本实用新型涉及网络安全、网络通信技术领域，尤其是一种基于ZYNQ的四路万兆以太网安全交换机，适用于大中型企业的交换网络。

背景技术：

随着互联网的高速发展，传统的以太网交换机在功能和性能上已不能满足要求，而大容量、高性能、高安全等以太网交换机的需求日益增长，以太网交换机朝着高速化方向发展。作为衡量网络性能的重要标准之一，速率是以太网交换机等设备发展的重要方向。为满足用户快速增长的需求，以太网速率从最初的百兆发展到千兆，再到万兆。

此外，交换机作为网络中的核心设备之一，它的性能是保障企业网络安全性、稳定性和速度的主要设备。交换机对于大中型企业的网络来说更是必不可少的设备，它在网络建设中具有非常重要的作用，可以增加网络容量，提高网络速度。而安全性作为衡量网络性能的另一重要指标，随着网络技术的日益发展，网络安全问题日益突出，这也对大型交换设备的安全提出了更高的要求，丞待解决在大中型网络交换中的流量和安全问题。

技术实现要素：

本实用新型的目的是提供一种基于ZYNQ的四路万兆以太网安全交换机，该交换机解决了在大中型网络中，如何保证大流量的网络数据进行高速、安全地交换问题。

ZYNQ系列是赛灵思公司(Xilinx)推出的一个全可编程片上系统(All Programmable System-on-chip, 以下简称All Programmable Soc)，它在单芯片内部集成了基于ARM公司的双核ARM Cotex-A9多核处理器的处理系统(Processing System，以下简称PS)和基于Xilinx可编程逻辑资源的可编程逻辑(Programmable Logic，以下简称PL)。

实现本实用新型目的的具体技术方案是：

一种基于ZYNQ的四路万兆以太网安全交换机，特定是它包括光口数据接收模块、信息提取模块、安全过滤模块、路由交换模块、光口数据发送模块、安全策略配置模块、交换信息配置模块、时钟模块及电源模块，所述光口数据接收模块分别与信息提取模块、时钟模块和电源模块连接；信息提取模块分别与安全过滤模块、时钟模块以及电源模块连接；安全过滤模块分别与路由交换模块、时钟模块以及电源模块连接；路由交换模块分别与光口数据发送模块、时钟模块以及电源模块连接；光口数据发送模块分别与时钟模块以及电源模块连接；安全策略配置模块与安全过滤模块连接；交换信息配置模块与路由交换模块连接；其中：

万兆以太网数据由光纤输入光口数据接收模块，将数据转化成指定格式，并通过信息提取模块对网络数据关键信息进行提取，通过安全策略配置模块以及交换信息配置模块所提供的信息，对网络数据进行安全过滤和路由交换，最后通过光口输出模块将数据送至光口输出；时钟模块为各模块提供参考时钟，电源模块为各模块供电。

所述光口数据接收模块包括差分时钟转化模块和差分数据转化模块，差分时钟转化模块连接差分数据转化模块；光口数据接收模块完成对光口输入数据的接收，需要将输入的差分数据和差分时钟转换成64bit * 156.25MHz的数据格式。

所述信息提取模块包括以太网头部信息提取模块和有效网络数据提取模块，以太网头部信息提取模块连接有效网络数据提取模块；信息提取模块完成对接收网络数据的解包，根据以太网协议对网络数据进行剖析，得到mac地址，ip地址，端口号，协议类型等关键信息，具体包括以太网帧MAC地址(6个字节)、IP地址(4个字节)、帧类型(2个字节)、IP版本和首部长度(1个字节)、IP包总长度(2个字节)、IP首部检验和(2个字节)、TCP/UDP端口号(2个字节)、TCP/UDP长度(2个字节)及特定IP序列。

所述安全过滤模块包括配置信息接收存储模块和非法帧校验模块，配置信息接收存储模块连接非法帧校验模块；安全过滤模块通过已经获得安全策略对经由设备内部的网络数据进行安全过滤和管理。过滤规则包含：针对MAC帧首部的合法MAC或IP目的以及源地址过滤，针对IP数据包首部的合法协议类别，如ICMP、ARP和FTP等协议的过滤，针对TCP/UDP数据包首部的端口的过滤，以及针对数据段的特殊字符串的过滤。通过以上安全策略，对合法的设备以及数据进行实时转发，对非法的设备和数据直接丢弃。

所述路由交换模块包括路由配置信息存储模块和仲裁输出模块，路由配置信息存储模块连接仲裁输出模块；路由交换模块通过已经获得的交换路由信息，对前级转发的合法数据进行合并、交换、转发等操作，主要采取轮询的策略来完成多路的协商和仲裁。

所述光口数据发送模块包括差分时钟生成模块和差分数据生成模块，差分时钟生成模块连接差分数据生成模块；光口数据发送模块将前级转发的万兆网络数据转化成符合光口规范的差分时钟和差分数据，最后通过光口输出。

与现有技术相比，本实用新型的有益效果是：

(1)本实用新型使用ZYNQ内部的PL纯硬件电路处理网络数据，利用其高速并发的特性来处理大流量的网络数据，极大地降低网络数据在本实用新型中的传输延时，保证了整个交换网络的高速性和实时性。

(2)本实用新型可以通过ZYNQ的PS部分配置安全策略和路由交换信息，从而对网络数据进行过滤，可以防止非法设备的接入以及非法数据的传输，保证了整个交换网络的安全性。

(3)本实用新型采用ZYNQ作为硬件基础架构，PL部分处理网络数据，PS部分处理安全策略和交换信息，两者之间的互联通过高速的AXI总线来通信，突破了传统的FPGA+ARM的板级互联限制，极大地加快了两者之间的通信高效性以及安全性。此外，通过纯硬件的方式来处理安全策略和交换信息，保证了本实用新型对于高层协议的“透明性”，即从高层是“不可攻破的”，保证了本实用新型自身的安全性。

附图说明

图1为本实用新型结构框图；

图2为本实用新型工作流程图；

图3为本实用新型配置流程图。

具体实施方式

下面结合附图对本实用新型作详细描述。

参阅图1，本实用新型包括：光口数据接收模块1、信息提取模块2、安全策略配置模块6、交换信息配置模块7、安全过滤模块3、路由交换模块4、光口数据发送模块5、时钟模块8及电源模块9。其中，黑色单向箭头表示数据流处理流程，虚线箭头(• - • -)表示时钟模块8与其他模块互联关系，虚线箭头(•••)表示电源模块9与其他各模块互连关系。

光口数据接收模块1分别与信息提取模块2、时钟模块8和电源模块9相连。

信息提取模块2分别与安全过滤模块3、时钟模块8以及电源模块9相连。

安全过滤模块3分别路由交换模块4、时钟模块8以及电源模块9相连。

路由交换模块4分别于光口数据发送模块5、时钟模块8以及电源模块9相连。

光口数据输出模块5分别与时钟模块8以及电源模块9相连。

安全策略配置模块6与安全过滤模块3相连。

交换信息配置模块7与路由交换模块4相连。

时钟模块8分别与光口数据接收模块1、信息提取模块2、安全过滤模块3、路由交换模块4和光口数据输出模块5相连，为各个模块提供参考时钟。

电源模块9分别与光口数据接收模块1、信息提取模块2、安全过滤模块3、路由交换模块4和光口数据输出模块5相连，为各个模块供电。

本实用新型的光口数据接收模块1包括差分时钟转换模块11和差分数据转换模块12。网络数据从光口进入，通过本模块将数据转化为156.25MHz*64bit的网络数据格式，该数据进入ZYNQ的PL内部模块进行后续处理。

本实用新型的信息提取模块2包括以太网头部信息提取模块21和有效网络数据提取模块22。以太网头部信息提取模块21主要提取网络数据的mac地址，ip地址，port以及网络数据包长度等信息；有效网络数据提取模块22主要提取网络数据中的关键字符。

本实用新型的安全过滤模块3包括配置信息接收存储模块31和非法帧校验模块32。配置信息接收存储模块31接收ZYNQ的PS端发送而来的安全策略信息，并存储至本地；非法帧校验模块32依据存储的安全策略以及前级提取的关键信息，逐一进行合法性校验，校验通过的实时转发，不通过的则丢弃。

本实用新型的路由交换模块4包括路由配置信息存储模块41和仲裁输出模块42。路由配置信息存储模块41接收ZYNQ的PS端发送而来的交换路由信息，并存储至本地；仲裁输出模块42依据存储的路由交换信息，决定输入的网络数据从哪个输出端口进行输出。

本实用新型的光口数据输出模块5包括差分时钟生成模块51和差分数据生成模块52。本模块将内部156.25MHz*64bit的网络数据转化为符合光口协议的差分时钟以及差分数据，从光口输出。

本实用新型的安全策略配置6由ZYNQ的PS端接收外部合法设备的安全策略配置信息，并转发至ZYNQ的PL端。

本实用新型的交换信息配置7由ZYNQ的PS端接收外部合法设备的路由交换信息，并转发至ZYNQ的PL端。

本实用新型的时钟模块8为其他各个模块提供参考时钟，电源模块9为其他各模块供电。

参阅图2，本实用新型是这样工作的：

上电之后，首先进行安全策略配置和交换路由信息配置，配置完成之后，将外部设备连接至本实用新型的各个端口。光口接收模块从光口接收数据，并将其转化为156.25MHz*64bit格式的数据方便ZYNQ内部处理。信息提取模块接收前级转发的网络数据并提取关键信息，安全过滤模块结合配置的安全策略对接收的网络数据进行检查，校验通过则转发，否则丢弃。校验通过的合法数据进入路由交换模块，结合配置的交换路由信息，决定网络数据从哪个端口输出，通过光口数据输出模块将156.25MHz*64bit格式的数据转化为符合光口标准的差分时钟和差分数据进行指定端口的输出。

参阅图3、图1，为本实用新型的配置流程图。上电之后，电压电流正常，外部合法设备连接至PS端的配置网口，并进行安全策略配置和交换路由信息配置。PS端接收并存储配置的安全策略和交换路由信息，并通过内部AXI总线将配置信息转发至PL端。配置完成。