CN101420371B - Asic融合网络设备的一种动态功能支持方法及系统 - Google Patents
Asic融合网络设备的一种动态功能支持方法及系统 Download PDFInfo
- Publication number
- CN101420371B CN101420371B CN2008100229528A CN200810022952A CN101420371B CN 101420371 B CN101420371 B CN 101420371B CN 2008100229528 A CN2008100229528 A CN 2008100229528A CN 200810022952 A CN200810022952 A CN 200810022952A CN 101420371 B CN101420371 B CN 101420371B
- Authority
- CN
- China
- Prior art keywords
- module
- function
- packet
- dynamic cooperation
- asic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种ASIC融合网络设备的一种动态功能支持方法及系统,包括主要由融合ASIC模块(120)和交换模块(130)、软件功能模块(160)和数据总线(150)组成基本的ASIC架构融合模式网络设备,其中融合ASIC模块(120)和交换模块(130)为硬件层面,软件功能模块(160)为软件层面,其特征在于:在所述基本ASIC架构融合模式网络设备的基础上,在软件层面新增动态协同控制模块(170),在硬件层面新增动态协同模块(110)和动态协同策略表模块(140)。采用本发明方法,可对ASIC架构的“融合”模式接入网设备进行低成本、低复杂度改造,使其能够在保持原有性能优势的基础上,动态支持新的功能,同时能够为通信双方动态的提供各个级别的监控和过滤,大大提高了设备的功能扩展性和灵活性。
Description
技术领域
本发明涉及网络通信、网络安全和组网技术领域,特别涉及一种网络接入的融合方法及设备。
背景技术
传统的接入网设备遵循的是一种“细化”模式。从功能上看,通常是一种功能对应一种设备,例如交换机对应网络的2层乃至3层交换功能,防火墙对应网络的安全访问控制功能,而路由器对应强大的异种网互联功能。在该模式下,网络的接入通常需要使用多个接入设备串接完成,依次是交换机、防火墙和路由器。随着接入网规模的扩大,各种应用的不断涌现,“细化”模式的网络组网成本、网络运营和维护成本越来越高,网络的时延也越来越大。近年来,接入网设备,尤其是一些中、小型接入网设备中呈现出了一种“融合”模式,传统的单一功能的网络设备正在被“融合”多种功能的网络设备所取代。
为了满足网络发展需求,“融合”模式网络设备面临3个主要需求:
功能扩展性要求高。传统接入设备的新增功能往往通过新增专门设备完成,如单独增加虚拟专用网(Virtual Private Network,VPN)设备,可实现虚拟专用网功能。而在“融合”模式下,一台设备实现完全接入,因此,“融合”模式设备除了必需具备二层交换、三层路由和安全过滤等功能外,还应能根据新应用的需要灵活的支持各种新功能,具备良好的功能扩展性;
性能要求大幅度提高。随着各种多媒体应用的开发和普及,网络带宽越来越多,现在已经千兆入户,需要“融合”设备提供吉比特级速率支持。
灵活度要求高。随着新的应用软件的出现,例如Edonkey等P2P下载软件和各种IM的聊天软件(这些协议都是在传输层以上,甚至涉及到应用层的服务),网络威胁的种类越来越多,对接入设备安全功能要求更高,需要能够针对通信双方动态提供从“包”到“流”乃至“会话”各级的监控和过滤,而且还可根据需要改变过滤的级别。
“融合”模式的接入网设备通常有以下三种实现方式:
1、系统集成实现“融合”。将传统上分离的交换设备、防火墙设备和路由设备通过设备集成方式实现功能集成,或者通过将各种功能的PCB板连接实现功能集成。中国专利CN1556633A和CN1805410公布了两种交换设备集成防火墙功能的方法,其本质都是针对分离的防火墙插板和分离的交换单板利用集成方法实现。系统集成一方面扩展新应用、新功能的难度大,另一方面,系统性能未能得到提高,而且还新增了限制性能的部分——连接交换单板和防火墙单板的传输部分。
2、软件系统实现“融合”。基于商用协议栈或者基本协议栈,辅以NETFILTER/IPTABLE安全模块和路由模块,采用纯软件的方式实现。这种实现方式功能扩展性好,灵活性高,能够方便的提供“包”、“流”乃至“会话”级服务,但数据处理能力弱,无法适应吉比特网络环境。
3、基于具有“融合”功能的专用集成电路(Application SpecificIntergrated Circuits,ASIC)芯片实现“融合”。中国专利CN1595877公布了一种在一个芯片上同时实现二层交换、三层路由、数据内容过滤及防火墙功能的方法,可以支持很高的过滤速度并且能够支持数据包线速转发。
总之,基于ASIC实现的融合网络设备能够支持吉比特以上的接口速率,是目前一种比较先进的架构。然而这种实现方式存在其固有的缺点:功能扩展性差,主要基于硬件处理,定制电路,新功能扩展时需要修改电路,代价大,周期长。
发明内容
本发明针对现有ASIC架构“融合”模式设备性能高但是功能扩展性差且支持灵活度低的问题,提供一种能够兼具硬件处理的高性能,同时能够动态支持功能扩展的ASIC融合网络设备的一种动态功能支持方法及系统。
本发明是这样实现的:一种ASIC融合网络设备的一种动态功能支持方法及系统,包括主要由融合ASIC模块和交换模块、软件功能模块和数据总线组成基本的ASIC架构融合模式网络设备,其中融合ASIC模块和交换模块为硬件层面,软件功能模块为软件层面,其特征在于:在所述基本ASIC架构融合模式网络设备的基础上,在软件层面新增动态协同控制模块,在硬件层面新增动态协同模块和动态协同策略表模块,所述新增模块的连接关系如下:
所述动态协同控制模块与软件功能模块存在双向数据通道连接,在输入方向上用来接收软件功能模块传送的新策略,在输出方向上用来将所述动态协同模块送来的数据包交给相应的软件功能模块;所述动态协同控制模块与所述数据总线存在双向数据连接,在输入方向上用来通过所述数据总线接收硬件筛选出来的需要进行功能调节的数据包,在输出方向上用来通过所述数据总线向动态协同策略表模块发送修改的策略表表项,
所述动态协同策略表模块与所述数据总线存在输入方向的数据通道连接,用来通过所述数据总线接收修改的策略表表项;所述动态协同策略表模块与所述动态协同模块存在双向连接,在输入方向上用来接收所述动态协同模块的查表请求和查表关键字,在输出方向上,用来传送所述动态协同策略表查表的结果,
所述动态协同模块与所述融合ASIC模块存在输出方向的连接,该输出方向的连接用来传送需要所述融合ASIC模块完成处理的数据包,此外,动态协同模块用一个输入连接来接收外部需要处理的输入数据,
所述动态协同控制模块包括策略生成与动态维护单元、表项管理单元和功能选择单元,策略生成与动态维护单元接收新生成策略并维护内部的策略库,生成新的策略表表项并通告表项管理单元,表项管理单元对动态协同策略表模块内的表项进行更新,功能选择单元接收硬件筛选出来的需要进行功能调节的数据包,然后将其送交软件功能模块内对应的功能子模块进行处理,
所述动态协同策略表模块为独立模块,用于存放策略表表项,
所述动态协同模块包括依次连接的输入缓存单元、数据包特征域提取单元、匹配关键字生成单元、查表控制电路单元和输出控制单元,所述输入缓存单元用来缓存输入的数据包,所述数据包特征域提取单元用来从所述输入缓存单元中读取数据包并对数据包的各个特征域进行提取,提取出的特征域由所述匹配关键字生成单元组成查表关键字,所述查表控制电路单元控制查表关键字输入到动态协同策略表模块进行查表,并读取出查表结果,所述输出控制单元根据查表结果判断数据的输出方向,包括:若查表未能命中,则将数据包输出至融合ASIC模块;若查表命中,则将数据包上交功能选择单元。
以上所述方法的具体实施步骤如下:
步骤a、软件生成动态策略表
a1、目标功能模块分配功能标识码。
目标功能包括两部分:一是系统动态增添新的功能,例如系统根据需要新增因特网协议安全(Intemet Protocol security,IPSEC)功能;二是系统为通信双方动态调整服务级别,例如,系统对某连接的服务从“包”级监控上升到“会话”级监控。目标功能模块指的是完成目标功能的软件功能模块,例如上例中软件新增的IPSEC处理模块和完成“会话”级监控的应用层代理模块。
标识码用来标识功能模块。若系统支持N种功能,为N个功能模块分配编号0,1,2,...,N-1,对应的二进制编码即为功能模块的标识码。
a2、目标功能模块生成数据包的特征字和掩码并组成策略输出
系统所述目标功能反映在数据包层面,包括物理层、数据链路层、网络层、传输层和应用层共五个层面的数据,在每一个层面上都包括许多数据的特征域,系统所有功能所涉及的特征域的组合即形成特征字。系统进行新增功能或者功能调整时,需要筛选进行调整目标功能的数据包,显然,数据包的筛选要基于特征字中完成目标功能所涉及的部分特征域组合来完成,例如,所述的对某连接的服务级别进行功能调整时,需要对特征字网络层部分的“目的IP地址”、“源IP地址”、“协议”及传输层部分的“目的端口号”和“源端口号”进行选取(选取可根据成熟的掩码技术完成,掩码可根据各个特征域在特征字中所处的位置及长度唯一生成)。
该阶段目标功能模块根据所要完成的功能,生成能够标识目标功能的特征字和对应的掩码,然后将特征字、掩码和该功能的功能标识码组成一条新策略。其中,策略的关键字(key)部分由该功能模块的特征字构成;策略的结果部分由该功能模块的标识码构成。
a3、策略生成与动态维护模块将输入的策略与策略库中的策略进行匹配,若匹配成功则修改原策略的结果部分,将新的功能标识码添加到原来的结果部分,否则,将该策略添加到策略库中。
a4、表项管理模块接收新策略,然后修改或添加动态协同策略表中对应的表项。
优选的,步骤a1,a2,a3,a4所述模块由软件实现。
优选的,动态协同策略表表项存储在专用硬件中。
步骤b:根据动态策略表实现软/硬件协同调整功能
b1、动态协同模块接收外部输入数据包,提取特征字形成查表关键字,查找动态协同策略表。
b2、读取查表结果并根据结果控制数据的输出。包括:若查表未能命中,则将数据包直接交给后续的ASIC处理;若查表命中,则将查表结果以
标签形式粘贴在数据包头部一并上交功能选择模块。
b3、功能选择单元将数据包送交目标功能模块。功能选择单元接收数据包,根据数据包头部的标签将该包送交对应的目标功能模块。
b4、目标功能模块接收数据包,完成处理后将数据包输出。
优选的,步骤b1,b2由可编程逻辑器件(Field Programmable GateArray,FPGA)实现。
优选的,步骤b3,b4由软件完成。
实现该方法的系统包括:动态协同模块,包括依次连接的输入缓存单元、数据包特征域提取单元、匹配关键字生成单元、查表控制电路单元和输出控制单元。该动态协同模块可根据动态协同策略表的查表结果将需要进行功能调整和服务级别调整的数据包动态筛选出来,由于基于FPGA实现,从而还可以修改电路支持复杂功能的数据包筛选。
融合ASIC,用于实现易于硬件处理的二层交换功能、三层转发功能和简单的“流”过滤功能等。
交换模块,用来在物理“融合”模式网络设备的物理端口间转发报文,实现报文端口间交换功能。
动态协同策略表模块,用来存放策略表表项,可利用独立的随机存取存储器(Random Access Memory,RAM)或者三态内容关联存储器(TernaryContent Addressable Memory,TCAM)实现,也可利用FPGA内部资源实现。
数据总线,用来实现软件层面和硬件层面的数据传输,下发并维护动态协同策略表。
软件功能模块,包括各种功能模块,软件实现设备所需的多种功能,例如应用代理软件模块,IPSEC安全处理模块等。
动态协同控制模块,包括策略生成与动态维护单元、表项管理单元、功能选择单元。该模块与各个软件功能模块相接,当目标功能模块进行功能调整时,该模块接收、维护新生成策略,并将策略通过总线下发给硬件层面中的动态协同策略表模块;该模块还通过总线接收动态协同模块上交的功能调整数据包,根据数据包头部粘贴的标签将该包送交对应的目标功能模块。
其中,所述融合ASIC、交换模块和软件功能模块组成“融合”模式高性能接入网络设备的当前实现架构,所述动态协同模块、动态协同策略表模块和动态协同控制模块是新增功能模块,能够支持当前设备实现功能和服务级别的动态调整。
本发明提供了一种动态协同方法,实现了对ASIC架构“融合”模式接入设备的改造,使其能够兼具硬件处理的高性能,同时能够动态支持功能扩展,为通信双方动态的提供各个级别的监控和过滤。
本发明的有益效果:
采用本发明方法,可对ASIC架构的“融合”模式接入网设备进行低成本、低复杂度改造,使其能够在保持原有性能优势的基础上,动态支持新的功能,同时能够为通信双方动态的提供各个级别的监控和过滤,大大提高了设备的功能扩展性和灵活性。
附图说明
图1为本发明的系统结构示意图。
图2为本发明的动态协同模块结构示意图。
图3为本发明的新增功能及功能动态调整的流程图。
图4(a)系统特征字结构示意图。
图4(b)本例的掩码示意图。
图中:动态协同模块110、融合ASIC模块120、交换模块130、动态协同策略表模块140、数据总线150、软件功能模块160、动态协同控制模块170、输入缓存单元211、数据包特征域提取单元212、匹配关键字生成单元213、策略生成与动态维护单元171、功能选择单元172、表项管理单元173、查表控制电路单元214、输出控制单元215。
具体实施方式
下面结合附图详细描述本发明的技术方案。
首先详述本发明的系统。
高性能“融合”模式的网络接入设备需要采用硬件处理才能实现吉比特级速率支持,其中,基于硬件ASIC形式完成数据处理功能是设计的首选。图1中,融合ASIC模块120、交换模块130、软件功能模块160和数据总线150组成基本的ASIC架构融合模式网络设备。其中,融合ASIC模块120以专用硬件电路形式实现易于硬件处理的二层交换功能、三层转发功能和简单的“流”过滤功能等;交换模块130以硬件实现高速报文的端口间交换功能;软件功能模块160用来完成数据包的各种处理功能和硬件的管理维护功能;数据总线150用来实现软件层面和硬件层面的数据传输,下发并维护动态协同策略表。ASIC的定制电路特性导致了融合模式网络设备缺乏功能的可扩展性和灵活性。考虑到功能模块160基于软件实现,可方便的增加新的处理功能,因此,本发明在基本ASIC架构的基础上,通过在软件层面新增动态协同控制模块(170),在硬件层面新增动态协同模块(110)和动态协同策略表模块(140),提高设备的功能易扩展性和功能调节的灵活性。
如图1所示,新增模块的连接关系如下:
1、动态协同控制模块170与软件功能模块160存在双向数据通道连接,在输入方向上用来接收软件功能模块160传送的新策略,在输出方向上用来将所述动态协同模块110送来的数据包交给相应的软件功能模块160;动态协同控制模块170与数据总线150存在双向数据连接,在输入方向上用来通过数据总线150接收硬件筛选出来的需要进行功能调节的数据包,在输出方向上用来通过数据总线150向动态协同策略表模块140发送修改的策略表表项。
2、动态协同策略表模块140与数据总线150存在输入方向的数据通道连接,用来通过数据总线150接收修改的策略表表项;动态协同策略表模块140与动态协同模块110存在双向连接,在输入方向上用来接收动态协同模块110的查表请求和查表关键字(key),在输出方向上,用来传送动态协同策略表查表的结果。
3、动态协同模块110除与动态协同策略表模块140存在双向连接外,与融合ASIC模块120存在输出方向的连接,该输出方向的连接用来传送需要ASIC完成处理的数据包,此外,动态协同模块110用一个输入连接来接收外部需要处理的输入数据。
新增模块的结构和功能如下:
如图1所示,动态协同控制模块170包括策略生成与动态维护单元、表项管理单元、功能选择单元。当软件功能模块160内增加新的功能子模块或者某功能子模块进行功能调整时,策略生成与动态维护单元171接收新生成策略并维护内部的策略库,生成新的策略表表项并通告表项管理单元173,表项管理单元173即对动态协同策略表模块140内的表项进行更新,功能选择单元172接收硬件筛选出来的需要进行功能调节的数据包,然后将其送交软件功能模块160内对应的功能子模块进行处理。
如图1所示,动态协同策略表模块140为独立模块,可利用独立的RAM或者TCAM实现,也可利用FPGA内部资源实现,用于存放策略表表项。
如图2所示,动态协同模块110包括依次连接的输入缓存单元211、数据包特征域提取单元212、匹配关键字生成单元213、查表控制电路单元214和输出控制单元215。输入缓存单元211用来缓存输入的数据包,数据包特征域提取单元212用来从输入缓存单元211中读取数据包并对数据包的各个特征域进行提取,提取出的特征域由匹配关键字生成单元213组成查表关键字,查表控制电路单元214控制查表关键字输入到动态协同策略表模块140进行查表,并读取出查表结果,输出控制单元215根据查表结果判断数据的输出方向,包括:若查表未能命中,则将数据包输出至ASIC;若查表命中,则将数据包上交172模块。
动态协同控制模块170基于软件实现,动态协同模块110推荐使用FPGA实现,采用FPGA的优点在于可以对其电路进行修改,实现具有复杂功能的数据包筛选。动态协同策略表模块140可使用RAM或者TCAM实现,还可嵌入在动态协同模块110内部实现。
下述内容基于上文所述系统,详述本发明方法的实施。
图3为本发明新增功能及功能动态调整流程,包括软件生成动态协同策略表和根据动态协同策略表实现软/硬件协同调整功能两部分,其中,步骤301-304为软件生成动态协同策略表部分,步骤304-308为根据动态协同策略表实现软/硬件协同调整功能部分。
软件生成动态协同策略表具体包括步骤:
301:目标功能模块分配功能标识码
目标功能包括两部分:一是系统动态增添新的功能,例如系统需要新增VPN功能;二是系统为通信双方动态调整服务级别,例如,系统要对某连接的服务从“包”级监控上升到“会话”级监控。目标功能模块指的是完成目标功能的模块,例如上例中软件新增的VPN处理模块和完成“会话”级监控的应用层代理模块。标识码用来标识功能模块,若系统支持N种功能,为N个功能模块分配编号0,1,2,...,N-1,对应的二进制编码即为功能模块的标识码。
下面,以系统对某连接(以五元组信息,即源IP、目的IP、协议、源端口和目的端口,唯一标识)的过滤功能从“包”级调整到“会话”级为目标功能,举例详述整个流程。若系统定义共支持16种功能,会话级过滤功能(即应用代理功能,可由代理软件实现)分配的编号为15,则我们可定义该目标功能的标识码为“1111”。
302:目标功能模块生成数据包的特征字和掩码并组成策略输出
系统所述目标功能反映在数据包层面,包括物理层、数据链路层、网络层、传输层和应用层共五个层面的数据,在每一个层面上都包括许多数据的特征域,系统所有功能所涉及的特征域组合即形成特征字。图4(a)是示例系统的特征字结构示意图,长度为72字节,物理层仅包括物理接口一个特征域,长度1个字节,链路层、网络层和传输层的长度分别为14字节、20字节、20字节,其余为应用层包负荷的长度。
本例所述目标功能是对某连接的过滤功能从“包”级调整到“会话”级,仅需从特征字中选取“源IP”、“目的IP”、“协议”、“源端口”和“目的端口”五个特征域,便可将目标功能所涉及的数据包筛选出来。五个特征域的选取任务可利用成熟的掩码技术完成,所用掩码如图4(b)所示,掩码与特征字按比特一一对应,其中‘0’表示对应的特征字比特不参与比较,‘1’表示对应的特征字比特参与比较。
上述特征字、掩码和目标功能标识码组成一条新策略,其中,策略的关键字(key)部分由该功能模块的特征字和掩码构成,策略的结果部分由目标功能的标识码“1111”构成。
303:策略生成与动态维护模块匹配该策略并进行策略的添加或修改
策略生成与动态维护模块对策略库进行动态维护,当目标功能对应新策略输入该模块后,该模块首先将新输入策略的关键字(key)部分与策略库中的策略进行匹配,若匹配成功,则仅将匹配后策略的结果部分修改为新的目标功能标识码“1111”即可,若匹配不成功,则需要将新的策略追加到策略库中。
304:表项管理模块添加或修改动态协同策略表的对应表项
当策略生成或动态维护模块中的策略发生变换时,策略生成与维护模块将修改后的策略通知表项管理模块,由表项管理模块负责对存储器(140)中的动态协同策略表进行相应更新。
优选的,步骤301-304所述功能由软件完成,动态协同策略表存储器模块(140)由TCAM实现。
至此,软件部分完成了动态协同策略表的生成和下发,后续由软/硬件协同完成目标功能的动态调整。
根据动态策略表实现软/硬件动态协同包括步骤:
305:动态协同模块对输入数据包提取特征字并查找动态协同策略表
优选的,动态协同模块由FPGA实现,具有可编程性质,可根据需要对电路进行重构,增加系统功能支持的灵活性。
如图2所示,该模块包括输入缓存单元211、数据包特征域提取单元212、匹配关键字生成单元213、查表控制电路单元和输出控制单元214。输入数据包首先进入211单元缓存,随后,212单元从中读出数据包,并提取数据包各个相关的特征域,匹配关键字生成单元根据提取后的特征域生成查表关键字,关键字的构成与图4(a)所示的特征字结构相同。213单元控制关键字输入140模块(TCAM)进行查表。
306:读取查表结果并根据结果控制数据的输出
关键字输140模块后,若查表未能命中任何策略表项,则表明该包不需要进行功能调整,由214单元直接交给后续的120模块由硬件高速处理;本例中,数据包查表命中且查表的结果为“1111”,表明该包是功能调整包,需要将查表结果以标签形式粘贴在数据包头部并上交给172模块,数据包的上交由214单元通过150模块完成。
307:功能选择单元将数据包送交目标功能模块
172单元从150模块上接收110模块上报的数据包,根据数据包头部的标签将该包送交对应的160子模块。本实施例中,172单元收到标签值为“1111”的数据包后将该包送交代理软件模块,完成“会话”级过滤。
308:目标功能模块接收数据包,完成处理后将数据包输出。
本实施例中,代理软件完成数据包的处理后,通过150模块将处理后的数据包递交130模块输出给对应的接口,除非对策略进行修改,否则,后续该连接的所有数据包都将依照上述305-308步骤完成,从而实现了该连接的服务级别的调整,此时目标任务完成。
优选的,步骤305,306由FPGA实现。
优选的,步骤304,308由软件完成。
按照上述方法,系统新增功能或者进行功能调整,可根据上述的301-304动态的生成新策略,动态的更新动态协同策略表,然后由步骤305-308中所涉及的硬/软件协同完成任务,这样,可在不改变ASIC架构的情形下,提高系统的功能可扩展性和灵活性。
Claims (4)
1.一种ASIC融合网络设备的动态功能支持方法,包括主要由融合ASIC模块(120)和交换模块(130)、软件功能模块(160)和数据总线(150)组成基本的ASIC架构融合模式网络设备,其中融合ASIC模块(120)和交换模块(130)为硬件层面,软件功能模块(160)为软件层面,其特征在于:在所述基本ASIC架构融合模式网络设备的基础上,在软件层面新增动态协同控制模块(170),在硬件层面新增动态协同模块(110)和动态协同策略表模块(140),所述新增模块的连接关系如下:
所述动态协同控制模块(170)与软件功能模块(160)存在双向数据通道连接,在输入方向上用来接收软件功能模块(160)传送的新策略,在输出方向上用来将所述动态协同模块(110)送来的数据包交给相应的软件功能模块(160);所述动态协同控制模块(170)与所述数据总线(150)存在双向数据连接,在输入方向上用来通过所述数据总线(150)接收硬件筛选出来的需要进行功能调节的数据包,在输出方向上用来通过所述数据总线(150)向动态协同策略表模块(140)发送修改的策略表表项,
所述动态协同策略表模块(140)与所述数据总线(150)存在输入方向的数据通道连接,用来通过所述数据总线(150)接收修改的策略表表项;所述动态协同策略表模块(140)与所述动态协同模块(110)存在双向连接,在输入方向上用来接收所述动态协同模块(110)的查表请求和查表关键字,在输出方向上,用来传送所述动态协同策略表模块(140)查表的结果, 所述动态协同模块(110)与所述融合ASIC模块(120)存在输出方向的连接,该输出方向的连接用来传送需要所述融合ASIC模块(120)完成处理的数据包,此外,动态协同模块(110)用一个输入连接来接收外部需要处理的输入数据,
所述动态协同控制模块(170)包括策略生成与动态维护单元(171)、表项管理单元(173)和功能选择单元(172),策略生成与动态维护单元(171)接收新生成策略并维护内部的策略库,生成新的策略表表项并通告表项管理单元(173),表项管理单元(173)对动态协同策略表模块(140)内的表项进行更新,功能选择单元(172)接收硬件筛选出来的需要进行功能调节的数据包,然后将其送交软件功能模块(160)内对应的功能子模块进行处理,
所述动态协同策略表模块(140)为独立模块,用于存放策略表表项,
所述动态协同模块(110)包括依次连接的输入缓存单元(211)、数据包特征域提取单元(212)、匹配关键字生成单元(213)、查表控制电路单元(214)和输出控制单元(215),所述输入缓存单元(211)用来缓存输入的数据包,所述数据包特征域提取单元(212)用来从所述输入缓存单元(211)中读取数据包并对数据包的各个特征域进行提取,提取出的特征域由所述匹配关键字生成单元(213)组成查表关键字,所述查表控制电路单元(214)控制查表关键字输入到动态协同策略表模块(140)进行查表,并读取出查表结果,所述输出控制单元(215)根据查表结果判断数据的输出方向,包括:若查表未能命中,则将数据包输出至融合ASIC模块;若查表命中,则将数据包上交功能选择单元(172)。
2.根据权利要求1所述的一种ASIC融合网络设备的动态功能支持方法,其特征在于:所述动态协同控制模块(170)基于软件实现,所述动态协同模块(110)使用FPGA实现,所述动态协同策略表模块(140)使用RAM或者TCAM实现,或嵌入在动态协同模块(110)内部实现。
3.根据权利要求1或2所述的一种ASIC融合网络设备的动态功能支持方法,其特征在于:所述方法的具体实施步骤如下:
步骤a、软件生成动态策略表
a1、目标功能模块分配功能标识码
目标功能包括两部分:一是系统动态增添新的功能,二是系统为通信双方动态调整服务级别,目标功能模块指的是完成目标功能的软件功能模块,功能标识码用来标识功能模块,
a2、目标功能模块生成数据包的特征字和掩码并组成策略输出
系统所述目标功能反映在数据包层面,包括物理层、数据链路层、网络层、传输层和应用层共五个层面的数据,在每一个层面上都包括许多数据的特征域,系统所有功能所涉及的特征域的组合形成特征字,系统进行新增功能或者功能调整时,需要筛选出进行目标功能调整的数据包,数据包的筛选要基于特征字中完成目标功能所涉及的部分特征域组合来完成,目标功能模块根据所要完成的功能,生成能够标识目标功能的特征字和对应的掩码,然后将特征字、掩码和该目标功能的功能标识码组成一条新策略,其中,策略的关键字部分由该目标功能模块的特征字和掩码构成,用来筛选出进行目标功能调整的数据包;策略的结果部分由该功能模块的标 识码构成,用来标识相应的功能模块,
a3、策略生成与动态维护模块将输入的策略与策略库中的策略进行匹配,若匹配成功则修改原策略的结果部分,将新的功能标识码添加到原来的结果部分,否则,将该策略添加到策略库中,
a4、表项管理模块接收新策略,然后修改或添加动态协同策略表中对应的表项;
步骤b:根据动态策略表实现软/硬件协同调整功能
b1、动态协同模块接收外部输入数据包,提取特征字形成查表关键字,输入动态协同策略表模块进行查找,
b2、读取查表结果并根据结果控制数据的输出
包括:若查表未能命中,则将数据包直接交给后续的ASIC处理;若查表命中,则将查表结果以标签形式粘贴在数据包头部一并上交功能选择单元,
b3、功能选择单元将数据包送交目标功能模块
功能选择单元接收数据包,根据数据包头部的标签将该包送交对应的目标功能模块,
b4、目标功能模块接收数据包,完成处理后将数据包输出。
4.根据权利要求3所述的一种ASIC融合网络设备的动态功能支持方法,其特征在于:步骤a1,a2,a3,a4所述模块由软件实现,所述动态协同策略表表项存储在专用硬件中,步骤b1,b2由可编程逻辑器件实现,步骤b3,b4由软件完成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100229528A CN101420371B (zh) | 2008-07-03 | 2008-07-03 | Asic融合网络设备的一种动态功能支持方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100229528A CN101420371B (zh) | 2008-07-03 | 2008-07-03 | Asic融合网络设备的一种动态功能支持方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101420371A CN101420371A (zh) | 2009-04-29 |
| CN101420371B true CN101420371B (zh) | 2010-12-01 |
Family
ID=40630986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100229528A Expired - Fee Related CN101420371B (zh) | 2008-07-03 | 2008-07-03 | Asic融合网络设备的一种动态功能支持方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101420371B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746869B (zh) * | 2013-12-24 | 2017-11-10 | 武汉烽火网络有限责任公司 | 结合数据/掩码和正则表达式的多级深度包检测方法 |
| CN104133692A (zh) * | 2014-06-13 | 2014-11-05 | 大连梯耐德网络技术有限公司 | 一种基于fpga动态重构技术实现对tcam的多元化配置系统及配置方法 |
| TW201720345A (zh) * | 2015-12-11 | 2017-06-16 | 富奇想股份有限公司 | 智慧鏡功能組件運作方法、智慧鏡功能組件與智慧鏡系統 |
| CN107608255A (zh) * | 2016-07-12 | 2018-01-19 | 深圳市中兴微电子技术有限公司 | 一种芯片架构重构方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595877A (zh) * | 2004-06-23 | 2005-03-16 | 四川南山之桥微电子有限公司 | 在一个芯片上同时实现二层交换、三层路由、数据内容过滤及防火墙功能的方法 |
| CN1805410A (zh) * | 2006-01-24 | 2006-07-19 | 杭州华为三康技术有限公司 | 具有防火墙功能的交换设备 |
| CN1809035A (zh) * | 2006-02-10 | 2006-07-26 | 江苏华丽网络工程有限公司 | 新型集成路由交换功能的防火墙设备 |
| CN1937574A (zh) * | 2005-09-19 | 2007-03-28 | 北京大学 | 对网络流进行分类、状态跟踪和报文处理的装置和方法 |
-
2008
- 2008-07-03 CN CN2008100229528A patent/CN101420371B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595877A (zh) * | 2004-06-23 | 2005-03-16 | 四川南山之桥微电子有限公司 | 在一个芯片上同时实现二层交换、三层路由、数据内容过滤及防火墙功能的方法 |
| CN1937574A (zh) * | 2005-09-19 | 2007-03-28 | 北京大学 | 对网络流进行分类、状态跟踪和报文处理的装置和方法 |
| CN1805410A (zh) * | 2006-01-24 | 2006-07-19 | 杭州华为三康技术有限公司 | 具有防火墙功能的交换设备 |
| CN1809035A (zh) * | 2006-02-10 | 2006-07-26 | 江苏华丽网络工程有限公司 | 新型集成路由交换功能的防火墙设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101420371A (zh) | 2009-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103685009B (zh) | 数据包的处理方法、控制器及系统 | |
| CN102158421B (zh) | 创建三层接口的方法及单元 | |
| CN100417142C (zh) | 将接口流量在多个网络处理器引擎中均担的方法 | |
| CN102368727B (zh) | 跨ip网络的trill网络通信方法、系统和设备 | |
| CN102970150A (zh) | 用于数据中心的可扩展组播转发方法和设备 | |
| CN103227757A (zh) | 一种报文转发方法及设备 | |
| CN100420193C (zh) | 一种组播转发表输出端口的虚拟标识方法 | |
| US10097481B2 (en) | Methods and apparatus for providing services in distributed switch | |
| CN100563215C (zh) | 一种报文路由交换装置及其方法 | |
| CN102413190A (zh) | 一种基于云计算的网络架构及其虚拟网络管理方法 | |
| US9935779B1 (en) | Methods and apparatus for using virtual local area networks in a switch fabric | |
| CN104243323B (zh) | 交换网多播路由方法及系统 | |
| CN106603407A (zh) | 组播地址的传输方法和装置 | |
| CN101420371B (zh) | Asic融合网络设备的一种动态功能支持方法及系统 | |
| US10250489B2 (en) | Multi-chassis link aggregation learning on standard ethernet links | |
| CN107317752A (zh) | 一种转发数据报文的方法及装置 | |
| CN102316030A (zh) | 一种实现数据中心二层互联的方法和装置 | |
| CN103873464B (zh) | 报文处理的方法及转发设备 | |
| Wang et al. | SprintNet: A high performance server-centric network architecture for data centers | |
| WO2012149867A1 (zh) | 数据中心网络系统 | |
| CN102413060A (zh) | Vpls网络中用户专线通信方法及设备 | |
| US20120250685A1 (en) | Forwarding groups of multicast flows | |
| US20120320917A1 (en) | Apparatus and method for forwarding scalable multicast packet for use in large-capacity switch | |
| WO2012149857A1 (zh) | 数据中心网络系统的路由方法 | |
| CN101729425A (zh) | Vrrp组网中流量发送的方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101201 Termination date: 20140703 |
|
| EXPY | Termination of patent right or utility model |