专利名称:Asic融合网络设备的一种动态功能支持方法及系统的利记博彩app
技术领域:
本发明涉及网络通信、网络安全和组网技术领域,特别涉及一种网络 接入的融合方法及设备。
背景技术:
传统的接入网设备遵循的是一种"细化"模式。从功能上看,通常是 一种功能对应一种设备,例如交换机对应网络的2层乃至3层交换功能, 防火墙对应网络的安全访问控制功能,而路由器对应强大的异种网互联功 能。在该模式下,网络的接入通常需要使用多个接入设备串接完成,依次 是交换机、防火墙和路由器。随着接入网规模的扩大,各种应用的不断涌 现,"细化"模式的网络组网成本、网络运营和维护成本越来越高,网络的 时延也越来越大。近年来,接入网设备,尤其是一些中、小型接入网设备 中呈现出了一种"融合"模式,传统的单一功能的网络设备正在被"融合"多 种功能的网络设备所取代。
为了满足网络发展需求,"融合"模式网络设备面临3个主要需求 功能扩展性要求高。传统接入设备的新增功能往往通过新增专门设备 完成,如单独增加虚拟专用网(Virtual Private Network, VPN)设备,可 实现虚拟专用网功能。而在"融合"模式下, 一台设备实现完全接入,因此,"融合"模式设备除了必需具备二层交换、三层路由和安全过滤等功能外, 还应能根据新应用的需要灵活的支持各种新功能,具备良好的功能扩展性;
性能要求大幅度提高。随着各种多媒体应用的开发和普及,网络带宽 越来越多,现在已经千兆入户,需要"融合"设备提供吉比特级速率支持。
灵活度要求高。随着新的应用软件的出现,例如Edonkey等P2P下载 软件和各种IM的聊天软件(这些协议都是在传输层以上,甚至涉及到应 用层的服务),网络威胁的种类越来越多,对接入设备安全功能要求更高, 需要能够针对通信双方动态提供从"包"到"流"乃至"会话"各级的监控和过 滤,而且还可根据需要改变过滤的级别。
"融合"模式的接入网设备通常有以下三种实现方式-
1、 系统集成实现"融合"。将传统上分离的交换设备、防火墙设备和路 由设备通过设备集成方式实现功能集成,或者通过将各种功能的PCB板连 接实现功能集成。中国专利CN1556633A和CN1805410公布了两种交换设 备集成防火墙功能的方法,其本质都是针对分离的防火墙插板和分离的交 换单板利用集成方法实现。系统集成一方面扩展新应用、新功能的难度大, 另一方面,系统性能未能得到提高,而且还新增了限制性能的部分一一连 接交换单板和防火墙单板的传输部分。
2、 软件系统实现"融合"。基于商用协议栈或者基本协议栈,辅以 NETFILTEMPTABLE安全模块和路由模块,采用纯软件的方式实现。这 种实现方式功能扩展性好,灵活性高,能够方便的提供"包"、"流"乃至
"会话"级服务,但数据处理能力弱,无法适应吉比特网络环境。3、基于具有"融合"功能的专用集成电路(Application Specific Intergrated Circuits, ASIC)芯片实现"融合"。中国专利CN1595877公布了
一种在一个芯片上同时实现二层交换、三层路由、数据内容过滤及防火墙 功能的方法,可以支持很高的过滤速度并且能够支持数据包线速转发。
总之,基于ASIC实现的融合网络设备能够支持吉比特以上的接口速 率,是目前一种比较先进的架构。然而这种实现方式存在其固有的缺点 功能扩展性差,主要基于硬件处理,定制电路,新功能扩展时需要修改电 路,代价大,周期长。
发明内容
本发明针对现有ASIC架构"融合"模式设备性能高但是功能扩展性差 且支持灵活度低的问题,提供一种能够兼具硬件处理的高性能,同时能够 动态支持功能扩展的ASIC融合网络设备的动态功能支持方法及系统。
本发明是这样实现的 一种ASIC融合网络设备的动态功能支持方法 及系统,包括主要由融合ASIC模块和交换模块、软件功能模块和数据总 线组成基本的ASIC架构融合模式网络设备,其中融合ASIC模块和交换模 块为硬件层面,软件功能模块为软件层面,其特征在于在所述基本ASIC 架构融合模式网络设备的基础上,在软件层面新增动态协同控制模块,在 硬件层面新增动态协同模块和动态协同策略表模块,所述新增模块的连接
关系如下
所述动态协同控制模块与软件功能模块存在双向数据通道连接,在输 入方向上用来接收软件功能模块传送的新策略,在输出方向上用来将所述动态协同模块送来的数据包交给相应的软件功能模块;所述动态协同控制 模块与所述数据总线存在双向数据连接,在输入方向上用来通过所述数据 总线接收硬件筛选出来的需要进行功能调节的数据包,在输出方向上用来 通过所述数据总线向动态协同策略表模块发送修改的策略表表项,
所述动态协同策略表模块与所述数据总线存在输入方向的数据通道连 接,用来通过所述数据总线接收修改的策略表表项;所述动态协同策略表 模块与所述动态协同模块存在双向连接,在输入方向上用来接收所述动态 协同模块的查表请求和查表关键字,在输出方向上,用来传送所述动态协 同策略表査表的结果,
所述动态协同模块与所述融合ASIC模块存在输出方向的连接,该输
出方向的连接用来传送需要所述融合ASIC模块完成处理的数据包,此外,
动态协同模块用一个输入连接来接收外部需要处理的输入数据,
所述动态协同控制模块包括策略生成与动态维护单元、表项管理单元 和功能选择单元,策略生成与动态维护单元接收新生成策略并维护内部的 策略库,生成新的策略表表项并通告表项管理单元,表项管理单元对动态 协同策略表模块内的表项进行更新,功能选择单元接收硬件筛选出来的需 要进行功能调节的数据包,然后将其送交软件功能模块内对应的功能子模 块进行处理,
所述动态协同策略表模块为独立模块,用于存放策略表表项, 所述动态协同模块包括依次连接的输入缓存单元、数据包特征域提取 单元、匹配关键字生成单元、査表控制电路单元和输出控制单元,所述输入缓存单元用来缓存输入的数据包,所述数据包特征域提取单元用来从所 述输入缓存单元中读取数据包并对数据包的各个特征域进行提取,提取出 的特征域由所述匹配关键字生成单元组成査表关键字,所述査表控制电路 单元控制査表关键字输入到动态协同策略表模块进行査表,并读取出査表 结果,所述输出控制单元根据査表结果判断数据的输出方向,包括若査 表未能命中,则将数据包输出至融合ASIC模块;若査表命中,则将数据 包上交功能选择单元。
以上所述方法的具体实施步骤如下
步骤a、软件生成动态策略表
al、目标功能模块分配功能标识码。
目标功能包括两部分 一是系统动态增添新的功能,例如系统根据需
要新增因特网协议安全(Internet Protocol security , IPSEC)功能;二是系
统为通信双方动态调整服务级别,例如,系统对某连接的服务从"包"级监 控上升到"会话"级监控。目标功能模块指的是完成目标功能的软件功能模 块,例如上例中软件新增的IPSEC处理模块和完成"会话"级监控的应用层 代理模块。
标识码用来标识功能模块。若系统支持N种功能,为N个功能模块分 配编号0, 1, 2, ... , N—l,对应的二进制编码即为功能模块的标识码。 a2、目标功能模块生成数据包的特征字和掩码并组成策略输出 系统所述目标功能反映在数据包层面,包括物理层、数据链路层、网 络层、传输层和应用层共五个层面的数据,在每一个层面上都包括许多数据的特征域,系统所有功能所涉及的特征域的组合即形成特征字。系统进 行新增功能或者功能调整时,需要筛选进行调整目标功能的数据包,显然, 数据包的筛选要基于特征字中完成目标功能所涉及的部分特征域组合来完 成,例如,所述的对某连接的服务级别进行功能调整时,需要对特征字网 络层部分的"目的IP地址"、"源IP地址"、"协议"及传输层部分的"目的端 口号"和"源端口号"进行选取(选取可根据成熟的掩码技术完成,掩码可根 据各个特征域在特征字中所处的位置及长度唯一生成)。
该阶段目标功能模块根据所要完成的功能,生成能够标识目标功能的 特征字和对应的掩码,然后将特征字、掩码和该功能的功能标识码组成一
条新策略。其中,策略的关键字(key)部分由该功能模块的特征字构成; 策略的结果部分由该功能模块的标识码构成。
a3、策略生成与动态维护模块将输入的策略与策略库中的策略进行匹 配,若匹配成功则修改原策略的结果部分,将新的功能标识码添加到原来 的结果部分,否则,将该策略添加到策略库中。
a4、表项管理模块接收新策略,然后修改或添加动态协同策略表中对 应的表项。
优选的,步骤al,a2,a3,a4所述模块由软件实现。 优选的,动态协同策略表表项存储在专用硬件中。 步骤b:根据动态策略表实现软/硬件协同调整功能 bl、动态协同模块接收外部输入数据包,提取特征字形成査表关键字, 査找动态协同策略表。b2、读取査表结果并根据结果控制数据的输出。包括若査表未能命 中,则将数据包直接交给后续的ASIC处理;若查表命中,则将査表结果以 标签形式粘贴在数据包头部一并上交功能选择模块。
b3、功能选择单元将数据包送交目标功能模块。功能选择单元接收数 据包,根据数据包头部的标签将该包送交对应的目标功能模块。
b4、目标功能模块接收数据包,完成处理后将数据包输出。
优选的,步骤bl, b2由可编程逻辑器件(Field Programmable Gate Array , FPGA)实现。
优选的,步骤b3, b4由软件完成。
实现该方法的系统包括动态协同模块,包括依次连接的输入缓存单 元、数据包特征域提取单元、匹配关键字生成单元、査表控制电路单元和 输出控制单元。该动态协同模块可根据动态协同策略表的查表结果将需要 进行功能调整和服务级别调整的数据包动态筛选出来,由于基于FPGA实 现,从而还可以修改电路支持复杂功能的数据包筛选。
融合ASIC,用于实现易于硬件处理的二层交换功能、三层转发功能和 简单的"流"过滤功能等。
交换模块,用来在物理"融合"模式网络设备的物理端口间转发报文, 实现报文端口间交换功能。
动态协同策略表模块,用来存放策略表表项,可利用独立的随机存取 存储器(Random Access Memory, RAM)或者三态内容关联存储器(Ternary Content Addressable Memory , TCAM)实现,也可利用FPGA内部资源实现。
数据总线,用来实现软件层面和硬件层面的数据传输,下发并维护动 态协同策略表。
软件功能模块,包括各种功能模块,软件实现设备所需的多种功能,例
如应用代理软件模块,IPSEC安全处理模块等。
动态协同控制模块,包括策略生成与动态维护单元、表项管理单元、 功能选择单元。该模块与各个软件功能模块相接,当目标功能模块进行功 能调整时,该模块接收、维护新生成策略,并将策略通过总线下发给硬件 层面中的动态协同策略表模块;该模块还通过总线接收动态协同模块上交 的功能调整数据包,根据数据包头部粘贴的标签将该包送交对应的目标功 能模块。
其中,所述融合ASIC、交换模块和软件功能模块组成"融合"模式高性 能接入网络设备的当前实现架构,所述动态协同模块、动态协同策略表模 块和动态协同控制模块是新增功能模块,能够支持当前设备实现功能和服 务级别的动态调整。
本发明提供了一种动态协同方法,实现了对ASIC架构"融合"模式接 入设备的改造,使其能够兼具硬件处理的高性能,同时能够动态支持功能 扩展,为通信双方动态的提供各个级别的监控和过滤。
本发明的有益效果
采用本发明方法,可对ASIC架构的"融合"模式接入网设备进行低成 本、低复杂度改造,使其能够在保持原有性能优势的基础上,动态支持新的功能,同时能够为通信双方动态的提供各个级别的监控和过滤,大大提 高了设备的功能扩展性和灵活性。
图l为本发明的系统结构示意图。
图2为本发明的动态协同模块结构示意图。
图3为本发明的新增功能及功能动态调整的流程图。
图4 (a)系统特征字结构示意图。
图4 (b)本例的掩码示意图。
图中动态协同模块110、融合ASIC模块120、交换模块130、动态 协同策略表模块140、数据总线150、软件功能模块160、动态协同控制模 块170、输入缓存单元211、数据包特征域提取单元212、匹配关键字生成 单元213、策略生成与动态维护单元171、功能选择单元172、表项管理单 元173、査表控制电路单元214、输出控制单元215。
具体实施例方式
下面结合附图详细描述本发明的技术方案。 首先详述本发明的系统。
高性能"融合"模式的网络接入设备需要采用硬件处理才能实现吉比 特级速率支持,其中,基于硬件ASIC形式完成数据处理功能是设计的首 选。图1中,融合ASIC模块120、交换模块130、软件功能模块160和数 据总线150组成基本的ASIC架构融合模式网络设备。其中,融合ASIC模 块120以专用硬件电路形式实现易于硬件处理的二层交换功能、三层转发功能和简单的"流"过滤功能等;交换模块130以硬件实现高速报文的端 口间交换功能;软件功能模块160用来完成数据包的各种处理功能和硬件 的管理维护功能;数据总线150用来实现软件层面和硬件层面的数据传输, 下发并维护动态协同策略表。ASIC的定制电路特性导致了融合模式网络设 备缺乏功能的可扩展性和灵活性。考虑到功能模块160基于软件实现,可 方便的增加新的处理功能,因此,本发明在基本ASIC架构的基础上,通 过在软件层面新增动态协同控制模块(170),在硬件层面新增动态协同模 块(110)和动态协同策略表模块(140),提高设备的功能易扩展性和功能 调节的灵活性。
如图1所示,新增模块的连接关系如下-
1、 动态协同控制模块170与软件功能模块160存在双向数据通道连接, 在输入方向上用来接收软件功能模块160传送的新策略,在输出方向上用 来将所述动态协同模块110送来的数据包交给相应的软件功能模块160; 动态协同控制模块170与数据总线150存在双向数据连接,在输入方向上 用来通过数据总线150接收硬件筛选出来的需要进行功能调节的数据包, 在输出方向上用来通过数据总线150向动态协同策略表模块140发送修改 的策略表表项。
2、 动态协同策略表模块140与数据总线150存在输入方向的数据通道 连接,用来通过数据总线150接收修改的策略表表项;动态协同策略表模 块140与动态协同模块110存在双向连接,在输入方向上用来接收动态协 同模块110的查表请求和查表关键字(key),在输出方向上,用来传送动态协同策略表査表的结果。
3、动态协同模块110除与动态协同策略表模块140存在双向连接外, 与融合ASIC模块120存在输出方向的连接,该输出方向的连接用来传送 需要ASIC完成处理的数据包,此外,动态协同模块110用一个输入连接 来接收外部需要处理的输入数据。
新增模块的结构和功能如下
如图1所示,动态协同控制模块170包括策略生成与动态维护单元、 表项管理单元、功能选择单元。当软件功能模块160内增加新的功能子模 块或者某功能子模块进行功能调整时,策略生成与动态维护单元171接收 新生成策略并维护内部的策略库,生成新的策略表表项并通告表项管理单 元173,表项管理单元173即对动态协同策略表模块140内的表项进行更 新,功能选择单元172接收硬件筛选出来的需要进行功能调节的数据包, 然后将其送交软件功能模块160内对应的功能子模块进行处理。
如图1所示,动态协同策略表模块140为独立模块,可利用独立的RAM 或者TCAM实现,也可利用FPGA内部资源实现,用于存放策略表表项。
如图2所示,动态协同模块110包括依次连接的输入缓存单元211、 数据包特征域提取单元212、匹配关键字生成单元213、査表控制电路单元 214和输出控制单元215。输入缓存单元211用来缓存输入的数据包,数据 包特征域提取单元212用来从输入缓存单元211中读取数据包并对数据包 的各个特征域进行提取,提取出的特征域由匹配关键字生成单元213组成 查表关键字,查表控制电路单元214控制査表关键字输入到动态协同策略表模块140进行查表,并读取出查表结果,输出控制单元215根据査表结 果判断数据的输出方向,包括若査表未能命中,则将数据包输出至ASIC; 若査表命中,则将数据包上交172模块。
动态协同控制模块170基于软件实现,动态协同模块110推荐使用 FPGA实现,采用FPGA的优点在于可以对其电路进行修改,实现具有复 杂功能的数据包筛选。动态协同策略表模块140可使用RAM或者TCAM 实现,还可嵌入在动态协同模块110内部实现。
下述内容基于上文所述系统,详述本发明方法的实施。
图3为本发明新增功能及功能动态调整流程,包括软件生成动态协同 策略表和根据动态协同策略表实现软/硬件协同调整功能两部分,其中,步 骤301—304为软件生成动态协同策略表部分,步骤304—308为根据动态 协同策略表实现软/硬件协同调整功能部分。
软件生成动态协同策略表具体包括步骤
301:目标功能模块分配功能标识码
目标功能包括两部分 一是系统动态增添新的功能,例如系统需要新 增VPN功能;二是系统为通信双方动态调整服务级别,例如,系统要对某
连接的服务从"包"级监控上升到"会话"级监控。目标功能模块指的是完成
目标功能的模块,例如上例中软件新增的VPN处理模块和完成"会话"级监 控的应用层代理模块。标识码用来标识功能模块,若系统支持N种功能, 为N个功能模块分配编号0, 1, 2, ... , N—l,对应的二进制编码即为 功能模块的标识码。下面,以系统对某连接(以五元组信息,即源IP、目的IP、协议、源 端口和目的端口,唯一标识)的过滤功能从"包"级调整到"会话"级为目标
功能,举例详述整个流程。若系统定义共支持16种功能,会话级过滤功能 (即应用代理功能,可由代理软件实现)分配的编号为15,则我们可定义
该目标功能的标识码为"iiir。
302:目标功能模块生成数据包的特征字和掩码并组成策略输出
系统所述目标功能反映在数据包层面,包括物理层、数据链路层、网 络层、传输层和应用层共五个层面的数据,在每一个层面上都包括许多数 据的特征域,系统所有功能所涉及的特征域组合即形成特征字。图4(a) 是示例系统的特征字结构示意图,长度为72字节,物理层仅包括物理接口 一个特征域,长度1个字节,链路层、网络层和传输层的长度分别为14字 节、20字节、20字节,其余为应用层包负荷的长度。
本例所述目标功能是对某连接的过滤功能从"包"级调整到"会话" 级,仅需从特征字中选取"源IP"、"目的IP"、"协议"、"源端口"和"目的 端口"五个特征域,便可将目标功能所涉及的数据包筛选出来。五个特征域 的选取任务可利用成熟的掩码技术完成,所用掩码如图4 (b)所示,掩码 与特征字按比特一一对应,其中'O,表示对应的特征字比特不参与比较,'1, 表示对应的特征字比特参与比较。
上述特征字、掩码和目标功能标识码组成一条新策略,其中,策略的 关键字(key)部分由该功能模块的特征字和掩码构成,策略的结果部分由 目标功能的标识码"U11"构成。303:策略生成与动态维护模块匹配该策略并进行策略的添加或修改
策略生成与动态维护模块对策略库进行动态维护,当目标功能对应新
策略输入该模块后,该模块首先将新输入策略的关键字(key)部分与策略 库中的策略进行匹配,若匹配成功,则仅将匹配后策略的结果部分修改为 新的目标功能标识码"llll"即可,若匹配不成功,则需要将新的策略追加 到策略库中。
304:表项管理模块添加或修改动态协同策略表的对应表项
当策略生成或动态维护模块中的策略发生变换时,策略生成与维护模 块将修改后的策略通知表项管理模块,由表项管理模块负责对存储器(140) 中的动态协同策略表进行相应更新。
优选的,步骤301—304所述功能由软件完成,动态协同策略表存储器 模块(140)由TCAM实现。
至此,软件部分完成了动态协同策略表的生成和下发,后续由软/硬件 协同完成目标功能的动态调整。
根据动态策略表实现软/硬件动态协同包括步骤
305:动态协同模块对输入数据包提取特征字并査找动态协同策略表
优选的,动态协同模块由FPGA实现,具有可编程性质,可根据需要 对电路进行重构,增加系统功能支持的灵活性。
如图2所示,该模块包括输入缓存单元211、数据包特征域提取单元 212、匹配关键字生成单元213、查表控制电路单元和输出控制单元214。 输入数据包首先进入211单元缓存,随后,212单元从中读出数据包,并提取数据包各个相关的特征域,匹配关键字生成单元根据提取后的特征域
生成査表关键字,关键字的构成与图4 (a)所示的特征字结构相同。213 单元控制关键字输入140模块(TCAM)进行査表。 306:读取查表结果并根据结果控制数据的输出
关键字输入140模块后,若查表未能命中任何策略表项,则表明该包 不需要进行功能调整,由214单元直接交给后续的120模块由硬件高速处 理;本例中,数据包查表命中且查表的结果为"llll",表明该包是功能调 整包,需要将査表结果以标签形式粘贴在数据包头部并上交给172模块, 数据包的上交由214单元通过150模块完成。
307:功能选择单元将数据包送交目标功能模块
172单元从150模块上接收110模块上报的数据包,根据数据包头部 的标签将该包送交对应的160子模块。本实施例中,172单元收到标签值 为"llll"的数据包后将该包送交代理软件模块,完成"会话"级过滤。
308:目标功能模块接收数据包,完成处理后将数据包输出。
本实施例中,代理软件完成数据包的处理后,通过150模块将处理后 的数据包递交130模块输出给对应的接口,除非对策略进行修改,否则, 后续该连接的所有数据包都将依照上述305—308步骤完成,从而实现了该 连接的服务级别的调整,此时目标任务完成。
优选的,步骤305, 306由FPGA实现。
优选的,步骤304, 308由软件完成。
按照上述方法,系统新增功能或者进行功能调整,可根据上述的301一304动态的生成新策略,动态的更新动态协同策略表,然后由步骤305 一308中所涉及的硬/软件协同完成任务,这样,可在不改变ASIC架构的 情形下,提高系统的功能可扩展性和灵活性。
权利要求
1、一种ASIC融合网络设备的动态功能支持方法及系统,包括主要由融合ASIC模块(120)和交换模块(130)、软件功能模块(160)和数据总线(150)组成基本的ASIC架构融合模式网络设备,其中融合ASIC模块(120)和交换模块(130)为硬件层面,软件功能模块(160)为软件层面,其特征在于在所述基本ASIC架构融合模式网络设备的基础上,在软件层面新增动态协同控制模块(170),在硬件层面新增动态协同模块(110)和动态协同策略表模块(140),所述新增模块的连接关系如下所述动态协同控制模块(170)与软件功能模块(160)存在双向数据通道连接,在输入方向上用来接收软件功能模块(160)传送的新策略,在输出方向上用来将所述动态协同模块(110)送来的数据包交给相应的软件功能模块(160);所述动态协同控制模块(170)与所述数据总线(150)存在双向数据连接,在输入方向上用来通过所述数据总线(150)接收硬件筛选出来的需要进行功能调节的数据包,在输出方向上用来通过所述数据总线(150)向动态协同策略表模块(140)发送修改的策略表表项,所述动态协同策略表模块(140)与所述数据总线(150)存在输入方向的数据通道连接,用来通过所述数据总线(150)接收修改的策略表表项;所述动态协同策略表模块(140)与所述动态协同模块(110)存在双向连接,在输入方向上用来接收所述动态协同模块(110)的查表请求和查表关键字,在输出方向上,用来传送所述动态协同策略表(140)查表的结果,所述动态协同模块(110)与所述融合ASIC模块(120)存在输出方向的连接,该输出方向的连接用来传送需要所述融合ASIC模块(120)完成处理的数据包,此外,动态协同模块(110)用一个输入连接来接收外部需要处理的输入数据,所述动态协同控制模块(170)包括策略生成与动态维护单元(171)、表项管理单元(173)和功能选择单元(172),策略生成与动态维护单元(171)接收新生成策略并维护内部的策略库,生成新的策略表表项并通告表项管理单元(173),表项管理单元(173)对动态协同策略表模块(140)内的表项进行更新,功能选择单元(172)接收硬件筛选出来的需要进行功能调节的数据包,然后将其送交软件功能模块(160)内对应的功能子模块进行处理,所述动态协同策略表模块(140)为独立模块,用于存放策略表表项,所述动态协同模块(110)包括依次连接的输入缓存单元(211)、数据包特征域提取单元(212)、匹配关键字生成单元(213)、查表控制电路单元(214)和输出控制单元(215),所述输入缓存单元(211)用来缓存输入的数据包,所述数据包特征域提取单元(212)用来从所述输入缓存单元(211)中读取数据包并对数据包的各个特征域进行提取,提取出的特征域由所述匹配关键字生成单元(213)组成查表关键字,所述查表控制电路单元(214)控制查表关键字输入到动态协同策略表模块(140)进行查表,并读取出查表结果,所述输出控制单元(215)根据查表结果判断数据的输出方向,包括若查表未能命中,则将数据包输出至融合ASIC模块;若查表命中,则将数据包上交功能选择单元(172)。
2、 根据权利要求1所述的一种ASIC融合网络设备的动态功離支持方法及系统,其特征在于所述动态协同控制模块(no)基于软件实现,所述动态协同模块(110)使用FPGA实现,所述动态协同策略表模块(140)使用 RAM或者TCAM实现,或嵌入在动态协同模块(110)内部实现。
3、 根据权利要求1或2所述的一种ASIC融合网络设备的动态功能支 持方法及系统,其特征在于所述方法的具体实施步骤如下步骤a、软件生成动态策略表 al、目标功能模块分配功能标识码目标功能包括两部分 一是系统动态增添新的功能,二是系统为通信 双方动态调整服务级别,目标功能模块指的是完成目标功能的软件功能模 块,功能标识码用来标识功能模块,a2、目标功能模块生成数据包的特征字和掩码并组成策略输出 系统所述目标功能反映在数据包层面,包括物理层、数据链路层、网 络层、传输层和应用层共五个层面的数据,在每一个层面上都包括许多数 据的特征域,系统所有功能所涉及的特征域的组合形成特征字,系统进行 新增功能或者功能调整时,需要筛选出进行目标功能调整的数据包,数据 包的筛选要基于特征字中完成目标功能所涉及的部分特征域组合来完成, 该阶段目标功能模块根据所要完成的功能,生成能够标识目标功能的特征 字和对应的掩码,然后将特征字、掩码和该功能的功能标识码组成一条新 策略,其中,策略的关键字部分由该功能模块的特征字和掩码构成,用来 筛选出进行目标功能调整的数据包;策略的结果部分由该功能模块的标识码构成,用来标识相应的功能模块,a3、策略生成与动态维护模块将输入的策略与策略库中的策略进行匹 配,若匹配成功则修改原策略的结果部分,将新的功能标识码添加到原来 的结果部分,否则,将该策略添加到策略库中,a4、表项管理模块接收新策略,然后修改或添加动态协同策略表中对 应的表项。步骤b:根据动态策略表实现软/硬件协同调整功能 bl、动态协同模块接收外部输入数据包,提取特征字形成査表关键字, 输入动态协同策略表模块进行查找,b2、读取查表结果并根据结果控制数据的输出包括若査表未能命中,则将数据包直接交给后续的ASIC处理;若 查表命中,则将查表结果以标签形式粘贴在数据包头部一并上交功能选择 模块,b3、功能选择单元将数据包送交目标功能模块功能选择单元接收数据包,根据数据包头部的标签将该包送交对应的 目标功能模块,b4、目标功能模块接收数据包,完成处理后将数据包输出。
4、根据权利要求3所述的一种ASIC融合网络设备的动态功能支持方法及 系统,其特征在于步骤al,a2,a3,a4所述模块由软件实现,所述动态协同 策略表表项存储在专用硬件中,步骤bl, b2由可编程逻辑器件实现,步骤 b3, b4由软件完成。
全文摘要
本发明涉及一种ASIC融合网络设备的一种动态功能支持方法及系统,包括主要由融合ASIC模块(120)和交换模块(130)、软件功能模块(160)和数据总线(150)组成基本的ASIC架构融合模式网络设备,其中融合ASIC模块(120)和交换模块(130)为硬件层面,软件功能模块(160)为软件层面,其特征在于在所述基本ASIC架构融合模式网络设备的基础上,在软件层面新增动态协同控制模块(170),在硬件层面新增动态协同模块(110)和动态协同策略表模块(140)。采用本发明方法,可对ASIC架构的“融合”模式接入网设备进行低成本、低复杂度改造,使其能够在保持原有性能优势的基础上,动态支持新的功能,同时能够为通信双方动态的提供各个级别的监控和过滤,大大提高了设备的功能扩展性和灵活性。
文档编号H04L29/06GK101420371SQ20081002295
公开日2009年4月29日 申请日期2008年7月3日 优先权日2008年7月3日
发明者丁贤根, 万成威, 冉宇晖, 然 孟, 李玉峰, 菡 邱, 钱菁华 申请人:江苏华丽网络工程有限公司;中国人民解放军信息工程大学