CN109714294A - 物理层芯片、网络安全设备及数据转发方法 - Google Patents
物理层芯片、网络安全设备及数据转发方法 Download PDFInfo
- Publication number
- CN109714294A CN109714294A CN201711008523.0A CN201711008523A CN109714294A CN 109714294 A CN109714294 A CN 109714294A CN 201711008523 A CN201711008523 A CN 201711008523A CN 109714294 A CN109714294 A CN 109714294A
- Authority
- CN
- China
- Prior art keywords
- interface
- physical chip
- data
- port
- receiving port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
物理层芯片、网络安全设备及数据转发方法。本申请公开了一种物理层芯片,属于网络通信技术领域。物理层芯片用于网络安全设备中,物理层芯片的第一接口的接收端口与旁路功能设备的第一接口的发送端口相连,物理层芯片的第一接口的发送端口与旁路功能设备的第二接口的接收端口相连;物理层芯片的第二接口的发送端口和网络安全设备的处理器的第一接口的接收端口相连,物理层芯片的第二接口的接收端口与处理器的第一接口的发送端口相连;第一连通状态下,物理层芯片的第一接口的接收端口与物理层芯片的第二接口的发送端口连通,物理层芯片的第一接口的发送端口与物理层芯片的第二接口的接收端口连通,第二连通状态下,物理层芯片的第一接口的接收端口与物理层芯片的第一接口的发送端口连通。
Description
技术领域
本申请涉及网络通信技术领域,特别涉及一种物理层(Physical Layer,PHY)芯片、网络安全设备及数据转发方法。
背景技术
网络安全设备通常部署在两个或者多个路由设备之间,对一个路由设备发送的数据报文进行分析,以判断是否有威胁存在,并在分析完成后将报文转发给其它路由设备。
在相关技术中,通常在网络安全设备和路由器之间设置两级旁路(Bypass)功能设备。
请参考图1a和图1b,其示出了相关技术中的路由设备、旁路功能设备以及网络安全设备的连接示意图。如图1a和图1b所示,在相关技术中,路由设备与网络安全设备之间依次设置有第一旁路功能设备(也称为光Bypass设备)和第二旁路功能设备(也称为电Bypass设备)。第一旁路功能设备和第二旁路功能设备中分别设置有接口P1、P2、P1’以及P2’。同时,第一旁路功能设备的接口P1与第一路由设备相连接,第一旁路功能设备的接口P2与第二路由设备相连接,第一旁路功能设备的接口P1’与第二旁路功能设备的接口P1相连接,第一旁路功能设备的接口P2’与第二旁路功能设备的接口P2相连接。网络安全设备中包含第一物理层芯片和第二物理层芯片,第二旁路功能设备的接口P1’与第一物理层芯片相连接,第二旁路功能设备的接口P2’与第二物理层芯片相连接,且第一物理层芯片和第二物理层芯片分别与网络安全设备中处理器相连。
在图1a中,当网络安全设备正常承载业务时,各个旁路功能设备内部的接口P1与接口P1’连通,接口P2与接口P2’连通。第一路由设备发出的数据经过第一旁路功能设备的接口P1和P1’、第二旁路功能设备的接口P1和P1’以及第一物理层芯片到达网络安全设备的处理器。处理器对数据进行处理,处理后的数据经过第二物理层芯片、第二旁路功能设备的接口P2’和P2以及第一旁路功能设备的接口P2’和P2到达第二路由设备。相应的,第二路由设备发出的数据经过与上述相反的路径到达第一路由设备,数据的传输路径如图1a中的虚线所示。
在图1b中,当网络安全设备发生故障或者升级而无法承载业务时,第一旁路功能设备内部的接口P1与接口P1’连通,第一旁路功能设备内部的接口P2与接口P2’连通。第二旁路功能设备内部的接口P1和接口P2连通,此时,第一路由设备发出的数据经过第一旁路功能设备的接口P1和P1’、第二旁路功能设备的接口P1和P2、以及第一旁路功能设备的接口P2’和P2到达第二路由设备;相应的,第二路由设备发出的数据经过与上述相反的路径到达第一路由设备,数据的传输路径如图1b中的虚线所示。
通过图1a和图1b所示的连接方式,在路由设备和网络安全设备之间依次连接光Bypass设备和电Bypass设备。当网络安全设备因故障或升级而下线时,第一路由设备和第二路由设备之间的数据通过电Bypass设备转发,以保持路由设备之间的业务传输不中断。在上述连接方式下,电Bypass设备靠近网络安全设备部署,由网络安全设备通过电路对电Bypass设备中的接口的连通状态的切换过程(如在图1a所示的连通状态和图1b所示的连通状态之间进行切换)进行控制切换。由于通过电路控制连通状态切换的过程耗时极短,不会引起光Bypass设备的光路通断,也就不会触发光Bypass设备的路由邻居的闪断,从而避免了因为光Bypass设备的路由邻居闪断而导致的路由震荡。
然而,相关技术中的路由设备、旁路功能设备以及网络安全设备的连接方式需要部署两级旁路功能设备,设备部署和维护的难度较高,导致设备部署和维护的效率较低。
发明内容
为了降低设备部署和维护的难度,提高部署和维护效率,本申请的实施例提供了一种物理层芯片、网络安全设备及数据转发方法。
第一方面,提供了一种物理层芯片,应用于网络安全设备中,所述网络安全设备部署于网络通信系统中,所述网络通信系统还包括第一路由设备、第二路由设备以及旁路功能设备,所述网络安全设备中还包括处理器,所述物理层芯片的第一接口的接收端口与所述旁路功能设备的第一接口的发送端口相连,所述物理层芯片的第一接口的发送端口与所述旁路功能设备中的第二接口的接收端口相连;所述物理层芯片的第二接口的发送端口和所述处理器的第一接口的接收端口相连,所述物理层芯片的第二接口的接收端口与所述处理器的第一接口的发送端口相连;所述物理层芯片的连通状态包括第一连通状态和第二连通状态;在所述第一连通状态下,所述物理层芯片的第一接口的接收端口与所述物理层芯片的第二接口的发送端口连通,所述物理层芯片的第一接口的发送端口与所述物理层芯片的第二接口的接收端口连通;所述物理层芯片,用于通过所述物理层芯片的第一接口的接收端口接收第一数据,并将所述第一数据通过所述物理层芯片的第二接口的发送端口发送给所述处理器,以便所述处理器对所述第一数据进行处理,将处理后的第一数据返回至所述物理层芯片的第二接口的接收端口,所述第一数据是所述旁路功能设备经由所述旁路功能设备的第一接口的发送端口发送的,来自于所述第一路由设备的数据;所述物理层芯片,还用于通过所述物理层芯片的第二接口的接收端口接收所述处理后的第一数据,并将所述处理后的第一数据经由所述物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口,以便所述旁路功能设备将所述处理后的第一数据发送给第二路由设备;在所述第二连通状态下,所述物理层芯片的第一接口的接收端口与所述物理层芯片的第一接口的发送端口连通,所述物理层芯片通过所述物理层芯片的第一接口的接收端口接收所述第一数据,并将所述第一数据经由所述物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口。
上述第一方面所示的方案将网络安全设备的物理层芯片的一个接口的发送端口和接收端口分别连接到旁路功能设备的两个接口中,同时对物理层芯片的控制逻辑进行改进,使得物理层芯片的一个接口从旁路功能设备的一个接口接收到的数据不经过处理器处理,直接在物理层芯片中环回并送达旁路功能设备的另一个接口,只需要在网络安全设备和路由设备之间设置一个旁路功能设备,并通过网络安全设备中的物理层芯片来实现两个路由设备之间的数据的直接传输,减少了需要部署和维护的设备的数量,达到降低设备部署和维护的难度,提高部署和维护效率的效果。
可选的,当所述物理层芯片的连通状态为所述第一连通状态时,所述物理层芯片,用于在接收到第一状态切换指令后,将所述物理层芯片的连通状态切换为所述第二连通状态,所述第一状态切换指令是所述处理器在检测出所述网络安全设备发生软件故障或者软件升级时发送的指令,或者,所述第一状态切换指令是所述处理器检测到在所述网络安全设备中执行的第一指定操作时发送的指令。
在上述可选的方案中,当网络安全设备发生软件故障或者进行软件升级时,可以通过网络安全设备中的处理器自动或者手动控制物理层芯片切换至第二连通状态,以实现两个路由设备之间的数据由透传到直通的切换控制。
可选的,所述第一状态切换指令由所述处理器通过所述物理层芯片的总线接口写入所述物理层芯片的寄存器。
在上述可选的方案中,处理器通过写寄存器的方式向物理层芯片发送指令,以控制物理层芯片切换连通状态,由于通过写寄存器的方式控制物理层芯片切换连通状态的过程属于电路控制过程,能够在极短时间内完成连通状态切换,不会触发旁路功能设备的路由邻居的闪断,从而避免路由震荡。
可选的,当所述物理层芯片的连通状态为所述第二连通状态时,所述物理层芯片,用于在接收到第二状态切换指令后,将所述物理层芯片的连通状态切换为所述第一连通状态,所述第二状态切换指令是所述处理器在检测出所述网络安全设备软件故障恢复或者软件升级完成时发送的指令,或者,所述第一状态切换指令是所述处理器检测到在所述网络安全设备中执行的第二指定操作时发送的指令。
在上述可选的方案中,当网络安全设备软件故障恢复或者软件升级完成时,可以通过网络安全设备的处理器自动或者手动控制物理层芯片切换至第一连通状态,以实现两个路由设备之间的数据由直通到透传的切换控制。
可选的,所述物理层芯片的第一接口为光纤接口。
第二方面,提供了一种数据转发方法,由上述第一方面或者第一方面的任意可选方式所示的物理层芯片执行,该物理层芯片应用于网络安全设备中,该网络安全设备部署于网络通信系统中,该网络通信系统还包括第一路由设备、第二路由设备以及旁路功能设备,所述网络安全设备中还包括处理器,所述物理层芯片的第一接口的接收端口与所述旁路功能设备的第一接口的发送端口相连,所述物理层芯片的第一接口的发送端口与所述旁路功能设备的第二接口的接收端口相连;所述物理层芯片的第二接口的发送端口和所述处理器的第一接口的接收端口相连,所述物理层芯片的第二接口的接收端口与所述处理器的第一接口的发送端口相连;所述物理层芯片的连通状态包括第一连通状态和第二连通状态;在所述第一连通状态下,所述物理层芯片的第一接口的接收端口与所述物理层芯片的第二接口的发送端口连通,所述物理层芯片的第一接口的发送端口与所述物理层芯片的第二接口的接收端口连通;在所述第二连通状态下,所述物理层芯片的第一接口的接收端口与所述物理层芯片的第一接口的发送端口连通;所述方法包括:
在所述第一连通状态下,所述物理层芯片通过所述物理层芯片的第一接口的接收端口接收第一数据,并将所述第一数据通过所述物理层芯片的第二接口的发送端口发送给所述处理器,以便所述处理器对所述第一数据进行处理,将处理后的第一数据返回至所述物理层芯片的第二接口的接收端口,所述第一数据是所述旁路功能设备经由所述旁路功能设备的第一接口的发送端口发送的,来自于所述第一路由设备的数据,所述物理层芯片通过所述物理层芯片的第二接口的接收端口接收所述处理后的第一数据,并将所述处理后的第一数据经由所述物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口,以便所述旁路功能设备将所述处理后的第一数据发送给第二路由设备;
在所述第二连通状态下,所述物理层芯片通过所述物理层芯片的第一接口的接收端口接收所述第一数据,并将所述第一数据经由所述物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口。
可选的,当所述物理层芯片的连通状态为所述第一连通状态时,所述方法还包括:
所述物理层芯片在接收到第一状态切换指令后,将所述物理层芯片的连通状态切换为所述第二连通状态;所述第一状态切换指令是所述处理器在检测出所述网络安全设备发生软件故障或者软件升级时发送的指令,或者,所述第一状态切换指令是所述处理器检测到在所述网络安全设备中执行的第一指定操作时发送的指令。
可选的,所述第一状态切换指令由所述处理器通过所述物理层芯片的总线接口写入所述物理层芯片的寄存器。
可选的,当所述物理层芯片的连通状态为所述第二连通状态时,所述方法还包括:
所述物理层芯片在接收到第二状态切换指令后,将所述物理层芯片的连通状态切换为所述第一连通状态;所述第二状态切换指令是所述处理器在检测出所述网络安全设备软件故障恢复或者软件升级完成时发送的指令,或者,所述第一状态切换指令是所述处理器检测到在所述网络安全设备中执行的第二指定操作时发送的指令。
第三方面,提供了一种物理层芯片,应用于网络安全设备中,所述网络安全设备部署于网络通信系统中,所述网络通信系统还包括第一路由设备、第二路由设备以及旁路功能设备,所述网络安全设备还包括处理器;所述物理层芯片的第一接口的接收端口与所述旁路功能设备的第一接口的发送端口相连,所述物理层芯片的第一接口的发送端口与所述旁路功能设备的第二接口的接收端口相连;所述物理层芯片的第二接口的发送端口和所述处理器的第一接口的接收端口相连,所述物理层芯片的第二接口的接收端口与所述处理器的第一接口的发送端口相连;所述物理层芯片的连通状态包括第一连通状态和第二连通状态;在所述第一连通状态下,所述物理层芯片的第一接口的接收端口与所述物理层芯片的第二接口的发送端口连通,所述物理层芯片的第一接口的发送端口与所述物理层芯片的第二接口的接收端口连通;在所述第二连通状态下,所述物理层芯片的第一接口的接收端口与所述物理层芯片的第一接口的发送端口连通;所述物理层芯片包括:接收单元和发送单元;
在所述第一连通状态下,所述接收单元,用于通过所述物理层芯片的第一接口的接收端口接收第一数据;所述发送单元,用于将所述第一数据通过所述物理层芯片的第二接口的发送端口发送给所述处理器,以便所述处理器对所述第一数据进行处理,将处理后的第一数据返回至所述物理层芯片的第二接口的接收端口;所述第一数据是所述旁路功能设备经由所述旁路功能设备的第一接口的发送端口发送的,来自于所述第一路由设备的数据;所述接收单元,还用于通过所述物理层芯片的第二接口的接收端口接收所述处理后的第一数据;所述发送单元,还用于将所述处理后的第一数据经由所述物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口,以便所述旁路功能设备将所述处理后的第一数据发送给第二路由设备;
在所述第二连通状态下,所述接收单元,用于通过所述物理层芯片的第一接口的接收端口接收所述第一数据;所述发送单元,用于将所述第一数据经由所述物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口。
可选的,所述物理层芯片还包括:
切换单元,用于当所述物理层芯片的连通状态为所述第一连通状态时,在接收到第一状态切换指令后,将所述物理层芯片的连通状态切换为所述第二连通状态;所述第一状态切换指令是所述处理器在检测出所述网络安全设备发生软件故障或者软件升级时发送的指令,或者,所述第一状态切换指令是所述处理器检测到在所述网络安全设备中执行的第一指定操作时发送的指令。
可选的,所述第一状态切换指令由所述处理器通过所述物理层芯片的总线接口写入所述物理层芯片的寄存器。
可选的,所述物理层芯片还包括:
切换单元,用于当所述物理层芯片的连通状态为所述第二连通状态时,在接收到第二状态切换指令后,将所述物理层芯片的连通状态切换为所述第一连通状态;所述第二状态切换指令是所述处理器在检测出所述网络安全设备软件故障恢复或者软件升级完成时发送的指令,或者,所述第一状态切换指令是所述处理器检测到在所述网络安全设备中执行的第二指定操作时发送的指令。
第四方面,提供了一种网络安全设备,应用于网络通信系统中,所述网络通信系统还包括第一路由设备、第二路由设备以及旁路功能设备,所述网络安全设备包括:第一物理层芯片;所述第一物理层芯片的第一接口的接收端口与所述旁路功能设备的第一接口的发送端口相连,所述第一物理层芯片的第一接口的发送端口与所述旁路功能设备的第二接口的接收端口相连;所述第一物理层芯片的第二接口的发送端口和所述处理器的第一接口的接收端口相连,所述第一物理层芯片的第二接口的接收端口与所述处理器的第一接口的发送端口相连;
所述第一物理层芯片的连通状态包括第一连通状态和第二连通状态;
在所述第一连通状态下,所述第一物理层芯片的第一接口的接收端口与所述第一物理层芯片的第二接口的发送端口连通,所述第一物理层芯片的第一接口的发送端口与所述第一物理层芯片的第二接口的接收端口连通;所述第一物理层芯片,用于通过所述第一物理层芯片的第一接口的接收端口接收第一数据,并将所述第一数据通过所述第一物理层芯片的第二接口的发送端口发送给所述处理器;所述第一数据是所述旁路功能设备经由所述旁路功能设备的第一接口的发送端口发送的,来自于所述第一路由设备的数据;所述处理器,用于对所述第一数据进行处理,将处理后的第一数据返回至所述第一物理层芯片的第二接口的接收端口;所述第一物理层芯片,用于通过所述第一物理层芯片的第二接口的接收端口接收所述处理后的第一数据,并将所述处理后的第一数据经由所述第一物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口,以便所述旁路功能设备将所述处理后的第一数据发送给第二路由设备;
在所述第二连通状态下,所述第一物理层芯片的第一接口的接收端口与所述第一物理层芯片的第一接口的发送端口连通;所述第一物理层芯片,用于通过所述第一物理层芯片的第一接口的接收端口接收所述第一数据,并将所述第一数据经由所述第一物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口。
可选的,当所述第一物理层芯片的连通状态为所述第一连通状态时,
所述处理器,用于在检测出所述网络安全设备发生软件故障或者软件升级时,或者,检测到在所述网络安全设备中执行的第一指定操作时,向所述第一物理层芯片发送第一状态切换指令;
所述第一物理层芯片,用于在接收到所述第一状态切换指令后,将所述第一物理层芯片的连通状态切换为所述第二连通状态。
可选的,在向所述第一物理层芯片发送第一状态切换指令时,所述处理器,具体用于通过所述物理层芯片的总线接口向所述物理层芯片的寄存器写入所述第一状态切换指令。
可选的,当所述第一物理层芯片的连通状态为所述第二连通状态时,
所述处理器,用于在检测出所述网络安全设备软件故障恢复或者软件升级完成时,或者,检测到在所述网络安全设备中执行的第二指定操作时,向所述第一物理层芯片发送第二状态切换指令;
所述第一物理层芯片,用于在接收到所述第二状态切换指令后,将所述第一物理层芯片的连通状态切换为所述第一连通状态。
可选的,所述网络安全设备还包括:第二物理层芯片;所述第二物理层芯片的第一接口的接收端口与所述旁路功能设备的第二接口的发送端口相连,所述第二物理层芯片的第一接口的发送端口与所述旁路功能设备的第一接口的接收端口相连;所述第二物理层芯片的第二接口的发送端口和所述处理器的第二接口的接收端口相连,所述第二物理层芯片的第二接口的接收端口与所述处理器的第二接口的发送端口相连;
所述第二物理层芯片的连通状态包括第三连通状态和第四连通状态;
在所述第三连通状态下,所述第二物理层芯片的第一接口的接收端口与所述第二物理层芯片的第二接口的发送端口连通,所述第二物理层芯片的第一接口的发送端口与所述第二物理层芯片的第二接口的接收端口连通;所述第二物理层芯片,用于通过所述第二物理层芯片的第一接口的接收端口接收第二数据,并将所述第二数据通过所述第二物理层芯片的第二接口的发送端口发送给所述处理器;所述第二数据是所述旁路功能设备经由所述旁路功能设备的第二接口的发送端口发送的,来自于所述第二路由设备的数据;所述处理器,用于对所述第二数据进行处理,将处理后的第二数据返回至所述第二物理层芯片的第二接口的接收端口;所述第二物理层芯片,用于通过所述第二物理层芯片的第二接口的接收端口接收所述处理后的第二数据,并将所述处理后的第二数据经由所述第二物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第一接口的接收端口,以便所述旁路功能设备将所述处理后的第二数据发送给所述第一路由设备;
在所述第四连通状态下,所述第二物理层芯片的第一接口的接收端口与所述第二物理层芯片的第一接口的发送端口连通;所述第二物理层芯片,用于通过所述第二物理层芯片的第一接口的接收端口接收所述第二数据,并将所述第二数据经由所述第二物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第一接口的接收端口。
第五方面,提供了一种旁路功能设备,应用于网络通信系统中,所述网络通信系统还包括第一路由设备、第二路由设备以及网络安全设备;
所述旁路功能设备的第一接口与所述旁路功能设备的第三接口直通,所述旁路功能设备的第二接口与所述旁路功能设备的第四接口直通;
所述旁路功能设备的第一接口的发送端口与所述网络安全设备中的第一物理层芯片的第一接口的接收端口相连,所述旁路功能设备的第二接口的接收端口与所述网络安全设备中的第一物理层芯片的第一接口的发送端口相连;
所述旁路功能设备的第三接口的接收端口和所述旁路功能设备的第三接口的发送端口分别与所述第一路由设备相连,所述旁路功能设备的第四接口的接收端口和所述旁路功能设备的第四接口的发送端口分别与所述第二路由设备相连。
可选的,所述旁路功能设备的第二接口的发送端口与所述网络安全设备中的第二物理层芯片的第一接口的接收端口相连,所述旁路功能设备的第一接口的接收端口与所述网络安全设备中的第二物理层芯片的第一接口的发送端口相连。
可选的,所述旁路功能设备的第一接口、所述旁路功能设备的第二接口、所述旁路功能设备的第三接口以及所述旁路功能设备的第四接口为光纤接口。
第六方面,提供了一种网络通信系统,所述网络通信系统包括第一路由设备、第二路由设备、如上述第四方面或者第四方面的可选方案所述的网络安全设备,以及如上述第五方面或者第五方面的可选方案所述的旁路功能设备。
第七方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由物理层芯片加载并执行以实现如上述第二方面或者第二方面的可选方案所述的数据转发方法。
附图说明
图1a是相关技术涉及的一种路由设备、旁路功能设备以及网络安全设备的连接示意图;
图1b是相关技术涉及的一种路由设备、旁路功能设备以及网络安全设备的连接示意图;
图2a和图2b是本申请一示例性实施例所涉及的物理层芯片的两种连接示意图;
图3是本申请一示例性实施例所涉及的网络通信系统的连接示意图;
图4是本申请一示例性实施例所涉及的网络通信系统的连接示意图;
图5是本申请一示例性实施例所涉及的数据转发方法的方法流程图;
图6是本申请实施例涉及的一种物理层芯片的结构方框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
网络安全设备是用于对网络数据进行分析的网络设备。网络安全设备可以设置在两个路由设备之间,对一个路由设备发送的数据报文进行分析,以判断是否有威胁存在,并在分析完成后将报文转发给其它路由设备。
网络安全设备连接的两个路由设备可以属于同一网络,也可以属于不同网络。可选地,在实际部署中,为了便于对穿越不同网络的数据报文的安全性进行控制,往往在不同网络的连接处设置网络安全设备。换句话说,与网络安全设备连接的两个路由设备分别属于不同的网络,网络安全设备设置在两个或多个网络之间,这样该网络安全设备对其所连接的两个路由设备之间传输的数据进行分析和转发。比如,该网络安全设备可以是设置在国际互联网和国内骨干网之间,或者设置在内网与外网之间的各类网关设备,比如防火墙(firewall)、下一代防火墙(next generation firewall,NGFW)、安全网关(UnifiedThreat Management,UTM)、入侵防御系统(Intrusion Prevention System,IPS)、专用分布式拒绝服务(Distributed Denial of Service,DDoS)设备或者其他专用隔离设备等。
在实际应用中,网络安全设备和旁路功能设备之间通常通过光纤连接。光纤接口中的发送端口(transmit,Tx)和接收端口(receive,Rx)可以是相互独立的。本申请实施例所示的方案基于光纤接口的这种特性,对光纤接口中的端口之间的连接方式进行改进。将网络安全设备的物理层芯片的一个接口的发送端口和接收端口分别连接到旁路功能设备的两个接口中,同时对物理层芯片的控制逻辑进行改进,使得物理层芯片的一个接口从旁路功能设备的一个接口接收到的数据不经过处理器处理,直接在物理层芯片中环回并送达旁路功能设备的另一个接口。这样只需要在网络安全设备和路由设备之间设置一个旁路功能设备,并通过网络安全设备中的物理层芯片实现两个路由设备之间的数据的直接传输,减少了需要部署和维护的设备的数量,达到降低设备部署和维护的难度,提高部署和维护效率的效果。
图2a和图2b是本申请一示例性实施例所涉及的物理层芯片的两种连接示意图。其中,该物理层芯片应用于网络安全设备中。网络安全设备部署在网络通信系统中,该网络通信系统还包括第一路由设备、第二路由设备以及旁路功能设备。如图2a和图2b所示,物理层芯片200包括:物理层芯片的第一接口240和物理层芯片的第二接口260。
其中,该物理层芯片的第一接口240的接收端口242与旁路功能设备的第一接口的发送端口相连,该物理层芯片的第一接口240的发送端口244与旁路功能设备的第二接口的接收端口相连。
在本申请实施例中,上述物理层芯片的第一接口240和旁路功能设备的第一接口和第二接口可以都是光纤接口,即可以通过一根光纤连接物理层芯片的第一接口240的接收端口242与旁路功能设备的第一接口的发送端口,并通过另一跟光纤连接物理层芯片的第一接口240的发送端口244与旁路功能设备的第二接口的接收端口。
该物理层芯片的第二接口260的发送端口264和网络安全设备中的处理器的第一接口的接收端口相连,物理层芯片的第二接口260的接收端口262与处理器的第一接口的发送端口相连。
其中,物理层芯片的第二接口260可以是支持串行接口协议的接口,例如物理层芯片的第二接口260可以是串行外设(Serial Peripheral Interface,SPI)接口,比如SPI4接口或者SPI3接口等,或者,物理层芯片的第二接口260可以是interlaken接口。
物理层芯片的第二接口260的发送端口264和物理层芯片的第二接口260的接收端口262可以分别连接至处理器中的串行/解串器(SERializer/DESerializer,SERDES)。具体比如,该串行/解串器的接口也包括接收端口和发送端口,物理层芯片的第二接口260的发送端口264可以与处理器中的串行/解串器的接收端口相连,物理层芯片的第二接口260的接收端口262可以与处理器中的串行/解串器的发送端口相连。
在本发明实施例中,处理器可以包含至少一个中央处理器(Central ProcessingUnit,CPU)或者专用处理器,每个CPU或者专用处理器中可以包含至少一个处理核心。
该物理层芯片200的连通状态可以包括第一连通状态(对应图2a)和第二连通状态(对应图2b)。
如图2a所示,在该第一连通状态下,该物理层芯片的第一接口240的接收端口242与该物理层芯片的第二接口260的发送端口264连通,该物理层芯片的第一接口240的发送端口244与该物理层芯片的第二接口260的接收端口262连通。
该物理层芯片200,用于在上述第一连通状态下,通过物理层芯片的第一接口240的接收端口242接收第一数据,并将该第一数据通过该物理层芯片的第二接口260的发送端口264发送给该处理器;其中,第一数据是旁路功能设备经由旁路功能设备的第一接口的发送端口发送的,来自于第一路由设备的数据。
该处理器,用于在上述第一连通状态下,对该第一数据进行处理,将处理后的第一数据返回至该物理层芯片的第二接口260的接收端口262;
该物理层芯片200,还用于通过该物理层芯片的第二接口260的接收端口262接收该处理后的第一数据,并将该处理后的第一数据经由该物理层芯片的第一接口240的发送端口244发送至该旁路功能设备的第二接口的接收端口,以便该旁路功能设备将该处理后的第一数据发送给第二路由设备。
网络安全设备正常运行时,从第一路由设备传输至第二路由设备的数据的传输路径如图2a中的指向箭头200a所示。此时,第一路由设备将数据发送给旁路功能设备,旁路功能设备接收到第一路由设备发送的数据后,通过旁路功能设备中的第一接口的发送端口向物理层接口200中的第一接口240的接收端口242发送该数据。物理层芯片通过接收端口242接收到数据后,通过第二接口260中的发送端口264发送给处理器的串行/解串器。处理器对物理层芯片发送过来的数据进行处理,以分析数据是否存在风险或者威胁,并将处理后的数据经由串行/解串器发给物理层芯片的第二接口260中的接收端口262。物理层芯片接收到该处理后的数据后,通过第一接口240的发送端口244将该处理后的数据经交叉光纤发送至旁路功能设备的第二接口的接收端口。旁路功能设备将通过该旁路功能设备的第二接口的接收端口接收到的该处理后的数据发送至第二网络设备。
如图2b所示,在第二连通状态下,该物理层芯片的第一接口240的接收端口242与该物理层芯片的第一接口240的发送端口244连通;此时,物理层芯片200,用于通过该物理层芯片的第一接口240的接收端口240接收上述第一数据,并将上述第一数据经由物理层芯片的第一接口240的发送端口244发送至旁路功能设备的第二接口的接收端口,以便该旁路功能设备将该第一数据发送给第二路由设备。
当网络安全设备软件异常或升级时,网络安全设备不能承载数据分析业务,需要将两个路由设备直通,此时,从第一路由设备传输至第二路由设备的数据的传输路径如图2b中的指向箭头200b所示。第一路由设备将数据发送给旁路功能设备,由旁路功能设备将该数据通过旁路功能设备的第一接口的发送端口发送给物理层芯片200的第一接口240的接收端口242。物理层芯片200接收到该数据后,不将该数据发送给处理器,而是直接通过物理层芯片的第一接口240的发送端口244,经交叉光纤发送给至旁路功能设备的第二接口的接收端口。旁路功能设备将通过该旁路功能设备的第二接口的接收端口接收到的数据发送至第二网络设备。
在图2b中,当网络安全设备软件异常或升级时,可以将物理层芯片环回,使得软件升级或者软件故障时保证物理层芯片不复位、不初始化,因此,物理层芯片链路不会发生上下线(up/down)状态切换。第一路由设备发出并进入旁路功能设备的数据流量,经物理层芯片环回透传到旁路功能设备,从而实现两个路由设备之间的数据直通。
通过上述图2a和图2b所示的组网和接口的内部逻辑实现,可以保证网络安全设备软件故障或升级时,可以通过物理层芯片的环回实现旁路功能,只要网络安全设备的物理层芯片不掉电,就不会引起旁路功能设备的链路上下线,在网络安全设备的物理层芯片上直接将数据流量转发到旁路功能设备上,可以保证数据流量不中断。
可选的,当该物理层芯片200的连通状态为该第一连通状态时,该物理层芯片200,用于在接收到第一状态切换指令后,将该物理层芯片200的连通状态切换为该第二连通状态;该第一状态切换指令是网络安全设备的处理器在检测出该网络安全设备发生软件故障或者软件升级时发送的指令,或者,该第一状态切换指令是该网络安全设备的处理器检测到在该网络安全设备中执行的第一指定操作时发送的指令。
在实际应用中,根据网络安全设备中的软件状态的不同,网络安全设备中的物理层芯片的连通状态需要进行切换,具体的,当网络安全设备中的软件发生故障或者开始升级时,需要将物理层芯片的连通状态从第一连通状态切换至第二连通状态,当网络安全设备中的软件故障恢复或者升级完成后,需要将物理层芯片的连通状态从第一连通状态切换至第二连通状态。由于物理层芯片通常只具备有限的处理能力,在本申请实施例中,可以通过网络安全设备的处理器来触发物理层芯片的连通状态的切换。具体的,当网络安全设备的处理器检测到网络安全设备发生软件故障或者软件升级时,可以向物理层芯片发送第一状态切换指令,物理层芯片接收到该第一状态切换指令后,切换物理层芯片的连通状态至第二连通状态,以将第一路由设备和第二路由设备直通;或者,当网络安全设备发生软件故障或者软件升级时,用户(比如网络安全设备的管理人员)可以手动控制切换,比如,用户可以在网络安全设备显示的切换界面中执行手动切换操作,此时,网络安全设备的处理器向物理层芯片发送第一状态切换指令。
在本发明实施例中,处理器可以通过写寄存器的方式向物理层芯片发送状态切换指令,以控制物理层芯片切换连通状态。由于通过写寄存器的方式控制物理层芯片切换连通状态的过程属于电路控制过程,能够在极短时间内完成连通状态切换,不会触发旁路功能设备的路由邻居的闪断,从而避免引发路由震荡。
可选的,第一状态切换指令可以由处理器通过物理层芯片的总线接口写入物理层芯片的寄存器,换句话说,就是处理器可以与物理层芯片中除了第一接口和第二接口之外的总线接口连接,并通过物理层芯片的总线接口向物理层芯片的寄存器写入第一状态切换指令。
可选的,当该物理层芯片200的连通状态为该第二连通状态时,该物理层芯片200,用于在接收到第二状态切换指令后,将该物理层芯片200的连通状态切换为该第一连通状态,该第二状态切换指令是该处理器在检测出该网络安全设备软件故障恢复或者软件升级完成时发送的指令,或者,该第一状态切换指令是该处理器检测到在该网络安全设备中执行的第二指定操作时发送的指令。
当网络安全设备的处理器检测到网络安全设备软件故障恢复或者软件完成时,可以向物理层芯片发送第二状态切换指令,物理层芯片接收到该第二状态切换指令后,切换物理层芯片的连通状态至第一连通状态,以将第一路由设备发送的数据经由处理器处理后发送至第二路由设备;或者,当网络安全设备软件故障恢复或者软件升级完成时,用户可以手动控制切换,比如,用户可以在网络安全设备显示的切换界面中执行手动切换操作,此时,网络安全设备的处理器向物理层芯片发送第二状态切换指令。
可选的,第二状态切换指令可以由处理器通过物理层芯片的总线接口写入物理层芯片的寄存器,换句话说,就是处理器可以与物理层芯片中除了第一接口和第二接口之外的总线接口连接,并通过物理层芯片的总线接口向物理层芯片的寄存器写入第二状态切换指令。
或者,在另一种可能的实现方式中,在向物理层芯片发送第一状态切换指令或者第二状态切换指令时,处理器可以向物理层芯片的第二接口260的接收端口262发送该第一状态切换指令或者第二状态切换指令。
在本申请实施例中,物理层芯片的连通状态由处理器控制切换,在另一种可能的实现方式中,物理层芯片的连通状态还可以由物理层芯片自行控制切换。比如,在一种可能的实现方式中,物理层芯片与处理器可以分别供电,或者,物理层芯片具有单独的备份供电组件,当网络安全设备中的处理器因为硬件故障等原因掉电时,物理层芯片检测到处理器掉电后,若此时物理层芯片处于第一连通状态,则物理层芯片可以自动将物理层芯片的连通状态切换至第二连通状态,并在第二连通状态下实现报文转发。
图3是本申请一示例性实施例所涉及的网络通信系统的连接示意图。如图3所示,该网络通信系统包括网络安全设备320、旁路功能设备340、第一路由设备360、第二路由设备380。
其中,网络安全设备320包括:第一物理层芯片322和处理器324;
该第一物理层芯片322中集成有第一物理层芯片的接口322b和第一物理层芯片的第二接口322c;旁路功能设备340包括旁路功能设备的第一接口340a、旁路功能设备的第二接口340b、旁路功能设备的第三接口340c以及旁路功能设备的第四接口340d。
该第一物理层芯片的第一接口322b的接收端口322b1与该旁路功能设备340的第一接口340a的发送端口342a2相连,该第一物理层芯片的第一接口322b的发送端口322b2与该旁路功能设备340的第二接口340b的接收端口340b1相连;该第一物理层芯片的第二接口322c的发送端口322c2和处理器324的第一接口324a的接收端口324a1相连,该第一物理层芯片的第二接口322c的接收端口322c1与该处理器324的第一接口324a的发送端口324a2相连。
该旁路功能设备的第一接口340a与该旁路功能设备的第三接口340c直通,该旁路功能设备的第二接口340b与该旁路功能设备的第四接口340d直通。
该旁路功能设备的第三接口340c的接收端口和该旁路功能设备的第三接口340c的发送端口分别与该第一路由设备360相连,该旁路功能设备的第四接口340d的接收端口和该旁路功能设备的第四接口340d的发送端口分别与该第二路由设备380相连。
该第一物理层芯片322的连通状态包括第一连通状态和第二连通状态。
在该第一连通状态下,该第一物理层芯片的第一接口322b的接收端口322b1与该第一物理层芯片的第二接口322c的发送端口322c2连通,该第一物理层芯片的第一接口322b的发送端口322b2与该第一物理层芯片的第二接口322c的接收端口322c1连通;该第一物理层芯片322,用于通过该第一物理层芯片的第一接口322b的接收端口322b1接收第一数据,并将该第一数据通过该第一物理层芯片的第二接口322c的发送端口322c2发送给该处理器324;该第一数据是该旁路功能设备340经由该旁路功能设备的第一接口340a的发送端口340a2发送的,来自于该第一路由设备360的数据;该处理器324,用于对该第一数据进行处理,将处理后的第一数据返回至该第一物理层芯片的第二接口322c的接收端口322c1;该第一物理层芯片322,用于通过该第一物理层芯片的第二接口322c的接收端口322c1接收该处理后的第一数据,并将该处理后的第一数据经由该第一物理层芯片的第一接口322b的发送端口322b2发送至该旁路功能设备340的第二接口340b的接收端口340b1,以便该旁路功能设备340将该处理后的第一数据发送给第二路由设备380;
在该第二连通状态下,该第一物理层芯片的第一接口322b的接收端口322b1与该第一物理层芯片的第一接口322b的发送端口322b3连通;该第一物理层芯片322,用于通过该第一物理层芯片的第一接口322b的接收端口322b1接收该第一数据,并将该第一数据经由该第一物理层芯片的第一接口322b的发送端口322b2发送至该旁路功能设备340的第二接口340b的接收端口340b1。
可选的,当该第一物理层芯片322的连通状态为该第一连通状态时,该处理器324,用于在检测出该网络安全设备320发生软件故障或者软件升级时,或者,检测到在该网络安全设备320中执行的第一指定操作时,向该第一物理层芯片322发送第一状态切换指令;
该第一物理层芯片322,用于在接收到该第一状态切换指令后,将该第一物理层芯片322的连通状态切换为该第二连通状态。
可选的,在向第一物理层芯片322发送第一状态切换指令时,所述处理器324,具体用于通过第一物理层芯片322的总线接口向第一物理层芯片322的寄存器写入该第一状态切换指令。
可选的,当该第一物理层芯片322的连通状态为该第二连通状态时,该处理器324,用于在检测出该网络安全设备320软件故障恢复或者软件升级完成时,或者,检测到在该网络安全设备320中执行的第二指定操作时,向该第一物理层芯片322发送第二状态切换指令;
该第一物理层芯片322,用于在接收到该第二状态切换指令后,将该第一物理层芯片322的连通状态切换为该第一连通状态。
可选的,在向第一物理层芯片322发送第二状态切换指令时,所述处理器324,具体用于通过第一物理层芯片322的总线接口向第一物理层芯片322的寄存器写入该第二状态切换指令。
其中,上述网络安全设备通过第一物理层芯片322实现第一路由设备360到第二路由设备380之间的数据的透传或者直通的方式可以参考图2a和图2b对应的实施例中的描述,此处不再赘述。
可选的,该网络安全设备320还包括:第二物理层芯片326;
该第二物理层芯片326集成有第二物理层芯片的第一接口326b和第二物理层芯片的第二接口326c;该第二物理层芯片的第一接口326b的接收端口326b1与该旁路功能设备340的第二接口340b的发送端口340b2相连,该第二物理层芯片的第一接口326b的发送端口326b2与该旁路功能设备340的第一接口340a的接收端口340b1相连;该第二物理层芯片的第二接口326c的发送端口326c2和处理器324的第二接口324b的接收端口324b1相连,该第二物理层芯片的第二接口326c的接收端口326c1与该处理器324的第二接口324b的发送端口324b2相连;
该旁路功能设备340的第二接口340b的发送端口340b2与该第二物理层芯片的第一接口326b的接收端口326b1相连,该旁路功能设备的第一接口340a的接收端口340a1与该第二物理层芯片的第一接口326b的发送端口326b2相连。
该第二物理层芯片326的连通状态包括第三连通状态和第四连通状态;
在该第三连通状态下,该第二物理层芯片的第一接口326b的接收端口326b1与该第二物理层芯片的第二接口326c的发送端口326c2连通,该第二物理层芯片的第一接口326b的发送端口326b2与该第二物理层芯片的第二接口326c的接收端口326c1连通;该第二物理层芯片326,用于通过该第二物理层芯片的第一接口326b的接收端口326b1接收第二数据,并将该第二数据通过该第二物理层芯片的第二接口326c的发送端口326c2发送给该处理器324;该第二数据是该旁路功能设备340经由该旁路功能设备340的第二接口340b的发送端口340b2发送的,来自于该第二路由设备380的数据;该处理器324,用于对该第二数据进行处理,将处理后的第二数据返回至该第二物理层芯片的第二接口326c的接收端口326c1;该第二物理层芯片326,用于通过该第二物理层芯片的第二接口326c的接收端口326c1接收该处理后的第二数据,并将该处理后的第二数据经由该第二物理层芯片的第一接口326b的发送端口326b2发送至该旁路功能设备340中的第一接口340a的接收端口340a1,以便该旁路功能设备340将该处理后的第二数据发送给该第一路由设备360;
在该第四连通状态下,该第二物理层芯片的第一接口326b的接收端口326b1与该第二物理层芯片的第一接口326b的发送端口326b2连通;该第二物理层芯片326,用于通过该第二物理层芯片的第一接口326b的接收端口326b1接收该第二数据,并将该第二数据经由该第二物理层芯片的第一接口326b的发送端口326b2发送至该旁路功能设备中340的第一接口340a的接收端口340a1。
其中,上述第一物理层芯片的第一接口322b、旁路功能设备的第一接口340a、旁路功能设备的第二接口340b、第二物理层芯片的第一接口326b、旁路功能设备的第三接口340c以及旁路功能设备的第四接口340d可以都是光纤接口。
第一物理层芯片的第二接口322c和第二物理层芯片的第二接口326c可以是支持串行接口协议的接口。
在本申请实施例中,网络安全设备通过第一物理层芯片322实现第一路由设备360到第二路由设备380之间的数据的透传或者直通,并通过第二物理层芯片326来实现第二路由设备380到第一路由设备360之间的数据的透传或者直通。其中,通过第二物理层芯片326来实现第二路由设备380到第一路由设备360之间的数据的透传或者直通的方式,与通过第一物理层芯片322实现第一路由设备360到第二路由设备380之间的数据的透传或者直通的方式类似,此处不再赘述。
上述图3所示的实施例以网络安全设备同时处理第一路由设备360发送至第二路由设备380的数据以及第二路由设备380发送至第一路由设备360的数据为例进行说明。可选的,上述第一路由设备360发送至第二路由设备380的数据以及第二路由设备380发送至第一路由设备360的数据也可以分别由不同的网络安全设备进行处理,即上述第一物理层芯片322和第二物理层芯片326分属于不同的网络安全设备,具体请参考下述图4。
图4是本申请一示例性实施例所涉及的网络通信系统的连接示意图。如图4所示,该网络通信系统包括网络安全设备320(a)、网络安全设备320(b)、旁路功能设备340、第一路由设备360和第二路由设备380。
其中,网络安全设备320(a)包括:第一物理层芯片322和处理器324(a);第一物理层芯片322的结构以及第一物理层芯片322与旁路功能设备340之间的连接关系与上述图3所示的实施例类似,此处不再赘述。在图4中,第一物理层芯片322中的第二接口322c的发送端口与处理器324(a)的第一接口的接收端口相连接,第一物理层芯片322中的第二接口322c的接收端口与处理器324(a)的第一接口的发送端口相连接。
在图4所示的实施例中,处理器324(a)用于对第一路由设备360发送至第二路由设备380的数据进行处理,可选的,处理器324(a)还可以对第一物理层芯片322的连通状态进行控制,该连通状态的控制逻辑与上述图3所示实施例中的描述类似,此处不再赘述。
相应的,网络安全设备320(b)包括:第二物理层芯片326和处理器324(b);第二物理层芯片326的结构以及第二物理层芯片326与旁路功能设备340之间的连接关系与上述图3所示的实施例类似,此处不再赘述。在图4中,第二物理层芯片326中的第二接口326c的发送端口与处理器324(b)的第一接口的接收端口相连接,第二物理层芯片326中的第二接口326c的发送端口与处理器324(b)的第一接口的发送端口相连接。
在图4所示的实施例中,处理器324(b)用于对第二路由设备380发送至第一路由设备360的数据进行处理,可选的,处理器324(b)还可以对第二物理层芯片326的连通状态进行控制,该连通状态的控制逻辑与上述图3所示实施例中的描述类似,此处不再赘述。
图5是本申请一示例性实施例所涉及的数据转发方法的方法流程图,该方法可以由上述图2a和图2b所示的物理层芯片执行。该物理层芯片应用于网络安全设备中,该网络安全设备部署于网络通信系统中,该网络通信系统中的网络安全设备、旁路功能设备、第一路由设备以及第二路由设备之间的连接方式可以参考上述图3或图4。如图5所示,该数据转发方法可以包括如下步骤:
步骤501,在第一连通状态下,物理层芯片通过物理层芯片的第一接口的接收端口接收第一数据,并将该第一数据通过该物理层芯片的第二接口的发送端口发送给处理器,以便该处理器对该第一数据进行处理,将处理后的第一数据返回至该物理层芯片的第二接口的接收端口。
其中,该第一数据是该旁路功能设备经由该旁路功能设备的第一接口的发送端口发送的,来自于该第一路由设备的数据。
步骤502,在第一连通状态下,物理层芯片通过该物理层芯片的第二接口的接收端口接收该处理后的第一数据,并将该处理后的第一数据经由该物理层芯片的第一接口的发送端口发送至该旁路功能设备中的第二接口的接收端口,以便该旁路功能设备将该处理后的第一数据发送给第二路由设备。
可选的,当该物理层芯片的连通状态为该第一连通状态时,该物理层芯片在接收到第一状态切换指令后,将该物理层芯片的连通状态切换为该第二连通状态;该第一状态切换指令是该处理器在检测出该网络安全设备发生软件故障或者软件升级时发送的指令,或者,该第一状态切换指令是该处理器检测到在该网络安全设备中执行的第一指定操作时发送的指令。
可选的,该第一状态切换指令由处理器通过物理层芯片的总线接口写入物理层芯片的寄存器。
步骤503,在第二连通状态下,该物理层芯片通过该第一接口的接收端口接收该第一数据,并将该第一数据经由该第一接口的发送端口发送至该旁路功能设备中的第四接口的接收端口。
可选的,当该物理层芯片的连通状态为该第二连通状态时,该物理层芯片在接收到第二状态切换指令后,将该物理层芯片的连通状态切换为该第一连通状态;该第二状态切换指令是该处理器在检测出该网络安全设备软件故障恢复或者软件升级完成时发送的指令,或者,该第一状态切换指令是该处理器检测到在该网络安全设备中执行的第二指定操作时发送的指令。
可选的,该第二状态切换指令由处理器通过物理层芯片的总线接口写入物理层芯片的寄存器。
其中,上述各个步骤的具体执行过程可以参考图2a和图2b对应的实施例中的描述,此处不再赘述。
图6是本申请实施例涉及的一种物理层芯片的结构方框图,该物理层芯片可以用于网络通信系统的网络安全设备中,该网络通信系统还包括第一路由设备、第二路由设备以及旁路功能设备,该网络安全设备、旁路功能设备、第一路由设备以及第二路由设备之间的连接方式可以参考上述图3或图4;该物理层芯片600包括:接收单元620和发送单元640;
其中,该接收单元620,用于实现如图2a和图2b所示的实施例中由物理层芯片所执行的有关接收数据的步骤;
该发送单元640,用于实现如图2a和图2b所示的实施例中由物理层芯片所执行的有关发送数据的步骤;
可选的,该物理层芯片600还包括切换单元660;
该切换单元660,用于实现如2a和图2b所示的实施例中由物理层芯片所执行的有关切换物理层芯片的连通状态的步骤。
上述各个单元的具体执行过程可以参考图2a和图2b对应的实施例中的描述,此处不再赘述。
本申请实施例还提供一种计算机可读存储介质,该存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,该至少一条指令、该至少一段程序、该代码集或指令集由物理层芯片加载并执行以实现如上述图5所示实施例中,由物理层芯片执行的数据转发方法的全部或者部分步骤。
需要说明的是:上述实施例提供的物理层芯片在执行数据转发时,仅以上述各功能单元的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元完成,即将设备的内部结构划分成不同的功能单元,以完成以上描述的全部或者部分功能。另外,上述实施例提供的物理层芯片与数据转发方法的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本申请的实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例由处理器执行的全部或部分步骤可以通过硬件来完成,也可以通过指令来控制相关的硬件完成,所述的指令可以存储于一种计算机可读存储介质中,上述提到的计算机可读存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本申请能够实现的一种具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,以权利要求为基础进行变化或替换所得到的方案,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (19)
1.一种物理层芯片,其特征在于,应用于网络安全设备中,所述网络安全设备部署于网络通信系统中,所述网络通信系统还包括第一路由设备、第二路由设备以及旁路功能设备,所述网络安全设备中还包括处理器,所述物理层芯片的第一接口的接收端口与所述旁路功能设备的第一接口的发送端口相连,所述物理层芯片的第一接口的发送端口与所述旁路功能设备中的第二接口的接收端口相连;所述物理层芯片的第二接口的发送端口和所述处理器的第一接口的接收端口相连,所述物理层芯片的第二接口的接收端口与所述处理器的第一接口的发送端口相连;
所述物理层芯片的连通状态包括第一连通状态和第二连通状态;
在所述第一连通状态下,所述物理层芯片的第一接口的接收端口与所述物理层芯片的第二接口的发送端口连通,所述物理层芯片的第一接口的发送端口与所述物理层芯片的第二接口的接收端口连通;
所述物理层芯片,用于通过所述物理层芯片的第一接口的接收端口接收第一数据,并将所述第一数据通过所述物理层芯片的第二接口的发送端口发送给所述处理器,以便所述处理器对所述第一数据进行处理,将处理后的第一数据返回至所述物理层芯片的第二接口的接收端口,所述第一数据是所述旁路功能设备经由所述旁路功能设备的第一接口的发送端口发送的,来自于所述第一路由设备的数据;
所述物理层芯片,还用于通过所述物理层芯片的第二接口的接收端口接收所述处理后的第一数据,并将所述处理后的第一数据经由所述物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口,以便所述旁路功能设备将所述处理后的第一数据发送给第二路由设备;
在所述第二连通状态下,所述物理层芯片的第一接口的接收端口与所述物理层芯片的第一接口的发送端口连通,所述物理层芯片通过所述物理层芯片的第一接口的接收端口接收所述第一数据,并将所述第一数据经由所述物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口。
2.根据权利要求1所述的物理层芯片,其特征在于,当所述物理层芯片的连通状态为所述第一连通状态时,
所述物理层芯片,用于在接收到第一状态切换指令后,将所述物理层芯片的连通状态切换为所述第二连通状态,所述第一状态切换指令是所述处理器在检测出所述网络安全设备发生软件故障或者软件升级时发送的指令,或者,所述第一状态切换指令是所述处理器检测到在所述网络安全设备中执行的第一指定操作时发送的指令。
3.根据权利要求2所述的物理层芯片,其特征在于,所述第一状态切换指令由所述处理器通过所述物理层芯片的总线接口写入所述物理层芯片的寄存器。
4.根据权利要求1所述的物理层芯片,其特征在于,当所述物理层芯片的连通状态为所述第二连通状态时,
所述物理层芯片,用于在接收到第二状态切换指令后,将所述物理层芯片的连通状态切换为所述第一连通状态,所述第二状态切换指令是所述处理器在检测出所述网络安全设备软件故障恢复或者软件升级完成时发送的指令,或者,所述第一状态切换指令是所述处理器检测到在所述网络安全设备中执行的第二指定操作时发送的指令。
5.根据权利要求1至3任一所述的物理层芯片,其特征在于,所述物理层芯片的第一接口为光纤接口。
6.一种数据转发方法,其特征在于,由网络安全设备中的物理层芯片执行,所述网络安全设备部署于网络通信系统中,所述网络通信系统还包括第一路由设备、第二路由设备以及旁路功能设备,所述网络安全设备中还包括处理器,所述物理层芯片的第一接口的接收端口与所述旁路功能设备的第一接口的发送端口相连,所述物理层芯片的第一接口的发送端口与所述旁路功能设备的第二接口的接收端口相连;所述物理层芯片的第二接口的发送端口和所述处理器的第一接口的接收端口相连,所述物理层芯片的第二接口的接收端口与所述处理器的第一接口的发送端口相连;所述物理层芯片的连通状态包括第一连通状态和第二连通状态;在所述第一连通状态下,所述物理层芯片的第一接口的接收端口与所述物理层芯片的第二接口的发送端口连通,所述物理层芯片的第一接口的发送端口与所述物理层芯片的第二接口的接收端口连通;在所述第二连通状态下,所述物理层芯片的第一接口的接收端口与所述物理层芯片的第一接口的发送端口连通;所述方法包括:
在所述第一连通状态下,所述物理层芯片通过所述物理层芯片的第一接口的接收端口接收第一数据,并将所述第一数据通过所述物理层芯片的第二接口的发送端口发送给所述处理器,以便所述处理器对所述第一数据进行处理,将处理后的第一数据返回至所述物理层芯片的第二接口的接收端口,所述第一数据是所述旁路功能设备经由所述旁路功能设备的第一接口的发送端口发送的,来自于所述第一路由设备的数据,所述物理层芯片通过所述物理层芯片的第二接口的接收端口接收所述处理后的第一数据,并将所述处理后的第一数据经由所述物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口,以便所述旁路功能设备将所述处理后的第一数据发送给第二路由设备;
在所述第二连通状态下,所述物理层芯片通过所述物理层芯片的第一接口的接收端口接收所述第一数据,并将所述第一数据经由所述物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口。
7.根据权利要求6所述的方法,其特征在于,当所述物理层芯片的连通状态为所述第一连通状态时,所述方法还包括:
所述物理层芯片在接收到第一状态切换指令后,将所述物理层芯片的连通状态切换为所述第二连通状态;所述第一状态切换指令是所述处理器在检测出所述网络安全设备发生软件故障或者软件升级时发送的指令,或者,所述第一状态切换指令是所述处理器检测到在所述网络安全设备中执行的第一指定操作时发送的指令。
8.根据权利要求6所述的方法,其特征在于,所述第一状态切换指令由所述处理器通过所述物理层芯片的总线接口写入所述物理层芯片的寄存器。
9.根据权利要求6所述的方法,其特征在于,当所述物理层芯片的连通状态为所述第二连通状态时,所述方法还包括:
所述物理层芯片在接收到第二状态切换指令后,将所述物理层芯片的连通状态切换为所述第一连通状态;所述第二状态切换指令是所述处理器在检测出所述网络安全设备软件故障恢复或者软件升级完成时发送的指令,或者,所述第一状态切换指令是所述处理器检测到在所述网络安全设备中执行的第二指定操作时发送的指令。
10.一种网络安全设备,其特征在于,应用于网络通信系统中,所述网络通信系统还包括第一路由设备、第二路由设备以及旁路功能设备,所述网络安全设备包括:第一物理层芯片和处理器;
所述第一物理层芯片的第一接口的接收端口与所述旁路功能设备的第一接口的发送端口相连,所述第一物理层芯片的第一接口的发送端口与所述旁路功能设备的第二接口的接收端口相连;所述第一物理层芯片的第二接口的发送端口和所述处理器的第一接口的接收端口相连,所述第一物理层芯片的第二接口的接收端口与所述处理器的第一接口的发送端口相连;
所述第一物理层芯片的连通状态包括第一连通状态和第二连通状态;
在所述第一连通状态下,所述第一物理层芯片的第一接口的接收端口与所述第一物理层芯片的第二接口的发送端口连通,所述第一物理层芯片的第一接口的发送端口与所述第一物理层芯片的第二接口的接收端口连通;所述第一物理层芯片,用于通过所述第一物理层芯片的第一接口的接收端口接收第一数据,并将所述第一数据通过所述第一物理层芯片的第二接口的发送端口发送给所述处理器;所述第一数据是所述旁路功能设备经由所述旁路功能设备的第一接口的发送端口发送的,来自于所述第一路由设备的数据;所述处理器,用于对所述第一数据进行处理,将处理后的第一数据返回至所述第一物理层芯片的第二接口的接收端口;所述第一物理层芯片,用于通过所述第一物理层芯片的第二接口的接收端口接收所述处理器处理后的第一数据,并将所述处理后的第一数据经由所述第一物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口,以便所述旁路功能设备将所述第一数据发送给第二路由设备;
在所述第二连通状态下,所述第一物理层芯片的第一接口的接收端口与所述第一物理层芯片的第一接口的发送端口连通;所述第一物理层芯片,用于通过所述第一物理层芯片的第一接口的接收端口接收所述第一数据,并将所述第一数据经由所述第一物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第二接口的接收端口。
11.根据权利要求10所述的网络安全设备,其特征在于,当所述第一物理层芯片的连通状态为所述第一连通状态时,
所述处理器,用于在检测出所述网络安全设备发生软件故障或者软件升级时,或者,检测到在所述网络安全设备中执行的第一指定操作时,向所述第一物理层芯片发送第一状态切换指令;
所述第一物理层芯片,用于在接收到所述第一状态切换指令后,将所述第一物理层芯片的连通状态切换为所述第二连通状态。
12.根据权利要求11所述的网络安全设备,其特征在于,在向所述第一物理层芯片发送第一状态切换指令时,所述处理器,具体用于通过所述物理层芯片的总线接口向所述物理层芯片的寄存器写入所述第一状态切换指令。
13.根据权利要求10所述的网络安全设备,其特征在于,当所述第一物理层芯片的连通状态为所述第二连通状态时,
所述处理器,用于在检测出所述网络安全设备软件故障恢复或者软件升级完成时,或者,检测到在所述网络安全设备中执行的第二指定操作时,向所述第一物理层芯片发送第二状态切换指令;
所述第一物理层芯片,用于在接收到所述第二状态切换指令后,将所述第一物理层芯片的连通状态切换为所述第一连通状态。
14.根据权利要求10所述的网络安全设备,其特征在于,所述网络安全设备还包括:第二物理层芯片;
所述第二物理层芯片的第一接口的接收端口与所述旁路功能设备的第二接口的发送端口相连,所述第二物理层芯片的第一接口的发送端口与所述旁路功能设备的第一接口的接收端口相连;所述第二物理层芯片的第二接口的发送端口和所述处理器的第二接口的接收端口相连,所述第二物理层芯片的第二接口的接收端口与所述处理器的第二接口的发送端口相连;
所述第二物理层芯片的连通状态包括第三连通状态和第四连通状态;
在所述第三连通状态下,所述第二物理层芯片的第一接口的接收端口与所述第二物理层芯片的第二接口的发送端口连通,所述第二物理层芯片的第一接口的发送端口与所述第二物理层芯片的第二接口的接收端口连通;所述第二物理层芯片,用于通过所述第二物理层芯片的第一接口的接收端口接收第二数据,并将所述第二数据通过所述第二物理层芯片的第二接口的发送端口发送给所述处理器;所述第二数据是所述旁路功能设备经由所述旁路功能设备的第二接口的发送端口发送的,来自于所述第二路由设备的数据;所述处理器,用于对所述第二数据进行处理,将处理后的第二数据返回至所述第二物理层芯片的第二接口的接收端口;所述第二物理层芯片,用于通过所述第二物理层芯片的第二接口的接收端口接收所述处理后的第二数据,并将所述处理后的第二数据经由所述第二物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第一接口的接收端口,以便所述旁路功能设备将所述处理后的第二数据发送给所述第一路由设备;
在所述第四连通状态下,所述第二物理层芯片的第一接口的接收端口与所述第二物理层芯片的第一接口的发送端口连通;所述第二物理层芯片,用于通过所述第二物理层芯片的第一接口的接收端口接收所述第二数据,并将所述第二数据经由所述第二物理层芯片的第一接口的发送端口发送至所述旁路功能设备的第一接口的接收端口。
15.一种旁路功能设备,其特征在于,应用于网络通信系统中,所述网络通信系统还包括第一路由设备、第二路由设备以及网络安全设备;
所述旁路功能设备的第一接口与所述旁路功能设备的第三接口直通,所述旁路功能设备的第二接口与所述旁路功能设备的第四接口直通;
所述旁路功能设备的第一接口的发送端口与所述网络安全设备中的第一物理层芯片的第一接口的接收端口相连,所述旁路功能设备的第二接口的接收端口与所述网络安全设备中的第一物理层芯片的第一接口的发送端口相连;
所述旁路功能设备的第三接口的接收端口和所述旁路功能设备的第三接口的发送端口分别与所述第一路由设备相连,所述旁路功能设备的第四接口的接收端口和所述旁路功能设备的第四接口的发送端口分别与所述第二路由设备相连。
16.根据权利要求15所述的旁路功能设备,其特征在于,
所述旁路功能设备的第二接口的发送端口与所述网络安全设备中的第二物理层芯片的第一接口的接收端口相连,所述旁路功能设备的第一接口的接收端口与所述网络安全设备中的第二物理层芯片的第一接口的发送端口相连。
17.根据权利要求15或16所述的旁路功能设备,其特征在于,所述旁路功能设备的第一接口、所述旁路功能设备的第二接口、所述旁路功能设备的第三接口以及所述旁路功能设备的第四接口为光纤接口。
18.一种网络通信系统,其特征在于,所述网络通信系统包括第一路由设备、第二路由设备、如权利要求10至14任一所述的网络安全设备,以及如权利要求15至17任一所述的旁路功能设备。
19.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由物理层芯片加载并执行以实现如权利要求6至9任一所述的数据转发方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711008523.0A CN109714294B (zh) | 2017-10-25 | 2017-10-25 | 物理层芯片、网络安全设备及数据转发方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711008523.0A CN109714294B (zh) | 2017-10-25 | 2017-10-25 | 物理层芯片、网络安全设备及数据转发方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109714294A true CN109714294A (zh) | 2019-05-03 |
| CN109714294B CN109714294B (zh) | 2020-07-14 |
Family
ID=66253163
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711008523.0A Active CN109714294B (zh) | 2017-10-25 | 2017-10-25 | 物理层芯片、网络安全设备及数据转发方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109714294B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110035530A1 (en) * | 2009-08-10 | 2011-02-10 | Fujitsu Limited | Network system, information processing apparatus, and control method for network system |
| CN102064967A (zh) * | 2010-12-31 | 2011-05-18 | 成都市华为赛门铁克科技有限公司 | 一种bypass实现方法、设备和系统 |
| CN102957607A (zh) * | 2012-11-06 | 2013-03-06 | 华为技术有限公司 | 一种链路切换方法及相关装置、系统 |
| CN203406889U (zh) * | 2013-07-16 | 2014-01-22 | 北京工蜂电子技术有限公司 | 一种可灵活设置设备故障和下电状态时的网口bypass系统 |
| CN204231352U (zh) * | 2014-11-14 | 2015-03-25 | 上海欣诺通信技术有限公司 | 一种智能旁路器 |
| CN104519027A (zh) * | 2013-09-30 | 2015-04-15 | 宁夏先锋软件有限公司 | 一种计算机网络的安全设备 |
-
2017
- 2017-10-25 CN CN201711008523.0A patent/CN109714294B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110035530A1 (en) * | 2009-08-10 | 2011-02-10 | Fujitsu Limited | Network system, information processing apparatus, and control method for network system |
| CN102064967A (zh) * | 2010-12-31 | 2011-05-18 | 成都市华为赛门铁克科技有限公司 | 一种bypass实现方法、设备和系统 |
| CN102957607A (zh) * | 2012-11-06 | 2013-03-06 | 华为技术有限公司 | 一种链路切换方法及相关装置、系统 |
| CN203406889U (zh) * | 2013-07-16 | 2014-01-22 | 北京工蜂电子技术有限公司 | 一种可灵活设置设备故障和下电状态时的网口bypass系统 |
| CN104519027A (zh) * | 2013-09-30 | 2015-04-15 | 宁夏先锋软件有限公司 | 一种计算机网络的安全设备 |
| CN204231352U (zh) * | 2014-11-14 | 2015-03-25 | 上海欣诺通信技术有限公司 | 一种智能旁路器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109714294B (zh) | 2020-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101531741B1 (ko) | FCoE 스위치 고장을 감지하고 관리하기 위한 리던던트 중계 스위치 솔루션 | |
| CN104426789B (zh) | 软件定义网络中的转发设备控制方法及设备 | |
| CN100589408C (zh) | 一种通讯网络连接方法及其装置 | |
| CN101908986B (zh) | 一种链路故障的检测方法和设备 | |
| CN105141571A (zh) | 分布式虚拟防火墙装置及方法 | |
| CN103957138B (zh) | 一种网络监控方法、装置及其系统 | |
| CN103634131B (zh) | 一种虚拟化网络设备互联链路检测方法及设备 | |
| CN202424770U (zh) | 一种网络数据安全隔离器 | |
| CN103618618A (zh) | 基于分布式pcie系统的线卡故障恢复方法及相关设备 | |
| CN101888284B (zh) | 一种用于数据单向传输的方法及其装置 | |
| CN103455464A (zh) | 中继装置、连接管理方法和信息通信系统 | |
| WO2017000096A1 (zh) | 一种链路恢复方法和网络设备 | |
| CN102611602A (zh) | 环网系统及环网组网方法 | |
| CN102064967B (zh) | 一种bypass实现方法、设备和系统 | |
| CN110620693A (zh) | 一种基于物联网的铁路沿线车站路由远程重启控制系统及方法 | |
| CN107222256A (zh) | 一种基于fpga的srio光纤链路在线重链接的实现方法 | |
| US8467285B2 (en) | No split virtual chassis based on pass through mode | |
| CN106487696A (zh) | 链路故障检测方法及装置 | |
| CN109714294A (zh) | 物理层芯片、网络安全设备及数据转发方法 | |
| CN108683561A (zh) | 一种站点状态检测方法及装置 | |
| CN102271056A (zh) | 激活聚合体选择方法及装置 | |
| US9026713B2 (en) | Expander for loop architectures | |
| KR102534739B1 (ko) | 고장 다층 링크 회복 방법 및 제어기 | |
| CN108462537A (zh) | 一种一主多从通信的实现方法 | |
| CN102546343B (zh) | 相交环的保护倒换方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |