CN104270344B - 万兆网闸 - Google Patents
万兆网闸 Download PDFInfo
- Publication number
- CN104270344B CN104270344B CN201410464666.2A CN201410464666A CN104270344B CN 104270344 B CN104270344 B CN 104270344B CN 201410464666 A CN201410464666 A CN 201410464666A CN 104270344 B CN104270344 B CN 104270344B
- Authority
- CN
- China
- Prior art keywords
- intelligent
- data
- module
- host
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Abstract
本发明公开了一种万兆网闸,属于网络信息安全技术领域。所述万兆网闸包括外网主机、内网主机、以及与所述外网主机和内网主机连接的智能仲裁主机,所述外网主机和内网主机中的一个主机包括第一智能应用接口、第一智能协议剥离模块和第一智能数据交换模块;所述智能仲裁主机包括智能仲裁模块;所述外网主机和内网主机中的另一个主机包括第二智能数据交换模块、第二智能协议重组模块和第二智能应用接口。本发明的万兆网闸可以满足万兆网络信息交换速度要求。
Description
技术领域
本发明涉及网络信息安全技术领域,特别是指一种万兆网闸。
背景技术
网闸(GAP)全称安全隔离网闸,是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。目前,主要存在两种架构的网闸,一种是双主机+物理隔离硬件的双主机架构,另一种是双主机+仲裁机的三主机架构。
双主机架构中,隔离硬件采用电子开关技术,隔离硬件在同一时刻仅有一个方向是通的,即在同一时刻内外网主机仅有一个方向能够与隔离硬件进行通信,从而实现网络的物理隔离,能够有效阻断tcp/ip物理穿透。从目前应用来看,这种技术应用到千兆网络或百兆网络中效果非常好,但在万兆网络环境中,隔离硬件的性能是一个很大的瓶颈,无法满足万兆网络信息交换速度的要求。
三主机架构中,仲裁机的性能要比专用的隔离硬件的性能要高很多,并且所用的硬件技术也比较成熟,性能和稳定性可以得到有效保证。然而,目前三主机架构的网闸,由于其内部结构与双主机架构的网闸基本相同,未充分发挥出三主机架构的优势,仍然难以满足万兆网络信息交换速度的要求。
发明内容
本发明要解决的技术问题是提供一种可以满足万兆网络信息交换速度要求的万兆网闸。
为解决上述技术问题,本发明提供技术方案如下:
提供一种万兆网闸,包括外网主机、内网主机、以及与所述外网主机和内网主机连接的智能仲裁主机,其中:
所述外网主机和内网主机中的一个主机包括:
第一智能应用接口,用于接收本侧的客户端发送的网络数据,将接收到的网络数据发送到第一智能协议剥离模块;
第一智能协议剥离模块,用于接收所述第一智能应用接口发送的网络数据并进行分层剥离,将网络数据还原成应用层元数据,并组装成私有格式数据;
第一智能数据交换模块,用于将第一智能协议剥离模块剥离组装的私有格式数据以私有协议的方式发送到所述智能仲裁主机的智能仲裁模块;
所述智能仲裁主机包括:
智能仲裁模块,用于接收所述第一智能数据交换模块发送的私有格式数据,通过固化的数据交换策略,对私有格式数据进行处理,通过处理的私有格式数据发送到所述外网主机和内网主机中的另一侧;所述外网主机和内网主机中的另一个主机包括:
第二智能数据交换模块,用于接收所述智能仲裁主机的智能仲裁模块发送的私有格式数据,将私有格式数据以私有协议的方式发送到第二智能协议重组模块;
第二智能协议重组模块,用于接收所述第二智能数据交换模块发送的私有格式数据并进行还原重组;
第二智能应用接口,用于将所述第二智能协议重组模块还原重组的网络数据发送到本侧的客户端或服务器;
同时,所述第一智能应用接口,还用于根据主机资源消耗情况,自动调整客户端发送数据包的速率;
所述智能仲裁模块,还用于根据所述第二智能数据交换模块的接收速率以及智能仲裁主机自身的负载情况,自动向所述第一智能数据交换模块发送指令,调整其发送速率。
进一步的,
所述第二智能应用接口,进一步用于接收本侧的客户端发送的网络数据,将接收到的网络数据发送到第二智能协议剥离模块;
所述外网主机和内网主机中的另一个主机还包括:第二智能协议剥离模块,用于接收所述第二智能应用接口发送的网络数据并进行分层剥离,将网络数据还原成应用层元数据,并组装成私有格式数据;
所述第二智能数据交换模块,进一步用于将第二智能协议剥离模块剥离组装的私有格式数据以私有协议的方式发送到所述智能仲裁主机的智能仲裁模块;
所述智能仲裁模块,进一步用于接收所述第二智能数据交换模块发送的私有格式数据,通过固化的数据交换策略,对私有格式数据进行处理,通过处理的私有格式数据发送到所述外网主机和内网主机中的另一侧;
所述第一智能数据交换模块,进一步用于接收所述智能仲裁主机的智能仲裁模块发送的来自网络另一侧的私有格式数据,将私有格式数据以私有协议的方式发送到第一智能协议重组模块;
所述外网主机和内网主机中的一个主机还包括:第一智能协议重组模块,用于接收所述第一智能数据交换模块发送的来自网络另一侧的私有格式数据并进行还原重组;
所述第一智能应用接口,进一步用于将所述第一智能协议重组模块还原重组的网络数据发送到本侧的客户端或服务器;
同时,所述第二智能应用接口,还用于根据主机资源消耗情况,自动调整客户端发送数据包的速率;
所述智能仲裁模块,还用于根据所述第一智能数据交换模块的接收速率以及自身的负载情况,自动向所述第二智能数据交换模块发送指令,调整其发送速率。
进一步的,
所述外网主机和内网主机中的一个主机还包括:
第一智能数据抽取与分发模块,用于与本侧的服务器建立连接,
自动抽取本侧的服务器上的网络数据,并将抽取到的网络数据发送到所述第一智能协议剥离模块;
同时,所述第一智能协议剥离模块,进一步用于接收所述第一智能数据抽取与分发模块发送的网络数据并进行分层剥离,将网络数据还原成应用层元数据,对数据加密生成校验码,并组装成私有格式数据;
所述第二智能数据交换模块,进一步用于接收所述智能仲裁主机的智能仲裁模块发送的私有格式数据,对数据进行完整性校验,数据校验通过后将私有格式数据以私有协议的方式发送到所述第二智能协议重组模块;
所述外网主机和内网主机中的另一个主机还包括:
第二智能数据抽取与分发模块,用于将所述第二智能协议重组模块还原重组的网络数据发送到本侧的服务器;
同时,所述第一智能数据抽取与分发模块,进一步用于根据主机资源消耗情况,自动调整数据抽取速率;
所述第二智能数据抽取与分发模块,进一步用于根据本侧的服务器数据接收速率,自动调整数据分发速率。
进一步的,
所述第二智能数据抽取与分发模块,进一步用于在数据传输完成后确认数据传输是否成功,如果失败,则依次经过所述第二智能数据交换模块和智能仲裁模块向所述第一智能数据交换模块反馈失败信息,以启动数据重传。
进一步的,
所述第二智能数据抽取与分发模块,进一步用于与本侧的服务器建立连接,自动抽取本侧的服务器上的网络数据,并将抽取到的网络数据发送到所述第二智能协议剥离模块;
同时,所述第二智能协议剥离模块,进一步用于接收所述第二智能数据抽取与分发模块发送的网络数据并进行分层剥离,将网络数据还原成应用层元数据,对数据加密生成校验码,并组装成私有格式数据;
所述第一智能数据交换模块,进一步用于接收所述智能仲裁主机的智能仲裁模块发送的私有格式数据,对数据进行完整性校验,数据校验通过后将私有格式数据以私有协议的方式发送到所述第一智能协议重组模块;
所述第一智能数据抽取与分发模块,进一步用于将所述第一智能协议重组模块还原重组的网络数据发送到本侧的服务器;
同时,所述第二智能数据抽取与分发模块,进一步用于根据主机资源消耗情况,自动调整数据抽取速率;
所述第一智能数据抽取与分发模块,进一步用于根据本侧的服务器数据接收速率,自动调整数据分发速率。
进一步的,
所述第一智能数据抽取与分发模块,进一步用于在数据传输完成后确认数据传输是否成功,如果失败,则依次经过所述第一智能数据交换模块和智能仲裁模块向所述第二智能数据交换模块反馈失败信息,以启动数据重传。
进一步的,
所述第一智能协议剥离模块为第一智能双栈协议剥离模块,进一步用于自动判断接收的网络数据是ipv4还是ipv6,对网络数据并进行分层剥离,将网络数据还原成应用层元数据,并根据协议类型组装成不同大小的私有格式数据;
所述第二智能协议重组模块为第二智能双栈协议重组模块,进一步用于接收所述第二智能数据交换模块发送的私有格式数据并根据私有格式数据的大小进行还原重组为ipv4或ipv6数据;
所述第一智能应用接口,进一步用于接收本侧的客户端发送的网络数据,自动识别客户端连接是使用ipv4还是ipv6,自动选择合适的协议栈与客户端建立连接,并根据不同的协议栈自动调整接收数据包的大小、速率和网络参数。
进一步的,
所述第二智能协议剥离模块为第二智能双栈协议剥离模块,进一步用于自动判断接收的网络数据是ipv4还是ipv6,对网络数据并进行分层剥离,将网络数据还原成应用层元数据,并根据协议类型组装成不同大小的私有格式数据;
所述第一智能协议重组模块为第一智能双栈协议重组模块,进一步用于接收所述第一智能数据交换模块发送的私有格式数据并根据私有格式数据的大小进行还原重组为ipv4或ipv6数据;
所述第二智能应用接口,进一步用于接收本侧的客户端发送的网络数据,自动识别客户端连接是使用ipv4还是ipv6,自动选择合适的协议栈与客户端建立连接,并根据不同的协议栈自动调整接收数据包的大小、速率和网络参数。
进一步的,所述万兆网闸使用万兆网卡和/或pci-e3.0 x8硬件接口进行连接。
本发明具有以下有益效果:
与现有技术相比,本发明的万兆网闸中的第一智能协议剥离模块将还原成的应用层元数据组装成私有格式数据,私有格式数据通过私有协议传输,提高了信息交换速度;第一智能应用接口根据主机资源消耗情况,自动调整本侧的客户端发送数据包的速率,最大限度的利用外网主机或内网主机的资源,进一步的提高了信息交换速度;智能仲裁模块根据第二智能数据交换模块的接收速率以及智能仲裁主机自身的负载情况,自动向第一智能数据交换模块发送指令,调整其发送速率,使数据发送以及接收速率始终处在最优状态,并且最大限度的利用仲裁主机的资源,更进一步的提高了信息交换速度。故本发明的万兆网闸可以满足万兆网络信息交换速度要求。
附图说明
图1为本发明的万兆网闸的一种实施方式的原理图;
图2为本发明的万兆网闸的另一种实施方式的原理图;
图3为本发明的具有双栈协议功能的万兆网闸的一种实施方式的原理图;
图4为本发明的具有双栈协议功能的万兆网闸的另一种实施方式的原理图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明提供一种万兆网闸,如图1或图2所示,包括外网主机1、内网主机3、以及与外网主机1和内网主机3连接的智能仲裁主机2,其中:
外网主机1和内网主机3中的一个主机包括:
第一智能应用接口11,用于接收本侧的客户端41(或43)发送的网络数据,将接收到的网络数据发送到第一智能协议剥离模块13;
第一智能协议剥离模块13,用于接收第一智能应用接口11发送的网络数据并进行分层剥离,将网络数据还原成应用层元数据,并组装成私有格式数据;
第一智能数据交换模块15,用于将第一智能协议剥离模块13剥离组装的私有格式数据以私有协议的方式发送到智能仲裁主机2的智能仲裁模块21;
智能仲裁主机2包括:
智能仲裁模块21,用于接收第一智能数据交换模块15发送的私有格式数据,通过固化的数据交换策略,对私有格式数据进行处理,通过处理的私有格式数据发送到外网主机1和内网主机3中的另一侧;
外网主机1和内网主机3中的另一个主机包括:
第二智能数据交换模块35,用于接收智能仲裁主机2的智能仲裁模块21发送的私有格式数据,将私有格式数据以私有协议的方式发送到第二智能协议重组模块34;
第二智能协议重组模块34,用于接收第二智能数据交换模块35发送的私有格式数据并进行还原重组;
第二智能应用接口31,用于将第二智能协议重组模块34还原重组的网络数据发送到本侧的客户端43(或41)或服务器53(或51);同时,第一智能应用接口11还用于根据包括所述第一智能应用接口的主机(外网主机1或内网主机3)资源消耗情况,自动调整客户端41(或43)发送数据包的速率;
智能仲裁模块21还用于根据第二智能数据交换模块35的接收速率以及智能仲裁主机2自身的负载情况,自动向第一智能数据交换模块15发送指令,调整其发送速率。
以图1所示的万兆网闸为例,外网主机1包括第一智能应用接口11、第一智能协议剥离模块13和第一智能数据交换模块15,内网主机3包括第二智能数据交换模块35、第二智能协议重组模块34和第二智能应用接口31,网络数据从外网侧的客户端41流向内网侧的客户端43或内网侧的服务器53,下面详细介绍数据交换流程:
第一智能应用接口11连接有外网侧的客户端41,外网侧的客户端41将网络数据发送到第一智能应用接口11,第一智能应用接口11在接收网络数据时,会根据外网主机1的资源消耗情况,自动调整外网测的客户端41发送数据包的速率,第一智能应用接口11接收网络数据后,将接收到的网络数据发送到第一智能协议剥离模块13;第一智能协议剥离模块13接收第一智能应用接口11发送的网络数据后,对其进行分层剥离,将网络数据还原成应用层元数据,并将应用层元数据组装成私有格式数据;第一智能数据交换模块15读取第一智能协议剥离模块13剥离组装的私有格式数据,并将其以私有协议的方式发送到智能仲裁主机2的智能仲裁模块21;
智能仲裁主机2的智能仲裁模块21,接收第一智能数据交换模块15发送的私有格式数据,通过固化的数据交换策略,对私有格式数据进行处理,通过处理的私有格式数据发送到内网主机3的第二智能数据交换模块35,在此过程中,智能仲裁模块21根据第二智能数据交换模块35的接收速率以及智能仲裁主机2自身的负载情况,自动向第一智能数据交换模块15发送指令,调整其发送速率;
内网主机3的第二智能数据交换模块35接收智能仲裁主机2的智能仲裁模块21发送的私有格式数据,将私有格式数据以私有协议的方式发送到第二智能协议重组模块34;第二智能协议重组模块34接收第二智能数据交换模块35发送的私有格式数据并进行还原重组为网络数据,并将其发送到第二智能应用接口31;第二智能应用接口31将第二智能协议重组模块34还原重组的网络数据发送到内网侧的客户端43或服务器53。
图2所示的万兆网闸,外网主机1包括第二智能应用接口31、第二智能协议剥离模块33和第二智能数据交换模块35,内网主机3包括第一智能数据交换模块15、第一智能协议重组模块14和第一智能应用接口11,网络数据从内网侧的客户端43流向外网侧的客户端41或外网侧的服务器51,数据交换流程与图1所示的流程类似。
与现有技术相比,本发明的万兆网闸中的第一智能协议剥离模块13将还原成的应用层元数据组装成私有格式数据,私有格式数据通过私有协议传输,提高了信息交换速度;第一智能应用接口11根据主机资源消耗情况,自动调整本侧的客户端41(或43)发送数据包的速率,最大限度的的利用外网主机1或内网主机3的资源,进一步的提高了信息交换速度;智能仲裁模块21根据第二智能数据交换模块35的接收速率以及智能仲裁主机2自身的负载情况,自动向第一智能数据交换模块15发送指令,调整其发送速率,使数据发送以及接收速率始终处在最优状态,并且最大限度的利用仲裁主机2的资源,更进一步的提高了信息交换速度。故本发明的万兆网闸可以满足万兆网络信息交换速度要求。
当前,图1或图2所示的万兆网闸,其网络数据只能从外网到内网或从内网到外网的单向传输,不能实现双向数据交换功能。为实现万兆网闸的双向数据交换功能,如图1或图2所示,本发明的万兆网闸中:
第二智能应用接口31进一步用于接收本侧的客户端43(或41)发送的网络数据,将接收到的网络数据发送到第二智能协议剥离模块33;
外网主机1和内网主机3中的另一个主机还包括:第二智能协议剥离模块33,用于接收第二智能应用接口31发送的网络数据并进行分层剥离,将网络数据还原成应用层元数据,并组装成私有格式数据;
第二智能数据交换模块35进一步用于将第二智能协议剥离模块33剥离组装的私有格式数据以私有协议的方式发送到智能仲裁主机2的智能仲裁模块21;
智能仲裁模块21进一步用于接收第二智能数据交换模块35发送的私有格式数据,通过固化的数据交换策略,对私有格式数据进行处理,通过处理的私有格式数据发送到外网主机1和内网主机3中的另一侧;
第一智能数据交换模块15进一步用于接收智能仲裁主机2的智能仲裁模块21发送的来自网络另一侧的私有格式数据,将私有格式数据以私有协议的方式发送到第一智能协议重组模块14;
外网主机1和内网主机3中的一个主机还包括:第一智能协议重组模块14,用于接收第一智能数据交换模块15发送的来自网络另一侧的私有格式数据并进行还原重组;
第一智能应用接口11进一步用于将第一智能协议重组模块14还原重组的网络数据发送到本侧的客户端41(或43)或服务器51(或53);
同时,第二智能应用接口31,还用于根据主机资源消耗情况,自动调整客户端43(或41)发送数据包的速率;
智能仲裁模块21还用于根据第一智能数据交换模块的接收速率以及智能仲裁主机2自身的负载情况,自动向第二智能数据交换模块35发送指令,调整其发送速率。
以图1所示的万兆网闸为例,外网主机1包括第一智能应用接口11、第一智能协议剥离模块13、第一智能协议重组模块14和第一智能数据交换模块15,内网主机3包括第二智能数据交换模块35、第二智能协议重组模块34、第二智能协议剥离模块33和第二智能应用接口31,网络数据从内网侧的客户端43流向外网侧的客户端41或外网侧的服务器51,下面详细介绍数据交换流程:
第二智能应用接口31连接有内网侧的客户端43,内网侧的客户端43将网络数据发送到第二智能应用接口31,第二智能应用接口31在接收网络数据时,会根据内网主机3的资源消耗情况,自动调整内网测的客户端43发送数据包的速率,第二智能应用接口31接收网络数据后,将接收到的网络数据发送到第二智能协议剥离模块33;第二智能协议剥离模块33接收第二智能应用接口31发送的网络数据后,对其进行分层剥离,将网络数据还原成应用层元数据,并将应用层元数据组装成私有格式数据;第二智能数据交换模块35读取第二智能协议剥离模块33剥离组装的私有格式数据,并将其以私有协议的方式发送到智能仲裁主机2的智能仲裁模块21;
智能仲裁主机2的智能仲裁模块21,接收第二智能数据交换模块35发送的私有格式数据,通过固化的数据交换策略,对私有格式数据进行处理,通过处理的私有格式数据发送到外网主机1的第一智能数据交换模块15,在此过程中,智能仲裁模块21根据第一智能数据交换模块15的接收速率以及智能仲裁主机2自身的负载情况,自动向第二智能数据交换模块35发送指令,调整其发送速率;
外网主机1的第一智能数据交换模块15接收智能仲裁主机2的智能仲裁模块21发送的私有格式数据,将私有格式数据以私有协议的方式发送到第一智能协议重组模块14;第一智能协议重组模块14接收第一智能数据交换模块15发送的私有格式数据并进行还原重组为网络数据,并将其发送到第一智能应用接口11;第一智能应用接口11将第一智能协议重组模块14还原重组的网络数据发送到外网侧的客户端41或服务器51。
图2所示的万兆网闸,外网主机1包括第二智能应用接口31、第二智能协议剥离模块33、第二智能协重组离模块34和第二智能数据交换模块35,内网主机3包括第一智能数据交换模块15、第一智能协议重组模块14、第一智能协议剥离模块13和第一智能应用接口11,网络数据从外网侧的客户端41流向内网侧的客户端43或外网侧的服务器53,数据交换流程与图1所示的流程类似。
与现有技术相比,本发明的万兆网闸在单向数据交换的基础上,新增加了第二智能协议剥离模块33和第一智能协议重组模块14,对第一智能应用接口11、第一智能数据交换模块15、智能仲裁模块21、第二智能数据交换模块35和第二智能应用接口31增加了新的功能,使其能够反向传递数据。故本发明的万兆网闸能够实现双向的数据交换。
上述万兆网闸只能用于客户端到客户端以及客户端到服务器的数据交换,不能实现服务器到服务器的数据交换,为实现服务器互相的数据交换,如图1或图2所示,本发明的万兆网闸中:
外网主机1和内网主机3中的一个主机还包括:
第一智能数据抽取与分发模块12,用于与本侧的服务器51(或53)建立连接,自动抽取本侧的服务器51(或53)上的网络数据,并将抽取到的网络数据发送到第一智能协议剥离模块13;
同时,第一智能协议剥离模块13进一步用于接收第一智能数据抽取与分发模块12发送的网络数据并进行分层剥离,将网络数据还原成应用层元数据,对数据加密生成校验码,并组装成私有格式数据;
第二智能数据交换模块35,进一步用于接收智能仲裁主机2的智能仲裁模块21发送的私有格式数据,对数据进行完整性校验,数据校验通过后将私有格式数据以私有协议的方式发送到第二智能协议重组模块34;
外网主机1和内网主机3中的另一个主机还包括:
第二智能数据抽取与分发模块32,用于将第二智能协议重组模块34还原重组的网络数据发送到本侧的服务器53(或51);
同时,第一智能数据抽取与分发模块12,进一步用于根据主机资源消耗情况,自动调整数据抽取速率;
第二智能数据抽取与分发模块32,进一步用于根据本侧的服务器53(或51)数据接收速率,自动调整数据分发速率。
以图1所示的万兆网闸为例,外网主机1包括第一智能应用接口11、第一智能数据抽取与分发模块12、第一智能协议剥离模块13、第一智能协议重组模块14和第一智能数据交换模块15,内网主机3包括第二智能数据交换模块35、第二智能协议重组模块34、第二智能协议剥离模块33、第二智能数据抽取与分发模块32和第二智能应用接口31,网络数据从外网侧的服务器51流向内网侧的服务器53,下面详细介绍数据交换流程:
第一智能数据抽取与分发模块12连接有外网侧的服务器51,第一智能数据抽取与分发模块12自动抽取外网侧的服务器51上的网络数据,在此过程中,第一智能数据抽取与分发模块12会根据外网主机1的资源消耗情况,自动调整抽取速率,抽取完成后,将抽取到的网络数据发送到第一智能协议剥离模块13;第一智能协议剥离模块13接收第一智能数据抽取与分发模块12发送的网络数据后,对其进行分层剥离,将网络数据还原成应用层元数据,对数据加密生成校验码,并将应用层元数据组装成私有格式数据;第一智能数据交换模块15读取第一智能协议剥离模块13剥离组装的私有格式数据,并将其以私有协议的方式发送到智能仲裁主机2的智能仲裁模块21;
智能仲裁主机2的智能仲裁模块21,接收第一智能数据交换模块15发送的私有格式数据,通过固化的数据交换策略,对私有格式数据进行处理,通过处理的私有格式数据发送到内网主机3的第二智能数据交换模块35,在此过程中,智能仲裁模块21根据第二智能数据交换模块35的接收速率以及智能仲裁主机2自身的负载情况,自动向第一智能数据交换模块15发送指令,调整其发送速率;
内网主机3的第二智能数据交换模块35接收智能仲裁主机2的智能仲裁模块21发送的私有格式数据,对数据进行完整性校验,数据校验通过后将私有格式数据以私有协议的方式发送到第二智能协议重组模块34;第二智能协议重组模块34接收第二智能数据交换模块35发送的私有格式数据并进行还原重组为网络数据,并将其发送到第二智能数据抽取与分发模块32;第二智能数据抽取与分发模块32将第二智能协议重组模块34还原重组的网络数据发送到内网主机侧的服务器53。
图2所示的万兆网闸,外网主机1包括第二智能应用接口31、第二智能数据抽取与分发模块32、第二智能协议剥离模块33、第二智能协议重组模块34和第二智能数据交换模块35,内网主机3包括第一智能数据交换模块15、第一智能协议重组模块14、第一智能协议剥离模块13、第一智能数据抽取与分发模块12和第一智能应用接口11,网络数据从内网侧的服务器53流向外网侧的服务器51,数据交换流程与图1所示的流程类似。
与现有技术相比,本发明的万兆网闸中的第一智能数据抽取与分发模块12能够根据主机资源消耗情况自动抽取本侧的服务器51(或53)的网络数据,第二智能数据抽取与分发模块32能够根据本侧的服务器53(或51)数据接收速率自动将数据分发至本侧的服务器53(或51),能够实现服务器到服务器的数据交换,并且能够最大限度的的利用外网主机1或内网主机3的资源,提高了信息交换速度,并且第一智能协议剥离模块13在组装私有格式数据时,会对数据加密生成校验码,第二智能数据交换模块35会对接收到的私有格式数据进行完整性校验,保证了数据传递的完整性。
为了确认数据是否传输成功,第二智能数据抽取与分发模块32进一步用于在数据传输完成后确认数据传输是否成功,如果失败,则依次经第二智能数据交换模块35和智能仲裁模块21向第一智能数据交换模块15反馈失败信息,以启动数据重传。
上述万兆网闸实现了服务器到服务器的单向数据交换,下面介绍服务器到服务器的双向数据交换,如图1或图2所示,本发明的万兆网闸中:
第二智能数据抽取与分发模块32进一步用于与本侧的服务器43(或41)建立连接,自动抽取本侧的服务器43(或41)上的网络数据,并将抽取到的网络数据发送到第二智能协议剥离模块33;
同时,第二智能协议剥离模块33进一步用于接收第二智能数据抽取与分发模块32发送的网络数据并进行分层剥离,将网络数据还原成应用层元数据,对数据加密生成校验码,并组装成私有格式数据;
第一智能数据交换模块15进一步用于接收智能仲裁主机的智能仲裁模块发送的私有格式数据,对数据进行完整性校验,数据校验通过后将私有格式数据以私有协议的方式发送到第一智能协议重组模块14;
第一智能数据抽取与分发模块12进一步用于将第一智能协议重组模块还原重组的网络数据发送到本侧的服务器41(或43);
同时,第二智能数据抽取与分发模块32,进一步用于根据主机资源消耗情况,自动调整数据抽取速率;
第一智能数据抽取与分发模块12,进一步用于根据本侧的服务器41(或43)数据接收速率,自动调整数据分发速率。
以图1所示的万兆网闸为例,外网主机1包括第一智能应用接口11、第一智能数据抽取与分发模块12、第一智能协议剥离模块13、第一智能协议重组模块14和第一智能数据交换模块15,内网主机3包括第二智能数据交换模块35、第二智能协议重组模块34、第二智能协议剥离模块33、第二智能数据抽取与分发模块32和第二智能应用接口31,网络数据从内网侧的服务器53流向外网侧的服务器51,下面详细介绍数据交换流程:
第二智能数据抽取与分发模块32连接有内网侧的服务器53,第二智能数据抽取与分发模块32自动抽取内网侧的服务器53上的网络数据,在此过程中,第二智能数据抽取与分发模块32会根据内网主机3的资源消耗情况,自动调整抽取速率,抽取完成后,将抽取到的网络数据发送到第二智能协议剥离模块33;第二智能协议剥离模块33接收第二智能数据抽取与分发模块32发送的网络数据后,对其进行分层剥离,将网络数据还原成应用层元数据,对数据加密生成校验码,并将应用层元数据组装成私有格式数据;第二智能数据交换模块35读取第二智能协议剥离模块33剥离组装的私有格式数据,并将其以私有协议的方式发送到智能仲裁主机2的智能仲裁模块21;
智能仲裁主机2的智能仲裁模块21,接收第二智能数据交换模块35发送的私有格式数据,通过固化的数据交换策略,对私有格式数据进行处理,通过处理的私有格式数据发送到外网主机1的第一智能数据交换模块15,在此过程中,智能仲裁模块21根据第一智能数据交换模块15的接收速率以及智能仲裁主机2自身的负载情况,自动向第二智能数据交换模块35发送指令,调整其发送速率。
外网主机1的第一智能数据交换模块15接收智能仲裁主机2的智能仲裁模块21发送的私有格式数据,对数据进行完整性校验,数据校验通过后将私有格式数据以私有协议的方式发送到第一智能协议重组模块14;第一智能协议重组模块14接收第一智能数据交换模块15发送的私有格式数据并进行还原重组为网络数据,并将其发送到第一智能数据抽取与分发模块12;第一智能数据抽取与分发模块12将第一智能协议重组模块14还原重组的网络数据发送到外网主机侧的服务器51。
图2所示的万兆网闸,外网主机1包括第二智能应用接口31、第二智能数据抽取与分发模块32、第二智能协议剥离模块33、第二智能协议重组模块34和第二智能数据交换模块35,内网主机3包括第一智能数据交换模块15、第一智能协议重组模块14、第一智能协议剥离模块13、第一智能数据抽取与分发模块12和第一智能应用接口11,网络数据从外网侧的服务器51流向内网侧的服务器53,数据交换流程与图1所示的流程类似。
与现有技术相比,本发明的万兆网闸在服务器到服务器的单向数据交换的基础上,对第一智能数据抽取与分发模块12、第一智能协议剥离模块13、第一智能数据交换模块15、智能仲裁模块21、第二智能数据交换模块35、第二智能协议重组模块34和第二智能数据抽取与分发模块32增加了新的功能,使其能够反向传递数据。故本发明的万兆网闸能够实现服务器到服务器的双向的数据交换。
为了确认数据是否传输成功,第一智能数据抽取与分发模块12进一步用于在数据传输完成后确认数据传输是否成功,如果失败,则依次经第一智能数据交换模块15和智能仲裁模块21向第二智能数据交换模块35反馈失败信息,以启动数据重传。
作为本发明的一种改进,如图3或图4所示,第一智能协议剥离模块13为第一智能双栈协议剥离模块13’,进一步用于自动判断接收的网络数据是ipv4还是ipv6,对网络数据并进行分层剥离,将网络数据还原成应用层元数据,并根据协议类型组装成不同大小的私有格式数据;
相应的,第二智能协议重组模块34为第二智能双栈协议重组模块34’,进一步用于接收第二智能数据交换模块35发送的私有格式数据并根据私有格式数据的大小进行还原重组为ipv4或ipv6数据;第一智能应用接口11进一步用于接收本侧的客户端41(或43)发送的网络数据,自动识别客户端连接是使用ipv4还是ipv6,自动选择合适的协议栈与客户端41(或43)建立连接,并根据不同的协议栈自动调整接收数据包的大小、速率和网络参数。
与现有技术相比,本发明的万兆网闸能够支持ipv4和ipv6双协议栈的单向数据交换,满足了当下以及未来一段时间内ipv4和ipv6共存的网络情况,并且能够提高数据交换的速率。
作为本发明的另一种改进,第二智能协议剥离模块33为第二智能双栈协议剥离模块33’,进一步用于自动判断接收的网络数据是ipv4还是ipv6,对网络数据并进行分层剥离,将网络数据还原成应用层元数据,并根据协议类型组装成不同大小的私有格式数据;
相应的,第一智能协议重组模块14为第一智能双栈协议重组模块14’,进一步用于接收第一智能数据交换模块发送的私有格式数据并根据私有格式数据的大小进行还原重组为ipv4或ipv6数据;
第二智能应用接口31,进一步用于接收本侧的客户端43(或41)发送的网络数据,自动识别客户端43(或41)连接是使用ipv4还是ipv6,自动选择合适的协议栈与客户端43(或41)建立连接,并根据不同的协议栈自动调整接收数据包的大小、速率和网络参数。
与现有技术相比,本发明的万兆网闸能够支持ipv4和ipv6双协议栈的双向数据交换。
作为本发明的进一步改进,万兆网闸使用万兆网卡和/或pci-e3.0 x8硬件接口进行连接,从硬件上保证数据交换速率,并且通过使用高端cpu、固态硬盘、大内存提升万兆网闸的整体数据交换性能。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种万兆网闸,其特征在于,包括外网主机、内网主机、以及与所述外网主机和内网主机连接的智能仲裁主机,其中:
所述外网主机和内网主机中的一个主机包括:
第一智能应用接口,用于接收本侧的客户端发送的网络数据,将接收到的网络数据发送到第一智能协议剥离模块;
第一智能协议剥离模块,用于接收所述第一智能应用接口发送的网络数据并进行分层剥离,将网络数据还原成应用层元数据,并组装成私有格式数据;
第一智能数据交换模块,用于将第一智能协议剥离模块剥离组装的私有格式数据以私有协议的方式发送到所述智能仲裁主机的智能仲裁模块;
所述智能仲裁主机包括:
智能仲裁模块,用于接收所述第一智能数据交换模块发送的私有格式数据,通过固化的数据交换策略,对私有格式数据进行处理,通过处理的私有格式数据发送到所述外网主机和内网主机中的另一侧;
所述外网主机和内网主机中的另一个主机包括:
第二智能数据交换模块,用于接收所述智能仲裁主机的智能仲裁模块发送的私有格式数据,将私有格式数据以私有协议的方式发送到
第二智能协议重组模块;
第二智能协议重组模块,用于接收所述第二智能数据交换模块发送的私有格式数据并进行还原重组;
第二智能应用接口,用于将所述第二智能协议重组模块还原重组的网络数据发送到本侧的客户端或服务器;
同时,所述第一智能应用接口,还用于根据主机资源消耗情况,自动调整客户端发送数据包的速率;
所述智能仲裁模块,还用于根据所述第二智能数据交换模块的接收速率以及智能仲裁主机自身的负载情况,自动向所述第一智能数据交换模块发送指令,调整其发送速率;
所述外网主机和内网主机中的一个主机还包括:
第一智能数据抽取与分发模块,用于与本侧的服务器建立连接,自动抽取本侧的服务器上的网络数据,并将抽取到的网络数据发送到所述第一智能协议剥离模块;
同时,所述第一智能协议剥离模块,进一步用于接收所述第一智能数据抽取与分发模块发送的网络数据并进行分层剥离,将网络数据还原成应用层元数据,对数据加密生成校验码,并组装成私有格式数据;
所述第二智能数据交换模块,进一步用于接收所述智能仲裁主机的智能仲裁模块发送的私有格式数据,对数据进行完整性校验,数据校验通过后将私有格式数据以私有协议的方式发送到所述第二智能协议重组模块;
所述外网主机和内网主机中的另一个主机还包括:
第二智能数据抽取与分发模块,用于将所述第二智能协议重组模块还原重组的网络数据发送到本侧的服务器;
同时,所述第一智能数据抽取与分发模块,进一步用于根据主机资源消耗情况,自动调整数据抽取速率;
所述第二智能数据抽取与分发模块,进一步用于根据本侧的服务器数据接收速率,自动调整数据分发速率。
2.根据权利要求1所述的万兆网闸,其特征在于,
所述第二智能应用接口,进一步用于接收本侧的客户端发送的网络数据,将接收到的网络数据发送到第二智能协议剥离模块;
所述外网主机和内网主机中的另一个主机还包括:第二智能协议剥离模块,用于接收所述第二智能应用接口发送的网络数据并进行分层剥离,将网络数据还原成应用层元数据,并组装成私有格式数据;
所述第二智能数据交换模块,进一步用于将第二智能协议剥离模块剥离组装的私有格式数据以私有协议的方式发送到所述智能仲裁主机的智能仲裁模块;
所述智能仲裁模块,进一步用于接收所述第二智能数据交换模块发送的私有格式数据,通过固化的数据交换策略,对私有格式数据进行处理,通过处理的私有格式数据发送到所述外网主机和内网主机中的另一侧;
所述第一智能数据交换模块,进一步用于接收所述智能仲裁主机的智能仲裁模块发送的来自网络另一侧的私有格式数据,将私有格式数据以私有协议的方式发送到第一智能协议重组模块;
所述外网主机和内网主机中的一个主机还包括:第一智能协议重组模块,用于接收所述第一智能数据交换模块发送的来自网络另一侧的私有格式数据并进行还原重组;
所述第一智能应用接口,进一步用于将所述第一智能协议重组模块还原重组的网络数据发送到本侧的客户端或服务器;
同时,所述第二智能应用接口,还用于根据主机资源消耗情况,自动调整客户端发送数据包的速率;
所述智能仲裁模块,还用于根据所述第一智能数据交换模块的接收速率以及自身的负载情况,自动向所述第二智能数据交换模块发送指令,调整其发送速率。
3.根据权利要求2所述的万兆网闸,其特征在于,
所述第二智能数据抽取与分发模块,进一步用于在数据传输完成后确认数据传输是否成功,如果失败,则依次经过所述第二智能数据交换模块和智能仲裁模块向所述第一智能数据交换模块反馈失败信息,以启动数据重传。
4.根据权利要求2所述的万兆网闸,其特征在于,
所述第二智能数据抽取与分发模块,进一步用于与本侧的服务器建立连接,自动抽取本侧的服务器上的网络数据,并将抽取到的网络数据发送到所述第二智能协议剥离模块;
同时,所述第二智能协议剥离模块,进一步用于接收所述第二智能数据抽取与分发模块发送的网络数据并进行分层剥离,将网络数据还原成应用层元数据,对数据加密生成校验码,并组装成私有格式数据;
所述第一智能数据交换模块,进一步用于接收所述智能仲裁主机的智能仲裁模块发送的私有格式数据,对数据进行完整性校验,数据校验通过后将私有格式数据以私有协议的方式发送到所述第一智能协议重组模块;
所述第一智能数据抽取与分发模块,进一步用于将所述第一智能协议重组模块还原重组的网络数据发送到本侧的服务器;
同时,所述第二智能数据抽取与分发模块,进一步用于根据主机资源消耗情况,自动调整数据抽取速率;
所述第一智能数据抽取与分发模块,进一步用于根据本侧的服务器数据接收速率,自动调整数据分发速率。
5.根据权利要求4所述的万兆网闸,其特征在于,
所述第一智能数据抽取与分发模块,进一步用于在数据传输完成后确认数据传输是否成功,如果失败,则依次经过所述第一智能数据交换模块和智能仲裁模块向所述第二智能数据交换模块反馈失败信息,以启动数据重传。
6.根据权利要求1所述的万兆网闸,其特征在于,
所述第一智能协议剥离模块为第一智能双栈协议剥离模块,进一步用于自动判断接收的网络数据是ipv4还是ipv6,对网络数据并进行分层剥离,将网络数据还原成应用层元数据,并根据协议类型组装成不同大小的私有格式数据;
所述第二智能协议重组模块为第二智能双栈协议重组模块,进一步用于接收所述第二智能数据交换模块发送的私有格式数据并根据私有格式数据的大小进行还原重组为ipv4或ipv6数据;
所述第一智能应用接口,进一步用于接收本侧的客户端发送的网络数据,自动识别客户端连接是使用ipv4还是ipv6,自动选择合适的协议栈与客户端建立连接,并根据不同的协议栈自动调整接收数据包的大小、速率和网络参数。
7.根据权利要求2所述的万兆网闸,其特征在于,
所述第二智能协议剥离模块为第二智能双栈协议剥离模块,进一步用于自动判断接收的网络数据是ipv4还是ipv6,对网络数据并进行分层剥离,将网络数据还原成应用层元数据,并根据协议类型组装成不同大小的私有格式数据;
所述第一智能协议重组模块为第一智能双栈协议重组模块,进一步用于接收所述第一智能数据交换模块发送的私有格式数据并根据私有格式数据的大小进行还原重组为ipv4或ipv6数据;
所述第二智能应用接口,进一步用于接收本侧的客户端发送的网络数据,自动识别客户端连接是使用ipv4还是ipv6,自动选择合适的协议栈与客户端建立连接,并根据不同的协议栈自动调整接收数据包的大小、速率和网络参数。
8.根据权利要求1至7中任一所述的万兆网闸,其特征在于,所述万兆网闸使用万兆网卡和/或pci-e3.0x8硬件接口进行连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410464666.2A CN104270344B (zh) | 2014-09-12 | 2014-09-12 | 万兆网闸 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410464666.2A CN104270344B (zh) | 2014-09-12 | 2014-09-12 | 万兆网闸 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104270344A CN104270344A (zh) | 2015-01-07 |
| CN104270344B true CN104270344B (zh) | 2018-05-11 |
Family
ID=52161834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410464666.2A Active CN104270344B (zh) | 2014-09-12 | 2014-09-12 | 万兆网闸 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104270344B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104702622B (zh) * | 2015-03-30 | 2017-09-15 | 武汉虹旭信息技术有限责任公司 | 多对一型内外网大数据单向传输通信方法 |
| CN105007272A (zh) * | 2015-07-21 | 2015-10-28 | 陈巨根 | 一种具有安全隔离的信息交换系统 |
| CN109729053A (zh) * | 2017-10-31 | 2019-05-07 | 北京国双科技有限公司 | 内外网间数据的交互方法及装置 |
| CN108234506B (zh) * | 2018-01-15 | 2021-06-08 | 马晓东 | 一种单向隔离网闸和数据传输方法 |
| CN109743287A (zh) * | 2018-12-06 | 2019-05-10 | 广东电网有限责任公司 | 一种基于数据隔离的数据重组方法及装置 |
| CN112821978B (zh) * | 2021-04-16 | 2021-07-20 | 北京乐研科技有限公司 | 一种基于时钟同步的单向网闸电路、方法及装置 |
| CN115776415B (zh) * | 2023-02-13 | 2023-04-25 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于工业协议的网闸设备智能管理系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101815059A (zh) * | 2009-02-19 | 2010-08-25 | 上海众恒信息产业股份有限公司 | 多级网络结构及其数据传输方法 |
| CN102208982A (zh) * | 2011-04-28 | 2011-10-05 | 广州汇智通信技术有限公司 | 一种隔离网闸 |
| CN202798788U (zh) * | 2012-03-26 | 2013-03-13 | 上海金电网安科技有限公司 | 一种基于网络隔离的两级互联装置 |
| CN103166933A (zh) * | 2011-12-15 | 2013-06-19 | 北京天行网安信息技术有限责任公司 | 一种数据安全交换系统及方法 |
| CN103634274A (zh) * | 2012-08-21 | 2014-03-12 | 北京天行网安信息技术有限责任公司 | 一种视频安全交换方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101083607B (zh) * | 2006-05-30 | 2010-12-08 | 倪海生 | 一种用于内外网络隔离的因特网访问服务器及其处理方法 |
-
2014
- 2014-09-12 CN CN201410464666.2A patent/CN104270344B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101815059A (zh) * | 2009-02-19 | 2010-08-25 | 上海众恒信息产业股份有限公司 | 多级网络结构及其数据传输方法 |
| CN102208982A (zh) * | 2011-04-28 | 2011-10-05 | 广州汇智通信技术有限公司 | 一种隔离网闸 |
| CN103166933A (zh) * | 2011-12-15 | 2013-06-19 | 北京天行网安信息技术有限责任公司 | 一种数据安全交换系统及方法 |
| CN202798788U (zh) * | 2012-03-26 | 2013-03-13 | 上海金电网安科技有限公司 | 一种基于网络隔离的两级互联装置 |
| CN103634274A (zh) * | 2012-08-21 | 2014-03-12 | 北京天行网安信息技术有限责任公司 | 一种视频安全交换方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104270344A (zh) | 2015-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104270344B (zh) | 万兆网闸 | |
| CN103152260B (zh) | 报文转发系统、方法及装置 | |
| CN106534168A (zh) | 基于fpga的tcpip协议栈安全化处理系统 | |
| CN104486243B (zh) | 数据传输方法、设备及系统 | |
| CN102647370B (zh) | WiFi网络和ZigBee网络之间的通信方法 | |
| CN107404396B (zh) | 一种数据传输方法和装置 | |
| CN105007272A (zh) | 一种具有安全隔离的信息交换系统 | |
| CN204089858U (zh) | 一种安全隔离应用层网关 | |
| CN103475706B (zh) | 基于syn-ack双服务器反弹模式的伪tcp隐蔽通信方法 | |
| CN108235379A (zh) | 一种数据传输的方法及设备 | |
| CN108809864A (zh) | 一种基于fpga的多线卡高密度tap交换机 | |
| CN103490961A (zh) | 一种网络设备 | |
| CN104283716B (zh) | 数据传输方法、设备及系统 | |
| CN107612841A (zh) | 一种传输数据的方法、装置及计算机设备 | |
| CN105808364B (zh) | 融合PC系统和android系统的双系统通信方法和系统 | |
| CN107508828B (zh) | 一种超远程数据交互系统及方法 | |
| CN105049367B (zh) | 一种聚合链路的流量分配方法和接入设备 | |
| CN104160735A (zh) | 发报文处理方法、转发器、报文处理设备、报文处理系统 | |
| CN107124405A (zh) | 基于fpga实现工业现场总线协议转换方法及装置 | |
| CN106648922A (zh) | 一种基于xmpp的数据采集方法 | |
| CN110233851A (zh) | 一种数据传输方法和装置 | |
| CN101867557A (zh) | 一种单向传输装置、数据采集系统及方法 | |
| CN104113434B (zh) | 一种采用多机箱集群系统的数据中心网络冗余控制装置 | |
| CN110933385A (zh) | 基于可见光单向网络隔离的视频流传输系统 | |
| CN104363185B (zh) | 一种微型复合网络数据交换系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 100084 No. 2 Building 2A201, 202, No. 1 Yuan, Nongda South Road, Haidian District, Beijing Patentee after: TOLS TIANXIANG NET AN INFORMATION TECHNOLOGY Co.,Ltd. Address before: 100084 Beijing Haidian District Nongda South Road 1 Silicon Valley Liangcheng 2A Block 2 Floor Patentee before: BEIJING TOPWALK INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 100096 101, 1st to 7th floors, Building 3, Yard 6, Jianfeng Road (South Extension), Haidian District, Beijing Patentee after: TOLS TIANXIANG NET AN INFORMATION TECHNOLOGY Co.,Ltd. Address before: 100084 2a201, 202, building 2, yard 1, Nongda South Road, Haidian District, Beijing Patentee before: TOLS TIANXIANG NET AN INFORMATION TECHNOLOGY Co.,Ltd. |