基于IXP2400的安全網(wǎng)關(guān)實(shí)現(xiàn)研究

　　其中，接收微功能模塊(Receive Microblock)和發(fā)送微功能模塊(Transmit Microblock)用于數(shù)據(jù)包的接收和發(fā)送，發(fā)送隊(duì)列(Transmit Queues )用于數(shù)據(jù)包的隊(duì)列管理、調(diào)度，IP轉(zhuǎn)發(fā)微功能模塊(Forwarding Microblock)用于一般IP包的簡(jiǎn)單轉(zhuǎn)發(fā)(包括路由通告等)，核心組件是相關(guān)微功能塊的慢速通道處理部分，如異常處理等；XScale中還運(yùn)行嵌入式OS、各種協(xié)議及高層處理程序等。
　　IPSec處理微功能模塊(Processing Microblock）是系統(tǒng)的主要部分，包括以下主要功能：協(xié)議核心、AH/ESP處理模塊、SPD、SAD。其中,AH/ESP處理程序負(fù)責(zé)根據(jù)SA中定義的安全服務(wù)按照AH/ESP協(xié)議對(duì)數(shù)據(jù)包進(jìn)行處理；SPD和SAD以適當(dāng)?shù)牟檎冶斫Y(jié)構(gòu)存放在片外的SRAM中，但該微功能塊中有各自的快速訪問(wèn)接口，供其查詢數(shù)據(jù)使用(在XScale中也有訪問(wèn)這2個(gè)數(shù)據(jù)庫(kù)的接口，以便維護(hù)其中的數(shù)據(jù))；協(xié)議核心主要是協(xié)調(diào)以上各部分的工作，解釋獲取的IP包等。
3.3 數(shù)據(jù)處理過(guò)程
　　IPSec模塊是整個(gè)IPSec系統(tǒng)的核心，處理包的過(guò)程如下：
　　(1)線程摘取1個(gè)IP包，判斷是否是經(jīng)分段的，若是，該線程進(jìn)入等待狀態(tài)，下一線程開(kāi)始運(yùn)行。在所有分段到達(dá)并重組后，進(jìn)入下一步處理。
　　(2)使用選擇符檢索SPD，若查找失敗，拋棄包;若返回的動(dòng)作是“拋棄”，拋棄該包。對(duì)于不包含IPSec頭的包，若返回的是“繞過(guò)”，將包交給IP轉(zhuǎn)發(fā)模塊處理(若目的IP是本機(jī)，將其交到XScale中，由相應(yīng)程序處理，否則轉(zhuǎn)發(fā)到下一節(jié)點(diǎn))；若返回的是“應(yīng)用”，進(jìn)入(4)處理。對(duì)于包含IPSec頭的包，若返回的是“應(yīng)用”，且包的目的地是本機(jī)，則進(jìn)入(3)處理；若目的地不是本機(jī)，則進(jìn)入(4)處理。
　　(3)用檢索SPD返回的三元組搜索SAD，若沒(méi)有匹配的SA，則丟棄該包；否則，按SA中的定義進(jìn)行處理，主要包括：
　?、僦匕l(fā)檢查：用序列號(hào)及溢出標(biāo)志、重發(fā)窗口大小檢查包是否有效。
　　②數(shù)據(jù)包驗(yàn)證：用指定的認(rèn)證算法及密鑰，驗(yàn)證數(shù)據(jù)包。若ESP沒(méi)選擇認(rèn)證，則不做。
　?、劢饷埽喝羰荅SP協(xié)議包，則用指定的加密算法及密鑰，解密數(shù)據(jù)包。
　　以上處理失敗，則丟棄該數(shù)據(jù)包；若包中還有IPSec頭，需選擇新的選擇符，重復(fù)(2)、(3)。
　?、苤貥?gòu)IP包交給IP轉(zhuǎn)發(fā)模塊處理。
　　(4)用檢索SPD返回的三元組搜索SAD，若沒(méi)有匹配的SA，線程向XScale發(fā)出IKE的服務(wù)請(qǐng)求，由IKE服務(wù)程序與通信對(duì)等體協(xié)商建立相應(yīng)的SA，并記入SAD。具備SA后，有序進(jìn)行如下處理：
　?、俑鶕?jù)SA中指定的安全協(xié)議及操作模式，調(diào)用對(duì)應(yīng)的處理模塊，為數(shù)據(jù)包生成協(xié)議頭。
　?、谌舨捎脗鬏斈Ｊ剑恍鑼⒃璉P頭中的協(xié)議類(lèi)型改為上一步中所用協(xié)議；若是隧道模式，則需要以隧道兩端的IP作源、目的IP和上一步中所用協(xié)議，生成新的IP頭，封裝原IP包。
　?、蹖?duì)ESP協(xié)議,按SA中指定的加密算法和密鑰，對(duì)包的相應(yīng)部分加密。
　?、馨碨A中指定的認(rèn)證算法，對(duì)包的相應(yīng)部分進(jìn)行認(rèn)證。
　?、菪薷挠嘘P(guān)數(shù)據(jù)，重新計(jì)算校驗(yàn)和；若需要分段處理，將包交給XScale中處理。
　　(5)經(jīng)以上處理后，將包安排到對(duì)應(yīng)端口的隊(duì)列中，經(jīng)調(diào)度后由傳送模塊經(jīng)重新添加MAC幀頭后發(fā)送。
　　值得一提的是，在以上過(guò)程中，由于是多線程處理，因而在1個(gè)微引擎中，一個(gè)線程進(jìn)入等待狀態(tài)，另一個(gè)線程立刻運(yùn)行，這一過(guò)程由編程者控制完成的。下面的程序段是數(shù)據(jù)處理過(guò)程的主要控制部分：
　　while(1){
　　dl_source(); 　　　　　　　　　　　//從接收線程取下包描述符
　　if(dlBufHandle= =0){ continue; }
　　Ethernet_validate();　　　　　　　　　　　// 驗(yàn)證這個(gè)包是一個(gè)有效的以太網(wǎng)頭
　　Ethernet_strip_header(); //去掉以太網(wǎng)頭
　　IPSec_process(); 　//IPSec處理
　　IPv4_five_tuple_class();　　　　　　　　 //進(jìn)行IPv4 classifier的轉(zhuǎn)發(fā)
　　If(dlNextBlock= =IX_DROP){ //clNextBlock全局變量，
　　　　　　　　　　　　 //表示下一個(gè)
　　Goto drop; 　　　　　　　　　　　　 //跳轉(zhuǎn)到丟棄包的處理模塊
　　}
　　Ethernet_add_header();　 //添加新的以太網(wǎng)頭
　　D1_sink();　　　　　　　　　　　　　 　 //將處理后的包描述符放入發(fā)送緩沖區(qū)中
　　Drop:
　　Dl_BufDrop(dlBufHandle); //丟棄包的處理
　　}
　　IPSec被認(rèn)為是目前實(shí)現(xiàn)VPN的技術(shù)標(biāo)準(zhǔn)，在Internet的安全通信中發(fā)揮著重要作用。當(dāng)前對(duì)網(wǎng)絡(luò)通信不斷提出了速度和安全的更高要求，以兼?zhèn)渫ㄓ肅PU的靈活性和ASIC芯片執(zhí)行速度的網(wǎng)絡(luò)處理器為核心實(shí)現(xiàn)高速安全網(wǎng)絡(luò)設(shè)備，是當(dāng)前網(wǎng)絡(luò)新技術(shù)的應(yīng)用研究重點(diǎn)。