專(zhuān)利名稱(chēng)：新型集成路由交換功能的防火墻設(shè)備的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種防火墻設(shè)備，具體涉及一種新型集成路由交換功能的防火墻設(shè)備。屬數(shù)據(jù)通訊技術(shù)領(lǐng)域。
背景技術(shù)：
在互聯(lián)網(wǎng)的流量和業(yè)務(wù)飛速發(fā)展的同時(shí)網(wǎng)絡(luò)也出現(xiàn)了很大的負(fù)面問(wèn)題，即網(wǎng)絡(luò)安全問(wèn)題日益突出，網(wǎng)絡(luò)的安全性正在受到越來(lái)越多的用戶(hù)的關(guān)注，防火墻設(shè)備成為網(wǎng)絡(luò)中不可缺少的環(huán)節(jié)。
防火墻是一種高級(jí)訪(fǎng)問(wèn)控制設(shè)備，它是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制(允許、拒絕、監(jiān)視、記錄)進(jìn)出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為。防火墻設(shè)備在網(wǎng)絡(luò)中典型應(yīng)用如圖1所示。防火墻設(shè)備一般設(shè)有外網(wǎng)接口、內(nèi)網(wǎng)接口、DMZ接口，特殊場(chǎng)合還需要多個(gè)外網(wǎng)接口或DMZ接口或內(nèi)網(wǎng)接口。防火墻設(shè)備不具備交換路由機(jī)的功能。交換路由機(jī)既可以提供交換機(jī)高帶寬的交換同時(shí)兼顧路由器組網(wǎng)的靈活性，因此在網(wǎng)絡(luò)組成中得到廣泛的應(yīng)用。
網(wǎng)絡(luò)處理器(NP)芯片是介于CPU和ASIC之間的一種芯片，也是在CPU和ASIC之間取得的一種平衡技術(shù)，同時(shí)具備了CPU的靈活性和ASIC的高性能。網(wǎng)絡(luò)處理器技術(shù)是目前在多業(yè)務(wù)融合環(huán)境下路由器采用的一種主要的芯片技術(shù)，解決了在多業(yè)務(wù)環(huán)境下的各種協(xié)議支持和轉(zhuǎn)發(fā)性能問(wèn)題?，F(xiàn)在NP已經(jīng)在路由器、防火墻上廣泛使用。ASIC防火墻通過(guò)專(zhuān)門(mén)設(shè)計(jì)的ASIC芯片邏輯進(jìn)行硬件加速處理，雖然研發(fā)成本較高，靈活性受限制、無(wú)法支持太多的功能，但其性能具有先天的優(yōu)勢(shì)，非常適合應(yīng)用于模式簡(jiǎn)單、對(duì)吞吐量和時(shí)延指標(biāo)要求較高的電信級(jí)大流量的處理。
傳統(tǒng)的防火墻組網(wǎng)方式如圖1所示，為增強(qiáng)網(wǎng)絡(luò)的安全性，通常通過(guò)一個(gè)路由器1將外網(wǎng)接入內(nèi)網(wǎng)，路由器1、防火墻2和多層交換機(jī)3通常位于網(wǎng)絡(luò)的核心匯聚層，組網(wǎng)環(huán)節(jié)較多，增加了網(wǎng)絡(luò)的復(fù)雜度，降低了網(wǎng)絡(luò)的穩(wěn)定性。

發(fā)明內(nèi)容
本發(fā)明的目的是通過(guò)提供一種新型集成路由交換功能的防火墻設(shè)備，用于革新網(wǎng)絡(luò)設(shè)備的組網(wǎng)模式，減少組網(wǎng)環(huán)節(jié)，降低組網(wǎng)成本，并在網(wǎng)絡(luò)接入層，匯聚層實(shí)現(xiàn)網(wǎng)絡(luò)威脅的防御，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性和安全性。
本發(fā)明的目的是這樣實(shí)現(xiàn)的一種新型集成路由交換功能的防火墻設(shè)備，其特征在于它由防火墻模塊、交換路由模塊和背板組成，防火墻模塊與路由交換模塊通過(guò)背板連接，所述的防火墻模塊對(duì)外提供外網(wǎng)接口、內(nèi)網(wǎng)接口和DMZ接口類(lèi)型；所述的交換路由模塊對(duì)外提供至少兩個(gè)接口，防火墻模塊、交換路由模塊各設(shè)一個(gè)計(jì)算機(jī)系統(tǒng)，組成防火墻模塊的計(jì)算機(jī)系統(tǒng)包括CPU和網(wǎng)絡(luò)芯片，CPU采用X86架構(gòu)、ARM架構(gòu)、PowerPC架構(gòu)或MIPS架構(gòu)的處理器，網(wǎng)絡(luò)芯片采用網(wǎng)卡芯片NIC、網(wǎng)絡(luò)處理器NP芯片或防火墻專(zhuān)用芯片ASIC，CPU和網(wǎng)絡(luò)芯片之間采用總線(xiàn)方式連接，組成防火墻模塊的計(jì)算機(jī)系統(tǒng)包括CPU和網(wǎng)絡(luò)芯片，CPU采用X86架構(gòu)、ARM架構(gòu)、PowerPC架構(gòu)或MIPS架構(gòu)的處理器，網(wǎng)絡(luò)芯片采用網(wǎng)卡芯片NIC、網(wǎng)絡(luò)處理器NP芯片或防火墻專(zhuān)用芯片ASIC，CPU和網(wǎng)絡(luò)芯片之間采用總線(xiàn)方式連接。
本發(fā)明新型集成路由交換功能的防火墻設(shè)備，所述的背板具有以太網(wǎng)數(shù)據(jù)通道或總線(xiàn)方式的數(shù)據(jù)通道；所述的防火墻模塊的CPU采用摩托羅拉公司出品的MPC8540，網(wǎng)卡芯片采用兩片Intel公司出品的雙路網(wǎng)卡芯片Intel82546；交換路由模塊的CPU采用摩托羅拉公司出品的MPC8245，網(wǎng)絡(luò)芯片采用Broadcom公司的一片或多片全千兆多層交換芯片BCM5690或BCM5695。
本發(fā)明通過(guò)在防火墻設(shè)備上集成交換路由功能，使得一臺(tái)設(shè)備同時(shí)具備了三臺(tái)設(shè)備的功能，革新了網(wǎng)絡(luò)設(shè)備的組網(wǎng)模式，減少了組網(wǎng)環(huán)節(jié)，降低了組網(wǎng)成本，并在網(wǎng)絡(luò)接入層或匯聚層實(shí)現(xiàn)網(wǎng)絡(luò)威脅的防御，增強(qiáng)網(wǎng)絡(luò)了的穩(wěn)定性和安全性。典型的如圖1所示的組網(wǎng)方式，可以簡(jiǎn)化為圖2所示的組網(wǎng)方式，因?yàn)榻M網(wǎng)設(shè)備的減少?gòu)亩蟠蠼档土私M網(wǎng)成本，又因?yàn)榻M網(wǎng)環(huán)節(jié)的減少可以達(dá)到減少故障環(huán)節(jié)的作用，增強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性。因?yàn)楸景l(fā)明所述的設(shè)備主要用于網(wǎng)絡(luò)的接入或匯聚，通過(guò)防火墻模塊可以在接入層和匯聚層實(shí)現(xiàn)網(wǎng)絡(luò)威脅的防御，從而增強(qiáng)了網(wǎng)絡(luò)的安全性和穩(wěn)定性。


圖1為傳統(tǒng)的防火墻的組網(wǎng)方式示意圖。
圖2為本發(fā)明新型集成路由交換功能的防火墻設(shè)備的組網(wǎng)方式示意圖。
圖3為本發(fā)明新型集成路由交換功能的防火墻設(shè)備的邏輯框圖。
圖4為本發(fā)明新型集成路由交換功能的防火墻設(shè)備的一種具體實(shí)施方式
示意圖。
圖5本發(fā)明的具體實(shí)施方式
的防火墻模塊的CPU和網(wǎng)絡(luò)芯片的電路原理圖。
圖6本發(fā)明的具體實(shí)施方式
的防火墻模塊的CPU到PHY的電路原理圖。
圖7為本發(fā)明的具體實(shí)施方式
的交換路由模塊的CPU和網(wǎng)絡(luò)芯片的電路原理圖。
圖8為本發(fā)明的具體實(shí)施方式
的交換路由模塊的網(wǎng)絡(luò)芯片和PHY之間的電路原理圖。
圖9為本發(fā)明的具體實(shí)施方式
的防火墻模塊和交換路由模塊PHY到背板以及背板的信號(hào)定義電路原理圖。
圖10為本發(fā)明的具體實(shí)施方式
的防火墻模塊網(wǎng)絡(luò)芯片到網(wǎng)絡(luò)接口的電路信號(hào)圖。
具體實(shí)施例方式參見(jiàn)圖2，本發(fā)明新型集成路由交換功能的防火墻設(shè)備的組網(wǎng)方式。
參見(jiàn)圖3，本發(fā)明新型集成路由交換功能的防火墻設(shè)備，由防火墻模塊、交換路由模塊和背板組成。防火墻模塊對(duì)外提供外網(wǎng)接口、內(nèi)網(wǎng)接口和DMZ接口。交換路由模塊對(duì)外提供至少兩個(gè)接口，交換路由模塊的接口既可以單獨(dú)作為交換路由接口也可擴(kuò)展為防火墻模塊的外網(wǎng)接口或內(nèi)網(wǎng)接口或DMZ接口。背板設(shè)數(shù)據(jù)通道。背板所設(shè)數(shù)據(jù)通道通過(guò)以太網(wǎng)或總線(xiàn)方式實(shí)現(xiàn)。防火墻模塊與交換路由模塊通過(guò)背板的數(shù)據(jù)通道通訊。
所述的防火墻模塊、交換路由模塊各設(shè)一個(gè)計(jì)算機(jī)系統(tǒng)，所述的計(jì)算機(jī)系統(tǒng)，包括CPU和網(wǎng)絡(luò)芯片，CPU可采用X86架構(gòu)、ARM架構(gòu)、PowerPC架構(gòu)或MIPS架構(gòu)的處理器，網(wǎng)絡(luò)芯片可以是網(wǎng)卡芯片(NIC)、網(wǎng)絡(luò)處理器(NP)芯片或防火墻專(zhuān)用芯片(ASIC)，CPU和網(wǎng)絡(luò)芯片之間采用總線(xiàn)方式連接。組成交換路由模塊的計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)芯片為可至少提供3層交換功能的多層交換芯片。
參見(jiàn)圖4，圖4為當(dāng)防火墻模塊的網(wǎng)絡(luò)芯片采用網(wǎng)卡芯片時(shí)，本發(fā)明的一種實(shí)施方式，所述的防火墻設(shè)備PowerPC高性能CPU采用摩托羅拉公司出品的MPC8540，該CPU還集成了個(gè)千兆以太網(wǎng)控制器，可對(duì)外提供兩個(gè)千兆接口F5和F6；千兆網(wǎng)卡芯片采用兩片Intel公司出品的雙路網(wǎng)卡芯片Intel82546，該網(wǎng)卡芯片相當(dāng)于兩片單路的千兆網(wǎng)卡芯片封裝在一個(gè)芯片內(nèi)；對(duì)外提供4個(gè)防火墻接口F1、F2、F3和F4。交換路由模塊的CPU采用摩托羅拉公司出品的MPC8245，網(wǎng)絡(luò)芯片采用Broadcom公司的全千兆多層交換芯片BCM5690。
防火墻模塊的可提供接口F1、接口F2、接口F3、接口F4、F5和F6，接口F5和F6與背板數(shù)據(jù)通道相連。
交換路由模塊的交換芯片可提供2/3/4/5/6/7層交換功能，交換路由模塊提供12個(gè)物理接口，編號(hào)為S1至S12，交換路由模塊將接口S1和接口S2與背板數(shù)據(jù)通道相連。交換路由模塊的簡(jiǎn)化設(shè)計(jì)是采用只提供2層的交換功能或只提供路由功能的網(wǎng)絡(luò)芯片。
為提高防火墻模塊和交換路由模塊數(shù)據(jù)通訊的帶寬，可以通過(guò)軟件方法將防火墻模塊的F5和F6接口配置個(gè)聚合端口，同時(shí)將交換路由模塊的S1和S2接口也配置成聚合端口，這樣背板數(shù)據(jù)通道可以為防火墻模塊和交換路由模塊之間提供一個(gè)4Gpbs的帶寬。
因?yàn)榉阑饓δK和交換路由模塊可以通過(guò)背板的數(shù)據(jù)通道通訊，所以防火墻模塊和交換路由模塊通過(guò)軟件方法既可以單獨(dú)配置也可以通過(guò)另外一個(gè)模塊進(jìn)行配置。
圖5至圖10為上述具體實(shí)施方式
的關(guān)鍵電路原理圖。
根據(jù)本發(fā)明提供的技術(shù)方案，具體實(shí)施方式
還可以是以下方式1)上述實(shí)施方案中防火墻模塊和交換路由模塊各提供一個(gè)或多個(gè)接口相連。
2)防火墻模塊的網(wǎng)絡(luò)芯片可以采用網(wǎng)絡(luò)處理器(NP)來(lái)代替網(wǎng)卡芯片，Intel公司、Motorola以及Broadcom公司出品的網(wǎng)絡(luò)處理器芯片均可滿(mǎn)足本發(fā)明提供的技術(shù)方案的要求；3)防火墻模塊的網(wǎng)絡(luò)芯片可以采用防火墻專(zhuān)用芯片(ASIC)來(lái)代替網(wǎng)卡芯片。
4)交換路由模塊的網(wǎng)絡(luò)芯片根據(jù)處理能力的需求，可以是一片或者多片，從而在一個(gè)設(shè)備上提供更高的接口集成度。
5)背板的數(shù)據(jù)通道還可以是某種總線(xiàn)方式，例如PCI總線(xiàn)方式或者其他總線(xiàn)方式，根據(jù)所采用的總線(xiàn)技術(shù)不同，防火墻模塊和交換路由模塊之間在系統(tǒng)中可以是對(duì)等關(guān)系，也可以是主從關(guān)系。
權(quán)利要求
1.一種新型集成路由交換功能的防火墻設(shè)備，其特征在于它由防火墻模塊、交換路由模塊和背板組成，防火墻模塊與路由交換模塊通過(guò)背板連接，所述的防火墻模塊對(duì)外提供外網(wǎng)接口、內(nèi)網(wǎng)接口和DMZ接口類(lèi)型；所述的交換路由模塊對(duì)外提供至少兩個(gè)接口，防火墻模塊、交換路由模塊各設(shè)一個(gè)計(jì)算機(jī)系統(tǒng)，組成防火墻模塊的計(jì)算機(jī)系統(tǒng)包括CPU和網(wǎng)絡(luò)芯片，CPU采用X86架構(gòu)、ARM架構(gòu)、PowerPC架構(gòu)或MIPS架構(gòu)的處理器，網(wǎng)絡(luò)芯片采用網(wǎng)卡芯片NIC、網(wǎng)絡(luò)處理器NP芯片或防火墻專(zhuān)用芯片ASIC，CPU和網(wǎng)絡(luò)芯片之間采用總線(xiàn)方式連接，組成防火墻模塊的計(jì)算機(jī)系統(tǒng)包括CPU和網(wǎng)絡(luò)芯片，CPU采用X86架構(gòu)、ARM架構(gòu)、PowerPC架構(gòu)或MIPS架構(gòu)的處理器，網(wǎng)絡(luò)芯片采用網(wǎng)卡芯片NIC、網(wǎng)絡(luò)處理器NP芯片或防火墻專(zhuān)用芯片ASIC，CPU和網(wǎng)絡(luò)芯片之間采用總線(xiàn)方式連接。
2.根據(jù)權(quán)利要求1所述的一種新型集成路由交換功能的防火墻設(shè)備，其特征在于所述的背板具有以太網(wǎng)數(shù)據(jù)通道或總線(xiàn)方式的數(shù)據(jù)通道。
3.根據(jù)權(quán)利要求1或2所述的一種新型集成路由交換功能的防火墻設(shè)備，其特征在于所述的防火墻模塊的CPU采用摩托羅拉公司出品的MPC8540，網(wǎng)卡芯片采用兩片Intel公司出品的雙路網(wǎng)卡芯片Intel82546。
4.根據(jù)權(quán)利要求1或2所述的一種新型集成路由交換功能的防火墻設(shè)備，其特征在于交換路由模塊的CPU采用摩托羅拉公司出品的MPC8245，網(wǎng)絡(luò)芯片采用Broadcom公司的一片或多片全千兆多層交換芯片BCM5690或BCM5695。
全文摘要
本發(fā)明涉及一種新型集成路由交換功能的防火墻設(shè)備，屬數(shù)據(jù)通訊技術(shù)領(lǐng)域。它由防火墻模塊、交換路由模塊和背板組成，防火墻模塊與路由交換模塊通過(guò)背板連接，所述的防火墻模塊對(duì)外提供外網(wǎng)接口、內(nèi)網(wǎng)接口和DMZ接口類(lèi)型；所述的交換路由模塊對(duì)外提供至少兩個(gè)接口，防火墻模塊、交換路由模塊各設(shè)一個(gè)計(jì)算機(jī)系統(tǒng)，組成防火墻模塊的計(jì)算機(jī)系統(tǒng)包括CPU和網(wǎng)絡(luò)芯片，CPU和網(wǎng)絡(luò)芯片之間采用總線(xiàn)方式連接，組成防火墻模塊的計(jì)算機(jī)系統(tǒng)包括CPU和網(wǎng)絡(luò)芯片，CPU和網(wǎng)絡(luò)芯片之間采用總線(xiàn)方式連接。本發(fā)明減少了組網(wǎng)環(huán)節(jié)，降低了組網(wǎng)成本，并在網(wǎng)絡(luò)接入層，匯聚層實(shí)現(xiàn)了網(wǎng)絡(luò)威脅的防御，增強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性和安全性。
文檔編號(hào)H04L12/24GK1809035SQ200610038210
公開(kāi)日2006年7月26日 申請(qǐng)日期2006年2月10日 優(yōu)先權(quán)日2006年2月10日
發(fā)明者丁賢根, 陳利海 申請(qǐng)人:江蘇華麗網(wǎng)絡(luò)工程有限公司