[发明专利]交换机防火墙插板

说明书

技术领域

本发明涉及交换机和网络安全技术领域，更具体地涉及一种交换机防火墙插板。

背景技术

在高端交换机上部署防火墙插板，实现了宽带技术和安全技术的有机融合，使安全技术和高速的网络设备相匹配，简化了网络拓扑，方便用户的管理和操作。

目前，在高速交换机上实现的防火墙插板基于的主要架构包括ASIC(专用集成电路)和NP(网络处理器)架构。

ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC技术主要是为了解决转发速度问题，完全由硬件来进行制定好的报文处理动作。这样做可以明显提升防火墙的吞吐性能。但基于ASIC技术开发的防火墙产品因为是全硬件处理，升级维护的灵活性和扩展性不够，而且开发费用高，开发周期长，一般需要两年以上的时间，不利于网络安全产品功能的迅速升级。

NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化。硬件结构设计也大多采用高速的接口技术和总线规范，具有较高的I/O(输入/输出)能力。它可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级。NP通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。目前国内厂商采用较多的就是NP架构。但是，相对于X86来说，由于应用开发、功能扩展受到NP的配套软件的限制，基于NP技术的防火墙的灵活性差。由于依赖软件环境，所以在性能方面NP不如ASIC。

发明内容

本发明所要解决的技术问题在于提供一种交换机防火墙插板，在高端交换机上实现防火墙插板，并且应用开发、功能扩展没有不受代码空间限制，提高转发性能。

为解决上述问题，本发明提供了一种交换机防火墙插板，其特征在于，包括主控卡、网络处理卡、线路接口卡和通讯模块，其中：

主控卡，用于在各个线路接口卡间提供交换通道，并完成防火墙插板的系统配置管理和协议处理；

网络处理卡，用于完成控制平面和数据转发功能，采用多核处理器架构，将控制平面和数据平面部署到不同的处理器中；

线路接口卡，用于对防火墙插板上的器件进行初始化、配置及部分网络协议的处理；将协议报文通过通讯模块传送至主控卡，将数据报文转发至网络处理卡，并为防火墙插板提供接口；

通讯模块，用于为主控卡和线路接口卡提供进行信息交换的通道，完成数据交换、路由信息传送、高速信令和数据的传输。

本发明所述的防火墙插板，其中，所述主控卡包括

主控CPU子卡，用于完成防火墙插板的系统配置管理和协议管理；

主控交换芯片，用于在各个线路接口卡间提供交换通道。

本发明所述的防火墙插板，其中，所述防火墙插板还包括备用主控卡，所述主控卡和备用主控卡通过各自的主备用状态信号线通知线路接口卡及对端主控卡，明确工作状态，使得网络协议包通过主用网进行交换，当主控卡发生故障时，切换至备用主控卡。

本发明所述的防火墙插板，其中，所述网络处理卡包括MIPS64核的片上系统设备。

本发明所述的防火墙插板，其中，所述网络处理卡的MIPS64核的片上系统设备提供8个核心处理器，其中，1个核心处理器用于处理控制平面，7个核心处理器用于处理转发平面。

本发明所述的防火墙插板，其中，在7个用于处理转发平面的核心处理器中，1个核心处理器用于完成会话建立，6个核心处理器用于数据转发。

本发明所述的防火墙插板，其中，用于数据转发的6个核心处理器部署为并行。

本发明所述的防火墙插板，其中，用于数据转发的6个核心处理器部署为串行。

本发明所述的防火墙插板，其中，网络处理卡或线路接口卡与主控卡之间通过100BASE-TX快速以太网进行通信。

本发明所述的防火墙插板，其中，所述线路接口卡提供的接口包括10GE、GE、POS、光电自适应Combo接口。

本发明所述的防火墙插板，其中，所述通讯模块采用包含16个100兆快速以太网端口的芯片进行数据通信。

采用本发明所述防火墙插板，采用了多核处理器架构，提高了防火墙插板的性能，降低了开发成本，并且由于所采用多核处理器没有代码空间的限制，功能扩展不依赖软件环境，更适用于灵活多变的应用开发。

附图说明

图1是本发明所述防火墙插板一种具体实施结构图。

具体实施方式