智能连接器、集成磁模块插口和智能物理层设备的制作方法

智能连接器、集成磁模块插口和智能物理层设备的制作方法
【专利摘要】本发明实施例公开了智能连接器、集成磁模块插口和智能物理层设备。在一个实施例中，一种装置包括连接器(3000)，其中连接器包括i)插口(3002)，其中插口包括：a)多个电端子(3006)，以及b)电耦合到多个电端子(3006)的磁部件(3008)；以及ii)物理层设备(3004)，其中物理层设备包括：a)物理层模块(3010)，其中物理层模块包括：被配置用于从插口(3002)接收数据包的接口(3014)，以及被配置用于检查数据包的接口总线(3016)，以及b)网络接口(3012)，网络接口(3012)被配置用于基于接口总线(3016)对数据包的检查向与物理层设备(3004)分离的设备提供数据包。
【专利说明】智能连接器、集成磁模块插口和智能物理层设备
[0001]有关申请的交叉引用
[0002]本公开内容要求提交于2012年10月9日的美国实用申请第13/647，966号的优先权并且要求名称为"iPhy in Magjack"、提交于2011年10月10日的美国临时专利申请第61/545，544号的权益，通过引用将这两份申请的全部公开内容并入于此。
[0003]本公开内容与提交于2012年8月10日的、名称为"INTELLIGENT PHY WITHSECURITY DETECTION FOR ETHERNET NETWORKS"的美国非临时专利申请第 13/571，870 号有关。
【技术领域】
[0004]本公开内容总体上涉及网络通信领域。更具体而言，本公开内容涉及用于网络通信的连接器和物理层设备。
【背景技术】
[0005]本文中所提供的【背景技术】描述用于总体上呈现本公开内容的上下文的目的。当前署名的发明人的工作(到该【背景技术】部分中描述的程度)以及在提交时可能无法以其它方式作为现有技术的衡量的说明书的各方面，既非明确地也非隐含地承认是本公开的现有技术。
[0006]在高速数据通信网络中通常在网络装备中包括模块插口、比如RJ45插口。这些模块插口允许使用网络线缆、比如以太网线缆来快速、容易和可靠地将网络装备互连。本文称为“磁模块插口 ”的这些模块插口中的一些模块插口包括在模块插口以外、例如在其上装配模块插口的印刷电路板上以前实施的集成磁部件、比如变压器等。这些磁部件用于若干目的、包括提供信号完整性、保护物理层设备以及提供DC隔离。一些磁模块插口也支持以太网供电(PoE)技术，该PoE技术在网络线缆上与数据一起提供电功率。
[0007]图1示出包括模块磁插口的常规接入机架1000。接入机架1000在网络设备之间和/或在网络设备与因特网之间提供连接。接入机架1000包括至少一个线路卡1002和至少一个交换卡1004。该线路卡1002和交换卡1004 —般实施为印刷电路板。
[0008]交换卡1004中的每个交换卡可以由线缆1022以及相应底板连接器1024和1026连接到线路卡1002中的每个线路卡。线路卡1002经由以太网网络1008连接到网络设备1006。线路卡1002中的一个或者多个线路卡的预定端口或者上行链路端口可以连接到因特网1010。交换卡1004在线路卡102之间提供连接。线路卡1002在网络设备1006与交换卡1004之间提供连接和/或在交换卡1004与因特网1010之间提供连接。
[0009]交换卡1004中的每个交换卡通常包括聚合交换机1012和中央控制模块1014。聚合交换机1012在线路卡1002之间提供连接。中央控制模块1014控制在线路卡1002之间的连接的状态和数据包在线路卡1002之间的传送。线路卡1002中的每个线路卡通常包括接入交换机1016和多个物理层(PHY)设备1018。接入交换机1016在位于交换卡1004上的聚合交换机1012与位于线路卡1002上的PHY设备1018之间提供连接。PHY设备1018中的每个PHY设备连接到在线路卡1002上装配的相应模块磁插口 1020。

【发明内容】

[0010]一般而言，在一个方面中，一个实施例以一种包括连接器的装置为特征，其中该连接器包括:i)插口，其中该插口包括:a)多个电端子，以及b)电耦合到多个电端子的磁部件；以及ii)物理层设备，其中物理层设备包括:a)物理层模块，其中物理层模块包括:被配置用于从插口接收数据包的接口，以及被配置用于检查数据包的接口总线，以及b)网络接口，网络接口被配置用于基于通过接口总线对数据包的检查向与物理层设备分离的设备提供数据包。
[0011]该装置的实施例可以包括以下特征中的一个或者多个特征。一些实施例包括线路面板，其中该线路面板包括:布置于线路面板上的底板连接器，以及连接器中的至少一个连接器，其中连接器中的每个连接器布置于线路面板上，并且其中连接器中的每个连接器的网络接口由相应通信电缆耦合到底板连接器。在一些实施例中，线路面板包括以下各项中的至少一项:插线面板；以及金属板。在一些实施例中，连接器还包括以太网供电(PoE)电路，PoE电路被配置用于:通过电源线接收功率；以及向插口提供功率用于通过插口的电端子传输。在一些实施例中，连接器还包括DC到DC转换器，DC到DC转换器被配置用于:通过电源线接收单个DC电压；基于单个DC电压生成多个不同DC电压；并且向物理层设备提供多个不同DC电压。在一些实施例中，连接器还包括:集成电路，其中集成电路包括物理层设备；以及印刷电路板，其中集成电路布置于印刷电路板上。在一些实施例中，物理层设备还包括:存储器；以及被配置用于控制对存储器的访问的存储器控制模块；其中物理层模块被配置用于经由存储器控制模块在存储器中存储数据包；以及其中接口总线包括控制模块和正则表达式模块中的至少一个模块，其中控制模块和正则表达式模块中的至少一个模块被配置用于检查数据包以确定数据包的安全级。在一些实施例中，在第一系统级封装中实施物理层设备；在第二系统级封装中实施存储器；以及堆叠第一系统级封装和第二系统级封装。在一些实施例中，控制模块和正则表达式模块中的至少一个模块被配置用于确定数据包中的每个数据包的安全级为以下各项之一:有效；将经由控制模块和正则表达式模块中的至少一个模块进一步检查的数据包；将向中央控制模块用隧道传输的用于进一步检查的数据包，其中中央控制模块与物理层设备分离；以及无效。在一些实施例中，具有有效安全级的数据包中的每个数据包被从物理层设备向与物理层模块分离的设备转发；以及具有无效安全级的数据包中的每个数据包被丢弃。在一些实施例中，与物理层设备分离的设备是交换卡的聚合交换机；以及物理层模块与交换卡通信。在一些实施例中，网络接口被配置用于向中央控制模块提供数据包中的选择的数据包；中央控制模块与物理层设备分离；以及网络接口被配置用于基于中央控制模块执行的对数据包中的选择的数据包的检查来转发除了数据包中的选择的数据包之外的数据包。在一些实施例中，物理层模块是第一物理层模块；物理层设备还包括第二物理层模块；以及第二物理层模块与第一物理层模块共享存储器。在一些实施例中，物理层模块还包括:被配置用于检查数据包以生成第一命令信号的第一模块；被配置用于检查数据包以生成第二命令信号的第二模块，其中控制模块和规则表达式模块中的至少一个模块被配置用于检查数据包并且生成第三命令信号；以及被配置用于基于第一命令信号、第二命令信号以及第三命令信号来生成安全级信号的安全级模块，其中网络接口基于安全级信号向与物理层设备分离的设备提供数据包。在一些实施例中，物理层模块包括多个模块；多个模块中的每个模块被配置用于检查数据包并且生成多个安全级估计；被配置用于基于多个安全级估计来生成安全级信号的安全级模块；并且基于安全级信号，网络接口被配置用于向与物理层设备分离的设备提供数据包。在一些实施例中，网络接口被配置用于向中央控制模块提供数据包中的选择的数据包用于检查；中央控制模块与物理层设备分离；并且物理层模块被配置用于基于在中央控制模块执行的检查从中央控制模块接收指令信号并且基于指令信号转发除了数据包中的选择的数据包之外的数据包。一些实施例包括一种接入机架，该接入机架包括:多个线路面板；以及被配置用于提供在线路面板之间的交换机连接的至少一个交换卡。在一些实施例中，至少一个交换卡包括中央控制模块；物理层模块的入口模块和出口模块之一被配置用于确定数据包中的选择的数据包是否将由中央控制模块来检查；以及中央控制模块被配置用于基于数据包中的选择的数据包是否将由中央控制模块来检查的该确定来检查数据包中的选择的数据包。在一些实施例中，中央控制模块被配置用于生成指令信号，指令信号指示是丢弃还是转发具有与数据包中的选择的数据包相似的格式的数据包；以及基于指令信号，物理层设备被配置用于丢弃或者转发具有与数据包中的选择的数据包相似的格式的数据包。一些实施例包括:单个印刷电路板；以及聚合交换机，其中聚合交换机布置于单个印刷电路板上；其中连接器布置于单个印刷电路板上；以及其中网络接口与聚合交换机通信。
[0012]在附图和以下描述中阐述一个或者多个实现方式的细节。其它特征将从描述和附图中以及从权利要求中显而易见。
【专利附图】

【附图说明】
[0013]图1示出包括模块磁插口的常规接入机架。
[0014]图2示出根据一个实施例的接入机架。
[0015]图3示出根据一个实施例的连接器。
[0016]图4示出根据一个实施例的支持以太网供电(PoE)技术的连接器。
[0017]图5示出根据一个实施例的支持功率转换的连接器。
[0018]图6示出以单个印刷电路板为特征的实现方式。
[0019]图Al是根据本公开内容的并入接入机架的接入网络的功能框图。
[0020]图A2是图Al的接入机架的部分的功能框图。
[0021]图A3是根据本公开内容的并入PHY设备的另一接入网络的功能框图。
[0022]图A4是根据本公开内容的PHY设备的功能框图。
[0023]图A5是根据本公开内容的提供多级安全性检测的PHY模块的入口部分的功能框图。
[0024]图A6是根据本公开内容的网络接口的功能框图。
[0025]图A7图示根据本公开内容的包括安全检测方法的网络接入方法。
【具体实施方式】
[0026]本公开内容的实施例提供集成磁模块插口和物理层设备的连接器。本公开内容的实施例提供集成磁模块插口和智能物理层设备的智能插口。本公开内容在接入机架的背景中描述这些连接器。然而可以在其它外形规格、例如比如披萨盒外形规格等中实施各种实施例。
[0027]图2示出根据一个实施例的接入机架2000。接入机架2000在网络设备之间提供连接和/或在网络设备与因特网之间提供连接。接入机架2000包括至少一个线路面板2002和至少一个交换卡2004。线路面板2002中的每个线路面板可以制作为金属板、插线面板等。交换卡2004中的每个交换卡可以实施为印刷电路板。线路面板2002可以在与交换卡2004相同的机架中或者在不同机架中部署。交换卡2004中的每个交换卡可以由线缆2002以及相应底板连接器2024和2026连接到线路面板2002中的每个线路面板。线缆2022可以是电线缆、光线缆等。线路面板2002经由以太网网络2008连接到网络设备2006。面板2002中的一个或者多个面板的预定端口或者上行链路端口可以连接到因特网2010。交换卡2004在线路面板2002之间提供连接。线路面板2002在网络设备2006与交换卡2004之间提供连接和/或在交换卡2004与因特网2010之间提供连接。
[0028]交换卡2004中的每个交换卡通常包括聚合交换机2012和中央控制模块2014。聚合交换机2012在线路面板2002之间提供连接。中央控制模块2014控制在线路面板2002之间的连接的状态和数据包在线路面板2002之间的传送。面板2002中的每个面板包括一个或者多个连接器2016。在其它实现方式中，聚合交换机2012、中央控制模块2014和连接器2016如图6中所示实施于单个印刷电路板6002上。该印刷电路板6002可以例如在匹萨盒外形规格等中实施。在图3中示出示例连接器。
[0029]图3示出根据一个实施例的连接器3000。连接器3000包括插口 3002和物理层(PHY)设备3004。该连接器3000可以实施为单个模块、为在印刷电路板上布置的一个或者多个部件等。插口 3002可以容纳网络线缆3022、比如以太网线缆等的插头3020。插口3002包括多个电端子3006和电耦合到电端子3006的磁部件3008。该磁部件3008包括至少一个绕线部件、变压器、线圈等。该磁部件3008也可以包括附加部件、比如电阻器、电容器等。在一些实施例中，该物理层设备3004被实施为常规物理层设备、比如常规以太网物理层设备等。在其它实施例中，该物理层设备3004被实施为智能物理层设备。本公开内容的其余部分描述以智能物理层设备为特征的实施例。在本公开内容的其余部分中，这些智能物理层设备简称为“物理层设备”。
[0030]物理层设备3004包括物理层模块3010和网络接口 3012。物理层设备3004通过电源线3024接收功率。网络接口 3012可以是电接口、光接口等。例如网络接口 3012可以是IOG SERDES接口等。物理层模块3010包括被配置用于从插口 3002接收数据包的接口3014。例如该数据包可以通过以太网线缆3022从网络设备2006、从因特网2010等接收。物理层模块3010也包括被配置用于确定数据包中的一个或者多个数据包的一个或者多个特性的接口总线3016。网络接口 3012被配置用于通过通信电缆3018基于数据包的特性向与物理层设备3044分离的设备提供数据包中的一个或者多个数据包。例如网络接口 3012可以向交换机比如图2的聚合交换机2012、向控制模块比如图2的中央控制模块2014等提供数据包。在以下附录中更具体描述物理层设备的实施例。一些实施例支持以太网供电(PoE)技术。图4示出根据一个这样的实施例的连接器4000。该连接器4000包括插口4002、物理层(PHY)设备4004和PoE电路4030。连接器4000可以实施为单个模块、为在印刷电路板上布置的一个或者多个部件等。插口 4002可以容纳网络线缆4022、比如以太网线缆等的插头4020。插口 4002包括多个电端子4006和电耦合到电端子4006的磁部件4008。磁部件4008包括至少一个线绕部件、变压器、线圈等。磁部件4008也可以包括附加部件、比如电阻器、电容器等。插口 4002能够根据PoE技术通过端子4006提供功率。物理层设备4004和PoE电路4030中的每个通过电源线4024接收功率。在其它实施例中，物理层设备4004和PoE电路4030通过分离电源线接收功率。PoE电路4030向插口 4002提供功率用于通过插口 4002的端子4006传输。
[0031]物理层设备4004包括物理层模块4010和网络接口 4012。物理层设备4004通过电源线4024接收功率。网络接口 4012可以是电接口、光接口等。网络接口 4012可以是电接口、光接口等。例如网络接口 4012可以是IOG SERDES接口等。物理层模块4010包括被配置用于从插口 4002接收数据包的接口 4014。例如数据包可以通过网络线缆4022网络设备2006、从因特网2010等接收。物理层模块4010也包括被配置用于确定数据包中的一个或者多个数据包的一个或者多个特性的接口总线4016。网络接口 4012被配置用于通过线缆4018基于数据包的特性向与物理层设备4004分离的设备提供数据包中的一个或者多个数据包。例如网络接口 4012可以向交换机比如图2的聚合交换机2012、向控制模块比如图2的中央控制模块2014等提供数据包。在以下附录中更具体描述物理层设备的实施例。
[0032]一些实施例支持功率转换。图5示出根据一个这样的实施例的连接器5000。连接器5000包括插口 5002、物理层(PHY)设备5004和DC到DC转换器5032。在一些实施例中，连接器5000也包括PoE电路、比如以上参照图4描述的PoE电路。连接器5000可以实施为单个模块、为在印刷电路板上实施的一个或者多个部件等。插口 5002可以容纳网络线缆5022、比如以太网线缆等的插头5020。插口 5002包括多个电端子5006和电耦合到电端子5006的磁部件5008。磁部件5008包括至少一个线绕部件、变压器、线圈等。磁部件5008也可以包括附加部件、比如电阻器、电容器等。插口 5002能够根据PoE技术通过端子5006提供功率。物理层设备5004和DC到DC转换器5032中的每个通过电源线5024接收功率。电源线5024向DC到DC转换器5032提供单个DC电压。DC到DC转换器5032基于单个DC电压生成PHY设备5004需要的多个不同DC电压并且向PHY设备5004提供这些电压。作为结果，可以简化电源线5024，并且可以消除在机架中别处的DC到DC转换器。
[0033]物理层设备5004包括物理层模块5010和网络接口 5012。物理层设备5004通过电源线5024接收功率。网络接口 5012可以是电接口、光接口等。网络接口 5012可以是电接口、光接口等。例如网络接口 3012可以是IOG SERDES接口等。物理层模块5010包括被配置用于从插口 5002接收数据包的接口 5014。例如数据包可以通过以太网线缆5022从网络设备5006、从因特网2010等接收。物理层模块5010也包括被配置用于确定数据包中的一个或者多个数据包的一个或者多个特性的接口总线5016。网络接口 5012被配置用于通过线缆5018基于数据包的特性向与物理层设备5004分离的设备提供数据包中的一个或者多个数据包。例如网络接口 5012可以向交换机比如图2的聚合交换机2012、向控制模块比如图2的中央控制模块2014等提供数据包。在以下附录中更具体描述物理层设备的实施例。
[0034]在其中在单个印刷电路板上实施聚合交换机2012和连接器2016的实施例中，物理层设备3004、4004、5004从印刷电路板接收功率，并且网络接口 3012、4012、5012通过印刷电路板交换数据包。在这样的实施例中，无需通信电缆3018、4018、5018和电源线3024、4024,5024ο
[0035]各种实施例以以下优点中的一个或者多个优点为特征。消除线路卡1002和在其上的接入交换机1016(图1)而对应降低成本和复杂性。例如简化软件升级，因为升级不再需要跨越多个类型的交换机(也就是接入交换机1016和聚合交换机1012)的协调升级。在以连接器4000中的PoE电路4030(图4)为特征的实施例中，网络设备2006可以从连接器4000接收功率。在以连接器5000中的DC到DC转换器5032(图5)为特征的实施例中，可以简化电源线5024，并且可以消除在机架中别处的DC到DC转换器。
[0036]附录
[0037]接入网络可以包括具有交换卡和线路卡的接入机架。交换卡可以各自包括聚合交换机和中央控制模块。线路卡可以各自包括接入交换机和多个PHY设备。由于交换卡中的每个交换卡包括中央控制模块和聚合交换机并且线路卡中的每个线路卡包括接入交换机，所以与接入机架关联的控制平面复杂。线路卡由于包括和操作接入交换机而可以称为高成本和/或高功率卡。接入机架可能升级受限制，因为需要更换线路卡中的每个线路卡以执行控制专属升级(例如用于改变如何提供交换机连接的升级)。
[0038]在以下示例中，提供多个接入网络。在图A1-A2中公开第一接入网络并且该第一接入网络包括不包括接入交换机的线路卡。在线路卡之间、在网络设备之间和在网络设备与因特网之间的交换经由交换卡提供。作为结果，线路卡可以称为低成本和/或低功率线路卡。线路卡包括可以被配置用于执行深度数据包检查(DPI)的PHY模块。DPI包括检查数据包以确定数据包是否为有效数据包或者无效数据包。数据包可以在数据包具有不正确格式、包含与攻击和/或病毒关联的模式、具有不恰当值、包括垃圾信息、引入安全威胁和/或不满足预定义标准时是无效数据包。DPI可以包括检查一个或者多个数据包的首部和/或净荷。首部可以例如包括网际协议(IP)首部、传输控制协议(TCP)、用户数据报协议(UDP)和/或其它首部。
[0039]由于线路卡不包括接入交换机并且交换卡控制用于线路卡、网络设备和因特网的接入、聚合和交换功能，所以接入网络机架可容易升级。在升级期间，可以更改和/或更换控制逻辑、软件和/或硬件。该接入网络可以通过简单地更换交换卡中的一个或者多个交换卡而不更换线路卡来升级。此外，减少与接入网络关联的控制平面的复杂性，因为如与在多个线路卡和交换卡中执行连接交换相反而在一个或者多个集中位置中执行连接交换。以下描述图A1-A2的接入网络以及其它示例接入网络和关联特征。
[0040]在图Al中，示出接入网络100。作为示例，接入网络10可以是应用认知网络。应用认知网络是与应用和服务直接配合以最大化网络对应用专属要求的响应性的网络。在应用认知网络中的模块可以传送对象，这些对象包括将在网络中的不同点调用的方法。根据该方法执行交换机和处理设备的应用专属编程。模块执行定制的计算和资源管理以满足应用专属要求。应用认知网络可以用来管理专有网络和/或局域网(LAN)的安全。
[0041]接入网络10包括接入机架12、网络14、因特网16和网络设备18 (示出p个网络设备)。接入机架12经由网络14连接到网络设备18。网络14可以例如是以太网网络。接入机架12在网络设备18之间和/或在网络设备18与因特网16之间路由信号。网络设备18可以包括用户设备、外围设备和/或数据存储设备。用户设备可以包括计算机、蜂窝电话、机顶盒、电视机等。[0042]接入机架12包括一个或者多个交换卡20(示出2个)和一个或者多个线路卡22 (示出η个)。线路卡22包括PHY设备24。在图Α4中示出PHY设备的示例。在所示示例中，线路卡22中的每个线路卡22包括m个PHY设备。作为示例，接入机架12可以包括48个线路卡，其中线路卡中的每个线路卡包括一个或者多个PHY设备(例如6个PHY设备)。交换卡20中的每个交换卡包括聚合交换机26，该聚合交换机在线路卡22之间、在相同线路卡上的PHY设备24之间和/或在线路卡22中的不同线路卡上的PHY设备之间提供连接。
[0043]现在也参照图A2，示出接入机架12的部分30。该部分30包括交换卡20之一(表示为32)和线路卡22之一(表示为34)。交换卡20中的每个交换卡可以包括中央控制模块36、聚合交换机(在图A2中表不为38)和存储器设备40。在Iv实现方式中，中央控制模块36不包括在聚合交换机38中。聚合交换机38在线路卡22上的PHY设备24之间交换并且提供集中式交换。中央控制模块36可以控制聚合交换机38中的交换机42中的状态。
[0044]存储器设备40可以各自例如包括双数据速率型3(DDR3)同步随机存取存储器(SRAM)和/或其它适当存储器、比如动态随机存取存储器(DRAM)。线路卡22中的每个线路卡包括PHY设备24中的相应PHY设备(第一线路卡34的示例PHY设备在图A2中表示为44)而不包括接入交换机。接入交换机是指位于线路卡上并且被配置用于在线路卡与接入机架的交换卡之间提供连接的交换机。
[0045]PHY设备44实现集中式交换。交换不在PHY设备44处执行而实际上在交换卡20处执行。PHY设备44向交换卡44转发接收的数据包以便然后向预计或者原先选择的目的转发。PHY设备44中的每个PHY设备可以执行DPI。这在接入网络30的边缘提供DPI。接入网络的边缘可以是指在接入机架32与网络14之间的边界和/或在接入机架32与网络设备18之间的边界。DPI可以包括在PHY设备44中的一个PHY设备44的PHY模块不能确定数据包是否为有效数据包或者无效数据包时向中央控制模块36发送数据包。作为示例，数据包可以经由聚合交换机38从PHY模块向中央控制模块36转发用于检查。该中央控制模块36可以检查数据包以确定数据包的有效性、然后基于检查的结果指令PHY模块丢弃(即删除数据包和/或防止进一步传输与数据包相似的数据包)或者转发与第一数据包相似的数据包。无效数据包可以丢弃，而有效数据包可以转发。相似数据包可以是指具有相同格式、源地址、目的地址和/或其它数据包参数和/或字段的数据包。
[0046]PHY模块可以检查入口数据包、朝着聚合交换机38转发入口数据包、向中央控制模块36用隧道传输入口数据包用于进一步检查和/或丢弃入口数据包中的无效或者不安全的入口数据包。在数据包检查期间，PHY设备44的PHY硬件将入口数据包标识为:有效数据包、将进一步执行本地化检查的数据包、将执行集中式检查的数据包或者无效数据包。本地化检查是指在PHY设备44内和/或由在PHY设备44内的模块执行的检查。集中式检查是指在PHY设备44外部并且例如在中央控制模块36中执行的检查。有效数据包可以是指快速(在预定时段内)和/或清楚确定为安全和正确(没有一个或者多个错误)和/或具有恰当格式、签名和/或模式的数据包。作为示例，从特定本地源接收的数据包可以基于接收的源的地址而被确定为有效。
[0047]将执行进一步集中式检查的数据包可以是指PHY硬件和/或关联PHY设备的模块已经检查的、但是不快速和/或清楚确定为有效数据包的数据包。这样的数据包可能具有一个或者多个错误、未知格式、包括可疑内容或者来自在本地网络以外的远程源。出于这一原因，数据包可以由中央控制模块36进一步检查。
[0048]隧道传输数据包是指:PHY设备和/或PHY设备的模块不可识别的数据包；PHY设备和/或PHY设备的模块可能已经检查的数据包；和/或PHY设备和/或PHY设备的模块不能确定数据包是否为有效数据包或者无效数据包。隧道传输数据包可以不被PHY设备和/或PHY设备的模块检查并且可以简单地向中央控制模块36转发。无效数据包是通过检查而确定为无效的数据包。无效数据包可能具有不恰当格式、签名、模式和/或值。如果数据包由PHY设备和/或PHY设备的模块确定为无效，则该数据包可以丢弃、删除、防止向在接入机架中的设备或者模块转发和/或可以不向交换卡20中的一个交换卡转发。隧道传输数据包和将执行进一步本地化检查的数据包可以称为可疑数据包。
[0049]PHY设备24、44中的每个PHY设备可以包括向交换卡20中的每个交换卡的通信链路。在图A2中，FCl是指交换卡lt) FC2是指交换卡2。通信链路FCl、FC2中的每个通信链路的下标是指PHY设备44中的一个PHY设备。例如FC1是指在交换卡ι与PHY设备ι之间的通信链路。提供两个通信链路用于负荷平衡和/或接口冗余性。负荷平衡可以包括在相同时间段期间通过两个或者更多链路传送相等数量的数据。接口冗余性可以是指包括两个或者更多接口(或者通信链路)，其中在接口被停用或者不可用的情况下提供接口中的一个或者多个接口作为备份。
[0050]存储器设备40可以用来存储指令、代码、规则、表和/或数据包数据。指令、代码、规则和/或表可以由中央控制模块36、聚合交换机38和/或PHY设备44在执行DPI时和/或在控制交换机42的状态时来使用。存储器设备40可以用来存储:正在检查的数据包、将检查的选择的数据包的副本和/或将转发、上行传输和/或下行传输的数据包。在从网络设备18中的一个网络设备经由接入机架12向因特网16转发数据包时上行传输数据包。在从因特网16经由接入机架12向网络设备18中的一个网络设备转发数据包时下行传输数据包。
[0051]在图A3中，示出另一接入网络50。作为示例，该接入网络50可以是应用认知网络并且包括一个或者多个接入机架52(示出m个)、网络14、因特网16和网络设备18。接入机架52可以包括路由器、交换机、计算机、服务器或者其它适当接入设备。接入机架52中的每个接入机架包括线路卡54。线路卡54中的每个线路卡包括一个或者多个PHY设备56。在图A4中示出PHY设备的示例。该PHY设备56中的每个PHY设备包括一个或者多个PHY模块。在图A4中示出示例PHY模块。PHY设备56经由网络14与网络设备18通信。
[0052]接入机架52可以在相互之间、在相同接入机架的PHY设备之间、在不同接入机架的PHY设备之间和/或在PHY设备与因特网16之间提供连接。在这样做时，接入机架52可以在网络设备18之间和/或在网络设备18与因特网16之间提供连接。
[0053]接入网络50也可以包括中央网络设备60。该中央网络设备60可以用来控制接入机架52、执行DPI和/或检查接入机架52不可辨认的数据包(称为隧道传输数据包)。隧道传输数据包可以是接入机架、PHY设备和/或PHY设备的模块不能确定为有效或者无效的数据包。
[0054]中央网络设备60可以位于远离接入机架52的网络中和/或可以位于接入机架52的本地网络中。中央网络设备60可以布置于接入机架52中的一个或者多个接入机架内。中央网络设备60和/或接入机架52中的一个或者多个接入机架可以共同地是向网络设备18提供一个或者多个服务的服务提供者。
[0055]图A1-A3的PHY设备24、44、56和PHY设备24、44、56的模块可以例如位于和/或连接于a)网络14或者因特网16与b)在接入机架52和线路卡22、34中的MAC设备和/或其它更高层设备之间。PHY设备24、44、56可以是指在接入机架52和线路卡22、34的物理层中的设备。
[0056]还参照图A4，示出PHY设备100。PHY设备100可以:用来在网络之间提供安全防火墙；用于零日攻击防止；用在接入企业网络中等等。PHY设备100在PHY封装中可以称为防火墙。PHY设备100可以提供跨越多个国际标准化组织(ISO)和/或开放系统互连(OSI)层、而不是仅跨越PHY层来操作的防火墙功能。该防火墙功能跨越PHY层和高于PHY层的层(例如MAC层)来提供。零日攻击是利用计算机应用中的先前未知弱点的攻击。零日攻击在认知弱点的“日零时”发生。这意味着已经有用于对弱点进行解决和打补丁的零日。零日攻击利用软件，该软件使用安全漏洞以执行攻击。零日攻击防止是指防止零日攻击。这可以包括防止无效数据包、比如与病毒或者蠕虫关联的数据包扩散(即沿网络进一步传递)。这包括在检测到攻击时丢弃(或者删除)无效数据包。该数据包的这一检测和丢弃可以由PHY设备100和/或PHY设备100的设备和/或模块之一执行。
[0057]在接入企业网络中，PHY设备100和/或PHY设备100的一个或者多个设备和/或模块可以用来:防止网络设备接入因特网16和/或提供对因特网16的有限接入。以下描述PHY设备100的示例设备和模块。
[0058]PHY设备100包括PHY模块102 (可以称为PHY信道)、存储器控制模块104、PHY存储器106和网络接口 108 (可以称为交换接口)。PHY设备100经由PHY模块102与网络14通信并且经由网络接口 108例如与聚合交换机(例如聚合交换机38)或者中央网络设备(例如中央网络设备60)通信。该聚合交换机和中央网络设备在图A4中示出为接入设备112。该聚合交换机可以提供用于在PHY模块102之间和/或在不同PHY设备的PHY模块之间路由数据包的交换。
[0059]PHY模块102中的每个PHY模块可以包括介质专用接口(MDI) 114 (或者第一网络接口)、入口模块116、接口总线118和出口模块120。MDI114经由网络14从例如一个或者多个网络设备接收数据包并且向入口模块116转发该数据包。MDI14也从出口模块120接收数据包并且经由网络14向例如网络设备传输数据包。在一个实现方式中，MDI114中的每个MDI连接到双绞线。在所示实现方式中，PHY设备100包括8个MDI或者其它适当接口。
[0060]除了接口总线118之外的PHY模块IO 2中的每个PHY模块的入口模块116、出口模块120和/或其它模块和/或设备可以共同地称为PHY硬件。入口模块116可以包括入口正则表达式(RegEx)模块116-1、入口解析模块116-2、第一接收模块116-3、接收先入先出(FIFO)模块116-4和第一发送模块116-5。PHY模块102可以不包括入口模块116中的一个或者多个入口模块。入口 RegEx模块116-1在被包括时执行RegEx过程以检查数据包。该RegEx过程包括比较字符、字词、签名或者数据模式与预定字符、字词、签名和数据模式。该RegEx过程可以执行为DPI过程的部分。该入口 RegEx过程可以执行以快速标识有效或者无效的数据包。
[0061 ] A 口解析模块116-2可以丢弃无效数据包并且可以向接口总线118和第一接收模块116-3转发无效数据包和/或无效数据包的首部。第一接收模块116-3可以是直接存储器访问(DMA)设备并且复制和/或在PHY存储器106中和/或在接口总线118的总线存储器130中存储从入口解析模块116-2和/或接口总线118接收的数据包、数据包的部分、数据包描述符和/或数据包信息。接口总线118的总线控制模块132可以控制在总线存储器130中的数据的存储。在PHY存储器106中的存储可以经由存储器控制模块104来执行。数据包的部分可以包括数据包的一个或者多个首部和/或净荷。数据包信息可以包括在首部内包括的信息和/或其它信息、比如数据包的检查级、源地址、目的地址、源ID、目的ID、协议ID、数据包的长度等。检查级可以指示数据包是否为:有效数据包、将由总线控制模块132和/或总线正则表达式模块13执行附加检查的数据包、将向中央控制模块(例如中央控制模块62)用隧道传输的数据包或者将丢弃的无效数据包。
[0062]入口解析模块116-2也可以向接口总线118和/或总线控制模块132指示数据包是否应当由接口总线118和/或总线控制模块132来检查。第一接收模块116-3可以基于来自接口总线118的指令a)在PHY存储器106中存储数据包和/或向PHY存储器106复制数据包和/或b)向接收FIFO模块116-4转发数据包。
[0063]接收FIFO模块116-4在被包括时存储将向网络接口 108 (或者第二网络接口)转发的数据包。在总线存储器130和/或PHY存储器106中存储的数据包、数据包描述和/或数据包信息可以存储于接收FIFO模块116-4中用于由接口总线118的总线控制模块132和/或总线RegEx模块134来检查。总线控制模块132和/或总线RegEx模块134可以个别地或者共同地称为本地控制模块并且可以执行数据包的本地化检查。
[0064]第一发送模块116-5也可以是DMA设备并且可以向网络接口 108发送从接收FIFO模块116-4、PHY存储器106和/或接口总线118接收的数据包。第一发送模块116-5可以基于从接口总线118和/或接口总线118的模块接收的指令来a)访问在PHY存储器106中存储的数据包和/或b)向接口总线118转发数据包。该第一发送模块116-5可以向网络接口 108、接入设备112指示数据包是否应当由聚合交换机和/或中央控制模块来检查。
[0065]接口总线118可以是高级可扩展接口(AXI)和/或具有高级微控制器总线架构(AMBA)并且使用AMBA协议。接口总线118可以包括总线存储器130、总线控制模块132和总线RegEx模块134。总线存储器130可以例如包括SRAM或者其它适当存储器。总线存储器130可以由接入设备112和/或PHY设备110在执行DPI时和/或在控制聚合交换机中的交换机、中央网络设备(例如中央网络设备60)和接入设备(例如接入设备112)中的状态时使用。
[0066]总线控制模块132和/或总线RegEx模块134可以执行DPI以确定接收的数据包的安全级、丢弃无效数据包、转发有效数据包和/或向中央控制模块通过隧道传输数据包用于进一步检查。总线控制模块132可以控制由总线RegEx模块134执行的RegEx解析。该总线控制模块132可以在执行零日攻击防止时使用总线存储器130、存储器控制模块104和/或PHY存储器106。由于PHY模块102中的每个PHY模块可以包括总线控制模块和/或一个或者多个RegEx模块，所以可以给MDI114中的每个MDI提供总线控制模块和RegEx模块。这提供接口或者端口专属数据包检查和RegEx解析。
[0067]总线控制模块132可以对于基于应用的联网和网络安全应用来执行内容签名识别任务。该总线控制模块132可以检查在有线速度(例如IGbps)的数据包。该总线控制模块132可以分析数据包并且确定是否丢弃、转发和/或标记数据包为在有线速度不可辨认。该总线控制模块132可以是32位处理器。在PHY模块102中的每个PHY模块中的每个总线控制模块可以与接入设备112进行通信。这一通信可以包括:从中央控制模块接收用于数据包检查的规则和/或表更新；以及从PHY模块102向中央控制模块重新路由和/或报告异常和/或可疑数据包。
[0068]出口模块120可以包括出口 RegEx模块120_1、出口解析模块120-2、第二接收模块120-3、发送FIFO模块120-4和第二发送模块120-5。PHY模块102可以不包括出口模块120中的一个或者多个出口模块。出口 RegEx模块120-1在被包括时执行RegEx过程以检查经由网络接口 108从PHY模块102中的一个PHY模块接收的数据包。RegEx过程包括比较字符、字词、签名或者数据模式与预定字符、字词、签名和数据模式。RegEx过程可以执行为DPI过程的部分。出口 RegEx过程可以执行以快速标识有效或者无效的数据包。
[0069]RegEx模块116_1、130_1、134可以基于RegEx匹配执行数据包过滤。RegEx模块116-1、130-1、134可以分析一个或者多个数据包以检测每个数据包中的首部和/或净荷中和/或跨越多个数据包的模式。可以执行RegEx搜索以检测在依次数据包内和/或在非依次数据包内的模式以提供完全边界防火墙。这可以包括用于阻止去往预定目的和/或计算机的数据包的完整数据包网际协议(IP)阻止。RegEx模块116-1、130-1、134可以停止或者暂时抑制攻击直至可以部署系统性的纠正动作。这允许攻击误判并且防止漏报(指示攻击的错误)。RegEx模块116-1、130-1、134可以各自包括、替换为一个或者多个三元内容可寻址存储器(TCAM)或者与一个或者多个TCAM组合使用。在图A4中，示出单个TCAM135。
[0070]内容可寻址存储器(CAM)是允许它的全部内容在单个时钟周期内被搜索的专用存储器。二元CAM执行确切匹配搜索，而TCAM通过使用“不考虑”来允许模式匹配。不考虑在搜索期间用作通配符并且在路由表中实施最长前缀匹配搜索时有用。以上提到的TCAM可以用于数据包分类和用于硬件匹配加速。TCAM可以用来存储在RegEx数据包检查期间使用的正则表达式的确定性有限自动机(DFA)表示。DFA是5元组(例如Q、Σ、δ、q(l、A)，其中Q是状态集，Σ是字母表，δ是基于Q和Σ的转换函数，％是开始状态，并且A是接受状态集。
[0071 ] 出口解析模块120-2可以丢弃无效数据包并且可以向接口总线118和第二接收模块120-3转发有效数据包和/或有效数据包的首部。第二接收模块120-3可以是DMA设备并且复制和/或在总线存储器130和/或PHY模块106中存储从出口解析模块120-2和/或接口总线118接收的数据包、数据包的部分、数据包描述符和/或数据包信息。在总线存储器130中的存储可以经由总线控制模块132执行。在PHY存储器106中的存储可以经由存储器控制模块104执行。数据包的部分可以包括数据包的一个或者多个首部和/或净荷。数据包信息可以包括在首部内包括的信息和/或其它信息、比如数据包的检查级、源地址、目的地址、源ID、目的ID、协议ID、数据包的长度等。
[0072]出口解析模块120-2也可以向接口总线118和/或总线控制模块132指示数据包是否应当由接口总线118和/或总线控制模块132来检查。第二接收模块120-3可以基于来自接口总线118的指令在PHY存储器106中存储数据包和/或向PHY存储器106复制数据包和/或向发送FIFO模块120-4转发数据包。
[0073]发送FIFO模块120-4存储将向第二发送模块120_5转发的数据包。在总线存储器130和/或PHY存储器106中存储的数据包、数据包描述符和/或数据包信息可以存储于发送FIFO模块120-4中用于由总线控制模块132和/或总线RegEx模块134来检查。第二发送模块120-5也可以是DMA设备并且可以向MDI114中的相应MDI发送从发送FIFO模块120-4、PHY存储器106和/或接口总线118接收的数据包。第二发送模块120-5可以基于从接口总线118、总线控制模块132和/或总线RegEx模块134接收的指令去访问在PHY存储器106中存储的数据包并且向MDI114中的相应MDI转发数据包。
[0074]存储器控制模块104可以作为仲裁器执行以控制在PHY模块102与PHY存储器106之间的访问。存储器控制模块104可以允许PHY模块102中的一个或者多个PHY模块具有对PHY存储器106的访问以及防止PHY模块102中的一个或者多个PHY模块具有对PHY存储器106的访问。存储器控制模块104确定用于PHY模块102中的每个PHY模块的访问时间并且相应地允许对PHY存储器106的访问。存储器控制模块104可以在PHY模块102中的第一 PHY模块具有对PHY存储器106的访问之时允许PHY模块102中的第二 PHY模块具有对PHY存储器106的访问。备选地，存储器控制模块104可以在PHY模块102中的第一 PHY模块具有对PHY存储器106的访问之时防止PHY模块102中的第二 PHY模块具有对PHY存储器106的访问。
[0075]PHY存储器106可以例如包括DDR3SRAM和/或其它适当存储器、比如DRAM。PHY存储器106可以例如具有用于并行传送32比特数据的32比特存储器接口。PHY存储器106可以在PHY设备100外部和/或集成地形成于PHY设备100上或者作为PHY设备100的部分。在一个实现方式中，PHY设备100是集成电路(IC)或者系统级封装(SIP)，并且PHY存储器106是与PHY设备100分离的1C。PHY设备100经由存储器控制模块104和/或对应存储器接口 148与PHY存储器106通信。存储器接口 148可以连接在存储器控制模块104与PHY存储器106之间。
[0076]在另一实现方式中，PHY设备100是第一 IC，PHY存储器106是第二 1C，并且该第
一IC和第二 IC形成为SIP的部分。在又一实现方式中，PHY设备100是第一 SIP，PHY存储器106是第二 SIP，并且该第一 SIP和第二 SIP使用封装上封装(POP)工艺来集成地封装。第二 SIP可以堆叠于第一 SIP上而在SIP之间的存储器接口(例如存储器接口 148)用于在第一 SIP与第二 SIP之间路由信号。该第一 SIP和第二 SIP可以例如是存储器球栅阵列(BGA)封装。
[0077]PHY存储器106可以用来在入口模块116或者出口模块120中的一个或者多个模块中拥塞的情况下缓冲数据包。PHY存储器106可以用来存储指令、代码、规则、表和/或数据包数据。该指令、代码、规则和/或表可以由中央控制模块、聚合交换机和/或模块116-1、120-1、132、134在执行DIP时和/或在控制交换机(例如在交换控制模块和/或网络接口108中的交换机)的状态时使用。在一个实现方式中，该指令、代码、规则和/或表例如在总线存储器130中没有可用空间时存储于PHY存储器106中。在另一实现方式中，该指令、代码、规则和/或表例如在PHY存储器106中没有可用空间时存储于总线存储器130中。
[0078]总线存储器130和PHY存储器106可以用来存储:正在检查的数据包；将检查的选择的数据包的副本；和/或将转发、上行传输和/或下行传输的数据包。总线存储器130和PHY存储器106可以用于在接入网络(例如接入网络10、50之一)中的点暂时拥塞的情况下的数据包缓冲。总线存储器130可以专属于特定PHY模块(例如PHY模块PHY1)，而PHY存储器106可以与PHY模块102中的每个PHY模块共享。这最小化用于单个PHY设备100的PHY存储器的数目。
[0079]在所示示例中，网络接口 108包括第一介质访问控制(MAC)接口 140、第二 MAC接口 142、第一四串行吉比特介质独立接口(QSGMII) 144和第二 QSGMII146。MAC接口 140、142可以是10吉比特以太网接口。第一和第二 MAC接口 140、142可以各自执行MAC的功能并且经由接入设备112提供至例如交换卡的通信链路。第一和第二 MAC接口 140可以例如具有用于通过底板连接接入设备112的10GE-KR接口以实现经由模块接入机架(例如图Al的接入机架12)的低成本DPI。第一和第二 GSGMII144、146可以提供至接入设备112的两个并行通信链路。
[0080]在操作期间并且作为示例，MDI114中的每个MDI可以接收或者发送I吉比特数据每秒(Gbps)，而接口 140、142、144、146中的每个接口可以接收或者发送lOGbps。MDI114可以是IGbps以太网(GE)端口，并且接口 140、142、144、146可以具有IOGE端口。PHY设备100经由MDI114和网络接口 108可以因而提供IGE端口到IOGE接口 140、142、144、146的动态绑定。这可以包括负荷平衡、接口冗余性、用于上行链路交织数据包的时分复用调度、在PHY存储器中缓冲数据和向PHY存储器缓冲数据以克服或者处理数据突发。负荷平衡可以包括在相同时间段期间通过两个或者更多接口发送相等数量的数据。接口冗余性可以是指包括两个或者更多接口，而该接口中的一个或者多个接口被提供为备份。
[0081]PHY设备100、PHY模块102和/或第一和第二 MAC接口 140、142可以执行电气和电子工程师协会(IEEE) 1588-2008标准的基于网络地址的定时和同步。这可以包括将精确时间协议(PTP)用于同步总线控制模块(例如总线控制模块132)的时钟与在PHY设备100外部的控制模块(例如中央控制模块62)。该PHY设备100、PHY模块102和/或第一和第
二MAC接口 140、142也可以提供满足ffiEE802.1AE-2006安全标准的MAC安全(MACSec)支持，其为独立于介质访问的协议定义无连接数据保密性和完整性。
[0082]PHY设备100也可以包括安全高速缓存模块(SCM) 150。在解析模块116-2、120-2和/或接口总线118与该安全高速缓存模块150之间可以传输数据包和/或数据包信息。该安全高速缓存模块150可以存储字符、数据模式、源地址、目的地址和/或用于指示数据包类型的其它数据包信息。PHY模块102中的每个PHY模块的解析模块116-2、120-2可以基于这一数据包信息确定数据包是否有效或者无效。
[0083]现在参照图A1-A4，PHY设备24、44、56、100和/或PHY模块102可以作为用于检测沿着在接入网络的边界上的实行点的攻击的分布式传感器来执行。中央控制模块36、62在被包括时可以从分布式传感器收集信息、比如数据包信息和攻击信息。该攻击信息可以包括攻击模式、签名和/或本文公开的其它攻击信息。中央控制模块36、62然后可以应用规则和/或分析收集的信息以确定是否有攻击和/或数据包是否有效和/或无效。基于这一分析的结果可以确定数据包的类型并且可以转发数据包。这一分析的结果可以从中央控制模块36、62向分布式传感器提供用于数据包转发确定目的。中央控制模块36、62可以指令数据包类型的分布式传感器如何处理这些类型的数据包。这一信息可以例如在PHY存储器106中、在总线存储器130中和/或在安全高速缓存模块150中收集用于将来使用。
[0084]现在也参照图A5，示出提供多安全级检测的PHY(例如PHY模块102之一)的入口部分170。该入口部分170包括可以例如在入口 RegEx模块(例如入口 RegEx模块116-1)中包括或者与入口 RegEx模块分离的帧间有限状态机(FSM)模块172。入口部分170可以包括入口(第一)RegEx模块116-1、入口解析模块116-2、总线控制模块132、安全高速缓存模块150和总线(第二)RegEx模块134。
[0085]帧间FSM模块172和入口 RegEx模块116_1提供第一安全级。帧间FSM模块172将入口 RegEx模块116-1用于模式和签名查找。第一安全级包括检测在帧间FSM模块172接收的数据包中的在线路速率(例如IGbps)的零日RegEx攻击模式和签名。该数据包可能从MDI (例如MDItl)接收。入口 RegEx模块116-1被配置用于监视预定模式和签名以在中央控制模块36、62中的一个中央控制模块中安装补丁之前检测数据包。入口 RegEx模块116-1可以可编程以允许用户添加或者改变正在监视的签名和模式。
[0086]A 口 RegEx模块116_1可以用锚和通配符执行RegEx解析。锚是指原子零宽度断言(Atomic Zero-Width Assertion),该断言根据数据包的字符串中的当前位置致使匹配成功或者失败。锚不使入口 RegEx模块116-1经过串推进或者消耗字符。通配符是指与零个或者更多字符匹配的字符，该字符用来高效检测模式或者签名。
[0087]入口 RegEx模块116_1可以搜索数据包的首部和/或净荷以及依次和/或非依次数据包。帧间FSM模块172基于由入口 RegEx模块116-1确定的匹配和/或比较来生成第一命令信号173。
[0088]入口解析模块116-2和安全高速缓存模块150提供第二安全级。入口解析模块116-2和/或总线控制模块132可以向SCM150推送分流和生效数据的数据包和/或不可辨认数据包。入口解析模块116-2和/或安全高速缓冲模块150然后可以比较这些数据包的模式与即将到来的数据包。作为示例，入口解析模块116-2可以不分析接收的数据包，该数据包具有在SCM150中存储的不可辨认数据包类型的模式。入口解析模块116-2可以代之以向中央控制模块直接传送数据包用于评估。这减少入口解析模块116-2的RegEx处理时间。
[0089]入口解析模块116-2可以对于在有线速度(例如IGbps)的分流的数据流执行数据包解析。该入口解析模块116-2(称为硬件解析器)可以从数据包提取5元组值并且扫描SCM150寻找匹配。在SCM150中存储的值可以与5元组值比较。5元组值可以用来组成传输控制协议(TCP)或者网际协议(IP)并且可以例如包括源IP地址、目的IP地址、源端口号、目的端口号和协议ID。SCM150可以具有用于接口 114中的每个接口的接口专属条目。例如信任接口可以具有与非信任接口不同的用于SCM150的权限。入口解析模块116-2执行的比较可以包括当确定在SCM150中存储的5元组值和/或某些值是否可以在与接收的数据包关联的接口关联地访问时来比较该接口的标识。入口解析模块116-2基于执行的比较和在SCM150中存储的指令生成第二命令信号175。
[0090]总线控制模块132和/或总线RegEx模块134提供第三安全级。总线控制模块132可以检查接收的数据流并且(i)转发数据流和/或(ii)向中央控制模块用隧道传输和/或复制生效和/或未知的数据流(不可辨认数据包的流)。作为数据包检查的结果，总线控制模块132可以在SCM150中存储附加的先前未知流的模式以便关于将在接收具有相同模式的附加数据包时采取的动作而指令入口解析模块116-2。中央控制模块可以也或者备选地提供将在SCMl50中存储的指令。
[0091]总线存储器130和/或PHY存储器106可以存储可以基于提供的指令和新近学习的数据流更新的哈希表。指令可以指示将在总线控制模块132检测到具有某个模式的数据包时执行的动作(例如丢弃或者转发)。RegEx模块116-1、120-1、134和SCM150可以可编程以允许用户添加或者改变存储的模式、签名和/或指令。指令可以涉及确定评估的数据包的安全级。总线控制模块132可以使用总线RegEx模块134以检测在接收的数据包中的模式、然后相应地生成第三命令信号177。总线控制模块132可以继续跟踪不生效的数据包流(不可辨认的数据包的流)以检测攻击。
[0092]虽然对于PHY模块的入口部分示出图A5的多安全级检测，但是也可以对于PHY模块的出口部分提供多安全级检测。作为示例，出口 RegEx模块120-1和出口解析模块120-2可以执行如帧间FSM模块172、入口 RegEx模块116-1和入口解析模块116-2执行的第一和第二安全级。总线控制模块132和总线RegEx模块134可以提供如以上描述的用于出口目的的第三安全级。
[0093]用于入口部分的安全级中的每个安全级的命令信号173、175和177示出为丢弃-隧道传输-本地控制模块检查-转发(DTLF)信号。该命令信号被提供至安全级模块180。该安全级模块180基于三个命令信号173、175和177确定安全级并且生成安全级信号 182。
[0094]在该示例中，安全级模块180包括OR门。命令信号中的每个命令信号指示接收的数据包的安全级如同由安全级中的相应安全级确定。命令信号可以各自指示第一级和第二级中的一个。第一级指示无效数据包。第二级指示有效数据包。安全级中的每个安全级可以提供用于每个数据包或者用于数据包系列或者选择的数据包组的命令信号。
[0095]作为第一示例，命令信号在指示数据包无效或者应当被丢弃时可以设置成I。命令信号在指示数据包有效或者应当被转发时可以设置成O。因而如果命令信号中的任何命令信号指示应当丢弃数据包，则丢弃数据包。这由安全级模块180或者OR门的输出来提供。
[0096]作为另一示例，可以使用四个安全级。第一级可以指示无效或者丢弃数据包。第二级指示隧道传输数据包。第三级指示数据包将例如由总线RegEx模块134的总线控制模块132来本地检查。第四级指示有效或者转发数据包。在这一实现方式中，安全级模块180确定由三个命令信号指示的最低级。然后由安全级模块180报告该指示的最低级并且例如由图A4的第一发送模块116-5用来确定是否指示中央控制模块进一步检查数据包。在一个实现方式中，可以在最低级是第二级或者第三级时报告最低级而可以在最低级是第一级或者第四级时不报告最低级。在另一实现方式中，独立于安全级模块180确定的最低级而报告最低级。
[0097]再次参照图A1-A3，因为PHY设备24、44、56、100和/或PHY模块102的一个或者多个模块和/或设备可以可编程，所以在接入网络10、50的边缘处可以提供包括DPI的定制的安全平台。
[0098]在图A6中，示出网络接口 200。网络接口 200可以使用于图A1-A3的网络接口 108中和/或？册设备24、44、56、100中的一个？册设备中。网络接口 200包括第一复用模块202、第一 QSGMII204、第二复用模块206和第二 QSGMII208。第一和第二复用模块202、206执行复用和去复用。
[0099]第一复用模块202可以将来自第一 PHY模块集合的信号(例如8个PHY模块输出信号)复用成第一 QSGMII204接收的复用信号(例如4个复用信号)。第二复用模块206可以将来自第二 PHY模块集合的信号(例如8个PHY设备输出信号)复用成第二 QSGMII208接收的复用信号(例如4个复用信号)。第一 PHY模块集合可以与第二 PHY模块集合相同或者不同。第一复用模块202可以将来自第一 QSGMII204的输出信号去复用以生成第一PHY模块集合接收的输入信号。第二复用模块206可以将来自第二 QSGMII208的输出信号去复用以生成第二 PHY模块集合接收的输入信号。第一和第二 QSGMII204、208的输出可以与聚合交换机和/或中央控制模块通信。
[0100]网络接口 200允许在第一速度操作的PHY模块的端口连接到第一 QSGMII204或者第二 QSGMII208，其中第一 QSGMII204和第二 QSGMII208中的每个QSGMII在与MDI不同的速度操作。作为示例，第一速度可以IGbps并且第二速度可以是lOGbps。复用模块202、206执行的复用和去复用可以消除对于在网络接口缓冲数据信号的需要。
[0101]以上描述的接入网络10、50和？册设备24、44、56、100可以使用许多方法来操作，图A7的方法提供了一种示例方法。在图A7中，示出网络接入方法包括安全检测方法。虽然主要关于图A1-A5的实现方式描述以下任务，但是该任务可以容易地修改以适用于本公开内容的其它实现方式。该任务可以迭代地执行和/或按不同页序执行。该方法可以始于300。虽然以下任务302-322是入口任务，但是该任务可以在执行出口任务、比如出口模块120执行的出口任务时反向相似地执行。此外，虽然关于单个数据包描述以下任务，但是该任务可以对于多个数据包和/或选择的数据包组执行。该数据包可以是依次数据包系列或者非依次数据包系列。
[0102]在302，入口 RegEx模块116-1从MDItl接收数据包。该数据包可以从经由网络14与PHY模块PHY1通信的网络设备(例如网络设备18中的一个网络设备)接收。入口 RegEx模块116-1可以执行数据包的初始检查以快速确定是丢弃还是转发该数据包。入口 RegEx模块116-1可以基于初始检查的结果生成第一命令信号和/或第一数据包信息信号。第一命令信号可以指示数据包的安全级的第一估计。第一估计可以是四个以上描述的安全级中的一个安全级。第一数据包信息信号可以包括如以上描述的数据包信息和/或指示接口总线118和/或总线控制模块132是否应当检查数据包。数据包信息可以包括源和目的地址、协议ID、数据包长度、数据包描述符等。初始检查可以包括丢弃或者转发数据包。数据包在被转发时向入口解析模块116-2提供。
[0103]在304，入口解析模块116-2可以基于在安全高速缓存模块150中存储的信息、第一命令信号和/或第一数据包信息信号执行第二数据包检查并且生成第二命令信号。第二数据包检查可以包括丢弃或者转发数据包。该数据包在被转发时可以向第一接收模块116-3和/或向接口总线118提供。入口解析模块116-2可以基于第二数据包检查的结果生成第二命令信号和/或第二数据包信息信号。该第二命令信号可以指示数据包的安全级的第二估计。该第二估计可以是四个以上描述的安全级中的一个安全级并且可以基于第一估计。第二数据包信息信号可以包括如以上描述的数据包信息和/或指示接口总线118和/或总线控制模块132是否应当检查数据包。
[0104]在305，RegEx模块116_1确定数据包是否具有不安全模式和/或属于安全数据流(例如在SCM150的表中具有对应“允许”条目)。如果数据包没有不安全模式和/或数据包属于安全数据流，则略去数据包的本地化检查并且可以执行任务314以让数据包安全转发。本地化检查可以在数据包属于未知数据流和/或由RegEx模块116-1和/或SCM150设置成进一步检查时来执行。如果数据包具有不安全(或者危险)模式、数据包的对应SCM条目指示数据包不安全和/或不属于安全数据流，则可以执行任务306以让数据包通过隧道传输至中央控制模块或者丢弃。
[0105]在306，第一接收模块116-3可以在总线存储器130和/或PHY存储器106中存储数据包和其它信息。该其它信息可以包括数据包描述符、第一和第二命令信号和/或第一和第二数据包信息信号。
[0106]在308,接口总线118基于第一命令信号、第二命令信号、第一数据包信息信号和/或第二数据包信息信号执行数据包的第三检查。总线控制模块132和/或总线RegEx模块134可以执行第三数据包检查。第三数据包检查可以使用一个或者多个TCAM来执行。总线控制模块132可以基于数据包的第三检查的结果来生成第三命令信号和第三数据包信息信号。
[0107]第三命令信号可以指示数据包的安全级的第三估计。第三估计可以是四个以上描述的安全级中的一个安全级并且可以基于第一估计和/或第二估计。作为生成第三估计的备选或者附加，安全级模块180可以生成安全级信号。该安全级信号可以基于第一命令信号、第二命令信号和第三命令信号生成。第三数据包信息信号可以包括如以上描述的数据包信息和/或指示中央控制模块36或者62是否应当检查数据包。中央控制模块36、62可以在接口总线118和/或总线控制模块132不能确定是否:丢弃数据包；或者从PHY模块PHY1 (第一 PHY模块)向另一(第二)PHY模块(例如PHY模块J或者向与PHY设备100分离的网络设备转发数据包时指示检查数据包。
[0108]在302、304和308执行的检查可以周期性地、随机地、在接收预定数目的数据包之后、在接收预定数目的字节之后、在接收预定数目的有效和/或无效数据包之后和/或在预定时间间隔来执行。可以执行在302、304和308描述的检查中的一个或者多个检查而可以不执行其它检查。在任务302、304和308中的每个任务可以检查接收的数据包中的一些或者所有数据包。另外，在302、304和308之一检查的数据包可以在任务302、304和308中的其它任务中的一个或者多个任务不被检查。
[0109]在310，在向中央控制模块36、62、第二 PHY设备和/或与PHY设备100分离的网络设备转发时可以将数据包存储于接收FIFO模块116-4中。在312，然后可以向第一发送模块116-5提供数据包和其它信息。该其它信息可以例如包括以上描述的第一、第二和/或第三命令信号、安全级信号和/或其它数据包信息。在314，第一发送模块116-5确定是否向第二 PHY模块和/或向与PHY设备100分离的网络设备转发数据包。这一确定可以基于在312提供的第三命令信号、安全级信号和/或其它信息。任务316可以在转发数据包时执行，否则可以执行任务315。
[0110]数据包可以如以下描述的在316转发并且如关于任务322描述的那样向中央控制模块发送用于进一步检查。当数据包既在316转发又在322检查时，数据包可能重复，因为向多个目的(例如原有目的和中央控制模块)提供数据包。
[0111]在315，第一发送模块116-5确定是否将由中央控制模块36、62进一步检查数据包。这一确定可以基于在312提供的第三命令信号、安全级信号和/或其它信息。任务322可以在将进一步检查数据包时执行，否则可以执行任务330。
[0112]在316，可以从第一 PHY模块PHY1向预计和/或原先选择的目的转发数据包。入口数据包可以例如从网络14向接入设备112、聚合交换机26、38之一、交换卡20、32之一和/或中央网络设备60转发。出口数据包可以例如从接入设备112、聚合交换机26、38之一、交换卡20、32之一和/或中央网络设备60向网络14转发。该方法可以结束于320。
[0113]在322，可以经由网络接口 108向中央控制模块36、62用隧道传输数据包。可以向数据包(第一数据包)添加具有PHY设备100的MAC地址的MAC首部以形成第二数据包。该第二数据包经由网络接口 108向中央控制模块36、62转发。在324，中央控制模块36、62可以执行数据包的第四数据包检查。中央控制模块36、62可以周期性地、随机地、在接收预定数目的数据包之后、在接收预定数目的字节之后、在接收预定数目的有效和/或无效数据包之后和/或在预定时间间隔执行检查。该数据包可以独立于PHY设备100确定的安全级向中央控制模块36、62转发。
[0114]在326，中央控制模块36、62指令第一 PHY模块PHY1丢弃和/或不转发与第一数据包相似的数据包。该方法可以在执行任务326之后结束于320。任务330在丢弃数据包时执行，否则执行任务316。
[0115]在330，从PHY设备100的总线存储器130、PHY存储器106和/或其它存储器、模块和/或设备删除数据包。这可以包括从一个或者多个PHY模块以及对应存储器、模块和设备删除数据包。该方法可以在任务330之后结束于320。
[0116]以上描述的任务用于作为示例；该任务根据应用可以依次、同步、同时、连续、在重叠时间段期间或者按照不同页序执行。另外，该任务中的任何任务可以根据实现方式和/或事件序列执行或者略去。
[0117]除了以上描述的特征之外，本文公开的实现方式在接入网络的边缘提供经由多个PHY模块执行的数据包检查。这允许数据包的检查向多个PHY模块分发并且随着接收数据包执行以及在接收数据包的速率执行。这将检查过程从中央控制模块向多个PHY设备内的多个设备和/或模块进行分流。
[0118]前文描述在性质上仅为示例并且绝非旨在于限制公开内容、它的应用或者使用。本公开内容的广义教导可以用多种形式实施。因此，尽管本公开内容包括具体示例，但是不应这样限制公开内容的真实范围，因为其它修改将在研读附图、说明书和所附权利要求书时变得清楚。为了清楚，相同标号将在附图中用来标识相似元件。如本文所用，短语A、B和C中的至少一个应当解释意味着使用非排斥逻辑OR的逻辑(A或者B或者C)。应当理解方法内的一个或者多个步骤可以按照不同顺序(或者并行)执行而不改变本公开内容的原理。
[0119]虽然本文术语第一、第二、第三等可以用来描述各种设备、模块、信号、元件和/或部件，但是这些项目不应受这些术语限制。这些术语可以仅用来区分一个项目与另一项目。术语、比如“第一”、“第二”和其它数值术语在本文使用时除非上下文清楚地指示否则不意味着序列或者顺序。因此，以下讨论的第一项目可以称为第二项目而不脱离示例实现方式的教导。
[0120]此外，在以下描述中公开各种可变标注和可变值。该可变标注和可变值仅提供为示例。该可变标注任意地提供，并且可以各自用来标识或者指代不同项目。例如可变标注η可以用来指代多个模块或者多个设备。该可变值也任意地提供并且该值可以按照应用而变化。[0121]如本文所用，术语模块可以指代以下各项、是以下各项的部分或者包括以下各项:专用集成电路(ASIC);电子电路；组合逻辑电路；现场可编程门阵列(FPGA);执行代码的处理器(共享、专用或者组)；提供所描述的功能的其它适当硬件部件；或者比如在片上系统中的以上各项中的一些或者全部的组合。术语模块可以包括存储由处理器执行的代码的存储器(共享、专用或者组)。
[0122]术语代码如以上所用可以包括软件、固件和/或微代码并且可以是指程序、例程、函数、类和/或对象。术语共享如以上所用意味着可以使用单个(共享)处理器来执行来自多个模块的一些或者所有代码。此外，单个(共享)存储器可以存储来自多个模块的一些或者所有代码。术语组如以上所用意味着可以使用处理器组来执行来自单个模块的一些或者所有代码。此外，可以使用存储器组来存储来自单个模块的一些或者所有代码。
[0123]本文描述的装置和方法可以由一个或者多个处理器执行的一个或者多个计算机程序实施。计算机程序包括存储于非瞬态有形计算机可读介质上的处理器可执行指令。计算机程序也可以包括存储的数据。非瞬态有形计算机可读介质的非限制示例为非易失性存储器、磁存储装置和光存储装置。
[0124]本公开内容的各种实施例可以在数字电子电路装置中或者在计算机硬件、固件、软件中或者在其组合中实施。本公开内容的实施例可以在计算机可读存储设备中有形地体现的计算机程序产品中实施以用于由可编程处理器执行。描述的过程可以由可编程处理器执行，该可编程处理器执行指令程序以通过对输入数据进行操作并且生成输出来执行功能。本公开内容的实施例可以在可编程系统上可执行的一个或者多个计算机程序中实施，该可编程系统包括至少一个可编程处理器、至少一个输入设备和至少一个输出设备，该至少一个可编程处理器被耦合用于从数据存储系统接收数据和指令并且向数据存储系统传输数据和指令。每个计算机程序可以在高级过程或者面向对象编程语言中或者如果希望则在汇编或者机器语言中实施；并且在任何情况下，语言可以是编译或者解译语言。适当处理器举例而言包括通用和专用微处理器二者。一般而言，处理器从只读存储器和/或随机存取存储器接收指令和数据。一般而言，计算机包括用于存储数据文件的一个或者多个海量存储设备。这样的设备包括磁盘、比如内部硬盘和可移除盘；光磁盘；光盘；以及固态盘。适合用于有形地体现计算机程序指令和数据的存储设备包括所有形式的非易失性存储器，这些非易失性存储器举例而言包括半导体存储器设备、比如EPROM、EEPROM和闪存设备；磁盘、比如内部硬盘和可移除盘；光磁盘；以及⑶-ROM盘。前述各项中的任一项可以由ASIC (专用集成电路)补充或者并入于ASIC中。
[0125]已经描述多个实现方式。然而可以进行各种修改而不脱离公开内容的范围。因而，其它实现方式在以下权利要求的范围内。
【权利要求】
1.一种装置，包括: 连接器，其中所述连接器包括: i)插口，其中所述插口包括: a)多个电端子，以及 b)电耦合到所述多个电端子的磁部件；以及 ii)物理层设备，其中所述物理层设备包括: a)物理层模块，其中所述物理层模块包括: 被配置用于从所述插口接收数据包的接口，以及 被配置用于检查所述数据包的接口总线，以及 b)网络接口，所述网络接口被配置用于基于通过所述接口总线对所述数据包的所述检查向与所述物理层设备分离的设备提供所述数据包。
2.根据权利要求1所述的装置，还包括: 线路面板，其中所述线路面板包括: 布置于所述线路面板上的底板连接器，以及 所述连接器中的至少一个连接器，其中所述连接器中的每个连接器布置于所述线路面板上，并且其中所述连接器中的每个连接器的所述网络接口由相应通信电缆耦合到所述底板连接器。
3.根据权利要求2所述的装置，其中所述线路面板包括以下各项中的至少一项: 插线面板；以及 金属板。
4.根据权利要求1所述的装置，其中所述连接器还包括以太网供电(PoE)电路，所述PoE电路被配置用于: 通过电源线接收功率；以及 向所述插口提供功率以用于通过所述插口的所述电端子传输。
5.根据权利要求1所述的装置，其中所述连接器还包括DC到DC转换器，所述DC到DC转换器被配置用于: 通过电源线接收单个DC电压； 基于所述单个DC电压生成多个不同DC电压；以及 向所述物理层设备提供所述多个不同DC电压。
6.根据权利要求1所述的装置，其中所述连接器还包括: 集成电路，其中 所述集成电路包括所述物理层设备；以及 印刷电路板，其中所述集成电路布置于所述印刷电路板上。
7.根据权利要求1所述的装置，其中所述物理层设备还包括: 存储器；以及 存储器控制模块，被配置用于控制对所述存储器的访问； 其中所述物理层模块被配置用于经由所述存储器控制模块在所述存储器中存储所述数据包；以及 其中所述接口总线包括控制模块和正则表达式模块中的至少一个模块，其中所述控制模块和所述正则表达式模块中的所述至少一个模块被配置用于检查所述数据包以确定所述数据包的安全级。
8.根据权利要求7所述的装置，其中: 在第一系统级封装中实施所述物理层设备； 在第二系统级封装中实施所述存储器；并且 堆叠所述第一系统级封装和所述第二系统级封装。
9.根据权利要求7所述的装置，其中所述控制模块和所述正则表达式模块中的所述至少一个模块被配置用于确定所述数据包中的每个数据包的所述安全级为以下各项之一: 有效； 将经由所述控制模块和所述正则表达式模块中的所述至少一个模块进一步检查的数据包； 将向中央控制模块用隧道传输的用于进一步检查的数据包，其中所述中央控制模块与所述物理层设备分离；以及无效。
10.根据权利要求9所述的装置，其中: 具有有效安全级的所述数据包中的每个数据包被从所述物理层设备向与所述物理层模块分离的所述设备转发；并且 具有无效安全级的所述数据包中的每个数据包被丢弃。
11.根据权利要求7所述的装置，其中: 与所述物理层设备分离的所述设备是交换卡的聚合交换机；并且 所述物理层模块与所述交换卡通信。
12.根据权利要求7所述的装置，其中: 所述网络接口被配置用于向中央控制模块提供所述数据包中的选择的数据包； 所述中央控制模块与所述物理层设备分离；并且 所述网络接口被配置用于基于通过所述中央控制模块执行的对所述数据包中的所述选择的数据包的所述检查来转发除了所述数据包中的所述选择的数据包之外的数据包。
13.根据权利要求7所述的装置，其中: 所述物理层模块是第一物理层模块； 所述物理层设备还包括第二物理层模块；并且 所述第二物理层模块与所述第一物理层模块共享所述存储器。
14.根据权利要求7所述的装置，其中所述物理层模块还包括: 被配置用于检查所述数据包以生成第一命令信号的第一模块； 被配置用于检查所述数据包以生成第二命令信号的第二模块， 其中所述控制模块和所述 规则表达式模块中的所述至少一个模块被配置用于检查所述数据包并且生成第三命令信号；以及 安全级模块，被配置用于基于所述第一命令信号、所述第二命令信号以及所述第三命令信号来生成安全级信号， 其中所述网络接口基于所述安全级信号向与所述物理层设备分离的所述设备提供所述数据包。
15.根据权利要求7所述的装置，其中:所述物理层模块包括多个模块； 所述多个模块中的每个模块被配置用于检查所述数据包并且生成多个安全级估计；安全级模块，被配置用于基于所述多个安全级估计来生成安全级信号；并且基于所述安全级信号，所述网络接口被配置用于向与所述物理层设备分离的所述设备提供所述数据包。
16.根据权利要求7所述的装置，其中: 所述网络接口被配置用于向中央控制模块提供所述数据包中的选择的数据包以用于检查； 所述中央控制模块与所述物理层设备分离；并且 所述物理层模块被配置用于基于在所述中央控制模块处执行的所述检查从所述中央控制模块接收指令信号并且基于所述指令信号转发除了所述数据包中的所述选择的数据包之外的数据包。
17.一种接入机架，包括: 多个根据权利要求2所述的线路面板；以及 至少一个交换卡，被配置用于在所述线路面板之间提供交换机连接。
18.根据权利要 求17所述的接入机架，其中: 所述至少一个交换卡包括中央控制模块； 所述物理层模块的入口模块和出口模块之一被配置用于确定所述数据包中的选择的数据包是否将由所述中央控制模块来检查；并且 所述中央控制模块被配置用于基于对所述数据包中的所述选择的数据包是否将由所述中央控制模块来检查的所述确定来检查所述数据包中的所述选择的数据包。
19.根据权利要求18所述的接入机架，其中: 所述中央控制模块被配置用于生成指令信号，所述指令信号指示是丢弃还是转发具有与所述数据包中的所述选择的数据包相似的格式的数据包；并且 基于所述指令信号，所述物理层设备被配置用于丢弃或者转发具有与所述数据包中的所述选择的数据包相似的格式的所述数据包。
20.根据权利要求1所述的接入机架，还包括: 单个印刷电路板；以及 聚合交换机，其中所述聚合交换机布置于所述单个印刷电路板上； 其中所述连接器布置于所述单个印刷电路板上；并且 其中所述网络接口与所述聚合交换机通信。
【文档编号】H04L12/935GK103988478SQ201280060794
【公开日】2014年8月13日 申请日期:2012年10月10日 优先权日:2011年10月10日
【发明者】M·怀特 申请人:马维尔国际贸易有限公司