4_C+���、LAN4_C_�����、LAN4_D+��、LAN4_D-����,它們分別接到繼電器K5-K8的引腳3和引腳6上。并且網(wǎng)口 2的端口 RX+通過繼電器與網(wǎng)口 3的端口 TX+連接���,網(wǎng)口 2的端口 RX-通過繼電器與網(wǎng)口 3的端口 TX-連接���。
[0023]當(dāng)控制芯片的引腳GP102_23輸出一個(gè)低電平時(shí),切換電路的BYPASS_CRTL端被拉低��,繼電器K1-K8吸合���,LAN3_A+與LAN3_MDX0+����、LAN3_A-與LAN3_MDX0-閉合����。網(wǎng)口 2通過LAN3_MDX0+、LAN3_MDX0-接到網(wǎng)橋芯片掛到交換芯片88E6172上(這里是以一組數(shù)據(jù)線為例���,其他三組同理)��,網(wǎng)口 2����、網(wǎng)口 4�、網(wǎng)口 5采用同樣的方法掛到了切換芯片88E6172上,此時(shí)���,網(wǎng)口 I與網(wǎng)口 2連通�,網(wǎng)口 3和網(wǎng)口4連通�,網(wǎng)口 5與控制模塊連通,本發(fā)明稱之為切換電路的第一種狀
??τ O
[0024]反之��,引腳GP102_23輸出一個(gè)高電平時(shí)�����,BYPASS_CRTL端被拉高����,繼電器Κ1-Κ8斷開�,繼電器 Kl 的 LAN3_A+與 BYP1_1 +�、LAN3_A-與 BYP1_1-閉合,繼電器 K4 的 LAN4_B+與 BYP1_1+�����、LAN4_B-與BYP1_1-閉合�����,則 LAN3_A+與LAN4_B+閉合�����,LAN3_A-與LAN4_B-閉合���,由于網(wǎng)口2的發(fā)送數(shù)據(jù)端與網(wǎng)口 3的接收數(shù)據(jù)端連接���,網(wǎng)口 3的發(fā)送數(shù)據(jù)端與網(wǎng)口 2的接收數(shù)據(jù)端連接。這樣網(wǎng)口 2與網(wǎng)口 3就連到一起�,網(wǎng)口 4與網(wǎng)口 5同理。本發(fā)明稱之為切換電路的第二種狀態(tài)。
[0025]上述切換電路的不同狀態(tài)對(duì)應(yīng)的不同網(wǎng)口的連通是通過切換模塊來進(jìn)行控制的��,切換模塊直接與外網(wǎng)網(wǎng)口相連接��,然后通過切換電路與中間網(wǎng)口及內(nèi)網(wǎng)網(wǎng)口相連接��,其中網(wǎng)口 I在切換電路的第一種狀態(tài)下��,是與網(wǎng)口 2導(dǎo)通的��,而當(dāng)切換電路切換到第二種狀態(tài)下時(shí)��,網(wǎng)口 I與網(wǎng)口 2是斷開的��,此時(shí)網(wǎng)口 2與網(wǎng)口 3是導(dǎo)通的���。網(wǎng)口 I只與網(wǎng)口 2實(shí)現(xiàn)通與斷的功能,它并未與其他網(wǎng)口實(shí)現(xiàn)切換���,因此�,本發(fā)明將網(wǎng)口 I與切換模塊直接連接����。
[0026]如圖6所示,本實(shí)施例中,切換模塊的切換芯片的型號(hào)為88E6172�,切換芯片88E6172具有端口 P0-P6和與端口對(duì)應(yīng)的寄存器,其中端口PO與網(wǎng)口 I連接�,端口Pl與網(wǎng)口 2連接,以此類推���,直至端口P4與網(wǎng)口 5連接����。端口P5則與控制模塊相連接�����。例如�����,因?yàn)榫W(wǎng)口 3是與切換芯片88E6172的第2個(gè)端口相連接的�����,網(wǎng)口4是與切換芯片88E6172的第3個(gè)端口相連接的�����,所以要將端口2的3bit置1,將端口3的2bit置1���,并寫到Port based VLAN map寄存器里(其地址為:0x06)��。
[0027]控制模塊根據(jù)內(nèi)、外網(wǎng)之間的通訊需求�,獲取切換電路當(dāng)前的狀態(tài),對(duì)切換電路的狀態(tài)進(jìn)行切換���,并對(duì)切換模塊進(jìn)行控制�,使得網(wǎng)口之間兩兩通訊�����,直至外網(wǎng)網(wǎng)口/內(nèi)網(wǎng)網(wǎng)口的命令或數(shù)據(jù)傳遞至內(nèi)網(wǎng)網(wǎng)口 /外網(wǎng)網(wǎng)口為止�。默認(rèn)情況下,網(wǎng)口 5不與控制模塊或數(shù)據(jù)處理模塊導(dǎo)通����,以保障內(nèi)網(wǎng)數(shù)據(jù)的安全性。只有在控制模塊啟動(dòng)切換電路后����,將控制模塊置于第一種狀態(tài)下,此時(shí)網(wǎng)口 5才與控制模塊導(dǎo)通。
[0028]如圖2����、圖3所示,當(dāng)網(wǎng)口I的設(shè)備要與內(nèi)網(wǎng)進(jìn)行通訊時(shí)�����,控制模塊啟動(dòng)切換電路�����,使其處于第一種狀態(tài)�,使網(wǎng)口 I與網(wǎng)口2連通,網(wǎng)口3與網(wǎng)口4連通���,網(wǎng)口5可以與內(nèi)網(wǎng)的數(shù)據(jù)處理模塊連通�����,使得命令或數(shù)據(jù)從網(wǎng)口 I的設(shè)備傳遞至網(wǎng)口 2對(duì)應(yīng)的設(shè)備上�。然后控制模塊關(guān)閉切換電路����,使其處于第二種狀態(tài)�����,使得命令或數(shù)據(jù)又可以從網(wǎng)口 2的設(shè)備傳遞至網(wǎng)口 3對(duì)應(yīng)的設(shè)備上��,接著控制模塊再一次開啟切換電路���,使命令或數(shù)據(jù)由網(wǎng)口 3的設(shè)備傳遞至網(wǎng)口4對(duì)應(yīng)的設(shè)備,控制模塊再關(guān)閉切換電路�,數(shù)據(jù)或命令可以從網(wǎng)口 4對(duì)應(yīng)的設(shè)備傳遞至網(wǎng)口 5對(duì)應(yīng)的設(shè)備�����,最后���,控制模塊開啟切換電路�����,使網(wǎng)口 5與數(shù)據(jù)處理模塊連通����,使得命令或數(shù)據(jù)最終被傳遞至內(nèi)網(wǎng)網(wǎng)域�。同理����,內(nèi)網(wǎng)的數(shù)據(jù)和命令也可以一級(jí)一級(jí)地從網(wǎng)口 5傳遞至網(wǎng)口 I�����,最終到達(dá)外網(wǎng)���。
[0029]本實(shí)施例中����,控制模塊采用的控制芯片型號(hào)為AM335X�,采用的內(nèi)存規(guī)格為DDR3,并且還采用了一個(gè)Flash作為存儲(chǔ)器�。控制芯片AM335X的引腳GP102_23和引腳GP102_25配置成GPIfXGeneral Purpose Input Output)通用輸入/輸出接口��,其中引腳GP102_23配置為輸出引腳�����,與切換電路的CPlLBypass端連接��。引腳GP102_25配置為輸入引腳�����,連接切換電路的監(jiān)測(cè)端BYPASS_DET。切換芯片88E6172的端口 P5通過RGMII總線與控制芯片AM335X的ethO口連接���。本發(fā)明通過對(duì)引腳GP102_25進(jìn)行監(jiān)測(cè)得知當(dāng)前切換電路的狀態(tài)�����,控制芯片AM335X的引腳GP102_25接到如圖4電路圖中BypaSS_det位置���。當(dāng)切換電路位于第一種狀態(tài)時(shí),切換電路中的場(chǎng)效應(yīng)管Q562N7002導(dǎo)通�,直接把監(jiān)測(cè)點(diǎn)拉低�����,引腳GP102_25可監(jiān)測(cè)到低電平�,反之,引腳GP102_25可監(jiān)測(cè)到高電平�。當(dāng)引腳GP102_25可監(jiān)測(cè)到高電平時(shí),則為關(guān)閉切換電路狀態(tài)����,當(dāng)引腳GP102_25可監(jiān)測(cè)到低電平時(shí)�,則為啟動(dòng)切換電路狀態(tài)�����。
[0030]基于系統(tǒng)設(shè)計(jì)的需求���,本發(fā)明對(duì)交換芯片88E6172進(jìn)行配置時(shí)�����,因?yàn)榫W(wǎng)口5是與切換芯片88E6172的第4個(gè)端口相連接的�,交換芯片88E6172的第五個(gè)端口通過RGMII總線與控制模塊的控制芯片AM335X的ethO相連接����,所以要將端口4的5bit置1,將端口 5的4bit置1�,并寫到Port based VLAN map寄存器里(其地址為:0x06)。并當(dāng)切換電路的繼電器被吸合��,網(wǎng)口 5被掛到交換芯片88E6172上���,間接與控制模塊的控制芯片AM335X相連接�。
[0031]數(shù)據(jù)處理模塊通過上述的網(wǎng)口和模塊與外網(wǎng)進(jìn)行通訊�,并且可以采用至少一種加密策略���,運(yùn)行加密策略對(duì)應(yīng)的加密算法,對(duì)通訊數(shù)據(jù)進(jìn)行加密���。本實(shí)施例中�����,數(shù)據(jù)處理模塊采用的數(shù)據(jù)處理芯片型號(hào)也是AM335X�,數(shù)據(jù)處理模塊將重要的數(shù)據(jù)處理后���,存儲(chǔ)至數(shù)據(jù)處理模塊的存儲(chǔ)器中����。
[0032]本發(fā)明將數(shù)據(jù)處理模塊以及控制模塊分別采用兩個(gè)處理芯片來進(jìn)行處理�����,是因?yàn)榭刂颇K在收發(fā)大數(shù)據(jù)時(shí)對(duì)CPU的占用率很高�,若此時(shí)還讓控制模塊再對(duì)加密策略進(jìn)行處理����,而送達(dá)數(shù)據(jù)及加密策略又要求高效����,同時(shí)��,控制模塊還起到控制切換電路的作用��,這將會(huì)嚴(yán)重影響性能�,使得系統(tǒng)無法應(yīng)對(duì)。本發(fā)明增加一個(gè)處理器�,把同時(shí)進(jìn)行的工作進(jìn)行分害J,讓增加的處理器(數(shù)據(jù)處理模塊的處理芯片)對(duì)重要的數(shù)據(jù)進(jìn)行處理�����,將處理完的數(shù)據(jù)保存在數(shù)據(jù)處理模塊中的flash上�。若外界要訪問這些數(shù)據(jù)要通過兩層次的intelnet才能訪問,這樣需要控制模塊端和數(shù)據(jù)處理端的口令才能對(duì)其訪問����,這也在物理上實(shí)現(xiàn)了保護(hù)重要數(shù)據(jù)的需求。
[0033]在本實(shí)施例中���,由于該網(wǎng)絡(luò)安全管理系統(tǒng)搭建在Linux平臺(tái)上�,而且控制模塊與數(shù)據(jù)處理模塊以及切換模塊之間都是采用RGMII總線無phy(physical layer物理層)直連,而Iinux系統(tǒng)默認(rèn)會(huì)檢測(cè)phy芯片的信息���,如果檢測(cè)不到phy芯片的信息則會(huì)報(bào)錯(cuò)����,因此本發(fā)明通過軟件構(gòu)造一個(gè)虛擬的Phy來避免因檢測(cè)不到phy而無法啟動(dòng)網(wǎng)卡驅(qū)動(dòng)的問題����。
[0034]發(fā)明在Linux系統(tǒng)的arch/arm/devices.c文件里面構(gòu)造一個(gè)虛擬phy信息,具體包括如下步驟:步驟S21���,先把struct cpsw_slave_data am33xx_cpsw_slaves[]的兩個(gè).phy_1(1值由原來的0:00����、0:01改為1:00��、1:01�����,在31113311_0口8¥_;[11�����;[1:函數(shù)中添加虛擬卩117信息�。步驟S22,配置Iinux 系統(tǒng)的內(nèi)核�,把TI 網(wǎng)卡模塊、Marvel I 88E6123/6161/6165 ethernetswitch chip support模塊�、支持802.1d網(wǎng)橋模塊編譯進(jìn)新的內(nèi)核。最后把編譯好的內(nèi)核燒錄到板子上��,基本完成了安全管理系統(tǒng)的搭建�����。
[0035]然后再配置各網(wǎng)口的傳輸模塊�,各網(wǎng)口的傳輸模式有兩種可供選擇,一種是路由模式����,一種是網(wǎng)橋模式。
[0036]配置路由模式時(shí)�����,啟動(dòng)控制芯片AM335X的ethO 口����,將/proc/sys/net/ipv4/ip_forward的值設(shè)成I��,啟動(dòng)轉(zhuǎn)發(fā)功能�,啟動(dòng)網(wǎng)口 5和控制芯片AM335X的ethl 口��,將它們?cè)O(shè)置成不同網(wǎng)段�����,添加不同網(wǎng)段的轉(zhuǎn)發(fā)規(guī)則�����,將網(wǎng)口 5所接設(shè)備的默認(rèn)網(wǎng)關(guān)設(shè)成網(wǎng)口 5的IP���,其IP也應(yīng)該與網(wǎng)口5保持在同一網(wǎng)段�,控制芯片AM335X的ethO口的默認(rèn)網(wǎng)關(guān)設(shè)成ethl 口的IP�����,其IP也應(yīng)該與ethl 口保持在同一