[发明专利]一种负载均衡的IPSecVPN设备集群系统及其工作方法

权利要求书

1.一种负载均衡的IPSec VPN设备集群系统，其特征在于，包括若干IPSec VPN设备，每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器；

计算能力评估模块用于在同一个集群内的IPSec VPN设备起动时进行签名运算，得到其所在IPSec VPN设备的计算能力评估结果；

组内同步模块负责在同一个集群内的所有成员设备间进行安全策略、安全联盟、在线状态和计算能力信息的交互和同步并形成全局一致的安全策略、安全联盟和在线状态；

负载管理模块通过组内同步信息得到全局一致的安全策略、安全联盟和在线状态，根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配，并根据其所在IPSec VPN设备的负载分配设置实际生效的安全策略和安全联盟；

地址应答器根据系统内所有IPSec VPN设备统一设置的虚拟地址信息，对从内网出站的IP数据报文和从外网入站的IP数据报文的链路层地址请求进行一致的回应；

数据分类器根据数据报文是否处在其所在IPSec VPN设备已生效的安全策略或安全联盟之内，对进出站的IP数据报文提供不同的处理路径；所述数据分类器对出站的IP数据报文提供不同的处理路径具体为：

对于处在本机已生效的安全策略或安全联盟范围之内的数据报文，进行正常的IPSec处理；或，

对于处在本机已生效的安全策略或安全联盟范围之外但在仅更新的安全策略和安全联盟范围之内的数据报文，仅进行序列号的更新或序列号的验证及抗重放窗口的更新以及安全策略和安全联盟生存期的更新，并将该报文丢弃。

2.如权利要求1所述的负载均衡的IPSec VPN设备集群系统，其特征在于，所述集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址，作为组内通讯地址，组内同步模块定期将本台设备的安全策略、安全联盟、在线状态和计算能力评估结果通过多播的方式传递到集群的其他成员设备，同时也接受其他成员设备通过多播传递过来的安全策略、安全联盟、在线状态和计算能力评估结果，形成该集群全局一致的安全策略和安全联盟。

3.如权利要求1所述的负载均衡的IPSec VPN设备集群系统，其特征在于，所述设备集群各IPSec VPN设备具有共享的虚拟IP地址，作为该集群共享的IPSec VPN隧道源IP地址，所有通过该集群处理的出站IP数据报文都以该集群各成员设备共享的虚拟IP地址作为隧道封装后的源IP地址，而所有以该虚拟IP地址为目的IP地址的入站IPSec报文将被集群内的所有在线成员设备接收。

4.如权利要求1所述的负载均衡的IPSec VPN设备集群系统，其特征在于，计算能力评估模块以多线程的方式运行1万次2048比特模长的RSA签名运算，并计算出以次/秒为单位的签名速度，作为其所在IPSec VPN设备的计算能力评估结果。