以太网交换机及网络系统的制作方法

1.本公开涉及网络数据交换设备领域，具体涉及以太网交换机及网络系统。


背景技术：

2.拟态防御是一种应对网络攻击威胁的新思想，其通过构建动态异构冗余的系统架构和运行机制实现基于未知漏洞或后门的入侵防御，能够有效提升网络空间的安全性。
3.在一种采用拟态防御方式的以太网交换机中，协议栈以异构方式运行，即协议栈程序运行在至少三个异构处理器上，再由判决器对多个异构处理器的处理结果进行判决。但是在此种以太交换机中，在将协议数据发送至至少三个异构处理器之前，需要交换机芯片驱动处理器对协议报文进行解析处理。一旦交换机芯片驱动处理器受到攻击，当前数据可能被窃取。
4.因此，有必要提出一种新的以太交换机的技术方案。


技术实现要素：

5.本公开提出了以太网交换机及网络系统。
6.第一方面，本公开提供了一种以太网交换机，包括：交换芯片、交换芯片驱动处理器、判决器和至少三个异构执行体，其中：
7.上述交换机芯片，被配置为接收目标协议报文，以及将上述目标协议报文发送至上述交换机芯片驱动处理器；
8.上述交换机芯片驱动处理器，被配置为将上述目标协议报文发送至上述判决器；
9.上述判决器，被配置为对上述目标协议报文进行解析得到目标协议数据，以及将上述目标协议数据发送至各异构执行体进行处理。
10.在一些可选的实施方式中，上述判决器还被配置为：接收每个上述异构执行体发送的处理结果，以及对各上述处理结果进行拟态判决，得到相应的判决结果。
11.在一些可选的实施方式中，上述交换机芯片中设置有直接存储器访问控制器；以及
12.上述交换机芯片被配置为将上述目标协议报文发送至上述交换机芯片驱动处理器，包括：
13.上述交换机芯片被配置为通过上述交换机芯片的直接存储器访问控制器将上述目标协议报文发送至上述交换机芯片驱动处理器的内存。
14.在一些可选的实施方式中，上述交换机芯片驱动处理器的网卡中设置有直接存储器访问控制器；以及
15.上述交换机芯片驱动处理器被配置为将上述目标协议报文发送至上述判决器，包括：
16.上述交换机芯片驱动处理器被配置为通过上述交换机芯片驱动处理器的网卡的直接存储器访问控制器将上述目标协议报文发送至上述判决器。
17.在一些可选的实施方式中，上述交换机芯片被配置为将上述目标协议报文发送至上述交换机芯片驱动处理器，还包括：
18.上述交换机芯片还被配置为将上述目标协议报文在上述交换机芯片驱动处理器的内存中的存储位置发送至上述交换机芯片驱动处理器的网卡，以供上述交换机芯片驱动处理器的网卡根据上述存储位置获取上述目标协议报文。
19.在一些可选的实施方式中，上述交换机芯片驱动处理器和上述判决器通过总线通信。
20.在一些可选的实施方式中，上述判决器被配置为对上述目标协议报文进行解析得到目标协议数据，包括：
21.上述判决器被配置为从上述目标协议报文中提取协议数据，以及在上述协议数据中封装预设的私有以太网头，得到上述目标协议数据。
22.在一些可选的实施方式中，上述交换机芯片驱动处理器包括进阶精简指令集机器处理器。
23.在一些可选的实施方式中，上述判决器包括现场可编程逻辑门阵列。
24.第二方面，本公开提供了一种网络系统，包括路由器、交换机、服务器和光传输设备，其中，上述的交换机采用前述任一实施方式描述的以太网交换机。
25.本实施例中的以太网交换机及网络系统，由交换机芯片驱动处理器将目标协议报文发送至判决器，再由判决器对目标协议报文进行解析得到目标协议数据，以及将目标协议数据发送至每个异构执行体进行处理，无需交换机芯片驱动处理器对协议报文进行解析处理，避免了因交换机芯片驱动处理器受到攻击导致数据被窃取，有效提高了以太网交换机及网络系统的安全性。
26.此外，本实施例中的以太网交换机方案具有兼容性和易移植性，能够兼容当前商业交换机的流程并且容易实现在当前商业交换机的移植开发。
附图说明
27.通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本公开的其它特征、目的和优点将会变得更明显：
28.图1是根据本公开的以太网交换机的一个实施例的结构示意图；
29.图2是根据本公开的以太网交换机的数据处理流程的示意图。
具体实施方式
30.下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。
31.需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
32.图1示出了根据本公开的以太网交换机的一个实施例的结构示意图。
33.如图1所示，以太网交换机100可以包括交换芯片101、交换芯片驱动处理器102、判决器103和n个异构执行体1041、1042、
…
、104n，其中，n为大于等于3的正整数。
34.交换芯片101与交换芯片驱动处理器102之间通信连接。交换芯片驱动处理器102与判决器103之间通信连接。判决器103与n个异构执行体1041、1042、
…
、104n中的任一个异构执行体之间通信连接。
35.在本实施例中，交换芯片101可以作为数据转发的实体，完成对端数据的按规则转发。交换芯片驱动处理器102可以接收来自交换芯片的上送报文，并向判决器103提供上送报文。判决器103可以作为各异构执行体1041、1042、
…
、104n和交换芯片101之间的桥梁，负责报文上送和下发数据的一致性判决。各异构执行体1041、1042、
…
、104n可以接收来自判决器的上送报文并进行数据处理，并向判决器103提供下发报文。
36.在本实施例中，n个异构执行体1041、1042、
…
、104n作为异构等价功能体，即结构不同功能相同的执行体，可以执行具体的协议数据处理、未知报文处理、表项管理、系统控制权限管理、系统日志管理等功能。
37.在一个例子中，上述以太网交换机可以基于zynq平台实现。zynq是赛灵思公司(xilinx)推出的一系列soc(system on chip，片上系统)芯片，该系列芯片将xilinx的fpga(field programmable gate array，现场可编程逻辑门阵列)逻辑资源和arm(advanced risc machine，进阶精简指令集机器)处理器以及一些外设集成到了一个芯片中。其中，zynq芯片中的arm处理器可以用来实现交换芯片驱动处理器102，zynq芯片中的fpga逻辑资源可以用来实现判决器103。
38.在本实施例中，交换机芯片101可以被配置为接收目标协议报文，以及将目标协议报文发送至交换机芯片驱动处理器102。
39.这里，目标协议报文可以是路由协议报文、链路层协议报文等。
40.在本实施例中，交换机芯片驱动处理器102可以被配置为将目标协议报文发送至判决器103。
41.在本实施例中，判决器103可以被配置为对目标协议报文进行解析得到目标协议数据，以及将目标协议数据发送至各异构执行体1041、1042、
…
、104n进行处理。
42.本实施例中的以太网交换机，由交换机芯片驱动处理器将目标协议报文发送至判决器，再由判决器对目标协议报文进行解析得到目标协议数据，以及将目标协议数据发送至每个异构执行体进行处理，无需交换机芯片驱动处理器对协议报文进行解析处理，避免了因交换机芯片驱动处理器受到攻击导致数据被窃取，有效提高了以太网交换机的安全性。
43.在本实施例中，判决器103还可以被配置为：接收各异构执行体1041、1042、
…
、104n发送的处理结果，以及对各处理结果进行拟态判决，得到相应的判决结果。
44.这里，判决器103可以采用多数一致性判决方法，或者其基础上衍生出基于自检的、异构度的、历史记录的等多数一致性判决方法。除此之外，判决器103还可以采用复数裁决、中值裁决等方法。
45.判决器103在得到判决结果后，可以按照与上报路径相反的下发路径，将判决结果发送至交换芯片101。
46.在一些可选的实施方式中，交换机芯片101可以被配置为通过交换机芯片101的直接存储器访问(direct memory access，dma)控制器将目标协议报文发送至交换机芯片驱动处理器102的内存。
47.这里，dma传输将数据从一个地址空间复制到另一个地址空间，提供在外设和存储器之间或者存储器和存储器之间的高速数据传输。当dma控制器所在的cpu(central processing unit，中央处理器)初始化这个传输动作，传输动作本身是由dma控制器来实现和完成的。dma传输方式无需cpu直接控制传输，也没有中断处理方式那样保留现场和恢复现场过程，通过硬件为ram(random access memory，随机存取存储器)和io(input/output，输入/输出)设备开辟一条直接传输数据的通道，使得cpu的效率大大提高。通过上述方式，有利于提高交换机芯片101与交换机芯片驱动处理器102之间的数据传输效率。
48.这里，交换机芯片驱动处理器102的内存，可以是交换机芯片驱动处理器102的双倍速率同步动态随机存储器(double data rate synchronous dynamic random access memory，ddr sdram)。
49.在一些可选的实施方式中，交换机芯片驱动处理器102可以被配置为通过交换机芯片驱动处理器的网卡的dma控制器将目标协议报文发送至判决器103。
50.交换机芯片驱动处理器102具有对应的网卡，该网卡可用于交换机芯片驱动处理器102的对外通信。
51.在上述方式中，通过交换机芯片驱动处理器102的网卡的dma控制器直接搬移目标协议报文，一方面无需交换机芯片驱动处理器102对目标协议报文进行处理，有利于提高数据传输过程的安全性，另一方面有利于提高交换机芯片驱动处理器102和判决器103之间的数据传输效率。
52.在一些可选的实施方式中，交换机芯片101还可以被配置为将目标协议报文在交换机芯片驱动处理器102的内存中的存储位置发送至交换机芯片驱动处理器102的网卡，以供交换机芯片驱动处理器101的网卡根据存储位置获取目标协议报文。
53.目标协议报文在交换机芯片驱动处理器102的内存中的存储位置，可以包括目标协议报文在交换机芯片驱动处理器102的内存中地址和偏移量。交换机芯片驱动处理器101的网卡根据可以上述存储位置将目标协议报文搬移至判决器103。
54.在一些可选的实施方式中，交换机芯片驱动处理器102和判决器103可以通过总线通信。例如，在zynq平台，交换机芯片驱动处理器102(即arm处理器)和判决器103(即fpga)可以通过axi(advanced extensible interface，先进可扩展接口)总线进行通信。
55.通过上述方式，有利于实现交换机芯片驱动处理器102和判决器103之间高带宽低延时的数据传输。
56.在本实施例中，判决器103可以按照如下方式对目标协议报文进行解析：从目标协议报文中提取协议数据，以及在协议数据中封装预设的私有以太网头，得到目标协议数据。
57.在上述方式中，由判决器103对目标协议报文进行解析处理，避免了因交换机芯片驱动处理器102对目标协议报文进行处理引起的风险。
58.在本实施例中，交换芯片101与交换芯片驱动处理器102之间可以采用各种通用接口通信连接。例如，这里通用接口可以为以太网接口或pcie接口。
59.在本实施例中，交换芯片驱动处理器102与判决器103之间可以采用各种通用接口通信连接。例如，这里通用接口可以为以太网接口或pcie接口。
60.在本实施例中，为了提高以太网交换机的安全性，n个异构执行体1041、1042、
…
、104n之间可以采用异构处理器和异构操作系统来实现等价功能，并通过通信接口与判决器
103进行通信。即，n个异构执行体1041、1042、
…
、104n中任两个异构执行体之间可以采用异构处理器以及采用异构操作系统。例如，n个异构执行体1041、1042、
…
、104n中设置的处理器可以选用通用处理器中的一种，例如powerpc(performance optimization with enhanced risc
–
performance computing，有时简称ppc)处理器、arm处理器或mips(microprocessor without interlocked pipelined stages，无内部互锁流水级的微处理器)等。n个异构执行体1041、1042、
…
、104n的操作系统可以选用以太网交换机操作系统中的一种，例如上述操作系统可以是linux(全称gnu/linux，是一套免费使用和自由传播的类unix操作系统，其内核由林纳斯
·
本纳第克特
·
托瓦兹于1991年第一次释出，它主要受到minix和unix思想的启发，是一个基于posix和unix的多用户、多任务、支持多线程和多cpu的操作系统)、vxworks(vxworks是美国wind river system公司推出的一个实时操作系统)以及其他交换机操作系统。另外，n个异构执行体1041、1042、
…
、104n上可以运行有协议栈，且各异构执行体可以选用功能等价结构相同或不同的等价协议栈或经过多样化编译的专用交换机协议栈。n个异构执行体1041、1042、
…
、104n与判决器103之间的通信接口可以选用通用接口中的一种。例如，通用接口可以为以太网接口或pcie接口。
61.本实施例中的以太网交换机方案具有兼容性和易移植性，能够兼容当前商业交换机的流程并且容易实现在当前商业交换机的移植开发。
62.图2是根据本公开的以太网交换机的数据处理流程200的示意图。如图2所示，该数据处理流程200包括以下步骤：
63.步骤201，交换芯片接收目标协议报文。
64.这里，目标协议报文可以是路由协议报文、链路层协议报文等。
65.步骤202，交换芯片通过dma方式将目标协议报文搬移至交换芯片驱动处理器。
66.例如，交换机芯片的dma控制器将目标协议报文发送至交换机芯片驱动处理器的内存。这里，交换机芯片驱动处理器的内存可以是交换机芯片驱动处理器的ddr。
67.同时，交换机芯片还将目标协议报文在交换机芯片驱动处理器的内存中的存储位置发送至交换机芯片驱动处理器的网卡，以供交换机芯片驱动处理器的网卡根据存储位置获取目标协议报文。这里，目标协议报文在交换机芯片驱动处理器的内存中的存储位置可以包括目标协议报文在交换机芯片驱动处理器的内存中地址和偏移量。
68.步骤203，交换机芯片驱动处理器通过dma方式将目标协议报文搬移至判决器。
69.例如，交换机芯片驱动处理器可以根据目标协议报文在交换机芯片驱动处理器的内存中的存储位置，通过交换机芯片驱动处理器的网卡的dma控制器将目标协议报文发送至判决器103。
70.步骤204，判决器对目标协议报文进行解析，得到目标协议数据。
71.例如，判决器可以从目标协议报文中提取协议数据，以及在协议数据中封装预设的私有以太网头，得到目标协议数据。
72.步骤205，判决器将目标协议数据发送至异构执行体。
73.例如，判决器可以通过以太网接口或pcie接口，将将目标协议数据发送至各个异构执行体。
74.步骤206，各个异构执行体对目标协议数据进行处理，得到相应的处理结果。
75.从上述数据处理流程中可以看出，交换芯片驱动处理器未参与对目标协议报文的
解析处理，因此避免了因交换芯片驱动处理器被攻击而引起安全风险，提高了以太交换机的安全性。
76.作为另一方面，本公开还提供一种网络系统，该网络系统可以包括路由器、以太网交换机、服务器和光传输设备，其中，以太网交换机可以是本公开上述各实施例以及各种可选实施方式所述的以太网交换机。
77.容易理解，本实施例中的网络系统能够实现与前文中以太交换机类似的技术效果，这里不再赘述。
78.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
79.以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。