本公開涉及一種報文轉發方法、裝置、設備及計算機可讀存儲介質，該方法包括：響應于本端主機的配置指令，完成與所述配置指令相應的配置操作，所述本端主機與所述DPU通信連接；與目標主機進行協商，獲得IPSec?SA庫，所述目標主機與所述DPU通信連接；接收待處理報文；基于所述IPSec?SA庫中的IPSec?SA，對所述待處理報文進行處理，得到處理后的報文；將所述處理后的報文轉發至目標主機。本公開通過將IPSec處理功能卸載至專用的DPU中，由DPU的核心完成IPSec業務處理，提高IPSec業務處理的效率，解放本端主機的系統資源，降低本端主機系統的性能消耗。

技術領域

本公開涉及通信技術領域，尤其涉及一種報文轉發方法、裝置、設備及計算機可讀存儲介質。

背景技術

IPSec?VPN(Virtual?Private?Network，虛擬專用網絡)是采用IPSec(InternetProtocol?Security，互聯網安全協議)實現可基于公網基礎設施安全傳輸數據的一種隧道技術。IPSec協議并非為一個單獨的協議，作為網絡層隧道協議，是由Internet工程任務組(IETF)制定的一組安全協議套件，它為IP數據提供了高質量、可互操作、基于密碼學的安全性，其體系機構包括：安全聯盟、安全協議、密鑰管理、操作模式、驗證算法、加密算法和安全策略等。

現有技術主要是在系統內核的xfrm層實現IPSec功能，同時維護安全聯盟(Security?Association，SA)與SP策略庫；內核中掛載密碼算法模塊，當應用層軟件完成IPSec認證與協商之后，網絡數據通過網卡進入系統內核，經過驅動程序、內核協議棧和中斷處理，到達xfrm層IPSec代碼模塊，如滿足解密條件則調用密碼算法模塊對數據進行解密與核對校驗值；處理完畢的數據包，再次經過內核協議棧、中斷處理以及驅動程序，將數據包從網口發送出去。

但是，上述方法在對數據進行處理時需要占用大量的內核資源，因而系統內核處理能力成為性能瓶頸，不但會影響主機性能，還會導致IPSec業務處理效率低下。

發明內容

為了解決上述技術問題，本公開提供了一種報文轉發方法、裝置、設備及計算機可讀存儲介質，以降低IPSec業務對主機性能的影響，提高IPSec業務的處理效率。

第一方面，本公開實施例提供一種報文轉發方法，應用于DPU，包括：

響應于本端主機的配置指令，完成與所述配置指令相應的配置操作，所述本端主機與所述DPU通信連接；

與目標主機進行協商，獲得IPSec?SA庫，所述目標主機與所述DPU通信連接；

接收待處理報文；

基于所述IPSec?SA庫中的IPSec?SA，對所述待處理報文進行處理，得到處理后的報文；

將所述處理后的報文轉發至目標主機。

在一些實施例中，所述與目標主機進行協商，獲得IPSec?SA，包括：

與所述目標主機進行IKE協商，獲得IKE?SA；

基于所述IKE?SA與所述目標主機進行協商，獲得所述IPSec?SA。

在一些實施例中，所述基于所述IPSec?SA庫中的IPSec?SA，對所述待處理報文進行處理，得到處理后的報文，包括：

當所述待處理報文為加密報文時，根據所述待處理報文的SPID確定所述IPSec?SA庫中是否存在與所述待處理報文匹配的IPSec?SA；

若存在，則基于所述IPSec?SA庫中與所述待處理報文匹配的IPSec?SA，對所述待處理報文進行解密操作，得到處理后的報文。

在一些實施例中，所述響應于本端主機的配置指令，完成與所述配置指令相應的配置操作，包括：