊通過SFI和成幀芯片連接��,成幀芯片通過高速SPI-4.2接口與主控單元連接���;所述的主控單元由網(wǎng)絡(luò)處理器單元和4路千兆物理接口組成�����,網(wǎng)絡(luò)處理器單元包括幀頭信息處理模塊�、分類查找處理模塊、轉(zhuǎn)發(fā)決策處理模塊�����,幀頭信息處理模塊通過SPI-4.2接口與接入單元相連�����,分類查找處理模塊與幀頭信息處理模塊相連�,轉(zhuǎn)發(fā)決策處理模塊與分類查找處理模塊相連,轉(zhuǎn)發(fā)決策處理模塊通過GMII與安全審查單元相連�����,轉(zhuǎn)發(fā)決策處理模塊通過XAUI與交換輸出單元相連��;所述的安全審查單元由4個(gè)帶千兆電口接口的標(biāo)準(zhǔn)CPU處理模塊組成��,安全審查單元將檢查結(jié)果反饋給主控單元�����,主控單元根據(jù)細(xì)粒度過濾結(jié)果為該數(shù)據(jù)包制定分流策略���,并將制定好的數(shù)據(jù)分流策略下發(fā)給交換輸出單元執(zhí)行具體的數(shù)據(jù)轉(zhuǎn)發(fā)操作����;所述的交換輸出單元由千兆交換主控模塊、千兆電口接口模塊��、千兆光口接口模塊組成����,交換輸出單元共8個(gè)千兆電口和4個(gè)千兆光口�,千兆交換主控模塊通過GMII接口分別與千兆電口接口模塊和千兆光口接口模塊相連。
2.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)處理器和CPU陣列的交換架構(gòu)的安全過濾分流器���,其特征是��,所述的10G光電信號(hào)轉(zhuǎn)換模塊����,其兼容10G POS��、10G LAN����、WAN。
3.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)處理器和CPU陣列的交換架構(gòu)的安全過濾分流器,其特征是�,所述的接入單元,對(duì)來自網(wǎng)絡(luò)中各種類型的數(shù)據(jù)流進(jìn)行光電轉(zhuǎn)換�����、串/并轉(zhuǎn)換�����,幀處理�,按照PPP/HDLC Over SONET/SDH協(xié)議規(guī)范從SONET/SDH將數(shù)據(jù)流還原為PPP數(shù)據(jù)包,然后通過高速SPI-4.2接口傳遞給主控單元處理��。
4.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)處理器和CPU陣列的交換架構(gòu)的安全過濾分流器��,其特征是����,所述的主控單元,主要負(fù)責(zé)對(duì)接入單元接收并處理過的數(shù)據(jù)包進(jìn)行粗過濾和數(shù)據(jù)分流策略的判定�。
5.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)處理器和CPU陣列的交換架構(gòu)的安全過濾分流器,其特征是���,所述的幀頭信息處理模塊����,按照標(biāo)準(zhǔn)協(xié)議規(guī)范檢驗(yàn)接入單元發(fā)送過來的數(shù)據(jù)包的完整性并處理基本的協(xié)議連接。
6.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)處理器和CPU陣列的交換架構(gòu)的安全過濾分流器��,其特征是���,所述的分類查找處理模塊�,按照預(yù)先設(shè)置的過濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行七層線速匹配��,過濾項(xiàng)主要依據(jù)七層協(xié)議的頭信息進(jìn)行過濾���,屬于粗粒度過濾,主要的過濾項(xiàng)包括規(guī)則號(hào)�����、源MAC地址��、目的MAC地址��、源IP地址��、源IP掩碼���、目的IP地址�、目的IP掩碼、源端口號(hào)����、目的端口號(hào)、URL地址�、相應(yīng)過濾操作,其中“相應(yīng)過濾操作”選項(xiàng)中包括細(xì)粒度處理�����、丟棄��、轉(zhuǎn)發(fā)三種選擇���,分類查找處理模塊根據(jù)規(guī)則匹配結(jié)果�����,過濾掉標(biāo)簽為“丟棄”的非法數(shù)據(jù)包和異常數(shù)據(jù)包����,將需要進(jìn)一步細(xì)粒度處理的數(shù)據(jù)包和直接轉(zhuǎn)發(fā)數(shù)據(jù)包分別打上“細(xì)粒度處理”標(biāo)簽和“轉(zhuǎn)發(fā)處理”標(biāo)簽�,發(fā)送到轉(zhuǎn)發(fā)決策處理模塊���。
7.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)處理器和CPU陣列的交換架構(gòu)的安全過濾分流器,其特征是��,所述的轉(zhuǎn)發(fā)決策處理模塊�,將標(biāo)簽為“細(xì)粒度處理”的數(shù)據(jù)包通過內(nèi)置的千兆口轉(zhuǎn)發(fā)到安全審查單元,將標(biāo)簽為“轉(zhuǎn)發(fā)處理”的數(shù)據(jù)包按通用負(fù)載均衡算法進(jìn)行分發(fā)策略的計(jì)算��,保證所有的數(shù)據(jù)在任意一條鏈路上保持其TCP完整連接��,轉(zhuǎn)發(fā)決策處理模塊將計(jì)算得到的分發(fā)策略通過SPI-4.2接口發(fā)送到交換輸出單元����。
8.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)處理器和CPU陣列的交換架構(gòu)的安全過濾分流器,其特征是����,所述的4個(gè)標(biāo)準(zhǔn)CPU處理模塊����,采用并行處理的工作模式,實(shí)現(xiàn)對(duì)數(shù)據(jù)包內(nèi)容的細(xì)粒度檢查����,細(xì)粒度檢查主要是針對(duì)應(yīng)用的審查需要�����,根據(jù)應(yīng)用層協(xié)議規(guī)范中的定義�����,通過設(shè)置要匹配內(nèi)容的字段偏移量����、字段長(zhǎng)度�、字段內(nèi)容以及過濾操作,利用關(guān)鍵字匹配的方法對(duì)數(shù)據(jù)包進(jìn)行內(nèi)容審查���,安全審查單元基于會(huì)話的數(shù)據(jù)包內(nèi)容審查���,將從一個(gè)會(huì)話中的多個(gè)數(shù)據(jù)包提取出的信息進(jìn)行拼接,再進(jìn)行內(nèi)容匹配���,發(fā)現(xiàn)分散在多個(gè)數(shù)據(jù)包中的情況�。
全文摘要
一種基于網(wǎng)絡(luò)處理器和CPU陣列的交換架構(gòu)的安全過濾分流器����,由接入單元��、主控單元����、安全審查單元����、交換輸出單元組成,接入單元與主控單元互連����,主控單元與交換輸出單元互連,安全審查單元與主控單元互連��,其中�,接入單元由10G光電信號(hào)轉(zhuǎn)換模塊,2.5G POS光電信號(hào)轉(zhuǎn)換模塊和成幀芯片組成���,主控單元由網(wǎng)絡(luò)處理器單元和4路千兆物理接口組成,安全審查單元由4個(gè)帶千兆電口接口的標(biāo)準(zhǔn)CPU處理模塊組成�����;交換輸出單元由千兆交換主控模塊�、千兆電口接口模塊���、千兆光口接口模塊組成,安全審查單元將檢查結(jié)果反饋給主控單元��,主控單元根據(jù)細(xì)粒度過濾結(jié)果為該數(shù)據(jù)包制定分流策略���,并將制定好的數(shù)據(jù)分流策略下發(fā)給交換輸出單元執(zhí)行具體的數(shù)據(jù)轉(zhuǎn)發(fā)操作��。
文檔編號(hào)H04L12/24GK1610335SQ200410084539
公開日2005年4月27日 申請(qǐng)日期2004年11月25日 優(yōu)先權(quán)日2004年11月25日
發(fā)明者張世永, 嚴(yán)明, 郭巍 申請(qǐng)人:上海復(fù)旦光華信息科技股份有限公司