專利名稱:交換機(jī)防火墻插板的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及交換機(jī)和網(wǎng)絡(luò)安全4支術(shù)領(lǐng)域��,更具體地涉及一種交換機(jī)防 火墻插板����。
背景技術(shù):
在高端交換機(jī)上部署防火墻插板,實(shí)現(xiàn)了寬帶技術(shù)和安全技術(shù)的有機(jī) 融合���,使安全技術(shù)和高速的網(wǎng)絡(luò)設(shè)備相匹配�����,簡化了網(wǎng)絡(luò)拓樸�,方便用戶 的管理和操作����。
目前,在高速交換機(jī)上實(shí)現(xiàn)的防火墻插板基于的主要架構(gòu)包括ASIC (專用集成電路)和NP (網(wǎng)絡(luò)處理器)架構(gòu)�。
技術(shù)主要是為了解決轉(zhuǎn)發(fā)速度問題��,完全由硬件來進(jìn)行制定好的報(bào)文處理 動作���。這樣做可以明顯提升防火墻的吞吐性能��。但基于ASIC技術(shù)開發(fā)的 防火墻產(chǎn)品因?yàn)槭侨布幚?�,升級維護(hù)的靈活性和擴(kuò)展性不夠��,而且開 發(fā)費(fèi)用高��,開發(fā)周期長�, 一般需要兩年以上的時間,不利于網(wǎng)絡(luò)安全產(chǎn)品 功能的迅速升級���。
NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器��,其體系結(jié)構(gòu)和 指令集對于防火墻常用的包過濾�、轉(zhuǎn)發(fā)等算法和操作都進(jìn)行了專門的優(yōu) 化�。硬件結(jié)構(gòu)設(shè)計(jì)也大多采用高速的接口技術(shù)和總線規(guī)范,具有較高的 1/0(輸入/輸出)能力�。它可以構(gòu)建一種硬件加速的完全可編程的架構(gòu), 這種架構(gòu)的軟硬件都易于升級�。NP通過專門的指令集和配套的軟件開發(fā) 系統(tǒng)�����,提供強(qiáng)大的編程能力���,因而便于開發(fā)應(yīng)用,支持可擴(kuò)展的服務(wù)����, 而且研制周期短,成本較低����。目前國內(nèi)廠商采用較多的就是NP架構(gòu)。但 是����,相對于X86來說,由于應(yīng)用開發(fā)�、功能擴(kuò)展受到NP的配套軟件的限 制,基于NP技術(shù)的防火墻的靈活性差�。由于依賴軟件環(huán)境,所以在性能 方面NP不如ASIC�。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題在于提供一種交換機(jī)防火墻插板,在高端 交換機(jī)上實(shí)現(xiàn)防火墻插板�,并且應(yīng)用開發(fā)��、功能擴(kuò)展沒有不受代碼空間限 制�����,提高轉(zhuǎn)發(fā)性能�。
為解決上述問題���,本發(fā)明提供了 一種交換機(jī)防火墻插板,其特征在于��, 包括主控卡�、網(wǎng)絡(luò)處理卡、線路接口卡和通訊模塊�����,其中
主控卡��,用于在各個線路接口卡間提供交換通道����,并完成防火墻插板 的系統(tǒng)配置管理和協(xié)i義處理;
網(wǎng)絡(luò)處理卡����,用于完成控制平面和數(shù)據(jù)轉(zhuǎn)發(fā)功能���,采用多核處理器架 構(gòu),將控制平面和凝:據(jù)平面部署到不同的處理器中�;
線路接口卡,用于對防火墻插板上的器件進(jìn)行初始化���、配置及部分網(wǎng) 絡(luò)協(xié)議的處理����;將協(xié)議報(bào)文通過通訊模塊傳送至主控卡�����,將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā) 至網(wǎng)絡(luò)處理卡���,并為防火墻插板提供接口 �����;
通訊模塊��,用于為主控卡和線路接口卡提供進(jìn)行信息交換的通道��,完 成數(shù)據(jù)交換�、路由信息傳送、高速信令和數(shù)據(jù)的傳輸�����。
本發(fā)明所述的防火墻插板���,其中��,所述主控卡包括
主控CPU子卡�����,用于完成防火墻插板的系統(tǒng)配置管理和協(xié)議管理;
主控交換芯片�,用于在各個線路接口卡間提供交換通道。
本發(fā)明所述的防火墻插板���,其中���,所述防火墻插板還包括備用主控卡, 所述主控卡和備用主控卡通過各自的主備用狀態(tài)信號線通知線路接口卡 及對端主控卡,明確工作狀態(tài)�,使得網(wǎng)絡(luò)協(xié)議包通過主用網(wǎng)進(jìn)行交換,當(dāng)
主控卡發(fā)生故障時���,切換至備用主控卡�����。
本發(fā)明所述的防火墻插板�����,其中���,所述網(wǎng)絡(luò)處理卡包括MIPS64核的 片上系統(tǒng)設(shè)備。
本發(fā)明所述的防火墻插板����,其中,所述網(wǎng)絡(luò)處理卡的MIPS64核的片 上系統(tǒng)設(shè)備提供8個核心處理器�����,其中�����,1個核心處理器用于處理控制平 面,7個核心處理器用于處理轉(zhuǎn)發(fā)平面����。
本發(fā)明所述的防火墻插板,其中���,在7個用于處理轉(zhuǎn)發(fā)平面的核心處 理器中��,1個核心處理器用于完成會話建立����,6個核心處理器用于數(shù)據(jù)轉(zhuǎn) 發(fā)�����。
本發(fā)明所述的防火墻插板��,其中�����,用于數(shù)據(jù)轉(zhuǎn)發(fā)的6個核心處理器部 署為并行�。
本發(fā)明所述的防火墻插板,其中���,用于數(shù)據(jù)轉(zhuǎn)發(fā)的6個核心處理器部 署為串行�����。
本發(fā)明所述的防火墻插板�,其中��,網(wǎng)絡(luò)處理卡或線贈-接口卡與主控卡 之間通過100BASE-TX快速以太網(wǎng)進(jìn)行通信��。
本發(fā)明所述的防火墻插板��,其中��,所述線路接口卡提供的接口包括 IOGE����、 GE、 POS���、光電自適應(yīng)Combo接口 ���。
本發(fā)明所述的防火墻插板���,其中,所述通訊模塊采用包含16個100 兆快速以太網(wǎng)端口的芯片進(jìn)行數(shù)據(jù)通信�。
采用本發(fā)明所述防火墻插板,采用了多核處理器架構(gòu)��,提高了防火墻 插板的性能���,降低了開發(fā)成本�����,并且由于所采用多核處理器沒有代碼空間 的限制����,功能擴(kuò)展不依賴軟件環(huán)境���,更適用于靈活多變的應(yīng)用開發(fā)��。
圖l是本發(fā)明所述防火墻插板一種具體實(shí)施結(jié)構(gòu)圖��。
具體實(shí)施例方式
本發(fā)明為了解決傳統(tǒng)技術(shù)方案存在的弊端,通過以下實(shí)施例進(jìn)一步闡 述本發(fā)明所述的一種交換機(jī)防火墻插板�,以下對具體實(shí)施方式
進(jìn)行詳細(xì)描 述��,但不作為對本發(fā)明的限定��。
如圖1所示�,本發(fā)明所述的交換機(jī)防火墻插板一種具體實(shí)施的結(jié)構(gòu)圖�����。
本發(fā)明所述的交換機(jī)防火墻插板包括網(wǎng)絡(luò)處理卡11�����、線路接口卡12�����、 主控卡13�����、備用主控卡14和通訊模塊15,其中
網(wǎng)絡(luò)處理卡ll�,用于完成控制平面和數(shù)據(jù)轉(zhuǎn)發(fā)功能,采用多核處理器架 構(gòu)�����,將控制平面和數(shù)據(jù)平面部署到不同的處理器中;.
網(wǎng)絡(luò)處理卡11完成防火墻主要業(yè)務(wù)處理���,每個網(wǎng)絡(luò)處理卡11提供不 低于5Gbps的處理能力��;網(wǎng)絡(luò)處理卡11采用多核處理器架構(gòu)�����,由于控制 平面和數(shù)據(jù)平面的功能基本互不沖突���,可以高度的并行,這樣利用了多處 理器架構(gòu)的優(yōu)勢����,將系統(tǒng)將控制平面和教:據(jù)平面部署到不同的處理器中, 即 一部分處理器集中完成控制平面的功能�����,其他處理器集中完成凄t據(jù)轉(zhuǎn)發(fā) 功能��,同一平面的處理器還可以按功能或性能采取并行或串行的部署�,最 大限度的滿足不同功能和性能的需求,系統(tǒng)具有較高的靈活性和可擴(kuò)展 性。
根據(jù)一種具體實(shí)施方式
���,所述網(wǎng)絡(luò)處理卡11包括RMI的XLR系列 線程處理器,軟件在RMI多核處理器上運(yùn)行��,處理器提供8個core (核 心處理器)���,32個線程��,其中1個core處理控制平面����;另外7個core用 于轉(zhuǎn)發(fā)平面�。在轉(zhuǎn)發(fā)平面中,1個core 用于完成session(會話)建立;其他 6個core用于數(shù)據(jù)轉(zhuǎn)發(fā)����。
所述網(wǎng)絡(luò)處理卡11或線路接口卡12與主控卡13之間通過 100BASE-TX ( 100兆位基帶TX以太網(wǎng))快速以太網(wǎng)進(jìn)行通信,主控卡 13與操作維護(hù)后臺及監(jiān)控告警系統(tǒng)間也采用以太網(wǎng)通信方式���。
線路接口卡12,用于對防火墻插板上的器件進(jìn)行初始化�����、配置及部分網(wǎng)
絡(luò)協(xié)議的處理�;將協(xié)議報(bào)文通過通訊模塊傳送至主控卡13,將數(shù)據(jù)報(bào)文 轉(zhuǎn)發(fā)至網(wǎng)絡(luò)處理卡11,并為防火墻插板提供接口 �;
線路接口卡12與網(wǎng)絡(luò)處理卡11配合使用完成防火墻功能。線路接口 卡12包括接口 CPU(中央處理器)子卡和接口交換芯片���。接口 CPU子卡 負(fù)責(zé)對線路接口卡12上的器件進(jìn)行初始化����、配置及部分網(wǎng)絡(luò)協(xié)議(如ARP (地址解析)協(xié)議報(bào)文)的處理���。接口交換芯片將協(xié)議報(bào)文上送到接口 CPU子卡����,將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到網(wǎng)絡(luò)處理卡11 �����。線路接口卡12為系統(tǒng)提供 多種接口���,主要包括10GE (千兆以太網(wǎng))���、GE、 POS(同步光纖網(wǎng)/同步 數(shù)字體系上的分組)、光電自適應(yīng)接口等類型接口�。
主控卡13,用于在各個線路接口卡12間提供交換通道����,并完成防火 墻插板的系統(tǒng)配置管理和協(xié)議處理;
主控卡13是防火墻插板核心單板�,能夠插在主控槽位和備用主控槽 位��。主控卡13包括主控CPU子卡和主控交換芯片���。
主控CPU子卡主要完成系統(tǒng)配置管理等�、協(xié)議處理等功能���。主控CPU 子卡是主控卡13的控制單元����。
主控交換芯片是主控卡13中核心部分��,是防火墻插板數(shù)據(jù)交換的中 樞�����,包括16個12Gbps速率端口的CrossBar (交換條交換結(jié)構(gòu)),負(fù)責(zé)在 各線路接口卡12之間提供高速�、無阻塞的交換通道,通過PCI總線與控 制子系統(tǒng)電氣連接���。
由于主控卡13在系統(tǒng)中的地位非常重要�����,所以在設(shè)計(jì)上采用了主備 雙熱備份的工作方式�����。每個主控卡13必須通過各自的主備用狀態(tài)信號線 通知各線路接口卡13及對端主控卡�����,明確自已的工作狀態(tài)���,使得IP (網(wǎng) 絡(luò)協(xié)議)包通過主用交換網(wǎng)進(jìn)行交換。同時在主控卡13發(fā)生故障時�,能 夠快速地切換到備用主控卡14,保證數(shù)據(jù)包的快速無阻塞交換。
備用主控卡14,用于當(dāng)主控卡13發(fā)生故障時����,代替主控卡13���。 所述主控卡13和備用主控卡14通過各自的主備用狀態(tài)信號線通知線
路接口卡12及對端主控卡,明確工作狀態(tài)����,使得網(wǎng)絡(luò)協(xié)議包通過主用網(wǎng)
進(jìn)行交換,當(dāng)主控卡13發(fā)生故障時�,切換至備用主控卡14。
通訊模塊15,用于提供主控卡13與備用主控卡14��、線路接口卡12 之間進(jìn)行信息交換的通道�,主要完成數(shù)據(jù)交換��、路由信息傳送�����、全局路由 表���、維護(hù)轉(zhuǎn)發(fā)表等高速信令和數(shù)據(jù)的傳輸����。各線路接口卡12將路由協(xié)議 通過帶外通訊通道傳送到主控CPU子卡中����,在主控CPU子卡中完成相應(yīng) 的協(xié)議計(jì)算和轉(zhuǎn)換后��,再通過該通道回傳給各線路接口卡12的接口 CPU 子卡����,并通過該通道傳送控制指令對各線卡進(jìn)行控制���。通訊模塊15采用 包含16個100M快速以太網(wǎng)端口的芯片進(jìn)行數(shù)據(jù)通信�。
本發(fā)明實(shí)施例所述交換機(jī)防火墻插板采用一種新型的多核處理器架 構(gòu)�,利用RMI的XLR系列線程處理器,在高端交換機(jī)上實(shí)現(xiàn)防火墻插板����, 從而提高防火墻的性能,降低開發(fā)成本����。
XLR系列高性能處理器是采用MIPS64核的SoC (片上系統(tǒng))設(shè)備, 支持C語言開發(fā)����,沒有代碼空間的限制,避免了 NP受到特定配套軟件的 限制����,更適用于靈活多變的應(yīng)用開發(fā)�。
多核處理器架構(gòu)更強(qiáng)調(diào)處理器和系統(tǒng)存儲器的存取效率和利用率��。即 便是當(dāng)今最快速的存儲器仍然跟不上今天的高速處理器��,因此其結(jié)果必然 是產(chǎn)生大量的空閑處理時間�����,此時處理器被迫等著從相對很慢的存儲器中 讀取數(shù)據(jù)�。這也使得系統(tǒng)整體吞吐量和性能不能隨著工作頻率的增加而增 加,通過組合使用專用的和半可編程的網(wǎng)絡(luò)處理器��、ASIC和協(xié)處理器的 解決方案創(chuàng)造出了一個越來越復(fù)雜�、昂貴和難以擴(kuò)展的軟硬件環(huán)境�����,從而 迫使用戶必須在性能和可用性之間做出痛苦的平衡���。改變這一局面的可能 解決方案只能是吞吐量優(yōu)化的具備智能系統(tǒng)和功能集成能力的通用多線 程處理器��。多核處理器的性能能夠達(dá)到目前市場上計(jì)算性能最強(qiáng)的處理器 的十倍�,單個芯片就可同時支持從第二層到第七層的網(wǎng)絡(luò)計(jì)算任務(wù),與 ASIC或NP架構(gòu)相比��,成本至少可節(jié)省三分之一��。
本發(fā)明實(shí)施例所述交換機(jī)防火墻插板采用基于多處理器分布式處理機(jī)制和Crossbar空分交換結(jié)構(gòu)的體系結(jié)構(gòu)�����,網(wǎng)絡(luò)處理卡11采用多核處理 器架構(gòu)�����;采用基于高速串行背板的模塊化設(shè)計(jì)��,體系結(jié)構(gòu)采用目前最流行 的多處理器并行處理Crossbar空分交換結(jié)構(gòu)���,將IP路由技術(shù)和交換技術(shù) 以及目前的寬帶網(wǎng)絡(luò)技術(shù)有機(jī)地結(jié)合在一起�。在系統(tǒng)設(shè)計(jì)方面�,將控制平 面和轉(zhuǎn)發(fā)平面分開到不同的處理器中進(jìn)行處理,通過多核的并行處理能力 提高系統(tǒng)轉(zhuǎn)發(fā)性能���。
當(dāng)然�,本發(fā)明還可有其他多種實(shí)施例���,在不背離本發(fā)明精神及其實(shí)質(zhì)
形�����,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保,護(hù)范圍�。
權(quán)利要求
1、一種交換機(jī)防火墻插板�,其特征在于,包括主控卡��、網(wǎng)絡(luò)處理卡����、線路接口卡和通訊模塊,其中主控卡��,用于在各個線路接口卡間提供交換通道��,并完成防火墻插板的系統(tǒng)配置管理和協(xié)議處理����;網(wǎng)絡(luò)處理卡�����,用于完成控制平面和數(shù)據(jù)轉(zhuǎn)發(fā)功能,采用多核處理器架構(gòu)��,將控制平面和數(shù)據(jù)平面部署到不同的處理器中���;線路接口卡����,用于對防火墻插板上的器件進(jìn)行初始化��、配置及部分網(wǎng)絡(luò)協(xié)議的處理��;將協(xié)議報(bào)文通過通訊模塊傳送至主控卡����,將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)至網(wǎng)絡(luò)處理卡,并為防火墻插板提供接口���;通訊模塊�����,用于為主控卡和線路接口卡提供進(jìn)行信息交換的通道��,完成數(shù)據(jù)交換��、路由信息傳送�、高速信令和數(shù)據(jù)的傳輸。
2����、 如權(quán)利要求1所述的防火墻插板,其特征在于���,所述主控卡包括 主控CPU子卡���,用于完成防火墻插板的系統(tǒng)配置管理和協(xié)議管理; 主控交換芯片��,用于在各個線路接口卡間提供交換通道����。
3、 如權(quán)利要求1所述的防火墻插板�,其特征在于,所述防火墻插板 還包括備用主控卡����,所述主控卡和備用主控卡通過各自的主備用狀態(tài)信號 線通知線路接口卡及對端主控卡�����,明確工作狀態(tài),使得網(wǎng)絡(luò)協(xié)議包通過主 用網(wǎng)進(jìn)行交換�����,當(dāng)主控卡發(fā)生故障時���,切換至備用主控卡�����。
4��、 如權(quán)利要求1所述的防火墻插板���,其特征在于,所述網(wǎng)絡(luò)處理卡 包括MIPS64核的片上系統(tǒng)設(shè)備�����。
5�、 如權(quán)利要求4所述的防火墻插板,其特征在于,所述網(wǎng)絡(luò)處理卡 的MIPS64核的片上系統(tǒng)設(shè)備提供8個核心處理器�,其中,1個核心處理 器用于處理控制平面�,7個核心處理器用于處理轉(zhuǎn)發(fā)平面。
6�����、 如權(quán)利要求5所述的防火墻插板��,其特征在于��,在7個用于處理 轉(zhuǎn)發(fā)平面的核心處理器中�,1個核心處理器用于完成會話建立,6個核心 處理器用于數(shù)據(jù)轉(zhuǎn)發(fā)�����。
7����、 如權(quán)利要求6所述的防火墻插板,其特征在于�,用于數(shù)據(jù)轉(zhuǎn)發(fā)的 6個核心處理器部署為并行。
8�、 如權(quán)利要求6所述的防火墻插板����,其特征在于���,用于數(shù)據(jù)轉(zhuǎn)發(fā)的 6個核心處理器部署為串行。
9�、 如權(quán)利要求1至8中任一權(quán)利要求所述的防火墻插板,其特征在 于����,網(wǎng)絡(luò)處理卡或線路接口卡與主控卡之間通過100BASE-TX快速以太 網(wǎng)進(jìn)4亍通葉言。
10�����、 如權(quán)利要求1所述的防火墻插板���,其特征在于����,所述線路接口卡 提供的接口包括10GE��、 GE�����、 POS、光電自適應(yīng)接口�����。
11�����、 如權(quán)利要求1所述的防火墻插板�,其特征在于,所述通訊模塊采 用包含16個100兆快速以太網(wǎng)端口的芯片進(jìn)行數(shù)據(jù)通信�。
全文摘要
本發(fā)明公開了一種交換機(jī)防火墻插板,其特征在于�,包括主控卡、網(wǎng)絡(luò)處理卡��、線路接口卡和通訊模塊�,其中主控卡,用于在各個線路接口卡間提供交換通道����,并完成防火墻插板的系統(tǒng)配置管理和協(xié)議處理;網(wǎng)絡(luò)處理卡�,用于完成控制平面和數(shù)據(jù)轉(zhuǎn)發(fā)功能���,采用多核處理器架構(gòu),將控制平面和數(shù)據(jù)平面部署到不同的處理器中���;線路接口卡�����,用于對防火墻插板上的器件進(jìn)行初始化、配置及部分網(wǎng)絡(luò)協(xié)議的處理��;將協(xié)議報(bào)文通過通訊模塊傳送至主控卡����,將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)至網(wǎng)絡(luò)處理卡,并為防火墻插板提供接口�����;通訊模塊�����,用于為主控卡和線路接口卡提供進(jìn)行信息交換的通道���。本發(fā)明在高端交換機(jī)上實(shí)現(xiàn)防火墻插板����,并且應(yīng)用開發(fā)、功能擴(kuò)展沒有不受代碼空間限制�����。
文檔編號H04L12/66GK101102200SQ200710111358
公開日2008年1月9日 申請日期2007年6月15日 優(yōu)先權(quán)日2007年6月15日
發(fā)明者李新雙 申請人:中興通訊股份有限公司