一种安全有效的网络Bypass控制方法与流程

一种安全有效的网络bypass控制方法
技术领域
1.本发明涉及电子设备技术领域，具体是一种安全有效的网络bypass控制方法。


背景技术：

2.网络安全设备一般都是应用在两个或更多的网络之间，比如内网和外网之间，网络安全设备内的应用程序会对通过他的网络封包来进行分析，以判断是否有威胁存在，处理完后再按照一定的路由规则将封包转发出去，而如果网络安全设备出现了故障，比如断电或死机后，那连接这台设备上所有网段也就彼此失去联系了，这个时候就必须bypass(网络旁路)出来。通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统，而直接物理上导通。从而不会影响这个网络系统。
3.bypass一般按照控制方式或者称为触发方式来分，可以分为以下几个方式
4.1、通过电源触发。这种方式下，一般是在设备没有通电的情况下，bypass功能打开，如果设备一旦通电后，bypass立即调整为关闭状态。这种控制方式无法做灵活设置。并且一旦平台死机。bypass无法调整。
5.2、由gpio来控制。在进入os后，可以通过gpio来对特定的端口操作，从而实现对bypass开关的控制。使用gpio控制的方式，在平台上电开机进入初始化，没有进入系统主动控制下，会有一段黑暗时间。网络bypass无法控制。形成安全漏洞.一旦发生断电的情况，网络bypass也无法控制。
6.3、由单片机或是arm主动芯片来控制。可避免以上问题，单片机或是arm通常使用smbus或是i2c通用串口总线来和主控芯片通讯，但是smbus或是i2c不同平台之间并不通用，需要外挂驱动，增加开发难度，最关键是通用接口，容易被攻破，造成损失。


技术实现要素：

7.本发明提供一种节省空间，不需要额外驱动，减少开发成本，能提高安全性的一种安全有效的网络bypass控制方法。
8.本发明所采用的技术方案为一种安全有效的网络bypass控制方法，其特征在于：包括物理连接部分与控制部分，所述物理连接部分包括若干bypass网口，所述bypass网口与网口信号线连接，每两个所述网口信号线与继电器连接，控制部分包括触发电源、单片机和cpld，上电开机之后，所述单片机把设置的信息通过gpio发送到cpld，同时通过自定义协议传输给cpld，cpld收到设置信息之后，可根据设定的内容主动工作，无需单片机再介入，cpld发出网络控制信号去设置网络中继器的pin1和pin8来控制网络的行为模式，所述单片机在gpio功能的基础上，增加了watchdog功能，所述watchdog功能生效后，将继电器相对应的bypass网口打开，设备处于bypass状态。
9.所述单片机上gpio连接方式为，a0口连接gpio_cfg6，a1口连接gpio_cfg5，a2口连接gpio_cfg4，a4口连接gpio_cfg3，a6口连接gpio_cfg2，a8口连接gpio_cfg1，a10口连接gpio_sendbit，所述a1口到a10口分别接收各个bypass网口的电平信号。
10.所述单片机上a11口、b15口、b12口、b10口和b8口接地。
11.所述单片机上的两个vcco晶振与cpld连接，通过晶振传递模拟信号，所述cpld串联三个电容，三个电容作为滤波器将模拟信号的波段控制在一定范围内。
12.所述单片机上连接有时钟电路一和时钟电路二，所述时钟电路一为200ms一个周期，拉高gpio_sendbit端口输入的信号，所述时钟电路二为50ms一个周期，拉高gpio_sendbit端口输入的信号。
13.所述单片机上信号输出端口共设有四种bypass模式，通信时首先通过设置将cfg2到cfgn设置为高电平或是低电平，然后根据电平的高低选择网口的行为模式，设置为低电平代表是passthrough,disablelanbypass，设置为高电平代表是lanbypass模式，enablelanbypass，通过拉高sendbit，通知cpld数据有效，cpld开始接收这些控制信息到内置的控制信息存储单元，拉高时间大约200ms,cpld有200ms的时间处理接收，保证接收信息的有效性和完整性，之后通过拉低sendbit，通知cpld数据失效，拉低时间大约50ms，准备进入下一个传输周期。
14.所述网络bypass控制方法包括以下步骤：
15.步骤一：接通电源；
16.步骤二：设置网络bypass模式；
17.步骤三：cpld进行状态判断；
18.步骤四：若为开机状态，则运行正常lanbypass行为模式；若触发watchdog，则运行wdtreset行为模式，若断电关机，则运行关机lanbypass行为模式。
19.本发明的有益效果：
20.本发明在网络安全产品钟，通过电源触发，使用单片机和cpld通讯控制，节省空间，利用n个gpio通过自定义的通讯协议和cpld通讯，控制2的(n
‑
1)次方组成网络bypass模组，都是gpio操作，与平台无关，不需要额外驱动，减少开发成本，同时因是自定义的通讯协议，安全有效，提高安全性。
附图说明
21.图1是本发明一种安全有效的网络bypass控制方法的单片机电路示意图；
22.图2是本发明一种安全有效的网络bypass控制方法的lan接口示意图；
23.图3是本发明一种安全有效的网络bypass控制方法的bypass控制程序流程图；
具体实施方式
24.下面结合附图对本发明作进一步说明。
25.一种安全有效的网络bypass控制方法，其特征在于：包括物理连接部分与控制部分，所述物理连接部分包括若干bypass网口，所述bypass网口与网口信号线连接，每两个所述网口信号线与继电器连接，控制部分包括触发电源、单片机和cpld，上电开机之后，所述单片机把设置的信息通过gpio发送到cpld，同时通过自定义协议传输给cpld，cpld收到设置信息之后，可根据设定的内容主动工作，无需单片机再介入，cpld发出网络控制信号去设置网络中继器的pin1和pin8来控制网络的行为模式，所述单片机在gpio功能的基础上，增加了watchdog功能，所述watchdog功能生效后，将继电器相对应的bypass网口打开，设备处
于bypass状态。
26.所述单片机上gpio连接方式为，a0口连接gpio_cfg6，a1口连接gpio_cfg5，a2口连接gpio_cfg4，a4口连接gpio_cfg3，a6口连接gpio_cfg2，a8口连接gpio_cfg1，a10口连接gpio_sendbit，所述a1口到a10口分别接收各个bypass网口的电平信号。
27.所述单片机上a11口、b15口、b12口、b10口和b8口接地。
28.所述单片机上的两个vcco晶振与cpld连接，通过晶振传递模拟信号，所述cpld串联三个电容，三个电容作为滤波器将模拟信号的波段控制在一定范围内。
29.所述单片机上连接有时钟电路一和时钟电路二，所述时钟电路一为200ms一个周期，拉高gpio_sendbit端口输入的信号，所述时钟电路二为50ms一个周期，拉高gpio_sendbit端口输入的信号。
30.所述单片机上信号输出端口共设有四种bypass模式，通信时首先通过设置将cfg2到cfgn设置为高电平或是低电平，然后根据电平的高低选择网口的行为模式，设置为低电平代表是passthrough,disablelanbypass，设置为高电平代表是lanbypass模式，enablelanbypass，通过拉高sendbit，通知cpld数据有效，cpld开始接收这些控制信息到内置的控制信息存储单元，拉高时间大约200ms,cpld有200ms的时间处理接收，保证接收信息的有效性和完整性，之后通过拉低sendbit，通知cpld数据失效，拉低时间大约50ms，准备进入下一个传输周期。
31.所述网络bypass控制方法包括以下步骤：
32.步骤一：接通电源；
33.步骤二：设置网络bypass模式；
34.步骤三：cpld进行状态判断；
35.步骤四：若为开机状态，则运行正常lanbypass行为模式；若触发watchdog，则运行wdtreset行为模式，若断电关机，则运行关机lanbypass行为模式。
36.本发明在网络安全产品钟，通过电源触发，使用单片机和cpld通讯控制，节省空间，利用n个gpio通过自定义的通讯协议和cpld通讯，控制2的(n
‑
1)次方组成网络bypass模组，都是gpio操作，与平台无关，不需要额外驱动，减少开发成本，同时因是自定义的通讯协议，安全有效，提高安全性。
37.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。