[发明专利]一种基于企业级路由器的融合隧道加密传输方法

权利要求书

1.一种基于企业级路由器的融合隧道加密传输方法，其特征在于：所述融合隧道传输方法包括如下步骤：

步骤1：用户在路由设备完成接口板ACL策略及LSN业务板级ACL策略组的下发；

步骤2：用户在路由设备完成国密业务板级ACL组及IPSec安全策略隧道的下发；

步骤3：路由设备入接口接收到原始报文后，路由接口配置接口级ACL匹配待做LSN业务的SIP信息，将所有待转换地址的报文重定向转发到LSN业务板卡；

步骤4：在LSN业务板卡上先根据报文特征选择下一步需要做加密业务处理的国密板卡，之后根据板级ACL策略解析报文SIP，报文在LSN业务板卡完成网络地址转换流程，将SIP转换为预先分配的公网地址池IP，报文四层PORT号存储在全局隧道表项新增的LSN PORT字段，之后将报文中的PORT号赋为特殊的ESP或AH端口号用于IPSec转发；

步骤5：根据报文DIP查找路由转发出接口，判定DIP指向的下一跳为IPSec安全策略隧道并且出接口信息表中的IPSec隧道类型为SR时将报文重定向到经负载均衡或主备切换选板流程处理的国密业务板卡；

步骤6：在国密业务板上根据板级ACL策略判断报文四层协议特征、查询全局隧道表项，当协议号为特殊的ESP或AH端口号且隧道类型为SR时进行SR及IPSec报文头封装，国密板卡将原始报文进行加密，处理完毕后由出接口业务板发送至对端路由设备。

2.根据权利要求1所述一种基于企业级路由器的融合隧道加密传输方法，其特征在于：步骤1中，所述LSN业务板级ACL策略组的下发具体包括如下步骤：

步骤1-1：在路由器的用户视图下配置板级ACL策略，根据ACL版本、ACL组索引号、路由器的接口索引从LSN转换策略ACL组的软件表中判断配置是否已经生效；

步骤1-2：接口级ACL判断指定的LSN业务板卡是否有效，若有效则下发报文流量重定向到业务板卡，若无效则继续判断备用业务板卡是否有效，如果备用业务板卡亦无效则不下发硬件板级ACL策略组，报文的SIP不做处理，按原始SIP的报文进行普通转发；

步骤1-3：LSN业务板添加板级ACL策略：在ACL策略中添加流动作应用，当报文SIP匹配对应的访问控制规则引流到LSN业务板卡时，对报文不同的SIP进行转换处理，当路由接口配置ACL重定向策略时生效。

3.根据权利要求1所述一种基于企业级路由器的融合隧道加密传输方法，其特征在于：步骤2中，所述IPSec安全策略隧道的下发具体包括如下步骤：

步骤2-1：在互联的路由器上创建全局IPSec隧道，设置下发叠加隧道类型为SR，配置时获取隧道对应的索引值，查询隧道的软件信息，如果不存在则创建新的融合隧道；

步骤2-2：设置进入隧道的出口表项，取用户配置的DIP地址作为隧道的DIP下发；

步骤2-3：激活隧道时查询用户配置的IPSecProtect标记是否生效，同时查询配置的国密业务板是否可用，在可用的情况下设置隧道硬件表项的转发标记位、SR类型标记位为有效；

步骤2-4：下发板级的ACL策略，当DIP为隧道IP、四层协议类型为UDP协议、协议端口号为特殊的ESP或AH认证端口号时，报文流量动作为重定向到加密隧道；

步骤2-5：保存隧道索引、融合隧道类型、隧道状态信息，完成安全策略隧道下发。