[发明专利]一种分布式IPSec负荷分担装置和方法

说明书

技术领域

本发明涉及通信领域，尤其涉及一种分布式IPSec(InternetProtocol Security，Internet协议安全)负荷分担装置及方法。

背景技术

目前，Internet已成为全社会的信息基础设施，企业端应用也大都基于IP(Internet Protocol，Internet协议)，在Internet上构筑应用系统已成为必然趋势。目前，VPN(Virtual Private Network，虚拟专用网)技术中基于IP层的VPN协议IPSec由于应用无关性，成为广域网建设的最佳解决方案，它不仅会大大节省广域网的建设和运行维护费用，而且增强了网络的可靠性和安全性。

IPSec协议包括：IKE(Internet密钥交换协议)、AH(认证头)、ESP(封装安全载荷)等，是由IETF(Internet Engineering Task Force，Internet工程工作小组)定义的一组在IP层提供安全服务的协议，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPSec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。

在基于IPSec的VPN实现中，需要进行IPSec处理的路由器在网络中通常处于接入和汇聚层，需要支持大量的用户，除了进行路由转发的同时，还需要进行IPSec的加解密以及验证工作，而这些工作是极为费时的操作，消耗系统资源巨大，并远远大于普通的IP转发。

目前主要的IPSec路由器的实现方法存在以下问题：

1、基于CPU软件转发的IPSec路由器由于占用CPU资源，造成运行效率低、处理能力差，影像正常的IP转发；

2、基于硬件加速或者网络处理器实现IPSec转发的路由器虽然处理能力有一定的提升，但受到硬件性能限制，存在实现复杂，可扩展性差，以及设备不能实现随IPSec用户流量增长同步升级；

3、基于分布式处理的，通常在线卡处理普通IP转发，协处理卡进行IPSec处理，经过对数据报文以及对IPSec的SPDB(安全策略数据库)和SADB(安全联盟数据库)进行复杂的分析后，产生负荷分担算法，由于算法过于复杂，对基本转发功能的线卡消耗资源大，影响线卡的普通IP转发性能。

发明内容

本发明所要解决的技术问题是，提供一种分布式IPSec负荷分担装置和方法，本发明可快速定位协处理卡，负荷分担算法简单，板间通讯交互少，线卡转发性能高。

本发明公开了一种分布式IPSec负荷分担装置，所述装置包括线卡和协处理卡，所述

线卡用于建立并维护IPSec隧道的对端IP地址与相应的协处理卡号的对应关系表；用于在接收到IPSec报文时，从所述对应关系表中查找处理所述IPSec报文的协处理卡号，并将所述报文转发给查找到的卡号对应的协处理卡；

协处理卡用于对接收到的报文进行IPSec处理。

所述线卡还用于在接收到的IPSec报文为待加密报文时，为所述报文匹配IPSec隧道配置；用于在接收到的IPSec报文为待加密报文且没有查找到处理所述报文的协处理卡号时，丢弃所述报文，并触发任一协处理卡进行IKE协商；以及用于在接收到的IPSec报文为待解密报文且没有查找到处理所述报文的协处理卡号时，丢弃所述报文；

所述协处理卡还用于进行Internet密钥交换协议IKE协商；用于保存协商生成的本地IPSec隧道的安全联盟SA；用于将协商生成的本地IPSec隧道的对端IP地址与本协处理卡号的对应关系表项发送给所有线卡。

所述线卡还用于将接收到的所述协处理卡发送来的表项保存到所述对应关系表中。

本发明进一步公开了一种分布式IPSec负荷分担方法，在线卡上建立IPSec隧道的对端IP地址与相应协处理卡号的对应关系表，当线卡接收到IPSec报文时，通过查询所述对应关系表，找到相应的处理所述报文的协处理卡号，并将所述报文转发给所述卡号对应的协处理卡进行IPSec处理。

若所述线卡接收到的IPSec报文为待加密报文，则所述线卡先为所述报文匹配IPSec隧道配置，然后根据所述配置中的对端IP地址，在所述对应关系表中查找相应的协处理卡号。

若所述线卡接收到的IPSec报文为待解密报文，则所述报文的源地址即为其在本地的对端IP地址，所述线卡直接根据所述报文的源地址，在所述对应关系表中查找相应的协处理卡号。