CN115278395A - 一种网络交换设备、数据流处理控制方法及相关设备 - Google Patents
一种网络交换设备、数据流处理控制方法及相关设备 Download PDFInfo
- Publication number
- CN115278395A CN115278395A CN202210905715.6A CN202210905715A CN115278395A CN 115278395 A CN115278395 A CN 115278395A CN 202210905715 A CN202210905715 A CN 202210905715A CN 115278395 A CN115278395 A CN 115278395A
- Authority
- CN
- China
- Prior art keywords
- data
- message
- message data
- chip
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q1/00—Details of selecting apparatus or arrangements
- H04Q1/02—Constructional details
- H04Q1/10—Exchange station construction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/10—Packet switching elements characterised by the switching fabric construction
- H04L49/109—Integrated on microchip, e.g. switch-on-chip
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Abstract
本发明公开了一种网络交换设备、数据流处理控制方法及相关设备。该设备包括:网络端口,用于连接外部网络设备;交换芯片,以网络端口连接,用于收发外部设备对应的报文数据,识别报文数据的数据类型,处理一般报文数据,并将特殊报文数据发送至SoC FPGA处理器;SoC FPGA处理器,用于接收并处理交换芯片发送的特殊报文数据;功能模块,用于为SoC FPGA处理器和交换芯片提供电源和时钟信号,并为SoC FPGA处理器提供扩展接口和扩展内存。本申请提出的交换装置,具备高速的数据转发性能,又能兼顾网络安全,还可以不占用太多的PCB空间资源的,节省成本。
Description
技术领域
本说明书涉及通信领域,更具体地说,本发明涉及一种网络交换设备、数据流处理控制方法及相关设备。
背景技术
当前交换机交换设备(主要三层及以上)产品大多数采用通用处理器(CPU)和专用的交换芯片(ASIC)的硬件架构,CPU负责控制平面工作,ASIC负责数据平面的转发。此类交换机优点背板带宽高,交换容量大,高密集型端口,只注重庞大的数据转发能力,对网络数据的安全性考虑很少,且结构偏传统,不具备可编程性。面对日益严重的网络安全问题,有些厂家可能增加CPU的数量来负责网络安全的部分,但由于CPU特性,安全规则固化,不具备应对各种复杂多变的网络环境。
发明内容
在发明内容部分中引入了一系列简化形式的概念,这将在具体实施方式部分中进一步详细说明。本发明的发明内容部分并不意味着要试图限定出所要求保护的技术方案的关键特征和必要技术特征,更不意味着试图确定所要求保护的技术方案的保护范围。
第一方面、本发明提出一种网络交换设备,包括:
网络端口,用于连接外部网络设备;
交换芯片,以上述网络端口连接,用于收发上述外部设备对应的报文数据,识别上述报文数据的数据类型,处理一般报文数据,并将特殊报文数据发送至SoC FPGA处理器;
SoC FPGA处理器,用于接收并处理上述交换芯片发送的上述特殊报文数据;
功能模块,用于为上述SoC FPGA处理器和上述交换芯片提供电源和时钟信号,并为上述SoC FPGA处理器提供扩展接口和扩展内存。
可选的,上述交互芯片为ASIC芯片。
可选的,上述功能模块包括:
电源功能电路,用于为上述SoC FPGA处理器和上述交换芯片提供电源;
时钟电路,用于为上述交换芯片提供时钟信号;
扩展内存,用于为上述SoC FPGA处理器提供扩展内存;
扩展接口,用于为上述SoC FPGA处理器提供扩展接口,上述扩展接口用于连接外部控制设备。
第二方面、本申请提出一种数据流处理控制方法,用于第一方面提出的网络交换设备,其特征在于,包括:
控制上述交换芯片接收由外部接口连接的外部网络设备发送的数据报文;
指示上述交换芯片对上述数据报文的类型进行识别;
在上述报文类型为特殊报文数据的情况下,控制上述交换芯片将上述特殊报文数据发送至SoC FPGA处理器进行数据处理;
在上述报文类型为一般报文数据的情况下,控制上述交换芯片处理上述一般报文数据。
可选的,上述特殊报文数据包括管理类报文数据和安全类报文数据,上述SoCFPGA处理器包括可编程系统部分和可编程逻辑部分;
上述控制上述交换芯片将上述特殊报文数据发送至SoC FPGA处理器进行数据处理,包括:
控制上述交换芯片将上述管理类报文数据发送至上述可编程系统部分;
指示上述可编程系统部分对上述管理类报文数据进行协议转换,并将重新封装后的管理类报文发送给上述交换芯片;
和/或,
控制上述交换芯片将上述安全类报文数据发送至上述可编程逻辑部分;
指示上述可编程逻辑部分对上述安全类报文数据进行安全分析;
控制安全分析结果为安全的安全类报文数据进行网络地址转换,并将转换后的上述安全类报文数据发送给上述交换芯片。
可选的,通过可编程逻辑部分的安全规则表对上述安全类报文数据进行分析获取安全分析结果。
可选的,上述方法还包括:
根据上述安全分析结果获取特定安全类报文的第一重复次数;
在上述第一重复次数大于第一预设重复次数的情况下,获取同一区域内其他网络交换设备的上述特定安全类报文的第二重复次数;
在第一重复次数与第二重复次数的和大于第二预设重复次数的情况下,将上述特定安全类报文确定为高危报文;
将上述高危报文通过功能模块发送至管理者对应的客户端。
第三方面,本发明还提出一种数据流处理控制装置,包括:
第一控制单元,用于控制所述交换芯片接收由外部接口连接的外部网络设备发送的数据报文;
指示单元,用于指示所述交换芯片对所述数据报文的类型进行识别;
第二控制单元,用于在所述报文类型为特殊报文数据的情况下,控制所述交换芯片将所述特殊报文数据发送至SoC FPGA处理器进行数据处理;
第三控制单元,在所述报文类型为一般报文数据的情况下,控制所述交换芯片处理所述一般报文数据。
第四方面,一种电子设备,包括:存储器、处理器以及存储在上述存储器中并可在上述处理器上运行的计算机程序,上述处理器用于执行存储器中存储的计算机程序时实现如上述的第二方面任一项的数据流处理控制方法的步骤。
第五方面,本发明还提出一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现第二方面上述任一项的数据流处理控制方法。
综上,本申请实施例的网络交换设备包括:网络端口,用于连接外部网络设备;交换芯片,以上述网络端口连接,用于收发上述外部设备对应的报文数据,识别上述报文数据的数据类型,处理一般报文数据,并将特殊报文数据发送至SoC FPGA处理器;SoC FPGA处理器,用于接收并处理上述交换芯片发送的上述特殊报文数据;功能模块,用于为上述SoCFPGA处理器和上述交换芯片提供电源和时钟信号,并为上述SoC FPGA处理器提供扩展接口和扩展内存。本申请实施例提出的网络交换设备,包括网络端口、交换芯片、SoC FPGA处理器和功能模块,通过功能模块可以为SoC FPGA处理器和交换芯片提供电源和时钟信号,并为SoC FPGA处理器提供扩展接口和扩展内存,以连接不同的外部控制设备,实现外部扩展,内部的交换芯片可以对数据报文的类型进行识别,直接转发一般性报文,将特殊性报文交由SoC FPGA芯片处理,SoC FPGA芯片硬核处理器和FPGA逻辑在一定程度上是相互独立能够实现特殊报文数据快速处理。本申请提出的交换装置,具备高速的数据转发性能,又能兼顾网络安全,还可以不占用太多的PCB空间资源的,节省成本。
本发明的网络交换设备,本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本说明书的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本申请实施例提供的一种网络交换设备构架示意图;
图2为本申请实施例提供的一种数据流处理控制方法流程示意图;
图3为本申请实施例提供的一种数据流处理控制装置结构示意图;
图4为本申请实施例提供的一种数据流处理控制电子设备结构示意图。
具体实施方式
本申请实施例提出的网络交换设备,包括网络端口、交换芯片、SoC FPGA处理器和功能模块,通过功能模块可以为SoC FPGA处理器和交换芯片提供电源和时钟信号,并为SoCFPGA处理器提供扩展接口和扩展内存,以连接不同的外部控制设备,实现外部扩展,内部的交换芯片可以对数据报文的类型进行识别,直接转发一般性报文,将特殊性报文交由SoCFPGA芯片处理,SoC FPGA芯片硬核处理器和FPGA逻辑在一定程度上是相互独立能够实现特殊报文数据快速处理。本申请提出的交换装置,具备高速的数据转发性能,又能兼顾网络安全,还可以不占用太多的PCB空间资源的,节省成本。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。
请参阅图1,为本申请实施例提供的一种数据流处理控制方法流程示意图,
第一方面、本发明提出一种网络交换设备,包括:
网络端口101,用于连接外部网络设备;
交换芯片102,以上述网络端口连接,用于收发上述外部设备对应的报文数据,识别上述报文数据的数据类型,处理一般报文数据,并将特殊报文数据发送至SoC FPGA处理器;
SoC FPGA处理器103,用于接收并处理上述交换芯片发送的上述特殊报文数据;
功能模块104,用于为上述SoC FPGA处理器和上述交换芯片提供电源和时钟信号,并为上述SoC FPGA处理器提供扩展接口和扩展内存。
示例性的,如图2所示,本申请提出的网络交换设备包括网络端口、交换芯片、SoCFPGA处理器和功能模块,功能模块可以为SoC FPGA处理器和交换芯片提供电源和时钟信号,并为SoC FPGA处理器提供扩展接口和扩展内存,以连接不同的外部控制设备。交换芯片和SoC FPGA处理器可以通过PCLE(peripheral component interconnect express,高速率穿行计算机扩展总线总线连接。
交换芯片可以为ASIC芯片,本申请中的交换设备以SoC FPGA芯片和专用的ASIC芯片为核心组成的交换机硬件设计架构,可编程灵活性高,低功耗。SoC FPGA即内嵌处理器硬核的FPGA作为控制部分核心,负责数据管理和系统的控制,SoC FPGA在芯片设计之初,就在内部的硬件电路上添加了硬核处理器,是纯硬件实现的,不会消耗FPGA的逻辑资源,硬核处理器和FPGA逻辑在一定程度上是相互独立的。交换芯片可以对报文的数据类型进行识别,交换芯片将一般报文数据,如:二层的广播、组播、未知单播,还有一些无状态的数据进行处理和转发。SoC FPGA芯片用于处理特殊报文,如:二层三层的控制报文和一些TCP、UDP、RIP、OSPF、BGP、IP等协议中涉及安全类报文数据,或者是DOS攻击报文,带病毒的非法报文。
综上,本申请实施例提出的网络交换设备,包括网络端口、交换芯片、SoC FPGA处理器和功能模块,通过功能模块可以为SoC FPGA处理器和交换芯片提供电源和时钟信号,并为SoC FPGA处理器提供扩展接口和扩展内存,以连接不同的外部控制设备,实现外部扩展,内部的交换芯片可以对数据报文的类型进行识别,直接转发一般性报文,将特殊性报文交由SoC FPGA芯片处理,SoC FPGA芯片硬核处理器和FPGA逻辑在一定程度上是相互独立能够实现特殊报文数据快速处理。本申请提出的交换装置,具备高速的数据转发性能,又能兼顾网络安全,还可以不占用太多的PCB空间资源的,节省成本。
在一些示例中,上述交互芯片102为ASIC芯片。
示例性的,ASIC芯片技术所有接口模块(包括控制模块)都连接到一个矩阵式背板上,通过ASIC芯片到ASIC芯片的直接转发,可同时进行多个模块之间的通信;每个模块的缓存只处理本模块上的输入输出队列,因此对内存芯片性能的要求大大低于共享内存方式。总之,交换矩阵的特点是访问效率高,适合同时进行多点访问,容易提供非常高的带宽,并且性能扩展方便,不易受CPU、总线以及内存技术的限制。采用ASIC可以实现报文类型快速识别,并快速转发一般报文数据。
在一些示例中,上述功能模块104包括:
电源功能电路1041,用于为上述SoC FPGA处理器和上述交换芯片提供电源;
时钟电路1042,用于为上述交换芯片提供时钟信号;
扩展内存1043,用于为上述SoC FPGA处理器提供扩展内存;
扩展接口1044,用于为上述SoC FPGA处理器提供扩展接口,上述扩展接口用于连接外部控制设备。
示例性的,电源功能电路可以由电源模块并通过相应的线路与交换芯片和SoCFPGA处理器连接,在于SoC FPGA处理器可以设置CPLD(Complex Programmable LogicDevice,复杂可编程逻辑器件)并通过12C总线与SoC FPGA处理器连接,为SoC FPGA处理器提供控制信号。时钟电路与交换芯片连接,为交换芯片提供时钟信号。扩展内存可以包括DDR(Double Data Rate,双倍速率同步动态随机存储器)和FLASH(Flash EEPROM Memory,闪存)可以存储一些安全判断逻辑的文件。扩展接口可以是通过UART(UniversalAsynchronous Receiver/Transmitter,通用异步收发传输器)串口连接的CONSOLE PORT(控制端口),扩展接口也可以是通过USB总线连接的USB端口,还可以是通过SGMII总线连接的PHY(Physical,物理端口层)并通过MDI总线连接的管理端口。
综上,本申请实施例提供的网络交换设备,提供了多种对外的接口,可实现外部扩展,同时内部设置了对应的扩展内存和相应的功能电路,能够实现内部既定的逻辑功能。
第二方面、本申请提出一种数据流处理控制方法,用于第一方面提出的网络交换设备,其特征在于,包括:
S210、控制上述交换芯片接收由外部接口连接的外部网络设备发送的数据报文;
示例性的,外部连接接口可以连接多个外部网络设备,外部接口将接收到的数据报文发给交换芯片进行处理,交换芯片可以为ASIC芯片,采用ASIC可以实现报文类型快速识别,并快速转发一般报文数据。
S220、指示上述交换芯片对上述数据报文的类型进行识别;
示例性的,利用交换芯片对数据报文的类型进行识别,识别的过程可以是根据数据报文中的报文头和既定的报文头和类型的对照表进行查表处理,通过设置预设表格完成对数据报文的类型进行识别。
S230、在上述报文类型为特殊报文数据的情况下,控制上述交换芯片将上述特殊报文数据发送至SoC FPGA处理器进行数据处理;
示例性的,数据报文的类型可以为特殊报文数据和一般报文数据,特殊报文数据是指二层三层的控制报文和一些TCP、UDP、RIP、OSPF、BGP、IP等协议中涉及安全类报文数据,或者是DOS攻击报文,带病毒的非法报文。SoC FPGA即内嵌处理器硬核的FPGA作为控制部分核心,负责数据管理和系统的控制,SoC FPGA在芯片设计之初,就在内部的硬件电路上添加了硬核处理器,是纯硬件实现的,不会消耗FPGA的逻辑资源,硬核处理器和FPGA逻辑在一定程度上是相互独立的。
S240、在上述报文类型为一般报文数据的情况下,控制上述交换芯片处理上述一般报文数据。
示例性的,一般报文数据如:二层的广播、组播、未知单播,还有一些无状态的数据,通过交换芯片直接完成报文协议处理和一般报文数据的转发。
综上,本申请实施例提出的数据流控制方法,内部的交换芯片可以对数据报文的类型进行识别,直接转发一般性报文,将特殊性报文交由SoC FPGA芯片处理,SoC FPGA芯片硬核处理器和FPGA逻辑在一定程度上是相互独立能够实现特殊报文数据快速处理。本申请提出的交换装置,具备高速的数据转发性能,又能兼顾网络安全,还可以不占用太多的PCB空间资源的,节省成本。
在一些示例中,上述特殊报文数据包括管理类报文数据和安全类报文数据,上述SoC FPGA处理器包括可编程系统部分和可编程逻辑部分;
上述控制上述交换芯片将上述特殊报文数据发送至SoC FPGA处理器进行数据处理,包括:
控制上述交换芯片将上述管理类报文数据发送至上述可编程系统部分;
指示上述可编程系统部分对上述管理类报文数据进行协议转换,并将重新封装后的管理类报文发送给上述交换芯片;
和/或,
控制上述交换芯片将上述安全类报文数据发送至上述可编程逻辑部分;
指示上述可编程逻辑部分对上述安全类报文数据进行安全分析;
控制安全分析结果为安全的安全类报文数据进行网络地址转换,并将转换后的上述安全类报文数据发送给上述交换芯片。
示例性的,SoC FPGA芯片资源主要分为两个部分:PL和PS,PL即可编程逻辑部分,指的是FPGA部分。PS即可编程系统部分,指的是内嵌处理器部分,两者之间可以通过总线进行通信。该交换设备数据处理方式和流程,交换设备包括多个业务端口,外部设备发送的完整数据报文,通过网络端口进入交换芯片,该交换芯片根据收到的数据报文的信息、类型,分类过滤之后,将一般的数据报文进行内部交换后通过网络端口直接向外转发,将管理类报文和二/三层协议报文传输至SoC FPGA的PS可编程系统部分,这部分功能将根据接收的管理类报文信息实现对设备相关部件的控制管理,并对二/三层协议报文进行二/三层协议处理,将处理之后的数据报文重新封装,并发送给交换芯片,通过交换芯片传送至网络接口与外部设备交互。
将涉及安全、加密报文的安全类报文数据传输至SoC FPGA的PL可编程逻辑部分,这里的安全数据类报文由交换芯片进行划分,依靠芯片内部配置的访问列表,将交换芯片接收到如TCP、UDP、RIP、OSPF、BGP、IP等协议中涉及安全类的数据报文区分分类,将网络地址转换NAT报文,DOS攻击报文,带病毒的非法报文,一些系统无法判断的报文发送到SoCFPGA的PL可编程逻辑部分。
FPGA可编程逻辑部分借助可编程特性,根据用户或特定环境设定安全规则,对接收到的数据报文进行安全等级分析,将合法报文送回交换芯片,进行内部交换后向外转发,而对于一些类似攻击类或者用户认为可以舍弃报文判定为的非法报文,则直接进行丢弃处理,由此实现网络安全功能。
综上,本申请实施例提出的数据流控制方法,将安全类报文数据交由PL可编程逻辑部分处理借助可编程逻辑部分借助可编程特性,根据用户或特定环境设定安全规则对安全类报文进行处理,将管理类报文数据发送至上述可编程系统部分利用内嵌处理器对管理报文进行协议转换和报文封装。
在一些示例中,通过可编程逻辑部分的安全规则表对上述安全类报文数据进行分析获取安全分析结果。
示例性的,在进行安全分析时,开发者可以预先在SoC FPGA的PL可编程逻辑部分配置安全规则表,安全规则表中可以包括白名单和/或黑名单,白名单中记录可以实现网络通讯的网络请求,黑名单中记录着不能访问的网络请求,用户可以单独配置白名单或黑名单,也可以同时配置白名单和黑名单从而实现对安全类报文数据的安全分析。
在一些示例中,上述方法还包括:
根据上述安全分析结果获取特定安全类报文的第一重复次数;
在上述第一重复次数大于第一预设重复次数的情况下,获取同一区域内其他网络交换设备的上述特定安全类报文的第二重复次数;
在第一重复次数与第二重复次数的和大于第二预设重复次数的情况下,将上述特定安全类报文确定为高危报文;
将上述高危报文通过功能模块发送至管理者对应的客户端。
示例性的,根据安全分析的结果,如果有一类报文可能即不在白名单中也不在黑名单中,鉴于保证通信的考虑网络交换设备首先允许其通过网络交换设备进行网络连接,但是当该特定的安全类报文大于当前网络交换设备的第一预设重复次数的情况下,该网络交换设备会请求该网络交换设备的管理服务器调取该管理服务器下属的其他网络交换设备中的该特定安全类报文的重复次数即第二重复次数,将第一重复次数和第二重复次数的和大于该管理服务器对应的第二预设重复次数的情况下,那么管理服务器对应的区域内可能遭受到了该特定安全类报文的区域性攻击,此时将高危报文通过功能模块与管理者对应的客户端进行通讯,将此高危报文交由管理者处理,避免发生网络风险,及时进行处理。
综上,本申请实施例提出的数据流控制方法,在本网络交换设备存在重复次数大于第一预设重复次数的特定安全类报文的情况下,会请求管理服务器统计其所述的所有网络交换设备的特定安全类报文对应的第二重复次数,根据第一重复次数和第二重复次数的和与第二预设重复次数做比较,及时发现高危报文并通知管理者,避免发生区域网络风险。
请参阅图3,本申请实施例中数据流处理控制装置的一个实施例,可以包括:
第一控制单元31,用于控制所述交换芯片接收由外部接口连接的外部网络设备发送的数据报文数据;
指示单元32,用于指示所述交换芯片对所述数据报文的类型进行识别;
第二控制单元33,用于在所述报文类型为特殊报文数据的情况下,控制所述交换芯片将所述特殊报文数据发送至SoC FPGA处理器进行数据处理;
第三控制单元34,在所述报文类型为一般报文数据的情况下,控制所述交换芯片处理所述一般报文数据。
如图4所示,本申请实施例还提供一种电子设备300,包括存储器310、处理器320及存储在存储器320上并可在处理器上运行的计算机程序311,处理器320执行计算机程序311时实现上述数据流处理控制的任一方法的步骤。
由于本实施例所介绍的电子设备为实施本申请实施例中一种数据流处理控制装置所采用的设备,故而基于本申请实施例中所介绍的方法,本领域所属技术人员能够了解本实施例的电子设备的具体实施方式以及其各种变化形式,所以在此对于该电子设备如何实现本申请实施例中的方法不再详细介绍,只要本领域所属技术人员实施本申请实施例中的方法所采用的设备,都属于本申请所欲保护的范围。
在具体实施过程中,该计算机程序311被处理器执行时可以执行第二方面示出的任意一种方法。
需要说明的是,在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其它实施例的相关描述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本申请实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机软件指令,当计算机软件指令在处理设备上运行时,使得处理设备执行如图2对应实施例中的数据流处理控制的流程。
计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DvD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种网络交换设备,其特征在于,包括:
网络端口,用于连接外部网络设备;
交换芯片,以所述网络端口连接,用于收发所述外部设备对应的报文数据,识别所述报文数据的数据类型,处理一般报文数据,并将特殊报文数据发送至SoC FPGA处理器;
SoC FPGA处理器,用于接收并处理所述交换芯片发送的所述特殊报文数据;
功能模块,用于为所述SoC FPGA处理器和所述交换芯片提供电源和时钟信号,并为所述SoC FPGA处理器提供扩展接口和扩展内存。
2.如权利要1所述的网络交换机,其特征在于,所述交互芯片为ASIC芯片。
3.如权利要求1所述的交换机,其特征在于,所述功能模块包括:
电源功能电路,用于为所述SoC FPGA处理器和所述交换芯片提供电源;
时钟电路,用于为所述交换芯片提供时钟信号;
扩展内存,用于为所述SoC FPGA处理器提供扩展内存;
扩展接口,用于为所述SoC FPGA处理器提供扩展接口,所述扩展接口用于连接外部控制设备。
4.一种数据流处理方法,用于权利要求1-3任一种所述的网络交换机,其特征在于,包括:
控制所述交换芯片接收由外部接口连接的外部网络设备发送的数据报文;
指示所述交换芯片对所述数据报文的类型进行识别;
在所述报文类型为特殊报文数据的情况下,控制所述交换芯片将所述特殊报文数据发送至SoC FPGA处理器进行数据处理;
在所述报文类型为一般报文数据的情况下,控制所述交换芯片处理所述一般报文数据。
5.如权利要求4所述的方法,其特征在于,所述特殊报文数据包括管理类报文数据和安全类报文数据,所述SoC FPGA处理器包括可编程系统部分和可编程逻辑部分;
所述控制所述交换芯片将所述特殊报文数据发送至SoC FPGA处理器进行数据处理,包括:
控制所述交换芯片将所述管理类报文数据发送至所述可编程系统部分;
指示所述可编程系统部分对所述管理类报文数据进行协议转换,并将重新封装后的管理类报文发送给所述交换芯片;
和/或,
控制所述交换芯片将所述安全类报文数据发送至所述可编程逻辑部分;
指示所述可编程逻辑部分对所述安全类报文数据进行安全分析;
控制安全分析结果为安全的安全类报文数据进行网络地址转换,并将转换后的所述安全类报文数据发送给所述交换芯片。
6.如权利要求5所述的方法,其特征在于,还包括:
通过可编程逻辑部分的安全规则表对所述安全类报文数据进行分析获取安全分析结果。
7.如权利要求6所述的方法,其特征在于,还包括:
根据所述安全分析结果获取特定安全类报文的第一重复次数;
在所述第一重复次数大于第一预设重复次数的情况下,获取同一区域内其他网络交换设备的所述特定安全类报文的第二重复次数;
在第一重复次数与第二重复次数的和大于第二预设重复次数的情况下,将所述特定安全类报文确定为高危报文;
将所述高危报文通过功能模块发送至管理者对应的客户端。
8.一种数据流处理控制装置,其特征在于,包括:
第一控制单元,用于控制所述交换芯片接收由外部接口连接的外部网络设备发送的数据报文;
指示单元,用于指示所述交换芯片对所述数据报文的类型进行识别;
第二控制单元,用于在所述报文类型为特殊报文数据的情况下,控制所述交换芯片将所述特殊报文数据发送至SoC FPGA处理器进行数据处理;
第三控制单元,在所述报文类型为一般报文数据的情况下,控制所述交换芯片处理所述一般报文数据。
9.一种电子设备,包括:存储器和处理器,其特征在于,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求4-7中任一项所述的数据流处理控制方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求4-7中任一项所述的数据流处理控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210905715.6A CN115278395A (zh) | 2022-07-29 | 2022-07-29 | 一种网络交换设备、数据流处理控制方法及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210905715.6A CN115278395A (zh) | 2022-07-29 | 2022-07-29 | 一种网络交换设备、数据流处理控制方法及相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115278395A true CN115278395A (zh) | 2022-11-01 |
Family
ID=83771052
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210905715.6A Pending CN115278395A (zh) | 2022-07-29 | 2022-07-29 | 一种网络交换设备、数据流处理控制方法及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115278395A (zh) |
-
2022
- 2022-07-29 CN CN202210905715.6A patent/CN115278395A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11671402B2 (en) | Service resource scheduling method and apparatus | |
US10432586B2 (en) | Technologies for high-performance network fabric security | |
CN100358280C (zh) | 一种网络安全装置及其实现方法 | |
CN110896373A (zh) | 用于动态选择虚拟交换的资源的技术 | |
US8700820B2 (en) | Method for accessing USB device attached to home gateway, home gateway and terminal | |
CN106685827B (zh) | 一种下行报文的转发方法及ap设备 | |
CN106533973B (zh) | 分发业务消息的方法、设备和系统 | |
EP3832960B1 (en) | Establishment of fast forwarding table | |
CN107204924B (zh) | 链路发现方法及装置 | |
US20120140640A1 (en) | Apparatus and method for dynamically processing packets having various characteristics | |
CN111614580A (zh) | 一种数据转发方法、装置及设备 | |
CN103843291B (zh) | 通信设备、通信方法和程序 | |
CN111064750A (zh) | 一种数据中心的网络报文控制方法和装置 | |
CN104160735A (zh) | 发报文处理方法、转发器、报文处理设备、报文处理系统 | |
CN113986969A (zh) | 数据处理方法、装置、电子设备和存储介质 | |
US10268532B2 (en) | Application message processing system, method, and application device | |
WO2021098425A1 (zh) | 配置业务的服务质量策略方法、装置和计算设备 | |
US11595419B2 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
CN107210969B (zh) | 一种基于软件定义网络的数据处理方法及相关设备 | |
CN111262782B (zh) | 一种报文处理方法、装置及设备 | |
CN115278395A (zh) | 一种网络交换设备、数据流处理控制方法及相关设备 | |
US11477126B2 (en) | Network device and method for processing data about network packets | |
CN111106977B (zh) | 数据流检测方法、装置及存储介质 | |
US9258273B2 (en) | Duplicating packets efficiently within a network security appliance | |
CN107113280A (zh) | 一种网络控制方法与虚拟交换机 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |