CN109302355A - 一种基于zynq的四路万兆以太网安全交换机 - Google Patents

一种基于zynq的四路万兆以太网安全交换机 Download PDF

Info

Publication number
CN109302355A
CN109302355A CN201811403671.7A CN201811403671A CN109302355A CN 109302355 A CN109302355 A CN 109302355A CN 201811403671 A CN201811403671 A CN 201811403671A CN 109302355 A CN109302355 A CN 109302355A
Authority
CN
China
Prior art keywords
module
data
optical port
information
clock
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811403671.7A
Other languages
English (en)
Inventor
刘清
刘一清
石华
吴惑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
East China Normal University
Original Assignee
East China Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by East China Normal University filed Critical East China Normal University
Priority to CN201811403671.7A priority Critical patent/CN109302355A/zh
Publication of CN109302355A publication Critical patent/CN109302355A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/40Constructional details, e.g. power supply, mechanical construction or backplane
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q1/00Details of selecting apparatus or arrangements
    • H04Q1/02Constructional details
    • H04Q1/10Exchange station construction

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种基于ZYNQ的四路万兆以太网安全交换机,该交换机包括光口数据接收模块、信息提取模块、安全过滤模块、路由交换模块、光口数据发送模块、安全策略配置模块、交换信息配置模块、时钟模块及电源模块。本发明为10Gbps级别的网络数据流量提供高速、安全、可靠的交换服务,以适应新一代互联网技术所带来的高速带宽增长和新一代应用的需求。本发明提供万兆以太网光纤接口,支持四路光纤同时接入,在实现高效交换转发的同时,还可以通过用户进行自定义的安全策略配置,对数据进行安全过滤以保证其安全性。

Description

一种基于ZYNQ的四路万兆以太网安全交换机
技术领域
本发明涉及网络安全、网络通信技术领域,尤其是一种基于ZYNQ的四路万兆以太网安全交换机,适用于大中型企业的交换网络。
技术背景
随着互联网的高速发展,传统的以太网交换机在功能和性能上已不能满足要求,而大容量、高性能、高安全等以太网交换机的需求日益增长,以太网交换机朝着高速化方向发展。作为衡量网络性能的重要标准之一,速率是以太网交换机等设备发展的重要方向。为满足用户快速增长的需求,以太网速率从最初的百兆发展到千兆,再到万兆。
此外,交换机作为网络中的核心设备之一,它的性能是保障企业网络安全性、稳定性和速度的主要设备。交换机对于大中型企业的网络来说更是必不可少的设备,它在网络建设中具有非常重要的作用,可以增加网络容量,提高网络速度。而安全性作为衡量网络性能的另一重要指标,随着网络技术的日益发展,网络安全问题日益突出,这也对大型交换设备的安全提出了更高的要求,丞待解决在大中型网络交换中的流量和安全问题。
发明内容
本发明的目的是提供一种基于ZYNQ的四路万兆以太网安全交换机,该交换机解决了在大中型网络中,如何保证大流量的网络数据进行高速、安全地交换问题。
ZYNQ系列是赛灵思公司(Xilinx)推出的一个全可编程片上系统(AllProgrammableSystem-on-chip,以下简称All Programmable Soc),它在单芯片内部集成了基于ARM公司的双核ARMCotex-A9多核处理器的处理系统(ProcessingSystem,以下简称PS)和基于Xilinx可编程逻辑资源的可编程逻辑(ProgrammableLogic,以下简称PL)。
实现本发明目的的具体技术方案是:
一种基于ZYNQ的四路万兆以太网安全交换机,特定是它包括光口数据接收模块、信息提取模块、安全过滤模块、路由交换模块、光口数据发送模块、安全策略配置模块、交换信息配置模块、时钟模块及电源模块,所述光口数据接收模块分别与信息提取模块、时钟模块和电源模块连接;信息提取模块分别与安全过滤模块、时钟模块以及电源模块连接;安全过滤模块分别与路由交换模块、时钟模块以及电源模块连接;路由交换模块分别与光口数据发送模块、时钟模块以及电源模块连接;光口数据输出模块分别与时钟模块以及电源模块连接;安全策略配置模块与安全过滤模块连接;交换信息配置模块与路由交换模块连接;其中:
万兆以太网数据由光纤输入光口数据接收模块,将数据转化成指定格式,并通过信息提取模块对网络数据关键信息进行提取,通过安全策略配置模块以及交换信息配置模块所提供的信息,对网络数据进行安全过滤和路由交换,最后通过光口输出模块将数据送至光口输出;时钟模块为各模块提供参考时钟,电源模块为各模块供电。
所述光口数据接收模块包括差分时钟转化模块和差分数据转化模块,差分时钟转化模块连接差分数据转化模块;光口数据接收模块完成对光口输入数据的接收,需要将输入的差分数据和差分时钟转换成64bit* 156.25MHz的数据格式。
所述信息提取模块包括以太网头部信息提取模块和有效网络数据提取模块,以太网头部信息提取模块连接有效网络数据提取模块;信息提取模块完成对接收网络数据的解包,根据以太网协议对网络数据进行剖析,得到mac地址,ip地址,端口号,协议类型等关键信息,具体包括以太网帧MAC地址(6个字节)、IP地址(4个字节)、帧类型(2个字节)、IP版本和首部长度(1个字节)、IP包总长度(2个字节)、IP首部检验和(2个字节)、TCP/UDP端口号(2个字节)、TCP/UDP长度(2个字节)及特定IP序列。
所述安全过滤模块包括配置信息接收存储模块和非法帧校验模块,配置信息接收存储模块连接非法帧校验模块;安全过滤模块通过已经获得安全策略对经由设备内部的网络数据进行安全过滤和管理。过滤规则包含:针对MAC帧首部的合法MAC或IP目的以及源地址过滤,针对IP数据包首部的合法协议类别,如ICMP、ARP和FTP等协议的过滤,针对TCP/UDP数据包首部的端口的过滤,以及针对数据段的特殊字符串的过滤。通过以上安全策略,对合法的设备以及数据进行实时转发,对非法的设备和数据直接丢弃。
所述路由交换模块包括路由配置信息存储模块和仲裁输出模块,路由配置信息存储模块连接仲裁输出模块;路由交换模块通过已经获得的交换路由信息,对前级转发的合法数据进行合并、交换、转发等操作,主要采取轮询的策略来完成多路的协商和仲裁。
所述光口数据发送模块包括差分时钟生成模块和差分数据生成模块,差分时钟生成模块连接差分数据生成模块;光口数据发送模块将前级转发的万兆网络数据转化成符合光口规范的差分时钟和差分数据,最后通过光口输出。
与现有技术相比,本发明的有益效果是:
(1)本发明使用ZYNQ内部的PL纯硬件电路处理网络数据,利用其高速并发的特性来处理大流量的网络数据,极大地降低网络数据在本发明中的传输延时,保证了整个交换网络的高速性和实时性。
(2)本发明可以通过ZYNQ的PS部分配置安全策略和路由交换信息,从而对网络数据进行过滤,可以防止非法设备的接入以及非法数据的传输,保证了整个交换网络的安全性。
(3)本发明采用ZYNQ作为硬件基础架构,PL部分处理网络数据,PS部分处理安全策略和交换信息,两者之间的互联通过高速的AXI总线来通信,突破了传统的FPGA+ARM的板级互联限制,极大地加快了两者之间的通信高效性以及安全性。此外,通过纯硬件的方式来处理安全策略和交换信息,保证了本发明对于高层协议的“透明性”,即从高层是“不可攻破的”,保证了本发明自身的安全性。
附图说明
图1为本发明结构框图;
图2为本发明工作流程图;
图3为本发明配置流程图。
具体实施方式
下面结合附图对本发明作详细描述。
参阅图1,本发明包括:光口数据接收模块1、信息提取模块2、安全策略配置模块6、交换信息配置模块7、安全过滤模块3、路由交换模块4、光口数据发送模块5、时钟模块8及电源模块9。其中,黑色单向箭头表示数据流处理流程,虚线箭头(• -• -)表示时钟模块8与其他模块互联关系,虚线箭头(• • •)表示电源模块9与其他各模块互连关系。
光口数据接收模块1分别与信息提取模块2、时钟模块8和电源模块9相连。
信息提取模块2分别与安全过滤模块3、时钟模块8以及电源模块9相连。
安全过滤模块3分别路由交换模块4、时钟模块8以及电源模块9相连。
路由交换模块4分别于光口数据发送模块5、时钟模块8以及电源模块9相连。
光口数据输出模块5分别与时钟模块8以及电源模块9相连。
安全策略配置模块6与安全过滤模块3相连。
交换信息配置模块7与路由交换模块4相连。
时钟模块8分别与光口数据接收模块1、信息提取模块2、安全过滤模块3、路由交换模块4和光口数据输出模块5相连,为各个模块提供参考时钟。
电源模块9分别与光口数据接收模块1、信息提取模块2、安全过滤模块3、路由交换模块4和光口数据输出模块5相连,为各个模块供电。
本发明的光口数据接收模块1包括差分时钟转换模块11和差分数据转换模块12。网络数据从光口进入,通过本模块将数据转化为156.25MHz*64bit的网络数据格式,该数据进入ZYNQ的PL内部模块进行后续处理。
本发明的信息提取模块2包括以太网头部信息提取模块21和有效网络数据提取模块22。以太网头部信息提取模块21主要提取网络数据的mac地址,ip地址,port以及网络数据包长度等信息;有效网络数据提取模块22主要提取网络数据中的关键字符。
本发明的安全过滤模块3包括配置信息接收存储模块31和非法帧校验模块32。配置信息接收存储模块31接收ZYNQ的PS端发送而来的安全策略信息,并存储至本地;非法帧校验模块32依据存储的安全策略以及前级提取的关键信息,逐一进行合法性校验,校验通过的实时转发,不通过的则丢弃。
本发明的路由交换模块4包括路由配置信息存储模块41和仲裁输出模块42。路由配置信息存储模块41接收ZYNQ的PS端发送而来的交换路由信息,并存储至本地;仲裁输出模块42依据存储的路由交换信息,决定输入的网络数据从哪个输出端口进行输出。
本发明的光口数据输出模块5包括差分时钟生成模块51和差分数据生成模块52。本模块将内部156.25MHz*64bit的网络数据转化为符合光口协议的差分时钟以及差分数据,从光口输出。
本发明的安全策略配置6由ZYNQ的PS端接收外部合法设备的安全策略配置信息,并转发至ZYNQ的PL端。
本发明的交换信息配置7由ZYNQ的PS端接收外部合法设备的路由交换信息,并转发至ZYNQ的PL端。
本发明的时钟模块8为其他各个模块提供参考时钟,电源模块9为其他各模块供电。
参阅图2,本发明是这样工作的:
上电之后,首先进行安全策略配置和交换路由信息配置,配置完成之后,将外部设备连接至本发明的各个端口。光口接收模块从光口接收数据,并将其转化为156.25MHz*64bit格式的数据方便ZYNQ内部处理。信息提取模块接收前级转发的网络数据并提取关键信息,安全过滤模块结合配置的安全策略对接收的网络数据进行检查,校验通过则转发,否则丢弃。校验通过的合法数据进入路由交换模块,结合配置的交换路由信息,决定网络数据从哪个端口输出,通过光口数据输出模块将156.25MHz*64bit格式的数据转化为符合光口标准的差分时钟和差分数据进行指定端口的输出。
参阅图3、图1,为本发明的配置流程图。上电之后,电压电流正常,外部合法设备连接至PS端的配置网口,并进行安全策略配置和交换路由信息配置。PS端接收并存储配置的安全策略和交换路由信息,并通过内部AXI总线将配置信息转发至PL端。配置完成。

Claims (6)

1.一种基于ZYNQ的四路万兆以太网安全交换机,其特征在于,它包括光口数据接收模块(1)、信息提取模块(2)、安全过滤模块(3)、路由交换模块(4)、光口数据发送模块(5)、安全策略配置模块(6)、交换信息配置模块(7)、时钟模块(8)及电源模块(9),所述光口数据接收模块(1)分别与信息提取模块(2)、时钟模块(8)和电源模块(9)连接;信息提取模块(2)分别与安全过滤模块(3)、时钟模块(8)以及电源模块(9)连接;安全过滤模块(3)分别与路由交换模块(4)、时钟模块(8)以及电源模块(9)连接;路由交换模块(4)分别与光口数据发送模块(5)、时钟模块(8)以及电源模块(9)连接;光口数据输出模块(5)分别与时钟模块(8)以及电源模块(9)连接;安全策略配置模块(6)与安全过滤模块(3)连接;交换信息配置模块(7)与路由交换模块(4)连接;其中:
万兆以太网数据由光纤输入光口数据接收模块(1),将数据转化成指定格式,并通过信息提取模块(2)对网络数据关键信息进行提取,通过安全策略配置模块(6)以及交换信息配置模块(7)所提供的信息,对网络数据进行安全过滤和路由交换,最后通过光口输出模块(5)将数据送至光口输出;时钟模块(8)为各模块提供参考时钟,电源模块(9)为各模块供电。
2.根据权利要求1所述的四路万兆以太网安全交换机,其特征在于,所述光口数据接收模块(1)包括差分时钟转化模块(11)和差分数据转化模块(12),差分时钟转化模块(11)连接差分数据转化模块(12)。
3.根据权利要求1所述的四路万兆以太网安全交换机,其特征在于,所述信息提取模块(2)包括以太网头部信息提取模块(21)和有效网络数据提取模块(22),以太网头部信息提取模块(21)连接有效网络数据提取模块(22);所提取的信息为关键信息,包括以太网帧MAC地址、IP地址、帧类型、IP版本和首部长度、IP包总长度、IP首部检验和、TCP/UDP端口号、TCP/UDP长度及特定IP序列。
4.根据权利要求1所述的四路万兆以太网安全交换机,其特征在于,所述安全过滤模块(3)包括配置信息接收存储模块(31)和非法帧校验模块(32),配置信息接收存储模块(31)连接非法帧校验模块(32)。
5.根据权利要求1所述的四路万兆以太网安全交换机,其特征在于,所述路由交换模块(4)包括路由配置信息存储模块(41)和仲裁输出模块(42),路由配置信息存储模块(41)连接仲裁输出模块(42)。
6.根据权利要求1所述的四路万兆以太网安全交换机,其特征在于,所述光口数据发送模块(5)包括差分时钟生成模块(51)和差分数据生成模块(52),差分时钟生成模块(51)连接差分数据生成模块(52)。
CN201811403671.7A 2018-11-23 2018-11-23 一种基于zynq的四路万兆以太网安全交换机 Pending CN109302355A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811403671.7A CN109302355A (zh) 2018-11-23 2018-11-23 一种基于zynq的四路万兆以太网安全交换机

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811403671.7A CN109302355A (zh) 2018-11-23 2018-11-23 一种基于zynq的四路万兆以太网安全交换机

Publications (1)

Publication Number Publication Date
CN109302355A true CN109302355A (zh) 2019-02-01

Family

ID=65144656

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811403671.7A Pending CN109302355A (zh) 2018-11-23 2018-11-23 一种基于zynq的四路万兆以太网安全交换机

Country Status (1)

Country Link
CN (1) CN109302355A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110061999A (zh) * 2019-04-28 2019-07-26 华东师范大学 一种基于zynq的网络数据安全分析辅助设备

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103368872A (zh) * 2013-07-24 2013-10-23 广东睿江科技有限公司 数据包转发系统和方法
CN103856761A (zh) * 2014-03-14 2014-06-11 山东大学 基于Zynq-7000的图像监控系统
CN104104616A (zh) * 2013-04-03 2014-10-15 华为技术有限公司 数据调度和交换的方法、装置及系统
CN105490931A (zh) * 2016-01-12 2016-04-13 华东师范大学 基于fpga的多功能物联网网关设备
CN107689931A (zh) * 2017-09-27 2018-02-13 广州海格通信集团股份有限公司 一种基于国产fpga的实现以太网交换功能系统及方法
CN107707476A (zh) * 2017-08-20 2018-02-16 中国人民解放军理工大学 基于fpga的高效无线转发装置及方法
CN107770196A (zh) * 2017-11-28 2018-03-06 天津光电通信技术有限公司 基于无线通信模块和soc芯片的网络数据单向处理平台
CN108365996A (zh) * 2018-05-04 2018-08-03 西安电子科技大学 一种基于fpga+arm架构的片上网络仿真平台
CN108566357A (zh) * 2017-12-21 2018-09-21 中国科学院西安光学精密机械研究所 基于ZYNQ-7000和FreeRTOS的图像传输与控制系统及方法
CN108777693A (zh) * 2018-06-29 2018-11-09 华东师范大学 一种基于fpga家庭监控视频的安全管理设备

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104104616A (zh) * 2013-04-03 2014-10-15 华为技术有限公司 数据调度和交换的方法、装置及系统
CN103368872A (zh) * 2013-07-24 2013-10-23 广东睿江科技有限公司 数据包转发系统和方法
CN103856761A (zh) * 2014-03-14 2014-06-11 山东大学 基于Zynq-7000的图像监控系统
CN105490931A (zh) * 2016-01-12 2016-04-13 华东师范大学 基于fpga的多功能物联网网关设备
CN107707476A (zh) * 2017-08-20 2018-02-16 中国人民解放军理工大学 基于fpga的高效无线转发装置及方法
CN107689931A (zh) * 2017-09-27 2018-02-13 广州海格通信集团股份有限公司 一种基于国产fpga的实现以太网交换功能系统及方法
CN107770196A (zh) * 2017-11-28 2018-03-06 天津光电通信技术有限公司 基于无线通信模块和soc芯片的网络数据单向处理平台
CN108566357A (zh) * 2017-12-21 2018-09-21 中国科学院西安光学精密机械研究所 基于ZYNQ-7000和FreeRTOS的图像传输与控制系统及方法
CN108365996A (zh) * 2018-05-04 2018-08-03 西安电子科技大学 一种基于fpga+arm架构的片上网络仿真平台
CN108777693A (zh) * 2018-06-29 2018-11-09 华东师范大学 一种基于fpga家庭监控视频的安全管理设备

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
张玉福;刘鹏;王晓曼;: "基于ARM和FPGA高速1553B总线测试系统的设计", 长春理工大学学报(自然科学版), no. 05 *
徐俊毅;: "Xilinx――从FPGA到处理器", 电子与电脑, no. 04 *
肖梁山;禹思敏;金磊;: "Zynq芯片的三维视频混沌保密通信系统设计", 单片机与嵌入式系统应用, no. 06 *
邓文博: "基于Zynq7010的列车以太网交换机硬件设计及实现", 《中国硕士学位论文全文数据库》, pages 7 *
龚有华;魏德宝;乔立岩;高源;: "基于Zynq的NAND Flash存储系统研制", 电子测量技术, no. 12 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110061999A (zh) * 2019-04-28 2019-07-26 华东师范大学 一种基于zynq的网络数据安全分析辅助设备

Similar Documents

Publication Publication Date Title
CN109120624A (zh) 一种多平面松耦合高带宽数据交换系统
EP2963874B1 (en) Data scheduling and switching method, apparatus, and system
WO2016107210A1 (zh) 具有报文多级滤清及业务分类控制的冗余工业以太网系统
CN109005170B (zh) 一种RapidIO协议到FC协议的转换方法
US8949578B2 (en) Sharing of internal pipeline resources of a network processor with external devices
CN103533310B (zh) 基于光纤网络的高清数字视频监控装置及监控方法
CN104780333A (zh) 基于fpga的高带宽视频源接口适配装置
CN107426246A (zh) 基于FPGA的万兆以太网和RapidIO协议间高速数据交换系统
CN108809642B (zh) 一种基于fpga的多通道数据万兆加密认证高速传输实现方法
CN107395525A (zh) 一种VPX交换板的rapidIO网络交换方法
CN105357137A (zh) 报文过滤方法及所适用的fpga、智能变电站
CN103200467A (zh) 光网络设备中的网元协议报文传递装置及方法
CN109302355A (zh) 一种基于zynq的四路万兆以太网安全交换机
CN106534067A (zh) 一种基于物联网的智能控制方法及系统
CN103457824A (zh) 报文处理方法及装置
CN209072527U (zh) 一种基于zynq的四路万兆以太网安全交换机
CN108768810B (zh) 一种基于fc的瞬态大数据高效传输方法
CN115859906B (zh) 一种芯片互连系统
CN104394160B (zh) 一种链路层发现协议应用在同步数字体系的方法
CN106021172A (zh) 一种数据通信的方法及装置
CN106961338A (zh) 一种rtds仿真仪与千兆网卡快速交换数据的方法
CN203645769U (zh) 基于光纤网络的高清数字视频监控装置
CN103944738A (zh) 一种支持功能扩展的交换机
CN110768982A (zh) 一种基于国产soc的网络安全互联装置
CN111343519B (zh) 一种光电互联网络系统及数据传输方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination