CN100373867C - 网络隔离与信息交换模块的大规模并行处理装置及方法 - Google Patents
网络隔离与信息交换模块的大规模并行处理装置及方法 Download PDFInfo
- Publication number
- CN100373867C CN100373867C CNB2005100017287A CN200510001728A CN100373867C CN 100373867 C CN100373867 C CN 100373867C CN B2005100017287 A CNB2005100017287 A CN B2005100017287A CN 200510001728 A CN200510001728 A CN 200510001728A CN 100373867 C CN100373867 C CN 100373867C
- Authority
- CN
- China
- Prior art keywords
- module
- packet
- information exchange
- outer net
- task
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于多个低速网络隔离与信息交换模块构建千兆级高速网络隔离与信息交换系统的大规模并行处理装置,包括:多个低速网络隔离与信息交换模块,内网数据调度处理模块,外网数据调度处理模块,以及审计配置模块;其中内网数据调度处理模块与内网侧和外网数据调度处理模块与外网侧分别采用千兆以太网连接,每个低速网络隔离与信息交换模块和内网数据调度处理模块或外网数据调度处理模块之间分别采用百兆快速以太网连接。该装置以现有低速网络隔离与信息交换模块为基础,采用大规模并行处理技术,实现了面向千兆级高速网络的安全隔离和数据交换;并在数据调度处理模块中使用负载均衡算法,增强系统处理能力,提高信息交换速率。
Description
技术领域
本发明涉及一种多个低速网络隔离与信息交换模块的大规模并行处理装置及方法,用于实现千兆级网络的安全隔离和高速信息交换,属于计算机网络信息安全技术领域。
背景技术
计算机技术的不断进步,使得处理器速度不断提高、性能不断增强。但是,受电子元件自身特性和微电子器件制造工艺等诸多因素的限制,仅仅依赖提升处理器速度来实现处理能力的大幅提高,以满足对处理器处理能力不断增长的需求是不现实的。因此,人们开发和使用计算机并行处理技术,这是一种切实提高系统整体性能、实现单一处理器难以达到处理能力的有效途径。
并行处理是指采用多个处理器的计算机或服务器能够同时执行多个任务或多条指令,或同时对多个数据项进行处理;其主要优点是具有较强处理能力和较好性价比。大规模并行处理(MPP,Massively Parallel Processing)技术是一种无共享模式的并行处理结构,在这种结构下,系统是由一组互相连接的多个独立处理模块的集合组成,各个独立处理单元之间为松耦合的关系,每个处理单元具有独立的内存、I/O以及操作系统的副本等。
计算机网络应用的迅速增长,桌面网络性能的提高,对服务器与主干网络的要求也水涨船高,并且是在更高层次上。对于10Mb/s桌面连接,使用100Mb/s主干网与服务器连接是合适的。由于百兆快速以太网技术已经在局域网中广泛部署,使桌面连接从10Mb/s迁移到100Mb/s,主干网与服务器的需求也有类似的增长,于是,千兆以太网技术的出现满足了人们对网络容量不断膨胀的需求。
近年来,我国信息化建设的步伐不断加快,政府部门网上办公、资源共享发展迅速,电子政务网络建设逐步完善。由于政府部门担负着国家事务的管理重任,信息资源涉及国家机密信息,因此,网络信息安全问题始终是政府办公网络化、信息化发展的主要制约因素。目前,政府机关、工商税务、公安、军队等部门的电子政务网络普遍采用网络隔离与信息交换设备实现内网与外网间的安全隔离和数据交换。
网络隔离与信息交换技术是在保证网络安全隔离的基础上,采用非公共协议、数据格式剥离和数据流控制等方法,实现内部受保护网络(简称内网)与外部公共网络(简称外网)间安全可控的数据交换。网络隔离与信息交换技术隔断内外网络之间的连接,防止通过网络连接从安全等级低的网络侵入安全等级高的网络,也可杜绝安全等级高的网络通过网络连接向安全等级低的网络泄漏信息,实现网络的信息安全。
目前,现有的网络隔离与信息交换设备大多是面向传统电子政务网络设计开发的,基本能够满足百兆级网络的要求。但是,随着用户网络带宽的快速增长,现有网络隔离与信息交换设备已经逐渐成为影响网络性能的主要因素。而且,现在采用单一处理器架构的网络隔离设备,其处理能力还远远不能达到千兆级网络设备的要求,难以适应网络从百兆快速以太网向千兆以太网发展的要求。因此,宽带电子政务网络的发展,迫切需要能够支持千兆级网络隔离与信息交换的新型网络隔离装置和实现方法。
发明内容
有鉴于此,本发明的目的是提供一种多个低速网络隔离与信息交换模块的大规模并行处理装置及方法,该装置和方法较好地解决了现有网络安全隔离与信息交换设备无法支持千兆级网络的问题。本发明以现有低速网络隔离与信息交换模块为基础,采用大规模并行处理技术,实现了面向千兆级高速网络的安全隔离和数据交换;并在数据调度处理模块中使用负载均衡算法,增强系统处理能力,提高信息交换速率,是一种简单、实用的实现千兆级网络安全隔离和高速信息交换的技术措施。
为了达到上述目的,本发明提供了一种多个低速网络隔离与信息交换模块的大规模并行处理装置,包括有:多个低速网络隔离与信息交换模块;其特征在于:该装置还包括有:
内网数据调度处理模块,用于将内网用户对外网的访问请求分发到各个低速网络隔离与信息交换模块进行处理,并将访问应答消息返回给用户;对审计配置模块进行配置和维护;
外网数据调度处理模块,用于收集各个低速网络隔离与信息交换模块处理的消息,将其转发到外网;并将接收到的外网返回信息回送给相应的处理该任务的低速网络隔离与信息交换模块;
审计配置模块,用于维护和管理整个装置的运行配置信息,审计装置日志,存储和维护每个低速网络隔离与信息交换模块的审计信息,并通过内网数据调度处理模块统一管理和更新各个低速网络隔离与信息交换模块的配置信息;
所述内网数据调度处理模块与内网侧和外网数据调度处理模块与外网侧分别连接千兆以太网,所述低速网络隔离与信息交换模块和内网数据调度处理模块或外网数据调度处理模块之间、内网数据调度处理模块和审计配置模块之间分别采用百兆快速以太网连接。
所述内网数据调度处理模块中设置有负载状况信息表和任务分配信息表,其中负载状况信息表用于记录各个低速网络隔离与信息交换模块的实时负载状况,以便根据负载均衡算法实现任务的高效、均衡分发;任务分配信息表记录当前任务的分配状况,以便将同一个任务的数据包都转发给对应的同一模块进行处理。
所述内网数据调度处理模块包括有:
两个千兆介质不相关接口GMII(Gigabit Media Independence Interface)模块,分别连接内网侧和二层交换模块,负责接收和发送千兆以太网格式的数据包;
一个二层交换模块,用于完成GMII接口模块和各个低速网络隔离与信息交换模块以及审计配置模块的二层数据包交换;该二层交换模块的千兆以太网接口连接GMII接口模块,多个百兆以太网接口分别与多个低速网络隔离与信息交换模块以及审计配置模块相连;
两个包缓存模块,分别缓存两个接口模块中等待处理的数据包,防止因为信息处理时延导致数据包丢失;
任务查找模块,用于搜索、维护任务分配信息表,对从内网侧接收到的每个内网用户访问请求数据包,在任务分配信息表中搜索是否存在该数据包所属任务的表项,若存在,则获取该任务对应的低速网络隔离与信息交换模块的编号;若没有找到对应该数据包的任务,则从负载均衡模块获取当前负载最轻的低速网络隔离与信息交换模块编号,作为该数据包的处理模块,并将该新任务信息添加到任务分配信息表中;
内容可寻址存储器CAM(Content Addressable Memory)和CAM接口模块,用于提高任务分配信息表的查找速度;
负载均衡模块,用于存储每个网络隔离与信息交换模块的最新负载状况,处理各个低速网络隔离与信息交换模块定时发送的负载状况通告消息,维护负载状况信息表,实现负载均衡算法;
两个包重构模块,分别用于处理来自内网用户的数据包和从外网返回的数据包的重新构造,即采用处理该数据包的低速网络隔离与信息交换模块的媒体访问控制MAC(Media Access Control)地址替换来自内网用户的原数据包中的目的MAC地址,以及将从外网返回的数据包的源MAC地址替换为该装置对内网用户的唯一MAC地址。
所述外网数据调度处理模块中设置有记录各个任务及其对应的低速网络隔离与信息交换模块编号的任务分配信息表,以便将接收到的外网返回信息送入对应的低速网络隔离与信息交换模块,并防止来自外网的攻击。
所述外网数据调度处理模块包括有:
两个千兆介质不相关接口GMII模块,分别连接外网侧和二层交换模块,负责接收和发送千兆以太网格式的数据包;
一个二层交换模块,用于完成GMII接口模块和各个低速网络隔离与信息交换模块的二层数据包交换;该二层交换模块的千兆以太网接口连接GMII接口模块,多个百兆以太网接口分别与多个低速网络隔离与信息交换模块相连;
两个包缓存模块,分别缓存两个接口模块中等待处理的数据包,防止因为信息处理时延导致数据包丢失;
任务查找模块,用于搜索、维护任务分配信息表,对从外网侧接收到的返回数据包,在任务分配信息表中搜索是否存在该数据包所属任务的表项,若存在,则获取该任务所对应的低速网络隔离与信息交换模块编号;若不存在,则丢弃该数据包;
内容可寻址存储器CAM(Content Addressable Memory)和CAM接口模块,用于提高任务分配信息表的查找速度;
两个包重构模块,分别用于处理由低速网络隔离与信息交换模块发送给外网的数据包和从外网返回的数据包的重新构造,即采用该装置对外网的唯一MAC地址替换来自各个低速网络隔离与信息交换模块数据包的源MAC地址,以及将从外网返回的数据包的目的MAC地址替换为处理该数据包的某个低速网路隔离与信息交换模块的MAC地址;如果任务查找模块无法找到该外网返回数据包的对应处理任务,则丢弃该数据包,并报告给审计配置模块,防止来自外网的攻击。
所述多个低速网络隔离与信息交换模块用于完成内外网络的安全隔离和高速信息交换,其中每个模块的组成结构和处理能力都相同,且每个模块的IP地址相同,即其开放系统互连OSI(Open Systems Interconnection)参考模型第三层网络地址都相同,但它们的MAC地址,即OSI参考模型第二层地址是互不相同的,每个模块还采用唯一的模块编号作为区分标识;每个低速网络隔离与信息交换模块定时向内网数据调度处理模块通告自己当前的负载状况,由内网数据调度处理模块对负载信息状态表及时更新,以便负载均衡算法能正确分发任务。
所述低速网络隔离与信息交换模块由分别运行不可路由的私有协议、确保任何时刻内网与外网之间的网络协议处于隔断状态的内网隔离模块和外网隔离模块,以及专用隔离硬件组成;该专用隔离硬件分别连接所述的两个隔离模块,但藉由对其内部电子开关的控制,保证内网与外网之间在任何时刻实现物理隔断。
为了达到上述目的,本发明还提供了一种多个低速网络隔离与信息交换模块的大规模并行处理方法,包括两个相互独立的处理步骤:内网数据调度处理模块的数据处理流程和外网数据调度处理模块的数据处理流程;其特征在于:所述内网数据调度处理模块的数据处理流程包括下述独立处理步骤:
(11)从内网发送至低速网络隔离与信息交换模块的数据处理流程;
(12)从低速网络隔离与信息交换模块返回内网的数据处理流程;
(13)每个低速网络隔离与信息交换模块定时发送负载状况通告消息的处理流程。
所述步骤(11)进一步包括下述处理步骤:
(111)经由内网侧的GMII千兆级网络接口接收内网用户发送的外网访问请求数据包;如果是广播包,则直接转发到包重构模块,跳转执行步骤(115);如果是访问请求数据包,执行后续操作;
(112)将该数据包转发至包缓存模块,如果队列中没有待处理的数据包,则将该数据包转发至任务查找模块,执行后续操作;否则该数据包在包缓存模块排队等待处理;
(113)任务查找模块搜索任务分配信息表,检查是否存在该数据包所属任务的表项;如果存在所属任务,则获取相应的低速网络隔离与信息交换模块的编号,并将该数据包送至包重构模块,跳至执行步骤(115);如果没有找到对应任务,则认为该数据包属于一个新任务,执行后续操作;
(114)任务查找模块从负载均衡模块中获取当前负载最轻的低速网络隔离与信息交换模块的编号,作为处理该数据包的模块,并将该新任务信息添加到任务分配信息表中和将该数据包送至包重构模块;
(115)包重构模块依据处理该数据包的低速网络隔离与信息交换模块的编号,使用该处理模块的MAC地址替换原数据包中的目的MAC地址,再执行后续操作;如果是广播包,则不做修改,直接通过二层交换模块发送给所有的低速网络隔离与信息交换模块,结束该流程的操作;
(116)将重新构造后的数据包通过GMII接口发送到二层交换模块,再交换到相应的低速网络隔离与信息交换模块。
所述步骤(12)进一步包括下述处理步骤:
(121)经由连接低速网络隔离与信息交换模块侧的二层交换模块接收外网返回的数据包;
(122)将该数据包通过GMII接口模块转发至包缓存模块,并判断该数据包类型;如果是外网返回的数据包,则查看队列中有无等待处理的数据包,若队列中没有待处理的数据包,则将该数据包转发至包重构模块,执行后续操作;否则该数据包在包缓存模块排队等待处理;如果不是外网返回的数据包,则丢弃该数据包,结束该处理流程;
(123)包重构模块使用该装置对内网用户的唯一MAC地址替换原数据包的源MAC地址;
(124)将重新构造后的数据包通过连接内网用户侧的GMII接口发送到内网。
所述步骤(13)进一步包括下述处理步骤:
(131)二层交换模块接收各个低速网络隔离与信息交换模块定时发送的负载状况通告消息;
(132)将该消息通过GMII接口模块转发至包缓存模块,并判断该数据包类型;如果是各个低速网络隔离与信息交换模块定时发送的负载状况通告消息,则直接转发至负载均衡模块;
(133)负载均衡模块对该负载状况通告消息进行处理,及时更新负载状况信息表。
为了达到上述目的,本发明又提供了一种多个低速网络隔离与信息交换模块的大规模并行处理方法,包括两个相互独立的处理步骤:内网数据调度处理模块的数据处理流程和外网数据调度处理模块的数据处理流程;其特征在于:所述外网数据调度处理模块的数据处理流程包括下述独立处理步骤:
(21)从低速网络隔离与信息交换模块发送至外网的数据处理流程;
(22)从外网返回低速网络隔离与信息交换模块的数据处理流程。
所述步骤(21)进一步包括下述处理步骤:
(211)通过连接低速网络隔离与信息交换模块侧的二层交换模块接收内网用户发送的外网访问请求数据包;
(212)将该数据包通过GMII接口模块转发至包缓存模块,如果队列中没有待处理的数据包,则将该数据包转发至包重构模块,执行后续操作;否则该数据包在包缓存模块排队等待处理;
(213)包重构模块使用装置对外网的唯一MAC地址替换原数据包的源MAC地址;
(214)将重新构造后的数据包通过连接外网的GMII接口发送到外网。
所述步骤(22)进一步包括下述处理步骤:
(221)经由连接外网侧的GMII千兆级网络接口接收外网返回的数据包;
(222)将该数据包转发至包缓存模块,如果队列中没有待处理的数据包,则将该数据包转发至任务查找模块,执行后续操作;否则该数据包在包缓存模块排队等待处理;
(223)任务查找模块搜索任务分配信息表,检查是否存在该数据包所属任务的表项。如果存在所属任务,则获取相应的低速网络隔离与信息交换模块的编号,并将该数据包送至包重构模块,执行后续操作;如果没有找到该数据包对应的任务,则丢弃该数据包,并报告给审计配置模块;
(224)包重构模块依据处理该数据包的低速网络隔离与信息交换模块的编号,使用该处理模块的MAC地址替换原数据包中的目的MAC地址;
(225)将重新构造后的数据包通过GMII接口模块发送到二层交换模块,再交换到相应的低速网络隔离与信息交换模块。
本发明是一种基于多个低速网络隔离与信息交换模块构建千兆级高速网络隔离与信息交换系统的大规模并行处理装置,该装置以现有的低速(百兆级)网络隔离与信息交换模块为基础,充分利用现有的低速网络隔离与信息交换模块,采用大规模并行处理的先进计算机技术,实现了面向千兆级高速网络的安全隔离和数据交换。本发明中的多个低速网络隔离与信息交换模块具有相同的结构和处理能力,通过其中的审计配置模块对各个低速网络隔离与信息交换模块实现统一配置和管理,并在数据调度处理模块中使用负载均衡算法,增强了系统处理能力,信息交换速率明显提高。因此,本发明装置结构比较简单,工作可靠,而且,大大降低了产品研发的投资成本,缩短了设备开发周期,尤其是为解决现阶段电子政务网络宽带化,实现其安全隔离和数据交换的急切需求,提供了一种切实有效的千兆级网络隔离与信息交换设备。总之,该装置具有很好的应用前景。
附图说明
图1是本发明多个低速网络隔离与信息交换模块的大规模并行处理装置的结构组成示意图。
图2是本发明装置中内网数据调度处理模块的结构组成示意图。
图3是本发明装置中外网数据调度处理模块的结构组成示意图。
图4是本发明中低速网络隔离与信息交换模块的结构组成示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
参见图1,本发明是一种多个低速网络隔离与信息交换模块的大规模并行处理装置(即图中用虚线框出的装置),包括有:内网数据调度处理模块,外网数据调度处理模块,多个低速网络隔离与信息交换模块组成和审计配置模块四种模块。其中内网数据调度处理模块与内网之间、外网数据调度处理模块与外网之间采用千兆级传输通道(用空心线双向箭头表示)连接以太网,内网数据调度处理模块和外网数据调度处理模块与各个低速网络隔离与信息交换模块之间、内网数据调度处理模块和审计配置模块之间分别采用百兆级快速传输通道(用细实线双向箭头表示)连接以太网。
内网数据调度处理模块负责将内网用户对外网的访问请求根据负载均衡规则分发到各个低速网络隔离与信息交换模块进行处理,并将访问应答消息返回给用户。同时,内网数据调度处理模块负责对系统审计配置模块进行配置和维护,并将系统配置信息分发至各个网络隔离与信息交换模块。
在本发明中,属于同一个任务的数据包必须由相同的网络隔离与信息交换模块进行处理,而不能在不同模块之间分摊。所以,内网数据调度和处理模块需要维护负载状况信息表和任务分配信息表,以便正确使用负载均衡算法,实现任务的高效分发。其中负载状况信息表记录各网络隔离与信息交换模块的实时负载状况,并以此来决定新到来的任务应分配给哪个模块进行处理;任务分配信息表记录当前任务的分配状况,当收到的数据包属于表中已经存在的任务时,将该数据包继续发给对应模块进行处理。
外网数据调度处理模块负责收集经过不同网络隔离与信息交换模块处理的消息,将其转发到外部网络,并将接收到的外网返回信息回送给处理该任务的相应网络隔离与信息交换模块。为此,外网数据调度处理模块需要维护一张记录各任务和其对应的网络隔离与信息交换模块的任务分配信息表,如果接收到的外网返回的数据包不属于表中存在的任务,则丢弃该数据包,不作处理,防止来自外网的攻击。
审计配置模块负责整个装置运行配置信息的维护和管理,负责装置日志的审计,每个低速网络隔离与信息交换模块的审计信息也是由其存储并维护。审计配置模块通过内网数据调度处理模块对各个低速网络隔离与信息交换模块的配置信息进行统一管理和更新。
多个低速网络隔离与信息交换模块负责完成内外网络的安全隔离和高速信息交换,每个模块具有相同的结构和处理能力,所能完成的功能也是相同的,通过唯一的模块编号标识区分不同的模块。各个网络隔离与信息交换模块需要定时向内网数据调度处理模块通告自己当前的负载状况,更新内网数据调度处理模块负载信息状态表中相应的状态,以便负载均衡算法能正确地分发任务。
参见图2,进一步介绍本发明中的低速网络隔离与信息交换模块(即图中用虚线框出的装置)的内部组成结构:由内网隔离模块、外网隔离模块和专用隔离硬件组成。其中内网隔离模块和外网隔离模块之间运行的是不可路由的私有协议,保证在任何时刻内网与外网之间处于网络隔断状态。专用隔离硬件通过对其内部电子开关的控制,保证在任何时刻内网与外网之间不连通,实现物理上的隔断。每个网络隔离和交换模块的内网隔离模块都保存来自审计配置模块的配置信息,均需要处理来自内网用户的地址解析协议ARP(AddressResolution Protocol)请求,以及维护一张内网用户IP地址与MAC地址的对应表。当处理从外网回送的数据包时,内网隔离模块依据任务处理规则,检索该内网用户IP地址与MAC地址对应表,用目的用户的MAC地址替换原数据包的目的MAC地址。
内网数据调度处理模块和外网数据调度处理模块是分别在两块或多块现场可编程门阵列FPGA或者ASIC或者网络处理器器件上构建实现的,具有很强的数据包处理能力,同时,模块的灵活性、可扩展性和安全性也得到了很好的保证。
参见图3,进一步介绍本发明中的内网数据调度处理模块(即图中用虚线框出的装置)内部组成结构:主要由两个GMII接口模块,两个包缓存模块,两个包重构模块,任务查找模块,CAM和CAM接口模块,二层交换模块以及负载均衡模块组成。
两个千兆介质不相关接口GMII模块负责千兆以太网数据包的收发,分别连接内网千兆级以太网接口和通过二层交换模块连接各个低速网络隔离与信息交换模块的百兆级以太网接口;从内网千兆级网络接口接收数据包,或将经过处理的数据包通过二层交换模块发送到相应的百兆网络接口。GMII定义了在千兆以太网MAC和各种物理层之间的电气标准,支持千兆级网络操作能力,提供全双工操作和简单的管理接口。
两个包缓存模块负责缓存模块中等待处理的数据包,防止由于系统处理时延等原因导致的数据包丢失。
任务查找模块负责搜索、维护任务分配信息表,对于GMII接口接收到的每一个内网用户访问请求数据包,在任务分配信息表中搜索是否存在该数据包所属任务的表项,若存在,则获取该任务对应的网络隔离与信息交换模块的编号;如果没有对应该数据包的任务,则认为是一个新任务,任务查找模块从负载均衡模块获取当前负载最轻的网络隔离与信息交换模块编号,并将此新任务信息添加到任务分配信息表中。
内容可寻址存储器CAM和CAM接口模块主要用于提高任务分配信息表的查找速度。CAM是一种专用存储器件,可进行大量快速并行搜索、在硬件中对每个存储位进行比较,完成数据表查找。
负载均衡模块负责保存各个网络隔离与信息交换模块的最新负载状况,维护负载状况信息表,实现负载均衡算法。当新任务到来时,负载均衡模块查看负载信息表,依据负载均衡算法,确定当前负载最轻的网络隔离与信息交换模块,并将其编号返回给任务查找模块。此外,负载均衡模块负责处理从各个网络隔离与信息交换模块定时回送的负载状况通告消息,提取各模块的负载状况信息,更新负载信息表。如果负载信息表中某个网络隔离与信息交换模块的负载状态长时间没有更新,则认为该模块失效,并将该表项从负载信息表中删除发送告警消息。
两个包重构模块负责处理数据包的重新构造,完成MAC地址的替换。对于内网用户主机来说,本发明千兆级网络隔离与信息交换装置是一个整体,仅有设备内网侧网络接口的IP地址和MAC地址是可见的。因此,来自内网用户的数据包都指向同一个IP地址和MAC地址。因为每个通过内网侧千兆网络接口进入该装置的数据包将会由不同的低速网络隔离与信息交换模块进行处理,且每个处理模块的MAC地址是不同的,所以需要由包重构模块对数据包进行重新构造,用处理该数据包的低速网络隔离与信息交换模块的MAC地址替换原数据包中目的MAC地址。对于从外网返回的数据包,其源MAC地址为各个网络隔离和信息处理模块的MAC地址,需要将其替换为系统对内网用户的唯一MAC地址。
参见图4,具体介绍本发明中的外网数据调度处理模块(即图中用虚线框出的装置)内部组成结构,因为外网数据调度处理模块与内网数据调度处理模块的逻辑结构相似,各个功能模块的功能也基本相同,因此这里仅对其中不同之处进行说明,其它不再赘述。
外网数据调度处理模块不需要维护系统各个网络隔离与信息交换模块的负载状况,所以没有负载均衡模块。
对于外网来说,本发明作为千兆级网络隔离与信息交换装置,其网络接口具有唯一的IP地址和MAC地址。所以,当处理由内网用户发送给外网的数据包时,包重构模块应使用该装置对外网的唯一MAC地址替换数据包的源MAC地址。当处理外网返回的数据包时,包重构模块应使用处理该数据包的低速网路隔离与信息交换模块的MAC地址替换原数据包的目的MAC地址。如果任务查找模块无法找到外网回送数据包对应的处理任务,则将该数据包丢弃并记录日志,防止来自外网的攻击。
本发明还提供了一种多个低速网络隔离与信息交换模块的大规模并行处理方法,包括两个相互独立的处理步骤:内网数据调度处理模块的数据处理流程和外网数据调度处理模块的数据处理流程;其中内网数据调度处理模块的数据处理流程包括下述三个独立处理步骤:
(11)从内网发送至低速网络隔离与信息交换模块的数据处理流程;
(12)从低速网络隔离与信息交换模块返回内网的数据处理流程;
(13)每个低速网络隔离与信息交换模块定时发送负载状况通告消息的处理流程。
下面分别对上述三种数据处理流程进行描述:
(1)从内网发送至低速网络隔离与信息交换模块的数据处理流程进一步包括下列处理步骤:
(111)经由内网侧的GMII千兆级网络接口接收内网用户发送的数据包;如果是广播包,则直接转发到包重构模块,跳转执行步骤(115);如果是访问请求数据包,执行后续操作;
(112)将该数据包转发至包缓存模块,如果队列中没有待处理的数据包,则将该数据包转发至任务查找模块,执行后续操作;否则该数据包在包缓存模块排队等待处理;
(113)任务查找模块搜索任务分配信息表,检查是否存在该数据包所属任务的表项;如果存在所属任务,则获取相应的低速网络隔离与信息交换模块的编号,并将该数据包送至包重构模块,跳至执行步骤(115);如果没有找到对应任务,则认为该数据包属于一个新任务,执行后续操作;
(114)任务查找模块从负载均衡模块中获取当前负载最轻的低速网络隔离与信息交换模块的编号,作为处理该数据包的模块,并将该新任务信息添加到任务分配信息表中和将该数据包送至包重构模块;
(115)包重构模块依据处理该数据包的低速网络隔离与信息交换模块的编号,使用该处理模块的MAC地址替换原数据包中的目的MAC地址,再执行后续操作;如果是广播包,则不做修改,直接通过二层交换模块发送给所有的低速网络隔离与信息交换模块,结束该流程的操作;
(116)将重新构造后的数据包通过GMII接口模块发送到二层交换模块,再交换到相应的低速网络隔离与信息交换模块。
(12)从低速网络隔离与信息交换模块返回内网的数据处理流程进一步包括下述处理步骤:
(121)经由连接低速网络隔离与信息交换模块侧的二层交换模块接收外网返回的数据包;
(122)将该数据包通过GMII接口模块转发至包缓存模块,并判断该数据包类型;如果是外网返回的数据包,则查看队列中有无等待处理的数据包,若队列中没有待处理的数据包,则将该数据包转发至包重构模块,执行后续操作;否则该数据包在包缓存模块排队等待处理;如果是外网返回的数据包,则丢弃该数据包,结束该处理流程;
(123)包重构模块使用该装置对内网用户的唯一MAC地址替换原数据包的源MAC地址;
(124)将重新构造后的数据包通过连接内网用户侧的GMII接口发送到内网。
(13)每个低速网络隔离与信息交换模块定时发送负载状况通告消息的处理流程进一步包括下述处理步骤:
(131)二层交换模块接收各个低速网络隔离与信息交换模块定时发送的负载状况通告消息;
(132)将该消息通过GMII接口模块转发至包缓存模块,并判断该数据包类型;如果是各个低速网络隔离与信息交换模块定时发送的负载状况通告消息,则直接转发至负载均衡模块;
(133)负载均衡模块对该负载状况通告消息进行处理,及时更新负载状况信息表。
本发明的外网数据调度处理模块的数据处理流程包括下述两个独立处理步骤:(21)从低速网络隔离与信息交换模块发送至外网的数据处理流程;(22)从外网返回低速网络隔离与信息交换模块的数据处理流程;其与内网数据调度处理模块中相应的数据处理流程相似,下面分别对其进行描述。
(21)从低速网络隔离与信息交换模块发送至外网的数据处理流程进一步包括下述处理步骤:
(211)通过连接低速网络隔离与信息交换模块侧的二层交换模块接收内网用户发送的外网访问请求数据包;
(212)将该数据包通过GMII接口模块转发至包缓存模块,如果队列中没有待处理的数据包,则将该数据包转发至包重构模块,执行后续操作;否则该数据包在包缓存模块排队等待处理;
(213)包重构模块使用装置对外网的唯一MAC地址替换原数据包的源MAC地址;
(214)将重新构造后的数据包通过连接外网的GMII接口发送到外网。
(22)从外网返回低速网络隔离与信息交换模块的数据处理流程进一步包括下述处理步骤:
(221)经由连接外网侧的GMII千兆级网络接口接收外网返回的数据包;
(222)将该数据包转发至包缓存模块,如果队列中没有待处理的数据包,则将该数据包转发至任务查找模块,执行后续操作;否则该数据包在包缓存模块排队等待处理;
(223)任务查找模块搜索任务分配信息表,检查该数据包是否存在所属任务的表项。如果存在所属任务,则获取相应的低速网络隔离与信息交换模块的编号,并将该数据包送至包重构模块,执行后续操作;如果没有找到该数据包对应的任务,则丢弃该数据包,并报告给审计配置模块;
(224)包重构模块依据处理该数据包的低速网络隔离与信息交换模块的编号,使用该处理模块的MAC地址替换原数据包中的目的MAC地址;
(225)将重新构造后的数据包通过GMII接口模块发送到二层交换模块,再交换到相应的低速网络隔离与信息交换模块。
Claims (15)
1.一种基于多个低速网络隔离与信息交换模块的大规模并行处理装置,包括有:多个低速网络隔离与信息交换模块;其特征在于:该装置还包括有:
内网数据调度处理模块,用于将内网用户对外网的访问请求分发到各个低速网络隔离与信息交换模块进行处理,并将访问应答消息返回给用户;对审计配置模块进行配置和维护;
外网数据调度处理模块,用于收集各个低速网络隔离与信息交换模块处理的消息,将其转发到外网;并将接收到的外网返回信息回送给相应的低速网络隔离与信息交换模块;
审计配置模块,用于维护和管理整个装置的运行配置信息,审计装置日志,存储和维护每个低速网络隔离与信息交换模块的审计信息,并通过内网数据调度处理模块统一管理和更新各个低速网络隔离与信息交换模块的配置信息;
所述内网数据调度处理模块与内网侧和外网数据调度处理模块与外网侧分别连接千兆以太网,所述低速网络隔离与信息交换模块和内网数据调度处理模块或外网数据调度处理模块之间、内网数据调度处理模块和审计配置模块之间分别采用百兆快速以太网连接。
2.根据权利要求1所述的基于多个低速网络隔离与信息交换模块的大规模并行处理装置,其特征在于:所述内网数据调度处理模块中设置有负载状况信息表和任务分配信息表,其中负载状况信息表用于记录各个低速网络隔离与信息交换模块的实时负载状况,以便根据负载均衡算法实现任务的高效、均衡分发;任务分配信息表记录当前任务的分配状况,以便将同一个任务的数据包都转发给对应的同一模块进行处理。
3.根据权利要求2所述的基于多个低速网络隔离与信息交换模块的大规模并行处理装置,其特征在于:所述内网数据调度处理模块包括有:
两个千兆介质不相关接口GMII模块,分别连接内网侧和二层交换模块,负责接收和发送千兆以太网格式的数据包;
一个二层交换模块,用于完成GMII接口模块和各个低速网络隔离与信息交换模块以及审计配置模块的二层数据包交换;该二层交换模块的千兆以太网接口连接GMII接口模块,多个百兆以太网接口分别与多个低速网络隔离与信息交换模块以及审计配置模块相连;
两个包缓存模块,分别缓存两个GMII接口模块中等待处理的数据包,防止因为信息处理时延导致数据包丢失;
任务查找模块,用于搜索、维护任务分配信息表,对从内网侧接收到的每个内网用户访问请求数据包,在任务分配信息表中搜索是否存在该数据包所属任务的表项,若存在,则获取该任务对应的低速网络隔离与信息交换模块的编号;若没有找到该数据包对应的任务,则从负载均衡模块获取当前负载最轻的低速网络隔离与信息交换模块编号,作为该数据包的处理模块,并将该新任务信息添加到任务分配信息表中;
内容可寻址存储器CAM和CAM接口模块,用于提高任务分配信息表的查找速度;
负载均衡模块,用于存储每个低速网络隔离与信息交换模块的最新负载状况,处理各个低速网络隔离与信息交换模块定时发送的负载状况通告消息,维护负载状况信息表,实现负载均衡算法;
两个包重构模块,分别用于处理来自内网用户的数据包和从外网返回的数据包的重新构造,即采用处理该数据包的低速网络隔离与信息交换模块的媒体访问控制MAC地址替换来自内网用户的原数据包中的目的MAC地址,以及将从不同的低速网络隔离与信息交换模块返回的数据包的源MAC地址替换为该装置对内网用户的唯一MAC地址。
4.根据权利要求3所述的基于多个低速网络隔离与信息交换模块的大规模并行处理装置,其特征在于:所述外网数据调度处理模块中设置有记录各个任务及其对应的低速网络隔离与信息交换模块编号的任务分配信息表,以便将接收到的外网返回信息送入对应的低速网络隔离与信息交换模块,并防止来自外网的攻击。
5.根据权利要求4所述的基于多个低速网络隔离与信息交换模块的大规模并行处理装置,其特征在于:所述外网数据调度处理模块包括有:
两个千兆介质不相关接口GMII模块,分别连接外网侧和二层交换模块,负责接收和发送千兆以太网格式的数据包;
一个二层交换模块,用于完成GMII接口模块和各个低速网络隔离与信息交换模块的二层数据包交换;该二层交换模块的千兆以太网接口连接GMII接口模块,多个百兆以太网接口分别与多个低速网络隔离与信息交换模块相连;
两个包缓存模块,分别缓存两个GMII接口模块中等待处理的数据包,防止因为信息处理时延导致数据包丢失;
任务查找模块,用于搜索、维护任务分配信息表,对从外网侧接收到的返回数据包,在任务分配信息表中搜索是否存在该数据包所属任务的表项,若存在,则获取该任务所对应的低速网络隔离与信息交换模块编号;若不存在,则丢弃该数据包;
内容可寻址存储器CAM和CAM接口模块,用于提高任务分配信息表的查找速度;
两个包重构模块,分别用于处理由低速网络隔离与信息交换模块发送给外网的数据包和从外网返回的数据包的重新构造,即采用该装置对外网的唯一MAC地址替换来自各个低速网络隔离与信息交换模块数据包的源MAC地址,以及将从外网返回的数据包的目的MAC地址替换为处理该数据包的某个低速网路隔离与信息交换模块的MAC地址;如果任务查找模块无法找到该外网返回数据包的对应处理任务,则丢弃该数据包,并报告给审计配置模块,防止来自外网的攻击。
6.根据权利要求2所述的基于多个低速网络隔离与信息交换模块的大规模并行处理装置,其特征在于:所述多个低速网络隔离与信息交换模块用于完成内外网络的安全隔离和高速信息交换,其中每个模块的组成结构和处理能力都相同,且每个模块的IP地址相同,即其开放系统互连OSI参考模型第三层网络地址都相同,但它们的MAC地址,即OSI参考模型第二层地址是互不相同的,每个模块还采用唯一的模块编号作为区分标识;每个低速网络隔离与信息交换模块定时向内网数据调度处理模块通告自己当前的负载状况,由内网数据调度处理模块对负载状况信息表及时更新,以便负载均衡算法能正确分发任务。
7.根据权利要求6所述的基于多个低速网络隔离与信息交换模块的大规模并行处理装置,其特征在于:所述低速网络隔离与信息交换模块由分别运行不可路由的私有协议、确保任何时刻内网与外网之间的网络协议处于隔断状态的内网隔离模块和外网隔离模块,以及专用隔离硬件组成;该专用隔离硬件分别连接所述的两个隔离模块,但藉由对其内部电子开关的控制,保证内网与外网之间在任何时刻实现物理隔断。
8.一种利用权利要求5所述装置执行的基于多个低速网络隔离与信息交换模块的大规模并行处理方法,包括两个相互独立的处理步骤:内网数据调度处理模块的数据处理流程和外网数据调度处理模块的数据处理流程;其特征在于:所述内网数据调度处理模块的数据处理流程包括下述独立处理步骤:
(11)从内网发送至低速网络隔离与信息交换模块的数据处理流程;
(12)从低速网络隔离与信息交换模块返回内网的数据处理流程;
(13)每个低速网络隔离与信息交换模块定时发送负载状况通告消息的处理流程;
所述外网数据调度处理模块的数据处理流程包括下述独立处理步骤:
(21)从低速网络隔离与信息交换模块发送至外网的数据处理流程;
(22)从外网返回低速网络隔离与信息交换模块的数据处理流程。
9.根据权利要求8所述的基于多个低速网络隔离与信息交换模块的大规模并行处理方法,其特征在于:所述步骤(11)进一步包括下述处理步骤:
(111)经由内网侧的GMII千兆级网络接口接收内网用户发送的数据包;如果是广播包,则直接转发到包重构模块,跳转执行步骤(115);如果是访问请求数据包,执行后续操作;
(112)将该数据包转发至包缓存模块,如果队列中没有待处理的数据包,则将该数据包转发至任务查找模块,执行后续操作;否则该数据包在包缓存模块排队等待处理;
(113)任务查找模块搜索任务分配信息表,检查是否存在该数据包所属任务的表项;如果存在所属任务,则获取相应的低速网络隔离与信息交换模块的编号,并将该数据包送至包重构模块,跳至执行步骤(115);如果没有找到对应任务,则认为该数据包属于一个新任务,执行后续操作;
(114)任务查找模块从负载均衡模块中获取当前负载最轻的低速网络隔离与信息交换模块的编号,作为处理该数据包的模块,并将该新任务信息添加到任务分配信息表中和将该数据包送至包重构模块;
(115)包重构模块依据处理该数据包的低速网络隔离与信息交换模块的编号,使用该模块的MAC地址替换原数据包中的目的MAC地址,再执行后续操作;如果是广播包,则不做修改,直接通过二层交换模块发送给所有的低速网络隔离与信息交换模块,结束该流程的操作;
(116)将重新构造后的数据包通过GMII接口发送到二层交换模块,再交换到相应的低速网络隔离与信息交换模块。
10.根据权利要求8所述的基于多个低速网络隔离与信息交换模块的大规模并行处理方法,其特征在于:所述步骤(12)进一步包括下述处理步骤:
(121)经由连接低速网络隔离与信息交换模块侧的二层交换模块接收外网返回的数据包;
(122)将该数据包通过GMII接口模块转发至包缓存模块,并判断该数据包类型;如果是外网返回的数据包,则查看队列中有无等待处理的数据包,若队列中没有待处理的数据包,则将该数据包转发至包重构模块,执行后续操作;否则该数据包在包缓存模块排队等待处理;如果不是外网返回的数据包,则丢弃该数据包,结束该处理流程;
(123)包重构模块使用该大规模并行处理装置对内网用户的唯一MAC地址替换原数据包的源MAC地址;
(124)将重新构造后的数据包通过连接内网用户侧的GMII接口发送到内网。
11.根据权利要求8所述的基于多个低速网络隔离与信息交换模块的大规模并行处理方法,其特征在于:所述步骤(13)进一步包括下述处理步骤:
(131)二层交换模块接收各个低速网络隔离与信息交换模块定时发送的负载状况通告消息;
(132)将该消息通过GMII接口模块转发至包缓存模块,并判断该数据包类型;如果是各个低速网络隔离与信息交换模块定时发送的负载状况通告消息,则直接转发至负载均衡模块;
(133)负载均衡模块对该负载状况通告消息进行处理,及时更新负载状况信息表。
12.根据权利要求8所述的基于多个低速网络隔离与信息交换模块的大规模并行处理方法,其特征在于:所述步骤(21)进一步包括下述处理步骤:
(211)通过连接低速网络隔离与信息交换模块侧的二层交换模块接收内网用户发送的外网访问请求数据包;
(212)将该数据包通过GMII接口模块转发至包缓存模块,如果队列中没有待处理的数据包,则将该数据包转发至包重构模块,执行后续操作;否则该数据包在包缓存模块排队等待处理;
(213)包重构模块使用该大规模并行处理装置对外网的唯一MAC地址替换原数据包的源MAC地址;
(214)将重新构造后的数据包通过连接外网的GMII接口发送到外网。
13.根据权利要求8所述的基于多个低速网络隔离与信息交换模块的大规模并行处理方法,其特征在于:所述步骤(22)进一步包括下述处理步骤:
(221)经由连接外网侧的GMII千兆级网络接口接收外网返回的数据包;
(222)将该数据包转发至包缓存模块,如果队列中没有待处理的数据包,则将该数据包转发至任务查找模块,执行后续操作;否则该数据包在包缓存模块排队等待处理;
(223)任务查找模块搜索任务分配信息表,检查是否存在该数据包所属任务的表项。如果存在所属任务,则获取相应的低速网络隔离与信息交换模块的编号,并将该数据包送至包重构模块,执行后续操作;如果没有找到该数据包对应的任务,则丢弃该数据包,并报告给审计配置模块;
(224)包重构模块依据处理该数据包的低速网络隔离与信息交换模块的编号,使用该模块的MAC地址替换原数据包中的目的MAC地址;
(225)将重新构造后的数据包通过GMII接口模块发送到二层交换模块,再交换到相应的网络隔离与信息交换模块。
14.根据权利要求1所述的基于多个低速网络隔离与信息交换模块的大规模并行处理装置,其特征在于:所述外网数据调度处理模块中设置有记录各个任务及其对应的低速网络隔离与信息交换模块编号的任务分配信息表,以便将接收到的外网返回信息送入对应的低速网络隔离与信息交换模块,并防止来自外网的攻击。
15.根据权利要求14所述的基于多个低速网络隔离与信息交换模块的大规模并行处理装置,其特征在于:所述外网数据调度处理模块包括有:
两个千兆介质不相关接口GMII模块,分别连接外网侧和二层交换模块,负责接收和发送千兆以太网格式的数据包;
一个二层交换模块,用于完成GMII接口模块和各个低速网络隔离与信息交换模块的二层数据包交换;该二层交换模块的千兆以太网接口连接GMII接口模块,多个百兆以太网接口分别与多个低速网络隔离与信息交换模块相连;
两个包缓存模块,分别缓存两个GMII接口模块中等待处理的数据包,防止因为信息处理时延导致数据包丢失;
任务查找模块,用于搜索、维护任务分配信息表,对从外网侧接收到的返回数据包,在任务分配信息表中搜索是否存在该数据包所属任务的表项,若存在,则获取该任务所对应的低速网络隔离与信息交换模块编号;若不存在,则丢弃该数据包;
内容可寻址存储器CAM和CAM接口模块,用于提高任务分配信息表的查找速度;
两个包重构模块,分别用于处理由低速网络隔离与信息交换模块发送给外网的数据包和从外网返回的数据包的重新构造,即采用该装置对外网的唯一MAC地址替换来自各个低速网络隔离与信息交换模块数据包的源MAC地址,以及将从外网返回的数据包的目的MAC地址替换为处理该数据包的某个低速网路隔离与信息交换模块的MAC地址;如果任务查找模块无法找到该外网返回数据包的对应处理任务,则丢弃该数据包,并报告给审计配置模块,防止来自外网的攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2005100017287A CN100373867C (zh) | 2005-01-14 | 2005-01-14 | 网络隔离与信息交换模块的大规模并行处理装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2005100017287A CN100373867C (zh) | 2005-01-14 | 2005-01-14 | 网络隔离与信息交换模块的大规模并行处理装置及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1805363A CN1805363A (zh) | 2006-07-19 |
CN100373867C true CN100373867C (zh) | 2008-03-05 |
Family
ID=36867225
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2005100017287A Expired - Fee Related CN100373867C (zh) | 2005-01-14 | 2005-01-14 | 网络隔离与信息交换模块的大规模并行处理装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100373867C (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101697536B (zh) * | 2009-10-16 | 2012-05-30 | 深圳市科陆电子科技股份有限公司 | 穿透正向物理隔离装置大数据量实时传输的方法 |
CN101909003A (zh) * | 2010-07-07 | 2010-12-08 | 南京烽火星空通信发展有限公司 | 线速分流设备及方法 |
CN101902479B (zh) * | 2010-08-05 | 2016-01-27 | 华东电网有限公司 | 网络隔离系统及其数据传输方法 |
CN102820994A (zh) * | 2012-08-20 | 2012-12-12 | 广州易宝信息技术有限公司 | 一种用于网络隔离环境下的数据交换装置及方法 |
CN103634293B (zh) * | 2013-10-29 | 2017-02-08 | 暨南大学 | 一种基于双硬件的数据安全传输方法及系统 |
CN103701824B (zh) * | 2013-12-31 | 2017-06-06 | 大连环宇移动科技有限公司 | 一种安全隔离管控系统 |
CN104168446B (zh) * | 2014-06-30 | 2017-09-29 | 国家电网公司 | 基于消息调度和硬解码的音视频信号数模切换系统 |
CN104125240B (zh) * | 2014-08-15 | 2018-03-23 | 国家电网公司 | 一种信息外网、信息内网及内外网数据交互系统和方法 |
CN106559322B (zh) * | 2015-09-25 | 2019-09-20 | 北京计算机技术及应用研究所 | 一种基于多龙芯并行处理架构的安全防护网关 |
CN107948165B (zh) * | 2017-11-29 | 2023-10-20 | 成都东方盛行电子有限责任公司 | 一种基于私有协议的安全送播系统及方法 |
CN111669310B (zh) * | 2019-03-08 | 2022-05-10 | 厦门网宿有限公司 | 一种pptp vpn中网络隔离空间的批量处理方法及pptp vpn服务器 |
CN110347509B (zh) * | 2019-07-08 | 2021-12-10 | 北京字节跳动网络技术有限公司 | 业务框架接入系统、服务请求处理方法、设备及介质 |
CN112187722B (zh) * | 2020-09-02 | 2022-11-22 | 博依特(广州)工业互联网有限公司 | 一种基于fpga的安全隔离系统 |
CN114553501A (zh) * | 2022-01-29 | 2022-05-27 | 宁波万德高科智能科技有限公司 | 一种超高速网络隔离数据安全传输方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1147738A (zh) * | 1996-09-02 | 1997-04-16 | 北京天融信技贸有限责任公司 | 防火墙系统 |
CN2435881Y (zh) * | 2000-07-11 | 2001-06-20 | 深圳市科健信息技术有限公司 | 网络安全交换装置 |
CN2588677Y (zh) * | 2002-12-10 | 2003-11-26 | 北京天行网安信息技术有限责任公司 | 安全隔离网闸 |
CN1553362A (zh) * | 2003-05-26 | 2004-12-08 | 联想(北京)有限公司 | 实现计算机网络内外网隔离的装置和方法 |
US20040260812A1 (en) * | 2003-06-20 | 2004-12-23 | Neil Rhodes | Ethernet-based fire system network |
WO2004114605A1 (fr) * | 2003-06-20 | 2004-12-29 | Zte Corporation | Procede d'isolation securise de services de reseau ethernet |
-
2005
- 2005-01-14 CN CNB2005100017287A patent/CN100373867C/zh not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1147738A (zh) * | 1996-09-02 | 1997-04-16 | 北京天融信技贸有限责任公司 | 防火墙系统 |
CN2435881Y (zh) * | 2000-07-11 | 2001-06-20 | 深圳市科健信息技术有限公司 | 网络安全交换装置 |
CN2588677Y (zh) * | 2002-12-10 | 2003-11-26 | 北京天行网安信息技术有限责任公司 | 安全隔离网闸 |
CN1553362A (zh) * | 2003-05-26 | 2004-12-08 | 联想(北京)有限公司 | 实现计算机网络内外网隔离的装置和方法 |
US20040260812A1 (en) * | 2003-06-20 | 2004-12-23 | Neil Rhodes | Ethernet-based fire system network |
WO2004114605A1 (fr) * | 2003-06-20 | 2004-12-29 | Zte Corporation | Procede d'isolation securise de services de reseau ethernet |
Also Published As
Publication number | Publication date |
---|---|
CN1805363A (zh) | 2006-07-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100373867C (zh) | 网络隔离与信息交换模块的大规模并行处理装置及方法 | |
CN1875585B (zh) | 利用mac限制来控制动态未知l2泛滥的方法和系统 | |
KR101700141B1 (ko) | 네트워크 소자의 전송 평면에서 포트 상태 테이블들을 유지하기 위한 방법 및 장치 | |
CN100558089C (zh) | 一种基于网络过滤器的内容过滤网关实现方法 | |
CN102106125B (zh) | 一种多路径网络 | |
JP5561620B2 (ja) | ネットワークシステム及びネットワークシステムの運用方法 | |
CN100437522C (zh) | 一种远程内存服务器及其实现方法 | |
CN102316160B (zh) | 网站系统及其通信方法 | |
CN100574249C (zh) | 虚拟路由器冗余协议报文传输方法及装置 | |
CN102281330B (zh) | 用于saas平台的数据存储、通讯访问及控制的方法 | |
CN104104570A (zh) | Irf系统中的聚合处理方法及装置 | |
CN104363231A (zh) | 一种基于单向通道的网络安全隔离与信息交换方法及系统 | |
CN103685006A (zh) | 一种在边缘设备上的报文转发方法和边缘设备 | |
CN101605084A (zh) | 基于虚拟机的虚拟网络报文处理方法和系统 | |
CN104040527A (zh) | 通过三层网络连接二层域 | |
CN101616014A (zh) | 一种实现跨虚拟专用局域网组播的方法 | |
US20140003433A1 (en) | Methods and apparatus for providing services in distributed switch | |
CN102209035B (zh) | 流量转发方法及转发设备 | |
CN104853002B (zh) | 一种基于sdn网络的dns解析系统与解析方法 | |
CN1601996A (zh) | 一种虚拟交换机系统接入ip公网的方法 | |
CN101247663B (zh) | 大容量路由系统及其转发表生成方法 | |
CN101621528B (zh) | 基于以太交换机集群管理的会话系统及会话通道实现方法 | |
CN104363185B (zh) | 一种微型复合网络数据交换系统 | |
CN101420371B (zh) | Asic融合网络设备的一种动态功能支持方法及系统 | |
CN202276355U (zh) | 一种多链路动态负载均衡系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080305 Termination date: 20120114 |