[发明专利]一种大规模IPSec的网关接入方法、装置及电子设备

说明书

本发明公开了一种大规模IPSec的网关接入方法、装置及电子设备，该方法包括从公网网卡接收客户端发送的IPSec报文，基于IPSec报文的特征值识别IPSec报文的报文类别；当报文类别表征IPSec报文为第一IKE报文时，基于第一IKE报文的第一报文数据在IKE地址转换哈希表中选取协商机并反向更新第一报文数据，通过内网网卡将第一IKE报文发送至协商机；当报文类别表征IPSec报文为ESP报文时，基于ESP报文的第二报文数据在ESP地址转换哈希表中选取处理机并反向更新第二报文数据，通过内网网卡将ESP报文发送至处理机。本发明实现了基于网关对IPSec报文进行分流，将IKE报文与ESP报文分别分流至服务端中的协商机与处理器进行单独处理，实现大规模报文数据接入的负载均衡的目的。

技术领域

本申请涉及报文通信技术领域，具体而言，涉及一种大规模IPSec的网关接入方法、装置及电子设备。

背景技术

互联网安全协议（Internet Protocol Security，IPSec）是一个协议簇，即通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。其协议组成有封装安全载荷（ESP）和密钥协议（IKE），ESP用来提供机密性、数据源认证、无连接完整性、防重放和有限的传输流（traffic-flow）机密性，IKE用来提供对称密码的钥匙的生存和交换。在软件定义广域网（Software Defined Wide Area Network，SD-WAN）中，IPSec的传统接入方式是客户端与IPSec服务端直接协商建立隧道，IPSec服务端进行协商和处理的是同一台服务器，这样的方式具有如下几个缺点：1.安全缺点，IPSec服务端直接暴露在公网上，容易被攻击，不好清洗攻击流量；2.单点故障，IPSec服务端宕机后导致业务不通；3.性能不足，IPSec服务端单节点的数据处理有性能瓶颈，接入点数量有上限；4.资源浪费，IPSec服务端必须配置多个运营商的公网ip。可见，传统接入方式在大规模IPSec接入时，无论是在数据处理效率还是数据传输安全性上都不够理想。

发明内容

为了解决上述问题，本申请实施例提供了一种大规模IPSec的网关接入方法、装置及电子设备。

第一方面，本申请实施例提供了一种大规模IPSec的网关接入方法，所述方法包括：

从公网网卡接收客户端发送的IPSec报文，基于所述IPSec报文的特征值识别所述IPSec报文的报文类别；

当所述报文类别表征所述IPSec报文为第一IKE报文时，基于所述第一IKE报文的第一报文数据在IKE地址转换哈希表中选取协商机并反向更新所述第一报文数据，通过内网网卡将所述第一IKE报文发送至所述协商机，用以使所述协商机完成第一IKE报文协商后更新安全关联数据库表格；

当所述报文类别表征所述IPSec报文为ESP报文时，基于所述ESP报文的第二报文数据在ESP地址转换哈希表中选取处理机并反向更新所述第二报文数据，通过内网网卡将所述ESP报文发送至所述处理机，用以使所述处理机根据所述协商机共享的所述安全关联数据库表格处理所述ESP报文。

优选的，所述当所述报文类别表征所述IPSec报文为第一IKE报文时，基于所述第一IKE报文的第一报文数据在IKE地址转换哈希表中选取协商机并反向更新所述第一报文数据，包括：

当所述报文类别表征所述IPSec报文为第一IKE报文时，确定所述第一IKE报文的第一报文数据，所述第一报文数据包括第一源IP、第一源端口的第一哈希值、第一目的物理地址、第一目的IP；

在IKE地址转换哈希表中查询所述第一哈希值，若所述第一哈希值的第一查询对象存在，则选择所述第一查询对象对应的协商机；

若所述第一哈希值的第一查询对象不存在，则从协商机列表中选择当前负载最低的协商机，并更新所述IKE地址转换哈希表；