用于以太網網絡的具有安全檢測的智能phy的制作方法
【專利摘要】一種物理層設備包括存儲器、存儲器控制模塊、以及物理層模塊。該存儲器控制模塊被配置為控制對該存儲器的訪問。該物理層模塊被配置為經由該存儲器控制模塊將分組存儲在該存儲器中。該物理層模塊包括被配置為經由網絡從網絡設備接收這些分組的接口以及接口總線。該接口總線包括控制模塊和正則表達式模塊中的至少一個模塊。該控制模塊和該正則表達式模塊中的該至少一個模塊被配置為,檢查這些分組以確定這些分組的安全級別。網絡接口被配置為,基于該安全級別向與該物理層設備分離的設備提供這些分組。
【專利說明】用于以太網網絡的具有安全檢測的智能PHY
[0001]相關申請的交叉引用
[0002]本申請要求對2012年8月10日提交的美國非臨時申請N0.13 / 571,870的優先權,并且也要求2011年8月10日提交的美國臨時申請N0.61 / 522,158、2011年9月12日提交的美國臨時申請N0.61 / 533,436、以及2011年10月21日提交的美國臨時申請N0.61 / 550,315的權益。上述中請的公開內容以它們的整體通過引用并入本文。
【技術領域】
[0003]本公開內容涉及網絡設備內的安全檢測系統。
【背景技術】
[0004]本文所提供的【背景技術】描述是為了一般性地呈現公開內容的背景的目的。當前名義的發明人的工作,到這一【背景技術】章節中描述該工作的程度上,以及該描述的可能在提交時以其他方式不夠資格作為現有技術的方面,既不明確地也不隱含地承認為相對于本公開內容的現有技術。
[0005]接入網絡提供兩個或者更多網絡設備之間和/或網絡設備與因特網之間的連接。這些網絡設備可以包括例如用戶設備、外圍設備、以及數據存儲設備。這些設備可以位于一個或多個網絡中。在這些設備之間和/或在這些設備與因特網之間對上行鏈路和/或下行鏈路信號建立這些連接。
[0006]作為示例,基于以太網的接入網絡可以包括接入機架。接入機架提供網絡設備之間和/或這些網絡設備與因特網之間的連接。接入機架可以包括例如結構卡(例如,2個結構卡)和線路卡(例如,16個線路卡)。這些結構卡中的每個結構卡能夠連接到這些線路卡中的每個線路卡。這些線路卡經由以太網網絡連接到這些網絡設備。這些線路卡中的一個或多個線路卡的預定端口或者上行鏈路端口可以連接到因特網。這些結構卡提供這些線路卡之間的連接。這些線路卡提供這些網絡設備與這些結構卡之間和/或這些結構卡與因特網之間的連接。
[0007]這些結構卡中的每個結構卡通常包括聚合交換機和中央控制模塊。聚合交換機在線路卡之間提供連接,用以例如從a)連接到第一線路卡的第一用戶設備向b)連接到第二線路卡的第二用戶設備或者因特網路由信號。中央控制模塊控制這些連接的狀態和這些線路卡之間的分組傳送。這些線路卡中的每個線路卡通常包括接入交換機和多個PHY設備(例如,6個PHY設備)。這些PHY設備中的每個PHY設備包括一個或多個PHY模塊。接入交換機提供位于結構卡上的聚合交換機與這些PHY模塊之間的連接。
【發明內容】
[0008]一種物理層設備被提供并且包括存儲器、存儲器控制模塊、以及物理層模塊。該存儲器控制模塊被配置為控制對該存儲器的訪問。該物理層模塊被配置為經由該存儲器控制模塊將分組存儲在該存儲器中。該物理層模塊包括被配置為經由網絡從網絡設備接收這些分組的接口以及接口總線。該接口總線包括控制模塊和正則表達式模塊中的至少一個模塊。該控制模塊和該正則表達式模塊中的該至少一個模塊被配置為,檢查這些分組以確定這些分組的安全級別。網絡接口被配置為,基于該安全級別向與該物理層設備分離的設備提供這些分組。
[0009]在其他特征中,一種方法被提供并且包括在物理層模塊的接口處經由網絡從網絡設備接收分組。從物理層設備向存儲器控制模塊傳送這些分組以將這些分組存儲在存儲器中。該物理層設備包括該物理層模塊。該物理層模塊包括接口總線。經由控制模塊和正則表達式模塊中的至少一個模塊來檢查這些分組,以確定這些分組的安全級別。該接口總線包括該控制模塊和該正則表達式模塊中的該至少一個模塊。基于該安全級別,經由物理層接口向與該物理層設備分離的設備提供這些分組。
[0010]在其他特征中,一種物理層設備也被提供并且包括存儲器接口、存儲器控制模塊、物理層模塊、以及第二網絡接口。該存儲器接口連接到該存儲器。該存儲器控制模塊被配置為控制對該存儲器的訪問。該物理層模塊被配置為,在第一網絡接口處經由網絡從網絡設備接收分組,并且經由該存儲器控制模塊將這些分組存儲在該存儲器中。該物理層模塊與該存儲器分離。該第二網絡接口被配置為,向與該物理層設備和該存儲器分離的設備提供這些分組。
[0011]根據詳細描述、權利要求和附圖,本公開內容的進一步適用性領域將變得清楚。詳細描述和具體示例意圖為僅用于舉例說明的目的并且不意圖為限制本公開內容的范圍。
【專利附圖】
【附圖說明】
[0012]從詳細描述和附圖,本公開內容將變得更完全地被理解,在這些附圖中:
[0013]圖1是根據本公開內容的并入接入機架的接入網絡的功能框圖;
[0014]圖2是圖1的接入機架的一部分的功能框圖;
[0015]圖3是根據本公開內容的并入PHY設備的另一接入網絡的功能框圖;
[0016]圖4是根據本公開內容的PHY設備的功能框圖;
[0017]圖5是根據本公開內容的提供多級別安全檢測的PHY模塊的入口部分的功能框圖;
[0018]圖6是根據本公開內容的網絡接口的功能框圖;以及
[0019]圖7圖示了根據本公開內容的包括安全檢測方法的網絡接入方法。
【具體實施方式】
[0020]接入網絡可以包括具有結構卡和線路卡的接入機架。這些結構卡可以每個都包括聚合交換機和中央控制模塊。這些線路卡可以每個都包括接入交換機和多個PHY設備。因為結構卡中的每個結構卡包括中央控制模塊和聚合交換機并且線路卡中的每個線路卡包括接入交換機,所以與接入機架相關聯的控制平面是復雜的。這些線路卡由于包括和操作接入交換機而可以被稱為高成本和/或高功率卡。接入機架可能升級受限制,因為需要更換線路卡中的每個線路卡以便于執行控制特定升級(例如,為了改變如何提供交換機連接的升級)。
[0021]在下列示例中,提供了多個接入網絡。第一接入網絡在圖1-2中被公開并且包括不包括接入交換機的線路卡。經由結構卡來提供這些線路卡之間、網絡設備之間、以及這些網絡設備與因特網之間的切換。作為結果,這些線路卡可以被稱為低成本和/或低功率線路卡。這些線路卡包括可以被配置為執行深度分組檢查(DPI)的PHY模塊。DPI包括檢查分組以確定分組是否為有效分組或者無效分組。當分組具有不正確格式、包含與攻擊和/或病毒相關聯的模式、具有不恰當的(多個)值、包括垃圾信息、引入安全威脅和/或不滿足預定義準則時,該分組可能是無效分組。DPI可以包括檢查一個或多個分組的頭部和/或有效載荷。這些頭部可以包括例如網際協議(IP)頭部、傳輸控制協議(TCP)、用戶數據報協議(UDP)、和/或其他頭部。
[0022]因為這些線路卡不包括接入交換機并且這些結構卡控制用于這些線路卡、網絡設備、以及因特網的接入、聚合和切換功能,所以該接入網絡機架可容易升級。在升級期間,可以更改和/或更換控制邏輯、軟件、和/或硬件。可以通過簡單地更換結構卡而不是線路卡中的一個或多個來升級該接入網絡。此外,減少了與接入網絡相關聯的控制平面的復雜度,因為如與在多個線路卡和結構卡中執行對照地,在一個或多個集中位置中執行連接切換。下文描述了圖1-2的接入網絡以及其他示例接入網絡和關聯特征。
[0023]在圖1中,示出了接入網絡10。作為示例,接入網絡10可以是應用感知網絡。應用感知網絡是與應用和服務直接協作以最大化網絡對應用特定要求的響應性的網絡。應用感知網絡中的模塊可以運送對象,這些對象包括將在網絡中的不同點處被調用的方法。根據這些方法來執行對交換機和處理設備的應用特定編程。這些模塊執行定制的計算和資源管理以滿足應用特定要求。應用感知網絡可以被用來管理專有網絡和/或局域網(LAN)的安全。
[0024]接入網絡10可以包括接入機架12、網絡14、因特網16、以及網絡設備18 (示出了P個網絡設備)。接入機架12經由網絡14連接到這些網絡設備18。網絡14可以是例如以太網網絡。接入機架12在這些網絡設備18之間和/或在這些網絡設備18與因特網16之間路由信號。這些網絡設備18可以包括用戶設備、外圍設備、和/或數據存儲設備。這些用戶設備可以包括計算機、蜂窩電話、機頂盒、電視等。
[0025]接入機架12包括一個或多個結構卡20 (示出了 2個)和一個或多個線路卡22 (示出了 η個)。這些線路卡22包括PHY設備24。在圖4中示出了 PHY設備的示例。在所示出的示例中,線路卡22中的每個線路卡包括m個PHY設備。作為示例,接入機架12可以包括48個線路卡,其中這些線路卡中的每個線路卡包括一個或多個PHY設備(例如,6個PHY設備)。結構卡20中的每個結構卡包括聚合交換機26,聚合交換機26提供這些線路卡22之間、在相同線路卡上的這些PHY設備24之間、和/或在線路卡22中的不同線路卡上的PHY設備之間的連接。
[0026]現在也參考圖2,示出了接入機架12的一部分30。部分30包括結構卡20之一(指定為32)和線路卡22之一(指定為34)。結構卡20中的每個結構卡可以包括中央控制模塊36、聚合交換機(在圖2中指定為38)、以及存儲器設備40。在一個實施方式中,在聚合交換機38中不包括中央控制模塊36。聚合交換機38在線路卡22上的PHY設備24之間切換并且提供集中式切換。中央控制I旲塊36可以控制聚合交換機38中的交換機42中的狀態。
[0027]存儲器設備40可以每個都包括例如雙倍數據速率類型3 (DDR3)同步隨機存取存儲器(SRAM)和/或其他適當存儲器,諸如動態隨機存取存儲器(DRAM)。線路卡22中的每個線路卡包括PHY設備24中的相應PHY設備(在圖22中第一線路卡34的示例PHY設備被指定為44)并且不包括接入交換機。接入交換機指代位于線路卡上并且被配置為提供該線路卡與接入機架的結構卡之間的連接的交換機。
[0028]PHY設備44使得集中式切換成為可能。切換不在PHY設備44處被執行,而是在結構卡20處被執行。PHY設備44向結構卡44轉發所接收的分組,以然后向所預期的或者原始選擇的目的地轉發。PHY設備44中的每個PHY設備可以執行DPI。這在接入網絡30的邊緣處提供了 DPI。接入網絡的邊緣可以指代接入機架32與網絡14之間的邊界和/或接入機架32與網絡設備18之間的邊界。DPI可以包括,當PHY設備44之一的PHY模塊不能確定分組是否為有效分組或者無效分組時,向中央控制模塊36發送分組。作為示例,可以經由聚合交換機38從PHY模塊向中央控制模塊36轉發分組用于檢查。中央控制模塊36可以檢查該分組以確定該分組的有效性,并且然后基于該檢查的結果來指令PHY模塊丟棄(即刪除和/或防止與該分組類似的分組的進一步傳輸)或者轉發與第一分組類似的分組。可以丟棄無效分組,而可以轉發有效分組。類似的分組可以指代具有相同格式、源地址、目的地地址、和/或其他分組參數和/或字段的分組。
[0029]PHY模塊可以檢查入口分組、朝向聚合交換機38轉發這些入口分組、向中央控制模塊36用隧道傳輸這些入口分組、和/或丟棄這些入口分組中的無效或者不安全的入口分組。在分組檢查期間,PHY設備44的PHY硬件將入口分組標識為:有效分組;將對其執行進一步的本地化檢查的分組;將對其執行集中式檢查的分組;或者無效分組。本地化檢查指代在PHY設備44內和/或由在PHY設備44內的模塊所執行的檢查。集中式檢查指代在PHY設備44外部并且在例如中央控制模塊36中所執行的檢查。有效分組可以指代快速(在預定時段內)和/或清楚地被確定為是安全和正確的(不具有一個或多個錯誤)和/或具有恰當格式、簽名、和/或模式的分組。作為示例,從特定本地源所接收的分組可以基于所接收的源的地址而被確定為有效。
[0030]對其將執行進一步集中式檢查的分組可以指代如下的分組,該分組已經被PHY硬件和/或關聯PHY設備的模塊檢查,但是沒有快速和/或清楚地被確定為是有效分組。這樣的分組可能具有一個或多個錯誤、未知格式,包括可疑內容,或者來自在本地網絡以外的遠程源。由于這一原因,該分組可以由中央控制模塊36進一步檢查。
[0031]隧道分組指代如下的分組:該分組對PHY設備和/或PHY設備的模塊是不可識別的;可能已經被PHY設備和/或PHY設備的模塊檢查;和/或PHY設備和/或PHY設備的模塊不能確定該分組是否為有效分組或者無效分組。隧道分組可能沒有被PHY設備和/或PHY設備的模塊檢查并且可以簡單地被轉發給中央控制模塊36。無效分組是通過檢查而被確定為無效的分組。無效分組可能具有不恰當格式、簽名、模式、和/或值。如果分組由PHY設備和/或PHY設備的模塊確定為無效,則該分組可以被丟棄、被刪除、被防止轉發給接入機架中的設備或模塊,和/或可以不被轉發給結構卡20之一。隧道分組和將對其執行進一步本地化檢查的分組可以被稱為可疑分組。
[0032]PHY設備24、44中的每個PHY設備可以包括通向結構卡20中的每個結構卡的通信鏈路。在圖2中,FCl指代結構卡lt) FC2指代結構卡2。通信鏈路FC1、FC2中的每個通信鏈路的下標指代PHY設備44之一。例如,FCl指代結構卡I與PHY設備I之間的通信鏈路。提供了兩個通信鏈路用于負載平衡和/或接口冗余性。負載平衡可以包括在相同時間段期間通過兩個或者更多鏈路傳送相等數量的數據。接口冗余性可以指代包括兩個或者更多接口(或者通信鏈路),其中假如接口被禁用或者不可用,則提供這些接口中的一個或多個接口作為備份。
[0033]存儲器設備40可以被用來存儲指令、代碼、規則、表格、和/或分組數據。這些指令、代碼、規則、和/或表格可以由中央控制模塊36、聚合交換機38、和/或PHY設備44在執行DPI時和/或在控制交換機42的狀態時使用。存儲器設備40可以被用來存儲:正在被檢查的分組;將被檢查的所選分組的副本;和/或將被轉發、上行鏈路傳輸和/或下行鏈路傳輸的分組。當分組從網絡設備18之一經由接入機架12被轉發給因特網16時,該分組被上行鏈路傳輸。當分組從因特網16經由接入機架12被轉發給網絡設備18之一時,該分組被下行鏈路傳輸。
[0034]在圖3中,示出了另一接入網絡50。作為示例,接入網絡50可以是應用感知網絡并且包括一個或多個接入機架52 (示出了 m個)、網絡14、因特網16、以及網絡設備18。接入機架52可以包括路由器、交換機、計算機、服務器、或者其他適當接入設備。接入機架52中的每個接入機架包括線路卡54。線路卡54中的每個線路卡包括一個或多個PHY設備56。在圖4中示出了 PHY設備的示例。PHY設備56中的每個PHY設備包括一個或多個PHY模塊。在圖4中示出了示例PHY模塊。PHY設備56經由網絡14與網絡設備18通信。
[0035]接入機架52可以提供相互之間、相同接入機架的PHY設備之間、不同接入機架的PHY設備之間、和/或這些PHY設備與因特網16之間的連接。在這樣做時,接入機架52可以提供這些網絡設備18之間和/或這些網絡設備18與因特網16之間的連接。
[0036]接入網絡50還可以包括中央網絡設備60。中央網絡設備60可以被用來控制接入機架52、執行DP1、和/或檢查接入機架52不可辨認的分組(被稱為隧道分組)。隧道分組可以是不能被接入機架、PHY設備、和/或PHY設備的模塊確定為有效或者無效的分組。
[0037]中央網絡設備60可以位于遠離接入機架52的網絡中和/或可以位于接入機架52的本地網絡中。中央網絡設備60可以設置于接入機架52中的一個或多個接入機架內。中央網絡設備60和/或接入機架52中的一個或多個接入機架可以共同地是向這些網絡設備18提供一個或多個服務的服務提供者。
[0038]圖1-3的PHY設備24、44、56和PHY設備24、44、56的模塊可以位于和/或連接于例如a)網絡14或者因特網16與b)線路卡22、34和接入機架52中的MAC設備和/或其他更高層設備之間。PHY設備24、44、56可以指代線路卡22、34和接入機架52的物理層中的設備。
[0039]也參考圖4,示出了 PHY設備100。PHY設備100可以被使用:來提供網絡之間的安全防火墻;用于零日攻擊防止;在接入企業網絡中;等等。PHY設備100可以被稱為PHY封裝中的防火墻。PHY設備100可以在功能上提供跨越多個國際標準化組織(ISO)和/或開放系統互連(OSI)層而不是僅跨越PHY層操作的防火墻。跨越PHY層和比PHY層更高的層(例如,MAC層)來提供防火墻功能。零日攻擊是利用計算機應用中的先前未知漏洞的攻擊。零日攻擊在感知漏洞“當天(day zero)”出現。這意味著只有零天來解決和修補漏洞。零日攻擊利用使用安全漏洞的軟件來執行攻擊。零日攻擊防止指代對零日攻擊的防止。這可以包括防止無效分組(諸如與病毒或者蠕蟲相關聯的分組)擴散(即在網絡中進一步被傳遞下去)。這包括在檢測到攻擊時丟棄(或者刪除)這些無效分組。可以由PHY設備100和/或PHY設備100的設備和/或模塊之一來執行對這些分組的這一檢測和丟棄。
[0040]在接入企業網絡中,PHY設備100和/或PHY設備100的一個或多個設備和/或模塊可以被用來:防止網絡設備接入因特網16 ;和/或提供對因特網16的受限接入。下文描述了 PHY設備100的示例設備和模塊。
[0041 ] PHY設備100包括PHY模塊102 (可以被稱為PHY信道)、存儲器控制模塊104、PHY存儲器106、以及網絡接口 108(可以被稱為結構接口)。PHY設備100經由這些PHY模塊102與網絡14通信,并且經由網絡接口 108與例如聚合交換機(例如,聚合交換機38)或者中央網絡設備(例如,中央網絡設備60)通信。在圖4中,聚合交換機和中央網絡設備被示出為接入設備112。聚合交換機可以提供切換,用以在這些PHY模塊102之間和/或在不同PHY設備的PHY模塊之間路由分組。
[0042]PHY模塊102中的每個PHY模塊可以包括取決于介質的接口(MID) 114 (或者第一網絡接口)、入口模塊116、接口總線118、以及出口模塊120。MDI14例如經由網絡14從一個或多個網絡設備接收分組并且向入口模塊116轉發這些分組。MDI114還經由網絡14從出口模塊120接收分組并且例如向這些網絡設備傳輸這些分組。在一個實施方式中,MDI114中的每個MDI連接到雙絞線。在所示出的實施方式中,PHY設備100包括8個MDI或者(多個)其他適當接口。
[0043]PHY模塊102中的每個PHY模塊的除了接口總線118之外的入口模塊116、出口模塊120和/或其他模塊和/或設備可以共同地被稱為PHY硬件。入口模塊116可以包括入口正則表達式(RegEx)模塊116-1、入口解析模塊116-2、第一接收模塊116-3、接收先入先出(FIFO)模塊116-4、以及第一傳輸模塊116-5。PHY模塊102可以不包括入口模塊116中的一個或多個入口模塊。入口 RegEx模塊116-1在被包括時執行RegEx過程以審查分組。RegEx過程包括將字符、字詞、簽名或者數據模式與預定字符、字詞、簽名和數據模式相比較。可以作為DPI過程的一部分來執行RegEx過程。可以執行入口 RegEx過程以快速標識有效或者無效的分組。
[0044]入口解析模塊116-2可以拋棄無效分組并且可以向接口總線118和第一接收模塊116-3轉發無效分組和/或這些無效分組的頭部。第一接收模塊116-3可以是直接存儲器訪問(DMA)設備,并且把從入口解析模塊116-2和/或接口總線118所接收的分組、這些分組的部分、分組描述符和/或分組信息復制和/或存儲在PHY存儲器106中和/或接口總線118的總線存儲器130中。接口總線118的總線控制模塊132可以控制總線存儲器130中的數據存儲。可以經由存儲器控制模塊104來執行PHY存儲器106中的存儲。這些分組的這些部分可以包括這些分組的一個或多個頭部和/或有效載荷。分組信息可以包括在這些頭部內所包括的信息和/或其他信息,諸如該分組的檢查級別、源地址、目的地地址、源ID、目的地ID、協議ID、該分組的長度等。檢查級別可以指示該分組是否為:有效分組;將由總線控制模塊132和/或總線正則表達式模塊134執行附加檢查的分組;將向中央控制模塊(例如,中央控制模塊62)用隧道傳輸的分組;或者將被丟棄的無效分組。
[0045]入口解析模塊116-2還可以向接口總線118和/或總線控制模塊132指示分組是否應當由接口總線118和/或總線控制模塊132檢查。第一接收模塊116-3可以基于來自接口總線118的指令,a)將分組存儲在PHY存儲器106中和/或將分組復制到PHY存儲器106,和/或b)將分組轉發給接收FIFO模塊116-4。
[0046]接收FIFO模塊116-4在被包括時存儲將被轉發給網絡接口 108(或者第二網絡接口)的分組。總線存儲器130和/或PHY存儲器106中所存儲的分組、分組描述符、和/或分組信息可以被存儲在接收FIFO模塊116-4中用于由接口總線118的總線控制模塊132和/或總線RegEx模塊134檢查。總線控制模塊132和/或總線RegEx模塊134可以個別地或者共同地被稱為本地控制模塊,并且可以執行分組本地化檢查。
[0047]第一傳輸模塊116-5也可以是DMA設備,并且可以向網絡接口 108傳輸從接收FIFO模塊116-4、PHY存儲器106、和/或接口總線118所接收的分組。第一傳輸模塊116-5可以基于從接口總線118和/或接口總線118的模塊所接收的指令,a)訪問PHY存儲器106中所存儲的分組,和/或b)向網絡接口 108轉發分組。第一傳輸模塊116-5可以向網絡接口 108、接入設備112指示分組是否應當由聚合交換機和/或中央控制模塊檢查。
[0048]接口總線118可以是高級可擴展接口(AXI)并且/或者具有高級微控制器總線架構(AMBA)并且使用AMBA協議。接口總線118可以包括總線存儲器130、總線控制模塊132、以及總線RegEx模塊134。總線存儲器130可以包括例如SRAM或者其他適當存儲器。總線存儲器130可以由接入設備112和/或PHY設備110在執行DPI時和/或在控制聚合交換機中的交換機、中央網絡設備(例如,中央網絡設備60)、和/或接入設備(例如,接入設備112)中的狀態時使用。
[0049]總線控制模塊132和/或總線RegEx模塊134可以執行DIP以確定所接收的分組的安全級別、丟棄無效分組、轉發無效分組、和/或將分組隧道傳輸到中央控制模塊用于進一步檢查。總線控制模塊132可以控制由總線RegEx模塊134所執行的RegEx解析。總線控制模塊132可以在執行零日攻擊防止時使用總線存儲器130、存儲器控制模塊104和/或PHY存儲器106。因為PHY模塊102中的每個PHY模塊可以包括總線控制模塊和/或一個或多個RegEx模塊,所以可以為MDI114中的每個MDI提供總線控制模塊和RegEx模塊。這提供了接口或者端口特定分組檢查和RegEx解析。
[0050]總線控制模塊132可以針對基于應用的聯網和網絡安全應用來執行內容簽名識別任務。總線控制模塊132可以以接線速度(例如,IGbps)檢查分組。總線控制模塊132可以分析分組并且以接線速度確定是否丟棄、轉發和/或標記分組為不可辨認。總線控制模塊132可以是32位處理器。PHY模塊102中的每個PHY模塊中的每個總線控制模塊可以與接入設備112通信。這一通信可以包括:從中央控制模塊接收用于分組檢查的規則和/或表格更新;以及從PHY模塊102向中央控制模塊重新路由和/或報告異常和/或可疑分組。
[0051]出口模塊120可以包括出口 RegEx模塊120_1、出口解析模塊120-2、第二接收模塊120-3、傳輸FIFO模塊120-4、以及第二傳輸模塊120-5。PHY模塊102可以不包括出口模塊120中的一個或多個出口模塊。出口 RegEx模塊120-1在被包括時執行RegEx過程,以審查經由網絡接口 108從PHY模塊102之一所接收的分組。RegEx過程包括將字符、字詞、簽名或者數據模式與預定字符、字詞、簽名和數據模式相比較。可以作為DPI過程的一部分來執行RegEx過程。可以執行出口 RegEx過程以快速標識有效或者無效的分組。
[0052]RegEx模塊116_1、130_1、134可以基于RegEx匹配來執行分組過濾。RegEx模塊116-1、130-1、134可以分析一個或多個分組,以確定每個分組中的和/或跨越多個分組的頭部和/或有效載荷中的模式。可以執行RegEx搜索以檢測在序列分組上和/或在非序列分組上的模式,以提供完全周界防火墻。這可以包括完整的分組網際協議(IP)阻止,用以阻止去往預定目的地和/或計算機的分組。RegEx模塊116-1、130-1、134可以停止或者暫時抑制攻擊,直至能夠部署系統性的糾正動作。這允許了攻擊的誤報并且防止了漏報(或者指示攻擊的錯誤)。RegEx模塊116-1、130-1、134可以每個都包括一個或多個三態內容可尋址存儲器(TCAM)、被替換為一個或多個TCAM、或者與一個或多個TCAM組合使用。在圖4中,示出了單個TCAM135。
[0053]內容可尋址存儲器(CAM)是允許它的全部內容在單個時鐘周期內被搜索的應用特定存儲器。二態CAM執行確切匹配搜索,而TCAM使用“不在意”來允許模式匹配。“不在意”在搜索期間被用作通配符,并且在路由表中實施最長前綴匹配搜索時是有用的。上文所提到的TCAM可以被用于分組分類和用于硬件匹配加速。TCAM可以被用來存儲在RegEx分組檢查期間所使用的正則表達式的確定性有限自動機(DFA)表示。DFA是5元組(例如,Q、E、6、%、A),其中Q是狀態集,Σ是字母表,6是基于Q和Σ的轉變函數,%是開始狀態,并且A是接受狀態集。
[0054]出口解析模塊120-2可以拋棄無效分組并且可以向接口總線118和第二接收模塊120-3轉發有效分組和/或這些有效分組的頭部。第二接收模塊120-3可以是DMA設備,并且把從出口解析模塊120-2和/或接口總線118所接收的分組、這些分組的部分、分組描述符、和/或分組信息復制和/或存儲在總線存儲器130和/或PHY模塊106中。可以經由總線控制模塊132來執行總線存儲器130中的存儲。可以經由存儲器控制模塊104來執行PHY存儲器106中的存儲。這些分組的部分可以包括這些分組的一個或多個頭部和/或有效載荷。分組信息可以包括這些頭部內所包括的信息和/或其他信息,諸如該分組的檢查級別、源地址、目的地地址、源ID、目的地ID、協議ID、該分組的長度等。
[0055]出口解析模塊120-2還可以向接口總線118和/或總線控制模塊132指示分組是否應當由接口總線118和/或總線控制模塊132檢查。第二接收模塊120-3可以基于來自接口總線118的指令,將分組存儲在PHY存儲器106中,和/或將分組復制到PHY存儲器106,和/或將分組轉發給傳輸FIFO模塊120-4。
[0056]傳輸FIFO模塊120-4存儲將向第二傳輸模塊120_5轉發的分組。在總線存儲器130和/或PHY存儲器106中所存儲的分組、分組描述符、和/或分組信息可以被存儲在傳輸FIFO模塊120-4中,以用于由總線控制模塊132和/或總線RegEx模塊134檢查。第二傳輸模塊120-5也可以是DMA設備,并且可以向MDI114中的相應MDI傳輸從傳輸FIFO模塊120-4、PHY存儲器106、和/或接口總線118所接收的分組。第二傳輸模塊120-5可以基于從接口總線118、總線控制模塊132和/或總線RegEx模塊134所接收的指令,來訪問PHY存儲器106中所存儲的分組并且/或者向MDI114中的相應MDI轉發分組。
[0057]存儲器控制模塊104可以作為仲裁器而執行,以控制PHY模塊102與PHY存儲器106之間的訪問。存儲器控制模塊104可以準許PHY模塊102中的一個或多個PHY模塊具有對PHY存儲器106的訪問并且防止PHY模塊102中的一個或多個PHY模塊具有對PHY存儲器106的訪問。存儲器控制模塊104為PHY模塊102中的每個PHY模塊確定訪問時間,并且相應地準許對PHY存儲器106的訪問。當PHY模塊102中的第二 PHY模塊102具有對PHY存儲器106的訪問時,存儲器控制模塊104可以準許PHY模塊102中的第一 PHY模塊具有對PHY存儲器106的訪問。備選地,當PHY模塊102中的第二 PHY模塊具有對PHY存儲器106的訪問時,存儲器控制模塊104可以防止PHY模塊102中的第一 PHY模塊具有對PHY存儲器106的訪問。
[0058]PHY存儲器106可以包括例如DDR3SRAM和/或其他適當存儲器,諸如DRAM。PHY存儲器106可以具有例如用于并行傳送32比特數據的32比特存儲器接口。PHY存儲器106可以在PHY設備100的外部和/或集成地形成于PHY設備100上或者作為PHY設備100的一部分。在一個實施方式中,PHY設備100是集成電路(IC)或者封裝中的系統(SIP),并且PHY存儲器106是與PHY設備100分離的1C。PHY設備100經由存儲器控制模塊104和/或對應的存儲器接口 148與PHY存儲器106通信。存儲器接口 148可以連接于存儲器控制模塊104與PHY存儲器106之間。
[0059]在另一實施方式中,PHY設備100是第一 IC,PHY存儲器106是第二 1C,并且第一IC和第二 IC形成為SIP的一部分。在又另一實施方式中,PHY設備100是第一 SIP,PHY存儲器106是第二 SIP,并且使用封裝上的封裝(package-on_package,POP)工藝來集成地封裝第一 SIP和第二 SIP。第二 SIP可以堆疊于第一 SIP上而SIP之間的存儲器接口(例如,存儲器接口 148)用以在第一 SIP與第二 SIP之間路由信號。第一 SIP和第二 SIP可以是例如存儲器球柵陣列(BGA)封裝。
[0060]PHY存儲器106可以被用來在入口模塊116或者出口模塊120中的一個或多個模塊中擁塞的情況下緩沖分組。PHY存儲器106可以被用來存儲指令、代碼、規則、表格、和/或分組數據。這些指令、代碼、規則、和/或表格可以由中央控制模塊、聚合交換機、和/或模塊116-1、120-1、132、134在執行DIP時和/或在控制交換機(例如,結構控制模塊和/或網絡接口 108中的交換機)的狀態時使用。在一個實施方式中,這些指令、代碼、規則、和/或表格在例如總線存儲器130中沒有可用空間時被存儲在PHY存儲器106中。在另一實施方式中,這些指令、代碼、規則、和/或表格在例如PHY存儲器106中沒有可用空間時被存儲在總線存儲器130中。
[0061]總線存儲器130和PHY存儲器106可以被用來存儲:正在被檢查的分組;將被檢查的所選分組的副本;和/或將被轉發、上行鏈路傳輸、和/或下行鏈路傳輸的分組。總線存儲器130和PHY存儲器106可以被用于在接入網絡(例如,接入網絡10、50之一)中的點處暫時擁塞的情況下的分組緩沖。總線存儲器130可以對特定PHY模塊(例如,PHY模塊PHY1)是特定的,而可以與PHY模塊102中的每個PHY模塊共享PHY存儲器106。這最小化了用于單個PHY設備100的PHY存儲器數目。
[0062]在所示出的示例中,網絡接口 108包括第一介質訪問控制(MAC)接口 140、第二MAC接口 142、第一四串行吉比特介質獨立接口(QSGMII) 144、以及第二 OSGMII146。MAC接口 140、142可以是10吉比特以太網接口。第一和第二 MAC接口 140、142可以每個都執行MAC的功能并且提供經由接入設備112通向例如結構卡的通信鏈路。第一和第二 MAC接口140可以具有例如用于通過后平面連接接入設備112的10GE-KR接口,以使得經由模塊接入機架(例如,圖1的接入機架12)的低成本DPI成為可能。第一和第二 GSGMII144、146可以提供通向接入設備112的兩個并行通信鏈路。
[0063]在操作期間并且作為示例,MDI114中的每個MDI可以接收或者傳輸I吉比特數據每秒(Gbps),而接口 140、142、144、146中的每個接口可以接收或者傳輸lOGbps。MDI114可以是IGbps以太網(GE)端口,并且接口 140、142、144、146可以具有IOGE端口。經由MDI114和網絡接口 108的PHY設備100作為結果可以提供IGE端口到IOGE接口 140、142、144、146的動態綁定。這可以包括負載平衡、接口冗佘性、用于針對上行鏈路所交織的分組的時分復用調度、在PHY存儲器中對數據的緩沖、以及向PHY存儲器緩沖數據以克服或者處置數據突發。負載平衡可以包括在相同時間段期間通過兩個或者更多接口來運輸相等數量的數據。接口冗余性可以指代包括兩個或者更多接口,其中提供這些接口中的一個或多個接口作為備份。
[0064]PHY設備100、PHY模塊102、和/或第一和第二 MAC接口 140、142可以執行電氣和電子工程師協會(IEEE) 1588-2008標準的基于網絡地址的定時和同步。這可以包括使用精確時間協議(PTP)以用于將總線控制模塊(例如,總線控制模塊132)的時鐘與在PHY設備100外部的控制模塊(例如,中央控制模塊62)同步。PHY設備100、PHY模塊102、和/或第一和第二 MAC接口 140、142還可以提供滿足IEEE802.1AE_2006安全標準的MAC安全(MACSec)支持,該安全標準為獨立于介質訪問的協議定義了無連接數據機密性和完整性。
[0065]PHY設備100還可以包括安全高速緩存模塊(SCM) 150。可以在解析模塊116_2、120-2和/或接口總線118與安全高速緩存模塊150之間傳輸分組和/或分組信息。安全高速緩存模塊150可以存儲字符、數據模式、源地址、目的地地址和/或指示分組類型的其他分組信息。PHY模塊102中的每個PHY模塊的解析模塊116-2、120-2可以基于這一分組信息來確定分組是否有效或者無效。
[0066]現在參考圖1-4,PHY設備24、44、56、100和/或PHY模塊102可以作為分布式傳感器而執行,以用于檢測沿著接入網絡的周界上的實行點(enforcement point)的攻擊。中央控制模塊36、62在被包括時可以從這些分布式傳感器收集信息,諸如分組信息和攻擊信息。攻擊信息可以包括攻擊模式、簽名、和/或本文所公開的其他攻擊信息。中央控制模塊36、62然后可以應用規則和/或分析所收集的信息,以確定是否存在攻擊和/或分組是否有效和/或無效。可以確定這些分組的類型,并且可以基于這一分析的結果來轉發這些分組。可以從中央控制模塊36、62向這些分布式傳感器提供這一分析的結果,以用于分組轉發確定目的。中央控制模塊36、62可以指令這些分組類型的分布式傳感器以及如何處置這些類型的分組。可以例如在PHY存儲器106中、在總線存儲器130中、和/或在安全高速緩存模塊150中收集這一信息以用于將來使用。
[0067]現在也參考圖5,示出了提供多級別安全檢測的PHY模塊(例如,PHY模塊102之一)的入口部分170。入口部分170包括幀間有限狀態機(FSM)模塊172,幀間有限狀態機模塊172可以被包括在例如入口 RegEx模塊(例如,入口 RegEx模塊116-1)中,或者與入口 RegEx模塊分離。入口部分170可以包括入口(第一)RegEx模塊116-1、入口解析模塊116-2、總線控制模塊132、安全高速緩存模塊150、以及總線(第二)RegEx模塊134。
[0068]幀間FSM模塊172和入口 RegEx模塊116-1提供第一安全級別。幀間FSM模塊172將入口 RegEx模塊116-1用于模式和簽名查找。第一安全級別包括在由幀間FSM模塊172所接收的分組中以線路速率(例如,IGbps)檢測零日RegEx攻擊模式和簽名。可以從MDI (例如,MDItl)接收這些分組。入口 RegEx模塊116-1被配置為監測預定模式和簽名,以在補丁被安裝在中央控制模塊36、62之一中之前檢測分組。入口 RegEx模塊116-1可以可編程為允許用戶添加或者改變正在被監測的簽名和模式。[0069]A 口 RegEx模塊116_1可以用錨和通配符來執行RegEx解析。錨指代原子零寬度斷言(atomic zero-width assertion),該原子零寬度斷言取決于分組的字符串中的當前位置而促使匹配成功或者失敗。錨不促使入口 RegEx模塊116-1經過串前進或者消耗字符。通配符指代與零個或者更多字符匹配的字符,該字符被用來有效率地檢測模式或者簽名。
[0070]入口 RegEx模塊116_1可以搜索分組的頭部和/或有效載荷以及序列分組和/或非序列分組。幀間FSM模塊172基于由入口 RegEx模塊116-1的比較和/或所確定的匹配來生成第一命令信號173。
[0071]入口解析模塊116-2和安全高速緩存模塊150提供第二安全級別。入口解析模塊116-2和/或總線控制模塊132可以向SCM150推送被卸載和被驗證的數據分組和/或不可辨認分組。入口解析模塊116-2和/或安全高速緩沖模塊150然后可以將這些分組的模式與即將到來的分組相比較。作為示例,入口解析模塊116-2可以不分析如下的所接收的分組,該分組具有在SCM150中所存儲的不可辨認分組類型的模式。入口解析模塊116-2可以替代地向中央控制模塊直接傳送該分組以用于評估。這減少了入口解析模塊116-2的RegEx處理時間。
[0072]入口解析模塊116-2可以針對在接線速度(例如,IGbps)的被卸載的數據流來執行分組解析。入口解析模塊116-2(被稱為硬件解析器)可以從分組提取5元組值并且掃描SCM150尋找匹配。SCM150中所存儲的值可以與5元組值相比較。5元組值可以被用來補足傳輸控制協議(TCP)或者網際協議(IP),并且可以包括例如源IP地址、目的地IP地址、源端口號、目的地端口號、以及協議ID。SCM150可以具有用于接口 114中的每個接口的接口特定條目。例如,被信任的接口可以具有與不被信任的接口不同的用于SCM150的許可。由入口解析模塊116-2所執行的這些比較可以包括,在確定SCM150中所存儲的某些值和/或在5元組值是否能夠與該接口相關聯地被訪問中,比較與所接收的分組相關聯的該接口的標識。入口解析模塊116-2基于所執行的這些比較和SCM150中所存儲的這些指令來生成第二命令信號175。
[0073]總線控制模塊132和/或總線RegEx模塊134提供第三安全級別。總線控制模塊132可以檢查所接收的數據流并且(i)轉發這些數據流,和/或(ii)向中央控制模塊用隧道傳輸和/或復制被驗證的和/或未知的數據流(不可辨認分組的流)。作為分組檢查的結果,總線控制模塊132可以將先前未知流的附加模式存儲在SCM150中,以便關于在接收到具有這些相同模式的附加分組時將被采取的動作來指令入口解析模塊116-2。中央控制模塊可以另外或者備選地提供將被存儲在SCM150中的指令。
[0074]總線存儲器130和/或PHY存儲器106可以存儲一個哈希表,可以基于所提供的指令和最近所學習的數據流來更新該哈希表。這些指令可以指示當總線控制模塊132檢測到具有某個模式的分組時將被執行的動作(例如,丟棄或者轉發)。RegEx模塊116-1、120-1、134和SCM150可以可編程為,允許用戶添加或者改變所存儲的模式、簽名和/或指令。這些指令可以指向確定所評估的分組的安全級別。總線控制模塊132可以使用總線RegEx模塊134以檢測所接收的分組中的模式,并且然后相應地生成第三命令信號177。總線控制模塊132可以繼續跟蹤未驗證的分組流(不可辨認的分組的流)以檢測攻擊。
[0075]雖然針對PHY模塊的入口部分示出了圖5的多級別安全檢測,但是也可以針對PHY模塊的出口部分來提供多級別安全檢測。作為示例,出口 RegEx模塊120-1和出口解析模塊120-2可以執行如由幀間FSM模塊172、入口 RegEx模塊116-1、以及入口解析模塊116-2所執行的第一和第二安全級別。總線控制模塊132和總線RegEx模塊134可以提供如上文所描述的用于出口目的的第三安全級別。
[0076]用于入口部分的安全級別中的每個安全級別的命令信號173、175、177被示出為丟棄-隧道-本地控制模塊檢查-前向(DTLF)信號。這些命令信號被提供給安全級別模塊180。安全級別模塊180基于這三個命令信號173、175、177來確定安全級別并且生成安全級別信號182。
[0077]在該示例中,安全級別模塊180包括“或”門。命令信號中的每個命令信號指示所接收的分組的如由這些安全級別中的相應安全級別所確定的安全級別。這些命令信號可以每個都指示第一級別和第二級別之一。第一級別指示無效分組。第二級別指示有效分組。安全級別中的每個安全級別可以提供用于每個分組或者用于分組系列或分組的所選組的命令號。
[0078]作為第一示例,這些命令信號在指示該分組無效或者應當被丟棄時可以被設置為
I。這些命令信號在指示該分組有效或者應當被轉發時可以被設置為O。作為結果,如果命令信號中的任何命令信號指示該分組應當被丟棄,則該分組被丟棄。這由安全級別模塊180或者“或”門的輸出來提供。
[0079]作為另一示例,可以使用四個安全級別。第一級別指示無效或者丟棄分組。第二級別指示隧道分組。第三級別指示將由例如總線RegEx模塊134的總線控制模塊132本地檢查的分組。第四級別指示有效或者轉發分組。在這一實施方式中,安全級別模塊180確定由這三個命令信號所指示的最低級別。所指示的最低級別然后由安全級別模塊180報告并且由例如圖4的第一傳輸模塊116-5用來確定是否指令中央控制模塊進一步檢查該分組。在一個實施方式中,在最低級別是第二級別或者第三級別時可以報告最低級別,并且在最低級別是第一級別或者第四級別時可以不報告最低級別。在另一實施方式中,獨立于安全級別模塊180的所確定的最低級別來報告最低級別。
[0080]再次參考圖1-3,因為PHY設備24、44、56、100和/或PHY模塊102的一個或多個模塊和/或設備可以是可編程的,所以可以提供在接入網絡10、50的邊緣處包括DPI的定制安全平臺。
[0081]在圖6中,示出了網絡接口 200。網絡接口 200可以被使用在圖1-3的網絡接口108中和/或?冊設備24、44、56、100之一中。網絡接口 200包括第一復用模塊202、第一QSGMII204、第二復用模塊206、以及第二 QSGMII208。第一和第二復用模塊202、206執行復
用和解復用。
[0082]第一復用模塊202可以將來自第一 PHY模塊集合的信號(例如,8個PHY模塊輸出信號)復用為由第一 QSGMII204所接收的復用信號(例如,4個復用信號)。第二復用模塊206可以將來自第二 PHY模塊集合的信號(例如,8個PHY設備輸出信號)復用為由第二 QSGMII208所接收的復用信號(例如,4個復用信號)。第一 PHY模塊集合可以與第二 PHY模塊集合相同或者不同。第一復用模塊202可以解復用來自第一 QSGMII204的輸出信號,以生成由第一 PHY模塊集合所接收的輸入信號。第二復用模塊206可以解復用來自第二 QSGMII208的輸出信號,以生成由第二 PHY模塊集合所接收的輸入信號。第一和第二QSGMII204、208的輸出可以與聚合交換機和/或中央控制模塊通信。[0083]網絡接口 200允許以第一速度操作的PHY模塊的端口連接到第一 QSGMII204或者第二 QSGMII208,其中第一 QSGMII204和第二 QSGMII208中的每個QSGMII在與這些MDI不同的速度操作。作為示例,第一速度可以是lGbps,并且第二速度可以是lOGbps。由復用模塊202、206所執行的復用和解復用能夠消除對于在網絡接口處緩沖數據信號的需要。
[0084]可以使用許多方法來操作上文所描述的接入網絡10、50和PHY設備24、44、56、100,圖7的方法提供了一種示例方法。在圖7中,示出了包括安全檢測方法的網絡接入方法。雖然關于圖1-5的實施方式主要描述了下列任務,但是可以容易地修改這些任務以應用至本公開內容的其他實施方式。可以迭代地執行和/或按不同順序來執行這些任務。該方法可以在300處開始。雖然下列任務302-322是入口任務,但是在執行出口任務(諸如由出口模塊120所執行的出口任務)時可以類似反向地執行這些任務。另外,雖然關于單個分組描述了下列任務,但是可以對于多個分組和/或分組的所選組來執行這些任務。這些分組可以是序列系列分組或者非序列系列分組。
[0085]在302處,入口 RegEx模塊116-1從MDItl接收分組。可以從經由網絡14與PHY模塊PHY1通信的網絡設備(例如,網絡設備18之一)接收該分組。入口 RegEx模塊116-1可以執行對該分組的初始檢查,以快速確定是否丟棄或者轉發該分組。入口 RegEx模塊116-1可以基于該初始檢查的結果來生成第一命令信號和/或第一分組信息信號。第一命令信號可以指示該分組的安全級別的第一估計。第一估計可以是四個上文所描述的安全級別之一。第一分組信息信號可以包括如上文所描述的分組信息,并且/或者指示接口總線118和/或總線控制模塊132是否應當檢查該分組。分組信息可以包括源地址和目的地地址、協議ID、分組長度、分組描述符等。初始檢查可以包括丟棄或者轉發該分組。該分組在被轉發時被提供給入口解析模塊116-2。
[0086]在304處,入口解析模塊116-2可以基于在安全高速緩存模塊150中所存儲的信息、第一命令信號、和/或第一分組信息信號來執行第二分組檢查,并且生成第二命令信號。第二分組檢查可以包括丟棄或者轉發該分組。該分組在被轉發時可以被提供給第一接收模塊116-3和/或接口總線118。入口解析模塊116-2可以基于第二分組檢查的結果來生成第二命令信號和/或第二分組信息信號。第二命令信號可以指示該分組的安全級別的第二估計。第二估計可以是四個上文所描述的安全級別之一并且可以基于第一估計。第二分組信息信號可以包括如上文所描述的分組信息,并且/或者指示接口總線118和/或總線控制模塊132是否應當檢查該分組。
[0087]在305處,RegEx模塊116_1確定該分組是否具有不安全模式和/或屬于安全數據流(例如,在SCM150的表格中具有對應的“允許”條目)。如果該分組不具有不安全模式和/或該分組屬于安全數據流,則跳過該分組的本地化檢查,并且能夠執行任務314以使得該分組安全地被轉發。當該分組屬于未知數據流和/或由RegEx模塊116-1和/或SCM150設置為將被進一步檢查時,可以執行本地化檢查。如果該分組:具有不安全(或者危險)模式;該分組的對應SCM條目指示該分組不安全;和/或不屬于安全數據流,則可以執行任務306以使得該分組被用隧道傳輸給中央控制模塊或者被丟棄。
[0088]在306處,第一接收模塊116-3可以將該分組和其他信息存儲在總線存儲器130和/或PHY存儲器106中。該其他信息可以包括該分組的描述符、第一和第二命令信號和/或第一和第二分組信息信號。[0089]在308處,接口總線118基于第一命令信號、第二命令信號、第一分組信息信號、和/或第二分組信息信號來執行對該分組的第三檢查。總線控制模塊132和/或總線RegEx模塊134可以執行第三分組檢查。可以使用一個或多個TCAM來執行第三分組檢查。總線控制模塊132可以基于對該分組的第三檢查的結果來生成第三命令信號和第三分組
信息信號。
[0090]第三命令信號可以指示該分組的安全級別的第三估計。第三估計可以是四個上文所描述的安全級別之一,并且可以基于第一估計和/或第二估計。作為備選或者除了生成第三估計之外,安全級別模塊180可以生成安全級別信號。可以基于第一命令信號、第二命令信號、以及第三命令信號來生成安全級別信號。第三分組信息信號可以包括如上文所描述的分組信息,并且/或者指示中央控制模塊36或62是否應當檢查該分組。當接口總線118和/或總線控制模塊132不能確定是否:丟棄該分組;或者從PHY模塊PHY1 (第一 PHY模塊)向另一(第二)PHY模塊(例如,PHY模塊m)或者向與PHY設備100分離的網絡設備轉發該分組時,可以指令中央控制模塊36、62檢查該分組。
[0091]可以周期性地、隨機地、在接收到預定數目的分組之后、在接收到預定數目的字節之后、在接收到預定數目的有效和/或無效分組之后、和/或以預定時間間隔,來執行在302,304,以及308處所執行的這些檢查。可以執行在302、304、以及308處所描述的檢查中的一個或多個檢查并且可以不執行其他檢查。在任務302、304、以及308中的每個任務處,可以檢查所接收的分組中的一些分組或者所有分組。另外,在302、304和308之一處所檢查的分組可以在任務302、304、308中的其他任務中的一個或多個任務處不被檢查。
[0092]在310處,該分組在被轉發給中央控制模塊36、62、第二 PHY設備和/或與PHY設備100分離的網絡設備轉發時可以被存儲在接收FIFO模塊116-4中。在312處,然后可以向第一傳輸模塊116-5提供該分組和其他信息。該其他信息可以包括例如上文所描述的第一、第二、和/或第三命令信號、安全級別信號、和/或其他分組信息。在314處,第一傳輸模塊116-5確定該分組是否將被轉發給第二 PHY模塊和/或與PHY設備100分離的網絡設備。這一確定可以基于在312處所提供的第三命令信號、安全級別信號、和/或其他信息。在轉發該分組時可以執行任務316,否則可以執行任務315。
[0093]分組可以如下文所描述的在316處被轉發,并且如關于任務322所描述的被發送給中央控制模塊以用于進一步的檢查。當該分組既在316處被轉發又在322處被檢查時,該分組可以被復寫以便向多個目的地(例如,原始目的地和中央控制模塊)提供該分組。
[0094]在315處,第一傳輸模塊116-5確定該分組是否將由中央控制模塊36、62進一步檢查。這一確定可以基于在312處所提供的第三命令信號、安全級別信號和/或其他信息。在該分組將被進一步檢查時可以執行任務322,否則可以執行任務330。
[0095]在316處,可以從第一 PHY模塊PHY1向所預期的和/或原始選擇的目的地轉發該分組。可以例如從網絡14向接入設備112、聚合交換機26、38之一、結構卡20、32之一、和/或中央網絡設備60轉發入口分組。可以例如從接入設備112、聚合交換機26、38之一、結構卡20、32之一、和/或中央網絡設備60向網絡14轉發出口分組。該方法可以在320處結束。
[0096]在322處,該分組可以經由網絡接口 108被用隧道傳輸給中央控制模塊36、62。具有PHY設備100的MAC地址的MAC頭部可以被添加至該分組(第一分組)以形成第二分組。第二分組經由網絡接口 108被轉發給中央控制模塊36、62。在324處,中央控制模塊36、62可以執行對該分組的第四分組檢查。中央控制模塊36、62可以周期性地、隨機地、在接收到預定數目的分組之后、在接收到預定數目的字節之后、在接收到預定數目的有效和/或無效分組之后、和/或以預定時間間隔來執行檢查。這些分組可以獨立于由PHY設備100所確定的安全級別而被轉發給中央控制模塊36、62。
[0097]在326處,中央控制模塊36、62指令第一 PHY模塊PHY1丟棄和/或不轉發與第一分組類似的分組。該方法可以在執行任務326之后在320處結束。在丟棄該分組時執行任務330,否則執行任務316。
[0098]在330處,從PHY設備100的總線存儲器130、PHY存儲器106和/或其他存儲器、模塊和/或設備刪除該分組。這可以包括從一個或多個PHY模塊以及對應存儲器、模塊、以及設備刪除該分組。該方法可以在任務330之后在320處結束。
[0099]上文所描述的這些任務意在作為說明性的示例;取決于應用可以序列地、同步地、同時地、連續地、在重疊時間段期間或者按照不同的順序來執行這些任務。另外,取決于實施方式和/或事件序列,這些任務中的任何任務可能不被執行或者被跳過。
[0100]除了上文所描述的特征之外,文本所公開的這些實施方式在接入網絡的邊緣處提供了經由多個PHY模塊所執行的分組檢查。這允許了對分組的檢查被分布至多個PHY模塊并且在這些分組被接收時并且以這些分組被接收的速率被執行。這將檢查處理從中央控制模塊卸載到多個PHY設備內的多個設備和/或模塊。
[0101]前述描述本質上僅為說明性的并且決不意圖為限制本公開內容、它的應用、或者使用。能夠以多種形式來實施本公開內容的寬泛教導。因此,盡管本公開內容包括特定的示例,但是不應當如此限制本公開內容的真實范圍,因為其他修改將在研究附圖、說明書、以及下列權利要求時變得清楚。為了清楚的目的,相同的參考標號在附圖中將被用來標識類似的元素。如本文所使用的,短語A、B和C中的至少一個應當被解釋為使用非排他邏輯“或”來意指邏輯的(A或B或C)。應當理解,不更改本公開內容的原理,可以按照不同順序(或者并發地)執行方法內的一個或多個步驟。
[0102]雖然術語第一、第二、第三等在本文可以被用來描述各種設備、模塊、信號、元件、和/或部件,但是這些項目不應當受這些術語所限制。這些術語可以僅被用來區分一個項目與另一項目。術語,諸如“第一”、“第二”和其他數值術語當在本文被使用時不暗示序列或者順序,除非由上下文清楚地指示。因此,不偏離示例實施方式的教導,下文所討論的第一項目可以被稱為第二項目。
[0103]另外,在下列描述中公開了各種可變標記和值。僅作為示例來提供這些可變標記和值。這些可變標記任意地被提供,并且可以每個都被用來標識或者指代不同的項目。例如,可變標記η可以被用來指代多個模塊或者多個設備。這些值也任意地被提供并且可以按照應用而變化。
[0104]如文本所使用的,術語模塊可以指代以下各項、是以下各項的一部分、或者包括以下各項:專用集成電路(ASIC);電子電路;組合邏輯電路;現場可編程門陣列(FPGA);執行代碼的處理器(共享的、專用的、或者組);提供所描述的功能的其他適當硬件部件;或者上述中的一些或者全部的組合,諸如在片上系統中。術語模塊可以包括存儲由處理器所執行的代碼的存儲器(共享的、專用的、或者組)。[0105]如上文所使用的,術語代碼可以包括軟件、固件、和/或微代碼,并且可以指代程序、例程、函數、類、和/或對象。如上文所使用的,術語共享意味著可以使用單個(共享)處理器來執行來自多個模塊的一些或者所有代碼。另外,單個(共享)存儲器可以存儲來自多個模塊的一些或者所有代碼。如上文所使用的,術語組意味著可以使用處理器組來執行來自單個模塊的一些或者所有代碼。另外,可以使用存儲器組來存儲來自單個模塊的一些或者所有代碼。
[0106]文本所描述的這些裝置和方法可以由一個或多個處理器所執行的一個或多個計算機程序來實施。這些計算機程序包括存儲在非瞬態有形計算機可讀介質上的處理器可執行指令。這些計算機程序還可以包括所存儲的數據。非瞬態有形計算機可讀介質的非限制示例是非易失性存儲器、磁性存儲裝置、以及光學存儲裝置。
【權利要求】
1.一種物理層設備,包括: 存儲器; 存儲器控制模塊,被配置為控制對所述存儲器的訪問; 物理層模塊,被配置為經由所述存儲器控制模塊將分組存儲在所述存儲器中,所述物理層模塊包括 至少一個接口,被配置為經由網絡從網絡設備接收所述分組,以及接口總線,包括控制模塊和正則表達式模塊中的至少一個模塊,其中所述控制模塊和所述正則表達式模塊中的所述至少一個模塊被配置為檢查所述分組以確定所述分組的安全級別;以及 網絡接口,被配置為基于所述安全級別向與所述物理層設備分離的設備提供所述分組。
2.根據權利要求1所述的物理層設備,其中所述存儲器包括雙倍數據速率存儲器并且經由在所述物理層模塊與所述存儲器之間所連接的存儲器接口是可訪問的。
3.根據權利要求1所述的物理層設備,其中: 在第一封裝內系統中實施所述物理層設備; 在第二封裝內系統中實施所述存儲器;并且 堆疊所述第一封裝內系統和所述第二封裝內系統。
4.根據權利要求1所述的物理層設備,其中所述控制模塊和所述正則表達式模塊中的所述至少一個模塊 被配置為將所述分組中的每個分組的所述安全級別確定為以下各項之 有效; 經由所述控制模塊和所述正則表達式模塊中的所述至少一個模塊將被進一步檢查的分組; 將被用隧道傳輸給中央控制模塊以用于進一步檢查的分組,其中所述中央控制模塊與所述物理層設備分離;以及無效。
5.根據權利要求4所述的物理層設備,其中: 從所述物理層設備向與所述物理層模塊分離的所述設備轉發所述分組中具有有效安全級別的每個分組;并且 丟棄所述分組中具有無效安全級別的每個分組。
6.根據權利要求1所述的物理層設備,其中: 與所述物理層設備分離的所述設備是結構卡的聚合交換機;并且 所述物理層模塊被實施在線路卡中并且與所述結構卡通信。
7.根據權利要求1所述的物理層設備,其中: 所述網絡接口被配置為向中央控制模塊提供所述分組中的選擇的分組; 所述中央控制模塊與所述物理層設備分離;并且 所述網絡接口被配置為,基于由所述中央控制模塊所執行的對所述分組中的所述選擇的分組的所述檢查,來轉發除了所述分組中的所述選擇的分組之外的分組。
8.根據權利要求1所述的物理層設備,進一步包括三態內容可尋址存儲器,其中所述控制模塊和所述正則表達式模塊中的所述至少一個模塊被配置為,檢查所述分組以使用所述三態內容可尋址存儲器來確定所述分組的所述安全級別。
9.根據權利要求1所述的物理層設備,其中: 所述存儲器是第一存儲器; 所述接口總線包括第二存儲器; 所述控制模塊和所述正則表達式模塊中的所述至少一個模塊被配置為,確定是否將所述分組和對應的分組信息存儲在所述第一存儲器和所述第二存儲器中的至少一個存儲器中;并且 所述分組信息包括所述分組的所述安全級別。
10.根據權利要求1所述的物理層設備,其中: 所述物理層模塊是第一物理層模塊; 所述物理層設備進一步包括第二物理層模塊;并且 所述第二物理層模塊與所述第一物理層模塊共享所述存儲器。
11.根據權利要求1所述的物理層設備,進一步包括: 安全高速緩存模塊,被配置為存儲規則和表格中的至少一項;以及 入口解析模塊,被配置為基于所述規則和表格來檢查所述分組。
12.根據權利要求11所述的物理層設備,其中所述控制模塊被配置為,檢查所述分組以生成檢查結果并且基于所述結果來更新所述安全高速緩存模塊。`
13.根據權利要求1所述的物理層設備,其中所述物理層模塊進一步包括: 第一模塊,被配置為檢查所述分組以生成第一命令信號; 第二模塊,被配置為檢查所述分組以生成第二命令信號, 其中所述控制模塊和所述正則表達式模塊中的所述至少一個模塊被配置為檢查所述分組并且生成第三命令信號;以及 安全級別模塊,被配置為基于所述第一命令信號、所述第二命令信號、以及所述第三命令信號來生成安全級別信號, 其中所述網絡接口基于所述安全級別信號來向與所述物理層設備分離的所述設備提供所述分組。
14.根據權利要求1所述的物理層設備,其中: 所述物理層模塊包括多個模塊; 所述多個模塊中的每個模塊被配置為檢查所述分組并且生成多個安全級別估計;安全級別模塊,被配置為基于所述多個安全級別估計來生成安全級別信號;并且基于所述安全級別信號,所述網絡接口被配置為向與所述物理層設備分離的所述設備提供所述分組。
15.根據權利要求1所述的物理層設備,其中: 所述網絡接口被配置為向中央控制模塊提供所述分組中的選擇的分組以用于檢查; 所述中央控制模塊與所述物理層設備分離;并且 所述物理層模塊被配置為,基于在所述中央控制模塊處所執行的所述檢查來從所述中央控制模塊接收指令信號,并且基于所述指令信號來轉發除了所述分組中的所述選擇的分組之外的分組。
16.一種接入機架,包括: 多個線路卡,被配置為從所述網絡設備接收所述分組并且向與所述物理層設備分離的所述設備傳輸所述分組,其中所述多個線路卡中的第一線路卡包括根據權利要求1所述的物理層設備;以及 至少一個結構卡,被配置為提供在所述第一線路卡與所述多個線路卡中的第二線路卡之間的切換連接,并且從所述第一線路卡向所述第二線路卡轉發所述分組。
17.根據權利要求16所述的接入機架,其中: 所述至少一個結構卡包括中央控制模塊; 所述物理層模塊的入口模塊和出口模塊中的至少一個模塊被配置為,確定所述分組中的選擇的分組是否將由所述中央控制模塊檢查;并且 所述中央控制模塊被配置為,基于所述分組中的所述選擇的分組是否將由所述中央控制模塊檢查的所述確定,來檢查所述分組中的所述選擇的分組。
18.根據權利要求17所述的接入機架,其中: 所述中央控制模塊被配置為生成指令信號,所述指令信號指示是否丟棄或者轉發具有與所述分組中的所述選擇的分組相類似的格式的分組;并且 基于所述指令信號,所述物理層設備被配置為丟棄或者轉發具有與所述分組中的所述選擇的分組相類似的格式的所述分組。
19.一種方法,包括: 在物理層模塊的接 口處經由網絡從網絡設備接收分組; 從物理層設備向存儲器控制模塊傳送所述分組以將所述分組存儲在存儲器中,其中所述物理層設備包括所述物理層模塊,并且其中所述物理層模塊包括接口總線; 經由控制模塊和正則表達式模塊中的至少一個模塊檢查所述分組以確定所述分組的安全級別,其中所述接口總線包括所述控制模塊和所述正則表達式模塊中的所述至少一個模塊;以及 基于所述安全級別,經由物理層接口向與所述物理層設備分離的設備提供所述分組。
20.根據權利要求19所述的方法,進一步包括: 經由第一模塊檢查所述分組以生成第一命令信號; 經由第二模塊檢查所述分組以生成第二命令信號; 經由所述控制模塊和所述正則表達式模塊中的所述至少一個模塊檢查所述分組以生成第二命令信號; 基于所述第一命令信號、所述第二命令信號、以及所述第三命令信號來生成安全級別信號;以及 基于所述安全級別信號,向與所述物理層設備分離的所述設備提供所述分組。
【文檔編號】H04L12/28GK103875214SQ201280049544
【公開日】2014年6月18日 申請日期:2012年8月10日 優先權日:2011年8月10日
【發明者】S·蘇塔爾德加, T·丹尼爾, D·梅爾茨 申請人:馬維爾國際貿易有限公司