用于以太網(wǎng)網(wǎng)絡(luò)的具有安全檢測的智能phy的制作方法
【專利摘要】一種物理層設(shè)備包括存儲器�、存儲器控制模塊�����、以及物理層模塊��。該存儲器控制模塊被配置為控制對該存儲器的訪問��。該物理層模塊被配置為經(jīng)由該存儲器控制模塊將分組存儲在該存儲器中�����。該物理層模塊包括被配置為經(jīng)由網(wǎng)絡(luò)從網(wǎng)絡(luò)設(shè)備接收這些分組的接口以及接口總線���。該接口總線包括控制模塊和正則表達(dá)式模塊中的至少一個模塊����。該控制模塊和該正則表達(dá)式模塊中的該至少一個模塊被配置為�����,檢查這些分組以確定這些分組的安全級別���。網(wǎng)絡(luò)接口被配置為����,基于該安全級別向與該物理層設(shè)備分離的設(shè)備提供這些分組�����。
【專利說明】用于以太網(wǎng)網(wǎng)絡(luò)的具有安全檢測的智能PHY
[0001]相關(guān)申請的交叉引用
[0002]本申請要求對2012年8月10日提交的美國非臨時申請N0.13 / 571���,870的優(yōu)先權(quán)����,并且也要求2011年8月10日提交的美國臨時申請N0.61 / 522,158�、2011年9月12日提交的美國臨時申請N0.61 / 533,436����、以及2011年10月21日提交的美國臨時申請N0.61 / 550,315的權(quán)益���。上述中請的公開內(nèi)容以它們的整體通過引用并入本文����。
【技術(shù)領(lǐng)域】
[0003]本公開內(nèi)容涉及網(wǎng)絡(luò)設(shè)備內(nèi)的安全檢測系統(tǒng)�����。
【背景技術(shù)】
[0004]本文所提供的【背景技術(shù)】描述是為了一般性地呈現(xiàn)公開內(nèi)容的背景的目的��。當(dāng)前名義的發(fā)明人的工作����,到這一【背景技術(shù)】章節(jié)中描述該工作的程度上��,以及該描述的可能在提交時以其他方式不夠資格作為現(xiàn)有技術(shù)的方面,既不明確地也不隱含地承認(rèn)為相對于本公開內(nèi)容的現(xiàn)有技術(shù)���。
[0005]接入網(wǎng)絡(luò)提供兩個或者更多網(wǎng)絡(luò)設(shè)備之間和/或網(wǎng)絡(luò)設(shè)備與因特網(wǎng)之間的連接���。這些網(wǎng)絡(luò)設(shè)備可以包括例如用戶設(shè)備、外圍設(shè)備��、以及數(shù)據(jù)存儲設(shè)備����。這些設(shè)備可以位于一個或多個網(wǎng)絡(luò)中。在這些設(shè)備之間和/或在這些設(shè)備與因特網(wǎng)之間對上行鏈路和/或下行鏈路信號建立這些連接���。
[0006]作為示例�,基于以太網(wǎng)的接入網(wǎng)絡(luò)可以包括接入機(jī)架����。接入機(jī)架提供網(wǎng)絡(luò)設(shè)備之間和/或這些網(wǎng)絡(luò)設(shè)備與因特網(wǎng)之間的連接。接入機(jī)架可以包括例如結(jié)構(gòu)卡(例如��,2個結(jié)構(gòu)卡)和線路卡(例如���,16個線路卡)���。這些結(jié)構(gòu)卡中的每個結(jié)構(gòu)卡能夠連接到這些線路卡中的每個線路卡����。這些線路卡經(jīng)由以太網(wǎng)網(wǎng)絡(luò)連接到這些網(wǎng)絡(luò)設(shè)備��。這些線路卡中的一個或多個線路卡的預(yù)定端口或者上行鏈路端口可以連接到因特網(wǎng)���。這些結(jié)構(gòu)卡提供這些線路卡之間的連接���。這些線路卡提供這些網(wǎng)絡(luò)設(shè)備與這些結(jié)構(gòu)卡之間和/或這些結(jié)構(gòu)卡與因特網(wǎng)之間的連接。
[0007]這些結(jié)構(gòu)卡中的每個結(jié)構(gòu)卡通常包括聚合交換機(jī)和中央控制模塊�。聚合交換機(jī)在線路卡之間提供連接,用以例如從a)連接到第一線路卡的第一用戶設(shè)備向b)連接到第二線路卡的第二用戶設(shè)備或者因特網(wǎng)路由信號���。中央控制模塊控制這些連接的狀態(tài)和這些線路卡之間的分組傳送����。這些線路卡中的每個線路卡通常包括接入交換機(jī)和多個PHY設(shè)備(例如�,6個PHY設(shè)備)。這些PHY設(shè)備中的每個PHY設(shè)備包括一個或多個PHY模塊��。接入交換機(jī)提供位于結(jié)構(gòu)卡上的聚合交換機(jī)與這些PHY模塊之間的連接。
【發(fā)明內(nèi)容】
[0008]一種物理層設(shè)備被提供并且包括存儲器��、存儲器控制模塊�����、以及物理層模塊��。該存儲器控制模塊被配置為控制對該存儲器的訪問���。該物理層模塊被配置為經(jīng)由該存儲器控制模塊將分組存儲在該存儲器中。該物理層模塊包括被配置為經(jīng)由網(wǎng)絡(luò)從網(wǎng)絡(luò)設(shè)備接收這些分組的接口以及接口總線����。該接口總線包括控制模塊和正則表達(dá)式模塊中的至少一個模塊。該控制模塊和該正則表達(dá)式模塊中的該至少一個模塊被配置為�,檢查這些分組以確定這些分組的安全級別。網(wǎng)絡(luò)接口被配置為�����,基于該安全級別向與該物理層設(shè)備分離的設(shè)備提供這些分組�����。
[0009]在其他特征中,一種方法被提供并且包括在物理層模塊的接口處經(jīng)由網(wǎng)絡(luò)從網(wǎng)絡(luò)設(shè)備接收分組���。從物理層設(shè)備向存儲器控制模塊傳送這些分組以將這些分組存儲在存儲器中�����。該物理層設(shè)備包括該物理層模塊���。該物理層模塊包括接口總線。經(jīng)由控制模塊和正則表達(dá)式模塊中的至少一個模塊來檢查這些分組��,以確定這些分組的安全級別��。該接口總線包括該控制模塊和該正則表達(dá)式模塊中的該至少一個模塊�。基于該安全級別����,經(jīng)由物理層接口向與該物理層設(shè)備分離的設(shè)備提供這些分組。
[0010]在其他特征中����,一種物理層設(shè)備也被提供并且包括存儲器接口、存儲器控制模塊�����、物理層模塊、以及第二網(wǎng)絡(luò)接口���。該存儲器接口連接到該存儲器�。該存儲器控制模塊被配置為控制對該存儲器的訪問�。該物理層模塊被配置為���,在第一網(wǎng)絡(luò)接口處經(jīng)由網(wǎng)絡(luò)從網(wǎng)絡(luò)設(shè)備接收分組��,并且經(jīng)由該存儲器控制模塊將這些分組存儲在該存儲器中��。該物理層模塊與該存儲器分離�。該第二網(wǎng)絡(luò)接口被配置為����,向與該物理層設(shè)備和該存儲器分離的設(shè)備提供這些分組。
[0011]根據(jù)詳細(xì)描述��、權(quán)利要求和附圖�,本公開內(nèi)容的進(jìn)一步適用性領(lǐng)域?qū)⒆兊们宄T敿?xì)描述和具體示例意圖為僅用于舉例說明的目的并且不意圖為限制本公開內(nèi)容的范圍�。
【專利附圖】
【附圖說明】
[0012]從詳細(xì)描述和附圖�,本公開內(nèi)容將變得更完全地被理解�����,在這些附圖中:
[0013]圖1是根據(jù)本公開內(nèi)容的并入接入機(jī)架的接入網(wǎng)絡(luò)的功能框圖��;
[0014]圖2是圖1的接入機(jī)架的一部分的功能框圖�;
[0015]圖3是根據(jù)本公開內(nèi)容的并入PHY設(shè)備的另一接入網(wǎng)絡(luò)的功能框圖;
[0016]圖4是根據(jù)本公開內(nèi)容的PHY設(shè)備的功能框圖���;
[0017]圖5是根據(jù)本公開內(nèi)容的提供多級別安全檢測的PHY模塊的入口部分的功能框圖�;
[0018]圖6是根據(jù)本公開內(nèi)容的網(wǎng)絡(luò)接口的功能框圖�����;以及
[0019]圖7圖示了根據(jù)本公開內(nèi)容的包括安全檢測方法的網(wǎng)絡(luò)接入方法���。
【具體實施方式】
[0020]接入網(wǎng)絡(luò)可以包括具有結(jié)構(gòu)卡和線路卡的接入機(jī)架�����。這些結(jié)構(gòu)卡可以每個都包括聚合交換機(jī)和中央控制模塊����。這些線路卡可以每個都包括接入交換機(jī)和多個PHY設(shè)備。因為結(jié)構(gòu)卡中的每個結(jié)構(gòu)卡包括中央控制模塊和聚合交換機(jī)并且線路卡中的每個線路卡包括接入交換機(jī)�����,所以與接入機(jī)架相關(guān)聯(lián)的控制平面是復(fù)雜的�。這些線路卡由于包括和操作接入交換機(jī)而可以被稱為高成本和/或高功率卡。接入機(jī)架可能升級受限制���,因為需要更換線路卡中的每個線路卡以便于執(zhí)行控制特定升級(例如��,為了改變?nèi)绾翁峁┙粨Q機(jī)連接的升級)���。
[0021]在下列示例中�����,提供了多個接入網(wǎng)絡(luò)��。第一接入網(wǎng)絡(luò)在圖1-2中被公開并且包括不包括接入交換機(jī)的線路卡�。經(jīng)由結(jié)構(gòu)卡來提供這些線路卡之間、網(wǎng)絡(luò)設(shè)備之間�����、以及這些網(wǎng)絡(luò)設(shè)備與因特網(wǎng)之間的切換。作為結(jié)果��,這些線路卡可以被稱為低成本和/或低功率線路卡����。這些線路卡包括可以被配置為執(zhí)行深度分組檢查(DPI)的PHY模塊。DPI包括檢查分組以確定分組是否為有效分組或者無效分組�。當(dāng)分組具有不正確格式、包含與攻擊和/或病毒相關(guān)聯(lián)的模式����、具有不恰當(dāng)?shù)?多個)值、包括垃圾信息���、引入安全威脅和/或不滿足預(yù)定義準(zhǔn)則時��,該分組可能是無效分組��。DPI可以包括檢查一個或多個分組的頭部和/或有效載荷����。這些頭部可以包括例如網(wǎng)際協(xié)議(IP)頭部����、傳輸控制協(xié)議(TCP)��、用戶數(shù)據(jù)報協(xié)議(UDP)�、和/或其他頭部��。
[0022]因為這些線路卡不包括接入交換機(jī)并且這些結(jié)構(gòu)卡控制用于這些線路卡��、網(wǎng)絡(luò)設(shè)備����、以及因特網(wǎng)的接入、聚合和切換功能�,所以該接入網(wǎng)絡(luò)機(jī)架可容易升級。在升級期間����,可以更改和/或更換控制邏輯�、軟件、和/或硬件���?����?梢酝ㄟ^簡單地更換結(jié)構(gòu)卡而不是線路卡中的一個或多個來升級該接入網(wǎng)絡(luò)����。此外,減少了與接入網(wǎng)絡(luò)相關(guān)聯(lián)的控制平面的復(fù)雜度��,因為如與在多個線路卡和結(jié)構(gòu)卡中執(zhí)行對照地�,在一個或多個集中位置中執(zhí)行連接切換。下文描述了圖1-2的接入網(wǎng)絡(luò)以及其他示例接入網(wǎng)絡(luò)和關(guān)聯(lián)特征��。
[0023]在圖1中�,示出了接入網(wǎng)絡(luò)10。作為示例���,接入網(wǎng)絡(luò)10可以是應(yīng)用感知網(wǎng)絡(luò)����。應(yīng)用感知網(wǎng)絡(luò)是與應(yīng)用和服務(wù)直接協(xié)作以最大化網(wǎng)絡(luò)對應(yīng)用特定要求的響應(yīng)性的網(wǎng)絡(luò)���。應(yīng)用感知網(wǎng)絡(luò)中的模塊可以運(yùn)送對象��,這些對象包括將在網(wǎng)絡(luò)中的不同點(diǎn)處被調(diào)用的方法��。根據(jù)這些方法來執(zhí)行對交換機(jī)和處理設(shè)備的應(yīng)用特定編程���。這些模塊執(zhí)行定制的計算和資源管理以滿足應(yīng)用特定要求���。應(yīng)用感知網(wǎng)絡(luò)可以被用來管理專有網(wǎng)絡(luò)和/或局域網(wǎng)(LAN)的安全。
[0024]接入網(wǎng)絡(luò)10可以包括接入機(jī)架12����、網(wǎng)絡(luò)14、因特網(wǎng)16��、以及網(wǎng)絡(luò)設(shè)備18 (示出了P個網(wǎng)絡(luò)設(shè)備)�。接入機(jī)架12經(jīng)由網(wǎng)絡(luò)14連接到這些網(wǎng)絡(luò)設(shè)備18。網(wǎng)絡(luò)14可以是例如以太網(wǎng)網(wǎng)絡(luò)�。接入機(jī)架12在這些網(wǎng)絡(luò)設(shè)備18之間和/或在這些網(wǎng)絡(luò)設(shè)備18與因特網(wǎng)16之間路由信號。這些網(wǎng)絡(luò)設(shè)備18可以包括用戶設(shè)備��、外圍設(shè)備���、和/或數(shù)據(jù)存儲設(shè)備���。這些用戶設(shè)備可以包括計算機(jī)�����、蜂窩電話、機(jī)頂盒�����、電視等�����。
[0025]接入機(jī)架12包括一個或多個結(jié)構(gòu)卡20 (示出了 2個)和一個或多個線路卡22 (示出了 η個)�。這些線路卡22包括PHY設(shè)備24。在圖4中示出了 PHY設(shè)備的示例�。在所示出的示例中,線路卡22中的每個線路卡包括m個PHY設(shè)備�����。作為示例���,接入機(jī)架12可以包括48個線路卡���,其中這些線路卡中的每個線路卡包括一個或多個PHY設(shè)備(例如,6個PHY設(shè)備)�����。結(jié)構(gòu)卡20中的每個結(jié)構(gòu)卡包括聚合交換機(jī)26,聚合交換機(jī)26提供這些線路卡22之間��、在相同線路卡上的這些PHY設(shè)備24之間�����、和/或在線路卡22中的不同線路卡上的PHY設(shè)備之間的連接����。
[0026]現(xiàn)在也參考圖2,示出了接入機(jī)架12的一部分30��。部分30包括結(jié)構(gòu)卡20之一(指定為32)和線路卡22之一(指定為34)�����。結(jié)構(gòu)卡20中的每個結(jié)構(gòu)卡可以包括中央控制模塊36�����、聚合交換機(jī)(在圖2中指定為38)�����、以及存儲器設(shè)備40���。在一個實施方式中����,在聚合交換機(jī)38中不包括中央控制模塊36����。聚合交換機(jī)38在線路卡22上的PHY設(shè)備24之間切換并且提供集中式切換。中央控制I旲塊36可以控制聚合交換機(jī)38中的交換機(jī)42中的狀態(tài)����。
[0027]存儲器設(shè)備40可以每個都包括例如雙倍數(shù)據(jù)速率類型3 (DDR3)同步隨機(jī)存取存儲器(SRAM)和/或其他適當(dāng)存儲器,諸如動態(tài)隨機(jī)存取存儲器(DRAM)���。線路卡22中的每個線路卡包括PHY設(shè)備24中的相應(yīng)PHY設(shè)備(在圖22中第一線路卡34的示例PHY設(shè)備被指定為44)并且不包括接入交換機(jī)���。接入交換機(jī)指代位于線路卡上并且被配置為提供該線路卡與接入機(jī)架的結(jié)構(gòu)卡之間的連接的交換機(jī)。
[0028]PHY設(shè)備44使得集中式切換成為可能�����。切換不在PHY設(shè)備44處被執(zhí)行�����,而是在結(jié)構(gòu)卡20處被執(zhí)行。PHY設(shè)備44向結(jié)構(gòu)卡44轉(zhuǎn)發(fā)所接收的分組�����,以然后向所預(yù)期的或者原始選擇的目的地轉(zhuǎn)發(fā)�。PHY設(shè)備44中的每個PHY設(shè)備可以執(zhí)行DPI。這在接入網(wǎng)絡(luò)30的邊緣處提供了 DPI����。接入網(wǎng)絡(luò)的邊緣可以指代接入機(jī)架32與網(wǎng)絡(luò)14之間的邊界和/或接入機(jī)架32與網(wǎng)絡(luò)設(shè)備18之間的邊界。DPI可以包括���,當(dāng)PHY設(shè)備44之一的PHY模塊不能確定分組是否為有效分組或者無效分組時�,向中央控制模塊36發(fā)送分組����。作為示例,可以經(jīng)由聚合交換機(jī)38從PHY模塊向中央控制模塊36轉(zhuǎn)發(fā)分組用于檢查����。中央控制模塊36可以檢查該分組以確定該分組的有效性,并且然后基于該檢查的結(jié)果來指令PHY模塊丟棄(即刪除和/或防止與該分組類似的分組的進(jìn)一步傳輸)或者轉(zhuǎn)發(fā)與第一分組類似的分組��?���?梢詠G棄無效分組���,而可以轉(zhuǎn)發(fā)有效分組���。類似的分組可以指代具有相同格式�、源地址����、目的地地址、和/或其他分組參數(shù)和/或字段的分組�����。
[0029]PHY模塊可以檢查入口分組���、朝向聚合交換機(jī)38轉(zhuǎn)發(fā)這些入口分組����、向中央控制模塊36用隧道傳輸這些入口分組���、和/或丟棄這些入口分組中的無效或者不安全的入口分組�。在分組檢查期間,PHY設(shè)備44的PHY硬件將入口分組標(biāo)識為:有效分組���;將對其執(zhí)行進(jìn)一步的本地化檢查的分組�����;將對其執(zhí)行集中式檢查的分組����;或者無效分組�����。本地化檢查指代在PHY設(shè)備44內(nèi)和/或由在PHY設(shè)備44內(nèi)的模塊所執(zhí)行的檢查����。集中式檢查指代在PHY設(shè)備44外部并且在例如中央控制模塊36中所執(zhí)行的檢查。有效分組可以指代快速(在預(yù)定時段內(nèi))和/或清楚地被確定為是安全和正確的(不具有一個或多個錯誤)和/或具有恰當(dāng)格式����、簽名、和/或模式的分組���。作為示例�����,從特定本地源所接收的分組可以基于所接收的源的地址而被確定為有效�。
[0030]對其將執(zhí)行進(jìn)一步集中式檢查的分組可以指代如下的分組,該分組已經(jīng)被PHY硬件和/或關(guān)聯(lián)PHY設(shè)備的模塊檢查�,但是沒有快速和/或清楚地被確定為是有效分組。這樣的分組可能具有一個或多個錯誤����、未知格式�����,包括可疑內(nèi)容��,或者來自在本地網(wǎng)絡(luò)以外的遠(yuǎn)程源����。由于這一原因,該分組可以由中央控制模塊36進(jìn)一步檢查�。
[0031]隧道分組指代如下的分組:該分組對PHY設(shè)備和/或PHY設(shè)備的模塊是不可識別的;可能已經(jīng)被PHY設(shè)備和/或PHY設(shè)備的模塊檢查����;和/或PHY設(shè)備和/或PHY設(shè)備的模塊不能確定該分組是否為有效分組或者無效分組���。隧道分組可能沒有被PHY設(shè)備和/或PHY設(shè)備的模塊檢查并且可以簡單地被轉(zhuǎn)發(fā)給中央控制模塊36。無效分組是通過檢查而被確定為無效的分組��。無效分組可能具有不恰當(dāng)格式�、簽名、模式�����、和/或值��。如果分組由PHY設(shè)備和/或PHY設(shè)備的模塊確定為無效����,則該分組可以被丟棄、被刪除�、被防止轉(zhuǎn)發(fā)給接入機(jī)架中的設(shè)備或模塊,和/或可以不被轉(zhuǎn)發(fā)給結(jié)構(gòu)卡20之一���。隧道分組和將對其執(zhí)行進(jìn)一步本地化檢查的分組可以被稱為可疑分組����。
[0032]PHY設(shè)備24、44中的每個PHY設(shè)備可以包括通向結(jié)構(gòu)卡20中的每個結(jié)構(gòu)卡的通信鏈路�。在圖2中,F(xiàn)Cl指代結(jié)構(gòu)卡lt) FC2指代結(jié)構(gòu)卡2��。通信鏈路FC1����、FC2中的每個通信鏈路的下標(biāo)指代PHY設(shè)備44之一。例如�,F(xiàn)Cl指代結(jié)構(gòu)卡I與PHY設(shè)備I之間的通信鏈路。提供了兩個通信鏈路用于負(fù)載平衡和/或接口冗余性��。負(fù)載平衡可以包括在相同時間段期間通過兩個或者更多鏈路傳送相等數(shù)量的數(shù)據(jù)��。接口冗余性可以指代包括兩個或者更多接口(或者通信鏈路)��,其中假如接口被禁用或者不可用�,則提供這些接口中的一個或多個接口作為備份����。
[0033]存儲器設(shè)備40可以被用來存儲指令、代碼�����、規(guī)則、表格�、和/或分組數(shù)據(jù)。這些指令�����、代碼���、規(guī)則�、和/或表格可以由中央控制模塊36�����、聚合交換機(jī)38��、和/或PHY設(shè)備44在執(zhí)行DPI時和/或在控制交換機(jī)42的狀態(tài)時使用��。存儲器設(shè)備40可以被用來存儲:正在被檢查的分組�����;將被檢查的所選分組的副本���;和/或?qū)⒈晦D(zhuǎn)發(fā)�����、上行鏈路傳輸和/或下行鏈路傳輸?shù)姆纸M����。當(dāng)分組從網(wǎng)絡(luò)設(shè)備18之一經(jīng)由接入機(jī)架12被轉(zhuǎn)發(fā)給因特網(wǎng)16時,該分組被上行鏈路傳輸����。當(dāng)分組從因特網(wǎng)16經(jīng)由接入機(jī)架12被轉(zhuǎn)發(fā)給網(wǎng)絡(luò)設(shè)備18之一時,該分組被下行鏈路傳輸�����。
[0034]在圖3中��,示出了另一接入網(wǎng)絡(luò)50��。作為示例����,接入網(wǎng)絡(luò)50可以是應(yīng)用感知網(wǎng)絡(luò)并且包括一個或多個接入機(jī)架52 (示出了 m個)��、網(wǎng)絡(luò)14�����、因特網(wǎng)16、以及網(wǎng)絡(luò)設(shè)備18�。接入機(jī)架52可以包括路由器、交換機(jī)��、計算機(jī)���、服務(wù)器�����、或者其他適當(dāng)接入設(shè)備���。接入機(jī)架52中的每個接入機(jī)架包括線路卡54。線路卡54中的每個線路卡包括一個或多個PHY設(shè)備56��。在圖4中示出了 PHY設(shè)備的示例�����。PHY設(shè)備56中的每個PHY設(shè)備包括一個或多個PHY模塊���。在圖4中示出了示例PHY模塊�����。PHY設(shè)備56經(jīng)由網(wǎng)絡(luò)14與網(wǎng)絡(luò)設(shè)備18通信����。
[0035]接入機(jī)架52可以提供相互之間、相同接入機(jī)架的PHY設(shè)備之間�����、不同接入機(jī)架的PHY設(shè)備之間���、和/或這些PHY設(shè)備與因特網(wǎng)16之間的連接�。在這樣做時���,接入機(jī)架52可以提供這些網(wǎng)絡(luò)設(shè)備18之間和/或這些網(wǎng)絡(luò)設(shè)備18與因特網(wǎng)16之間的連接���。
[0036]接入網(wǎng)絡(luò)50還可以包括中央網(wǎng)絡(luò)設(shè)備60。中央網(wǎng)絡(luò)設(shè)備60可以被用來控制接入機(jī)架52�、執(zhí)行DP1、和/或檢查接入機(jī)架52不可辨認(rèn)的分組(被稱為隧道分組)��。隧道分組可以是不能被接入機(jī)架�����、PHY設(shè)備��、和/或PHY設(shè)備的模塊確定為有效或者無效的分組����。
[0037]中央網(wǎng)絡(luò)設(shè)備60可以位于遠(yuǎn)離接入機(jī)架52的網(wǎng)絡(luò)中和/或可以位于接入機(jī)架52的本地網(wǎng)絡(luò)中。中央網(wǎng)絡(luò)設(shè)備60可以設(shè)置于接入機(jī)架52中的一個或多個接入機(jī)架內(nèi)��。中央網(wǎng)絡(luò)設(shè)備60和/或接入機(jī)架52中的一個或多個接入機(jī)架可以共同地是向這些網(wǎng)絡(luò)設(shè)備18提供一個或多個服務(wù)的服務(wù)提供者��。
[0038]圖1-3的PHY設(shè)備24��、44���、56和PHY設(shè)備24���、44、56的模塊可以位于和/或連接于例如a)網(wǎng)絡(luò)14或者因特網(wǎng)16與b)線路卡22�、34和接入機(jī)架52中的MAC設(shè)備和/或其他更高層設(shè)備之間。PHY設(shè)備24�����、44、56可以指代線路卡22��、34和接入機(jī)架52的物理層中的設(shè)備����。
[0039]也參考圖4,示出了 PHY設(shè)備100�����。PHY設(shè)備100可以被使用:來提供網(wǎng)絡(luò)之間的安全防火墻�;用于零日攻擊防止;在接入企業(yè)網(wǎng)絡(luò)中�����;等等�����。PHY設(shè)備100可以被稱為PHY封裝中的防火墻���。PHY設(shè)備100可以在功能上提供跨越多個國際標(biāo)準(zhǔn)化組織(ISO)和/或開放系統(tǒng)互連(OSI)層而不是僅跨越PHY層操作的防火墻�。跨越PHY層和比PHY層更高的層(例如�,MAC層)來提供防火墻功能。零日攻擊是利用計算機(jī)應(yīng)用中的先前未知漏洞的攻擊�����。零日攻擊在感知漏洞“當(dāng)天(day zero)”出現(xiàn)�����。這意味著只有零天來解決和修補(bǔ)漏洞�����。零日攻擊利用使用安全漏洞的軟件來執(zhí)行攻擊�����。零日攻擊防止指代對零日攻擊的防止��。這可以包括防止無效分組(諸如與病毒或者蠕蟲相關(guān)聯(lián)的分組)擴(kuò)散(即在網(wǎng)絡(luò)中進(jìn)一步被傳遞下去)�����。這包括在檢測到攻擊時丟棄(或者刪除)這些無效分組���?���?梢杂蒔HY設(shè)備100和/或PHY設(shè)備100的設(shè)備和/或模塊之一來執(zhí)行對這些分組的這一檢測和丟棄���。
[0040]在接入企業(yè)網(wǎng)絡(luò)中��,PHY設(shè)備100和/或PHY設(shè)備100的一個或多個設(shè)備和/或模塊可以被用來:防止網(wǎng)絡(luò)設(shè)備接入因特網(wǎng)16 ;和/或提供對因特網(wǎng)16的受限接入���。下文描述了 PHY設(shè)備100的示例設(shè)備和模塊。
[0041 ] PHY設(shè)備100包括PHY模塊102 (可以被稱為PHY信道)����、存儲器控制模塊104、PHY存儲器106���、以及網(wǎng)絡(luò)接口 108(可以被稱為結(jié)構(gòu)接口)�。PHY設(shè)備100經(jīng)由這些PHY模塊102與網(wǎng)絡(luò)14通信���,并且經(jīng)由網(wǎng)絡(luò)接口 108與例如聚合交換機(jī)(例如���,聚合交換機(jī)38)或者中央網(wǎng)絡(luò)設(shè)備(例如,中央網(wǎng)絡(luò)設(shè)備60)通信。在圖4中���,聚合交換機(jī)和中央網(wǎng)絡(luò)設(shè)備被示出為接入設(shè)備112���。聚合交換機(jī)可以提供切換,用以在這些PHY模塊102之間和/或在不同PHY設(shè)備的PHY模塊之間路由分組��。
[0042]PHY模塊102中的每個PHY模塊可以包括取決于介質(zhì)的接口(MID) 114 (或者第一網(wǎng)絡(luò)接口)�����、入口模塊116��、接口總線118����、以及出口模塊120��。MDI14例如經(jīng)由網(wǎng)絡(luò)14從一個或多個網(wǎng)絡(luò)設(shè)備接收分組并且向入口模塊116轉(zhuǎn)發(fā)這些分組�����。MDI114還經(jīng)由網(wǎng)絡(luò)14從出口模塊120接收分組并且例如向這些網(wǎng)絡(luò)設(shè)備傳輸這些分組�����。在一個實施方式中,MDI114中的每個MDI連接到雙絞線����。在所示出的實施方式中,PHY設(shè)備100包括8個MDI或者(多個)其他適當(dāng)接口��。
[0043]PHY模塊102中的每個PHY模塊的除了接口總線118之外的入口模塊116���、出口模塊120和/或其他模塊和/或設(shè)備可以共同地被稱為PHY硬件��。入口模塊116可以包括入口正則表達(dá)式(RegEx)模塊116-1�、入口解析模塊116-2�����、第一接收模塊116-3�、接收先入先出(FIFO)模塊116-4、以及第一傳輸模塊116-5���。PHY模塊102可以不包括入口模塊116中的一個或多個入口模塊�。入口 RegEx模塊116-1在被包括時執(zhí)行RegEx過程以審查分組�。RegEx過程包括將字符��、字詞����、簽名或者數(shù)據(jù)模式與預(yù)定字符��、字詞���、簽名和數(shù)據(jù)模式相比較��。可以作為DPI過程的一部分來執(zhí)行RegEx過程����。可以執(zhí)行入口 RegEx過程以快速標(biāo)識有效或者無效的分組���。
[0044]入口解析模塊116-2可以拋棄無效分組并且可以向接口總線118和第一接收模塊116-3轉(zhuǎn)發(fā)無效分組和/或這些無效分組的頭部�����。第一接收模塊116-3可以是直接存儲器訪問(DMA)設(shè)備���,并且把從入口解析模塊116-2和/或接口總線118所接收的分組�、這些分組的部分����、分組描述符和/或分組信息復(fù)制和/或存儲在PHY存儲器106中和/或接口總線118的總線存儲器130中。接口總線118的總線控制模塊132可以控制總線存儲器130中的數(shù)據(jù)存儲�。可以經(jīng)由存儲器控制模塊104來執(zhí)行PHY存儲器106中的存儲�����。這些分組的這些部分可以包括這些分組的一個或多個頭部和/或有效載荷�����。分組信息可以包括在這些頭部內(nèi)所包括的信息和/或其他信息��,諸如該分組的檢查級別�、源地址、目的地地址�、源ID、目的地ID�、協(xié)議ID、該分組的長度等�����。檢查級別可以指示該分組是否為:有效分組;將由總線控制模塊132和/或總線正則表達(dá)式模塊134執(zhí)行附加檢查的分組�;將向中央控制模塊(例如,中央控制模塊62)用隧道傳輸?shù)姆纸M�����;或者將被丟棄的無效分組�。
[0045]入口解析模塊116-2還可以向接口總線118和/或總線控制模塊132指示分組是否應(yīng)當(dāng)由接口總線118和/或總線控制模塊132檢查。第一接收模塊116-3可以基于來自接口總線118的指令����,a)將分組存儲在PHY存儲器106中和/或?qū)⒎纸M復(fù)制到PHY存儲器106,和/或b)將分組轉(zhuǎn)發(fā)給接收FIFO模塊116-4��。
[0046]接收FIFO模塊116-4在被包括時存儲將被轉(zhuǎn)發(fā)給網(wǎng)絡(luò)接口 108(或者第二網(wǎng)絡(luò)接口)的分組����?����?偩€存儲器130和/或PHY存儲器106中所存儲的分組��、分組描述符����、和/或分組信息可以被存儲在接收FIFO模塊116-4中用于由接口總線118的總線控制模塊132和/或總線RegEx模塊134檢查�?��?偩€控制模塊132和/或總線RegEx模塊134可以個別地或者共同地被稱為本地控制模塊�����,并且可以執(zhí)行分組本地化檢查�����。
[0047]第一傳輸模塊116-5也可以是DMA設(shè)備����,并且可以向網(wǎng)絡(luò)接口 108傳輸從接收FIFO模塊116-4��、PHY存儲器106��、和/或接口總線118所接收的分組����。第一傳輸模塊116-5可以基于從接口總線118和/或接口總線118的模塊所接收的指令,a)訪問PHY存儲器106中所存儲的分組����,和/或b)向網(wǎng)絡(luò)接口 108轉(zhuǎn)發(fā)分組�����。第一傳輸模塊116-5可以向網(wǎng)絡(luò)接口 108��、接入設(shè)備112指示分組是否應(yīng)當(dāng)由聚合交換機(jī)和/或中央控制模塊檢查��。
[0048]接口總線118可以是高級可擴(kuò)展接口(AXI)并且/或者具有高級微控制器總線架構(gòu)(AMBA)并且使用AMBA協(xié)議��。接口總線118可以包括總線存儲器130����、總線控制模塊132��、以及總線RegEx模塊134�����?��?偩€存儲器130可以包括例如SRAM或者其他適當(dāng)存儲器??偩€存儲器130可以由接入設(shè)備112和/或PHY設(shè)備110在執(zhí)行DPI時和/或在控制聚合交換機(jī)中的交換機(jī)�����、中央網(wǎng)絡(luò)設(shè)備(例如���,中央網(wǎng)絡(luò)設(shè)備60)、和/或接入設(shè)備(例如�,接入設(shè)備112)中的狀態(tài)時使用。
[0049]總線控制模塊132和/或總線RegEx模塊134可以執(zhí)行DIP以確定所接收的分組的安全級別��、丟棄無效分組�����、轉(zhuǎn)發(fā)無效分組�、和/或?qū)⒎纸M隧道傳輸?shù)街醒肟刂颇K用于進(jìn)一步檢查?��?偩€控制模塊132可以控制由總線RegEx模塊134所執(zhí)行的RegEx解析����?���?偩€控制模塊132可以在執(zhí)行零日攻擊防止時使用總線存儲器130���、存儲器控制模塊104和/或PHY存儲器106。因為PHY模塊102中的每個PHY模塊可以包括總線控制模塊和/或一個或多個RegEx模塊�����,所以可以為MDI114中的每個MDI提供總線控制模塊和RegEx模塊����。這提供了接口或者端口特定分組檢查和RegEx解析。
[0050]總線控制模塊132可以針對基于應(yīng)用的聯(lián)網(wǎng)和網(wǎng)絡(luò)安全應(yīng)用來執(zhí)行內(nèi)容簽名識別任務(wù)��?�?偩€控制模塊132可以以接線速度(例如�,IGbps)檢查分組??偩€控制模塊132可以分析分組并且以接線速度確定是否丟棄、轉(zhuǎn)發(fā)和/或標(biāo)記分組為不可辨認(rèn)��?���?偩€控制模塊132可以是32位處理器。PHY模塊102中的每個PHY模塊中的每個總線控制模塊可以與接入設(shè)備112通信�。這一通信可以包括:從中央控制模塊接收用于分組檢查的規(guī)則和/或表格更新;以及從PHY模塊102向中央控制模塊重新路由和/或報告異常和/或可疑分組�。
[0051]出口模塊120可以包括出口 RegEx模塊120_1、出口解析模塊120-2����、第二接收模塊120-3、傳輸FIFO模塊120-4�、以及第二傳輸模塊120-5。PHY模塊102可以不包括出口模塊120中的一個或多個出口模塊��。出口 RegEx模塊120-1在被包括時執(zhí)行RegEx過程�,以審查經(jīng)由網(wǎng)絡(luò)接口 108從PHY模塊102之一所接收的分組。RegEx過程包括將字符�����、字詞�����、簽名或者數(shù)據(jù)模式與預(yù)定字符�����、字詞、簽名和數(shù)據(jù)模式相比較��?���?梢宰鳛镈PI過程的一部分來執(zhí)行RegEx過程?���?梢詧?zhí)行出口 RegEx過程以快速標(biāo)識有效或者無效的分組。
[0052]RegEx模塊116_1�����、130_1�����、134可以基于RegEx匹配來執(zhí)行分組過濾��。RegEx模塊116-1�、130-1、134可以分析一個或多個分組��,以確定每個分組中的和/或跨越多個分組的頭部和/或有效載荷中的模式�?��?梢詧?zhí)行RegEx搜索以檢測在序列分組上和/或在非序列分組上的模式,以提供完全周界防火墻���。這可以包括完整的分組網(wǎng)際協(xié)議(IP)阻止,用以阻止去往預(yù)定目的地和/或計算機(jī)的分組�。RegEx模塊116-1、130-1�、134可以停止或者暫時抑制攻擊,直至能夠部署系統(tǒng)性的糾正動作�。這允許了攻擊的誤報并且防止了漏報(或者指示攻擊的錯誤)。RegEx模塊116-1��、130-1�、134可以每個都包括一個或多個三態(tài)內(nèi)容可尋址存儲器(TCAM)、被替換為一個或多個TCAM�、或者與一個或多個TCAM組合使用。在圖4中���,示出了單個TCAM135�。
[0053]內(nèi)容可尋址存儲器(CAM)是允許它的全部內(nèi)容在單個時鐘周期內(nèi)被搜索的應(yīng)用特定存儲器���。二態(tài)CAM執(zhí)行確切匹配搜索��,而TCAM使用“不在意”來允許模式匹配����。“不在意”在搜索期間被用作通配符��,并且在路由表中實施最長前綴匹配搜索時是有用的��。上文所提到的TCAM可以被用于分組分類和用于硬件匹配加速��。TCAM可以被用來存儲在RegEx分組檢查期間所使用的正則表達(dá)式的確定性有限自動機(jī)(DFA)表示��。DFA是5元組(例如���,Q�、E���、6�����、%�����、A)��,其中Q是狀態(tài)集��,Σ是字母表��,6是基于Q和Σ的轉(zhuǎn)變函數(shù)�����,%是開始狀態(tài)����,并且A是接受狀態(tài)集���。
[0054]出口解析模塊120-2可以拋棄無效分組并且可以向接口總線118和第二接收模塊120-3轉(zhuǎn)發(fā)有效分組和/或這些有效分組的頭部�。第二接收模塊120-3可以是DMA設(shè)備�����,并且把從出口解析模塊120-2和/或接口總線118所接收的分組��、這些分組的部分��、分組描述符、和/或分組信息復(fù)制和/或存儲在總線存儲器130和/或PHY模塊106中�。可以經(jīng)由總線控制模塊132來執(zhí)行總線存儲器130中的存儲�。可以經(jīng)由存儲器控制模塊104來執(zhí)行PHY存儲器106中的存儲���。這些分組的部分可以包括這些分組的一個或多個頭部和/或有效載荷����。分組信息可以包括這些頭部內(nèi)所包括的信息和/或其他信息�����,諸如該分組的檢查級別����、源地址、目的地地址�����、源ID��、目的地ID��、協(xié)議ID、該分組的長度等��。
[0055]出口解析模塊120-2還可以向接口總線118和/或總線控制模塊132指示分組是否應(yīng)當(dāng)由接口總線118和/或總線控制模塊132檢查�����。第二接收模塊120-3可以基于來自接口總線118的指令�,將分組存儲在PHY存儲器106中,和/或?qū)⒎纸M復(fù)制到PHY存儲器106�,和/或?qū)⒎纸M轉(zhuǎn)發(fā)給傳輸FIFO模塊120-4。
[0056]傳輸FIFO模塊120-4存儲將向第二傳輸模塊120_5轉(zhuǎn)發(fā)的分組����。在總線存儲器130和/或PHY存儲器106中所存儲的分組�、分組描述符、和/或分組信息可以被存儲在傳輸FIFO模塊120-4中����,以用于由總線控制模塊132和/或總線RegEx模塊134檢查。第二傳輸模塊120-5也可以是DMA設(shè)備��,并且可以向MDI114中的相應(yīng)MDI傳輸從傳輸FIFO模塊120-4�����、PHY存儲器106、和/或接口總線118所接收的分組��。第二傳輸模塊120-5可以基于從接口總線118����、總線控制模塊132和/或總線RegEx模塊134所接收的指令,來訪問PHY存儲器106中所存儲的分組并且/或者向MDI114中的相應(yīng)MDI轉(zhuǎn)發(fā)分組���。
[0057]存儲器控制模塊104可以作為仲裁器而執(zhí)行���,以控制PHY模塊102與PHY存儲器106之間的訪問。存儲器控制模塊104可以準(zhǔn)許PHY模塊102中的一個或多個PHY模塊具有對PHY存儲器106的訪問并且防止PHY模塊102中的一個或多個PHY模塊具有對PHY存儲器106的訪問����。存儲器控制模塊104為PHY模塊102中的每個PHY模塊確定訪問時間,并且相應(yīng)地準(zhǔn)許對PHY存儲器106的訪問��。當(dāng)PHY模塊102中的第二 PHY模塊102具有對PHY存儲器106的訪問時�����,存儲器控制模塊104可以準(zhǔn)許PHY模塊102中的第一 PHY模塊具有對PHY存儲器106的訪問��。備選地,當(dāng)PHY模塊102中的第二 PHY模塊具有對PHY存儲器106的訪問時��,存儲器控制模塊104可以防止PHY模塊102中的第一 PHY模塊具有對PHY存儲器106的訪問����。
[0058]PHY存儲器106可以包括例如DDR3SRAM和/或其他適當(dāng)存儲器,諸如DRAM�����。PHY存儲器106可以具有例如用于并行傳送32比特數(shù)據(jù)的32比特存儲器接口��。PHY存儲器106可以在PHY設(shè)備100的外部和/或集成地形成于PHY設(shè)備100上或者作為PHY設(shè)備100的一部分���。在一個實施方式中�����,PHY設(shè)備100是集成電路(IC)或者封裝中的系統(tǒng)(SIP),并且PHY存儲器106是與PHY設(shè)備100分離的1C��。PHY設(shè)備100經(jīng)由存儲器控制模塊104和/或?qū)?yīng)的存儲器接口 148與PHY存儲器106通信��。存儲器接口 148可以連接于存儲器控制模塊104與PHY存儲器106之間�。
[0059]在另一實施方式中,PHY設(shè)備100是第一 IC,PHY存儲器106是第二 1C�,并且第一IC和第二 IC形成為SIP的一部分。在又另一實施方式中����,PHY設(shè)備100是第一 SIP,PHY存儲器106是第二 SIP,并且使用封裝上的封裝(package-on_package,POP)工藝來集成地封裝第一 SIP和第二 SIP�。第二 SIP可以堆疊于第一 SIP上而SIP之間的存儲器接口(例如,存儲器接口 148)用以在第一 SIP與第二 SIP之間路由信號��。第一 SIP和第二 SIP可以是例如存儲器球柵陣列(BGA)封裝��。
[0060]PHY存儲器106可以被用來在入口模塊116或者出口模塊120中的一個或多個模塊中擁塞的情況下緩沖分組��。PHY存儲器106可以被用來存儲指令���、代碼��、規(guī)則����、表格�����、和/或分組數(shù)據(jù)。這些指令�、代碼、規(guī)則�����、和/或表格可以由中央控制模塊�����、聚合交換機(jī)�、和/或模塊116-1、120-1�����、132���、134在執(zhí)行DIP時和/或在控制交換機(jī)(例如�,結(jié)構(gòu)控制模塊和/或網(wǎng)絡(luò)接口 108中的交換機(jī))的狀態(tài)時使用��。在一個實施方式中�����,這些指令�、代碼、規(guī)則���、和/或表格在例如總線存儲器130中沒有可用空間時被存儲在PHY存儲器106中��。在另一實施方式中����,這些指令��、代碼�����、規(guī)則�����、和/或表格在例如PHY存儲器106中沒有可用空間時被存儲在總線存儲器130中�。
[0061]總線存儲器130和PHY存儲器106可以被用來存儲:正在被檢查的分組;將被檢查的所選分組的副本�����;和/或?qū)⒈晦D(zhuǎn)發(fā)、上行鏈路傳輸��、和/或下行鏈路傳輸?shù)姆纸M�����?���?偩€存儲器130和PHY存儲器106可以被用于在接入網(wǎng)絡(luò)(例如,接入網(wǎng)絡(luò)10�、50之一)中的點(diǎn)處暫時擁塞的情況下的分組緩沖?���?偩€存儲器130可以對特定PHY模塊(例如,PHY模塊PHY1)是特定的���,而可以與PHY模塊102中的每個PHY模塊共享PHY存儲器106�����。這最小化了用于單個PHY設(shè)備100的PHY存儲器數(shù)目�����。
[0062]在所示出的示例中����,網(wǎng)絡(luò)接口 108包括第一介質(zhì)訪問控制(MAC)接口 140����、第二MAC接口 142、第一四串行吉比特介質(zhì)獨(dú)立接口(QSGMII) 144���、以及第二 OSGMII146�����。MAC接口 140��、142可以是10吉比特以太網(wǎng)接口����。第一和第二 MAC接口 140���、142可以每個都執(zhí)行MAC的功能并且提供經(jīng)由接入設(shè)備112通向例如結(jié)構(gòu)卡的通信鏈路���。第一和第二 MAC接口140可以具有例如用于通過后平面連接接入設(shè)備112的10GE-KR接口��,以使得經(jīng)由模塊接入機(jī)架(例如�����,圖1的接入機(jī)架12)的低成本DPI成為可能���。第一和第二 GSGMII144、146可以提供通向接入設(shè)備112的兩個并行通信鏈路���。
[0063]在操作期間并且作為示例�,MDI114中的每個MDI可以接收或者傳輸I吉比特數(shù)據(jù)每秒(Gbps)��,而接口 140����、142、144�、146中的每個接口可以接收或者傳輸lOGbps。MDI114可以是IGbps以太網(wǎng)(GE)端口�����,并且接口 140、142�、144、146可以具有IOGE端口�����。經(jīng)由MDI114和網(wǎng)絡(luò)接口 108的PHY設(shè)備100作為結(jié)果可以提供IGE端口到IOGE接口 140����、142��、144����、146的動態(tài)綁定。這可以包括負(fù)載平衡����、接口冗佘性、用于針對上行鏈路所交織的分組的時分復(fù)用調(diào)度�、在PHY存儲器中對數(shù)據(jù)的緩沖、以及向PHY存儲器緩沖數(shù)據(jù)以克服或者處置數(shù)據(jù)突發(fā)���。負(fù)載平衡可以包括在相同時間段期間通過兩個或者更多接口來運(yùn)輸相等數(shù)量的數(shù)據(jù)���。接口冗余性可以指代包括兩個或者更多接口�,其中提供這些接口中的一個或多個接口作為備份�����。
[0064]PHY設(shè)備100�、PHY模塊102、和/或第一和第二 MAC接口 140���、142可以執(zhí)行電氣和電子工程師協(xié)會(IEEE) 1588-2008標(biāo)準(zhǔn)的基于網(wǎng)絡(luò)地址的定時和同步�����。這可以包括使用精確時間協(xié)議(PTP)以用于將總線控制模塊(例如��,總線控制模塊132)的時鐘與在PHY設(shè)備100外部的控制模塊(例如���,中央控制模塊62)同步。PHY設(shè)備100�����、PHY模塊102�、和/或第一和第二 MAC接口 140、142還可以提供滿足IEEE802.1AE_2006安全標(biāo)準(zhǔn)的MAC安全(MACSec)支持,該安全標(biāo)準(zhǔn)為獨(dú)立于介質(zhì)訪問的協(xié)議定義了無連接數(shù)據(jù)機(jī)密性和完整性�。
[0065]PHY設(shè)備100還可以包括安全高速緩存模塊(SCM) 150?���?梢栽诮馕瞿K116_2、120-2和/或接口總線118與安全高速緩存模塊150之間傳輸分組和/或分組信息�。安全高速緩存模塊150可以存儲字符、數(shù)據(jù)模式����、源地址�、目的地地址和/或指示分組類型的其他分組信息。PHY模塊102中的每個PHY模塊的解析模塊116-2�����、120-2可以基于這一分組信息來確定分組是否有效或者無效��。
[0066]現(xiàn)在參考圖1-4�����,PHY設(shè)備24�����、44、56���、100和/或PHY模塊102可以作為分布式傳感器而執(zhí)行��,以用于檢測沿著接入網(wǎng)絡(luò)的周界上的實行點(diǎn)(enforcement point)的攻擊���。中央控制模塊36、62在被包括時可以從這些分布式傳感器收集信息,諸如分組信息和攻擊信息����。攻擊信息可以包括攻擊模式、簽名���、和/或本文所公開的其他攻擊信息����。中央控制模塊36�����、62然后可以應(yīng)用規(guī)則和/或分析所收集的信息����,以確定是否存在攻擊和/或分組是否有效和/或無效���。可以確定這些分組的類型��,并且可以基于這一分析的結(jié)果來轉(zhuǎn)發(fā)這些分組��?����?梢詮闹醒肟刂颇K36��、62向這些分布式傳感器提供這一分析的結(jié)果����,以用于分組轉(zhuǎn)發(fā)確定目的���。中央控制模塊36��、62可以指令這些分組類型的分布式傳感器以及如何處置這些類型的分組�?�?梢岳缭赑HY存儲器106中、在總線存儲器130中���、和/或在安全高速緩存模塊150中收集這一信息以用于將來使用���。
[0067]現(xiàn)在也參考圖5,示出了提供多級別安全檢測的PHY模塊(例如���,PHY模塊102之一)的入口部分170�。入口部分170包括幀間有限狀態(tài)機(jī)(FSM)模塊172�,幀間有限狀態(tài)機(jī)模塊172可以被包括在例如入口 RegEx模塊(例如,入口 RegEx模塊116-1)中���,或者與入口 RegEx模塊分離��。入口部分170可以包括入口(第一)RegEx模塊116-1��、入口解析模塊116-2����、總線控制模塊132��、安全高速緩存模塊150�、以及總線(第二)RegEx模塊134��。
[0068]幀間FSM模塊172和入口 RegEx模塊116-1提供第一安全級別�。幀間FSM模塊172將入口 RegEx模塊116-1用于模式和簽名查找�。第一安全級別包括在由幀間FSM模塊172所接收的分組中以線路速率(例如,IGbps)檢測零日RegEx攻擊模式和簽名�����?���?梢詮腗DI (例如,MDItl)接收這些分組����。入口 RegEx模塊116-1被配置為監(jiān)測預(yù)定模式和簽名,以在補(bǔ)丁被安裝在中央控制模塊36����、62之一中之前檢測分組�����。入口 RegEx模塊116-1可以可編程為允許用戶添加或者改變正在被監(jiān)測的簽名和模式����。[0069]A 口 RegEx模塊116_1可以用錨和通配符來執(zhí)行RegEx解析�����。錨指代原子零寬度斷言(atomic zero-width assertion),該原子零寬度斷言取決于分組的字符串中的當(dāng)前位置而促使匹配成功或者失敗��。錨不促使入口 RegEx模塊116-1經(jīng)過串前進(jìn)或者消耗字符��。通配符指代與零個或者更多字符匹配的字符���,該字符被用來有效率地檢測模式或者簽名。
[0070]入口 RegEx模塊116_1可以搜索分組的頭部和/或有效載荷以及序列分組和/或非序列分組����。幀間FSM模塊172基于由入口 RegEx模塊116-1的比較和/或所確定的匹配來生成第一命令信號173。
[0071]入口解析模塊116-2和安全高速緩存模塊150提供第二安全級別�����。入口解析模塊116-2和/或總線控制模塊132可以向SCM150推送被卸載和被驗證的數(shù)據(jù)分組和/或不可辨認(rèn)分組�����。入口解析模塊116-2和/或安全高速緩沖模塊150然后可以將這些分組的模式與即將到來的分組相比較�。作為示例�,入口解析模塊116-2可以不分析如下的所接收的分組�,該分組具有在SCM150中所存儲的不可辨認(rèn)分組類型的模式。入口解析模塊116-2可以替代地向中央控制模塊直接傳送該分組以用于評估�。這減少了入口解析模塊116-2的RegEx處理時間。
[0072]入口解析模塊116-2可以針對在接線速度(例如�,IGbps)的被卸載的數(shù)據(jù)流來執(zhí)行分組解析。入口解析模塊116-2(被稱為硬件解析器)可以從分組提取5元組值并且掃描SCM150尋找匹配�。SCM150中所存儲的值可以與5元組值相比較。5元組值可以被用來補(bǔ)足傳輸控制協(xié)議(TCP)或者網(wǎng)際協(xié)議(IP)����,并且可以包括例如源IP地址、目的地IP地址��、源端口號����、目的地端口號、以及協(xié)議ID�����。SCM150可以具有用于接口 114中的每個接口的接口特定條目�����。例如�,被信任的接口可以具有與不被信任的接口不同的用于SCM150的許可。由入口解析模塊116-2所執(zhí)行的這些比較可以包括����,在確定SCM150中所存儲的某些值和/或在5元組值是否能夠與該接口相關(guān)聯(lián)地被訪問中,比較與所接收的分組相關(guān)聯(lián)的該接口的標(biāo)識���。入口解析模塊116-2基于所執(zhí)行的這些比較和SCM150中所存儲的這些指令來生成第二命令信號175���。
[0073]總線控制模塊132和/或總線RegEx模塊134提供第三安全級別?���?偩€控制模塊132可以檢查所接收的數(shù)據(jù)流并且(i)轉(zhuǎn)發(fā)這些數(shù)據(jù)流,和/或(ii)向中央控制模塊用隧道傳輸和/或復(fù)制被驗證的和/或未知的數(shù)據(jù)流(不可辨認(rèn)分組的流)�。作為分組檢查的結(jié)果,總線控制模塊132可以將先前未知流的附加模式存儲在SCM150中�����,以便關(guān)于在接收到具有這些相同模式的附加分組時將被采取的動作來指令入口解析模塊116-2��。中央控制模塊可以另外或者備選地提供將被存儲在SCM150中的指令。
[0074]總線存儲器130和/或PHY存儲器106可以存儲一個哈希表�,可以基于所提供的指令和最近所學(xué)習(xí)的數(shù)據(jù)流來更新該哈希表。這些指令可以指示當(dāng)總線控制模塊132檢測到具有某個模式的分組時將被執(zhí)行的動作(例如��,丟棄或者轉(zhuǎn)發(fā))�����。RegEx模塊116-1���、120-1�、134和SCM150可以可編程為��,允許用戶添加或者改變所存儲的模式��、簽名和/或指令���。這些指令可以指向確定所評估的分組的安全級別���。總線控制模塊132可以使用總線RegEx模塊134以檢測所接收的分組中的模式�����,并且然后相應(yīng)地生成第三命令信號177?���?偩€控制模塊132可以繼續(xù)跟蹤未驗證的分組流(不可辨認(rèn)的分組的流)以檢測攻擊��。
[0075]雖然針對PHY模塊的入口部分示出了圖5的多級別安全檢測����,但是也可以針對PHY模塊的出口部分來提供多級別安全檢測。作為示例����,出口 RegEx模塊120-1和出口解析模塊120-2可以執(zhí)行如由幀間FSM模塊172、入口 RegEx模塊116-1���、以及入口解析模塊116-2所執(zhí)行的第一和第二安全級別���。總線控制模塊132和總線RegEx模塊134可以提供如上文所描述的用于出口目的的第三安全級別�。
[0076]用于入口部分的安全級別中的每個安全級別的命令信號173、175��、177被示出為丟棄-隧道-本地控制模塊檢查-前向(DTLF)信號�����。這些命令信號被提供給安全級別模塊180。安全級別模塊180基于這三個命令信號173�����、175��、177來確定安全級別并且生成安全級別信號182�。
[0077]在該示例中,安全級別模塊180包括“或”門�����。命令信號中的每個命令信號指示所接收的分組的如由這些安全級別中的相應(yīng)安全級別所確定的安全級別�。這些命令信號可以每個都指示第一級別和第二級別之一。第一級別指示無效分組��。第二級別指示有效分組�。安全級別中的每個安全級別可以提供用于每個分組或者用于分組系列或分組的所選組的命令號。
[0078]作為第一示例�,這些命令信號在指示該分組無效或者應(yīng)當(dāng)被丟棄時可以被設(shè)置為
I。這些命令信號在指示該分組有效或者應(yīng)當(dāng)被轉(zhuǎn)發(fā)時可以被設(shè)置為O���。作為結(jié)果��,如果命令信號中的任何命令信號指示該分組應(yīng)當(dāng)被丟棄��,則該分組被丟棄����。這由安全級別模塊180或者“或”門的輸出來提供。
[0079]作為另一示例��,可以使用四個安全級別����。第一級別指示無效或者丟棄分組����。第二級別指示隧道分組。第三級別指示將由例如總線RegEx模塊134的總線控制模塊132本地檢查的分組����。第四級別指示有效或者轉(zhuǎn)發(fā)分組。在這一實施方式中��,安全級別模塊180確定由這三個命令信號所指示的最低級別����。所指示的最低級別然后由安全級別模塊180報告并且由例如圖4的第一傳輸模塊116-5用來確定是否指令中央控制模塊進(jìn)一步檢查該分組�。在一個實施方式中��,在最低級別是第二級別或者第三級別時可以報告最低級別����,并且在最低級別是第一級別或者第四級別時可以不報告最低級別。在另一實施方式中�����,獨(dú)立于安全級別模塊180的所確定的最低級別來報告最低級別�����。
[0080]再次參考圖1-3�,因為PHY設(shè)備24、44�、56、100和/或PHY模塊102的一個或多個模塊和/或設(shè)備可以是可編程的�,所以可以提供在接入網(wǎng)絡(luò)10、50的邊緣處包括DPI的定制安全平臺��。
[0081]在圖6中����,示出了網(wǎng)絡(luò)接口 200�����。網(wǎng)絡(luò)接口 200可以被使用在圖1-3的網(wǎng)絡(luò)接口108中和/或����?冊設(shè)備24���、44�����、56、100之一中����。網(wǎng)絡(luò)接口 200包括第一復(fù)用模塊202、第一QSGMII204�、第二復(fù)用模塊206、以及第二 QSGMII208���。第一和第二復(fù)用模塊202���、206執(zhí)行復(fù)
用和解復(fù)用����。
[0082]第一復(fù)用模塊202可以將來自第一 PHY模塊集合的信號(例如�����,8個PHY模塊輸出信號)復(fù)用為由第一 QSGMII204所接收的復(fù)用信號(例如�,4個復(fù)用信號)。第二復(fù)用模塊206可以將來自第二 PHY模塊集合的信號(例如�����,8個PHY設(shè)備輸出信號)復(fù)用為由第二 QSGMII208所接收的復(fù)用信號(例如����,4個復(fù)用信號)。第一 PHY模塊集合可以與第二 PHY模塊集合相同或者不同�。第一復(fù)用模塊202可以解復(fù)用來自第一 QSGMII204的輸出信號,以生成由第一 PHY模塊集合所接收的輸入信號�����。第二復(fù)用模塊206可以解復(fù)用來自第二 QSGMII208的輸出信號�,以生成由第二 PHY模塊集合所接收的輸入信號。第一和第二QSGMII204���、208的輸出可以與聚合交換機(jī)和/或中央控制模塊通信����。[0083]網(wǎng)絡(luò)接口 200允許以第一速度操作的PHY模塊的端口連接到第一 QSGMII204或者第二 QSGMII208,其中第一 QSGMII204和第二 QSGMII208中的每個QSGMII在與這些MDI不同的速度操作���。作為示例����,第一速度可以是lGbps����,并且第二速度可以是lOGbps。由復(fù)用模塊202����、206所執(zhí)行的復(fù)用和解復(fù)用能夠消除對于在網(wǎng)絡(luò)接口處緩沖數(shù)據(jù)信號的需要�。
[0084]可以使用許多方法來操作上文所描述的接入網(wǎng)絡(luò)10、50和PHY設(shè)備24����、44、56�、100�,圖7的方法提供了一種示例方法�。在圖7中,示出了包括安全檢測方法的網(wǎng)絡(luò)接入方法�����。雖然關(guān)于圖1-5的實施方式主要描述了下列任務(wù)��,但是可以容易地修改這些任務(wù)以應(yīng)用至本公開內(nèi)容的其他實施方式��?���?梢缘貓?zhí)行和/或按不同順序來執(zhí)行這些任務(wù)。該方法可以在300處開始�。雖然下列任務(wù)302-322是入口任務(wù),但是在執(zhí)行出口任務(wù)(諸如由出口模塊120所執(zhí)行的出口任務(wù))時可以類似反向地執(zhí)行這些任務(wù)��。另外�,雖然關(guān)于單個分組描述了下列任務(wù),但是可以對于多個分組和/或分組的所選組來執(zhí)行這些任務(wù)����。這些分組可以是序列系列分組或者非序列系列分組。
[0085]在302處,入口 RegEx模塊116-1從MDItl接收分組�����?����?梢詮慕?jīng)由網(wǎng)絡(luò)14與PHY模塊PHY1通信的網(wǎng)絡(luò)設(shè)備(例如���,網(wǎng)絡(luò)設(shè)備18之一)接收該分組���。入口 RegEx模塊116-1可以執(zhí)行對該分組的初始檢查,以快速確定是否丟棄或者轉(zhuǎn)發(fā)該分組�。入口 RegEx模塊116-1可以基于該初始檢查的結(jié)果來生成第一命令信號和/或第一分組信息信號。第一命令信號可以指示該分組的安全級別的第一估計����。第一估計可以是四個上文所描述的安全級別之一。第一分組信息信號可以包括如上文所描述的分組信息���,并且/或者指示接口總線118和/或總線控制模塊132是否應(yīng)當(dāng)檢查該分組。分組信息可以包括源地址和目的地地址�����、協(xié)議ID、分組長度���、分組描述符等���。初始檢查可以包括丟棄或者轉(zhuǎn)發(fā)該分組。該分組在被轉(zhuǎn)發(fā)時被提供給入口解析模塊116-2��。
[0086]在304處��,入口解析模塊116-2可以基于在安全高速緩存模塊150中所存儲的信息�、第一命令信號、和/或第一分組信息信號來執(zhí)行第二分組檢查��,并且生成第二命令信號�����。第二分組檢查可以包括丟棄或者轉(zhuǎn)發(fā)該分組����。該分組在被轉(zhuǎn)發(fā)時可以被提供給第一接收模塊116-3和/或接口總線118。入口解析模塊116-2可以基于第二分組檢查的結(jié)果來生成第二命令信號和/或第二分組信息信號����。第二命令信號可以指示該分組的安全級別的第二估計��。第二估計可以是四個上文所描述的安全級別之一并且可以基于第一估計�。第二分組信息信號可以包括如上文所描述的分組信息�����,并且/或者指示接口總線118和/或總線控制模塊132是否應(yīng)當(dāng)檢查該分組����。
[0087]在305處,RegEx模塊116_1確定該分組是否具有不安全模式和/或?qū)儆诎踩珨?shù)據(jù)流(例如����,在SCM150的表格中具有對應(yīng)的“允許”條目)。如果該分組不具有不安全模式和/或該分組屬于安全數(shù)據(jù)流��,則跳過該分組的本地化檢查���,并且能夠執(zhí)行任務(wù)314以使得該分組安全地被轉(zhuǎn)發(fā)�。當(dāng)該分組屬于未知數(shù)據(jù)流和/或由RegEx模塊116-1和/或SCM150設(shè)置為將被進(jìn)一步檢查時���,可以執(zhí)行本地化檢查。如果該分組:具有不安全(或者危險)模式;該分組的對應(yīng)SCM條目指示該分組不安全��;和/或不屬于安全數(shù)據(jù)流�,則可以執(zhí)行任務(wù)306以使得該分組被用隧道傳輸給中央控制模塊或者被丟棄。
[0088]在306處�,第一接收模塊116-3可以將該分組和其他信息存儲在總線存儲器130和/或PHY存儲器106中。該其他信息可以包括該分組的描述符���、第一和第二命令信號和/或第一和第二分組信息信號��。[0089]在308處,接口總線118基于第一命令信號�����、第二命令信號�����、第一分組信息信號����、和/或第二分組信息信號來執(zhí)行對該分組的第三檢查�。總線控制模塊132和/或總線RegEx模塊134可以執(zhí)行第三分組檢查�����。可以使用一個或多個TCAM來執(zhí)行第三分組檢查�。總線控制模塊132可以基于對該分組的第三檢查的結(jié)果來生成第三命令信號和第三分組
信息信號���。
[0090]第三命令信號可以指示該分組的安全級別的第三估計���。第三估計可以是四個上文所描述的安全級別之一,并且可以基于第一估計和/或第二估計��。作為備選或者除了生成第三估計之外�,安全級別模塊180可以生成安全級別信號??梢曰诘谝幻钚盘枴⒌诙钚盘?�、以及第三命令信號來生成安全級別信號��。第三分組信息信號可以包括如上文所描述的分組信息�,并且/或者指示中央控制模塊36或62是否應(yīng)當(dāng)檢查該分組。當(dāng)接口總線118和/或總線控制模塊132不能確定是否:丟棄該分組����;或者從PHY模塊PHY1 (第一 PHY模塊)向另一(第二)PHY模塊(例如���,PHY模塊m)或者向與PHY設(shè)備100分離的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)該分組時,可以指令中央控制模塊36�、62檢查該分組�。
[0091]可以周期性地、隨機(jī)地����、在接收到預(yù)定數(shù)目的分組之后、在接收到預(yù)定數(shù)目的字節(jié)之后�、在接收到預(yù)定數(shù)目的有效和/或無效分組之后、和/或以預(yù)定時間間隔��,來執(zhí)行在302,304,以及308處所執(zhí)行的這些檢查��?�?梢詧?zhí)行在302�����、304��、以及308處所描述的檢查中的一個或多個檢查并且可以不執(zhí)行其他檢查����。在任務(wù)302����、304��、以及308中的每個任務(wù)處���,可以檢查所接收的分組中的一些分組或者所有分組����。另外�,在302、304和308之一處所檢查的分組可以在任務(wù)302�、304、308中的其他任務(wù)中的一個或多個任務(wù)處不被檢查��。
[0092]在310處�����,該分組在被轉(zhuǎn)發(fā)給中央控制模塊36���、62���、第二 PHY設(shè)備和/或與PHY設(shè)備100分離的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)時可以被存儲在接收FIFO模塊116-4中���。在312處,然后可以向第一傳輸模塊116-5提供該分組和其他信息���。該其他信息可以包括例如上文所描述的第一、第二����、和/或第三命令信號、安全級別信號��、和/或其他分組信息����。在314處,第一傳輸模塊116-5確定該分組是否將被轉(zhuǎn)發(fā)給第二 PHY模塊和/或與PHY設(shè)備100分離的網(wǎng)絡(luò)設(shè)備���。這一確定可以基于在312處所提供的第三命令信號����、安全級別信號����、和/或其他信息�����。在轉(zhuǎn)發(fā)該分組時可以執(zhí)行任務(wù)316�����,否則可以執(zhí)行任務(wù)315����。
[0093]分組可以如下文所描述的在316處被轉(zhuǎn)發(fā)���,并且如關(guān)于任務(wù)322所描述的被發(fā)送給中央控制模塊以用于進(jìn)一步的檢查�。當(dāng)該分組既在316處被轉(zhuǎn)發(fā)又在322處被檢查時��,該分組可以被復(fù)寫以便向多個目的地(例如�,原始目的地和中央控制模塊)提供該分組。
[0094]在315處,第一傳輸模塊116-5確定該分組是否將由中央控制模塊36��、62進(jìn)一步檢查�。這一確定可以基于在312處所提供的第三命令信號、安全級別信號和/或其他信息。在該分組將被進(jìn)一步檢查時可以執(zhí)行任務(wù)322��,否則可以執(zhí)行任務(wù)330����。
[0095]在316處,可以從第一 PHY模塊PHY1向所預(yù)期的和/或原始選擇的目的地轉(zhuǎn)發(fā)該分組����。可以例如從網(wǎng)絡(luò)14向接入設(shè)備112����、聚合交換機(jī)26�、38之一、結(jié)構(gòu)卡20�����、32之一���、和/或中央網(wǎng)絡(luò)設(shè)備60轉(zhuǎn)發(fā)入口分組�����?����?梢岳鐝慕尤朐O(shè)備112���、聚合交換機(jī)26��、38之一�、結(jié)構(gòu)卡20��、32之一�、和/或中央網(wǎng)絡(luò)設(shè)備60向網(wǎng)絡(luò)14轉(zhuǎn)發(fā)出口分組。該方法可以在320處結(jié)束����。
[0096]在322處,該分組可以經(jīng)由網(wǎng)絡(luò)接口 108被用隧道傳輸給中央控制模塊36�����、62����。具有PHY設(shè)備100的MAC地址的MAC頭部可以被添加至該分組(第一分組)以形成第二分組��。第二分組經(jīng)由網(wǎng)絡(luò)接口 108被轉(zhuǎn)發(fā)給中央控制模塊36��、62�。在324處���,中央控制模塊36���、62可以執(zhí)行對該分組的第四分組檢查。中央控制模塊36��、62可以周期性地����、隨機(jī)地、在接收到預(yù)定數(shù)目的分組之后����、在接收到預(yù)定數(shù)目的字節(jié)之后��、在接收到預(yù)定數(shù)目的有效和/或無效分組之后���、和/或以預(yù)定時間間隔來執(zhí)行檢查��。這些分組可以獨(dú)立于由PHY設(shè)備100所確定的安全級別而被轉(zhuǎn)發(fā)給中央控制模塊36����、62。
[0097]在326處��,中央控制模塊36��、62指令第一 PHY模塊PHY1丟棄和/或不轉(zhuǎn)發(fā)與第一分組類似的分組��。該方法可以在執(zhí)行任務(wù)326之后在320處結(jié)束�����。在丟棄該分組時執(zhí)行任務(wù)330���,否則執(zhí)行任務(wù)316�。
[0098]在330處����,從PHY設(shè)備100的總線存儲器130、PHY存儲器106和/或其他存儲器���、模塊和/或設(shè)備刪除該分組�。這可以包括從一個或多個PHY模塊以及對應(yīng)存儲器、模塊�、以及設(shè)備刪除該分組。該方法可以在任務(wù)330之后在320處結(jié)束���。
[0099]上文所描述的這些任務(wù)意在作為說明性的示例����;取決于應(yīng)用可以序列地�����、同步地���、同時地����、連續(xù)地��、在重疊時間段期間或者按照不同的順序來執(zhí)行這些任務(wù)����。另外�����,取決于實施方式和/或事件序列,這些任務(wù)中的任何任務(wù)可能不被執(zhí)行或者被跳過���。
[0100]除了上文所描述的特征之外���,文本所公開的這些實施方式在接入網(wǎng)絡(luò)的邊緣處提供了經(jīng)由多個PHY模塊所執(zhí)行的分組檢查。這允許了對分組的檢查被分布至多個PHY模塊并且在這些分組被接收時并且以這些分組被接收的速率被執(zhí)行��。這將檢查處理從中央控制模塊卸載到多個PHY設(shè)備內(nèi)的多個設(shè)備和/或模塊��。
[0101]前述描述本質(zhì)上僅為說明性的并且決不意圖為限制本公開內(nèi)容��、它的應(yīng)用�����、或者使用���。能夠以多種形式來實施本公開內(nèi)容的寬泛教導(dǎo)�。因此�,盡管本公開內(nèi)容包括特定的示例,但是不應(yīng)當(dāng)如此限制本公開內(nèi)容的真實范圍���,因為其他修改將在研究附圖�、說明書、以及下列權(quán)利要求時變得清楚��。為了清楚的目的�,相同的參考標(biāo)號在附圖中將被用來標(biāo)識類似的元素。如本文所使用的����,短語A、B和C中的至少一個應(yīng)當(dāng)被解釋為使用非排他邏輯“或”來意指邏輯的(A或B或C)�����。應(yīng)當(dāng)理解��,不更改本公開內(nèi)容的原理�����,可以按照不同順序(或者并發(fā)地)執(zhí)行方法內(nèi)的一個或多個步驟����。
[0102]雖然術(shù)語第一、第二、第三等在本文可以被用來描述各種設(shè)備�、模塊�����、信號�、元件、和/或部件��,但是這些項目不應(yīng)當(dāng)受這些術(shù)語所限制����。這些術(shù)語可以僅被用來區(qū)分一個項目與另一項目。術(shù)語�����,諸如“第一”�����、“第二”和其他數(shù)值術(shù)語當(dāng)在本文被使用時不暗示序列或者順序�����,除非由上下文清楚地指示�����。因此,不偏離示例實施方式的教導(dǎo)��,下文所討論的第一項目可以被稱為第二項目�。
[0103]另外,在下列描述中公開了各種可變標(biāo)記和值���。僅作為示例來提供這些可變標(biāo)記和值����。這些可變標(biāo)記任意地被提供�����,并且可以每個都被用來標(biāo)識或者指代不同的項目����。例如,可變標(biāo)記η可以被用來指代多個模塊或者多個設(shè)備���。這些值也任意地被提供并且可以按照應(yīng)用而變化���。
[0104]如文本所使用的�,術(shù)語模塊可以指代以下各項����、是以下各項的一部分�����、或者包括以下各項:專用集成電路(ASIC);電子電路�����;組合邏輯電路�;現(xiàn)場可編程門陣列(FPGA);執(zhí)行代碼的處理器(共享的、專用的����、或者組);提供所描述的功能的其他適當(dāng)硬件部件��;或者上述中的一些或者全部的組合���,諸如在片上系統(tǒng)中����。術(shù)語模塊可以包括存儲由處理器所執(zhí)行的代碼的存儲器(共享的、專用的�、或者組)。[0105]如上文所使用的�����,術(shù)語代碼可以包括軟件�、固件、和/或微代碼�����,并且可以指代程序�����、例程����、函數(shù)、類����、和/或?qū)ο?�。如上文所使用的�,術(shù)語共享意味著可以使用單個(共享)處理器來執(zhí)行來自多個模塊的一些或者所有代碼����。另外,單個(共享)存儲器可以存儲來自多個模塊的一些或者所有代碼����。如上文所使用的�����,術(shù)語組意味著可以使用處理器組來執(zhí)行來自單個模塊的一些或者所有代碼��。另外�����,可以使用存儲器組來存儲來自單個模塊的一些或者所有代碼�。
[0106]文本所描述的這些裝置和方法可以由一個或多個處理器所執(zhí)行的一個或多個計算機(jī)程序來實施。這些計算機(jī)程序包括存儲在非瞬態(tài)有形計算機(jī)可讀介質(zhì)上的處理器可執(zhí)行指令��。這些計算機(jī)程序還可以包括所存儲的數(shù)據(jù)��。非瞬態(tài)有形計算機(jī)可讀介質(zhì)的非限制示例是非易失性存儲器、磁性存儲裝置�、以及光學(xué)存儲裝置。
【權(quán)利要求】
1.一種物理層設(shè)備�,包括: 存儲器; 存儲器控制模塊���,被配置為控制對所述存儲器的訪問��; 物理層模塊���,被配置為經(jīng)由所述存儲器控制模塊將分組存儲在所述存儲器中,所述物理層模塊包括 至少一個接口����,被配置為經(jīng)由網(wǎng)絡(luò)從網(wǎng)絡(luò)設(shè)備接收所述分組,以及接口總線����,包括控制模塊和正則表達(dá)式模塊中的至少一個模塊,其中所述控制模塊和所述正則表達(dá)式模塊中的所述至少一個模塊被配置為檢查所述分組以確定所述分組的安全級別�;以及 網(wǎng)絡(luò)接口,被配置為基于所述安全級別向與所述物理層設(shè)備分離的設(shè)備提供所述分組�����。
2.根據(jù)權(quán)利要求1所述的物理層設(shè)備,其中所述存儲器包括雙倍數(shù)據(jù)速率存儲器并且經(jīng)由在所述物理層模塊與所述存儲器之間所連接的存儲器接口是可訪問的���。
3.根據(jù)權(quán)利要求1所述的物理層設(shè)備�,其中: 在第一封裝內(nèi)系統(tǒng)中實施所述物理層設(shè)備�; 在第二封裝內(nèi)系統(tǒng)中實施所述存儲器;并且 堆疊所述第一封裝內(nèi)系統(tǒng)和所述第二封裝內(nèi)系統(tǒng)��。
4.根據(jù)權(quán)利要求1所述的物理層設(shè)備�,其中所述控制模塊和所述正則表達(dá)式模塊中的所述至少一個模塊 被配置為將所述分組中的每個分組的所述安全級別確定為以下各項之 有效; 經(jīng)由所述控制模塊和所述正則表達(dá)式模塊中的所述至少一個模塊將被進(jìn)一步檢查的分組�����; 將被用隧道傳輸給中央控制模塊以用于進(jìn)一步檢查的分組�,其中所述中央控制模塊與所述物理層設(shè)備分離�����;以及無效�。
5.根據(jù)權(quán)利要求4所述的物理層設(shè)備,其中: 從所述物理層設(shè)備向與所述物理層模塊分離的所述設(shè)備轉(zhuǎn)發(fā)所述分組中具有有效安全級別的每個分組��;并且 丟棄所述分組中具有無效安全級別的每個分組�。
6.根據(jù)權(quán)利要求1所述的物理層設(shè)備�����,其中: 與所述物理層設(shè)備分離的所述設(shè)備是結(jié)構(gòu)卡的聚合交換機(jī)�����;并且 所述物理層模塊被實施在線路卡中并且與所述結(jié)構(gòu)卡通信��。
7.根據(jù)權(quán)利要求1所述的物理層設(shè)備����,其中: 所述網(wǎng)絡(luò)接口被配置為向中央控制模塊提供所述分組中的選擇的分組����; 所述中央控制模塊與所述物理層設(shè)備分離;并且 所述網(wǎng)絡(luò)接口被配置為���,基于由所述中央控制模塊所執(zhí)行的對所述分組中的所述選擇的分組的所述檢查��,來轉(zhuǎn)發(fā)除了所述分組中的所述選擇的分組之外的分組����。
8.根據(jù)權(quán)利要求1所述的物理層設(shè)備���,進(jìn)一步包括三態(tài)內(nèi)容可尋址存儲器�,其中所述控制模塊和所述正則表達(dá)式模塊中的所述至少一個模塊被配置為,檢查所述分組以使用所述三態(tài)內(nèi)容可尋址存儲器來確定所述分組的所述安全級別�。
9.根據(jù)權(quán)利要求1所述的物理層設(shè)備,其中: 所述存儲器是第一存儲器���; 所述接口總線包括第二存儲器�; 所述控制模塊和所述正則表達(dá)式模塊中的所述至少一個模塊被配置為����,確定是否將所述分組和對應(yīng)的分組信息存儲在所述第一存儲器和所述第二存儲器中的至少一個存儲器中;并且 所述分組信息包括所述分組的所述安全級別���。
10.根據(jù)權(quán)利要求1所述的物理層設(shè)備����,其中: 所述物理層模塊是第一物理層模塊�; 所述物理層設(shè)備進(jìn)一步包括第二物理層模塊�;并且 所述第二物理層模塊與所述第一物理層模塊共享所述存儲器。
11.根據(jù)權(quán)利要求1所述的物理層設(shè)備����,進(jìn)一步包括: 安全高速緩存模塊��,被配置為存儲規(guī)則和表格中的至少一項�����;以及 入口解析模塊��,被配置為基于所述規(guī)則和表格來檢查所述分組�����。
12.根據(jù)權(quán)利要求11所述的物理層設(shè)備����,其中所述控制模塊被配置為����,檢查所述分組以生成檢查結(jié)果并且基于所述結(jié)果來更新所述安全高速緩存模塊。`
13.根據(jù)權(quán)利要求1所述的物理層設(shè)備�����,其中所述物理層模塊進(jìn)一步包括: 第一模塊���,被配置為檢查所述分組以生成第一命令信號��; 第二模塊��,被配置為檢查所述分組以生成第二命令信號�����, 其中所述控制模塊和所述正則表達(dá)式模塊中的所述至少一個模塊被配置為檢查所述分組并且生成第三命令信號�����;以及 安全級別模塊��,被配置為基于所述第一命令信號����、所述第二命令信號、以及所述第三命令信號來生成安全級別信號����, 其中所述網(wǎng)絡(luò)接口基于所述安全級別信號來向與所述物理層設(shè)備分離的所述設(shè)備提供所述分組。
14.根據(jù)權(quán)利要求1所述的物理層設(shè)備�,其中: 所述物理層模塊包括多個模塊; 所述多個模塊中的每個模塊被配置為檢查所述分組并且生成多個安全級別估計�;安全級別模塊,被配置為基于所述多個安全級別估計來生成安全級別信號�;并且基于所述安全級別信號,所述網(wǎng)絡(luò)接口被配置為向與所述物理層設(shè)備分離的所述設(shè)備提供所述分組�����。
15.根據(jù)權(quán)利要求1所述的物理層設(shè)備����,其中: 所述網(wǎng)絡(luò)接口被配置為向中央控制模塊提供所述分組中的選擇的分組以用于檢查; 所述中央控制模塊與所述物理層設(shè)備分離�����;并且 所述物理層模塊被配置為�,基于在所述中央控制模塊處所執(zhí)行的所述檢查來從所述中央控制模塊接收指令信號,并且基于所述指令信號來轉(zhuǎn)發(fā)除了所述分組中的所述選擇的分組之外的分組��。
16.一種接入機(jī)架�����,包括: 多個線路卡��,被配置為從所述網(wǎng)絡(luò)設(shè)備接收所述分組并且向與所述物理層設(shè)備分離的所述設(shè)備傳輸所述分組�����,其中所述多個線路卡中的第一線路卡包括根據(jù)權(quán)利要求1所述的物理層設(shè)備;以及 至少一個結(jié)構(gòu)卡����,被配置為提供在所述第一線路卡與所述多個線路卡中的第二線路卡之間的切換連接,并且從所述第一線路卡向所述第二線路卡轉(zhuǎn)發(fā)所述分組�����。
17.根據(jù)權(quán)利要求16所述的接入機(jī)架��,其中: 所述至少一個結(jié)構(gòu)卡包括中央控制模塊�; 所述物理層模塊的入口模塊和出口模塊中的至少一個模塊被配置為,確定所述分組中的選擇的分組是否將由所述中央控制模塊檢查����;并且 所述中央控制模塊被配置為,基于所述分組中的所述選擇的分組是否將由所述中央控制模塊檢查的所述確定����,來檢查所述分組中的所述選擇的分組。
18.根據(jù)權(quán)利要求17所述的接入機(jī)架����,其中: 所述中央控制模塊被配置為生成指令信號�,所述指令信號指示是否丟棄或者轉(zhuǎn)發(fā)具有與所述分組中的所述選擇的分組相類似的格式的分組���;并且 基于所述指令信號,所述物理層設(shè)備被配置為丟棄或者轉(zhuǎn)發(fā)具有與所述分組中的所述選擇的分組相類似的格式的所述分組�。
19.一種方法,包括: 在物理層模塊的接 口處經(jīng)由網(wǎng)絡(luò)從網(wǎng)絡(luò)設(shè)備接收分組; 從物理層設(shè)備向存儲器控制模塊傳送所述分組以將所述分組存儲在存儲器中�,其中所述物理層設(shè)備包括所述物理層模塊,并且其中所述物理層模塊包括接口總線�; 經(jīng)由控制模塊和正則表達(dá)式模塊中的至少一個模塊檢查所述分組以確定所述分組的安全級別,其中所述接口總線包括所述控制模塊和所述正則表達(dá)式模塊中的所述至少一個模塊��;以及 基于所述安全級別�����,經(jīng)由物理層接口向與所述物理層設(shè)備分離的設(shè)備提供所述分組�。
20.根據(jù)權(quán)利要求19所述的方法,進(jìn)一步包括: 經(jīng)由第一模塊檢查所述分組以生成第一命令信號����; 經(jīng)由第二模塊檢查所述分組以生成第二命令信號; 經(jīng)由所述控制模塊和所述正則表達(dá)式模塊中的所述至少一個模塊檢查所述分組以生成第二命令信號��; 基于所述第一命令信號���、所述第二命令信號���、以及所述第三命令信號來生成安全級別信號����;以及 基于所述安全級別信號�����,向與所述物理層設(shè)備分離的所述設(shè)備提供所述分組��。
【文檔編號】H04L12/28GK103875214SQ201280049544
【公開日】2014年6月18日 申請日期:2012年8月10日 優(yōu)先權(quán)日:2011年8月10日
【發(fā)明者】S·蘇塔爾德加, T·丹尼爾, D·梅爾茨 申請人:馬維爾國際貿(mào)易有限公司