一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)及處理方法
【專利摘要】本發(fā)明提供一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)����,包括:以太網(wǎng)模塊,用于接收和發(fā)送來自以太網(wǎng)上的數(shù)據(jù)包���;數(shù)據(jù)包過濾模塊�����,用于檢測所述來自以太網(wǎng)上的數(shù)據(jù)包所含信息是否符合要求�����;內(nèi)容地址存儲CAM模塊��,用于存儲所述來自以太網(wǎng)上的數(shù)據(jù)包所含信息����,并對數(shù)據(jù)包所含信息進(jìn)行快速的數(shù)據(jù)匹配;網(wǎng)絡(luò)掩碼RAM模塊����,用于存儲源IP和目的IP信息;協(xié)調(diào)控制模塊�,用于初始化所述網(wǎng)絡(luò)掩碼RAM模塊和所述CAM模塊中的數(shù)據(jù),并且協(xié)調(diào)各連接模塊之間的信息傳輸����。本發(fā)明提供的系統(tǒng)可以提高IP數(shù)據(jù)的處理效率和正確率,以增強(qiáng)了網(wǎng)絡(luò)對用戶的安全性�。
【專利說明】一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)及處理方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及硬件防火墻【技術(shù)領(lǐng)域】,特別涉及一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)及處理方法���。
【背景技術(shù)】
[0002]在互聯(lián)網(wǎng)時代,通過互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)傳輸和交流成為人們生活的一部分��,而網(wǎng)絡(luò)由于與生俱來的開放性和互聯(lián)性越來越成為網(wǎng)絡(luò)信息安全的隱患����。與此同時��,網(wǎng)絡(luò)也越來越成為全國信息戰(zhàn)的戰(zhàn)略目標(biāo)�。所以網(wǎng)絡(luò)安全技術(shù)成為國家戰(zhàn)略防衛(wèi)力量的重要組成部分�����。
[0003]隨著互聯(lián)網(wǎng)絡(luò)的蓬勃發(fā)展�����,截至2013年12月全球上網(wǎng)人數(shù)已達(dá)22.7億�����,然而IPv4協(xié)議僅能提供約2.5億個IP位置����。雖然網(wǎng)絡(luò)地址轉(zhuǎn)換及無類別域間路由等技術(shù)可延緩網(wǎng)絡(luò)位置匱乏之現(xiàn)象,但為了從根本上解決問題�����,1998年12月被互聯(lián)網(wǎng)工程研究團(tuán)隊通過公布互聯(lián)網(wǎng)標(biāo)準(zhǔn)規(guī)范(RFC 2460)的方式提出了 IPv6協(xié)議�����。相比IPv4,IPv6定義了一種新的分組格式��,目的是為了最小化路由器處理的報文首部��。因此�����,IPv6的優(yōu)點包括以下幾個方面:(I)更大的地址空間���;(2)更小的路由表�����;(3)增強(qiáng)的組播(Multicast)支持以及對流的支持(Flow-control) ; (4)加入了對自動配置(Auto-configurat1n)的支持�����;(5)更高的安全性�。然而���,由于IPv4報文和IPv6報文首部有很大的不同��,這兩種協(xié)議無法互操作�����。
[0004]IPSec網(wǎng)絡(luò)安全協(xié)議主要包括認(rèn)證頭(AH, Authenticat1n Header)協(xié)議�����、封裝安全載荷(ESP,Encapsulat1n Security Payload)協(xié)議和 Internet 密鑰交換(IKE, InternetKey Exchange)協(xié)議,其中:AH協(xié)議提供數(shù)據(jù)源認(rèn)證����、無連接的完整性���,以及可選的抗重放服務(wù)����;ESP協(xié)議提供數(shù)據(jù)保密性�����、有限的數(shù)據(jù)流保密性�����、數(shù)據(jù)源認(rèn)證、無連接的完整性���,以及抗重放服務(wù)���。IPSec的AH協(xié)議和ESP協(xié)議有兩種操作模式:傳輸模式和隧道模式,其中:傳輸模式保護(hù)上層協(xié)議���,隧道模式保護(hù)整個IP數(shù)據(jù)包����。根據(jù)防火墻對內(nèi)外來往數(shù)據(jù)的處理方法��,大致可以分為兩大類:包過濾防火墻和代理防火墻�。
[0005]有鑒于此,針對目前IPSec網(wǎng)絡(luò)安全協(xié)議難以有效實現(xiàn)在IPv6協(xié)議下對來自外網(wǎng)的數(shù)據(jù)進(jìn)行有效處理的問題�,有必要提出一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法,以提高IP數(shù)據(jù)的處理效率和正確率�����,以增強(qiáng)了網(wǎng)絡(luò)對用戶的安全性���。
【發(fā)明內(nèi)容】
[0006]為了克服上述所指的現(xiàn)有技術(shù)中的不足之處���,本發(fā)明旨在提出一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法,該設(shè)計能夠有效的提升對IP數(shù)據(jù)包的過濾和檢測的速率����,并且能夠?qū)崟r更新數(shù)據(jù)的檢測規(guī)則,跟IPSec數(shù)據(jù)處理模塊能夠達(dá)到合適的協(xié)作����。
[0007]為了實現(xiàn)上述目的,本發(fā)明的一個方面提供了一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)���,包括:以太網(wǎng)模塊�����,用于接收和發(fā)送來自以太網(wǎng)上的數(shù)據(jù)包��,數(shù)據(jù)在接收和發(fā)送過程中是通過數(shù)據(jù)傳輸?shù)闹虚g結(jié)構(gòu)FIFO來控制數(shù)據(jù)的傳輸���,其中:所述數(shù)據(jù)包具有如下信息之一:IP數(shù)據(jù)的版本號、目的端口��、源IP地址、源端口�、目的IP地址、源IP和目的IP和/或源MAC地址����;數(shù)據(jù)包過濾模塊,其連接所述以太網(wǎng)模塊���,用于檢測所述來自以太網(wǎng)上的數(shù)據(jù)包所含信息是否符合要求���;內(nèi)容地址存儲CAM (Content Addressable Memory)模塊,其連接所述數(shù)據(jù)包過濾模塊,用于存儲所述來自以太網(wǎng)上的數(shù)據(jù)包所含信息��,并對數(shù)據(jù)包所含信息進(jìn)行快速的數(shù)據(jù)匹配����,其中:匹配的信息包括:IP數(shù)據(jù)的版本號、目的端口���、源IP地址����、源端口��、目的IP地址和源MAC地址;網(wǎng)絡(luò)掩碼RAM模塊�,其連接所述數(shù)據(jù)包過濾模塊,用于存儲源IP和目的IP信息�;協(xié)調(diào)控制模塊,其分別連接所述以太網(wǎng)模塊����、所述數(shù)據(jù)包過濾模塊����、所述CAM模塊和所述網(wǎng)絡(luò)掩碼RAM模塊,用于初始化所述網(wǎng)絡(luò)掩碼RAM模塊和所述CAM模塊中的數(shù)據(jù)���,并且協(xié)調(diào)各連接模塊之間的信息傳輸�����。
[0008]優(yōu)選地��,所述CAM模塊包括:M個CAM�����,每個CAM的寬度為N字節(jié)�、深度為P,其中:M是指使用CAM的個數(shù)�����,這里CAM的總數(shù)為M=18個����,用于比對目的端口號為2個CAM,源端口號為2個CAM����,目的IP地址為4個CAM,源IP地址為4個CAM����,源MAC地址為6個CAM,每個CAM都是相同的N和P�,其中N為I字節(jié),P為16�。
[0009]優(yōu)選地,所述網(wǎng)絡(luò)掩碼RAM模塊包括:A個RAM�����,每個RAM的寬度為B字節(jié)�、深度為C�,其中:這里用到RAM的個數(shù)為A=2����,用于存儲目的IP地址用I個RAM、用于存儲源IP地址用I個RAM���,每個RAM的寬度為4個字節(jié)�,深度為16���。
[0010]進(jìn)一步地,所述以太網(wǎng)模塊包括:數(shù)據(jù)包接收子模塊����,用于當(dāng)所述協(xié)調(diào)控制模塊發(fā)出要接收以太網(wǎng)數(shù)據(jù)的命令時,開始接收數(shù)據(jù)�����,若有接收錯誤或者進(jìn)行CRC檢查時有錯誤����,就丟棄該包,否則就讓數(shù)據(jù)包通過一個FIFO緩存起來�����,并通知協(xié)調(diào)控制模塊成功接收該數(shù)據(jù)包;數(shù)據(jù)包發(fā)送子模塊�,用于當(dāng)所述協(xié)調(diào)控制模塊向所述FIF0FIF0發(fā)出要發(fā)送數(shù)據(jù)的命令時,從將數(shù)據(jù)包通過所述FIFO發(fā)送出去��。
[0011]進(jìn)一步地���,所述的數(shù)據(jù)包過濾模塊包括:IP包提取模塊�����,用于將IP數(shù)據(jù)進(jìn)行分段提?����?;數(shù)據(jù)比較模塊�,用于將提取后的數(shù)據(jù)與CAM模塊中存儲的數(shù)據(jù)進(jìn)行比較,判斷數(shù)據(jù)是否是符合要求的�����。
[0012]為了實現(xiàn)上述目的�����,本發(fā)明的另一個方面提供了一種在IPv6下基于IPSec硬件防火墻的處理方法,包括如下步驟:接收和發(fā)送以太網(wǎng)上的數(shù)據(jù)�;將IP數(shù)據(jù)包進(jìn)行篩選和過濾,首先將IP包進(jìn)行提取����,并將提取出來的相應(yīng)字段進(jìn)行篩選決定是否丟棄該IP數(shù)據(jù)包;通過初始化將CAM中存儲匹配規(guī)則����,然后對IP數(shù)據(jù)相應(yīng)的數(shù)據(jù)段進(jìn)行匹配,輸出匹配是否成功信息��;通過初始化在RAM中存儲源IP和目的IP子網(wǎng)掩碼信息;初始化網(wǎng)絡(luò)掩碼RAM和CAM中的數(shù)據(jù)�����,以及協(xié)調(diào)各個模塊之間的信息傳輸�����。
[0013]進(jìn)一步地��,所述的接收和發(fā)送以太網(wǎng)上的數(shù)據(jù)包括:在協(xié)調(diào)控制模塊發(fā)出要準(zhǔn)備接收以太網(wǎng)數(shù)據(jù)時,接收模塊將內(nèi)存清空,準(zhǔn)備接收來自以太網(wǎng)上的數(shù)據(jù),當(dāng)數(shù)據(jù)到來時���,進(jìn)行ERC校驗�����,若沒有接收錯誤就將數(shù)據(jù)發(fā)往一個FIFO中�,等待隨時發(fā)到FIFO ;若協(xié)調(diào)控制模塊通知FIFO要發(fā)送數(shù)據(jù)時��,F(xiàn)IFO就從將數(shù)據(jù)包通過FIFO發(fā)送出去��。
[0014]進(jìn)一步地���,所述的數(shù)據(jù)包過濾包括:根據(jù)數(shù)據(jù)包的各字段的分布規(guī)則將數(shù)據(jù)包進(jìn)行拆分�����,拆分成版本號字段����、源IP地址字段���、目的IP地址字段���、源端口號字段���、目的端口號字段、源MAC地址字段�;將提取出的各字段送到相對應(yīng)的CAM中進(jìn)行數(shù)據(jù)匹配。決定是否丟棄或保留該IP數(shù)據(jù)包���。
[0015]進(jìn)一步地�,所述的用于存儲匹配規(guī)則的CAM進(jìn)一步包括:用于匹配源IP地址范圍的CAM ;用于匹配目的IP地址范圍的CAM ;用于匹配源端口號的CAM ;用于匹配目的端口號的CAM ;用于匹配源MAC地址的CAM��。
[0016]本發(fā)明中涉及的防火墻模塊采用的是基于包過濾技術(shù)的防火墻����。其優(yōu)點是包過濾防火墻容易實現(xiàn),處理速度較快��,滿足整個IPSec數(shù)據(jù)處理對速率的要求�,并且該防火墻模塊能對IP數(shù)據(jù)包準(zhǔn)確的判斷是否要對該數(shù)據(jù)包進(jìn)行IPSec處理����。本發(fā)明提供了一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法,有效的對IPv6下的數(shù)據(jù)包進(jìn)行高效率的檢測����,特別地利用CAM模塊對源端口號�、目的端口號���、源MAC地址進(jìn)行匹配����,提升了數(shù)據(jù)匹配的速度�����,另外對于源IP地址CAM和目的IP地址CAM中不是直接存放的地址值��,而是存儲的是源IP地址和目的IP地址的范圍����,這樣更快速的實現(xiàn)數(shù)據(jù)的匹配。由于該防火墻系統(tǒng)和方法是針對IPSec協(xié)議處理模型而特定設(shè)計的�����,因此�,為IPSec協(xié)議處理模型提供了完全符合標(biāo)準(zhǔn)的IPV6數(shù)據(jù)包,這樣IPSec協(xié)議處理模型可以更專注于對IPv6數(shù)據(jù)包進(jìn)行IPSec處理,而不必在考慮是否要對該數(shù)據(jù)包進(jìn)行IPSec處理��,從而大大提高了 IPSec協(xié)議處理模型的工作效率��。
[0017]本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出�����,這些將從下面的描述中變得明顯����,或通過本發(fā)明的實踐了解到。
【專利附圖】
【附圖說明】
[0018]圖1示出根據(jù)本發(fā)明一實施例方式的一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)的結(jié)構(gòu)示意圖���;
圖2示出本發(fā)明提供的一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)的另一【具體實施方式】的結(jié)構(gòu)示意圖����;
圖3示出本發(fā)明提供的一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)的一個實施例中網(wǎng)絡(luò)掩碼RAM模塊的【具體實施方式】的結(jié)構(gòu)示意圖�����;
圖4示出本發(fā)明提供的一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)的一個實施例中數(shù)據(jù)包過濾模塊【具體實施方式】的結(jié)構(gòu)示意圖���;
圖5示出本發(fā)明實施例提供的一種在IPv6下基于IPSec硬件防火墻的方法中數(shù)據(jù)包過濾模塊的流程圖;
圖6示出本發(fā)明實施例提供的一種在IPv6下基于IPSec硬件防火墻的方法的流程圖。
【具體實施方式】
[0019]下面詳細(xì)描述本發(fā)明的實施方式����,所述實施方式的示例在附圖中示出,其中自始至終相同或類似的標(biāo)號表示相同或類似的元件或具有相同或類似功能的元件���。下面通過參考附圖描述的實施方式是示例性的��,僅用于解釋本發(fā)明���,而不能解釋為對本發(fā)明的限制。
[0020]本【技術(shù)領(lǐng)域】技術(shù)人員可以理解����,除非特意聲明,這里使用的單數(shù)形式“一”�、“一個”、“所述”和“該”也可包括復(fù)數(shù)形式�。應(yīng)該進(jìn)一步理解的是,本發(fā)明的說明書中使用的措辭“包括”是指存在所述特征���、整數(shù)�、步驟��、操作、元件和/或組件��,但是并不排除存在或添加一個或多個其他特征��、整數(shù)����、步驟、操作��、元件����、組件和/或它們的組�����。應(yīng)該理解�,當(dāng)我們稱元件被“連接”或“耦接”到另一元件時,它可以直接連接或耦接到其他元件�,或者也可以存在中間元件。此外��,這里使用的“連接”或“耦接”可以包括無線連接或耦接�。這里使用的措辭“和/或”包括一個或更多個相關(guān)聯(lián)的列出項的任一單元和全部組合���。
[0021]本【技術(shù)領(lǐng)域】技術(shù)人員可以理解,除非另外定義�����,這里使用的所有術(shù)語(包括技術(shù)術(shù)語和科學(xué)術(shù)語)具有與本發(fā)明所屬領(lǐng)域中的普通技術(shù)人員的一般理解相同的意義�����。還應(yīng)該理解的是���,諸如通用字典中定義的那些術(shù)語應(yīng)該被理解為具有與現(xiàn)有技術(shù)的上下文中的意義一致的意義,并且除非像這里一樣定義��,不會用理想化或過于正式的含義來解釋���。
[0022]圖1示出本發(fā)明實施例提供的一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法的結(jié)構(gòu)示意圖。如圖1所示��,本發(fā)明提供一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法的結(jié)構(gòu)包括:以太網(wǎng)模塊102�、CAM模塊���、數(shù)據(jù)包過濾模塊106����、網(wǎng)絡(luò)掩碼RAM模塊108、協(xié)調(diào)控制t吳塊110��。
[0023]以太網(wǎng)模塊102用于接收和發(fā)送從以太網(wǎng)來的數(shù)據(jù)�����,數(shù)據(jù)在接收和發(fā)送過程中是通過FIFO來控制數(shù)據(jù)的傳輸���,在接收數(shù)據(jù)時若發(fā)生接收錯誤或進(jìn)行CRC校驗時有錯誤就丟棄該數(shù)據(jù)包,接收正確則將數(shù)據(jù)送到與FIFO相連的FIFO里�����,然后FIFO若收到來自控制協(xié)調(diào)模塊110的發(fā)送信號��,就將剛才接收到的數(shù)據(jù)包發(fā)給數(shù)據(jù)包過濾模塊106�。例如����,控制協(xié)調(diào)模塊110發(fā)出信號讓以太網(wǎng)模塊102準(zhǔn)備接收數(shù)據(jù)���,若有數(shù)據(jù)過來�,則接收數(shù)據(jù)并檢查數(shù)據(jù)的正確性,正確就交給FIFO隨時準(zhǔn)備將數(shù)據(jù)發(fā)送給數(shù)據(jù)包過濾模塊106��,進(jìn)行數(shù)據(jù)的進(jìn)一步處理�。
[0024]作為一種實施方式�,CAM模塊104用于存儲目的IP地址、源IP地址�����、源端口號����、目的端口號、源MAC地址��,所以這個CAM模塊104包含了 5中不同類型和規(guī)格的CAM�����,包括:源IP地址CAM����,其寬度為128位��,深度為16����。目的IP地址CAM,其寬度為128位����,深度為16。源端口號CAM�����,其寬度為16位����,深度為16。目的端口號CAM�,其寬度為16位,深度為16����。源MAC地址CAM����,其寬度為48位���,深度為16��。當(dāng)數(shù)據(jù)包過濾模塊106要對分段數(shù)據(jù)進(jìn)行匹配時�����,就將該分段數(shù)據(jù)輸入對應(yīng)的CAM中,進(jìn)行查找��,最后CAM模塊反饋回來信息���,表示是否匹配成功����。例如����,數(shù)據(jù)包過濾模塊106要將源端口號16位的數(shù)據(jù)進(jìn)行檢查�����,就將該16位的數(shù)據(jù)送到源端口號CAM中,該CAM會將送來的源端口號數(shù)據(jù)與該CAM中存儲的數(shù)據(jù)進(jìn)行每位的匹配�����,若匹配成功就發(fā)出該項目匹配成功的信號�����,否則就就發(fā)出丟棄該包的信號�����。
[0025]作為另一種實施方式�,所述CAM模塊104包括:M個CAM,每個CAM的寬度為N字節(jié)����、深度為P,其中:M是指使用CAM的個數(shù)���,這里CAM的總數(shù)為M=18個����,用于比對目的端口號為2個CAM,源端口號為2個CAM�����,目的IP地址為4個CAM�����,源IP地址為4個CAM���,源MAC地址為6個CAM��,每個CAM都是相同的N和P���,其中N為I字節(jié)����,P為16
數(shù)據(jù)包過濾模塊106用于對以太網(wǎng)模塊102發(fā)來的數(shù)據(jù)進(jìn)行檢查和過濾的功能,首先判斷該IP數(shù)據(jù)包是否為IPv6數(shù)據(jù)���,若不是就直接丟棄��,若是IPv6數(shù)據(jù)包則在對發(fā)來的數(shù)據(jù)包進(jìn)行5項內(nèi)容的檢查�,分別為源IP地址、目的IP地址���、源端口號��、目的端口號�、源MAC地址�。只有這5項內(nèi)容都滿足要求才說明該數(shù)據(jù)包是符合要求的,因此可以將該數(shù)據(jù)包發(fā)到下一級進(jìn)行處理��。否則就丟棄���。例如��,在對源IP地址進(jìn)行過濾時��,首先將源IP地址在IP數(shù)據(jù)包中的源IP地址字段提取出來�,為128位�,該源IP地址先要與網(wǎng)絡(luò)掩碼RAM模塊108中的源IP的RAM進(jìn)行相與的操作,把操作的結(jié)果在發(fā)到CAM模塊104中對應(yīng)的源IP地址CAM中進(jìn)行數(shù)據(jù)的匹配��,匹配的結(jié)果返回作為該數(shù)據(jù)包是否符合要求的條件之一���。
[0026]作為一種實施方式����,網(wǎng)絡(luò)掩碼RAM模塊108用于存儲源IP和目的IP的,該模塊包括兩個RAM��,一個是用于存儲源IP數(shù)據(jù)的����,寬度為128位,寬度為16�����。另一個RAM是用于存儲目的IP數(shù)據(jù)的�,寬度為128位,深度為16����。當(dāng)需要對源IP地址和目的IP地址進(jìn)行檢查時,由于IP地址數(shù)據(jù)位數(shù)較大而且變化范圍太大���,若是單純用CAM進(jìn)行匹配,用需要大量的CAM單元�����,對資源消耗太大,采取檢測IP地址的范圍來判定該數(shù)據(jù)包的地址是否符合要求就大大加快的匹配的效率�。例如,要檢查目的IP地址是否符合要求�����,將目的IP地址數(shù)據(jù)段與對應(yīng)網(wǎng)絡(luò)掩碼RAM中目的IP的RAM數(shù)據(jù)調(diào)出來跟目的IP地址進(jìn)行想與的操作����,結(jié)果輸出,在跟CAM模塊104中的目的IP地址CAM進(jìn)行數(shù)據(jù)的匹配�。匹配的結(jié)果作為判斷該數(shù)據(jù)包是否滿足要求的條件之一。
[0027]作為另一種實施方式��,所述網(wǎng)絡(luò)掩碼RAM模塊進(jìn)一步包括:A個RAM�����,每個RAM的寬度為B字節(jié)���、深度為C����,其中:這里用到RAM的個數(shù)為A=2,用于存儲目的IP地址用I個RAM�����、用于存儲源IP地址用I個RAM���,每個RAM的寬度為4個字節(jié)����,深度為16�。
[0028]協(xié)調(diào)控制模塊110用于協(xié)調(diào)和控制整個防火墻系統(tǒng)的運作,剛開始對各個CAM和RAM進(jìn)行初始化�����,將特定的數(shù)據(jù)輸入到各個存儲器中����,作為篩選的條件。需要對數(shù)據(jù)進(jìn)行檢測時����,發(fā)出信號給以太網(wǎng)模塊102,該模塊將數(shù)據(jù)準(zhǔn)備好發(fā)到下一級進(jìn)行處理��,有任何錯誤會發(fā)出報告�,協(xié)調(diào)控制模塊110根據(jù)相應(yīng)的信號決定是丟棄還是繼續(xù)處理。任何模塊發(fā)現(xiàn)匹配錯誤或者發(fā)出其他錯誤信號給該模塊時����,協(xié)調(diào)控制模塊110都會進(jìn)行相應(yīng)的處理。若最后所有處理過程都沒有錯誤信號發(fā)出則該模塊就將完整的IP數(shù)據(jù)送到一個FIFO中���,留給下一級模塊調(diào)用���。例如,當(dāng)數(shù)據(jù)包過濾模塊有要丟棄數(shù)據(jù)包的信號發(fā)出時��,協(xié)調(diào)控制模塊110會根據(jù)錯誤報告決定丟棄該包�����,并發(fā)出信息來控制其他模塊停止處理當(dāng)前的數(shù)據(jù)包��。
[0029]圖2示出本發(fā)明提供的一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法的另一【具體實施方式】的結(jié)構(gòu)示意圖���;
如圖2所示����,以太網(wǎng)模塊202進(jìn)一步包括接收模塊2020、FIF02022���。
[0030]其中����,接收模塊2020用于以太網(wǎng)上數(shù)據(jù)的接收工作����,當(dāng)協(xié)調(diào)控制模塊210發(fā)出可以準(zhǔn)備接收以太網(wǎng)數(shù)據(jù)包的指令時,該模塊就準(zhǔn)備接收數(shù)據(jù)包��,當(dāng)有數(shù)據(jù)包過來時���,還要進(jìn)行CRC的校驗����,若有誤就發(fā)出錯誤信號給協(xié)調(diào)控制模塊210��,若沒有錯誤就將數(shù)據(jù)傳給FIF02022��。例如���,接收模塊接收到一個1500字節(jié)的數(shù)據(jù)包�����,并且沒有發(fā)現(xiàn)錯誤����,就將這1500字節(jié)的數(shù)據(jù)包傳給接收模塊2022����。
[0031]FIF02022用于發(fā)送剛才從接收模塊2020接收的數(shù)據(jù),當(dāng)協(xié)調(diào)控制模塊210發(fā)出要接收以太網(wǎng)模塊數(shù)據(jù)包的指令時��,F(xiàn)IFO就開始發(fā)送數(shù)據(jù)包���。例如�����,發(fā)送一個1500字節(jié)的數(shù)據(jù)包給數(shù)據(jù)包過濾模塊206���。
[0032]CAM模塊204進(jìn)一步包括目的端口 CAM 2040、源端口 CAM 2042����、源IP地址CAM2044�、目的 IP 地址 CAM 2046�、源 MAC 地址 CAM 2048。
[0033]其中����,目的端口 CAM 2040模塊用于存放目的端口號的信息,如TCP��、UDP目的端口號�。
[0034]例如,CAM 2040模塊中存放16位的TCP目的端口號��。
[0035]源端口 CAM 2042模塊用于存放目的端口號的信息�����,如TCP�、UDP源端口號。例如�,CAM 2042模塊中存放16位的TCP源端口號。
[0036]源IP地址CAM 2044模塊用于存放源IP地址的信息��。例如����,CAM 2044模塊中存放128位的源IP地址��。
[0037]目的IP地址CAM 2046模塊用于存放目的IP地址的信息����。例如���,CAM 2046模塊中存放128位的目的IP地址��。
[0038]源MAC地址CAM 2048模塊用于存放源MAC地址的信息。例如��,CAM 2048模塊中存放48位的源MAC地址��。
[0039]數(shù)據(jù)包過濾模塊206進(jìn)一步包括數(shù)據(jù)包提取模塊2060�、數(shù)據(jù)比較模塊2062。
[0040]其中�,數(shù)據(jù)包提取模塊2060用于將一個IP數(shù)據(jù)包中相關(guān)信息字段提取出來,送到相應(yīng)的CAM中進(jìn)行匹配���。例如�����,將一個1500字節(jié)的IP數(shù)據(jù)包���,將其中的源端口號字段提取出來送到源端口 CAM 2042模塊中����,進(jìn)行數(shù)據(jù)的匹配����。
[0041]數(shù)據(jù)比較模塊2062用于將提取出來的數(shù)據(jù)與對應(yīng)的CAM匹配后,得到幾個匹配是否成功的信號�,根據(jù)這些信號進(jìn)行判斷這個IP數(shù)據(jù)包是否符合要求。例如�����,總共有5個CAM小模塊��,這個5個CAM都返回匹配成功信號才說明該數(shù)據(jù)是符合要求的�����。
[0042]網(wǎng)絡(luò)掩碼RAM模塊208進(jìn)一步包括源IP RAM 2080��、目的IP RAM 2082���。
[0043]其中�,源IP RAM 2080用于存放源IP地址的子網(wǎng)掩碼。例如���,存儲的子網(wǎng)掩碼為255.255.255.255.255.255.255.255.255.255.255.0�����。
[0044]目的IP RAM 2082用于存放目的IP地址的子網(wǎng)掩碼���。例如,存儲的子網(wǎng)掩碼為255.255.255.255.255.255.255.255.255.255.255.0����。
[0045]如圖3所示���,該圖描述了當(dāng)提取IP源地址和IP目的地址時����,在送到相應(yīng)CAM模塊中匹配時先要同網(wǎng)絡(luò)掩碼中的RAM模塊進(jìn)行相與的操作�����,具體過程是:當(dāng)提取到IP源地址,此時網(wǎng)絡(luò)掩碼RAM中源IP地址RAM中對應(yīng)的數(shù)據(jù)與該IP源地址進(jìn)行與操作后數(shù)據(jù)輸出��。對于提取到IP目的地址�����,此時網(wǎng)絡(luò)掩碼RAM中目的IP地址RAM中對應(yīng)的數(shù)據(jù)與該IP目的地址進(jìn)行與操作后數(shù)據(jù)輸出�����。
[0046]如圖4所示����,該圖描述了包過濾模塊的實施的模塊圖,當(dāng)以太網(wǎng)模塊發(fā)送過來IP數(shù)據(jù)包時���,包提取模塊402將發(fā)送過來的IP數(shù)據(jù)包進(jìn)行拆分���,提取出相應(yīng)的數(shù)據(jù)段分別送到對應(yīng)的CAM模塊404中進(jìn)行匹配,并輸出結(jié)果�����。例如��,提取到源端口號字段,就送到源端口號CAM進(jìn)行數(shù)據(jù)匹配��,并將匹配的結(jié)果輸出�。
[0047]圖5示出本發(fā)明提供的一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法的流程圖。
[0048]如圖5所示���,一種在IPv6下基于IPSec硬件防火墻的實現(xiàn)方法的流程500包括: 步驟502���,以太網(wǎng)模塊接收并發(fā)送數(shù)據(jù),將IP數(shù)據(jù)傳出�,例如,以太網(wǎng)模塊接收1500字節(jié)的IP數(shù)據(jù)��,經(jīng)過簡單的檢查和處理若沒有發(fā)現(xiàn)錯誤就將數(shù)據(jù)送出����。
[0049]步驟504��,根據(jù)以太網(wǎng)模塊接收和發(fā)送數(shù)據(jù)是否發(fā)現(xiàn)錯誤來判斷是否要接收以太網(wǎng)模塊發(fā)來的數(shù)據(jù)�����,若沒有發(fā)現(xiàn)錯誤就接收該數(shù)據(jù)�,若發(fā)現(xiàn)有錯誤就丟棄該數(shù)據(jù)包�����。例如�����,接收該數(shù)據(jù)包��。
[0050]步驟506����,數(shù)據(jù)包過濾模塊對數(shù)據(jù)包進(jìn)行拆分�,并和相應(yīng)的CAM模塊進(jìn)行匹配,其中將數(shù)據(jù)包拆分成源IP地址字段��、目的IP地址字段����、源端口號字段、目的端口號字段�����、源MAC地址字段��,其中源MAC地址字段是在以太網(wǎng)模塊中提取的。所有需要提取的字段經(jīng)過提取后送往相對應(yīng)的CAM模塊進(jìn)行數(shù)據(jù)的匹配��。例如�,提取到源端口號字段,將該字段送到對應(yīng)的源端口號CAM中進(jìn)行匹配�����,得到輸出結(jié)果為正確或錯誤���。
[0051]步驟508����,根據(jù)數(shù)據(jù)包拆分后與對應(yīng)的CAM模塊進(jìn)行依次的匹配�,只有當(dāng)源IP地址CAM模塊發(fā)出成功信號,目的IP地址CAM模塊發(fā)出成功信號�����,源端口號CAM模塊發(fā)出成功信號����,目的端口號CAM模塊發(fā)出成功信號,源MAC地址CAM模塊發(fā)出成功信號,只有這五個成功信號同時發(fā)生時才表示匹配成功���,該數(shù)據(jù)包符合要求�����。例如��,源端口號CAM發(fā)出錯誤信號��,就丟棄該數(shù)據(jù)包�����。
[0052]步驟510��,協(xié)同控制模塊根據(jù)匹配成功的信息�����,將完整的數(shù)據(jù)包傳輸?shù)捷敵鯢IFO���,協(xié)同控制模塊還控制著每個模塊的運行情況���,跟協(xié)調(diào)每個模塊的工作,提高數(shù)據(jù)包處理的效率。例如�,匹配成功,將1500字節(jié)的數(shù)據(jù)包送到輸出FIFO中����,供下一級調(diào)用。
[0053]如圖6所示����,實現(xiàn)數(shù)據(jù)包過濾處理方法的流程圖。
[0054]步驟602�����,以太網(wǎng)模塊接收并發(fā)送數(shù)據(jù)���,將IP數(shù)據(jù)傳出����,此時的數(shù)據(jù)包是標(biāo)準(zhǔn)的IP數(shù)據(jù)包�,此時的報頭是標(biāo)準(zhǔn)的IP報頭,所以在進(jìn)行下一步的操作的時候可以按照標(biāo)準(zhǔn)的形式進(jìn)行數(shù)據(jù)包的提取���。
[0055]步驟604���,用于甄別該IP數(shù)據(jù)包是否為IPv6數(shù)據(jù)包��,若是IPv6數(shù)據(jù)包則選擇繼續(xù)下一級數(shù)據(jù)的傳輸。若是IPv4數(shù)據(jù)包則丟棄��。例如�,該數(shù)據(jù)是IPv4數(shù)據(jù),則直接丟棄�。
[0056]步驟606,包提取模塊將IP數(shù)據(jù)包分解成各種需要的片段��,分解成源IP地址����、目的IP地址、源端口號�����、目的端口號字段��,對每個字段的數(shù)據(jù)分別發(fā)送不同的模塊��。例如�,將IP數(shù)據(jù)包拆分成IP源端口號字段。
[0057]步驟608,存儲源IP和目的IP的網(wǎng)絡(luò)掩碼RAM���,例如�����,存儲128位的源IP子網(wǎng)掩碼的RAM��。
[0058]步驟610��,存儲IP地址的CAM��,例如�,128位的源IP地址CAM模塊���。
[0059]步驟612�����,存儲IP端口號的CAM���,例如,128位的源IP端口的CAM模塊�����。
[0060]步驟614,存儲源MAC地址的CAM����,例如���,48位的源MAC地址CAM模塊�����。
[0061]步驟616�,IP地址CAM匹配的結(jié)果顯示出來�����,例如����,匹配成功。
[0062]步驟618�����,IP端口號CAM匹配的結(jié)果顯示出來,例如���,匹配成功�����。
[0063]步驟620���,源MAC地址的CAM匹配的結(jié)果顯示出來,例如���,匹配成功�。
[0064]步驟622�����,將五個CAM模塊的匹配結(jié)果進(jìn)行整理�����,輸出總的結(jié)果��。例如����,CAM模塊都顯示成功��,輸出整個IP數(shù)據(jù)包����。
[0065]參考前述本發(fā)明示例性的描述��,本領(lǐng)域技術(shù)人員可以知曉本發(fā)明具有以下優(yōu)點: 本發(fā)明提供了一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法�����,該系統(tǒng)及方法可應(yīng)用于IPv6下IPSec協(xié)議處理模型���,該系統(tǒng)對來自外網(wǎng)的數(shù)據(jù)進(jìn)行第一步處理,為IPSec協(xié)議處理做了最基礎(chǔ)的工作也是非常關(guān)鍵的準(zhǔn)備工作����。該設(shè)計提高了對IP數(shù)據(jù)處理的效率,并且有嚴(yán)格的數(shù)據(jù)過濾規(guī)則����,提高了對IP數(shù)據(jù)的處理正確率,進(jìn)一步加強(qiáng)了用戶對網(wǎng)絡(luò)安全性的要求����。
[0066]本發(fā)明提供了一種快速的數(shù)據(jù)匹配規(guī)則�����,利用CAM存儲要匹配的數(shù)據(jù)���,提高了匹配處理的速度和準(zhǔn)確性,該數(shù)據(jù)匹配規(guī)則可適當(dāng)?shù)膬?yōu)化�����,也可用于其他需要進(jìn)行數(shù)據(jù)篩選的應(yīng)用中�。
[0067]作為另一種實施方式,一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法,該系統(tǒng)包括:以太網(wǎng)模塊,用于以太網(wǎng)上的數(shù)據(jù)包的接收和發(fā)送���,數(shù)據(jù)包過濾模塊����,用于檢測以下6種信息是否符合要求����,需要檢測的7種信息如下:(I) IP數(shù)據(jù)的版本號(2)目的端口、
(3)源IP地址�、(4)源端口�����、(5)目的IP地址��、(6)源IP和目的IP以及(7)源MAC地址���;內(nèi)容地址存儲CAM (Content Addressable Memory),用于存儲以下7種信息并進(jìn)行快速的數(shù)據(jù)匹配,匹配的信息包括:(I) IP數(shù)據(jù)的版本號����、(2)目的端口、(3)源IP地址���、(4)源端口、(5)目的IP地址以及(6)源MAC地址�;網(wǎng)絡(luò)掩碼RAM模塊,用于存儲源IP和目的IP信息�����;協(xié)調(diào)控制模塊���,用于初始化網(wǎng)絡(luò)掩碼RAM和CAM中的數(shù)據(jù)���,以及協(xié)調(diào)各個模塊之間的信息傳輸�。
[0068]本發(fā)明提供的一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法的一個實施例中�����,以太網(wǎng)模塊實現(xiàn)的方法進(jìn)一步包括:在數(shù)據(jù)包接收子模塊中�,當(dāng)協(xié)調(diào)控制模塊發(fā)出要接收以太網(wǎng)數(shù)據(jù)時,該模塊開始接收數(shù)據(jù)��,若有接收錯誤或者進(jìn)行CRC檢查時有錯誤��,就丟棄該包��,否則就讓數(shù)據(jù)包通過一個FIFO緩存起來����,并通知協(xié)調(diào)控制模塊成功接收該數(shù)據(jù)包;數(shù)據(jù)包發(fā)送子模塊�����,若協(xié)調(diào)控制模塊通知FIFO要發(fā)送數(shù)據(jù)時�����,該模塊就從將數(shù)據(jù)包通過FIFO發(fā)送出去。
[0069]本發(fā)明提供的一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法的一個實施例中�,數(shù)據(jù)包過濾模塊實現(xiàn)方法進(jìn)一步包括:IP包提取模塊,用于將IP數(shù)據(jù)進(jìn)行分段提?����?���;首先將IPv6的報頭的40字節(jié)進(jìn)行提取,通過檢報頭中測版本號字段可知該數(shù)據(jù)包是否為IPv6數(shù)據(jù)包�,若不是就丟棄該數(shù)據(jù)包,并發(fā)出丟棄信號�����,由協(xié)調(diào)控制模塊對數(shù)據(jù)進(jìn)行相應(yīng)處理��,若是IPv6數(shù)據(jù)包則進(jìn)行下一步的檢測����,判斷源/目的IPv6地址�����,是否符合要求,在CAM模塊中與相應(yīng)的CAM進(jìn)行數(shù)據(jù)的匹配��,若匹配的結(jié)果錯誤則丟棄該包�,若正確則繼續(xù)檢測報頭中下一報頭字段的值,根據(jù)檢測到下一報頭字段的值來進(jìn)行相關(guān)的判斷��,并根據(jù)下一報頭字段的值提取對應(yīng)的端口號�����;數(shù)據(jù)比較模塊����,用于將提取后的數(shù)據(jù)與CAM模塊中存儲的數(shù)據(jù)進(jìn)行比較,判斷數(shù)據(jù)是否是符合要求的����。若符合要求則將完整的IPv6數(shù)據(jù)包提交給下一層。否則丟棄整個IPv6數(shù)據(jù)包���。
[0070]本發(fā)明提供的一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法的一個實施例中���,CAM模塊的實現(xiàn)方法進(jìn)一步包括:M個CAM��,每個CAM的寬度為N字節(jié)(Byte)����,深度為P����,分成幾種不同規(guī)格的CAM是為了保證一個CAM中存儲同一個類型的數(shù)據(jù)。這樣在進(jìn)行匹配的時候不同的CAM可以同時進(jìn)行�����,提高數(shù)據(jù)匹配的速度��,從而整體提高防火墻的數(shù)據(jù)處理的速度���。
[0071]本發(fā)明提供的一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法的一個實施例中�����,網(wǎng)絡(luò)掩碼RAM模塊的實現(xiàn)方法進(jìn)一步包括:A個RAM�����,每個RAM的寬度為B字節(jié)(Byte),深度為C,分成不同類型的RAM是為了保證每個RAM中存儲同一種類型的數(shù)據(jù)��。這樣在進(jìn)行數(shù)據(jù)匹配的時候可以同時進(jìn)行���,從而提高匹配的速率�。
[0072]本發(fā)明提供的一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法的一個實施例中�,協(xié)調(diào)控制模塊的實現(xiàn)方法進(jìn)一步包括:用于初始化網(wǎng)絡(luò)掩碼RAM和CAM中的數(shù)據(jù),以及協(xié)調(diào)各個模塊之間的信息傳輸���。合理的安排數(shù)據(jù)的流動��。
[0073]本發(fā)明中涉及的防火墻模塊采用的是基于包過濾技術(shù)的防火墻����。其優(yōu)點是包過濾防火墻容易實現(xiàn)��,處理速度較快�,滿足整個IPSec數(shù)據(jù)處理對速率的要求,并且該防火墻模塊能對IP數(shù)據(jù)包準(zhǔn)確的判斷是否要對該數(shù)據(jù)包進(jìn)行IPSec處理�����。本發(fā)明提供了一種在IPv6下基于IPSec硬件防火墻的系統(tǒng)和方法���,有效的對IPv6下的數(shù)據(jù)包進(jìn)行高效率的檢測�����,特別地利用CAM模塊對源端口號����、目的端口號、源MAC地址進(jìn)行匹配�,提升了數(shù)據(jù)匹配的速度,另外對于源IP地址CAM和目的IP地址CAM中不是直接存放的地址值����,而是存儲的是源IP地址和目的IP地址的范圍,這樣更快速的實現(xiàn)數(shù)據(jù)的匹配��。由于該防火墻系統(tǒng)和方法是針對IPSec協(xié)議處理模型而特定設(shè)計的�����,因此�,為IPSec協(xié)議處理模型提供了完全符合標(biāo)準(zhǔn)的IPV6數(shù)據(jù)包,這樣IPSec協(xié)議處理模型可以更專注于對IPv6數(shù)據(jù)包進(jìn)行IPSec處理���,而不必在考慮是否要對該數(shù)據(jù)包進(jìn)行IPSec處理���,從而大大提高了 IPSec協(xié)議處理模型的工作效率�。
[0074]本【技術(shù)領(lǐng)域】技術(shù)人員可以理解��,本發(fā)明可以涉及用于執(zhí)行本申請中所述操作中的一項或多項操作的設(shè)備�����。所述設(shè)備可以為所需的目的而專門設(shè)計和制造�����,或者也可以包括通用計算機(jī)中的已知設(shè)備���,所述通用計算機(jī)有存儲在其內(nèi)的程序選擇性地激活或重構(gòu)。這樣的計算機(jī)程序可以被存儲在設(shè)備(例如���,計算機(jī))可讀介質(zhì)中或者存儲在適于存儲電子指令并分別耦聯(lián)到總線的任何類型的介質(zhì)中����,所述計算機(jī)可讀介質(zhì)包括但不限于任何類型的盤(包括軟盤����、硬盤�、光盤�����、CD-ROM�����、和磁光盤)�����、隨即存儲器(RAM)��、只讀存儲器(ROM)��、電可編程ROM��、電可擦ROM (EPROM)�����、電可擦除可編程ROM (EEPR0M)�����、閃存、磁性卡片或光線卡片�����?�?勺x介質(zhì)包括用于以由設(shè)備(例如��,計算機(jī))可讀的形式存儲或傳輸信息的任何機(jī)構(gòu)�����。例如���,可讀介質(zhì)包括隨即存儲器(RAM)、只讀存儲器(ROM)����、磁盤存儲介質(zhì)、光學(xué)存儲介質(zhì)����、閃存裝置、以電的�����、光的、聲的或其他的形式傳播的信號(例如載波����、紅外信號、數(shù)字信號)等�����。
[0075]本【技術(shù)領(lǐng)域】技術(shù)人員可以理解��,可以用計算機(jī)程序指令來實現(xiàn)這些結(jié)構(gòu)圖和/或框圖和/或流圖中的每個框以及這些結(jié)構(gòu)圖和/或框圖和/或流圖中的框的組合����。可以將這些計算機(jī)程序指令提供給通用計算機(jī)��、專業(yè)計算機(jī)或其他可編程數(shù)據(jù)處理方法的處理器來生成機(jī)器�,從而通過計算機(jī)或其他可編程數(shù)據(jù)處理方法的處理器來執(zhí)行的指令創(chuàng)建了用于實現(xiàn)結(jié)構(gòu)圖和/或框圖和/或流圖的框或多個框中指定的方法。
[0076]本【技術(shù)領(lǐng)域】技術(shù)人員可以理解��,本發(fā)明中已經(jīng)討論過的各種操作�、方法、流程中的步驟、措施�、方案可以被交替、更改�、組合或刪除。進(jìn)一步地���,具有本發(fā)明中已經(jīng)討論過的各種操作�����、方法��、流程中的其他步驟、措施����、方案也可以被交替、更改��、重排����、分解、組合或刪除����。進(jìn)一步地����,現(xiàn)有技術(shù)中的具有與本發(fā)明中公開的各種操作���、方法�、流程中的步驟�、措施、方案也可以被交替��、更改��、重排���、分解���、組合或刪除。
[0077]以上所述僅是本發(fā)明的部分實施方式��,應(yīng)當(dāng)指出�����,對于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下���,還可以做出若干改進(jìn)和潤飾�,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍�。
【權(quán)利要求】
1.一種在IPv6下基于IPSec硬件防火墻的系統(tǒng),其特征在于����,包括: 以太網(wǎng)模塊,用于接收和發(fā)送來自以太網(wǎng)上的數(shù)據(jù)包�����,數(shù)據(jù)在接收和發(fā)送過程中是通過數(shù)據(jù)傳輸?shù)闹虚g結(jié)構(gòu)FIFO來控制數(shù)據(jù)的傳輸��,其中:所述數(shù)據(jù)包具有如下信息之一:IP數(shù)據(jù)的版本號���、目的端口、源IP地址���、源端口����、目的IP地址、源IP和目的IP和/或源MAC地址�����; 數(shù)據(jù)包過濾模塊�����,其連接所述以太網(wǎng)模塊���,用于檢測所述來自以太網(wǎng)上的數(shù)據(jù)包所含信息是否符合要求��; 內(nèi)容地址存儲CAM模塊��,其連接所述數(shù)據(jù)包過濾模塊����,用于存儲所述來自以太網(wǎng)上的數(shù)據(jù)包所含信息���,并對數(shù)據(jù)包所含信息進(jìn)行快速的數(shù)據(jù)匹配����,其中:匹配的信息包括:IP數(shù)據(jù)的版本號�����、目的端口、源IP地址����、源端口、目的IP地址和源MAC地址���; 網(wǎng)絡(luò)掩碼RAM模塊��,其連接所述數(shù)據(jù)包過濾模塊��,用于存儲源IP和目的IP信息����; 協(xié)調(diào)控制模塊��,其分別連接所述以太網(wǎng)模塊���、所述數(shù)據(jù)包過濾模塊、所述CAM模塊和所述網(wǎng)絡(luò)掩碼RAM模塊���,用于初始化所述網(wǎng)絡(luò)掩碼RAM模塊和所述CAM模塊中的數(shù)據(jù)�,并且協(xié)調(diào)各連接模塊之間的信息傳輸。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述CAM模塊進(jìn)一步包括: M個CAM�,每個CAM的寬度為N字節(jié)、深度為P���,其中:M是指使用CAM的個數(shù)�,這里CAM的總數(shù)為M=18個���,用于比對目的端口號為2個CAM�,源端口號為2個CAM���,目的IP地址為4個CAM����,源IP地址為4個CAM�,源MAC地址為6個CAM,每個CAM都是相同的N和P�,其中N為I字節(jié),P為16���。
3.根據(jù)權(quán)利要求1所述的系統(tǒng)��,其特征在于�,所述網(wǎng)絡(luò)掩碼RAM模塊進(jìn)一步包括: A個RAM,每個RAM的寬度為B字節(jié)����、深度為C,其中:這里用到RAM的個數(shù)為A=2����,用于存儲目的IP地址用I個RAM、用于存儲源IP地址用I個RAM��,每個RAM的寬度為4個字節(jié)�,深度為16。
4.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述以太網(wǎng)模塊進(jìn)一步包括: 數(shù)據(jù)包接收子模塊�����,用于當(dāng)所述協(xié)調(diào)控制模塊發(fā)出要接收以太網(wǎng)數(shù)據(jù)的命令時,開始接收數(shù)據(jù)���,若有接收錯誤或者進(jìn)行CRC檢查時有錯誤,就丟棄該包��,否則就讓數(shù)據(jù)包通過一個FIFO緩存起來�����,并通知協(xié)調(diào)控制模塊成功接收該數(shù)據(jù)包���; 數(shù)據(jù)包發(fā)送子模塊���,用于當(dāng)所述協(xié)調(diào)控制模塊向所述FIFO發(fā)出要發(fā)送數(shù)據(jù)的命令時,從將數(shù)據(jù)包通過所述FIFO發(fā)送出去��。
5.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其特征在于��,所述的數(shù)據(jù)包過濾模塊進(jìn)一步包括: IP包提取模塊����,用于將IP數(shù)據(jù)進(jìn)行分段提取���; 數(shù)據(jù)比較模塊���,用于將提取后的數(shù)據(jù)與CAM模塊中存儲的數(shù)據(jù)進(jìn)行比較,判斷數(shù)據(jù)是否是符合要求的��。
6.一種在IPv6下基于IPSec硬件防火墻的處理方法����,其特征在于,包括如下步驟: 接收和發(fā)送以太網(wǎng)上的數(shù)據(jù)�����; 將IP數(shù)據(jù)包進(jìn)行篩選和過濾�����,首先將IP包進(jìn)行提取�,并將提取出來的相應(yīng)字段進(jìn)行篩選決定是否丟棄該IP數(shù)據(jù)包; 通過初始化將CAM中存儲匹配規(guī)則�,然后對IP數(shù)據(jù)相應(yīng)的數(shù)據(jù)段進(jìn)行匹配,輸出匹配是否成功信息����; 通過初始化在RAM中存儲源IP和目的IP子網(wǎng)掩碼信息��; 初始化網(wǎng)絡(luò)掩碼RAM和CAM中的數(shù)據(jù)��,以及協(xié)調(diào)各個模塊之間的信息傳輸。
7.根據(jù)權(quán)利要求6所述的方法�����,其特征在于��,所述的接收和發(fā)送以太網(wǎng)上的數(shù)據(jù)進(jìn)一步包括: 在協(xié)調(diào)控制模塊發(fā)出要準(zhǔn)備接收以太網(wǎng)數(shù)據(jù)時���,接收模塊將內(nèi)存清空�,準(zhǔn)備接收來自以太網(wǎng)上的數(shù)據(jù)�����,當(dāng)數(shù)據(jù)到來時�,進(jìn)行ERC校驗,若沒有接收錯誤就將數(shù)據(jù)發(fā)往一個FIFO中���,等待隨時發(fā)到FIFO; 若協(xié)調(diào)控制模塊通知FIFO要發(fā)送數(shù)據(jù)時�����,F(xiàn)IFO就從將數(shù)據(jù)包通過FIFO發(fā)送出去�。
8.根據(jù)權(quán)利要求6所述的方法,其特征在于�,所述的數(shù)據(jù)包過濾進(jìn)一步包括: 根據(jù)數(shù)據(jù)包的各字段的分布規(guī)則將數(shù)據(jù)包進(jìn)行拆分,拆分成版本號字段�、源IP地址字段、目的IP地址字段����、源端口號字段、目的端口號字段�����、源MAC地址字段�����; 將提取出的各字段送到相對應(yīng)的CAM中進(jìn)行數(shù)據(jù)匹配���,決定是否丟棄或保留該IP數(shù)據(jù)包����。
9.根據(jù)權(quán)利要求6所述的方法,其特征在于����,所述的用于存儲匹配規(guī)則的CAM進(jìn)一步包括: 用于匹配源IP地址范圍的CAM ; 用于匹配目的IP地址范圍的CAM; 用于匹配源端口號的CAM; 用于匹配目的端口號的CAM; 用于匹配源MAC地址的CAM�。
【文檔編號】H04L29/06GK104168295SQ201410461476
【公開日】2014年11月26日 申請日期:2014年9月11日 優(yōu)先權(quán)日:2014年9月11日
【發(fā)明者】李冰, 蔡鵬程, 劉勇, 董乾, 趙霞, 王剛 申請人:東南大學(xué)