采用FPGA器件APEX20K1500E芯片實現(xiàn)TCAM的設計

采用FPGA器件APEX20K1500E芯片實現(xiàn)TCAM的設計一、前言網(wǎng)際協(xié)議（InternetProtocol）是互聯(lián)網(wǎng)進行網(wǎng)際互連的基礎。隨著互聯(lián)網(wǎng)服務的快速發(fā)展，對網(wǎng)絡的安全性提出了更高的要求，如何快速有效的過濾網(wǎng)絡中的IP數(shù)據(jù)報文是一個始終需要解決的問題。過濾IP數(shù)據(jù)報文是為了防止未授權用戶訪問內(nèi)部網(wǎng)資源，同時限制網(wǎng)內(nèi)用戶非法使用外部服務。進行過濾之后，局域網(wǎng)內(nèi)用戶只能使用特定的服務（例如e-mail），網(wǎng)外的用戶也只能訪問經(jīng)過授權的網(wǎng)內(nèi)資源。由于網(wǎng)絡帶寬的飛速增長，傳統(tǒng)的基于軟件的查找算法已經(jīng)不能適應網(wǎng)絡速度的飛速發(fā)展，迫切需要采用新的硬件過濾方法，方案之一就是采用內(nèi)容可尋址存儲器TCAM（TernaryContentAddressableMemory）。TCAM利用三個數(shù)值存儲數(shù)據(jù)‘0’、‘1’、‘X’（不關心），每一個表項都包含數(shù)值比特串和掩碼比特串。TCAM能夠在一個硬件時鐘周期內(nèi)完成關鍵字的精確匹配查找，只需要輸入關鍵字的內(nèi)容，TCAM就會將此關鍵字與CAM中所有的表項同時進行匹配比較，最后返回匹配表項在TCAM中所對應的地址，如果存在多個匹配表項則返回地址最低的表項。目前主流的IDS（IntrusionDetectionSystems），例如Snort，可以編寫相應規(guī)則來完成實時協(xié)議分析、內(nèi)容查找／匹配、對網(wǎng)絡上的IP包登錄進行測試等功能。我們可以把類似于Snort的規(guī)則應用到TCAM中，通過制定符合特定規(guī)則的表項，來實現(xiàn)IP數(shù)據(jù)報的匹配。當數(shù)據(jù)報在TCAM中能夠找到相應的匹配項時，我們即認為它是合法的，否則予以攔截并送入后臺作為異常報文處理。為了實現(xiàn)快速查找，設計者必須在PCB板上添加一個獨立的TCAM器件，這會增加片間延時，同時減少PCB板上的可用空間，從而降低電路板的系統(tǒng)性能。因此我們采用FPGA來實現(xiàn)TCAM，F(xiàn)PGA芯片采用ALTERA公司的APEX20K1500E。二、用FPGA實現(xiàn)TCAMAPEX20KE系列芯片采用嵌入式系統(tǒng)模塊（EmbeddedSystemBlocks）實現(xiàn)了片內(nèi)CAM，能夠提供比傳統(tǒng)CAM器件更高的系統(tǒng)性能，同時支持TernaryCAM。其中，每個ESB能夠?qū)崿F(xiàn)32×32的CAM模塊，級聯(lián)多個ESB可以實現(xiàn)更寬更深的CAM。ALTERA公司的Megafunction庫提供了altcamMegafunction，運用Quartus軟件設計工具可以十分方便對TCAM進行讀寫操作。圖1為altcam的結(jié)構(gòu)圖。CAM可以在初始化配置時預加載默認表項，也可以在系統(tǒng)運行時對表項進行實時更新。在大多數(shù)情況下，寫入一個數(shù)據(jù)表項需要兩個時鐘周期，當寫入“X”（不關心）比特位時，需要三個時鐘周期。AlteraCAM有三種不同的讀模式：單匹配模式、多匹配模式和快速多匹配模式，其中單匹配模式適用于CAM里沒有多個匹配項的情況。無論工作在哪種模式下，ESB都會輸出匹配數(shù)據(jù)項的編碼地址或未編碼地址。當用未編碼地址輸出時，每條信號線對應CAM模塊里的一個表項，當輸出信號線為高時，表明對應的表項和輸入數(shù)據(jù)匹配（例如，假如地址為15的表項數(shù)據(jù)匹配，則mbit［14］輸出高電平）。通常情況下，在一個時鐘周期內(nèi)每個ESB最多完成16個表項的比對，因此在多匹配模式下，需要兩個時鐘周期才能完成CAM模塊里所有表項的比對。而快速多匹配模式僅使用每個ESB的一半空間（即16個表項），因此一個時鐘周期就可以輸出匹配表項的地址，大大提高了查找速度，但同時也耗費了大量的存儲空間，限制了CAM的總?cè)萘俊D4展示了多匹配模式下的功能仿真波形圖。三、制定CAM表項規(guī)則考慮到報頭里包含了報文的地址和控制信息，我們可以從報頭中提取某些域的值作為TCAM的匹配關鍵字。圖5給出了CAM表項的一種配置方案。由于規(guī)則的不同，大多數(shù)的表項都存儲了大量的“X”（不關心）比特位，這是因為：◆并不是IP數(shù)據(jù)報中所有對應域都需要同表項進行匹配。比如要攔截特定主機的IP包時，僅僅匹配源IP地址就足夠了?！粲袝rIP地址并不是指定一個特定的主機，而是代表一個網(wǎng)絡或者一個包含多臺主機的子網(wǎng)，這意味著表項的某些比特位必須是“X”（不關心）。在CAM中能夠找到相應的匹配項時，輸入數(shù)據(jù)報可以順利通過，否則予以攔截并作為非法報文處理。由于只需判斷CAM里是否有匹配表項，而不關心具體表項的地址，因此存在多個匹配表項并不會影響比對的結(jié)果。在圖5中，由于在CAM里找不到匹配表項，源地址為0的主機不能進行Telnet（23）服務。雖然Snort給出了超過1400條配置規(guī)則，但通常并不需要同時應用所有的規(guī)則。Y.H.Cho提出了一種包含105條規(guī)則的IDS［3］，因此大小為128×128的CAM足以滿足絕大多數(shù)的需要。另外為了有效地進行比對，路由器輸入端送來的報文要暫存在SRAM當中，管理這些報文需要對報文進行有效的地址分配，以便對報文進行相應處理。四、動態(tài)管理FPGA為便于管理和動態(tài)更新，F(xiàn)PGA不僅要肩負對輸入報文進行分類、過濾、提取關鍵字、進行高速查找等工作，還必須制定專門的通信模塊負責與主控單元（實際采用MPC860）進行通信。通信模塊起到對下進行數(shù)據(jù)接收，對上進行狀態(tài)報告的橋梁作用，是主控單元同F(xiàn)PGA進行通信的接口，主要實現(xiàn)以下功能：1、監(jiān)控系統(tǒng)的硬軟復位信號，從而對整個系統(tǒng)進行復位。2、向主控單元發(fā)送狀態(tài)報告。主要由主控單元請求獲得，從而能夠?qū)崟r監(jiān)控系統(tǒng)各模塊的工作狀態(tài)。3、將FPGA系統(tǒng)劃分為正常工作模式和測試模式。FPGA存在兩種工作模式，一種是正常工作模式，另一種是測試模式；在正常工作模式情況下，系統(tǒng)正常接收網(wǎng)絡中的數(shù)據(jù)報文；測試模式條件下，系統(tǒng)處于測試狀態(tài)，可以將內(nèi)部測試信號送出以達到快速調(diào)試的目的。4、向主控單元提供錯誤報告。系統(tǒng)內(nèi)部對一些關鍵部分設定監(jiān)控程序，一旦有問題出現(xiàn)將迅速將錯誤信息傳送給主控單元，從而方便對故障的檢測。5、將主控單元的命令信息轉(zhuǎn)發(fā)給相應模塊，實現(xiàn)FPGA的動態(tài)更新。這樣可以根據(jù)實際需要動態(tài)更新TCAM的表項，改變IP報文過濾規(guī)則。五、總結(jié)采用基于FPGA的CAM進行IP數(shù)據(jù)報文過濾是一種理想的選擇。由于關鍵性的功能（搜索CAM）和一些非關鍵性的功能（改變CAM內(nèi)容）分別在硬件和軟件中實現(xiàn)，因此該設計具有高度靈活