CN101296168A - 芯片内部连接表支持策略路由的方法 - Google Patents
芯片内部连接表支持策略路由的方法 Download PDFInfo
- Publication number
- CN101296168A CN101296168A CNA2007100980230A CN200710098023A CN101296168A CN 101296168 A CN101296168 A CN 101296168A CN A2007100980230 A CNA2007100980230 A CN A2007100980230A CN 200710098023 A CN200710098023 A CN 200710098023A CN 101296168 A CN101296168 A CN 101296168A
- Authority
- CN
- China
- Prior art keywords
- cpu
- chip
- message
- connection table
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
芯片内部连接表支持策略路由的方法,属于网络安全领域。包含基于在现场可编程门阵列芯片的使用及与CPU中央处理单元的连接,并进行如下步骤操作:芯片接收报文;进行解析,得到输入报文的五元组内容;根据解析的结果,取出五元组,查找连接表;若命中,则取出信息并记录转发出口;若没有命中,则递交CPU;查找安全策略表,根据安全策略规则使用对应的策略路由表,确定转发出口,把此连接信息写入芯片内部的连接表,再至转发出口。把此报文从指定的转发口发送出去。该方法降低了系统对CPU、PCI总线带宽的需求,节省了CPU资源,提高了整个系统的性能及在网络环境中的高速处理能力。
Description
技术领域
本发明属于网络安全和组网技术领域,特别涉及到网络安全设备中芯片内部连接表支持策略路由的方法。
背景技术
随着网络技术的不断发展,网络已经成了社会生活中不可或缺的一种工具,小到soho(家庭办公),大到上万人的企业,都建立了自己的网络。网络的拓扑结构变得越来越复杂,网络的流量也越来越大,用户的需求也越来越细致多样,对网络安全设备路由的功能和性能要求也日益增高,特别是为实现网络安全策略的路由,如对不同的用户使用不同的路由,不同的时间段使用不同的路由,按防火墙规则使用不同的路由。
路由器也可实现简单的策略路由,如最常见的基于源IP的策略路由。相比较而言,在网络安全设备上,如防火墙上,策略路由的迫切性更大,对灵活性要求更高,具有良好的安全控制功能,但需要消耗的CPU速度相对也更多。为了提高网络设备的安全性,目前对策略路由的应用也变得更为普遍与广泛。对于策略路由的实现,目前市面采用了以下几种方法:
1、普通路由设备的软件实现策略路由的方法
对每个报文,都依次查找策略路由表,匹配后,从表项中设定的出口,转发该报文。基于这种方法,只能实现简单的基于源IP的策略路由,受限于CPU、内存的性能,因而是没有办法达到很高的性能的。
2、普通安全设备实现策略路由的方法
对每个报文,都依次匹配安全策略表,根据策略的设置,如不同的认证用户,或不同的时间段,不同的内容过滤,或其它防火墙规则,使用不同的路由表进行路由查找。匹配后,从表项中设定的出口,转发该报文。基于这种方法,可实现复杂的、灵活多变的策略路由,但其消耗的CPU、内存的性能,比方法1还要大得多。灵活性增强了,但性能下降了。
3、使用硬件芯片查找策略路由表的方法
芯片内部有策略路由表,报文收到后,由芯片查找策略路由表,并进行转发。这种方法也能达到较高的性能,但有两点缺陷:a灵活性比前面两种都差,基本上只能实现源IP类型的策略路由;b芯片内的策略路由表一般不会太大,不能胜任复杂网络中对路由表大小日益增长的需求。采用此方案的系统,架构也不够灵活,需要增加别的功能及芯片的数量时,接口方面就会遇到很大的问题,不能实现复杂的处理逻辑。
综上所述,以上几种方案都有不足,要么本身性能不高,要么无法满足复杂应用下的需求。
本发明就是根据上述情况而重新提出一种新的通过连接表支持策略路由的方法。
所述连接表,主要包括源IP、目的IP、源port、目的port、protocol(即五元组)等TCP、UDP连接的信息。连接表、五元组都是网络安全领域的常用名词。
发明内容
本发明所需要解决的技术问题是,针对已有技术中对策略路由的实现尚存在有性能不高、无法满足复杂应用下的需求等诸多不足之处,为了克服已有技术中的这些不足,就需要重新提出一种创新的方案,本发明的目的,是提供一种芯片内部连接表支持策略路由的方法,该方法能够提高网络设备的系统性能、满足较为复杂应用的需求,又能降低系统成本。
为了实现本发明的目的,是采用以下技术方案来完成的:一种芯片内部连接表支持策略路由的方法,包含基于在现场可编程门阵列芯片的使用及与CPU中央处理单元的连接,其特征在于,该方法继续进行如下步骤操作:
A.芯片接收报文;
B.芯片对收到的报文进行解析,得到输入报文的五元组内容;
C.根据解析的结果,取出五元组,查找连接表;
C1.如果连接表查找没有命中,则递交CPU;
C2.如果连接表查找命中,则取出信息并记录转发出口;
D.对于没有命中的查找,递交CPU后,CPU为此报文查找安全策略表,该表是根据安全策略规则使用对应的策略路由表,确定转发出口;
E.把此连接信息写入芯片内部的连接表,再至转发出口;
F.把此报文从指定的转发出口处发送出去。
所述安全策略表,是用户为了保证所保护网络的安全而设定的各种规则的集合,包括防火墙、IDS等安全模块的规则,如:基于IP|端口|协议的规则,基于时间段的规则,基于认证用户的规则等。
本发明方案与现有技术相比,具有以下优点:
1、本发明在芯片上实现安全功能的同时实现灵活多变的策略路由的功能。这样,绝大部分网络信息流量,芯片都可直接处理,大大降低了系统对CPU、PCI总线带宽的需求,节省了CPU资源,在保证网络安全的前提下,提高了整个系统的性能。
2、本发明避免了每个报文要重新查找匹配策略路由的缺点,提高了整个系统在网络环境中的高速处理能力。即使在高速网络处于拥塞或繁忙时,也能保证进行线速路由交换。
3、本发明避免了在芯片内部集成策略路由表时,策略路由表大小受限的缺点。而本发明的现场可编程门阵列芯片外部接有独立的DRAM存储芯片,存储容量很大,连接表就放在此存储空间内,数量可达上百万条,因此大小基本不受限制。
附图说明
图1是本发明芯片内部连接表支持策略路由方法的操作流程图。
具体实施方式
以下结合附图对本发明的具体实施作进一步的说明:
本发明提出了一种通过芯片内部连接表支持策略路由的方法,该方法基于FPGA(Field Programmable Gate Array,现场可编程门阵列)/ASIC(Application Specific Integrated Circuit,专用集成电路)芯片架构的防火墙,以克服CPU(Central Processing Unit,中央处理单元)性能、PCI(Peripheral Controller Interface,外围控制器接口)总线带宽对网络安全设备的性能限制,实现网络安全设备性能上的突破,降低网络安全解决方案的代价,降低组网成本。
参照图1,表示本发明所述的芯片内部连接表支持策略路由的方法操作流程图
本发明在芯片上基于连接表的基础上,实现策略路由的功能。本发明包括基于在现场可编程门阵列芯片的使用及与CPU中央处理单元的连接,并继续进行如下处理步骤:
A.芯片接收报文;
B.芯片对收到的报文进行解析,得到输入报文的五元组内容;
C.根据解析的结果,取出五元组,查找连接表;
C1.如果连接表查找没有命中,则递交CPU;
C2.如果连接表查找命中,则取出信息并记录转发出口;
D.对于没有命中的查找,递交CPU后,CPU为此报文查找安全策略表,该表是根据安全策略规则使用对应的策略路由表,确定转发出口;
E.把此连接信息写入芯片内部的连接表,再至转发出口;
F.把此报文从指定的转发出口处发送出去。
在步骤A中,芯片接收报文;当芯片收到一个报文,首先解析出报文的五元组(源IP、目的IP、源port、目的port、protocol);然后根据此报文五元组的信息,查找连接表。如果没有命中,则递交CPU,由CPU查找策略路由表后,把此连接的信息写入到芯片连接表中;如果命中,则取出信息并记录转发出口;按这样的操作,以后这个连接的报文在连接表查找时就可以命中,对报文进行发送路由转发。
Claims (1)
1.一种芯片内部连接表支持策略路由的方法,包含基于在现场可编程门阵列芯片的使用及与CPU中央处理单元的连接,其特征在于,该方法继续进行如下步骤操作:
A.芯片接收报文;
B.芯片对收到的报文进行解析,得到输入报文的五元组内容;
C.根据解析的结果,取出五元组,查找连接表;
C1.如果连接表查找没有命中,则递交CPU;
C2.如果连接表查找命中,则取出信息并记录转发出口;
D.对于没有命中的查找,递交CPU后,CPU为此报文查找安全策略表,该表是根据安全策略规则使用对应的策略路由表,确定转发出口;
E.把此连接信息写入芯片内部的连接表,再至转发出口;
F.把此报文从指定的转发出口处发送出去。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100980230A CN101296168A (zh) | 2007-04-25 | 2007-04-25 | 芯片内部连接表支持策略路由的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100980230A CN101296168A (zh) | 2007-04-25 | 2007-04-25 | 芯片内部连接表支持策略路由的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101296168A true CN101296168A (zh) | 2008-10-29 |
Family
ID=40066191
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007100980230A Pending CN101296168A (zh) | 2007-04-25 | 2007-04-25 | 芯片内部连接表支持策略路由的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101296168A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075421A (zh) * | 2010-12-30 | 2011-05-25 | 杭州华三通信技术有限公司 | 服务质量处理方法及装置 |
| CN101771600B (zh) * | 2008-12-30 | 2012-12-12 | 北京天融信网络安全技术有限公司 | 多核下连接并发处理的方法 |
| CN103001877A (zh) * | 2012-12-11 | 2013-03-27 | 太仓市同维电子有限公司 | 一种用于家庭网关产品上的数据绑定方法 |
| CN103188355A (zh) * | 2013-04-02 | 2013-07-03 | 汉柏科技有限公司 | 一种通过预判断对报文进行动态匹配的方法 |
| CN103227752A (zh) * | 2013-05-14 | 2013-07-31 | 盛科网络(苏州)有限公司 | 以太网交换芯片中策略路由的实现方法和装置 |
| CN105262766A (zh) * | 2015-11-03 | 2016-01-20 | 盛科网络(苏州)有限公司 | 多重安全策略组的芯片实现方法 |
| CN105635167A (zh) * | 2016-01-25 | 2016-06-01 | 盛科网络(苏州)有限公司 | 一种使用硬件实现报文编辑功能的方法及装置 |
| CN107612907A (zh) * | 2017-09-15 | 2018-01-19 | 北京外通电子技术公司 | 虚拟专用网络vpn安全防护方法及fpga |
| CN111756628A (zh) * | 2020-05-14 | 2020-10-09 | 深圳震有科技股份有限公司 | 一种数据包转发处理方法、系统、智能网卡及cpu |
-
2007
- 2007-04-25 CN CNA2007100980230A patent/CN101296168A/zh active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101771600B (zh) * | 2008-12-30 | 2012-12-12 | 北京天融信网络安全技术有限公司 | 多核下连接并发处理的方法 |
| CN102075421A (zh) * | 2010-12-30 | 2011-05-25 | 杭州华三通信技术有限公司 | 服务质量处理方法及装置 |
| CN103001877A (zh) * | 2012-12-11 | 2013-03-27 | 太仓市同维电子有限公司 | 一种用于家庭网关产品上的数据绑定方法 |
| CN103188355A (zh) * | 2013-04-02 | 2013-07-03 | 汉柏科技有限公司 | 一种通过预判断对报文进行动态匹配的方法 |
| CN103188355B (zh) * | 2013-04-02 | 2016-03-02 | 汉柏科技有限公司 | 一种通过预判断对报文进行动态匹配的方法 |
| CN103227752A (zh) * | 2013-05-14 | 2013-07-31 | 盛科网络(苏州)有限公司 | 以太网交换芯片中策略路由的实现方法和装置 |
| CN105262766A (zh) * | 2015-11-03 | 2016-01-20 | 盛科网络(苏州)有限公司 | 多重安全策略组的芯片实现方法 |
| CN105262766B (zh) * | 2015-11-03 | 2018-09-11 | 盛科网络(苏州)有限公司 | 多重安全策略组的芯片实现方法 |
| CN105635167A (zh) * | 2016-01-25 | 2016-06-01 | 盛科网络(苏州)有限公司 | 一种使用硬件实现报文编辑功能的方法及装置 |
| CN107612907A (zh) * | 2017-09-15 | 2018-01-19 | 北京外通电子技术公司 | 虚拟专用网络vpn安全防护方法及fpga |
| CN111756628A (zh) * | 2020-05-14 | 2020-10-09 | 深圳震有科技股份有限公司 | 一种数据包转发处理方法、系统、智能网卡及cpu |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101296168A (zh) | 芯片内部连接表支持策略路由的方法 | |
| CN110050448B (zh) | 管理多播业务的系统和方法 | |
| US9363178B2 (en) | Method, apparatus, and system for supporting flexible lookup keys in software-defined networks | |
| US20160301603A1 (en) | Integrated routing method based on software-defined network and system thereof | |
| EP3200399B1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
| WO2005067532A3 (en) | Managing processing utilization in a network node | |
| CN102377640B (zh) | 一种报文处理装置和报文处理方法、及预处理器 | |
| WO2014153967A1 (zh) | 一种OpenFlow网络中流表配置的方法、装置和系统 | |
| CN104272656A (zh) | 软件定义网络中的网络反馈 | |
| US20120287782A1 (en) | Programmable and high performance switch for data center networks | |
| TW201445930A (zh) | 封包交換裝置及方法 | |
| EP3200398B1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
| Ricart‐Sanchez et al. | Toward hardware‐accelerated QoS‐aware 5G network slicing based on data plane programmability | |
| CN101834871B (zh) | 一种开放式路由器装置及其方法 | |
| CN107615710A (zh) | Sdn交换机中的直接回复动作 | |
| WO2004079993A1 (fr) | Commutateur ethernet et procede de traitement d'un message de celui-ci | |
| CN100446509C (zh) | 实现重定向报文正确转发的方法及第一部件、第二部件 | |
| CN101212314A (zh) | 单一芯片实现多项网络安全功能的方法 | |
| CN110278152A (zh) | 一种建立快速转发表的方法及装置 | |
| CN104363185B (zh) | 一种微型复合网络数据交换系统 | |
| KR101530013B1 (ko) | 효율적인 네트워크 주소 변환 및 애플리케이션 레벨 게이트웨이 프로세싱을 위한 장치 및 방법들 | |
| CN102572735A (zh) | 开放移动通讯联盟的方法与装置 | |
| CN101577647B (zh) | 一种支持多vlan的告警箱及其告警处理方法 | |
| CN108833284A (zh) | 一种云平台和idc网络的通信方法及装置 | |
| CN108834140A (zh) | 一种数据处理终端及其处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20081029 |