[发明专利]一种分布式IPSec负荷分担装置和方法

权利要求书

1、一种分布式Internet协议安全IPSec负荷分担装置，其特征在于，所述装置包括线卡和协处理卡，所述

线卡用于建立并维护IPSec隧道的对端Internet协议IP地址与相应的协处理卡号的对应关系表；用于在接收到IPSec报文时，从所述对应关系表中查找处理所述IPSec报文的协处理卡号，并将所述报文转发给查找到的卡号对应的协处理卡；

协处理卡用于对接收到的报文进行IPSec处理。

2、如权利要求1所述的分布式IPSec负荷分担装置，其特征在于，所述线卡还用于在接收到的IPSec报文为待加密报文时，为所述报文匹配IPSec隧道配置；用于在接收到的IPSec报文为待加密报文且没有查找到处理所述报文的协处理卡号时，丢弃所述报文，并触发任一协处理卡进行Internet密钥交换协议IKE协商；以及用于在接收到的IPSec报文为待解密报文且没有查找到处理所述报文的协处理卡号时，丢弃所述报文；

所述协处理卡还用于进行Internet密钥交换协议IKE协商；用于保存协商生成的本地IPSec隧道的安全联盟SA；用于将协商生成的本地IPSec隧道的对端IP地址与本协处理卡号的对应关系表项发送给所有线卡。

3、如权利要求2所述的分布式IPSec负荷分担装置，其特征在于，所述线卡还用于将接收到的所述协处理卡发送来的表项保存到所述对应关系表中。

4、一种分布式IPSec负荷分担方法，其特征在于，在线卡上建立IPSec隧道的对端IP地址与相应协处理卡号对应关系表，当线卡接收到IPSec报文时，通过查询所述对应关系表，找到相应的处理所述报文的协处理卡号，并将所述报文转发给所述卡号对应的协处理卡进行IPSec处理。

5、如权利要求4所述的分布式IPSec负荷分担方法，其特征在于，若所述线卡接收到的IPSec报文为待加密报文，则所述线卡先为所述报文匹配IPSec隧道配置，然后根据所述配置中的对端IP地址，在所述对应关系表中查找相应的协处理卡号。

6、如权利要求4所述的分布式IPSec负荷分担方法，其特征在于，若所述线卡接收到的IPSec报文为待解密报文，则所述报文的源地址即为其在本地的对端IP地址，所述线卡直接根据所述报文的源地址，在所述对应关系表中查找相应的协处理卡号。

7、如权利要求4或5所述的分布式IPSec负荷分担方法，其特征在于，若所述线卡接收到的IPSec报文是待加密报文，且在所述对应关系表中没有找到相应的协处理卡号，则丢弃所述报文，并触发任一协处理卡进行IKE协商。

8、如权利要求7所述的分布式IPSec负荷分担方法，其特征在于，所述协处理卡被触发后，首先进行IKE协商，生成SA及IPSec隧道的对端IP地址与本协处理卡号的对应关系表项；然后保存所述SA，并将所述表项发送给所有线卡；

线卡将接收到的表项保存到对应关系表中。

9、如权利要求4或6所述的分布式IPSec负荷分担方法，其特征在于，若所述线卡接收到的IPSec报文是待解密报文，且在所述对应关系表中没有找到相应的协处理卡号，则丢弃所述报文。

10、如权利要求4所述的分布式IPSec负荷分担方法，其特征在于，所述协处理卡接收到的报文后，对所述报文进行IPSec处理，具体为：

查找安全联盟数据库SADB，找到匹配的SA，根据所述SA对接收到的报文进行加密/解密处理，并对经过加密/解密的报文进行封装/解封装。