技術領域

本發明涉及通信技術領域，涉及一種實現高并發的IPSec?VPN隧道的方法。

背景技術

IPSec是通過對IP協議的分組進行加密和認證來保護IP協議的網絡傳輸協議族（一些相互關聯的協議的集合），用以提供公用和專用網絡的端到端加密和驗證服務，保障數據的機密性、來源可靠性（認證）、無連接的完整性并提供抗重播服務。IPSec協議族由兩大部分組成：（1）密鑰交換協議（IKE）；（2）安全報文協議（ESP/AH）。

IPSec?VPN即采用IPSec協議來為位于不同物理位置的用戶局域網建立安全的VPN(Virtual?Private?Network，虛擬專用網絡)隧道以達到互聯互通和保密通訊目的的安全設備。作為端到端的解決方案，多臺IPSec?VPN之間互聯互通所組建的VPN網絡一般都規模有限，市面上的IPSec?VPN設備最多也就支持數千條的并發隧道。如果要支持更大規模的IPSec?VPN組網，需要對IPSec?VPN的實現技術進行優化。特別是密鑰交換的環節，一個IPSec?VPN隧道的建立需要至少經過9次報文交換以及和內核的多次交互過程，如果成千上萬的密鑰交換行為并發進行，導致系統崩潰。

發明內容

本發明所要解決的技術問題是：針對上述存在的問題，提供一種高并發的IPSec?VPN隧道實現方法，采用本發明提供的方法，可以實現上萬條IPSec?VPN并發隧道的建立。

本發明提供的多進程高并發的IPSec?VPN隧道實現方法，包括：

步驟1：接收IKE?密鑰交換數據報文；

步驟2：將接收到的IKE密鑰交換報文進行分類，把經過分類的IKE密鑰交換報文放入不同的入工作隊列；

步驟3：每個入工作隊列對應一個協商工作進程以及出工作隊列，所述各個協商工作進程按照IKE協議依次處理其對應的入工作隊列中的IKE密鑰交換報文，并將相應的回應報文放入其對應的出工作隊列；

步驟4：不斷依次訪問各出工作隊列，取出回應報文并發送。

優選地，所述各個協商工作進程在各自的CPU或CPU核上運行。

優選地，在所述步驟2中，根據IKE密鑰交換報文的對端IP地址對IKE密鑰交換報文進行分類。

優選地，對各協商工作進程從0到N-1依次編號，N為協商工作進程總數；在所述步驟2中包含分類步驟A：將接收到的報文的對端IP地址尾字段的8位值對N求余，所得值即為處理該IKE密鑰交換報文的協商工作進程編號；分類步驟B：將所述報文送到所述協商工作進程編號對應的協商工作進程中。

優選地，還包括確定各個協商工作進程的工作量的步驟；

所述步驟2還包括，判斷接收到的報文是否是IKE密鑰交換報文的第一報文，若是，則順序執行分類步驟A及分類步驟B；否則，則執行分類步驟C；

所述分類步驟A還包括，得到處理某IKE密鑰交換報文的協商工作進程編號后，判斷所述協商工作進程編號對應的協商工作進程工作量是否大于閾值，若是，將所述協商工作進程編號加1，直到所述協商工作進程編號對應的協商工作進程工作量不大于所述閾值，則將該IKE密鑰交換報文的對端IP地址及所述協商工作進程編號寫入所述遷移記錄表；

所述分類步驟C包括：首先在遷移記錄表中查詢是否記錄有該報文對端IP地址對應的協商工作進程編號：若沒有，則順序執行分類步驟A及分類步驟B，若有，則將該報文送入遷移記錄表記錄的其對端IP地址對應的協商器的入工作隊列。

優選地，確定各個協商工作進程的工作量的方法包括：

計算接收到的IKE密鑰交換報文總數；

計算各個協商工作進程處理的IKE密鑰交換報文數量；

計算各個協商工作進程處理的IKE密鑰交換報文數量對于IKE密鑰交換報文總數的比值，所述比值則為各個協商工作進程的工作量。

優選地，所述步驟1、步驟2及步驟4也在各自的CPU或CPU核上運行。

本發明還提供了一種實現多進程高并發的IPSec?VPN隧道裝置，包括：

接收器，用于接收IKE?密鑰交換數據報文；

分類器，用于將接收到的IKE密鑰交換報文進行分類，把經過分類的IKE密鑰交換報文放入不同的入工作隊列；

協商器，每個入工作隊列對應一個協商器以及出工作隊列，所述各個協商器用于按照IKE協議依次處理其對應的入工作隊列中的IKE密鑰交換報文，并將相應的回應報文放入其對應的出工作隊列；

發送器，用于不斷依次訪問各出工作隊列，取出回應報文并發送。