[发明专利]一种大规模IPSec的网关接入方法、装置及电子设备

权利要求书

1.一种大规模IPSec的网关接入方法，其特征在于，所述方法包括：

从公网网卡接收客户端发送的IPSec报文，基于所述IPSec报文的特征值识别所述IPSec报文的报文类别；

当所述报文类别表征所述IPSec报文为第一IKE报文时，基于所述第一IKE报文的第一报文数据在IKE地址转换哈希表中选取协商机并反向更新所述第一报文数据，通过内网网卡将所述第一IKE报文发送至所述协商机，用以使所述协商机完成第一IKE报文协商后更新安全关联数据库表格；

当所述报文类别表征所述IPSec报文为ESP报文时，基于所述ESP报文的第二报文数据在ESP地址转换哈希表中选取处理机并反向更新所述第二报文数据，通过内网网卡将所述ESP报文发送至所述处理机，用以使所述处理机根据所述协商机共享的所述安全关联数据库表格处理所述ESP报文；

其中，所述当所述报文类别表征所述IPSec报文为第一IKE报文时，基于所述第一IKE报文的第一报文数据在IKE地址转换哈希表中选取协商机并反向更新所述第一报文数据，包括：

当所述报文类别表征所述IPSec报文为第一IKE报文时，确定所述第一IKE报文的第一报文数据，所述第一报文数据包括第一源IP、第一源端口的第一哈希值、第一目的物理地址、第一目的IP；

在IKE地址转换哈希表中查询所述第一哈希值，若所述第一哈希值的第一查询对象存在，则选择所述第一查询对象对应的协商机；

若所述第一哈希值的第一查询对象不存在，则从协商机列表中选择当前负载最低的协商机，并更新所述IKE地址转换哈希表；

获取所述协商机的协商机物理地址和协商机IP，基于所述协商机物理地址更新所述第一目的物理地址，并基于所述协商机IP更新所述第一目的IP；

基于所述第一目的物理地址、第一目的IP、第一源IP生成第一键值对，并根据所述第一键值对更新小型文本文件的键值对表格；

根据所述第一哈希值查询地址转换端口映射表格，若所述第一哈希值的第二查询对象存在，则选择所述第二查询对象对应的第一地址转换端口；

若所述第一哈希值的第二查询对象不存在，则在当前可用的端口栈中弹出生成一个第一地址转换端口，并基于所述第一地址转换端口更新所述地址转换端口映射表格，用以使所述第一地址转换端口对应的哈希值为所述第一哈希值；

基于所述第一地址转换端口更新所述第一源端口，基于内网网卡的内网IP更新所述第一源IP，并更新所述地址转换端口映射表格的第一时间戳；

生成第二键值对，基于所述第二键值对更新逆向地址转换映射表格的第二时间戳，所述第二键值对的键为更新后的所述第一源IP以及第一源端口，所述第二键值对的值为未进行任何更新前的所述第一报文数据。

2.根据权利要求1所述的方法，其特征在于，所述当所述报文类别表征所述IPSec报文为第一IKE报文时，基于所述第一IKE报文的第一报文数据在IKE地址转换哈希表中选取协商机并反向更新所述第一报文数据，通过内网网卡将所述第一IKE报文发送至所述协商机，用以使所述协商机完成第一IKE报文协商后更新安全关联数据库表格之后，还包括：

在从所述公网网卡接收到第二IKE报文后，若所述第二IKE报文与所述第一IKE报文的目的端口不同，则获取所述第二IKE报文的第三报文数据，所述第三报文数据包括第三源IP、第三源端口的第三哈希值、第三目的物理地址、第三目的IP；

当所述第三源IP与所述第一源IP匹配时，在所述键值对表格中获取所述第一键值对，并基于所述第一键值对更新所述第三报文数据；

根据所述第三哈希值查询地址转换端口映射表格，若所述第三哈希值的第三查询对象存在，则选择所述第三查询对象对应的第三地址转换端口；

若所述第三哈希值的第三查询对象不存在，则在当前可用的端口栈中弹出生成一个第三地址转换端口，并基于所述第三地址转换端口更新所述地址转换端口映射表格，用以使所述第三地址转换端口对应的哈希值为所述第三哈希值；

基于所述第三地址转换端口更新所述第三源端口，基于内网网卡的内网IP更新所述第三源IP，并更新所述地址转换端口映射表格的第三时间戳；

生成第三键值对，基于所述第三键值对更新逆向地址转换映射表格的第四时间戳，所述第三键值对的键为更新后的所述第三源IP以及第三源端口，所述第三键值对的值为未进行任何更新前的所述第三报文数据。