专利名称:报文内容检测与流控装置的制作方法
技术领域:
发明涉及一种用于网络安全监测、网络分流及网络内容过滤的装置。
背景技术:
目前,网络分流及内容过滤装置(如华为技术有限公司生产的装置)包括主控制器、PCI 接口、成帧器、搜索加速器,该装置主要是针对2.5G速率网络接入的数据包进行分析处理 的,且只针对于数据协议头中的某些字段对数据包进行分类、过滤。系统根据用户自己配置 的分类规则(目的IP地址+源IP地址+协议号+目的端口号+源端口号)进行过滤处理。 而且其规则表不超过16K, 2.5G的处理速率也将影响和限制着内容检测设备在高速网络干线 上的使用,同时搜索筛选的条件不断增加,16K规则表也越来越无法适应现有网络的高速要 求与更加复杂的分析检测规则的运用市场。
发明内容
发明的目的是要提供一种报文内容检测与流控装置,该装置处理速率大于2.5G,能满足 网络的高速要求与更加复杂的分析检测规则。
发明的目的是这样实现的改装置包括主控制器,主控制器的通讯连接口与PCI接口相 连,主控制器的第一输入输出口和第二输入输出口分别连接有一个高速硬件多队列管理器, 主控制器的第三输入输出口通过高速缓冲区总线与高速缓冲区相连,主控制器的第四输入输 出口连接有可编程逻辑控制器,可编程逻辑控制器的第一通讯口通过成帧器与光纤输出接口 相连,可编程逻辑控制器的第二通讯口与光纤输入接口相连,可编程逻辑控制器的第三通讯 口与并行内容寻址存储器相连。
发明针对现阶段网络高速发展的不断需求而设计,采用了先进的并行基于内容寻址和地 址寻址查表算法、高速多队列管理.不仅可以对源IP地址、目的IP地址、源端口号、目的 端口号和协议类型以及报文负载首部的甜20字节进行任意组合的内容査表,更可以实现对 报文负载中任何位置的特征关键词识别,从而可以在硬件级对10G速率报文进行逐报内容 级识别和流控。
发明具有以下优点-
1、 对iOG速率网络接入的数据包进行分析;
2、 根据数据包协议头中的某些字段对数据包进行分类、过滤;
3、 源IP地址、目的0>地址、源端口号、目的端口号和协议类型以及报文负载首部的 前20字节进行任意组合的内容査表,更可以实现对报文负载中任何位置的特征关键词识别;
4、 可更具用户设定特定的规则对报文数据内容进行过滤和截获。从而可以在硬件级对10G 速率报文进行逐报内容级识别和流控;
5、 64K的规则表,是原检测规则表分析能力的4倍。 '
图1是发明一个实施例的电路原理示意图。
图2是图1中的PC1接口电路图。
图3是图1中的主控制器电路图。
图4是图1中的高速硬件多队列管理器电路图。
图5是图1中的并行内容寻址存储器电路图。
具体实施例方式
在图l中,主控制器MPU的通讯连接口 A1-A31与PCI接口相连,主控制器MPU的第 一输入输出口 D0-D30连接有高速硬件多队列管理器IDT1,主控制器MPU的第二输入输出
3口 D31—D63连接有高速硬件多队列管理器IDT2,主控制器MPU的第三输入输出口 BA0— BA63通过高速缓冲区总线RAM BUS与高速缓冲区RAM相连,主控制器MPU的第四输入 输出口 FPDO—FPD63连接有可编程逻辑控制器FPGA,可编程逻辑控制器FPGA的第一通 讯口 FPDQM0—FPDQM63通过成帧器PMC与光纤输出接口 RJ1相连,可编程逻辑控制器 FPGA的第二通讯口 R0—R7与光纤输入接口 RJ2相连,可编程逻辑控制器MPU的第三通 讯口 FBAA0—FBAA63与并行内容寻址存储器CAM相连。
各部分电源采用直流3.3V。
PCI接口部分采用NS8392。
数据处理流程如下-
10G网络报文通过光纤进入高速硬件多队列管理器IDT并同时与并行内容寻址存储器 CAM协同工作,MPU控制搜索加速器PMC TEMU X336协同高速缓冲区RAM规则表按存 储在CAM中的规则对数据报文进行报文报头及报文内容比较匹配。并将结果通过PCI接口 送入控制服务器按设定处理。
对于10Gb i t / s端口,该装置在采用RAMBUS技术与并行内容寻址存储技术相 结合最终使得测试结果达到预期目标。
主控制器MPU负责整个设备的管理和控制,直接接收來自网管中心的指令,并下发到 各接口板执行指令,同时各接口板把运行状态和统计数据传送到主控制器MPU,由主控制 器MPU进行必要的处理,需要时发给网管中心。主控制器MPU采用IBM的NP4GS3C2.5G 网络处理器,是为能准确高效处理上面的各项信息的有力保证。
并行内容寻址存储器C AM(Content Addressable Memory) 是一种特殊的存储阵列。它具有将输入数据与CAM中存储的所有数据项同时进行比较,迅 速判断输入数据是否与C AM中存储的数据项相匹配,并给出数据项对应地址和匹配信息的 特点,本设备采用MOTOR0LA公司的CAM芯片—MCM6 9 C 2 3 3实现数据检索 与匹配功能.是一款lOGbps的高性能内容可寻址存储器
MCM69C233可存储4 0 9 6条宽度为6 4位的数据项。MCM69C233有 两个数据端口控制端口 (Control Port)和匹配端口 (Match P o r t )。 控制端口用于CAM表(CAM Table)的操作,除用于数据项的增加/删除、校验、 统计外,还可以读取芯片内部状态寄存器的信息。数据的检索通过匹配端口完成。MCM6 9 C 2 3 3没有用于确定内容存储地址的地址总线,地址线A 0 A 2用于对片内控制寄存 器的寻址。在写C AM模式下,MCM69C 3 3从控制端口数据线D Q 0 D Q 1 5读 取需要写入的数据项,数据项的存储地址由芯片内部逻辑控制。用户可对MCM6 9 C 2 3 3的匹配规则进行编程,在读CAM模式(査找匹配)时,MCM6 9 C 2 3 3直接从匹 配口数据线MQ0 MQ3 l读入数据,并按照预先定义的匹配规则将输入数据项与阵列中 的所有数据项进行并行比较。如果数据项存在,匹配口输出该数据项的索引值,且MS为0; 如果数据项不存在,MS为1。由于比较过程只需一个时钟周期,所以速度极快。
高速硬件多队列管理器IDT1、 IDT2 :
本装置采用10Gbps多队列流量控制芯片IDT 72P51777L6,本芯片的采用多队列FIFO新 型存储器技术,能够有效地支持QoS的高速实现。并能为改善网络服务质量和其它需要对 队列数据重新排序的应用而设计的,它既支持灵活的数据区分应用,又避免了复杂的片外控 制逻辑。其与主控板的连接主要通过 18根读写,制器
器(OV/PAE/PR7PAEN/PRN,FF/PAF/PAFN), deniux64位输入数据线,及64位mux输出数据线 相连完成数据硬件级的检测和排队。 1 、多队列FIFO介绍该器件配备有嵌入式FIFO存储器核心和高速队列逻辑,具有很高的数据传输带宽和灵 活的可配置性。该器件单芯片最高支持10. 2Gbps持续传输速率和最多支持32个子队列, 器件级联最多支持256个子队列。只需一个FIFO即可缓存多种数据流,有助于用户选择不 同的队列执行独立的读写功能。
多队列FIFO不仅提供诸如数据缓存、队列满空状态指示、写/读时钟独立和写/读总 线匹配等传统的FIFO功能,而且支持整包操作模式(Packet Mode)和数据区分排队,从而消 除了以甜用昂贵复杂的操作逻辑来实现类似功能。多队列FIFO是在一个物理器件内提供可 区分的多个逻辑子队列的存储器。可区分是指各子队列可以独立写/读,且各子队列有独立 的状态指示。
2多队列FIFO的FPGA控制
FPGA对多队列FIFO的控制体现在三个方面配置、写操作和读操作。 2. 1多队列FIFO的配置
新款IDT多队列流量控制器件向系统设计人员提供了最新的解决方案,使得仅用一个高 度集成器件就能够进行可选择的多个可区分的顺序数据存取操作。这一灵活的功能可由一系 列器件设置选项来实现。与以前的单队列FIFO器件(如IDT 3690)不同的是,多队列FIFO有 相对复杂的可配置性,除写/读端口总线宽度可由芯片管脚直接设定外,还有相应的两种配 置方式默认配置和串行配置,其中串行配置又称用户自定义配置,是一种新的器件特性。
多队列FIFO的可配置项有(a)器件内逻辑子队列数量(b)各子队列的存储深度;(C)各 子队列的PAF(几乎满)偏移值;(d)各子队列的PAE(几乎空)偏移值(普通模式下有效,整包模 式下转变为整包指示PR)。
用户对多队列FIFO的配置有很大的灵活性。举例来说,IDT72V51336-IDT72V51356可 以配置成1 8个队列,每个队列的深度设定都是相互独立的。标志位是用户可编程的,且 各子队列独立。配置可通过专门的串行编程口进行,如果不需要对器件编程也可以用默认模 式。
串行配置是指配置多队列FIFO的数据是逐比特串行送入器件的。在多队列FIFO器件内 部有存放配置数据的寄存器,这些寄存器以18位为-一基本单位。设Q为器件配置的子队列 数,Qmax为该器件所支持的最大子队列数,则器件内有(Qmaxx4+i)个寄存器。单器件配置 所需的比特数据量Sum为18+Qx72+l。最后 一比特为配置结束指示,假如设计中Q=8, 则Sum= 19+8x72=595比特。
2. 2写操作
多队列FIFO使用于队列地址Wmdd/Rdadd区分各个写/读子队列,用锁定有效信号 Waden / Raden的高电平指定新的写/读子队列,写/读使能是Wen / Ren。多队列FIFO 写操作相比写队列地址的切换存在延后效应,即写总线上的数据送入新的子队列是发生在锁 定新子队列地址后的第二个写时钟周期。如果能够利用此时序特征,提前两个周期锁定新的 子队列地址,则可以做到00%使用写总线周期。当子队列满指示FF有效时,新的数据无 法写入该队列,会发生数据丢失。 一般为了避免这种情况,都要配置好PAF偏移值,在看 到PAFn 拉低有效后,停止写入操作。
2. 3读操作
与写操作类似的读操作也存在相对读队列地址的延后效应,即在新队列地址锁定后的第 三个读时钟周期,读总线上呈现的数据转变为新子队列内的数据。所以若能够提前三个周期 锁定新队列,则可以做到100%读总线利用率。当选定队列状态为空时,读端口上呈现全高 电平。配置好PAE偏移值后,通过査看PAEn 便可以得知队列的空或非空状态,并提前做 好读或切换新队列的动作。
权利要求
1. 一种报文内容检测与流控装置,该装置包括主控制器,主控制器的通讯连接口与PCI接口相连,主控制器的第一输入输出口和第二输入输出口分别连接有一个高速硬件多队列管理器,其特征是主控制器的第三输入输出口通过高速缓冲区总线与高速缓冲区相连,主控制器的第四输入输出口连接有可编程逻辑控制器,可编程逻辑控制器的第一通讯口通过成帧器与光纤输出接口相连,可编程逻辑控制器的第二通讯口与光纤输入接口相连,可编程逻辑控制器的第三通讯口与并行内容寻址存储器相连。
全文摘要
本发明公开了一种用于网络安全监测、网络分流及网络内容过滤的报文内容检测与流控装置,该装置的主控制器的第三输入输出口通过高速缓冲区总线与高速缓冲区相连,第四输入输出口连接有可编程逻辑控制器,可编程逻辑控制器的第一通讯口通过成帧器与光纤输出接口相连,第二通讯口与光纤输入接口相连,可编程逻辑控制器的第三通讯口与并行内容寻址存储器相连。对10G速率网络接入的数据包进行分析;根据数据包协议头中的某些字段对数据包进行分类、过滤;可更具用户设定特定的规则对报文数据内容进行过滤和截获。可以在硬件级对10G速率报文进行逐报内容级识别和流控;64K的规则表是原检测规则表分析能力的4倍。
文档编号H04L29/06GK101488949SQ20081015521
公开日2009年7月22日 申请日期2008年10月28日 优先权日2008年10月28日
发明者辉 严, 周云飞, 详 李, 涛 杨 申请人:江苏集群信息产业股份有限公司