1.一種交換芯片或NP與CPU協(xié)同完成報(bào)文IPSEC加密的方法，其特征在于，包括以下步驟：

主控板在收到用戶配置或進(jìn)行IKE協(xié)商后，生成安全策略數(shù)據(jù)庫(kù)SPD和安全聯(lián)盟SA，并將這些配置下發(fā)到業(yè)務(wù)板CPU上；同時(shí)，根據(jù)SPD信息生成權(quán)限安全策略ACL，ACL的匹配規(guī)則為報(bào)文五元組，ACL的安全策略的動(dòng)作為丟棄、繞過(guò)或應(yīng)用IPSEC，再將生成的ACL下發(fā)到接口板的交換芯片或NP上；

從業(yè)務(wù)接口接收?qǐng)?bào)文，根據(jù)報(bào)文的目的IP地址查路由表，并判斷路由表項(xiàng)的出接口類型，若是普通接口，將報(bào)文進(jìn)行路由轉(zhuǎn)發(fā)；若是IPSEC隧道接口，則根據(jù)報(bào)文五元組查詢ACL并判斷ACL是否命中，如未命中，則丟棄報(bào)文；否則判斷ACL的安全策略的動(dòng)作，將動(dòng)作為應(yīng)用IPSEC的報(bào)文封裝私有頭，并發(fā)往業(yè)務(wù)板CPU；將動(dòng)作為繞過(guò)的報(bào)文進(jìn)行路由轉(zhuǎn)發(fā)；將動(dòng)作為丟棄的報(bào)文丟棄；

業(yè)務(wù)板CPU接收待加密的報(bào)文，將根據(jù)報(bào)文五元組查詢SPD且獲得對(duì)應(yīng)的SPI，再根據(jù)本SIP及報(bào)文三元組查詢SA信息，并判斷是否查到SA信息，若未查到，則丟棄報(bào)文；否則根據(jù)SA信息對(duì)報(bào)文進(jìn)行IPSEC加密并發(fā)送至接口板。