技術領域

本發明涉及通信領域，尤其涉及一種分布式IPSec(InternetProtocol?Security，Internet協議安全)負荷分擔裝置及方法。

背景技術

目前，Internet已成為全社會的信息基礎設施，企業端應用也大都基于IP(Internet?Protocol，Internet協議)，在Internet上構筑應用系統已成為必然趨勢。目前，VPN(Virtual?Private?Network，虛擬專用網)技術中基于IP層的VPN協議IPSec由于應用無關性，成為廣域網建設的最佳解決方案，它不僅會大大節省廣域網的建設和運行維護費用，而且增強了網絡的可靠性和安全性。

IPSec協議包括：IKE(Internet密鑰交換協議)、AH(認證頭)、ESP(封裝安全載荷)等，是由IETF(Internet?Engineering?Task?Force，Internet工程工作小組)定義的一組在IP層提供安全服務的協議，它使系統能按需選擇安全協議，決定服務所使用的算法及放置需求服務所需密鑰到相應位置。IPSec用來保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑。

在基于IPSec的VPN實現中，需要進行IPSec處理的路由器在網絡中通常處于接入和匯聚層，需要支持大量的用戶，除了進行路由轉發的同時，還需要進行IPSec的加解密以及驗證工作，而這些工作是極為費時的操作，消耗系統資源巨大，并遠遠大于普通的IP轉發。

目前主要的IPSec路由器的實現方法存在以下問題：

1、基于CPU軟件轉發的IPSec路由器由于占用CPU資源，造成運行效率低、處理能力差，影像正常的IP轉發；

2、基于硬件加速或者網絡處理器實現IPSec轉發的路由器雖然處理能力有一定的提升，但受到硬件性能限制，存在實現復雜，可擴展性差，以及設備不能實現隨IPSec用戶流量增長同步升級；

3、基于分布式處理的，通常在線卡處理普通IP轉發，協處理卡進行IPSec處理，經過對數據報文以及對IPSec的SPDB(安全策略數據庫)和SADB(安全聯盟數據庫)進行復雜的分析后，產生負荷分擔算法，由于算法過于復雜，對基本轉發功能的線卡消耗資源大，影響線卡的普通IP轉發性能。

發明內容

本發明所要解決的技術問題是，提供一種分布式IPSec負荷分擔裝置和方法，本發明可快速定位協處理卡，負荷分擔算法簡單，板間通訊交互少，線卡轉發性能高。

本發明公開了一種分布式IPSec負荷分擔裝置，所述裝置包括線卡和協處理卡，所述

線卡用于建立并維護IPSec隧道的對端IP地址與相應的協處理卡號的對應關系表；用于在接收到IPSec報文時，從所述對應關系表中查找處理所述IPSec報文的協處理卡號，并將所述報文轉發給查找到的卡號對應的協處理卡；

協處理卡用于對接收到的報文進行IPSec處理。

所述線卡還用于在接收到的IPSec報文為待加密報文時，為所述報文匹配IPSec隧道配置；用于在接收到的IPSec報文為待加密報文且沒有查找到處理所述報文的協處理卡號時，丟棄所述報文，并觸發任一協處理卡進行IKE協商；以及用于在接收到的IPSec報文為待解密報文且沒有查找到處理所述報文的協處理卡號時，丟棄所述報文；

所述協處理卡還用于進行Internet密鑰交換協議IKE協商；用于保存協商生成的本地IPSec隧道的安全聯盟SA；用于將協商生成的本地IPSec隧道的對端IP地址與本協處理卡號的對應關系表項發送給所有線卡。

所述線卡還用于將接收到的所述協處理卡發送來的表項保存到所述對應關系表中。

本發明進一步公開了一種分布式IPSec負荷分擔方法，在線卡上建立IPSec隧道的對端IP地址與相應協處理卡號的對應關系表，當線卡接收到IPSec報文時，通過查詢所述對應關系表，找到相應的處理所述報文的協處理卡號，并將所述報文轉發給所述卡號對應的協處理卡進行IPSec處理。

若所述線卡接收到的IPSec報文為待加密報文，則所述線卡先為所述報文匹配IPSec隧道配置，然后根據所述配置中的對端IP地址，在所述對應關系表中查找相應的協處理卡號。

若所述線卡接收到的IPSec報文為待解密報文，則所述報文的源地址即為其在本地的對端IP地址，所述線卡直接根據所述報文的源地址，在所述對應關系表中查找相應的協處理卡號。