本发明专利技术提供一种多DP交换芯片实现MACsec的方法和装置,其中,多DP交换芯片使用基于流的MACsec功能,并且流使能了linkagg功能,多DP交换芯片包括MAC模块、IPE模块、BSR模块和EPE模块,MAC模块包括至少两个DP子模块,每个DP子模块分为入和出两个方向,每个DP子模块之间互不感知,该方法包括:选择其中的一个DP子模块作为报文加密处理DP;以及当从入方向的DP子模块上接收到报文时,判断该报文是否为出口在报文加密处理DP上的报文,如果是,则报文经过加密处理后直接发送出去;如果否,则先将报文通过loop channel到达报文加密处理DP上进行加密处理,然后加密后的报文loop回IPE模块,并跳过IPE模块和EPE的相应处理流程,最后根据报文的真实出口信息从相应的出口发送出去。的真实出口信息从相应的出口发送出去。的真实出口信息从相应的出口发送出去。
【技术实现步骤摘要】
多DP交换芯片实现MACsec的方法和装置
[0001]本专利技术涉及用户数据安全网络领域,尤其涉及一种多DP交换芯片实现MACsec的方法和装置。
技术介绍
[0002]IEEE802.1AE引入Macsec技术,该技术可以为用户提供安全的MAC层数据发送和接收服务,包括用户数据加密、数据帧完整性检查及数据真实性校验、重播保护。
[0003]传统MACsec实现是基于单DP(data path)交换芯片的,并且是基于port(端口)也可以说基于channel(信道,通道)来做的,其实现是在MAC中实现的。整个流程包括介质访问控制接收模块(MACRX),入方向处理模块(IPE),内存管理模块(BSR),出方向处理模块(EPE),介质访问控制发送模块(MACTX)。一方面随着近些年大家都在强调安全性,数据加解密的粒度越来越细,基于port的加解密已经越来越满足不了目前的需求,更多的是基于流来做加解密。另一方面,随着网络的高速发展,对交换芯片要求端口越多,带宽越大,因此多DP交换芯片应运而生。每个DP各自维护一个MAC模块,每个MAC模块包含了多个channel。DP与DP之间互相不感知。
[0004]在网络的实际部署中,通常会使用linkagg技术以实现增加链路带宽并提高链路的可靠性。在交换芯片上表现出来是同一种流会从不同的口出去。
[0005]多DP交换芯片相较于单DP交换芯片其差别是有多个MAC模块,它们共享IPE EPE BSR流程,每个MAC里存在多个channel,MACsec放在每个MAC中实现,各自MAC模块里的表项各自独立不互通。当使用基于流来做MACsec,并且该流使能了linkagg,当出口分布在多个DP上的时候,会存在加密的时候PN无法同步的问题,比如说,该流的第一份报文从DP0的port0上做完加密出来,此时出来的报文sectag里填装的PN值为PN+1,DP0上维护的表项做PN+1,该流的第二份报文从DP1的port1上做完加密出来,此时出来的报文sectag里填装的PN值也为PN+1,DP1上维护的表项做PN+1,如此连续的两份报文sectag中填装的报文都是PN+1,对端如果连续收到这样的报文,会因为PN问题而导致报文丢弃。当然其他表项也会存在诸如此类的问题。
[0006]通过将MACsec模块挪到IPE与EPE之间可以解决这个问题,此时MACsec表项不会存在互相不互通的情况,但是涉及模块改动太大,且此时MACsec模块远离MAC,变为了集中式的MACsec,处理带宽会受到限制不易于后期扩展。需要有一种不涉及架构改动来处理此问题的办法。
技术实现思路
[0007]为了解决上述技术问题,本专利技术公开了一种多DP交换芯片实现MACsec的方法和装置,可以在使用基于流做MACsec且存在linkagg应用时,可以使不同DP的MACsec表项得到统一,使报文得到正确的加解密处理。
[0008]为达到上述目的,本专利技术的技术方案提供了一种多DP交换芯片实现MACsec的方
法,其中,多DP交换芯片使用基于流的MACsec功能,并且流使能了linkagg功能,多DP交换芯片包括MAC模块、IPE模块、BSR模块和EPE模块,MAC模块包括至少两个DP子模块,每个DP子模块分为入和出两个方向,每个DP子模块之间互不感知,其中,所述方法包括:选择其中的一个DP子模块作为报文加密处理DP;以及当从入方向的DP子模块上接收到报文时,判断该报文是否为出口在所述报文加密处理DP上的报文,如果是,则报文经过加密处理后直接发送出去;如果否,则先将报文通过loop channel到达所述报文加密处理DP上进行加密处理,然后加密后的报文loop回IPE模块,并跳过IPE模块和EPE的相应处理流程,最后根据报文的真实出口信息从相应的出口发送出去。
[0009]在进一步的技术方案中,通过IPE模块的LAG Engine进行hash计算获得报文的出口信息。
[0010]在进一步的技术方案中,在对报文进行加密处理时,取报文的cvlan tag做hash lookup,出SCID,使用SCID作为索引index值去索引相应的Table,进而得到相应的加密信息去做加密处理。
[0011]在进一步的技术方案中,在对报文进行加密处理时,在报文的sectag中填装相应的PN值,并更新Table里维护的PN值。
[0012]在进一步的技术方案中,MAC模块包括n个DP子模块,n为大于等于2的整数,每个DP子模块包括m个channel,m为大于等于2的整数,所有DP子模块对外表现出来的channel均为0
‑
(m
‑
1),到了IPE再根据DP ID结合channel id将channel恢复成连续的0
‑
(m*n
‑
1)。
[0013]本专利技术的技术方案还提供了一种多DP交换芯片实现MACsec的装置,其中,多DP交换芯片使用基于流的MACsec功能,并且流使能了linkagg功能,多DP交换芯片包括MAC模块、IPE模块、BSR模块和EPE模块,MAC模块包括至少两个DP子模块,每个DP子模块分为入和出两个方向,每个DP子模块之间互不感知,所述装置包括:DP选择模块,用于选择其中的一个DP子模块作为报文加密处理DP;以及报文loop判断模块,用于当从入方向的DP子模块上接收到报文时,判断该报文是否为出口在所述报文加密处理DP上的报文,如果是,则报文经过加密处理后直接发送出去;如果否,则先将报文通过loop channel到达所述报文加密处理DP上进行加密处理,然后加密后的报文loop回IPE模块,并跳过IPE模块和EPE的相应处理流程,最后根据报文的真实出口信息从相应的出口发送出去。
[0014]在进一步的技术方案中,报文的出口信息是通过IPE模块的LAG Engine进行hash计算获得的。
[0015]在进一步的技术方案中,在对报文进行加密处理时,取报文的cvlan tag做hash lookup,出SCID,使用SCID作为索引index值去索引相应的Table,进而得到相应的加密信息去做加密处理。
[0016]在进一步的技术方案中,在对报文进行加密处理时,在报文的sectag中填装相应的PN值,并更新Table里维护的PN值。
[0017]在进一步的技术方案中,MAC模块包括n个DP子模块,n为大于等于2的整数,每个DP子模块包括m个channel,m为大于等于2的整数,所有DP子模块对外表现出来的channel均为0
‑
(m
‑
1),到了IPE再根据DP ID结合channel id将channel恢复成连续的0
‑
(m*n
‑
1)。
附图说明
[0018]图1是整体的架构TOPO示意图;
[0019]图2是本专利技术的报文不需要loop的处理流程图;
[0020]图本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种多DP交换芯片实现MACsec的方法,其特征在于,多DP交换芯片使用基于流的MACsec功能,并且流使能了linkagg功能,多DP交换芯片包括MAC模块、IPE模块、BSR模块和EPE模块,MAC模块包括至少两个DP子模块,每个DP子模块分为入和出两个方向,每个DP子模块之间互不感知,其中,所述方法包括:选择其中的一个DP子模块作为报文加密处理DP;以及当从入方向的DP子模块上接收到报文时,判断该报文是否为出口在所述报文加密处理DP上的报文,如果是,则报文经过加密处理后直接发送出去;如果否,则先将报文通过loop channel到达所述报文加密处理DP上进行加密处理,然后加密后的报文loop回IPE模块,并跳过IPE模块和EPE的相应处理流程,最后根据报文的真实出口信息从相应的出口发送出去。2.根据权利要求1所述的方法,其特征在于,通过IPE模块的LAG Engine进行hash计算获得报文的出口信息。3.根据权利要求2所述的方法,其特征在于,在对报文进行加密处理时,取报文的cvlan tag做hash lookup,出SCID,使用SCID作为索引index值去索引相应的Table,进而得到相应的加密信息去做加密处理。4.根据权利要求3所述的方法,其特征在于,在对报文进行加密处理时,在报文的sectag中填装相应的PN值,并更新Table里维护的PN值。5.根据权利要求1所述的方法,其特征在于,MAC模块包括n个DP子模块,n为大于等于2的整数,每个DP子模块包括m个channel,m为大于等于2的整数,所有DP子模块对外表现出来的channel均为0
‑
(m
‑
1),到了IPE再根据DP ID结合channel id将channel恢复成连续的0
‑
(m*n
‑
1)。6.一种多DP交换芯片实现MACse...
【专利技术属性】
技术研发人员:裴园,李占斌,
申请(专利权)人:昆高新芯微电子江苏有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。