一種基于VPN網關的電原理設計與實現

根據設計要求，將SCC配置成以太網模式。MPC855T以太網控制器必須通過收發器連接到以太網絡，在設計中選用了AC101TF[2] 10/100以太網收發器。圖6為其基本元件和需要連接到MPC855T的管腳，其中HST-005S為隔離變壓器。當855T發送數據時，設置接到RTS的發送允許管腳，同樣地，當收發器接收數據時，設置接收允許（RENA）線然后置位855T的CD。最后，收發器上有一個沖突管腳，驅動控制器上的CTS就可以響應沖突。如果RENA和/或CLSN出現，激活載波檢測。

2．6 快速以太網控制器(FEC)接口電路
10/100Mbps快速以太網控制器集成了FIFO可以獨立地實現突發模式的DMA傳輸，因此，在不影響CPM性能條件下，可獲得高性能的快速以太網接口。圖7為FEC方框圖?？焖僖蕴W控制器FEC，嵌入式PowerPC核，系統接口單元SIU，通信處理模塊CPM都使用32-bit的內部總線。
根據設計要求，VPN網關工作在10Mbps以太網環境中，為了保證其兩個以太網口的工作平衡，把FEC配置成10Mbps工作模式，使用7線串行模式與外部的以太網收發器連接，仍然選用AC101TF為外部收發器，其線路連接與圖7類似。
2．7 存儲器電路
MPC855T的存儲器控制器可用來控制8個塊。它可以連接SRAM、EPROM、Flash EPROM、同步DRAM及其他外置設備而無須附加邏輯電路，它還支持地址總線復用，定時清除計時器，以及產生行及列的地址選擇波形。

如圖8所示，通用目的片選機構設計成SRAM、EPROM、Flash EPROM和其他外設的接口。用戶可編程機構UPM允許接到多種存儲器設備，同GPCM一樣，用戶可編程機構產生一個片選，但一個已經編程為波形，或用于一個DRAM塊的RAS，每一個UPM的4個字節選擇都同樣編程為波形，變成DRAM塊的CAS，UPMA有4個字節選擇，UPMB有4個字節選擇。另外，有6個通用目的線，它可以編程為所需的在一個時鐘周期內波形，這些通用目的線，特別適合于支持一些新的存儲器技術，如同步DRAM，用戶可編程機構產生TA，事實上，在這種機構中有可以外部提供TA。
2．8 加密模塊的接口和設計
為了使用不同的硬件加密算法，將加密模塊設計成子板的結構，在主板上設計了兩個雙排孔座，各有50個引腳。主要信號有32根數據線D[31:0]、16 根地址線A[29:14]、讀寫R/W、輸出使能OE、中斷請求IRQ4、片選CS3、同步時鐘S_CLK以及突發模式傳輸控制線TS、BURST、TA、BDIP、TEA、＋5V電源和地線。按這樣設計的接口，可以很方便地與多種硬件加密算法芯片做成的加密模塊相連接，如國密辦批準的SSF10B及國外的網絡安全協處理器。
為了測試和滿足不同用戶的需求，設計了兩款加密模塊。（1）SSF10：其32-bit數據寬度版本為SSF10B。SSF10算法為分組密碼算法，支持ECB、CBC、CFB和OFB工作模式。要求工作平臺的CPU能對PWC、PWD、PRC、PRD信號產生等待周期。/PRD的有效時間應大于PCLK的時鐘周期T。（2）三重DES：為了與采用IPSec協議和Triple DES算法的VPN客戶端互通，設計了一款硬件Triple DES加密模塊，其算法用VHDL語言寫成，并由FPGA完成運算。FPGA選用Altera公司的EP1K30[3]芯片，該芯片有30000個邏輯門電路，可以滿足Triple DES的需要。
3 VPN網關的實現
這部分的主要工作是將原有x86平臺上的應用軟件移植到MPC855T平臺上，作為一個VPN網關，應具備兩大功能：（1）路由功能：安全加密路由平臺介于局域網與邊界路由器之間，應具備一定的路由轉發功能。（2）IPSec協議族功能：具備IPSec協議標準描述的所有功能。
3．1 系統總體框架和工作模式
系統總體框架由5個部分組成：（1）硬件層：基于mpc855t平臺，提供軟件運行環境。（2）Linux內核：嵌入式Linux/ppc-2.4.4。將IPSec實現和防火墻支持編譯到內核中。（3）系統服務和工具。（4）管理控制臺界面。（5）升級服務。
由于本設計使用DOC或Flash Memory作為存儲介質，文件系統工作方式宜用Ram Disk方式。在此方式下，系統工作時根文件系統在ram disk上，系統異常掉電不會對真正的文件系統造成破壞。但因為所有的配置信息都在SDRAM中，掉電將會丟失所有配置信息，因此需要以后臺進程定期檢查配置文件的變動情況，將有變動的文件及時寫回DOC/Flash中。
3.2 IPSec實現中的硬件加密算法
在本文設計的VPN安全網關中，加密算法的安全、高效，是VPN網關安全性和有效性的重要保證。為此在設計中，采用了一種硬件加密模塊[4]的方式，使得VPN網關可以在硬件上使用不同的加密算法。在默認配置中，使用國密辦批準的分組加密算法芯片SSF10。為了使用硬件加密模塊，需要在Linux內核的IPSec實現中添加和修改相應的代碼，下面對其簡單說明。
因IPSec實現在內核中的特殊位置，并且MPC855T的主頻較低（80MHz），采用訪問設備驅動文件的方式訪問硬件SSF10加密模塊會造成速率大幅降低，因此，我們采用I/O直接訪問硬件SSF10芯片，這樣需將模塊驅動中的操作分散到IPSec實現的相關部分，替換原來的軟件加密算法。同理，可以使用硬件DES/3DES、硬件AES[5]算法和其他的國密辦批準的算法，用硬件實現數據加密。對IPSec的一個實現freeswan算法部分進行修改，使其可以實現硬件算法。完成修改后，使用內核make menuconfig命令，選中Networking options->[*]IPSEC:Use SSF10......，重新編譯即可使用SSF10硬件算法模塊。
4 結束語
創新點:開發由VPN安全網關、VPN客戶端和VPN安全管理中心三部份組成的VPN安全系統。為保證公網上傳輸數據的安全，設計開發一款VPN安全網關，用于構建上述的VPN安全系統。同PowerPC MPC8xx一樣，MPC82xx也是一款集成了微處理器和外圍器件控制器的通信處理器，可以用于多種通信設備中。但是MPC82xx具有更高的操作速度：系統內核微處理器支持100-333MHz的處理速度，并具有更強大的網絡處理能力，支持3個快速通信控制器（FCCs），4個串行通信控制器（SCCs），2個多通道控制器（MCCs），適合用于100Mbps以太網環境中的網絡設備。