专利名称::一种网络过滤处理器的利记博彩app
技术领域:
:本发明涉及一种网络过滤处理器,具体的说是一种可内置于局域网络交换机系统芯片,方便地实现复杂的用户管理功能并能提供很高带宽的宽带网络过滤处理器。
背景技术:
:新的接入网应用要求局域网交换机具有越来越多的用户管理特性。传统的交换机没有网络过滤器的功能,而国内也没有自主知识产权的网络过滤器。国外先进的网络交换机的网络过滤器使用BINARYSEARCH算法,这种算法每查找一个网络管理表的实体,需要的查找次数为Log2(M).[M为网络管理表实体的个数],导致速度慢,管理的网络管理表的实体少。所以这种办法不能满足高速度高带宽的要求,未能提供强大灵活的网络管理,不能满足中国市场的需要和安全的需求。更没有一种能满足越来越多的用户管理特性的适合在网络交换机芯片(LANSWITH)中使用的网络处理器。而现在的网络交换机需要对交换的数据提供灵活多元化的管理。
发明内容本发明旨在针对目前没有一种能满足高速度高带宽要求、能提供强大灵活网络管理功能的网络过滤处理器,尤其是没有一种能满足越来越多的用户管理特性的适合在局域网交换机芯片(LANSWITCH)中使用的网络处理器的缺陷,提供一种能够解决上述问题,能满足中国市场需要和安全需求的网络过滤处理器。为解决上述技术问题,本发明采用的技术方案如下一种网络过滤处理器,其特征在于该过滤处理器为一个采用能迅速查找表的DP-HASHING算法的中央集中处理单元SS-NFP(以下简称SS-NFP),该SS-NFP为支持多用户的内嵌以太网交换机的安全智能结构,当数据包到达的时候,从包截取数据找到匹配的网络管理表实体,进行对数据包的各种操作。本发明SS-NFP使用复用器从输入端传入一个数据包,并记下传入的端口号码,然后使用智能域掩码从数据包中选出需要长度的数据,把这个数据和掩摸表里的掩摸位段相位乘,得到网络管理表实体匹配钥匙(KEY)。双并行的8组把两个KEY送入到使用DP-HASHING算法的DP-HASHING引擎,得到网络管理表实体地址。8K网络管理表被划分成8块,每块深度为1K。网络管理表实体地址从网络管理表中找出一个管理实体,把这个规则里的KEY字段于先前生成的KEY作比较处理。本发明上述KEY比较后相等的表示查表命中,否则表示未命中,在有多个命中的时候,由命中的网络管理实体里命令作出送CPU、镜像、丢弃、传送、转发或改变优先级处理,并根据系统需求发往CPU。本发明在对当前报文处理的同时,从命中里网络管理表实体最高的一个选出网络计费表的地址,读取网络计费表,找到的网络计费表后,从网络计费表的费用位段减去数据包的长度。本发明的有益效果体现在常用的HASHING算法有Additive,Rotating,One-at-a-Time,Pearson,CRC,Generalized,Universal,Zobrist,MD4等。这些HASHING算法的冲突概率和利用率在20%左右,资源浪费严重,而发明采用的DP-HASING的冲突概率和资源利用率在70%左右。正因如此,本网络过滤器利用改进的DP-HASHING算法实现网络过滤器来达到迅速查找表,并以此算法为基础,设计出一种可内嵌以太网交换机的安全智能结构来实现本网络过滤器的功能,以满足高速度高带宽的要求,同时可以支持更多的用户,满足越来越多的用户管理特性;SS-NFP能够实现的管理用户数目是可以扩展的。当前的产品提供的安全规则表ruletable的深度是8192。SS-NFP可以支持倒高达4.4GB/S的带宽,可以支持高达24个高速以太网端口和2个千兆端口。本发明是一种适合在LANSWITH芯片中使用的网络处理器,避免了使用昂贵数据内容寻址内存(CAM);它能通过高密度普通内存实现,支持对很宽的数据进行比较,能够使用很少的资源达到很高的运行速度,它的先进特点是具有高达4.4GB/S的处理能力。图1为本发明数据的结构2为本发明中央集中处理单元SS-NFP的结构框3常用HASHING算法和本DP-HASHING算法冲突对比具体实施方式如图1图2,本发明采用改进的DP-HASHING算法实现网络过滤器来达到迅速查找表,并以此算法为基础,设计出一种可内嵌以太网2-3层高性能交换机芯片的安全智能结构SS-NFP来实现网络过滤功能,以满足高速度高带宽的要求,同时可以支持更多的用户,满足越来越多的用户管理特性。本发明SS-NFP从到达数据包中截取80字节的分析数据P_DATA(以下简称P_DATA),同时送入辅助数据A-DATA(以下简称A-DATA)。首先使用复用器从输入端传入一个数据包,并记下传入的端口号码,然后SS-NFP使用智能域掩码从数据包中选出需要长度的数据,具体做法是把这个数据和掩摸表里的掩摸位段相位乘,得到网络管理表实体匹配钥匙(KEY)。双并行的8组把两个KEY送入到DP-HASHING引擎(使用DP-HASHING算法),得到网络管理表实体地址,8K网络管理表被划分成8块,每块深度为1K。(目的是解决HASHING之后地址的冲突问题。)地址从网络管理表中找出一个管理实体,把这个规则里的KEY字段于先前生成的KEY作比较处理。本发明上述KEY比较后相等的表示查表命中,否则表示未命中,在有多个命中的时候,由命中的网络管理实体里命令作出送CPU,镜像,丢弃,传送、转发或改变优先级处理,并根据系统需求发往CPU。本发明在对当前报文处理的同时,从命中里网络管理表实体最高的一个选出网络计费表的地址,读取网络计费表,找到的网络计费表后,从网络计费表的费用位段减去数据包的长度。本发明SS-NFP同时支持所有的24百兆和2个千兆网络端口。本发明所采用的DH-HASHING生成多项式为x^32+x^26+x^23+x^20+x^10+x^7+x^4+x^1+1.(试验所得,由HASHING冲突的概率测试所得如图3)本发明采用的DH-HASHING算法把128位网络管理表实体匹配钥匙压缩映射到10位地址空间。即把128位的匹配钥匙转换成10位的地址,目的是在10位地址尽可能的平均分配在10位的地址空间上,使网络过滤器能够迅速查找表。本发明所采用的DP-HASHING算法在芯片硬件的实现上,需要在一个硬件周期里完成DP-HASHING。权利要求1.一种网络过滤处理器,其特征在于该过滤处理器为一个采用能迅速查找表的DP-HASHING算法的中央集中处理单元SS-NFP,该SS-NFP为支持多用户的内嵌以太网交换机的安全智能结构,当数据包到达的时候,从包截取数据找到匹配的网络管理表实体,进行对数据包的各种操作。2.根据权利要求1所述的一种网络过滤处理器,其特征在于SS-NFP使用复用器从输入端传入一个数据包,并记下传入的端口号码,然后使用智能域掩码从数据包中选出需要长度的数据,把这个数据和掩摸表里的掩摸位段相位乘,得到网络管理表实体匹配钥匙KEY,双并行的8组把两个KEY送入到使用DP-HASHING算法的DP-HASHING引擎,得到网络管理表实体地址。3.根据权利要求1或2所述的一种网络过滤处理器,其特征在于8K网络管理表被划分成8块,每块深度为1K。网络管理表实体地址从网络管理表中找出一个管理实体,把这个规则里的KEY字段于先前生成的KEY作比较处理。4.根据权利要求3所述的一种网络过滤处理器,其特征在于所述KEY比较后相等的表示查表命中,否则表示未命中,在有多个命中的时候,由命中的网络管理实体里命令作出送CPU、镜像、丢弃、传送、转发或改变优先级处理,并根据系统需求发往CPU。5.根据权利要求4所述的一种网络过滤处理器,其特征在于在对当前报文处理的同时,从命中里网络管理表实体最高的一个选出网络计费表的地址,读取网络计费表,找到的网络计费表后,从网络计费表的费用位段减去数据包的长度。6.根据权利要求1或2所述的一种网络过滤处理器,其特征在于所采用的DH-HASHING算法生成多项式为x^32+x^26+x^23+x^20+x^10+x^7+x^4+x^1+1.7.根据权利要求6所述的一种网络过滤处理器,其特征在于采用的DH-HASHING算法把128位网络管理表实体匹配钥匙压缩映射到10位地址空间,即把128位的匹配钥匙转换成10位的地址,目的是在10位地址尽可能的平均分配在10位的地址空间上,使网络过滤器能够迅速查找表。全文摘要本发明旨在针对目前没有一种能满足高速度高带宽要求、能提供强大灵活网络管理功能的网络过滤处理器,尤其是没有一种能满足越来越多的用户管理特性的适合在局域网交换机芯片中使用的网络处理器的缺陷,提供一种能够解决上述问题,能满足中国市场需要和安全需求的网络过滤处理器。本发明采用改进的DP-HASHING算法实现网络过滤器来达到迅速查找表,并以此算法为基础,设计出一种可内嵌以太网2-3层高性能交换机芯片的安全智能结构SS-NFP来实现网络过滤功能,以满足高速度高带宽的要求,同时可以支持更多的用户,满足越来越多的用户管理特性。文档编号H04L12/02GK1489336SQ0311723公开日2004年4月14日申请日期2003年1月27日优先权日2003年1月27日发明者林昕,李为民,包雅林,王步伟,林昕申请人:四川南山之桥微电子有限公司