基于自主芯片組建計算機網絡的研究

王星海

（中國電信股份有限公司楚雄分公司，云南 楚雄 675000）

0 引言

計算機網絡設備芯片來源單一，斯諾登事件、芯片禁售事件給我們敲響了警鐘。芯片成為信息安全的重要隱患，是“卡脖子”的問題[5]。現有網絡上的設備構架過于復雜，體積大，功耗高，成本高。只有重新設計網絡設備的芯片構架、簡化網絡，解決以上問題[4]。本文的方案專門應用于政企網絡，非運營商骨干網。

1 解決方案

1.1 相關設備芯片解決方案

現有的網絡設備，是“專用集成電路”構架，我們稱為A型構架，以三層交換機為主導組建網絡。基于自主普通集成電路，來源多，我們稱為B型構架。怎樣重新構建交換機、路由器、防火墻呢？

交換機，是普通、簡單的二層交換機，使用自主成熟的芯片體系，設備結構較為簡單，無需操作系統、配置參數，本文不再論述。

路由器、防火墻，使用成熟的簡潔的芯片系統。使用多個網絡適配器的計算機平臺構建，或使用帶多個網口的嵌入式平臺構建。路由器、防火墻使用相同的芯片結構，設備上安裝不同的操作系統區別功能[1]。設備結構是普通計算機結構，它擁有多個網卡。芯片體系構架如下圖1。

圖1 路由器、防火墻結構圖（Router、Firewall structure）

筆者在中國瑞芯微RK3399芯片的工程機，該芯片基于ARM64構架，開發了路由器、防火墻操作系統實現路由器、防火墻功能。軟件系統由開源技術改良、修改、內核調整形成。

路由器設備支持的功能為：靜態路由；RIP（使用最廣泛的距離向量協議）OSPF（開放式最短路徑優先路由協議）；BGP（邊界網關協議,自治系統間的協議)；VRRP(虛擬冗余路由協議)；telnet、ssh網管；consle配置口。

防火墻設備支持的功能為：網絡地址轉換（NAT）；包過濾功能；pptp服務器；ipsec隧道功能；web網管；速率控制等功能。

1.2 設備軟件開發過程

路由器軟件系統基于開源Linux、Xorp。當然，也可基于其他開源軟件開發。瑞芯微RK3399開發板支持Debian 9 Linux,該軟件可從網上下載[8]，在windows 7系統下，使用軟件physdiskwrite 0.5.4，將Debian9寫入sd卡[9],在開發板上啟動后，SSH登錄。依次執行以下步驟：

重啟后，以用戶admin登錄，執行命令cli,即可對設備進行配置。

防火墻軟件也是以開源Linux、freeBSD為基礎開發。是通過網頁進入，對操作系統的核心進行控制，實現配置。詳細過程，本文不在論述。

1.3 網絡構架

在B型構架的網絡中，采用“B構架路由器+二層交換機”替代現網的三層交換機、路由器。

1.3.1 醫院、校園內網

單位組建內網，用于內部信息化、云計算、大數據等應用[3]，網絡構架如下圖2所示。

圖2 醫院、校園網（Hospital、campus network）

在整個網絡圖中，淘汰了三層交換機。使用了B型構架的路由器[10]、防火墻、普通交換機構建網絡。云計算、大數據中心也是基于路由器、交換機的結構。由防火墻網絡地址轉換(NAT)連接至其他專網或外網[2]。對于稍小的單位，也可組建簡單的星型網絡，本文不再描述。

1.3.2 覆蓋全國的黨政軍、企業、事業單位內網

本解決方案以某大型企業內網為例，詳細描述組網的范例,本范例還適用于覆蓋全國的黨政軍、企事業單位專網。

某大型企業A(以后簡稱A公司),其業務遍布全國各地,其內網也遍布全國各地，內網從企業總部延伸至各省公司、州市公司、縣公司、鄉鎮,使用內網辦理業務，辦公系統應用等。網絡構架如圖3所示。

圖3 廣域網（Wide area neiwork）

網絡由三級構成：核心節點；匯聚節點；邊緣節點。核心節點設備用于連接各省間網絡，在每省配備主備二臺路由器，和臨近的省對接，線路中斷、設備故障，設備自動切換，保障網絡的暢通。匯聚節點用于匯聚省內州市網絡。邊緣節點部署于縣市機構。對于分支節點較多的情況，使用端口匯聚的方式和傳輸設備對接，以降低網絡維護的復雜度。

2 網絡上使用的路由協議

2.1 使用OSPF路由協議

OSPF（Open Shortest Path First開放式最短路徑優先）路由協議，是一種典型的鏈路狀態（Link-state）的路由協議，自治系統（Autonomous System），即AS內的協議，它能在任意組成的網絡構架找到路由，轉發信息。包括網狀網、星型、樹形網等，線路中斷、設備故障，能自動計算路由，恢復網絡暢通。

所有的OSPF路由器都維護一個相同的描述這個AS結構的數據庫，該數據庫中存放的是路由域中相應鏈路的狀態信息，OSPF路由器是通過這個數據庫計算出其OSPF路由表的。作為一種鏈路狀態的路由協議，OSPF將鏈路狀態廣播數據包LSA（Link State Advertisement）傳送給在某一區域內的所有路由器。

2.2 采用Rip協議

RIP（Routing Information Protocols，路由信息協議）是使用最廣泛的距離向量協議，其實現原理還是配置方法，都非常簡單。RIP的版本分為版本2和版本1。

RIP的度量是基于跳數（hops count）的，每經過一臺路由器，路徑的跳數加一。跳數越多，路徑就越長，RIP算法優先選擇跳數少的路徑。RIP支持的最大跳數是15，跳數為16的網絡被認為不可達[6]。

2.3 采用BGP路由協議

BGP(Border Gateway Protocol邊界網關協議)主要用于互聯網AS（自治系統）之間的互聯，是一種在自治系統之間動態交換路由信息的路由協議。而自治系統的經典定義是在一個管理機構控制之下的一組路由器。

2.4 使用靜態路由

靜態路由是指由網絡管理員手工配置的路由信息。當網絡的結構或鏈路狀態發生變化時，網絡管理員需要手工去修改路由信息，網絡方能暢通。復雜的網絡環境通常不宜采用靜態路由。網絡管理員難以全面地了解整個網絡的拓撲結構；當網絡的拓撲結構和鏈路狀態發生變化時，路由器中的路由信息需要大范圍調整，提高了維護難度。

3 測試、驗證、可行性

基于自主芯片的設備經歷以下測試：

（1）時延，單臺設備0.2ms，包大小32字節。

（2）小包丟包率，0%，包大小32字節，發包數1000。

（3）大包丟包率，0%，包大小1024字節，發包數1000。

（4）BC工具大流量、多進程網頁下載測試。

（5）多廠商路由協議對接測試，包括靜態路由rip、OSPF、BGP等。

（6）處理能力，數據轉發能力為最高為10G。

（7）在網運行，生產環境穩定性測試，時間一年。

測試結果，滿足現有內網的網絡需求，可規模化商用。

4 穩定性

穩定性依賴于操作系統的路由協議實現網絡自動倒換，設備故障自動切換。保證生產環境下7*24小時無故障運行。開發商業應用的設備時，增強穩定性，可使用雙電源、延長在網試運行時間、降低設備運行溫度等方法。

5 設備配置

5.1 配置路由器基本步驟

通過計算機串口配置路由器，使用隨機配備的配置線，連接計算機串口和路由器的CONSOLE口，對于windows7電腦，可安裝軟件CRT對設備進行配置。COM口設置為“9600/8/N/1/N”。

連接后，輸入用戶名/密碼“admin/a123456”，進入配置，屏幕提示：

login: admin

Password:

Welcome to Router!

type command “cli” configure router

Welcome to router

鍵入命令“cli”,進入路由器配置。

$ cli

Welcome to router.

查看可執行的命令

admin@H.R > ?

Possible completions:

configure Switch to configuration mode

exit Exit this command session

help Provide help with commands

ping Ping a hostname or IP address

ping6 Ping an IPv6 hostname or IPv6 address

quit Quit this command session

show Display information about the system

traceroute Trace the IP route to a hostname or IP address

traceroute6 Trace the IPv6 route to a hostname or IPv6 address

進入配置模式后，提示符變為“#”

admin@H.R>configure (敲“空格”鍵補齊)

Entering configuration mode.

User admin is also in configuration mode.

[edit]

#set interfaces interface eth0 vif eth0 address 192.168.2.1 prefix-length 24

設置IP地址“192.168.2.1”，掩碼為24位，即：255.255.255.0。

#set protocols static route 192.168.8.0/24 next-hop 192.168.1.6

設置靜態路由，目標地址為“192.168.8.0/24”，下一跳地址為“192.168.1.6”

#set protocols ospf4 area 192.168.2.1

設置OSPF為192.168.2.1區域

#set protocols ospf4 router-id 192.168.2.1

設置OSPF的router-id為192.168.2.1

# commit //使路由器配置生效

# save /r/run.conf //保存配置

admin@H.R# show //查看設備配置。

admin@H.R# show pro //配置時，可采用“空格”鍵,對指令進行補齊。

admin@H.R# show protocols

配置時，可采用“PAGE UP”、“Page Down”鍵上翻、下翻已執行過的指令。

5.2 多廠商設備對接

筆者開發、測試時，路由協議和多種設備對接成功，以下為和H3C路由器對接時的范例，使用的路由協議為OSPF,設備連接如下：

計算機--(eth1)路由器A(eth0)--(eth0/0)H3C路由器B(eth0/1)--計算機

路由器A為B型構架設備，執行的配置指令如下：

set interfaces interface eth1 vif eth1 address 192.168.6.1 prefix-length 24

set interfaces interface eth0 vif eth2 address 192.168.3.2 prefix-length 30

set protocols ospf4 area 0.0.0.0

set protocols ospf4 router-id 192.168.6.1

set protocols ospf4 area 0.0.0.0 interface eth0 vif eth0 address 192.168.3.9

set protocols ospf4 area 0.0.0.0 area-range

192.168.6.0/24

set policy policy-statement a1 term a1 from protocol connected

set protocols ospf4 export a1

路由器B為H3C路由器，配置如下：

interface Ethernet0/0

ip address 192.168.3.1 255.255.255.252

port link-mode route

#

interface Ethernet0/1

ip address 192.168.1.1 255.255.255.0

port link-mode route

#

ospf 100 router-id 192.168.1.1

import-route direct

area 0.0.0.0

network 192.168.3.0 0.0.0.7

6 結語

綜上所述，本文實現了通過軟件匹配、構架調整，搭建基于自主芯片的計算機網絡，它結構簡單、節能、體積小,是唯一不受制約的通信系統，可大幅提高行業信息安全水平，有良好的應用前景。