基于FPGA的网络数据监控系统设计.docVIP

基于FPGA的网络数据监控系统设计 　　摘 要 为了实现对网络数据内容的实时监控，设计了一套基于Virtex-5系列FPGA的网络数据内容监控系统。该系统通过FPGA内部的PCI-E硬核和MAC的IP核实现PCI-E与网络接口通信，并在FPGA内部实现网络数据内容检测功能。给出具体的硬件电路设计。 　　关键词 FPGA；网络通信；数据监控 　　中图分类号：TP277 文献标识码：A 文章编号：1671-7597（2013）20-0040-02 　　随着网络技术的发展，几乎每台电脑都可以通过网络连接到互联网，进行信息的交互，这样极大的提高了工作的效率，但与此同时，由于互联网的开放性，也会出现信息安全的问题。本文设计一套基于FPGA的网络内容监控系统，对经过系统的网络数据进行实时监控，如果发现涉密内容，立刻关闭网络传输，并通知用户进行核实。 　　系统以XILINX公司的Virtex-5系列FPGA为核心器件，通过网络接口接收外网发送来的网络数据，通过PCI-e接口接收来自计算机发往网络的数据，在FPGA内部应用字符串匹配算法对这些数据进行检测，实时性好，可靠性高，在涉密网络管理中有很广泛的应用前景。 　　1 系统组成原理 　　网络内容监控系统的组成原理如图1所示。 　　图1 网络内容监控系统的组成原理图 　　如图1所示，网络监控系统处在计算机与网络之间，对两者之间传输的数据进行实时监测。网络数据包含两个通路：一是计算机到网络的数据通路，二是从网络传送到计算的数据通路。下面分别介绍这两个数据通路的网络内容监控原理。 　　从计算机发送到网络的数据，经过计算机的PCI-E接口，传输到本系统内部，本系统中利用FPGA自带的PCI-E的IP核与计算机通过PCI-E接口总线进行通信，接收到计算机的网络数据后，FGPA内部将其分为并行的两个分路。一路直接送到FPGA内部的MAC控制模块，通过物理层接口电路直接转换成网络数据，发送到网络；另一路送到检测模块，对数据进行字符串的匹配，检测本帧数据中是否包含涉密关键字符，如果发现立刻关闭FPGA内部的MAC模块，停止网络发送，并通知计算机。 　　2 系统的硬件电路设计 　　2.1 PCI-E接口设计 　　PCI-E接口，全称为PCI Express接口，是一种高速的PCI串行接口，是从原来的PCI和PCI-X总线发展而来的一种新型串行总线，作为高性能的通用互连构架，可用于多种计算机和通信平台，并且可以与PCI和PCI-X总线兼容，采用点对点的串行连接方式，根据接口总线对位宽的要求不同而有所差异，分为PCI Express 1X、2X、4X、8X、16X、32X等多中标准，本文采用PCI Express 1X标准，该标准总线的有效带宽达3Gb/s。该系统的FPGA采用XILINX的Virtex-5系列，该系列FPGA内部提供了标准的PCI-E的硬核，该硬核实现了PCI-E协议的事务层、数据链路层和物理层，以及配置空间的所有功能，因此利用它可以非常方便的实现PCI-E接口。Virtex-5的内PCI-E模块原理图如图2所示。 　　图2 Virtex-5内部PCI-E模块原路图 　　2.2 网路接口设计 　　ISO国际化标准组织对网络进行标准定义，即OSI（Open System Interconnection）七层参考模型，即物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。一般的网卡要实现这七层中的物理层和数据链路层，其他层在计算机内部软件实现。物理层（PHY）是参考模型的最低层，它定义了网络数据接收和发送的电信号、光信号、线路状态、时钟基准、数据编码和电路等的标准，并给数据链路层设备提供标准的接口。目前，有很多厂商的芯片都支持网络物理层的传输，这些芯片称作PHY芯片，本系统采用Intel公司的LXT971A作为PHY芯片。 　　数据链路层则提供寻址机构、数据帧的构建、数据差错检查、传送控制、向网络层提供标准的数据接口等功能，本系统采用的Virtex-5FPGA内部提供了MAC控制器的IP核，通过这个IP核，可以非常方便的实现数据链路层的功能解码，其接口原理图如图3所示。 　　图3 网络接口电路原理图 　　3 试验分析 　　在试验室内搭建了试验平台，对网络内容监控系统进行了试验分析，试验平台如图4所示。 　　图4 试验平台结构图 　　如图4所示，将本文设计的系统插到计算机A的PCI-E插槽中，在计算机A中安装驱动和应用程序软件。同时准备一台计算机B，该计算机具有普通的网路接口。将计算机A和B通过网络连接起来。 　　4 结论 　　本文以Virtex-5系列FPGA为核心，设计了一套网络内容实时监控系统。给出了具体的硬件电路设计，利用FPGA内部的PC