自主可控路由器控制交换系统设计

刘兴涛，康　宾，周三友，郭彦涛

(通信网信息传输与分发技术重点实验室，河北 石家庄 050081)



自主可控路由器控制交换系统设计

刘兴涛，康宾，周三友，郭彦涛

(通信网信息传输与分发技术重点实验室，河北 石家庄 050081)

控制交换系统是路由器的核心单元，主要完成网络信息的控制和交换。针对路由器核心软硬件的国产自主化需求，基于龙芯CPU、国产交换芯片和中标麒麟操作系统，设计开发了CPU控制和交换等关键模块，给出了一套自主可控路由器控制交换系统的设计方案，降低了网络设备对进口器件的依赖，提高了网络设备的自主化水平。通过在路由设备上的具体实验，验证了自主可控控制交换系统的可行性和有效性。

通信网络安全；路由器；控制交换系统；龙芯CPU

0　引言

信息技术革命日新月异，对国家政治、经济、社会和军事等领域的发展产生了深刻影响，信息安全成为事关国家安全和发展的重大战略问题[1]。为保障通信网络的可靠性和安全性，提高路由器、交换机等关键网络设备的自主可控能力成为网络建设的关键[2]。

经过十几年的发展，我国已实现了全网域网络设备的国产化，能够提供系列化的路由交换产品。但国产网络设备的CPU、交换芯片、网络处理器和操作系统等核心软硬件均采用国外产品，存在信息安全隐患[3]，因此迫切需要基于国产软硬件平台实现路由交换设备的自主化，为国家网络和信息安全提供基础保障[4]。核心器件、高端芯片和基础软件等领域近年来成果显著，文献[5-7]将国产CPU、操作系统等产品成功应用于国产计算机中，但在路由交换设备中应用较少，需要设计适合网络设备应用的自主控制交换平台。

本文结合通信应用的功能需求和国产核心软硬件的性能特点，选用龙芯2F处理器、中标麒麟操作系统和国产交换芯片，设计开发了一套自主可控的路由器控制交换系统，并结合路由器的实际应用，对系统的性能进行测试验证。

1　自主硬件平台设计

1.1硬件总体框架

控制交换系统是路由器的核心单元，为提高控制交换系统的自主可控性，同时实现大容量、高速、全双工和无阻塞的数据交换，本文调研了文献[8-12]提出的各种路由器技术方案，设计了如图1所示的控制交换系统架构。控制交换系统由交换模块、CPU控制模块、FPGA模块、时钟模块、机箱管理模块、电源模块及连接器模块等组成，其中交换模块和CPU控制模块为核心功能模块。

图1　控制交换系统架构

数据在控制交换系统中的处理流程为：数据流经连接器模块中的数据信息接口和控制信息接口进入交换模块，在交换模块中完成帧同步、FCS处理、分组缓存以及关键字提取后，再由交换模块内部专用的路由转发处理引擎完成业务信息分类、路由交换查表、路由交换决策、分组封装和输出调度等处理过程。国产交换芯片根据特定字段区分出数据流中不同的信息，将协议和控制信息发送至CPU控制模块，由其进行处理，数据信息经路由查表等操作后，根据路由决策直接经连接器模块交换输出或发送给CPU控制模块进行处理。

该系统框架中，FPGA模块主要实现各种可编程控制和业务处理逻辑，同时提供指示灯控制、复位控制、时钟分配和寄存器维护管理等功能。时钟模块主要实现外时钟同步功能，主要由两部分电路组成，一部分提供外部时钟源的接入能力，另一部分提供时钟输出作为系统时钟的测试接口。机箱管理模块完成机箱管理功能，实时监控系统温度和工作状态，同时管理各业务板的上电、接口状态以及风扇转速等，并实现热拔插。电源模块包括电源管理和电源转换模块，电源管理模块受机箱管理模块控制，实现整板的上电、掉电控制，电源转换模块提供系统所需要的不同电压值的直流电源。连接器模块包含两部分：一部分主要用于供电和机箱管理；另一部分用于数据传输，实现数据信息交换和控制信息交换。

1.2CPU控制模块

CPU控制模块用于完成控制交换系统的控制与协议处理，是各种网络协议运行的硬件平台。目前国产CPU主要有中科院龙芯处理器[13]、国防科技大学飞腾处理器[14]和申威处理器[15]，本文综合比较了各种国产处理器的性能、成本和成熟程度，选用龙芯2F处理器设计了如图2所示的CPU控制模块。

图2　CPU控制模块组成

CPU控制模块以龙芯2F处理器为核心，同时配以BIOS程序存储器、DDR2 SDRAM存储器、总线桥控制器、复位及控制逻辑和以太网控制器等，提供RS-232接口、网口用于系统调试和加载程序。CPU控制模块中各个芯片工作的时钟信号由时钟模块提供，所需的各种电源由电源模块提供。数据流经连接器模块进入控制交换系统后，协议信息和控制信息进入CPU控制模块完成协议交互、路由计算和管理维护等处理。

龙芯2F处理器主要包含PCI接口信号组、时钟信号、中断信号、LOCAL总线信号、DDR2 SDRAM接口信号、上电复位初始化信号、JTAG信号和测试信号等。CPU控制模块中，BIOS程序存储区存放龙芯2F的引导启动代码，用于在上电初期启动和配置龙芯2F内核，同时存储PMON软件的开发调试环境。DDR2 SDRAM存储器用于暂存CPU运行指令以及执行过程中所产生和调用的各种数据结构，通过龙芯2F的DDR2总线扩展实现。CPU控制模块工作所需要的系统时钟、存储器时钟以及PCI接口时钟参考由时钟模块提供，同时总线桥连接器所需的其他时钟参考也由时钟模块提供。系统上电时，采用龙芯2F处理器先上电，其他部分在后的最佳上电顺序。

1.3交换模块

交换模块用于实现板间或不同端口间的大容量信息交换，是控制交换系统的核心组成部分，图3给出了本文所设计的交换模块架构。交换模块由国产交换芯片、千兆以太网PHY芯片、千兆以太网接口变压器、TCAM和SRAM电路等组成，主要实现业务数据路由交换以及协议、控制信息的路由交换功能。

图3　交换模块组成

该国产交换芯片内部集成了DRAM、TCAM和SRAM，具备完整的L2/L3/MPLS特性，其接口丰富、功耗低，可满足工业级需求。交换芯片内部主要由业务MAC控制器、Ingress和Egress包处理引擎、流量管理引擎、PCI接口控制器和CPUMAC控制器等组成。

交换模块最大可支持8个10 G业务槽位、2个交换槽位。交换芯片通过连接千兆以太网PHY芯片，提供12个千兆以太网接口作为控制信息交换接口。为支持更大的表容量，扩展了TCAM和SRAM电路。对于GE接口，选用千兆以太网PHY芯片配合千兆以太网接口变压器实现，千兆以太网PHY芯片对外提供12个MDI双绞线接口，通过连接千兆以太网接口变压器，实现12路千兆以太网线路接口的电平变换。

1.4内外接口

控制交换系统的内部接口主要用于系统内部各模块之间的互连，包括GMII接口、PCI总线接口、CPU接口、SMB总线接口和I2C总线接口等，系统内部接口组成如图4所示。

图4　控制交换系统内部接口

CPU控制模块与交换模块之间通过接口转换来进行协议信息的交互，GMII接口是交换模块与CPU之间逐跳数据和信令协议的主要传输接口。PCI总线接口是控制交换系统的管理控制接口和CPU控制模块的功能扩展接口，龙芯2F与交换芯片通过PCI接口直接连接，实现CPU对交换模块的配置和管理，同时龙芯2F通过PCI接口经接口转换实现与交换芯片间协议数据的互通。SMB总线接口是龙芯2F与FPGA模块的互连接口，用于实现温度监测及管理。I2C总线接口是FPGA模块与机箱管理模块间的互连接口，用于实现机箱管理功能。

外部接口主要用于控制交换系统与外界的数据交互，同时实现对系统的配置、更新和维护，主要包括数据信息接口、控制信息接口、时钟接口、机箱管理接口、串行管理调试接口、电源接口和维护接口等。

数据信息接口是控制交换系统主要的数据传输接口，通过背板与其他业务板互连。控制信息接口提供机框内的IP传输，是处理单元之间交互控制管理信息的接口。时钟接口支持主从同步功能，提供双冗余的3对差分时钟作为系统的主用、备用和输入时钟。2个控制交换系统之间提供差分信号，系统间通过该差分信号共享状态信息，实现主、备控制交换系统间的通信。机箱管理接口是基于I2C接口的智能平台管理总线，该总线同时具有串行管理总线功能。串行管理调试接口用于设备的管理和调试，电源接口为电源的输入接口，维护接口是对控制交换系统进行维护管理的接口。

控制交换系统通过内部接口实现了系统内各模块间的高速互连，通过外部接口实现了数据流的快速传输，高效、可靠的内外部接口为控制交换系统实现大容量、高速和无阻塞的数据交换提供了有力支撑。

2　自主软件架构

操作系统是网络装备实现数据报文交换、路由功能的基础软件平台。国产中标麒麟操作系统是针对关键业务负载而构建的高可靠、易管理的Linux操作系统[16]。基于中标麒麟操作系统设计的自主软件架构如图5所示。

基于中标麒麟操作系统，在龙芯CPU的硬件平台上设计了自主软件架构，同时结合自主网络体系的需求，对商用路由协议进行适应性改造和安全加固，将其运行在国产操作系统上，与国产操作系统相结合实现了网络设备核心软件的自主化。

控制交换系统基于国产中标麒麟操作系统构建了应用层处理软件，实现了对系统管理、配置和网络信息的安全控制，提高了系统的安全性。

图5　自主软件架构

3　系统应用分析

为验证自主可控路由交换系统的性能指标，搭建了如图6所示的路由器测试环境，包括自主可控控制交换平台、以太网数据转发平台、光接口转发平台和测试仪。

图6　系统测试环境

转发能力测试：测试仪与光接口转发平台间通过光接口互连，使用思博伦[17]的TestCenter测试仪从光接口发送满带宽10 G的数据报文，帧长为1 500 bytes，数据报文经自主可控控制交换平台进行转发[18]。测试结果显示，在10 G带宽情况下，数据报文转发无丢包。

路由表容量测试：测试仪与以太网转发平台通过以太网互连，测试仪与路由器间通过OSPF协议建立邻居关系，TestCenter生成10 000条路由扩散至路由器。在自主可控控制交换平台上查看路由表，显示5 000条路由。TestCenter通过以太网接口发送目的地址为上述5 000条路由的数据流，每个数据流带宽为0.2M，测试结果显示，数据流转发无丢包。

自主可控路由器控制交换系统通过应用国产CPU、交换芯片等关键芯片，杜绝了进口器件中可能存在的后门和漏洞，基于国产操作系统设计了自主软件架构，从软件层次提高了系统的安全性，为安全可靠的通网络信提供了保障。因此，本系统可应用于金融、政府和大型国企等安全等级要求较高的内部专网，构建自主可控的通信网络，有效提高信息传输的安全性。

4　结束语

研究探索自主可控技术，设计开发自主可控网络设备，建设自主可控的通信网络是国家信息安全和长远发展的重要保障。针对网络设备的自主可控化需求，本文在综合分析各种技术方案的基础上，应用龙芯2F处理器、国产交换芯片和中标麒麟操作系统，设计了具有高自主可控能力的路由器控制交换系统。该系统通过核心软硬件的国产化，杜绝了进口器件带来的后门、漏洞和陷阱等安全隐患，保障了通信网络的安全性，为我国网络设备的自主生产和保障提供了支撑。

[1]吴巍.赛博空间技术发展现状与通信网络安全问题[J].无线电通信技术，2012，38(3):1-4.

[2]万俊伟，赵辉，鲍忠贵，等.自主可控信息技术发展现状与应用分析[J].飞行器测控学报，2015，34(4):318-324.

[3]石景欣,邓东丰.我国网络信息安全重大举措与问题分析[J].移动通信,2014,38(23):5-8.

[4]刘素桃，高飞.基于龙芯2F的国产处理器平台在路由器中的设计实现[J].无线电通信技术，2015，41(6):84-87.

[5]纪静，屈涛，金达，等.自主可控计算机设计与实现[J].计算机工程与应用，2013，49(15):36-40.

[6]徐海亚，赵增基，朱波，等.基于中标麒麟的POWERLINK节点实时性解决方法[J].火力与指挥控制，2014，39(5):164-167.

[7]王巍，吴金哲，屈涛，等.自主可控便携式计算机设计与实现[J].计算机与现代化，2014(4):172-177.

[8]孙宗锋，肖志辉，孙健.基于分布式路由器的IPv4/IPv6转发控制架构研究[J].电信科学，2012(6):42-46.

[9]陈文龙，徐明伟，徐恪.可重构集群路由器并行路由分发模型[J].通信学报，2012，33(6):118-124.

[10]胡光武，华婷，姚姜源.可编程路由器技术研究[J].小型微型计算机系统，2011，32(9):1 814-1 820.

[11]黄韬，刘江，霍如，等.未来网络体系架构研究综述[J].通信学报，2014，35(8):184-197.

[12]李勇,刘学军.基于OpenFlow的SDN网络中路由机制研究[J].移动通信,2015,39(7):51-56.

[13]史毅龙，薛长斌.基于“龙芯”的VxWorks系统函数在轨更新研究[J].电子设计工程，2015(21):106-109.

[14]刘刚，吴庆波，邵立松.飞腾平台中硬件数据压缩的驱动设计与实现[J].计算机应用与软件，2015，32(3):20-22.

[15]胡向东，杨剑新，朱英.高性能多核处理器申威1600[J].中国科学:信息科学，2015，45(4):513-522.

[16]中标软件有限公司.自主可控、高安全等级的操作系统[J].信息技术与标准化，2012(10):36-38.

[17]王海生,思博伦通信Avalanche网络应用测试方案[J].电信网技术,2010,(4):64-67.

[18]王素彬,曹维华.IP路由器转发容量测试方法探讨[J].广东通信技术,2016(1):59-63.

刘兴涛男，(1985—)，博士。主要研究方向：未来通信网络、路由与交换。

康宾男，(1981—)，高级工程师。主要研究方向：通信网络设备、路由与交换。

Design of Independent Controllable Control and Switching System for Routers

LIU Xing-tao，KANG Bin，ZHOU San-you，GUO Yan-tao

(ScienceandTechnologyonInformationTransmissionandDisseminationinCommunicationNetworksLaboratory，ShijiazhuangHebei050081，China)

Control and switching system，which is responsible for the control and exchange of network information，is the core component of the routers.Aiming at the requirement of the independent controllable core software and hardware of the routers，the CPU control module and switch module are developed based on Godson CPU，domestic switch chip and NeoKylin operating system to realize the localization of the key components for the routers.With the presented independent controllable control and switching system of the routers，the localization and independence of the network devices are enhanced，and the communication security is improved.Experiment results on the routers show the feasibility and effectiveness of the proposed control and switching system.

communication network security；router；control and switching system；Godson CPU

10.3969/j.issn.1003-3106.2016.08.02

2016-04-22

中国电子科技集团公司第五十四研究所发展基金资助项目(XX146410008)。

TN391.4

A

1003-3106(2016)08-0005-04

引用格式：刘兴涛，康宾，周三友，等.自主可控路由器控制交换系统设计[J].无线电工程,2016,46(8):5-8，73.