本實(shí)用新型涉及網(wǎng)絡(luò)安全、網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其是一種基于ZYNQ的四路萬(wàn)兆以太網(wǎng)安全交換機(jī)，適用于大中型企業(yè)的交換網(wǎng)絡(luò)。

背景技術(shù)：

隨著互聯(lián)網(wǎng)的高速發(fā)展，傳統(tǒng)的以太網(wǎng)交換機(jī)在功能和性能上已不能滿足要求，而大容量、高性能、高安全等以太網(wǎng)交換機(jī)的需求日益增長(zhǎng)，以太網(wǎng)交換機(jī)朝著高速化方向發(fā)展。作為衡量網(wǎng)絡(luò)性能的重要標(biāo)準(zhǔn)之一，速率是以太網(wǎng)交換機(jī)等設(shè)備發(fā)展的重要方向。為滿足用戶快速增長(zhǎng)的需求，以太網(wǎng)速率從最初的百兆發(fā)展到千兆，再到萬(wàn)兆。

此外，交換機(jī)作為網(wǎng)絡(luò)中的核心設(shè)備之一，它的性能是保障企業(yè)網(wǎng)絡(luò)安全性、穩(wěn)定性和速度的主要設(shè)備。交換機(jī)對(duì)于大中型企業(yè)的網(wǎng)絡(luò)來(lái)說(shuō)更是必不可少的設(shè)備，它在網(wǎng)絡(luò)建設(shè)中具有非常重要的作用，可以增加網(wǎng)絡(luò)容量，提高網(wǎng)絡(luò)速度。而安全性作為衡量網(wǎng)絡(luò)性能的另一重要指標(biāo)，隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益突出，這也對(duì)大型交換設(shè)備的安全提出了更高的要求，丞待解決在大中型網(wǎng)絡(luò)交換中的流量和安全問(wèn)題。

技術(shù)實(shí)現(xiàn)要素：

本實(shí)用新型的目的是提供一種基于ZYNQ的四路萬(wàn)兆以太網(wǎng)安全交換機(jī)，該交換機(jī)解決了在大中型網(wǎng)絡(luò)中，如何保證大流量的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行高速、安全地交換問(wèn)題。

ZYNQ系列是賽靈思公司(Xilinx)推出的一個(gè)全可編程片上系統(tǒng)(All Programmable System-on-chip, 以下簡(jiǎn)稱All Programmable Soc)，它在單芯片內(nèi)部集成了基于ARM公司的雙核ARM Cotex-A9多核處理器的處理系統(tǒng)(Processing System，以下簡(jiǎn)稱PS)和基于Xilinx可編程邏輯資源的可編程邏輯(Programmable Logic，以下簡(jiǎn)稱PL)。

實(shí)現(xiàn)本實(shí)用新型目的的具體技術(shù)方案是：

一種基于ZYNQ的四路萬(wàn)兆以太網(wǎng)安全交換機(jī)，特定是它包括光口數(shù)據(jù)接收模塊、信息提取模塊、安全過(guò)濾模塊、路由交換模塊、光口數(shù)據(jù)發(fā)送模塊、安全策略配置模塊、交換信息配置模塊、時(shí)鐘模塊及電源模塊，所述光口數(shù)據(jù)接收模塊分別與信息提取模塊、時(shí)鐘模塊和電源模塊連接；信息提取模塊分別與安全過(guò)濾模塊、時(shí)鐘模塊以及電源模塊連接；安全過(guò)濾模塊分別與路由交換模塊、時(shí)鐘模塊以及電源模塊連接；路由交換模塊分別與光口數(shù)據(jù)發(fā)送模塊、時(shí)鐘模塊以及電源模塊連接；光口數(shù)據(jù)發(fā)送模塊分別與時(shí)鐘模塊以及電源模塊連接；安全策略配置模塊與安全過(guò)濾模塊連接；交換信息配置模塊與路由交換模塊連接；其中：

萬(wàn)兆以太網(wǎng)數(shù)據(jù)由光纖輸入光口數(shù)據(jù)接收模塊，將數(shù)據(jù)轉(zhuǎn)化成指定格式，并通過(guò)信息提取模塊對(duì)網(wǎng)絡(luò)數(shù)據(jù)關(guān)鍵信息進(jìn)行提取，通過(guò)安全策略配置模塊以及交換信息配置模塊所提供的信息，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行安全過(guò)濾和路由交換，最后通過(guò)光口輸出模塊將數(shù)據(jù)送至光口輸出；時(shí)鐘模塊為各模塊提供參考時(shí)鐘，電源模塊為各模塊供電。

所述光口數(shù)據(jù)接收模塊包括差分時(shí)鐘轉(zhuǎn)化模塊和差分?jǐn)?shù)據(jù)轉(zhuǎn)化模塊，差分時(shí)鐘轉(zhuǎn)化模塊連接差分?jǐn)?shù)據(jù)轉(zhuǎn)化模塊；光口數(shù)據(jù)接收模塊完成對(duì)光口輸入數(shù)據(jù)的接收，需要將輸入的差分?jǐn)?shù)據(jù)和差分時(shí)鐘轉(zhuǎn)換成64bit * 156.25MHz的數(shù)據(jù)格式。

所述信息提取模塊包括以太網(wǎng)頭部信息提取模塊和有效網(wǎng)絡(luò)數(shù)據(jù)提取模塊，以太網(wǎng)頭部信息提取模塊連接有效網(wǎng)絡(luò)數(shù)據(jù)提取模塊；信息提取模塊完成對(duì)接收網(wǎng)絡(luò)數(shù)據(jù)的解包，根據(jù)以太網(wǎng)協(xié)議對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行剖析，得到mac地址，ip地址，端口號(hào)，協(xié)議類型等關(guān)鍵信息，具體包括以太網(wǎng)幀MAC地址(6個(gè)字節(jié))、IP地址(4個(gè)字節(jié))、幀類型(2個(gè)字節(jié))、IP版本和首部長(zhǎng)度(1個(gè)字節(jié))、IP包總長(zhǎng)度(2個(gè)字節(jié))、IP首部檢驗(yàn)和(2個(gè)字節(jié))、TCP/UDP端口號(hào)(2個(gè)字節(jié))、TCP/UDP長(zhǎng)度(2個(gè)字節(jié))及特定IP序列。

所述安全過(guò)濾模塊包括配置信息接收存儲(chǔ)模塊和非法幀校驗(yàn)?zāi)K，配置信息接收存儲(chǔ)模塊連接非法幀校驗(yàn)?zāi)K；安全過(guò)濾模塊通過(guò)已經(jīng)獲得安全策略對(duì)經(jīng)由設(shè)備內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行安全過(guò)濾和管理。過(guò)濾規(guī)則包含：針對(duì)MAC幀首部的合法MAC或IP目的以及源地址過(guò)濾，針對(duì)IP數(shù)據(jù)包首部的合法協(xié)議類別，如ICMP、ARP和FTP等協(xié)議的過(guò)濾，針對(duì)TCP/UDP數(shù)據(jù)包首部的端口的過(guò)濾，以及針對(duì)數(shù)據(jù)段的特殊字符串的過(guò)濾。通過(guò)以上安全策略，對(duì)合法的設(shè)備以及數(shù)據(jù)進(jìn)行實(shí)時(shí)轉(zhuǎn)發(fā)，對(duì)非法的設(shè)備和數(shù)據(jù)直接丟棄。

所述路由交換模塊包括路由配置信息存儲(chǔ)模塊和仲裁輸出模塊，路由配置信息存儲(chǔ)模塊連接仲裁輸出模塊；路由交換模塊通過(guò)已經(jīng)獲得的交換路由信息，對(duì)前級(jí)轉(zhuǎn)發(fā)的合法數(shù)據(jù)進(jìn)行合并、交換、轉(zhuǎn)發(fā)等操作，主要采取輪詢的策略來(lái)完成多路的協(xié)商和仲裁。

所述光口數(shù)據(jù)發(fā)送模塊包括差分時(shí)鐘生成模塊和差分?jǐn)?shù)據(jù)生成模塊，差分時(shí)鐘生成模塊連接差分?jǐn)?shù)據(jù)生成模塊；光口數(shù)據(jù)發(fā)送模塊將前級(jí)轉(zhuǎn)發(fā)的萬(wàn)兆網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)化成符合光口規(guī)范的差分時(shí)鐘和差分?jǐn)?shù)據(jù)，最后通過(guò)光口輸出。

與現(xiàn)有技術(shù)相比，本實(shí)用新型的有益效果是：

(1)本實(shí)用新型使用ZYNQ內(nèi)部的PL純硬件電路處理網(wǎng)絡(luò)數(shù)據(jù)，利用其高速并發(fā)的特性來(lái)處理大流量的網(wǎng)絡(luò)數(shù)據(jù)，極大地降低網(wǎng)絡(luò)數(shù)據(jù)在本實(shí)用新型中的傳輸延時(shí)，保證了整個(gè)交換網(wǎng)絡(luò)的高速性和實(shí)時(shí)性。

(2)本實(shí)用新型可以通過(guò)ZYNQ的PS部分配置安全策略和路由交換信息，從而對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過(guò)濾，可以防止非法設(shè)備的接入以及非法數(shù)據(jù)的傳輸，保證了整個(gè)交換網(wǎng)絡(luò)的安全性。

(3)本實(shí)用新型采用ZYNQ作為硬件基礎(chǔ)架構(gòu)，PL部分處理網(wǎng)絡(luò)數(shù)據(jù)，PS部分處理安全策略和交換信息，兩者之間的互聯(lián)通過(guò)高速的AXI總線來(lái)通信，突破了傳統(tǒng)的FPGA+ARM的板級(jí)互聯(lián)限制，極大地加快了兩者之間的通信高效性以及安全性。此外，通過(guò)純硬件的方式來(lái)處理安全策略和交換信息，保證了本實(shí)用新型對(duì)于高層協(xié)議的“透明性”，即從高層是“不可攻破的”，保證了本實(shí)用新型自身的安全性。

附圖說(shuō)明

圖1為本實(shí)用新型結(jié)構(gòu)框圖；

圖2為本實(shí)用新型工作流程圖；

圖3為本實(shí)用新型配置流程圖。

具體實(shí)施方式

下面結(jié)合附圖對(duì)本實(shí)用新型作詳細(xì)描述。

參閱圖1，本實(shí)用新型包括：光口數(shù)據(jù)接收模塊1、信息提取模塊2、安全策略配置模塊6、交換信息配置模塊7、安全過(guò)濾模塊3、路由交換模塊4、光口數(shù)據(jù)發(fā)送模塊5、時(shí)鐘模塊8及電源模塊9。其中，黑色單向箭頭表示數(shù)據(jù)流處理流程，虛線箭頭(? - ? -)表示時(shí)鐘模塊8與其他模塊互聯(lián)關(guān)系，虛線箭頭(???)表示電源模塊9與其他各模塊互連關(guān)系。

光口數(shù)據(jù)接收模塊1分別與信息提取模塊2、時(shí)鐘模塊8和電源模塊9相連。

信息提取模塊2分別與安全過(guò)濾模塊3、時(shí)鐘模塊8以及電源模塊9相連。

安全過(guò)濾模塊3分別路由交換模塊4、時(shí)鐘模塊8以及電源模塊9相連。

路由交換模塊4分別于光口數(shù)據(jù)發(fā)送模塊5、時(shí)鐘模塊8以及電源模塊9相連。

光口數(shù)據(jù)輸出模塊5分別與時(shí)鐘模塊8以及電源模塊9相連。

安全策略配置模塊6與安全過(guò)濾模塊3相連。

交換信息配置模塊7與路由交換模塊4相連。

時(shí)鐘模塊8分別與光口數(shù)據(jù)接收模塊1、信息提取模塊2、安全過(guò)濾模塊3、路由交換模塊4和光口數(shù)據(jù)輸出模塊5相連，為各個(gè)模塊提供參考時(shí)鐘。

電源模塊9分別與光口數(shù)據(jù)接收模塊1、信息提取模塊2、安全過(guò)濾模塊3、路由交換模塊4和光口數(shù)據(jù)輸出模塊5相連，為各個(gè)模塊供電。

本實(shí)用新型的光口數(shù)據(jù)接收模塊1包括差分時(shí)鐘轉(zhuǎn)換模塊11和差分?jǐn)?shù)據(jù)轉(zhuǎn)換模塊12。網(wǎng)絡(luò)數(shù)據(jù)從光口進(jìn)入，通過(guò)本模塊將數(shù)據(jù)轉(zhuǎn)化為156.25MHz*64bit的網(wǎng)絡(luò)數(shù)據(jù)格式，該數(shù)據(jù)進(jìn)入ZYNQ的PL內(nèi)部模塊進(jìn)行后續(xù)處理。

本實(shí)用新型的信息提取模塊2包括以太網(wǎng)頭部信息提取模塊21和有效網(wǎng)絡(luò)數(shù)據(jù)提取模塊22。以太網(wǎng)頭部信息提取模塊21主要提取網(wǎng)絡(luò)數(shù)據(jù)的mac地址，ip地址，port以及網(wǎng)絡(luò)數(shù)據(jù)包長(zhǎng)度等信息；有效網(wǎng)絡(luò)數(shù)據(jù)提取模塊22主要提取網(wǎng)絡(luò)數(shù)據(jù)中的關(guān)鍵字符。

本實(shí)用新型的安全過(guò)濾模塊3包括配置信息接收存儲(chǔ)模塊31和非法幀校驗(yàn)?zāi)K32。配置信息接收存儲(chǔ)模塊31接收Z(yǔ)YNQ的PS端發(fā)送而來(lái)的安全策略信息，并存儲(chǔ)至本地；非法幀校驗(yàn)?zāi)K32依據(jù)存儲(chǔ)的安全策略以及前級(jí)提取的關(guān)鍵信息，逐一進(jìn)行合法性校驗(yàn)，校驗(yàn)通過(guò)的實(shí)時(shí)轉(zhuǎn)發(fā)，不通過(guò)的則丟棄。

本實(shí)用新型的路由交換模塊4包括路由配置信息存儲(chǔ)模塊41和仲裁輸出模塊42。路由配置信息存儲(chǔ)模塊41接收Z(yǔ)YNQ的PS端發(fā)送而來(lái)的交換路由信息，并存儲(chǔ)至本地；仲裁輸出模塊42依據(jù)存儲(chǔ)的路由交換信息，決定輸入的網(wǎng)絡(luò)數(shù)據(jù)從哪個(gè)輸出端口進(jìn)行輸出。

本實(shí)用新型的光口數(shù)據(jù)輸出模塊5包括差分時(shí)鐘生成模塊51和差分?jǐn)?shù)據(jù)生成模塊52。本模塊將內(nèi)部156.25MHz*64bit的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)化為符合光口協(xié)議的差分時(shí)鐘以及差分?jǐn)?shù)據(jù)，從光口輸出。

本實(shí)用新型的安全策略配置6由ZYNQ的PS端接收外部合法設(shè)備的安全策略配置信息，并轉(zhuǎn)發(fā)至ZYNQ的PL端。

本實(shí)用新型的交換信息配置7由ZYNQ的PS端接收外部合法設(shè)備的路由交換信息，并轉(zhuǎn)發(fā)至ZYNQ的PL端。

本實(shí)用新型的時(shí)鐘模塊8為其他各個(gè)模塊提供參考時(shí)鐘，電源模塊9為其他各模塊供電。

參閱圖2，本實(shí)用新型是這樣工作的：

上電之后，首先進(jìn)行安全策略配置和交換路由信息配置，配置完成之后，將外部設(shè)備連接至本實(shí)用新型的各個(gè)端口。光口接收模塊從光口接收數(shù)據(jù)，并將其轉(zhuǎn)化為156.25MHz*64bit格式的數(shù)據(jù)方便ZYNQ內(nèi)部處理。信息提取模塊接收前級(jí)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)數(shù)據(jù)并提取關(guān)鍵信息，安全過(guò)濾模塊結(jié)合配置的安全策略對(duì)接收的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢查，校驗(yàn)通過(guò)則轉(zhuǎn)發(fā)，否則丟棄。校驗(yàn)通過(guò)的合法數(shù)據(jù)進(jìn)入路由交換模塊，結(jié)合配置的交換路由信息，決定網(wǎng)絡(luò)數(shù)據(jù)從哪個(gè)端口輸出，通過(guò)光口數(shù)據(jù)輸出模塊將156.25MHz*64bit格式的數(shù)據(jù)轉(zhuǎn)化為符合光口標(biāo)準(zhǔn)的差分時(shí)鐘和差分?jǐn)?shù)據(jù)進(jìn)行指定端口的輸出。

參閱圖3、圖1，為本實(shí)用新型的配置流程圖。上電之后，電壓電流正常，外部合法設(shè)備連接至PS端的配置網(wǎng)口，并進(jìn)行安全策略配置和交換路由信息配置。PS端接收并存儲(chǔ)配置的安全策略和交換路由信息，并通過(guò)內(nèi)部AXI總線將配置信息轉(zhuǎn)發(fā)至PL端。配置完成。

總結(jié)

以上是生活随笔為你收集整理的基于zynq的千兆网udp项目_一种基于ZYNQ的四路万兆以太网安全交换机的制作方法...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。