ASIC融合网络设备的一种动态功能支持方法及系统技术方案

一种ＡＳＩＣ融合网络设备的动态功能支持方法及系统，包括主要由融合ＡＳＩＣ模块（１２０）和交换模块（１３０）、软件功能模块（１６０）和数据总线（１５０）组成基本的ＡＳＩＣ架构融合模式网络设备，其中融合ＡＳＩＣ模块（１２０）和交换模块（１３０）为硬件层面，软件功能模块（１６０）为软件层面，其特征在于：在所述基本ＡＳＩＣ架构融合模式网络设备的基础上，在软件层面新增动态协同控制模块（１７０），在硬件层面新增动态协同模块（１１０）和动态协同策略表模块（１４０），所述新增模块的连接关系如下：　所述动态协同控制模块（１７０）与软件功能模块（１６０）存在双向数据通道连接，在输入方向上用来接收软件功能模块（１６０）传送的新策略，在输出方向上用来将所述动态协同模块（１１０）送来的数据包交给相应的软件功能模块（１６０）；所述动 态协同控制模块（１７０）与所述数据总线（１５０）存在双向数据连接，在输入方向上用来通过所述数据总线（１５０）接收硬件筛选出来的需要进行功能调节的数据包，在输出方向上用来通过所述数据总线（１５０）向动态协同策略表模块（１４０）发送修改的策略表表项，　所述动态协同策略表模块（１４０）与所述数据总线（１５０）存在输入方向的数据通道连接，用来通过所述数据总线（１５０）接收修改的策略表表项；所述动态协同策略表模块（１４０）与所述动态协同模块（１１０）存在双向连接，在输入方向上用来 接收所述动态协同模块（１１０）的查表请求和查表关键字，在输出方向上，用来传送所述动态协同策略表（１４０）查表的结果，所述动态协同模块（１１０）与所述融合ＡＳＩＣ模块（１２０）存在输出方向的连接，该输出方向的连接用来传送需要所述融合ＡＳＩＣ模块（１２０）完成处理的数据包，此外，动态协同模块（１１０）用一个输入连接来接收外部需要处理的输入数据，　所述动态协同控制模块（１７０）包括策略生成与动态维护单元（１７１）、表项管理单元（１７３）和功能选择单元（１７２），策略生成与动态 维护单元（１７１）接收新生成策略并维护内部的策略库，生成新的策略表表项并通告表项管理单元（１７３），表项管理单元（１７３）对动态协同策略表模块（１４０）内的表项进行更新，功能选择单元（１７２）接收硬件筛选出来的需要进行功能调节的数据包，然后将其送交软件功能模块（１６０）内对应的功能子模块进行处理，　所述动态协同策略表模块（１４０）为独立模块，用于存放策略表表项，　所述动态协同模块（１１０）包括依次连接的输入缓存单元（２１１）、数据包特征域提取单元（２１２）、匹配关 键字生成单元（２１３）、查表控制电路单元（２１４）和输出控制单元（２１５），所述输入缓存单元（２１１）用来缓存输入的数据包，所述数据包特征域提取单元（２１２）用来从所述输入缓存单元（２１１）中读取数据包并对数据包的各个特征域进行提取，提取出的特征域由所述匹配关键字生成单元（２１３）组成查表关键字，所述查表控制电路单元（２１４）控制查表关键字输入到动态协同策略表模块（１４０）进行查表，并读取出查表结果，所述输出控制单元（２１５）根据查表结果判断数据的输出方向，包括：若查表未能命中，则将数据包输出至融合ＡＳＩＣ模块；若查表命中，则将数据包上交功能选择单元（１７２）。

【技术实现步骤摘要】

本专利技术涉及网络通信、网络安全和组网
，特别涉及一种网络接入的融合方法及设备。
技术介绍
传统的接入网设备遵循的是一种“细化”模式。从功能上看，通常是一种功能对应一种设备，例如交换机对应网络的2层乃至3层交换功能，防火墙对应网络的安全访问控制功能，而路由器对应强大的异种网互联功能。在该模式下，网络的接入通常需要使用多个接入设备串接完成，依次是交换机、防火墙和路由器。随着接入网规模的扩大，各种应用的不断涌现，“细化”模式的网络组网成本、网络运营和维护成本越来越高，网络的时延也越来越大。近年来，接入网设备，尤其是一些中、小型接入网设备中呈现出了一种“融合”模式，传统的单一功能的网络设备正在被“融合”多种功能的网络设备所取代。为了满足网络发展需求，“融合”模式网络设备面临3个主要需求：功能扩展性要求高。传统接入设备的新增功能往往通过新增专门设备完成，如单独增加虚拟专用网(Virtual Private Network，VPN)设备，可实现虚拟专用网功能。而在“融合”模式下，一台设备实现完全接入，因此，-->“融合”模式设备除了必需具备二层交换、三层路由和安全过滤等功能外，还应能根据新应用的需要灵活的支持各种新功能，具备良好的功能扩展性；性能要求大幅度提高。随着各种多媒体应用的开发和普及，网络带宽越来越多，现在已经千兆入户，需要“融合”设备提供吉比特级速率支持。灵活度要求高。随着新的应用软件的出现，例如Edonkey等P2P下载软件和各种IM的聊天软件(这些协议都是在传输层以上，甚至涉及到应用层的服务)，网络威胁的种类越来越多，对接入设备安全功能要求更高，需要能够针对通信双方动态提供从“包”到“流”乃至“会话”各级的监控和过滤，而且还可根据需要改变过滤的级别。“融合”模式的接入网设备通常有以下三种实现方式：1、系统集成实现“融合”。将传统上分离的交换设备、防火墙设备和路由设备通过设备集成方式实现功能集成，或者通过将各种功能的PCB板连接实现功能集成。中国专利CN1556633A和CN1805410公布了两种交换设备集成防火墙功能的方法，其本质都是针对分离的防火墙插板和分离的交换单板利用集成方法实现。系统集成一方面扩展新应用、新功能的难度大，另一方面，系统性能未能得到提高，而且还新增了限制性能的部分——连接交换单板和防火墙单板的传输部分。2、软件系统实现“融合”。基于商用协议栈或者基本协议栈，辅以NETFILTER/IPTABLE安全模块和路由模块，采用纯软件的方式实现。这种实现方式功能扩展性好，灵活性高，能够方便的提供“包”、“流”乃至“会话”级服务，但数据处理能力弱，无法适应吉比特网络环境。-->3、基于具有“融合”功能的专用集成电路(Application SpecificIntergrated Circuits，ASIC)芯片实现“融合”。中国专利CN1595877公布了一种在一个芯片上同时实现二层交换、三层路由、数据内容过滤及防火墙功能的方法，可以支持很高的过滤速度并且能够支持数据包线速转发。总之，基于ASIC实现的融合网络设备能够支持吉比特以上的接口速率，是目前一种比较先进的架构。然而这种实现方式存在其固有的缺点：功能扩展性差，主要基于硬件处理，定制电路，新功能扩展时需要修改电路，代价大，周期长。
技术实现思路
本专利技术针对现有ASIC架构“融合”模式设备性能高但是功能扩展性差且支持灵活度低的问题，提供一种能够兼具硬件处理的高性能，同时能够动态支持功能扩展的ASIC融合网络设备的动态功能支持方法及系统。本专利技术是这样实现的：一种ASIC融合网络设备的动态功能支持方法及系统，包括主要由融合ASIC模块和交换模块、软件功能模块和数据总线组成基本的ASIC架构融合模式网络设备，其中融合ASIC模块和交换模块为硬件层面，软件功能模块为软件层面，其特征在于：在所述基本ASIC架构融合模式网络设备的基础上，在软件层面新增动态协同控制模块，在硬件层面新增动态协同模块和动态协同策略表模块，所述新增模块的连接关系如下：所述动态协同控制模块与软件功能模块存在双向数据通道连接，在输入方向上用来接收软件功能模块传送的新策略，在输出方向上用来将所述-->动态协同模块送来的数据包交给相应的软件功能模块；所述动态协同控制模块与所述数据总线存在双向数据连接，在输入方向上用来通过所述数据总线接收硬件筛选出来的需要进行功能调节的数据包，在输出方向上用来通过所述数据总线向动态协同策略表模块发送修改的策略表表项，所述动态协同策略表模块与所述数据总线存在输入方向的数据通道连接，用来通过所述数据总线接收修改的策略表表项；所述动态协同策略表模块与所述动态协同模块存在双向连接，在输入方向上用来接收所述动态协同模块的查表请求和查表关键字，在输出方向上，用来传送所述动态协同策略表查表的结果，所述动态协同模块与所述融合ASIC模块存在输出方向的连接，该输出方向的连接用来传送需要所述融合ASIC模块完成处理的数据包，此外，动态协同模块用一个输入连接来接收外部需要处理的输入数据，所述动态协同控制模块包括策略生成与动态维护单元、表项管理单元和功能选择单元，策略生成与动态维护单元接收新生成策略并维护内部的策略库，生成新的策略表表项并通告表项管理单元，表项管理单元对动态协同策略表模块内的表项进行更新，功能选择单元接收硬件筛选出来的需要进行功能调节的数据包，然后将其送交软件功能模块内对应的功能子模块进行处理，所述动态协同策略表模块为独立模块，用于存放策略表表项，所述动态协同模块包括依次连接的输入缓存单元、数据包特征域提取单元、匹配关键字生成单元、查表控制电路单元和输出控制单元，所述输-->入缓存单元用来缓存输入的数据包，所述数据包特征域提取单元用来从所述输入缓存单元中读取数据包并对数据包的各个特征域进行提取，提取出的特征域由所述匹配关键字生成单元组成查表关键字，所述查表控制电路单元控制查表关键字输入到动态协同策略表模块进行查表，并读取出查表结果，所述输出控制单元根据查表结果判断数据的输出方向，包括：若查表未能命中，则将数据包输出至融合ASIC模块；若查表命中，则将数据包上交功能选择单元。以上所述方法的具体实施步骤如下：步骤a、软件生成动态策略表a1、目标功能模块分配功能标识码。目标功能包括两部分：一是系统动态增添新的功能，例如系统根据需要新增因特网协议安全(Internet Protocol security，IPSEC)功能；二是系统为通信双方动态调整服务级别，例如，系统对某连接的服务从“包”级监控上升到“会话”级监控。目标功能模块指的是完成目标功能的软件功能模块，例如上例中软件新增的IPSEC处理模块和完成“会话”级监控的应用层代理模块。标识码用来标识功能模块。若系统支持N种功能，为N个功能模块分配编号0，1，2，...，N—1，对应的二进制编码即为功能模块的标识码。a2、目标功能模块生成数据包的特征字和掩码并组成策略输出系统所述目标功能反映在数据包层面，包括物理层、数据链路层、网络层、传输层和应用层共五个层面的数据，在每一个层面上都包括许多数-->据的特征域，系统所有功能所涉及的特征域的组合即形成特征字。系统进行新增功能或者功能调整时，需要筛选本文档来自技高网...

【技术保护点】
一种ＡＳＩＣ融合网络设备的动态功能支持方法及系统，包括主要由融合ＡＳＩＣ模块（１２０）和交换模块（１３０）、软件功能模块（１６０）和数据总线（１５０）组成基本的ＡＳＩＣ架构融合模式网络设备，其中融合ＡＳＩＣ模块（１２０）和交换模块（１３０）为硬件层面，软件功能模块（１６０）为软件层面，其特征在于：在所述基本ＡＳＩＣ架构融合模式网络设备的基础上，在软件层面新增动态协同控制模块（１７０），在硬件层面新增动态协同模块（１１０）和动态协同策略表模块（１４０），所述新增模块的连接关系如下：　所述动态协同控制模块（１７０）与软件功能模块（１６０）存在双向数据通道连接，在输入方向上用来接收软件功能模块（１６０）传送的新策略，在输出方向上用来将所述动态协同模块（１１０）送来的数据包交给相应的软件功能模块（１６０）；所述动态协同控制模块（１７０）与所述数据总线（１５０）存在双向数据连接，在输入方向上用来通过所述数据总线（１５０）接收硬件筛选出来的需要进行功能调节的数据包，在输出方向上用来通过所述数据总线（１５０）向动态协同策略表模块（１４０）发送修改的策略表表项，　所述动态协同策略表模块（１４０）与所述数据总线（１５０）存在输入方向的数据通道连接，用来通过所述数据总线（１５０）接收修改的策略表表项；所述动态协同策略表模块（１４０）与所述动态协同模块（１１０）存在双向连接，在输入方向上用来接收所述动态协同模块（１１０）的查表请求和查表关键字，在输出方向上，用来传送所述动态协同策略表（１４０）查表的结果，所述动态协同模块（１１０）与所述融合ＡＳＩＣ模块（１２０）存在输出方向的连接，该输出方向的连接用来传送需要所述融合ＡＳＩＣ模块（１２０）完成处理的数据包，此外，动态协同模块（１１０）用一个输入连接来接收外部需要处理的输入数据，　所述动态协同控制模块（１７０）包括策略生成与动态维护单元（１７１）、表项管理单元（１７３）和功能选择单元（１７２），策略生成与动态维护单元（１７１）接收新生成策略并维护内部的策略库，生成新的策略表表项并通告表项管理单元（１７３），表项管理单元（１７３）对动态协同策略表模块（１４０）内的表项进行更新，功能选择单元（１７２）接收硬件筛选出来的需要进行功能调节的数据包，然后将其送交软件功能模块（１６０）内对应的功能子模块进行处理，　所述动态协同策略表模块（１４０）为独立模块，用于存放策略表表项，　所述动态协同模块（１１０）包括依次连接的输入缓存单元（２１１）、数据包特征域提取单元（２１２）、匹配关键字生成单元（２１３）、查表控制电路单元（２１４）和输出控制单元（２１５），所述输入缓存单元（２１１）用来缓存输入的数据包，所述数据包特征域提取单元（２１２）用来从所述输入缓存单元（２１１）中读取数据包并对数据包的各个特征域进行提取，提取出的特征域由所述匹配关键字生成单元（２１３）组成查表关键字，所述查表控制电路单元（２１４）控制查表关键字输入到动态协同策略表模块（１４０）进行查表，并读取出查表结果，所述输出控制单元（２１５）根据查表结果判断数据的输出方向，包括：若查表未能命中，则将数据包输出至融合ＡＳＩＣ模块；若查表命中，则将数据包上交功能选择单元（１７２）。...

【技术特征摘要】
1、一种ASIC融合网络设备的动态功能支持方法及系统，包括主要由融合ASIC模块(120)和交换模块(130)、软件功能模块(160)和数据总线(150)组成基本的ASIC架构融合模式网络设备，其中融合ASIC模块(120)和交换模块(130)为硬件层面，软件功能模块(160)为软件层面，其特征在于：在所述基本ASIC架构融合模式网络设备的基础上，在软件层面新增动态协同控制模块(170)，在硬件层面新增动态协同模块(110)和动态协同策略表模块(140)，所述新增模块的连接关系如下：所述动态协同控制模块(170)与软件功能模块(160)存在双向数据通道连接，在输入方向上用来接收软件功能模块(160)传送的新策略，在输出方向上用来将所述动态协同模块(110)送来的数据包交给相应的软件功能模块(160)；所述动态协同控制模块(170)与所述数据总线(150)存在双向数据连接，在输入方向上用来通过所述数据总线(150)接收硬件筛选出来的需要进行功能调节的数据包，在输出方向上用来通过所述数据总线(150)向动态协同策略表模块(140)发送修改的策略表表项，所述动态协同策略表模块(140)与所述数据总线(150)存在输入方向的数据通道连接，用来通过所述数据总线(150)接收修改的策略表表项；所述动态协同策略表模块(140)与所述动态协同模块(110)存在双向连接，在输入方向上用来接收所述动态协同模块(110)的查表请求和查表关键字，在输出方向上，用来传送所述动态协同策略表(140)查表的结果，所述动态协同模块(110)与所述融合ASIC模块(120)存在输出方向的连接，该输出方向的连接用来传送需要所述融合ASIC模块(120)完成处理的数据包，此外，动态协同模块(110)用一个输入连接来接收外部需要处理的输入数据，所述动态协同控制模块(170)包括策略生成与动态维护单元(171)、表项管理单元(173)和功能选择单元(172)，策略生成与动态维护单元(171)接收新生成策略并维护内部的策略库，生成新的策略表表项并通告表项管理单元(173)，表项管理单元(173)对动态协同策略表模块(140)内的表项进行更新，功能选择单元(172)接收硬件筛选出来的需要进行功能调节的数据包，然后将其送交软件功能模块(160)内对应的功能子模块进行处理，所述动态协同策略表模块(140)为独立模块，用于存放策略表表项，所述动态协同模块(110)包括依次连接的输入缓存单元(211)、数据包特征域提取单元(212)、匹配关键字生成单元(213)、查表控制电路单元(214)和输出控制单元(215)，所述输入缓存单元(211)用来缓存输入的数据包，所述数据包特征域提取单元(212)用来从所述输入缓存单元(211)中读取数据包并对数据包的各个特征域进行提取，提取出的特征域由所述匹配关键字生成单元(213)组成查表关键字，所述查表控制电路单元(214)控制查表...

【专利技术属性】
技术研发人员：邱菡，李玉峰，丁贤根，孟然，万成威，冉宇晖，钱菁华，
申请(专利权)人：江苏华丽网络工程有限公司，中国人民解放军信息工程大学，
类型：发明
国别省市：32