一种基于VPN网关的电原理设计与实现

1．引言
PowerPC MPC8xx（Power QUICC[1]，Quad Integrated Communications Controller）是一款集成了微处理器和外围器件控制器的通信处理器，可以用于多种通信设备中。PowerPC有优异的通信和网络性能，同基于x86 CPU的工控机平台相比，PowerPC更适合用于专门的网络设备，可以提高产品的性价比和可靠性，使产品具有更强的竞争力。
在PowerPC MPC8xx系列中，根据设计要求，选择性价比较高的MPC855T作为VPN安全网关的控制器。MPC855T由三个模块组成，每一个模块使用32-bit的内部总线：PowerPC核、系统接口单元（SIU）和通信处理模块（CPM）。
2．VPN网关电原理设计
2.1 总体结构
500)this.style.width=500;" border="0" />

硬件由主板、加密算法板、LCD显示板、灯板、电源、风扇、机壳组成。其中主板和加密算法板的设计，占整个硬件设计任务量的90％以上，本论文只针对这两个板的设计。
主板由CPU部分、存储器部分、通信接口部分、加密算法及随机序列产生模块部分、调试及配置接口部分、电源等部分组成。主板的电原理框图由图1所示。
2.2  复位电路
复位控制器对出现的复位源作出响应。所采取的动作决定于复位源，但通常它执行异常处理向量表中0x100位置的程序并初始化基于MODCK[1-2]和总线管脚0到14的特殊参数。
MPC855T有几个复位源连接到复位逻辑，其中3个复位源为管脚。即上电复位（Power-On Reset），硬复位（Hard Reset），软复位（Soft Reset）。上电时产生硬和软复位管脚设置，这时硬和软复位管脚为输出。但是，当系统已上电并运行时，可以配置按钮或相似设备以产生外部软或硬复位，在这种模式，管脚为输入。图2为上电复位和硬复位顺序图。
500)this.style.width=500;" border="0" />

由图2可知，当上电（Power-On）设置时，MPC855T进入上电复位状态。在该状态下设置硬复位和软复位。随后，855T采样MODCK管脚，并初始化系统时钟。设备保持在上电复位状态直到上电复位翻转，锁相环（PLL）锁定。最后，芯片进入内部初始化的硬复位状态。
2.3 时钟电路
MPC855T时钟模块包含主晶体振荡器（OCSM）、系统锁相环（SPLL）、低功耗除法器和时钟产生/驱动模块，在复位时，MPC855T读MODCK[1-2]管脚。
500)this.style.width=500;" border="0" />

在XTAL和EXTAL端，外接32.768kHz的晶体时钟电路作为CPU的实时时钟源。在断电的瞬间，要求PORESET保持高电平，否则会引起CPU进入不定状态，其内部的实时时钟不能正常工作。通过实验，在复位芯片MAX811_EUS-T的电源端接一47µF的电解电容，以使在断电瞬间，保持PORESET为高电平。经反复测试，工作可靠。在XFC管脚上，应连接一片外电容器，用于片内系统锁相环（SPLL）滤波器。电容器的一端连到XFC。电容器的值与PLPRCR[MF]有关，其取值由表1决定。在本设计中，MF＋1＝8。由表1可知，XFC的电容值为6640－11760pF，故使用0.01µF的电容器。
2.4 串行管理控制器（SMC）接口电路
SMC有2个全双工通道，可以编程配置它们独立支持UART,透明方式和GCI。SMC使用缓存描述字符，缓存在存储器中，SMC向CPM RISC提供请求，使SDMA传送数据。每个SMC有3个管脚，一个发送管脚，一个接收管脚步和一个同步管脚，同步管脚在发送和接收开始后，只用于透明方式。图3说明了端口B中这些管脚的位置。有的管脚可以共用，必须根据需要配置这个端口，它可以通过端口配置寄存器实现。
根据设计要求，将SMC1和SMC2配置成UART，外接232电平转换芯片MAX3232，其中SMC1用于控制台（Console）接口，由DB9座（针或孔可选）引出；SMC2分时用于前面板LCD显示控制和与IC卡读写器（可选）的通信，通过模拟开关74HCT4053进行切换,其控制由口线PB[30]完成。
500)this.style.width=500;" border="0" />

2.5 串行通信控制器（SCC）接口电路
串行通信控制是MPC855T中最强大的通信设备，它可以以多种不同的协议传送数据，比如UART HDLC，以太网等等。图4说明在不考虑使用什么协议下的数据通信工作流程。
在接收数据的FIFO中，当接收FIFO开始充满时，CPM向SCC发请求。然后请求CPM RISC写SDMA，以将接收的FIFO数据移到当前接收缓存，接收缓存通常在外部存储器。有一个为发送数据的发送FIFO，当发送FIFO空时，SCC向请求优先器发一个请求，CPM RISC响应这个请求后，写SDMA，将从当前激活的发送缓存来的操作码移入发送FIFO。发送缓存描述符与接收缓存描述符功能相同，在双端口RAM中有一组发送缓存描述符，开始的描述符逐个激活，指针从一个描述符移向另一个描述符。缓存描述符总是在双端口RAM中，由用户初始化。图5为SCC管脚，SCC连接5个管脚：发送、接收、载波检测、清发送和请求发送。
500)this.style.width=500;" border="0" />

根据设计要求，将SCC配置成以太网模式。MPC855T以太网控制器必须通过收发器连接到以太网络，在设计中选用了AC101TF[2] 10/100以太网收发器。图6为其基本元件和需要连接到MPC855T的管脚，其中HST-005S为隔离变压器。当855T发送数据时，设置接到RTS的发送允许管脚，同样地，当收发器接收数据时，设置接收允许（RENA）线然后置位855T的CD。最后，收发器上有一个冲突管脚，驱动控制器上的CTS就可以响应冲突。如果RENA和/或CLSN出现，激活载波检测。
500)this.style.width=500;" border="0" />

2．6 快速以太网控制器(FEC)接口电路
10/100Mbps快速以太网控制器集成了FIFO可以独立地实现突发模式的DMA传输，因此，在不影响CPM性能条件下，可获得高性能的快速以太网接口。图7为FEC方框图。快速以太网控制器FEC，嵌入式PowerPC核，系统接口单元SIU，通信处理模块CPM都使用32-bit的内部总线。
根据设计要求，VPN网关工作在10Mbps以太网环境中，为了保证其两个以太网口的工作平衡，把FEC配置成10Mbps工作模式，使用7线串行模式与外部的以太网收发器连接，仍然选用AC101TF为外部收发器，其线路连接与图7类似。
2．7 存储器电路
MPC855T的存储器控制器可用来控制8个块。它可以连接SRAM、EPROM、Flash EPROM、同步DRAM及其他外置设备而无须附加逻辑电路，它还支持地址总线复用，定时清除计时器，以及产生行及列的地址选择波形。
500)this.style.width=500;" border="0" />

如图8所示，通用目的片选机构设计成SRAM、EPROM、Flash EPROM和其他外设的接口。用户可编程机构UPM允许接到多种存储器设备，同GPCM一样，用户可编程机构产生一个片选，但一个已经编程为波形，或用于一个DRAM块的RAS，每一个UPM的4个字节选择都同样编程为波形，变成DRAM块的CAS，UPMA有4个字节选择，UPMB有4个字节选择。另外，有6个通用目的线，它可以编程为所需的在一个时钟周期内波形，这些通用目的线，特别适合于支持一些新的存储器技术，如同步DRAM，用户可编程机构产生TA，事实上，在这种机构中有可以外部提供TA。
2．8 加密模块的接口和设计
为了使用不同的硬件加密算法，将加密模块设计成子板的结构，在主板上设计了两个双排孔座，各有50个引脚。主要信号有32根数据线D[31:0]、16 根地址线A[29:14]、读写R/W、输出使能OE、中断请求IRQ4、片选CS3、同步时钟S_CLK以及突发模式传输控制线TS、BURST、TA、BDIP、TEA、＋5V电源和地线。按这样设计的接口，可以很方便地与多种硬件加密算法芯片做成的加密模块相连接，如国密办批准的SSF10B及国外的网络安全协处理器。
为了测试和满足不同用户的需求，设计了两款加密模块。（1）SSF10：其32-bit数据宽度版本为SSF10B。SSF10算法为分组密码算法，支持ECB、CBC、CFB和OFB工作模式。要求工作平台的CPU能对PWC、PWD、PRC、PRD信号产生等待周期。/PRD的有效时间应大于PCLK的时钟周期T。（2）三重DES：为了与采用IPSec协议和Triple DES算法的VPN客户端互通，设计了一款硬件Triple DES加密模块，其算法用VHDL语言写成，并由FPGA完成运算。FPGA选用Altera公司的EP1K30[3]芯片，该芯片有30000个逻辑门电路，可以满足Triple DES的需要。
3  VPN网关的实现
这部分的主要工作是将原有x86平台上的应用软件移植到MPC855T平台上，作为一个VPN网关，应具备两大功能：（1）路由功能：安全加密路由平台介于局域网与边界路由器之间，应具备一定的路由转发功能。（2）IPSec协议族功能：具备IPSec协议标准描述的所有功能。
3．1 系统总体框架和工作模式
系统总体框架由5个部分组成：（1）硬件层：基于mpc855t平台，提供软件运行环境。（2）Linux内核：嵌入式Linux/ppc-2.4.4。将IPSec实现和防火墙支持编译到内核中。（3）系统服务和工具。（4）管理控制台界面。（5）升级服务。
由于本设计使用DOC或Flash Memory作为存储介质，文件系统工作方式宜用Ram Disk方式。在此方式下，系统工作时根文件系统在ram disk上，系统异常掉电不会对真正的文件系统造成破坏。但因为所有的配置信息都在SDRAM中，掉电将会丢失所有配置信息，因此需要以后台进程定期检查配置文件的变动情况，将有变动的文件及时写回DOC/Flash中。
3.2 IPSec实现中的硬件加密算法
在本文设计的VPN安全网关中，加密算法的安全、高效，是VPN网关安全性和有效性的重要保证。为此在设计中，采用了一种硬件加密模块[4]的方式，使得VPN网关可以在硬件上使用不同的加密算法。在默认配置中，使用国密办批准的分组加密算法芯片SSF10。为了使用硬件加密模块，需要在Linux内核的IPSec实现中添加和修改相应的代码，下面对其简单说明。
因IPSec实现在内核中的特殊位置，并且MPC855T的主频较低（80MHz），采用访问设备驱动文件的方式访问硬件SSF10加密模块会造成速率大幅降低，因此，我们采用I/O直接访问硬件SSF10芯片，这样需将模块驱动中的操作分散到IPSec实现的相关部分，替换原来的软件加密算法。同理，可以使用硬件DES/3DES、硬件AES[5]算法和其他的国密办批准的算法，用硬件实现数据加密。对IPSec的一个实现freeswan算法部分进行修改，使其可以实现硬件算法。完成修改后，使用内核make menuconfig命令，选中Networking options->[*]IPSEC:Use SSF10......，重新编译即可使用SSF10硬件算法模块。
4 结束语
创新点:开发由VPN安全网关、VPN客户端和VPN安全管理中心三部份组成的VPN安全系统。为保证公网上传输数据的安全，设计开发一款VPN安全网关，用于构建上述的VPN安全系统。同PowerPC MPC8xx一样，MPC82xx也是一款集成了微处理器和外围器件控制器的通信处理器，可以用于多种通信设备中。但是MPC82xx具有更高的操作速度：系统内核微处理器支持100-333MHz的处理速度，并具有更强大的网络处理能力，支持3个快速通信控制器（FCCs），4个串行通信控制器（SCCs），2个多通道控制器（MCCs），适合用于100Mbps以太网环境中的网络设备。