[发明专利]基于IPv6的IPSec嵌入式防火墙的系统及其操作方法

摘要

本发明提供一种基于IPv6的IPSec嵌入式防火墙的系统，包括以太网模块，用于接收和发送以太网上的数据包；CAM模块，用于匹配数据并判断数据是否符合要求；TCAM模块，用于快速匹配IP地址范围；CPU管理控制模块，用于初始化各个CAM模块和TCAM模块，与网络防火墙模块进行实时的交互，实现数据包过滤算法，对IP数据包采用合理高效的拆分策略，并通过控制信号协调以太网模块、CAM模块、TCAM模块、网络防火墙模块；网络防火墙模块，用于实现对时钟的控制，在每个相应的时钟下执行特定的功能，并根据以太网模块、CAM模块、TCAM模块产生的信号决定状态的跳转和输出，并根据时钟的变化依次进行各个模块的处理。本发明公开的基于IPv6的IPSec嵌入式防火墙的系统提高了匹配处理的速度和准确性。

主权项

一种基于IPv6的IPSec嵌入式防火墙的系统，其特征在于，包括：以太网模块，用于从以太网上接收网络数据包，在没有错误产生时就发送从以太网上的接收的数据包到网络防火墙模块；CAM模块，当接收到来自CPU管理控制模块发出要匹配的信号后，该CAM模块从网络防火墙模块接收发过来的数据，部分数据是经过TCAM模块粗略匹配成功的数据包，包括：源IP地址和目的IP地址；CAM模块需要匹配的数据类型包括：源IP地址、源端口、目的IP地址、目的端口以及源MAC地址；TCAM模块，当接收到CPU管理控制模块发出粗略匹配的信号后，即发出调用TCAM模块的信号后，TCAM模块从网络防火墙模块接收IP地址数据，包括：源IP地址和目的IP地址，若匹配结束，将结果是粗略匹配成功就将发出成功的信号给网络防火墙模块，若匹配失败，发出失败信号给网络防火墙模块，并清空数据，用于快速匹配IP地址范围，包括：源IP地址范围和目的IP范围；CPU管理控制模块，用于初始化各个CAM模块和TCAM模块，与网络防火墙模块进行实时的交互，实现数据包过滤算法，对IP数据包采用合理高效的拆分策略，并通过控制信号协调以太网模块、CAM模块、TCAM模块、网络防火墙模块；其中：在TCAM模块108发送来数据后，CPU管理控制模块110将对接收到的以太网数据进一步拆分，将依次去匹配IP数据包的1、源IP地址，2、源端口，3、目的IP地址，4、目的端口，5、源MAC地址；只有当以上5种数据类型都匹配成功了，才代表数据匹配成功，该IP数据包就是符合要求的数据包；网络防火墙模块，是一个用硬件描述语言Verilog编写的一个有限状态机，用于实现对时钟的控制，在每个相应的时钟下执行特定的功能，并根据以太网模块、CAM模块、TCAM模块产生的信号决定状态的跳转和输出，并根据时钟的变化依次进行各个模块的处理；所述的以太网模块进一步包括：数据包的接收子模块，用于将首先请求缓冲区内存的一部分来保存传入的数据包，当一个数据包到达接口时，将数据包保存在内存中，若发生内存溢出，就将数据包丢弃并且分配的内存也将被释放掉，当接收完成，在分配缓冲区内存中的第一个字段中可以查看可能发生的任何错误信息，若接收的数据包比标准的以太网帧更长或更短将被丢弃，在进行循环冗余校验接收到的数据包时，若没有错误出现，那么就将数据包写入接收队列，并产生一个中断信号，如果CRC校验有错误发生，就将数据包丢弃，内存被释放，没有中断信号发生；数据包的发送子模块，若数据包发送队列中的数据排满，数据包就被送到发送媒介，当发送完成，第一个在缓冲区内存中的字被写成一个状态字，这种状态字包含重要的信息，若发送失败，则数据包可以再一次放入队列，并进行下一次的发送；以太网模块接收数据成功后，网络防火墙模块接到成功的信号，通知CPU管理控制模块根据数据包拆分算法将数据包拆分出来，然后数据包进入TCAM模块，进行IP地址的粗略匹配，匹配成功后通知给网络防火墙模块，进入网络防火墙模块的状态机，通知CPU管理控制模块调用CAM模块进行更加细致的匹配工作，最后将结果发给网络防火墙模块，最终输出结果。