具有中间介质访问控制安全设备的端到端流量控制的制作方法

1.至少一个实施例涉及用于执行和促进网络通信的处理资源。例如，至少一个实施例涉及用于具有中间介质访问控制安全(macsec)设备的端到端流量控制的技术。


背景技术：

2.网络设备(例如，交换机、路由器、集线器、端点等)执行流量控制(也称为软件流量控制)以协调网络分组(例如，数据分组、流量控制分组等)的传输和接收。有时，接收网络设备不能以传输的速度处理网络分组并且因此将网络分组缓冲在缓冲区中，例如，内存(例如，高速缓存或)其他非易失性存储器。当缓冲区几乎满时，接收网络设备发送传输关闭代码(例如，xoff)，以告诉传输网络设备停止发送分组。当带宽释放时(例如，缓冲区足够清除)，接收网络设备发送传输开启代码(例如，xon)以告诉传输网络设备重新开始发送分组。缓冲区有助于减少网络通信中的中断(例如，由于接收网络设备出现瓶颈，所以停止和开始传输分组)，并且因此随着网络速度的增加，许多网络设备包括越来越大的缓冲区。然而，大的缓冲区使网络设备更大且更昂贵。
附图说明
3.将参考附图描述根据本公开的各个实施例，其中：
4.图1a是根据至少一些实施例的包括一对通信网络设备的网络的网络图，所述一对通信网络设备用相应对的介质访问控制安全(macsec)设备增强，所有这些设备包括用于流量控制的缓冲区；
5.图1b是根据至少一些实施例的包括一对通信网络设备的网络的网络图，所述一对通信网络设备用相应对的macsec设备增强，其中从macsec设备消除缓冲区；
6.图2是根据至少一些实施例的示出了macsec功能的一组网络分组图；
7.图3是根据至少一些实施例的网络设备的框图；
8.图4是根据至少一些实施例的macsec设备的框图；以及
9.图5是根据至少一些实施例的用于从端到端网络路径内的控制流量中消除macsec的方法的流程图。
具体实施方式
10.如上所述，用于快速网络中的流量控制的大缓冲区增加了网络设备的大小和成本。介质访问控制安全(macsec)能力(例如，以电路、集成芯片(ic)和设备的形式)已经被添加到许多网络设备(或电路)以便在不同类型的网络中提供端到端网络安全。例如，macsec是在介质访问控制层操作并且为介质访问独立协议定义数据机密性和完整性的网络安全标准。因此，macsec可以提供以太网链路(在本文中通常称为网络链路)上的点对点安全，并且由电气和电子工程师协会(ieee)标准802.11ae定义。进一步，macsec可与其他安全协议(诸如互联网协议安全(ipsec)和安全套接层(ssl))结合使用，以提供该端到端网络安全。
11.在至少一些实施例中，macsec可以识别和防止大多数安全威胁，包括拒绝服务、入侵、中间人、伪装、被动窃听和回放攻击。为此，macsec为几乎所有流量保证以太网链路的安全，包括来自链路层发现协议(lldp)、链路聚合控制协议(lacp)、动态主机配置协议(dhcp)、地址解析协议(arp)以及由于其他安全解决方案的限制而在以太网链路上通常不保证的其他协议的帧。因此，期望macsec电路随着物联网(iot)和其他网络启用设备的扩展而继续增长。macsec的主要使用情况之一是保护具有多个机器的局域网(lan)，特别是保护通过层2lan网络上的以太网的流量。为了在交换机和连接的端点(例如pc客户端、iot设备等)之间实现macsec功能，设备可以使用称为macsec密钥协议(ieee 802.1x-2010)的标准化协商协议。
12.虽然macsec电路可以集成在网络设备内(例如，耦接至网络设备内的网络电路)，但保持macsec电路与网络设备分离存在优点。例如，macsec电路是专用的，可被有效地单独制造为ic或macsec设备，并且一些传统网络设备可能已经不包括macsec电路。在这些实施例中，macsec电路或设备(在下文中一般称为“设备”)可以耦接在网络设备与网络连接源或其他网络设备之间。因此，每个macsec设备为macsec设备耦接到的网络设备提供端到端的安全性，并且不需要重新设计或重新制造网络设备以包括macsec电路。
13.在单独的ic或设备中采用macsec电路的一个挑战是处理流量控制。在至少一些实施例中，为了使每个macsec设备(或电路)适当地执行流量控制，macsec设备需要单独的缓冲区，以便在其他网络分组被认证、完整性检查和可选地加密或解密时缓冲(例如，临时存储)一些网络分组。如前所述，这些缓冲区变得更大，例如，在每信道的数百千字节(kb)的范围内。因此，例如，如果存在多个(例如，八个)信道，那么用于给定网络设备的缓冲区将需要大于100兆字节(mb)。随着网络速度继续增加并且需要更多的带宽，期望这些缓冲区在大小上变成几百兆字节或更大。这意味着极大地扩展了部署为对网络设备的安全增强的macsec设备的硬件占用空间和成本。进一步，即使macsec电路以某种方式集成在网络设备内，macsec电路也将需要缓冲区，无论是单独的缓冲区还是属于网络设备的缓冲区的使用，继续扩展网络设备中(或关于网络设备)的缓冲区占用空间。
14.本公开的各方面和实施例通过使网络设备能够向已由网络设备(例如，根据ieee 802.3协议)在传输的网络分组之间添加的分组间间隙(ipg)添加额外的分组间间隙来解决这些和其他挑战。添加额外的ipg可为网络链路内的macsec功能腾出空间，同时保持传输无损，例如，不丢失分组和不暂停传输。在一些实施例中，该额外的ipg可在24和32字节之间，原因将被讨论，尽管根据macsec标准的未来设想了ipg的不同数量。
15.根据进一步的方面和实施例，本公开还讨论了在macsec设备(或电路)内包括旁路流量控制(fc)电路，该fc电路适用于检测通过输入接口从第一网络设备接收的传入分组中的fc分组并且将该fc分组被动地传递至该macsec设备的输出接口。fc分组的这种传递可以在第一网络设备与第二网络设备之间直接实现端到端的流量控制，macsec设备通信地耦接在第一网络设备与第二网络设备之间。换言之，macsec设备不需要对fc分组进行动作，而只是检测fc分组并且将fc分组传递至预期目的地网络设备，该预期目的地网络设备然后将转而对fc分组进行动作。
16.本公开的多个方面和实施例可以在如何实现fc分组传递方面有所不同。在至少一个实施例中，旁路fc电路在不改变fc分组的情况下将fc分组转发到输出接口。在另一个实
施例中，fc电路将fc电路作为数据分组传递通过macsec电路，macsec电路可以认证数据分组并且可选地加密或解密fc分组。以这种方式，流量控制继续在网络设备之间起作用，而无需每个macsec设备所需的缓冲区的显著开销成本。进一步，避免macsec设备处的流量控制提高了网络速度，有效地避免了网络路径中每个macsec电路或设备处的另一fc瓶颈。这些改进提供了硬件、成本和网络速度的显著节省，所有这些都促成更有效和高效的端到端网络设计。
17.图1a是根据至少一些实施例的网络100a的网络图，该网络100a包括一对通信网络设备，其用相应对的macsec设备增强，所有这些设备都包括用于流量控制的缓冲区。更具体地，网络100a包括耦接至第一macsec设备110a的第一网络设备102，第一macsec设备110a又耦接至第二macsec设备120a，第二macsec设备120a耦接至第二网络设备130。通信可以在第一网络设备102与第二网络设备130之间在两个方向上流动，其中第一macsec设备110a和第二macsec设备120a是用于保护第一网络设备102与第二网络设备130之间的通信的安全的中间网络设备。网络100a可以还包括第一macsec设备110a和第二macsec设备120a之间的网络链路105(无论是有线的还是无线的)，在一些实施例中，网络链路105可以跨越相对大的距离。网络链路105通常可以用双绞线电缆或光纤电缆来实现。
18.在这些实施例中，第一网络设备102包括端口104、流量控制(fc)电路106以及缓冲区108。端口104可以是通过网络100a与第一macsec设备110a通信的输出端口。fc电路106可适于发送具有fc分组的fc代码以便与连接的网络设备通信，在该实施例中，连接的网络设备是第一macsec设备110a。当第一网络设备102正在从第一macsec设备110a接收分组时，fc电路106可以根据fc协议使接收到的网络分组在缓冲区108中被缓冲。在一些实施例中，fc协议是指软件流量控制。在其他实施例中，fc协议是ieee 802.3x标准或802.1qbb标准中定义的基于优先级的流量控制中的一个。
19.进一步地，第二网络设备130包括端口134、流量控制(fc)电路136和缓冲区138。端口134可以是通过网络100a与第二macsec设备120a通信的输出端口。fc电路136可适于发送具有fc分组的fc代码以便与连接的网络设备通信，在该实施例中，连接的网络设备是第二macsec设备120a。当第二网络设备130正在从第二macsec设备120a接收分组时，fc电路136可以根据fc协议使接收的网络分组在缓冲区138中缓冲。
20.在这些实施例中，第一macsec设备110a包括fc电路116a、缓冲区118和macsec电路112a。fc电路116a和缓冲区118可以类似于已经参考网络设备102说明的fc电路106和缓冲区108运行。此外，第二macsec设备120a包括fc电路126a、缓冲区128和macsec电路122a。fc电路126a和缓冲区128可与已参考网络设备102说明的fc电路106和缓冲区108类似地起作用。如先前所讨论的，在不得不采用越来越大的缓冲区时，第一macsec设备110a和第二macsec设备120a执行流量控制和缓冲网络分组存在缺点。
21.在至少一些实施例中，第一macsec设备110a的macsec电路112a在通过网络链路105将经加密的网络分组发送至第二macsec设备120a之前，可以进一步对从第一网络设备102接收的网络分组进行认证和可选地进行加密。第二macsec设备120a的macsec电路122a可以在将安全网络分组发送至第二网络设备130之前对从第一macsec设备110a接收的网络分组进行认证和可选地解密。类似地，如果第二网络设备130正响应或者正向第一网络设备102发送其自身的网络分组，则第二macsec设备120a的macsec电路122a可以执行网络分组
的加密，而第一macsec设备110a的macsec电路112a可以在向第一网络设备102发送安全网络分组之前执行网络分组的解密。
22.图1b是根据至少一些实施例的网络100b的网络图，该网络100b包括一对通信网络设备，其使用相应对的macsec设备增强，其中从macsec设备消除了缓冲区。在这些至少一些实施例中，例如，网络100b包括如图1a中的第一网络设备102和第二网络设备130，但是现在包括第一macsec设备110b和第二macsec设备120b，其分别消除了缓冲区118和128。在一个实施例中，第一网络设备102与第一macsec设备110b组合以生成第一启用macsec的网络设备101a，并且第二网络设备130与第二macsec设备120b(或系统)组合以生成第二启用macsec的网络设备101b(或系统)。在各个实施例中，第一macsec设备110b现在不包括缓冲区118，并且替代地包括旁路fc电路116b和macsec电路112b。进一步，第二macsec设备120b现在不包括缓冲区128，但是包括旁路fc电路126b和macsec电路122b。
23.在这些实施例中，假设第一网络设备102充当传输网络设备(尽管第二网络设备130在通信回第一网络设备102时也可以进行传输)。第一网络设备102在传输时可能已经根据ieee 802.3协议添加分组间间隙(ipg)，例如，可适配的12字节间隙。该标准ipg可通过提供分组长度的一些灵活性来实现基于以太网的网络中的速率自适应、时钟容差和高服务质量。然而，还可期望macsec电路向网络分组添加额外数量字节的ipg(例如，24字节和32字节之间)，以便提供安全标签(通常为16字节)和完整性检查向量(icv)(8字节或16字节)，如参考图2更详细地示出和讨论的。虽然以举例的方式使用额外的24字节或32字节，但可针对不同通信协议或对macsec协议的潜在未来变化来添加其他数量字节的ipg，例如，在12字节与56字节之间。
24.因此，在至少一些实施例中，为了便于绕过由第一macsec电路112b对流量控制的执行，第一网络设备102可添加额外的ipg，例如，取决于由macsec电路添加的icv的长度而在24与32字节之间。这将使得第一macsec电路112b能够执行网络分组的安全相关处理而不需要缓冲网络分组，并且通过网络链路105将安全网络分组传输到第二macsec设备120b。第二macsec设备120b在将网络分组传输至第一macsec设备110b时，可以这样做。将参考图3更详细地讨论第一网络设备102和第二网络设备130的示例。
25.进一步地，举例来讲，第一旁路fc电路116b可以跳过流量控制，例如，不根据流量控制(例如，fc协议)处理fc分组。例如，第一旁路fc电路116可以适于检测从第一网络设备102接收的传入分组中的fc分组，并将该fc分组被动地传递至macsec设备的输出，例如传递至第二macsec设备。fc分组的这种传递可以直接在第一网络设备102与第二网络设备130之间实现端到端流量控制(由虚线示出)，第一macsec设备110b通信地耦接在第一网络设备102与第二网络设备130之间。换言之，第一macsec设备110b不需要对fc分组进行动作，而仅检测fc分组并且将fc分组传递至期望的目的地网络设备，例如，该示例中的第二网络设备130。第二macsec设备120b可以类似地对经由第一macsec设备110b从第二网络设备130传输到第一网络设备102的网络分组进行动作。将参考图4更详细地讨论第一macsec设备110b和第二macsec设备120b的示例。
26.在至少一些实施例中，来自第一macsec设备110b(或电路)的传出分组将通过第二macsec设备120b(或电路)被发送至第二网络设备130(或电路)。在这些实施例中，第一网络设备102(或电路)的fc电路106在接收到从第二网络设备130(或电路)返回的数据分组和第
二fc分组时，将估计数据分组和第二fc分组的端到端延迟，该端到端延迟还确定通过第一macsec设备110b和第二macsec设备120b的延迟。举例来讲，如果网络链路105是光纤，则这个延迟是基于光缆的长度和光穿过光纤的速度。因此，根据延迟(或时间)和带宽，第一网络设备102可确定需要多少缓冲区。例如，在每秒100千兆位(gpbs)的1微秒(μs)延迟将需要略大于100kbit的缓冲区空间。fc电路106然后可以在缓冲区108中提供该量的计算出的缓冲空间以在例如接收时对数据分组和第二fc分组执行流量控制。
27.图2是根据至少一些实施例的示出了macsec功能的一组网络分组图。顶部的一组网络图示出了第一网络分组205的有效载荷中的虚拟局域网(vlan)标签。在第一网络分组205下面示出的第二网络分组210可包括在macsec电路已处理第一网络分组205之后的经认证数据、加密数据和标签数据。底部的一组网络图示出了vlan标签位于网络分组内的明文中，但是在其他方面类似于第一网络分组205和第二网络分组210。
28.在至少一些实施例中，经认证数据的一部分包括16字节的安全标签(sectag)，并且标签数据是16字节的完整性检查向量(icv)，在一些实施例中，icv的大小也可以是8字节。安全标签可实现网络分组的认证，而icv可实现网络分组的完整性检查，其可通过接收macsec电路来检查，以确保分组的数据在穿越网络链路105时不被损坏。如果数据完整性检查检测到关于接收到的网络分组的任何不规则情况，则可以丢弃该网络分组。以这种方式，对网络分组的macsec处理可以将分组的大小增加24字节(16b+8b)和32字节(16b+16b)之间。
29.每个网络分组一旦被处理就还包括加密数据，如所说明的。加密可确保以太网帧中的数据不被监控网络链路105上的网络流量的另一设备查看。该加密是可选的，因为macsec电路可以被启用以确保执行数据完整性检查，同时仍然通过受macsec保护的网络链路105以明文方式发送未加密的数据。
30.图3是根据至少一些实施例的网络设备302的框图。在这些实施例中，网络设备302包括一个或更多个端口、入口接口303、缓冲区308、fc电路306和出口接口313。在一个实施例中，网络设备302是图1b中示出的第一网络设备102或第二网络设备130中的任一个。在一些实施例中，网络设备302包括比所示的组件更多的组件。在一个实施例中，网络设备302是专用集成电路(asic)或其他可编程设备。
31.在至少一些实施例中，该一个或更多个端口304包括用于传入网络通信的至少一个输入端口和用于传出网络通信的至少一个输出端口。输入端口可耦接至入口接口303，入口接口303可解析和引导传入的网络分组。输出端口可耦接至出口接口313以将传出网络分组引导至合适的目的地。如前所述，当传入网络分组以超出网络设备302在解析、处理和路由分组至适当目的地方面可处理的速率到达时，网络设备302可将分组临时存储在缓冲区308中。一旦缓冲区308几乎满了，fc电路306就可以发送传输关闭代码(例如，xoff)给传输网络设备以停止传输，同时网络设备302处理缓冲的网络分组。一旦缓冲区308清空(或几乎清空)，fc电路就可向传输网络设备发送传输开启代码(例如，xon)以恢复传输，并再次在缓冲区308中缓冲传入的网络分组。
32.在至少一些实施例中，fc电路306包括ipg添加器312，该ipg添加器312不仅可以添加标准ieee 802.3ipg，而且可以添加24至32字节的额外ipg以解决macsec电路将添加的额外安全标签和icv标签，如参照图2所讨论的。在至少一个其他实施例中，fc电路306包括出
口整形器314以降低离开网络设备302的网络分组的传输速率，而不是添加额外的ipg。例如，代替在100千兆字节(gb)传输，出口整形器314可使网络设备302在90gb传输。速率的变化可取决于网络分组的大小，但通常将根据最小的分组来确定。因此，出口整形器314的使用在分组在大小上相对类似的情况下是实际上可行的，例如，大小上最小的分组与大小上最大的分组相比不是那么小。以这种方式，fc电路306在分组之间添加额外间隙(例如，ipg)或修改传输速率以考虑由macsec电路添加的额外字节。
33.图4是根据至少一些实施例的macsec设备410的框图。在一些实施例中，macsec设备410是图1b的第一macsec设备110b或第二macsec设备120b中的任一个。在一些实施例中，macsec设备410是集成在网络设备(诸如图3的网络设备302)内的macsec电路(诸如ic)。
34.在至少一些实施例中，macsec设备410包括输入接口404、旁路fc电路416、macsec电路412和输出接口413。输入接口404可以耦接到传入网络链路401，macsec设备410通过该传入网络链路401接收包括例如由网络设备302添加的额外ipg的网络分组。输入接口404还耦接到旁路fc电路416。fc电路416可耦接到旁路fc电路可向其传递fc分组的至少两个不同路径，数据分组路径405或旁路路径425。一旦fc分组旁路流量控制，fc分组可经由输出接口413(例如，通过传出网络链路421)传输至目的地网络设备。
35.更具体地，在至少一些实施例中，旁路fc电路412耦接在输入接口404与macsec电路412之间并且还耦接在输入接口404与输出接口413之间。旁路fc电路416可被配置为检测传入传输分组中的fc分组，并且将fc分组被动地传递至输出接口413，以直接在例如第一网络电路102和第二网络电路130之间实现端到端的流量控制。fc分组可以是停止发送数据的命令、恢复发送数据的命令、或与基于信用的流量控制相关联的信用中的一个，诸如在流量控制的自动柜员机(atm)网络、虚拟电路(vc)缓冲区等中使用的。
36.在至少一些实施例中，旁路fc电路416解析fc分组以识别fc分组并且将fc分组被动地传递至输出接口413，例如，不对所解析的fc分组执行流量控制。在一个实施例中，旁路fc电路416将fc分组直接地转发到旁路路径425上的输出接口。在另一个实施例中，旁路fc电路416将fc分组作为数据分组传递至macsec电路412。在该实施例中，macsec电路412可以对fc分组执行认证、完整性检查和可选的加密或解密，fc分组因此被视为任何其他数据分组。
37.在至少一些实施例中，macsec电路412包括macsec加密器414、macsec解密器418、一组计数器422和重放保护器424，所有这些都可以是硬件。在一个实施例中，macsec加密器414和macsec解密器418被组合到单个加密/解密引擎中。出于完整性检查的目的，macsec加密器414和macsec解密器418可以用于生成icv标签，并且重放保护器424可以添加至安全标签(参考图2讨论)以便提供重放保护。macsec加密器414可以在将安全fc分组发送至输出接口413之前可选地对fc分组进行加密。如果fc分组已经被加密，则macsec解密器418可以解密安全fc分组以生成未加密的分组。如前所述，加密或解密是可选的。因此，macsec电路412可以加密或解密fc分组以在fc分组的第一网络电路和第二网络电路之间提供点对点加密。macsec电路412可以包括额外的组件和功能，但是出于解释的目的以简单的形式示出。
38.图5是根据至少一些实施例的用于从端到端网络路径内的控制流消除macsec的方法500的流程图。方法500可由包括硬件、软件、固件或其任意组合的处理逻辑来执行。在至少一个实施例中，通过图1的macsec设备110b或图4的macsec设备410执行方法500。在至少
一个实施例中，方法500由图3的macsec电路412和/或旁路fc电路316执行。
39.在操作510处，处理逻辑经由介质访问控制安全(macsec)设备的输入接口从第一网络设备接收传入分组。在一些实施例中，第一网络设备在传入分组之间添加额外的分组间间隙，其中每个额外的分组间间隙在24和32字节之间，并且第一网络设备向macsec设备传输其中传入分组包括数据分组、fc分组以及在每个数据分组和fc分组之间的多个分组间间隙的数据流。
40.在操作520处，处理逻辑解析传入分组以识别传入分组的类型。在操作530，处理逻辑检测已被解析的传入分组内的fc分组。例如，fc分组可以包含停止发送数据的代码或命令、恢复发送数据的命令、或与基于信用的流量控制相关联的信用。
41.在操作540，处理逻辑将fc分组被动地传递至macsec设备的输出接口，以直接在第一网络设备和与输出接口耦接的第二网络设备之间实现端到端流量控制。在一个实施例中，为了将fc分组被动地传递至macsec设备的输出接口，处理逻辑将fc分组直接地转发到耦接在旁路fc电路和输出接口之间的旁路路径上的输出接口。在另一个实施例中，为了将fc分组被动地传递至macsec设备的输出接口，处理逻辑将fc分组作为数据分组传递至macsec电路。macsec电路然后可以像处理任何其他分组一样处理fc分组以生成安全fc分组进行传输。
42.其他变化是在本公开的精神之内。因此，虽然所公开的技术易受不同修改和替代构造的影响，但是其某些所示实施例在附图中示出并且在上文已经详细描述。然而，应当理解，并不旨在将本公开限于所公开的一种或多种具体形式，而是相反，旨在覆盖落入如所附权利要求所限定的本公开的精神和范围内的所有修改、替代构造和等同物。
43.在描述所公开的实施例的上下文中(尤其是在以下权利要求的上下文中)，术语“一个”和“一种”以及“该”以及类似指示物的使用应被解释为涵盖单数和复数两者，除非在此另外指示或与上下文明显矛盾，并且不是作为术语的定义。除非另外指出，否则术语“包含”、“具有”、“包括”和“含有”应被解释为开放式术语(意味着“包括但不限于”)。当未修改并且指代物理连接时，“连接”应被解释为部分地或完全地包含在、附接至或连接在一起，即使存在介入物。除非本文中另外指示，否则本文中对值范围的陈述仅意欲用作个别地指代落入所述范围内的每一单独值的速记方法，且每一单独值如同其在本文中个别陈述一样并入到说明书中。在至少一个实施例中，除非另外指明或上下文矛盾，否则术语“集合”(例如，“项目集合”)或“子集”的使用将被解释为包括一个或更多个成员的非空集合。此外，除非另有说明或与上下文矛盾，否则对应集合的“子集”术语不一定表示对应集合的合适子集，但是子集和对应集合可以相等。
44.除非另外确切地陈述或另外与上下文明显矛盾，否则连接语言(如“a、b和c中的至少一个”或“a、b和c中的至少一个”形式的短语)另外与上下文一起被理解为一般用于呈现项目、术语等可以是a或b或c、或a和b和c的集合的任何非空子集。例如，在具有三个成员的集合的示例性实例中，连接短语“a、b以及c中的至少一个”以及“a、b以及c中的至少一个”指以下集合中的任一个：{a}、{b}、{c}、{a、b}、{a、c}、{b、c}、{a、b、c}。因此，这种连接语言一般不旨在暗示某些实施例要求各自存在a中的至少一个、b中的至少一个以及c中的至少一个。此外，除非上下文另有说明或矛盾，否则术语“多个”表示为多个的状态(例如，“多个项”表示多个项)。在至少一个实施例中，多个中的项的数目是至少两个，但是当显式地或通过
上下文这样指示时可以更多。此外，除非另外陈述或另外从上下文清楚，否则短语“基于”是指“至少部分地基于”而不是“单独地基于”。
45.在此描述的过程的操作可以按任何适合的顺序执行，除非在此另外指示或另外与上下文明显矛盾。在至少一个实施例中，诸如本文中描述的那些过程(或其变型和/或组合)的过程在配置有可执行指令的一个或更多个计算机系统的控制下执行，并且通过硬件或其组合实施为在一个或更多个处理器上共同执行的代码(例如，可执行指令、一个或更多个计算机程序或一个或更多个应用)。在至少一个实施例中，代码例如以包括可由一个或更多个处理器执行的多个指令的计算机程序的形式存储在计算机可读存储介质上。在至少一个实施例中，计算机可读存储介质是非暂态计算机可读存储介质，该非暂态计算机可读存储介质不包括瞬态信号(例如，传播瞬态电或电磁传输)但包括瞬态信号的收发器内的非暂态数据存储电路(例如，缓冲区、高速缓存和队列)。在至少一个实施例中，代码(例如，可执行代码或源代码)存储在具有存储在其上的可执行指令的一个或更多个非暂态计算机可读存储介质的集合(或用于存储可执行指令的其他存储器)上，所述可执行指令当由计算机系统的一个或更多个处理器执行(即，作为被执行的结果)时使计算机系统执行本文中所描述的操作。在至少一个实施例中，一组非暂态计算机可读存储介质包括多个非暂态计算机可读存储介质，并且多个非暂态计算机可读存储介质中的单独的非暂态存储介质中的一个或更多个缺少所有代码，而多个非暂态计算机可读存储介质共同地存储所有代码。在至少一个实施例中，可执行指令被执行，使得不同的指令被不同的处理器执行。
46.因此，在至少一个实施例中，计算机系统被配置为实施一个或更多个服务，该一个或更多个服务单独地或共同地执行在此描述的过程的操作，并且这样的计算机系统配置有能够执行操作的可应用的硬件和/或软件。进一步，实现本公开的至少一个实施例的计算机系统是单个设备，并且在另一个实施例中，是分布式计算机系统，其包括不同地操作的多个设备，使得分布式计算机系统执行本文描述的操作，并且使得单个设备不执行所有操作。
47.使用在此提供的任何和所有示例或示例性语言(例如，“诸如”)仅旨在更好地阐明本公开的实施例并且不对本公开的范围造成限制，除非另外要求。说明书中的语言不应被解释为指示任何未要求保护的元件对本公开的实践是必不可少的。
48.在此引用的所有参考文献(包括出版物、专利申请以及专利)通过引用结合在此，其程度如同每个参考文献被单独地并且特别地指明通过引用结合在此，并且以其全文在此列出。
49.在说明书和权利要求书中，可以使用术语“耦接”和“连接”及其派生词。应当理解，这些术语并不旨在作为彼此的同义词。相反，在具体示例中，“连接”或“耦接”可以用于指示两个或更多个元件彼此直接或间接物理或电接触。“耦接”还可以意味着两个或更多个元件彼此不直接接触，但仍彼此合作或交互。
50.除非另外确切地陈述，否则应当理解的是，贯穿说明书，术语如“处理”、“计算(computing)”、“计算(calculating)”、“确定”或类似术语是指计算机或计算系统或类似电子计算设备的动作和/或过程，该动作和/或过程将表示为计算系统的寄存器和/或存储器内的物理(如电子)量的数据操纵和/或转换为类似地表示为计算系统的存储器、寄存器或其他此类信息存储、传输或显示设备内的物理量的其他数据。
51.以类似的方式，术语“处理器”可以指处理来自寄存器和/或存储器的电子数据并
且将该电子数据转换成可以存储在寄存器和/或存储器中的其他电子数据的任何设备或设备的一部分。作为非限制性示例，“处理器”可以是网络设备或macsec设备。“计算平台”可以包括一个或更多个处理器。如本文所使用的，“软件”过程可包括例如随时间执行工作的软件和/或硬件实体，诸如任务、线程和智能代理。而且，每个过程可以指用于顺序地或并行地、连续地或间歇地执行指令的多个过程。在至少一个实施例中，术语“系统”和“方法”在此可互换地使用，只要该系统可以体现一种或多种方法并且方法可以被认为是系统。
52.在本文件中，可以参考获得、获取、接收或输入模拟或数字数据到子系统、计算机系统或计算机实现的机器中。在至少一个实施例中，获得、获取、接收或输入模拟和数字数据的过程可以以各种方式完成，诸如通过接收数据作为函数调用或对应用编程接口的调用的参数。在至少一个实施例中，获得、获取、接收或输入模拟或数字数据的过程可以通过经由串行或并行接口传送数据来完成。在至少一个实施例中，获得、获取、接收或输入模拟或数字数据的过程可通过经由计算机网络从提供实体向获取实体传送数据来完成。在至少一个实施例中，还可参考提供、输出、传送、发送或呈现模拟或数字数据。在不同示例中，提供、输出、传送、发送或呈现模拟或数字数据的过程可以通过传送数据作为函数调用的输入或输出参数、应用编程接口或进程间通信机制的参数来实现。
53.尽管本文中的描述阐述了所描述的技术的示例实施例，但其他架构可以用于实现所描述的功能，并且旨在处于本公开的范围内。此外，尽管出于描述的目的可在上文定义职责的特定分布，但可根据环境以不同方式分布和划分不同功能和职责。
54.此外，尽管已经用结构特征和/或方法动作专用的语言描述了本主题，但可以理解，所附权利要求书中所要求保护的主题不必限于所述具体特征或动作。相反，特定特征和动作被公开为实现权利要求的示例性形式。
55.基于以下条款，可以描述本公开的至少一个实施例：
56.1.一种装置，包括：
57.输入接口，用于从第一网络设备接收传入分组；
58.输出接口，用于向第二网络设备发送传出分组；
59.介质访问控制安全macsec电路，其耦接在所述输入接口与所述输出接口之间；以及
60.旁路流量控制fc电路，其耦接在所述输入接口与所述macsec电路之间，其中所述旁路fc电路用于检测所述传入分组中的fc分组，并且用于将所述fc分组被动地传递至所述输出接口以直接在所述第一网络设备与所述第二网络设备之间实现端到端流量控制。
61.2.根据条款1所述的装置，还包括旁路路径，其耦接在所述旁路fc电路与所述输出接口之间，其中为了将所述fc分组被动地传递至所述输出接口，所述旁路fc电路用于将所述fc分组直接地转发至所述旁路路径上的所述输出接口。
62.3.根据条款1所述的装置，其中为了将所述fc分组被动地传递至所述输出接口，所述旁路fc电路用于将所述fc分组作为数据分组传递至所述macsec电路。
63.4.根据条款3所述的装置，其中所述macsec电路用于对所述fc分组进行加密或解密中的一种，以在所述第一网络设备与所述第二网络设备之间提供所述fc分组的点对点加密。
64.5.根据条款1所述的装置，其中为了检测所述fc分组，所述旁路fc电路用于解析所
述fc分组以识别所述fc分组，并且为了将所述fc分组被动地传递至所述输出接口，所述旁路fc电路不对所解析的fc分组执行流量控制。
65.6.根据条款1所述的装置，其中所述fc分组是停止发送数据的命令、恢复发送数据的命令、或与基于信用的流量控制相关联的信用中的一个。
66.7.一种系统，包括：
67.第一网络电路，用于在传输分组之间添加额外的分组间间隙；以及
68.介质访问控制安全macsec电路，其与所述第一网络电路耦接，其中所述macsec电路包括：
69.输入接口，用于从所述第一网络电路接收所述传输分组；
70.输出接口，用于向第二网络电路发送传出分组；
71.macsec电路，其耦接在所述输入接口与所述输出接口之间；以及
72.旁路流量控制fc电路，其耦接在所述输入接口与所述macsec电路之间，其中所述旁路fc电路用于检测所述传输分组中的fc分组，并且用于将所述fc分组被动地传递至所述输出接口，以直接在所述第一网络电路与所述第二网络电路之间实现端到端流量控制。
73.8.根据条款7所述的系统，其中所述第一网络电路包括：缓冲区，用于临时存储所述传输分组；以及fc电路，用于对所述传输分组执行流量控制。
74.9.根据条款7所述的系统，其中所述额外的分组间间隙在12字节与56字节之间。
75.10.根据条款7所述的系统，其中所述macsec电路还包括旁路路径，其耦接在所述旁路fc电路与所述输出接口之间，其中为了将所述fc分组被动地传递至所述输出接口，所述旁路fc电路用于将所述fc分组直接地转发至所述旁路路径上的所述输出接口。
76.11.根据条款7所述的系统，其中为了将所述fc分组被动地传递至所述输出接口，所述旁路fc电路将所述fc分组作为数据分组传递至所述macsec电路。
77.12.根据条款11所述的系统，其中所述macsec电路用于对所述fc分组进行加密或解密中的一种，以在所述第一网络电路和所述第二网络电路之间提供所述fc分组的点对点加密。
78.13.根据条款7所述的系统，其中为了检测所述fc分组，所述旁路fc电路用于解析所述fc分组以识别所述fc分组，并且为了将所述fc分组被动地传递至所述输出接口，所述旁路fc电路不对所解析的fc分组执行流量控制。
79.14.根据条款7所述的系统，其中所述fc分组是停止发送数据的命令、恢复发送数据的命令、或与基于信用的流量控制相关联的信用中的一个。
80.15.根据条款7所述的系统，其中所述传出分组将通过第二macsec电路被发送至所述第二网络电路，并且其中所述第一网络电路包括fc电路，所述fc电路用于在接收到从所述第二网络电路返回的数据分组和第二fc分组时：
81.估计所述数据分组和所述第二fc分组的端到端延迟，所述端到端延迟还确定通过所述macsec电路和所述第二macsec电路的延迟；以及
82.提供一定量的缓冲空间，以便在接收时对所述数据分组和所述第二fc分组执行流量控制。
83.16.一种方法，包括：
84.由介质访问控制安全macsec设备的输入接口接收从第一网络设备接收的传入分
组；
85.由所述macsec设备解析所述传入分组以识别所述传入分组的类型；
86.由耦接在所述输入接口与所述macsec设备的macsec电路之间的旁路流量控制fc电路检测所述传入分组中的fc分组；以及
87.由所述旁路fc电路将所述fc分组被动地传递至所述macsec设备的输出接口，以直接在所述第一网络设备和与所述输出接口耦接的第二网络设备之间实现端到端流量控制。
88.17.根据条款16所述的方法，还包括：
89.由所述第一网络设备在所述传入分组之间添加额外的分组间间隙，其中每个额外的分组间间隙在24和32字节之间；以及
90.向所述macsec设备传输数据流，在所述数据流中所述传入分组包括数据分组、所述fc分组以及在所述数据分组中每一个和所述fc分组之间的多个分组间间隙。
91.18.根据条款16所述的方法，其中将所述fc分组被动地传递至所述macsec设备的所述输出接口包括：将所述fc分组直接地转发至耦接在所述旁路fc电路与所述输出接口之间的旁路路径上的所述输出接口。
92.19.根据条款16所述的方法，其中将所述fc分组被动地传递至所述macsec设备的所述输出接口包括：将所述fc分组作为数据分组传递至所述macsec电路。
93.20.根据条款19所述的方法，还包括使用所述macsec电路对所述fc分组进行加密或解密中的一个。