本發明提供一種IPSec VPN網關數據包處理裝置及方法，包括：IPSec主模塊，用于進行IPSec VPN網關的數據層面和控制層面分離；數據層面包括用戶態網卡收發數據包，控制層面包括IPSec協議的密鑰協商；用戶態收發包模塊，用于提供用戶態網卡收發數據包的收包接口和發包接口，并與IPSec主模塊進行交互實現數據包的收發。本發明能夠實現數據包的零拷貝、數據層面和控制層面分離，有效提升數據包的處理性能。

技術領域

本發明涉及計算機數據處理技術領域，具體涉及一種IPSec VPN網關數據包處理裝置及方法。

背景技術

VPN技術，即虛擬專用網技術，是指在公共網絡中建立私有專用網絡，數據通過安全的“加密管道”在公共網絡中傳播。虛擬專用網是一條穿過公用網絡的安全、穩定的隧道。通過對網絡數據的封包和加密傳輸，在一個公用網絡建立一個臨時的、安全的連接，從而實現在公網上傳輸私有數據，達到私有網絡的安全級別。IPSec VPN是采用IPSec協議來實現遠程接入的一種目前廣泛使用的VPN技術，用以提供公用和專用網絡的端對端加密和驗證服務。

然而傳統的IPSec VPN數據傳輸，是數據包到達網卡后，網卡驅動產生一個中斷告知內核，內核將數據包從網卡緩沖區復制到內核緩沖區，最后還需要將數據包拷貝至應用程序的用戶態緩沖區，在整個的處理流程中，中斷通知、數據包的拷貝、用戶態和內核態的切換等導致消耗一定的CPU資源和損耗大量的CPU性能；此外，數據傳輸還涉及控制層面和數據層面，控制層面是各種協議工作的層面，數據層面是針對數據收發等，采用多CPU切換和調度將使得控制層面和數據層面相互交織，融合處理，如何合理地設計使用CPU資源，使得控制層面和數據層面能夠相互分離，提高數據包處理的性能是目前急需解決的問題。

為了解決上述所存在的問題，人們一直在尋求一種理想的技術解決方案。

發明內容

本發明的目的在于針對現有技術中存在的不足，從而提供一種IPSec VPN網關數據包處理裝置及方法，通過用戶態網卡輪詢DMA連續內存機制實現數據包的收發，避免多次拷貝、中斷收包以及用戶態和內核態的切換；同時，通過將數據層面綁定單獨的一CPU核，控制層面綁定另一CPU核，保證數據層面和控制層面分離，避免數據層面和控制層面的CPU資源競爭。

為達到上述目的，本發明采用的技術方案如下：

一種IPSec VPN網關數據包處理裝置，包括：

IPSec主模塊，用于進行IPSec VPN網關的數據層面和控制層面分離；所述數據層面包括用戶態網卡收發數據包，所述控制層面包括IPSec協議的密鑰協商；

用戶態收發包模塊，用于提供所述用戶態網卡收發數據包的收包接口和發包接口，并與所述IPSec主模塊進行交互實現數據包的收發。

基于上述，所述數據層面獨占綁定第一CPU核，所述控制層面綁定第二CPU核；所述數據層面還包括由所述第一CPU核進行數據包的協議解析、包過濾和NAT功能。

基于上述，所述用戶態收發包模塊采用用戶態網卡輪詢DMA的連續內存機制進行數據包的收發，所述連續內存用于用戶態網卡DMA進行數據包的直接存儲。

基于上述，所述數據包處理裝置還包括FPGA加解密模塊，用于與所述IPSec主模塊進行交互實現數據包的加解密。

本發明還提供一種應用所述的數據包處理裝置的數據包處理方法，所述數據包處理方法包括：

通過所述IPSec主模塊進行IPSec VPN網關的數據層面和控制層面分離；所述數據層面包括用戶態網卡收發數據包，所述控制層面包括IPSec協議的密鑰協商；

通過所述用戶態收發包模塊與所述IPSec主模塊進行交互實現數據包的收發。