當(dāng)下任何一臺汽車,你會看到越來越多的網(wǎng)路裝置。當(dāng)然,在車內(nèi)有許多使用網(wǎng)路功能的關(guān)鍵應(yīng)用並不那麼容易被看到,但這並不會降低它們的重要性。在過去十年中,大量增加使用網(wǎng)路協(xié)定的應(yīng)用,使用於電子控制單元(ECU)的數(shù)量也在增長,這些ECU負(fù)責(zé)處理許多特定功能,例如主動車距控制巡航系統(tǒng)、防鎖死煞車系統(tǒng)和中控門鎖功能等等。
增加頻寬的需求與時(shí)俱進(jìn),許多新的網(wǎng)路標(biāo)準(zhǔn)和拓樸架構(gòu)已經(jīng)應(yīng)用在車內(nèi),這導(dǎo)致ECU間通訊出現(xiàn)多種的技術(shù)和標(biāo)準(zhǔn),包括CAN、CAN-FD、FlexRay、LIN、以及MOST,乃至還包括USB和LVDS等其他技術(shù)和標(biāo)準(zhǔn)。
感測器數(shù)據(jù)能夠透過不同的匯流排實(shí)現(xiàn)即時(shí)分享,例如CAN和LIN等主流的方法是透過共享匯流排來運(yùn)作,但是沒有任何設(shè)備之間轉(zhuǎn)發(fā)的機(jī)置。在過去五年中,更多精細(xì)的功能進(jìn)入汽車,例如:先進(jìn)駕駛輔助系統(tǒng)(ADAS)要求更高程度的連接性。數(shù)據(jù)通訊的吞吐量也明顯提高,以降低網(wǎng)路的延遲為目標(biāo),促使人們考量應(yīng)採用何種網(wǎng)路技術(shù)。
這種趨勢與車載訊息娛樂系統(tǒng)、Wi-Fi網(wǎng)路性能的增長以及未來對車與外界通訊(V2X)系統(tǒng)支援不謀而合。乙太網(wǎng)路已順勢成為新型汽車公認(rèn)的車連網(wǎng)協(xié)議,傳統(tǒng)網(wǎng)路協(xié)議很可能還會繼續(xù)使用一段時(shí)間,因此在乙太網(wǎng)路生態(tài)系統(tǒng)中支援這些傳統(tǒng)網(wǎng)路協(xié)議非常重要。
IEEE 1722已經(jīng)定義將傳統(tǒng)通訊(如CAN和LIN)封裝入乙太網(wǎng)路數(shù)據(jù)包中的方法,目的是使乙太網(wǎng)路成為汽車連網(wǎng)主要的技術(shù)。乙太網(wǎng)路在汽車市場之外已有長其可靠的記錄,這些令人印象深刻之資歷,將有助於簡化汽車網(wǎng)路的複雜性。
纜線是汽車內(nèi)成本最高和重量最重的五大元件之一,所以使用同一種通過驗(yàn)證的網(wǎng)路將有助於降低成本和重量。汽車乙太網(wǎng)路標(biāo)準(zhǔn)已經(jīng)定義100Mbps和1Gbps速率,可採用單對非屏蔽銅纜來實(shí)現(xiàn)。
汽車中互聯(lián)網(wǎng)的連接開啟了潛在的網(wǎng)路惡意攻擊面和入侵點(diǎn),因此對於安全性的關(guān)注更為重要,使用乙太網(wǎng)路交換機(jī)提供更多的網(wǎng)路功能分析數(shù)據(jù)流的可能。對於嵌入式開發(fā)人員來說,憑藉有限的計(jì)算能力,對所有傳入數(shù)據(jù)進(jìn)行即時(shí)分析且不增加任何延遲是一項(xiàng)挑戰(zhàn)。採用可定義的規(guī)則來檢查數(shù)據(jù)包用以實(shí)現(xiàn)必要的保護(hù)或附加功能,例如大量新的音訊/視訊應(yīng)用以及臨界時(shí)序敏感的網(wǎng)路需求。
在傳統(tǒng)的乙太網(wǎng)路交換機(jī)中,數(shù)據(jù)包應(yīng)轉(zhuǎn)發(fā)到哪個埠之決定取決於OSI網(wǎng)路模型的第2層(L2),參考圖1。
| 圖1 : OSI模型和數(shù)據(jù)包轉(zhuǎn)發(fā) |
|
在圖1中,如果傳入封包的來源地址(SA)以前沒有記錄,則將其與封包的傳入埠號一起添加到地址表中。如果目標(biāo)地址(DA)已經(jīng)存在於交換機(jī)的查詢表中,則數(shù)據(jù)包會相應(yīng)地轉(zhuǎn)發(fā),否則封包將出現(xiàn)廣播方式。
多年來,管理L2所用協(xié)議之IEEE標(biāo)準(zhǔn)(如802.1 MAC Bridge、VLAN和基於埠的網(wǎng)路存取控制標(biāo)準(zhǔn))都集中在乙太網(wǎng)路封包的前16個字元。這些標(biāo)準(zhǔn)也在不斷發(fā)展,最近增加了包括音訊/視訊廣播(AVB)時(shí)序敏感網(wǎng)路標(biāo)準(zhǔn)(如802.1AS)。特別是,在汽車環(huán)境中對確定性網(wǎng)路之需求正變得越來越急迫,以確保網(wǎng)路中的時(shí)序和確認(rèn)數(shù)據(jù)傳輸。將所有ECU同步在單一主時(shí)鐘來源並保持AV內(nèi)容品質(zhì)正是其中兩個例子,更多進(jìn)階功能在於檢查OSI 三層內(nèi)容,例如IPv4 / IPv6數(shù)據(jù)包優(yōu)先級和IPv4 / IPv6監(jiān)聽。
雖然上述技術(shù)已經(jīng)基本上滿足汽車乙太網(wǎng)路應(yīng)用,但未來卻需要更高的靈活性以即時(shí)「線速」方式檢測數(shù)據(jù)包,實(shí)現(xiàn)進(jìn)階數(shù)據(jù)包歸類、除錯/診斷和安全特性。然而,實(shí)現(xiàn)深度數(shù)據(jù)包檢測(DPI)的可行性必須要同時(shí)權(quán)衡汽車應(yīng)用的有限空間和可用預(yù)算。過去不可能實(shí)現(xiàn)這種線速數(shù)據(jù)歸類,主要是由於需要使用大量密集型計(jì)算裝置,這些需要佔(zhàn)用更多電路板空間並影響物料成本(BoM)。Marvell安全千兆乙太網(wǎng)路交換機(jī)可以透過封裝,DPI引擎來提供這種功能,這是普遍用於企業(yè)網(wǎng)路的方法。
DPI引擎採用了一種名為三元內(nèi)容尋址記憶體(TCAM)的技術(shù)。 TCAM接收封包並以其內(nèi)容與預(yù)先定義的過濾器進(jìn)行比對以找到匹配的事件,基於匹配或不匹配之結(jié)果,DPI引擎可以確定要採取的行動。這種方法用於匹配二進(jìn)制數(shù)據(jù)時(shí)提供了三種的可能性(因此稱為三態(tài)),它的狀態(tài)或每個位元可以被設(shè)定為0,1或「X」忽略。
「忽略」規(guī)則對設(shè)置遮置位元非常有用,可以輕鬆檢查數(shù)值範(fàn)圍。 TCAM透過位於橋器內(nèi)部眾多的平行陣列來實(shí)作,支援多個埠線速歸類和修改數(shù)據(jù)。具體來說,TCAM可以運(yùn)作在數(shù)據(jù)包表頭和有內(nèi)文區(qū)域一定數(shù)量的字元上。 DPI可以執(zhí)行某些操作,例如更改封包的目標(biāo)埠,丟棄封包,將封包鏡像到另一個埠,更改封包或其優(yōu)先級。
讓我們來看看DPI在汽車中的三個應(yīng)用案例。第一個用於除錯/診斷。乙太網(wǎng)路車載診斷(OBD)通常採用速率為100Mbps的100BASE-TX埠設(shè)計(jì),雖然這似乎適用於大多數(shù)應(yīng)用,但實(shí)際情形卻是,滿載使用中的交換機(jī)配置爭用率以超過100Mbps的速率傳輸數(shù)據(jù),因此無法在不影響實(shí)際數(shù)據(jù)流性能表現(xiàn)的情形下鏡像交換機(jī)中的所有封包。鏡像數(shù)據(jù)導(dǎo)致封包丟失,因而不能鏡像所有數(shù)據(jù)流。取代方法是使用DPI來識別和歸類僅有興趣的封包,請參考圖2。
在此範(fàn)例中,分析Precision time協(xié)議(PTP)封包問題,可以將DPI規(guī)則設(shè)置為將具有PTP訊息之所有埠鏡像到OBD埠,這可以透過EtherType(0x88F7)或MSG ID來實(shí)現(xiàn)。即使交換機(jī)工作在最大流量,所有與PTP相關(guān)的封包也會鏡像到OBD埠。
| 圖2 : 使用TCAM進(jìn)行調(diào)試/診斷應(yīng)用。 |
|
DPI的另一個應(yīng)用是安全性。識別有效乙太網(wǎng)路數(shù)據(jù)會消耗位於數(shù)據(jù)路徑中的CPU的大量計(jì)算資源,這意味著為了實(shí)現(xiàn)即時(shí)、低延遲的歸類,對處理能力的要求將超出多數(shù)汽車環(huán)境所能夠提供的空間、材料成本和功能。於是,TCAM提供了解決方式,未佔(zhàn)用計(jì)算資源下檢查每個數(shù)據(jù)包得正確性。
| 圖3 : TCAM丟包超出可接受範(fàn)圍的Wireshark截圖。 |
|
在圖3所示的例子中,TCAM遮罩位元被設(shè)置為僅允許在一系列目標(biāo)地址,來源地址和VLAN ID內(nèi)的輸入數(shù)據(jù)包,這些是目標(biāo)地址為00:01:02:XX:XX:XX(匹配所有來源地址範(fàn)圍為00:01:02:00:00:00至00:01:02:FF:FF:FF),來源地址為00:11:22:XX:XX:XX(匹配所有MAC SA地址範(fàn)圍為00:11:22:00:00:00至00:11:22:FF:FF:FF)和VLAN ID:0x0XX(匹配從0x000至0x0FF的所有VLAN ID)。
本例僅使用來自數(shù)據(jù)包的二層訊息,然而,依TCAM的實(shí)施情形而定,也可以使用第三層,第四層或更高層的資訊來組成TCAM匹配的成份。
TCAM提供了能夠檢查每個進(jìn)入交換機(jī)數(shù)據(jù)包的高效益、低延遲和占用少量資源的方法,未匹配數(shù)據(jù)包可以被丟棄或啟動其他操作。
在最後一個應(yīng)用案例中,DPI用於執(zhí)行乙太網(wǎng)路的路由決策。如前所述,此舉是為了將不同的傳統(tǒng)汽車網(wǎng)路協(xié)議(如LIN和CAN)整合到乙太網(wǎng)路,長期目標(biāo)為降低汽車網(wǎng)路的複雜性和成本。雖然有閘道器來執(zhí)行這樣的封裝,但是一旦它們完成封裝,就必須做出轉(zhuǎn)發(fā)決定。而使用DPI則提供了根據(jù)封裝數(shù)據(jù)來做轉(zhuǎn)發(fā)決策之方法。數(shù)據(jù)包格式已經(jīng)根據(jù)IEEE1722-2016進(jìn)行了定義,因此TCAM可用於對數(shù)據(jù)包(例如CAN)進(jìn)行歸類,並使用CAN_BUS_ID和CAN_IDENTIFIER來相應(yīng)建立路由動作。
在汽車網(wǎng)路環(huán)境中實(shí)現(xiàn)TCAM基礎(chǔ)的DPI技術(shù)能夠支援許多先前不具備商業(yè)可行性的新應(yīng)用、標(biāo)準(zhǔn)和功能。隨著互連汽車成為現(xiàn)實(shí),如何在安全方面融入更多功能,同時(shí)又簡化網(wǎng)路的複雜度,製造商們在這些領(lǐng)域正面臨著巨大挑戰(zhàn)。 DPI正是實(shí)現(xiàn)這兩個目標(biāo)的機(jī)會。
(作者Christopher Mash為Marvell公司汽車應(yīng)用和架構(gòu)部高級總監(jiān))
