劉興濤，康　賓，周三友，郭彥濤

(通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點(diǎn)實(shí)驗(yàn)室，河北 石家莊 050081)

?

自主可控路由器控制交換系統(tǒng)設(shè)計(jì)

劉興濤，康賓，周三友，郭彥濤

(通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點(diǎn)實(shí)驗(yàn)室，河北 石家莊 050081)

控制交換系統(tǒng)是路由器的核心單元，主要完成網(wǎng)絡(luò)信息的控制和交換。針對路由器核心軟硬件的國產(chǎn)自主化需求，基于龍芯CPU、國產(chǎn)交換芯片和中標(biāo)麒麟操作系統(tǒng)，設(shè)計(jì)開發(fā)了CPU控制和交換等關(guān)鍵模塊，給出了一套自主可控路由器控制交換系統(tǒng)的設(shè)計(jì)方案，降低了網(wǎng)絡(luò)設(shè)備對進(jìn)口器件的依賴，提高了網(wǎng)絡(luò)設(shè)備的自主化水平。通過在路由設(shè)備上的具體實(shí)驗(yàn)，驗(yàn)證了自主可控控制交換系統(tǒng)的可行性和有效性。

通信網(wǎng)絡(luò)安全；路由器；控制交換系統(tǒng)；龍芯CPU

0　引言

信息技術(shù)革命日新月異，對國家政治、經(jīng)濟(jì)、社會和軍事等領(lǐng)域的發(fā)展產(chǎn)生了深刻影響，信息安全成為事關(guān)國家安全和發(fā)展的重大戰(zhàn)略問題[1]。為保障通信網(wǎng)絡(luò)的可靠性和安全性，提高路由器、交換機(jī)等關(guān)鍵網(wǎng)絡(luò)設(shè)備的自主可控能力成為網(wǎng)絡(luò)建設(shè)的關(guān)鍵[2]。

經(jīng)過十幾年的發(fā)展，我國已實(shí)現(xiàn)了全網(wǎng)域網(wǎng)絡(luò)設(shè)備的國產(chǎn)化，能夠提供系列化的路由交換產(chǎn)品。但國產(chǎn)網(wǎng)絡(luò)設(shè)備的CPU、交換芯片、網(wǎng)絡(luò)處理器和操作系統(tǒng)等核心軟硬件均采用國外產(chǎn)品，存在信息安全隱患[3]，因此迫切需要基于國產(chǎn)軟硬件平臺實(shí)現(xiàn)路由交換設(shè)備的自主化，為國家網(wǎng)絡(luò)和信息安全提供基礎(chǔ)保障[4]。核心器件、高端芯片和基礎(chǔ)軟件等領(lǐng)域近年來成果顯著，文獻(xiàn)[5-7]將國產(chǎn)CPU、操作系統(tǒng)等產(chǎn)品成功應(yīng)用于國產(chǎn)計(jì)算機(jī)中，但在路由交換設(shè)備中應(yīng)用較少，需要設(shè)計(jì)適合網(wǎng)絡(luò)設(shè)備應(yīng)用的自主控制交換平臺。

本文結(jié)合通信應(yīng)用的功能需求和國產(chǎn)核心軟硬件的性能特點(diǎn)，選用龍芯2F處理器、中標(biāo)麒麟操作系統(tǒng)和國產(chǎn)交換芯片，設(shè)計(jì)開發(fā)了一套自主可控的路由器控制交換系統(tǒng)，并結(jié)合路由器的實(shí)際應(yīng)用，對系統(tǒng)的性能進(jìn)行測試驗(yàn)證。

1　自主硬件平臺設(shè)計(jì)

1.1硬件總體框架

控制交換系統(tǒng)是路由器的核心單元，為提高控制交換系統(tǒng)的自主可控性，同時(shí)實(shí)現(xiàn)大容量、高速、全雙工和無阻塞的數(shù)據(jù)交換，本文調(diào)研了文獻(xiàn)[8-12]提出的各種路由器技術(shù)方案，設(shè)計(jì)了如圖1所示的控制交換系統(tǒng)架構(gòu)?？刂平粨Q系統(tǒng)由交換模塊、CPU控制模塊、FPGA模塊、時(shí)鐘模塊、機(jī)箱管理模塊、電源模塊及連接器模塊等組成，其中交換模塊和CPU控制模塊為核心功能模塊。

圖1　控制交換系統(tǒng)架構(gòu)

數(shù)據(jù)在控制交換系統(tǒng)中的處理流程為：數(shù)據(jù)流經(jīng)連接器模塊中的數(shù)據(jù)信息接口和控制信息接口進(jìn)入交換模塊，在交換模塊中完成幀同步、FCS處理、分組緩存以及關(guān)鍵字提取后，再由交換模塊內(nèi)部專用的路由轉(zhuǎn)發(fā)處理引擎完成業(yè)務(wù)信息分類、路由交換查表、路由交換決策、分組封裝和輸出調(diào)度等處理過程。國產(chǎn)交換芯片根據(jù)特定字段區(qū)分出數(shù)據(jù)流中不同的信息，將協(xié)議和控制信息發(fā)送至CPU控制模塊，由其進(jìn)行處理，數(shù)據(jù)信息經(jīng)路由查表等操作后，根據(jù)路由決策直接經(jīng)連接器模塊交換輸出或發(fā)送給CPU控制模塊進(jìn)行處理。

該系統(tǒng)框架中，F(xiàn)PGA模塊主要實(shí)現(xiàn)各種可編程控制和業(yè)務(wù)處理邏輯，同時(shí)提供指示燈控制、復(fù)位控制、時(shí)鐘分配和寄存器維護(hù)管理等功能。時(shí)鐘模塊主要實(shí)現(xiàn)外時(shí)鐘同步功能，主要由兩部分電路組成，一部分提供外部時(shí)鐘源的接入能力，另一部分提供時(shí)鐘輸出作為系統(tǒng)時(shí)鐘的測試接口。機(jī)箱管理模塊完成機(jī)箱管理功能，實(shí)時(shí)監(jiān)控系統(tǒng)溫度和工作狀態(tài)，同時(shí)管理各業(yè)務(wù)板的上電、接口狀態(tài)以及風(fēng)扇轉(zhuǎn)速等，并實(shí)現(xiàn)熱拔插。電源模塊包括電源管理和電源轉(zhuǎn)換模塊，電源管理模塊受機(jī)箱管理模塊控制，實(shí)現(xiàn)整板的上電、掉電控制，電源轉(zhuǎn)換模塊提供系統(tǒng)所需要的不同電壓值的直流電源。連接器模塊包含兩部分：一部分主要用于供電和機(jī)箱管理；另一部分用于數(shù)據(jù)傳輸，實(shí)現(xiàn)數(shù)據(jù)信息交換和控制信息交換。

1.2CPU控制模塊

CPU控制模塊用于完成控制交換系統(tǒng)的控制與協(xié)議處理，是各種網(wǎng)絡(luò)協(xié)議運(yùn)行的硬件平臺。目前國產(chǎn)CPU主要有中科院龍芯處理器[13]、國防科技大學(xué)飛騰處理器[14]和申威處理器[15]，本文綜合比較了各種國產(chǎn)處理器的性能、成本和成熟程度，選用龍芯2F處理器設(shè)計(jì)了如圖2所示的CPU控制模塊。

圖2　CPU控制模塊組成

CPU控制模塊以龍芯2F處理器為核心，同時(shí)配以BIOS程序存儲器、DDR2 SDRAM存儲器、總線橋控制器、復(fù)位及控制邏輯和以太網(wǎng)控制器等，提供RS-232接口、網(wǎng)口用于系統(tǒng)調(diào)試和加載程序。CPU控制模塊中各個(gè)芯片工作的時(shí)鐘信號由時(shí)鐘模塊提供，所需的各種電源由電源模塊提供。數(shù)據(jù)流經(jīng)連接器模塊進(jìn)入控制交換系統(tǒng)后，協(xié)議信息和控制信息進(jìn)入CPU控制模塊完成協(xié)議交互、路由計(jì)算和管理維護(hù)等處理。

龍芯2F處理器主要包含PCI接口信號組、時(shí)鐘信號、中斷信號、LOCAL總線信號、DDR2 SDRAM接口信號、上電復(fù)位初始化信號、JTAG信號和測試信號等。CPU控制模塊中，BIOS程序存儲區(qū)存放龍芯2F的引導(dǎo)啟動代碼，用于在上電初期啟動和配置龍芯2F內(nèi)核，同時(shí)存儲PMON軟件的開發(fā)調(diào)試環(huán)境。DDR2 SDRAM存儲器用于暫存CPU運(yùn)行指令以及執(zhí)行過程中所產(chǎn)生和調(diào)用的各種數(shù)據(jù)結(jié)構(gòu)，通過龍芯2F的DDR2總線擴(kuò)展實(shí)現(xiàn)。CPU控制模塊工作所需要的系統(tǒng)時(shí)鐘、存儲器時(shí)鐘以及PCI接口時(shí)鐘參考由時(shí)鐘模塊提供，同時(shí)總線橋連接器所需的其他時(shí)鐘參考也由時(shí)鐘模塊提供。系統(tǒng)上電時(shí)，采用龍芯2F處理器先上電，其他部分在后的最佳上電順序。

1.3交換模塊

交換模塊用于實(shí)現(xiàn)板間或不同端口間的大容量信息交換，是控制交換系統(tǒng)的核心組成部分，圖3給出了本文所設(shè)計(jì)的交換模塊架構(gòu)。交換模塊由國產(chǎn)交換芯片、千兆以太網(wǎng)PHY芯片、千兆以太網(wǎng)接口變壓器、TCAM和SRAM電路等組成，主要實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)路由交換以及協(xié)議、控制信息的路由交換功能。

圖3　交換模塊組成

該國產(chǎn)交換芯片內(nèi)部集成了DRAM、TCAM和SRAM，具備完整的L2/L3/MPLS特性，其接口豐富、功耗低，可滿足工業(yè)級需求。交換芯片內(nèi)部主要由業(yè)務(wù)MAC控制器、Ingress和Egress包處理引擎、流量管理引擎、PCI接口控制器和CPUMAC控制器等組成。

交換模塊最大可支持8個(gè)10 G業(yè)務(wù)槽位、2個(gè)交換槽位。交換芯片通過連接千兆以太網(wǎng)PHY芯片，提供12個(gè)千兆以太網(wǎng)接口作為控制信息交換接口。為支持更大的表容量，擴(kuò)展了TCAM和SRAM電路。對于GE接口，選用千兆以太網(wǎng)PHY芯片配合千兆以太網(wǎng)接口變壓器實(shí)現(xiàn)，千兆以太網(wǎng)PHY芯片對外提供12個(gè)MDI雙絞線接口，通過連接千兆以太網(wǎng)接口變壓器，實(shí)現(xiàn)12路千兆以太網(wǎng)線路接口的電平變換。

1.4內(nèi)外接口

控制交換系統(tǒng)的內(nèi)部接口主要用于系統(tǒng)內(nèi)部各模塊之間的互連，包括GMII接口、PCI總線接口、CPU接口、SMB總線接口和I2C總線接口等，系統(tǒng)內(nèi)部接口組成如圖4所示。

圖4　控制交換系統(tǒng)內(nèi)部接口

CPU控制模塊與交換模塊之間通過接口轉(zhuǎn)換來進(jìn)行協(xié)議信息的交互，GMII接口是交換模塊與CPU之間逐跳數(shù)據(jù)和信令協(xié)議的主要傳輸接口。PCI總線接口是控制交換系統(tǒng)的管理控制接口和CPU控制模塊的功能擴(kuò)展接口，龍芯2F與交換芯片通過PCI接口直接連接，實(shí)現(xiàn)CPU對交換模塊的配置和管理，同時(shí)龍芯2F通過PCI接口經(jīng)接口轉(zhuǎn)換實(shí)現(xiàn)與交換芯片間協(xié)議數(shù)據(jù)的互通。SMB總線接口是龍芯2F與FPGA模塊的互連接口，用于實(shí)現(xiàn)溫度監(jiān)測及管理。I2C總線接口是FPGA模塊與機(jī)箱管理模塊間的互連接口，用于實(shí)現(xiàn)機(jī)箱管理功能。

外部接口主要用于控制交換系統(tǒng)與外界的數(shù)據(jù)交互，同時(shí)實(shí)現(xiàn)對系統(tǒng)的配置、更新和維護(hù)，主要包括數(shù)據(jù)信息接口、控制信息接口、時(shí)鐘接口、機(jī)箱管理接口、串行管理調(diào)試接口、電源接口和維護(hù)接口等。

數(shù)據(jù)信息接口是控制交換系統(tǒng)主要的數(shù)據(jù)傳輸接口，通過背板與其他業(yè)務(wù)板互連?？刂菩畔⒔涌谔峁C(jī)框內(nèi)的IP傳輸，是處理單元之間交互控制管理信息的接口。時(shí)鐘接口支持主從同步功能，提供雙冗余的3對差分時(shí)鐘作為系統(tǒng)的主用、備用和輸入時(shí)鐘。2個(gè)控制交換系統(tǒng)之間提供差分信號，系統(tǒng)間通過該差分信號共享狀態(tài)信息，實(shí)現(xiàn)主、備控制交換系統(tǒng)間的通信。機(jī)箱管理接口是基于I2C接口的智能平臺管理總線，該總線同時(shí)具有串行管理總線功能。串行管理調(diào)試接口用于設(shè)備的管理和調(diào)試，電源接口為電源的輸入接口，維護(hù)接口是對控制交換系統(tǒng)進(jìn)行維護(hù)管理的接口。

控制交換系統(tǒng)通過內(nèi)部接口實(shí)現(xiàn)了系統(tǒng)內(nèi)各模塊間的高速互連，通過外部接口實(shí)現(xiàn)了數(shù)據(jù)流的快速傳輸，高效、可靠的內(nèi)外部接口為控制交換系統(tǒng)實(shí)現(xiàn)大容量、高速和無阻塞的數(shù)據(jù)交換提供了有力支撐。

2　自主軟件架構(gòu)

操作系統(tǒng)是網(wǎng)絡(luò)裝備實(shí)現(xiàn)數(shù)據(jù)報(bào)文交換、路由功能的基礎(chǔ)軟件平臺。國產(chǎn)中標(biāo)麒麟操作系統(tǒng)是針對關(guān)鍵業(yè)務(wù)負(fù)載而構(gòu)建的高可靠、易管理的Linux操作系統(tǒng)[16]。基于中標(biāo)麒麟操作系統(tǒng)設(shè)計(jì)的自主軟件架構(gòu)如圖5所示。

基于中標(biāo)麒麟操作系統(tǒng)，在龍芯CPU的硬件平臺上設(shè)計(jì)了自主軟件架構(gòu)，同時(shí)結(jié)合自主網(wǎng)絡(luò)體系的需求，對商用路由協(xié)議進(jìn)行適應(yīng)性改造和安全加固，將其運(yùn)行在國產(chǎn)操作系統(tǒng)上，與國產(chǎn)操作系統(tǒng)相結(jié)合實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備核心軟件的自主化。

控制交換系統(tǒng)基于國產(chǎn)中標(biāo)麒麟操作系統(tǒng)構(gòu)建了應(yīng)用層處理軟件，實(shí)現(xiàn)了對系統(tǒng)管理、配置和網(wǎng)絡(luò)信息的安全控制，提高了系統(tǒng)的安全性。

圖5　自主軟件架構(gòu)

3　系統(tǒng)應(yīng)用分析

為驗(yàn)證自主可控路由交換系統(tǒng)的性能指標(biāo)，搭建了如圖6所示的路由器測試環(huán)境，包括自主可控控制交換平臺、以太網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)平臺、光接口轉(zhuǎn)發(fā)平臺和測試儀。

圖6　系統(tǒng)測試環(huán)境

轉(zhuǎn)發(fā)能力測試：測試儀與光接口轉(zhuǎn)發(fā)平臺間通過光接口互連，使用思博倫[17]的TestCenter測試儀從光接口發(fā)送滿帶寬10 G的數(shù)據(jù)報(bào)文，幀長為1 500 bytes，數(shù)據(jù)報(bào)文經(jīng)自主可控控制交換平臺進(jìn)行轉(zhuǎn)發(fā)[18]。測試結(jié)果顯示，在10 G帶寬情況下，數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)無丟包。

路由表容量測試：測試儀與以太網(wǎng)轉(zhuǎn)發(fā)平臺通過以太網(wǎng)互連，測試儀與路由器間通過OSPF協(xié)議建立鄰居關(guān)系，TestCenter生成10 000條路由擴(kuò)散至路由器。在自主可控控制交換平臺上查看路由表，顯示5 000條路由。TestCenter通過以太網(wǎng)接口發(fā)送目的地址為上述5 000條路由的數(shù)據(jù)流，每個(gè)數(shù)據(jù)流帶寬為0.2M，測試結(jié)果顯示，數(shù)據(jù)流轉(zhuǎn)發(fā)無丟包。

自主可控路由器控制交換系統(tǒng)通過應(yīng)用國產(chǎn)CPU、交換芯片等關(guān)鍵芯片，杜絕了進(jìn)口器件中可能存在的后門和漏洞，基于國產(chǎn)操作系統(tǒng)設(shè)計(jì)了自主軟件架構(gòu)，從軟件層次提高了系統(tǒng)的安全性，為安全可靠的通網(wǎng)絡(luò)信提供了保障。因此，本系統(tǒng)可應(yīng)用于金融、政府和大型國企等安全等級要求較高的內(nèi)部專網(wǎng)，構(gòu)建自主可控的通信網(wǎng)絡(luò)，有效提高信息傳輸?shù)陌踩浴?/p>

4　結(jié)束語

研究探索自主可控技術(shù)，設(shè)計(jì)開發(fā)自主可控網(wǎng)絡(luò)設(shè)備，建設(shè)自主可控的通信網(wǎng)絡(luò)是國家信息安全和長遠(yuǎn)發(fā)展的重要保障。針對網(wǎng)絡(luò)設(shè)備的自主可控化需求，本文在綜合分析各種技術(shù)方案的基礎(chǔ)上，應(yīng)用龍芯2F處理器、國產(chǎn)交換芯片和中標(biāo)麒麟操作系統(tǒng)，設(shè)計(jì)了具有高自主可控能力的路由器控制交換系統(tǒng)。該系統(tǒng)通過核心軟硬件的國產(chǎn)化，杜絕了進(jìn)口器件帶來的后門、漏洞和陷阱等安全隱患，保障了通信網(wǎng)絡(luò)的安全性，為我國網(wǎng)絡(luò)設(shè)備的自主生產(chǎn)和保障提供了支撐。

[1]吳巍.賽博空間技術(shù)發(fā)展現(xiàn)狀與通信網(wǎng)絡(luò)安全問題[J].無線電通信技術(shù)，2012，38(3):1-4.

[2]萬俊偉，趙輝，鮑忠貴，等.自主可控信息技術(shù)發(fā)展現(xiàn)狀與應(yīng)用分析[J].飛行器測控學(xué)報(bào)，2015，34(4):318-324.

[3]石景欣,鄧東豐.我國網(wǎng)絡(luò)信息安全重大舉措與問題分析[J].移動通信,2014,38(23):5-8.

[4]劉素桃，高飛.基于龍芯2F的國產(chǎn)處理器平臺在路由器中的設(shè)計(jì)實(shí)現(xiàn)[J].無線電通信技術(shù)，2015，41(6):84-87.

[5]紀(jì)靜，屈濤，金達(dá)，等.自主可控計(jì)算機(jī)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用，2013，49(15):36-40.

[6]徐海亞，趙增基，朱波，等.基于中標(biāo)麒麟的POWERLINK節(jié)點(diǎn)實(shí)時(shí)性解決方法[J].火力與指揮控制，2014，39(5):164-167.

[7]王巍，吳金哲，屈濤，等.自主可控便攜式計(jì)算機(jī)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)與現(xiàn)代化，2014(4):172-177.

[8]孫宗鋒，肖志輝，孫健.基于分布式路由器的IPv4/IPv6轉(zhuǎn)發(fā)控制架構(gòu)研究[J].電信科學(xué)，2012(6):42-46.

[9]陳文龍，徐明偉，徐恪.可重構(gòu)集群路由器并行路由分發(fā)模型[J].通信學(xué)報(bào)，2012，33(6):118-124.

[10]胡光武，華婷，姚姜源.可編程路由器技術(shù)研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2011，32(9):1 814-1 820.

[11]黃韜，劉江，霍如，等.未來網(wǎng)絡(luò)體系架構(gòu)研究綜述[J].通信學(xué)報(bào)，2014，35(8):184-197.

[12]李勇,劉學(xué)軍.基于OpenFlow的SDN網(wǎng)絡(luò)中路由機(jī)制研究[J].移動通信,2015,39(7):51-56.

[13]史毅龍，薛長斌.基于“龍芯”的VxWorks系統(tǒng)函數(shù)在軌更新研究[J].電子設(shè)計(jì)工程，2015(21):106-109.

[14]劉剛，吳慶波，邵立松.飛騰平臺中硬件數(shù)據(jù)壓縮的驅(qū)動設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2015，32(3):20-22.

[15]胡向東，楊劍新，朱英.高性能多核處理器申威1600[J].中國科學(xué):信息科學(xué)，2015，45(4):513-522.

[16]中標(biāo)軟件有限公司.自主可控、高安全等級的操作系統(tǒng)[J].信息技術(shù)與標(biāo)準(zhǔn)化，2012(10):36-38.

[17]王海生,思博倫通信Avalanche網(wǎng)絡(luò)應(yīng)用測試方案[J].電信網(wǎng)技術(shù),2010,(4):64-67.

[18]王素彬,曹維華.IP路由器轉(zhuǎn)發(fā)容量測試方法探討[J].廣東通信技術(shù),2016(1):59-63.

劉興濤男，(1985—)，博士。主要研究方向：未來通信網(wǎng)絡(luò)、路由與交換。

康賓男，(1981—)，高級工程師。主要研究方向：通信網(wǎng)絡(luò)設(shè)備、路由與交換。

Design of Independent Controllable Control and Switching System for Routers

LIU Xing-tao，KANG Bin，ZHOU San-you，GUO Yan-tao

(ScienceandTechnologyonInformationTransmissionandDisseminationinCommunicationNetworksLaboratory，ShijiazhuangHebei050081，China)

Control and switching system，which is responsible for the control and exchange of network information，is the core component of the routers.Aiming at the requirement of the independent controllable core software and hardware of the routers，the CPU control module and switch module are developed based on Godson CPU，domestic switch chip and NeoKylin operating system to realize the localization of the key components for the routers.With the presented independent controllable control and switching system of the routers，the localization and independence of the network devices are enhanced，and the communication security is improved.Experiment results on the routers show the feasibility and effectiveness of the proposed control and switching system.

communication network security；router；control and switching system；Godson CPU

10.3969/j.issn.1003-3106.2016.08.02

2016-04-22

中國電子科技集團(tuán)公司第五十四研究所發(fā)展基金資助項(xiàng)目(XX146410008)。

TN391.4

A

1003-3106(2016)08-0005-04

引用格式：劉興濤，康賓，周三友，等.自主可控路由器控制交換系統(tǒng)設(shè)計(jì)[J].無線電工程,2016,46(8):5-8，73.