一种分布式防火墙IPSec业务负载分担的方法及装置制造方法

一种分布式防火墙IPSec业务负载分担的方法及装置制造方法
【专利摘要】一种分布式防火墙IPsec业务的负载分担的方法及装置，通过主控板及时下发ACL策略信息给所有接口板，以保证来自特定网络设备的报文均发送给对应的接口板；并通过将SA流信息同步到所有业务板，当业务板根据SA流信息，发现其接收的报文不属于其自身处理时，进一步将该报文重定向至与该SA流信息匹配的业务板，通过前述手段，可以保证同一条流的报文都发送到同一个业务板处理，因而，实现了分布式式防火墙上的IPSec业务的负载分担。
【专利说明】一种分布式防火墙I PSec业务负载分担的方法及装置
【技术领域】
[0001]本发明涉及数据通信【技术领域】，尤其涉及一种分布式防火墙IPSec业务负载分担的方法和装置。
【背景技术】
[0002]分布式防火墙通过分布式多业务板并行处理业务，以提升整机的处理性能，进而满足用户高并发、高新建以及高吞吐量的需求。
[0003]具体地，分布式防火墙设备一般由接口板、业务板以及主控板组成。其中接口板，用于接收和发送报文，并把报文通过交换网络发送到各业务板去处理对应业务；业务板，用于独立地进行会话的建立、报文的转发、Qos的处理、以及IPSec (IP Security,指IP安全)加密等大部分的业务，通过各个独立的业务板能提高防火墙设备整机的业务处理能力；主控板，则用于防火墙设备上的业务板配置和路由等，但不参与具体的业务转发。
[0004]为了充分发挥防火墙设备的整体性能，一般需要将从接口板接收到的数据均衡地发送给各个业务板处理。然而，由于防火墙处理的所有业务均需要基于流的处理，这就要求从接口板收到的同一条流的所有正反向报文必须都送到同一个业务板上处理，同时由于ALG (Application Level Gateway,应用层网关)的需要，与之关联的数据流的报文也必须都送到同一个业务板上处理，例如:假如在某应用场景下，ftp业务的控制流分配给业务板I处理，那么对应地，它的数据流也必须保证分配到业务板I上。
[0005]为了解决上述问题，现有技术通过中心节点(中心网络设备)来负责各业务板上处理的业务的负载均衡调度，具体地，中心节点保持所有业务板上处理的业务会话信息并对所有的IPSec业务进行加解密处理。采用该种方案，能较好地实现前述所有基于流的IPSec业务的负载均衡，且适用各种组网，通用性较好。
[0006]然而，在该方案下，对中心节点的要求较高，由于中心节点需要保留所有业务板上的业务会话信息，并进行所有的IPSec业务的加/解密处理，因而该中心节点很有可能成为性能瓶颈，并不能有效提升防火墙设备的整机性能。

【发明内容】

[0007]有鉴于此，本发明提供一种分布式防火墙IPSec业务负载分担的方法和装置。通过本发明，较好地实现分布式防火墙上的IPSec业务在各个业务板的负载均衡，并能保证IPSec的各项性能能够随业务板数量的上升而成倍上升。
[0008]为实现本发明目的，本发明实现方案具体如下:
[0009]一种分布式防火墙IPsec业务负载分担的方法，应用于需要通过公网进行IPSec数据传输的网络系统中，其中该网络系统至少包括若干个外网设备和内网设备，所述防火墙设置于所述外网设备和内网设备之间，且至少包括一个主控板和两个以上的接口板和业务板，其中所述方法包括如下步骤:所述业务板通知主控板及时下发ACL策略信息给所有接口板，以保证来自特定网络设备的报文均发送给对应的接口板；所述业务板进一步将将SA流信息同步到其他所有业务板，当业务板根据SA流信息，发现其接收的报文不属于其自身处理时，进一步将该报文重定向至与该SA流信息匹配的业务板。
[0010]本发明同时提供了一种分布式防火墙IPsec业务负载分担的装置，所述装置应用于需要通过公网进行IPSec数据传输的网络系统中，其中该网络系统至少包括若干个外网设备和内网设备，所述装置设置于所述外网设备和内网设备之间，且至少包括一个主控板和两个以上的接口板和业务板，其中所述接口板，用于接收来自网络设备的报文，并按照预定策略规则转发给对应的业务板，其中所述业务板，用于对接收来自接口板的报文进行相应的处理并转发给目标网络设备，并通过主控板及时下发ACL策略信息给所有接口板，以保证来自特定网络设备的报文均发送给对应的接口板；并通过将SA流信息同步到所有业务板，当业务板根据SA流信息，发现其接收的报文不属于其自身处理时，进一步将该报文重定向至与该SA流信息匹配的业务板。
[0011]与现有的技术方案相比，本发明通过主控板及时下发ACL策略信息给所有接口板，以保证来自特定网络设备的报文均发送给对应的接口板；并通过将SA流信息同步到所有业务板，当业务板根据SA流信息，发现其接收的报文不属于其自身处理时，进一步将该报文重定向至与该SA流信息匹配的业务板，通过前述手段，可以保证同一条流的报文都发送到同一个业务板处理，因而，实现了分布式式防火墙上的IPSec业务的负载分担。
【专利附图】

【附图说明】
[0012]图1是本发明分布式防火墙IPSec业务负载分担的装置示意图。
[0013]图2是本发明分布式防火墙IPSec业务负载分担的方法流程图。
[0014]图3是本发明分布式防火墙IPSec业务负载分担的应用场景图。
[0015]图4是图3所示应用场景下采用本发明方法，分支内网设备Blcl向中心内网设备SI发起访问时，本发明分布式防火墙IPSec业务负载分担的流程图。
[0016]图5是图3所示应用场景下采用本发明方法，中心内网设备SI向分支内网设备Blcl发起访问时，本发明分布式防火墙IPSec业务负载分担的流程图。
【具体实施方式】
[0017]为了实现本发明目的，本发明采用的核心思想为:本发明分布式防火墙通过主控板及时下发ACL (Access Control List,访问控制列表)策略信息给所有接口板，以保证来自特定网络设备的报文均发送给对应的接口板；并通过将SA (Security Association,安全联盟)流信息同步到所有业务板，当业务板根据SA流信息，发现其接收的报文不属于其自身处理时，进一步将该报文重定向至与该SA流信息匹配的业务板，通过前述手段，可以保证同一条流的报文都发送到同一个业务板处理，因而，实现了分布式式防火墙上的IPSec业务的负载分担。
[0018]为使本发明更加清楚和明白，以下结合本发明具体实施例加以说明。具体地，如图1所示，为本发明分布式防火墙IPSec报文业务负载分担的装置，所述装置应用于需要通过公网进行IPSec数据传输的网络系统中，该网络系统至少包括若干个外网设备和内网设备。所述装置设置于所述外网设备和内网设备之间，且至少包括一个主控板和两个以上的接口板和业务板,其中:[0019]所述接口板，用于接收来自网络设备的报文，并按照预定策略规则转发给对应的业务板。
[0020]具体地，当分支内网设备向中心内网设备发起访问时，所述网络设备具体为外网(公网)分支设备；当中心内网设备向分支内网设备发起访问时，所述网络设备具体为中心内网设备。另外，在本发明实施例中，所述预定的策略规则，具体为通过Hash算法随机均衡分配业务给对应的业务板。
[0021]所述业务板，用于对接收来自接口板的报文进行相应的处理并转发给目标网络设备，通过主控板及时下发ACL策略信息给所有接口板，以保证来自特定网络设备的报文均发送给对应的接口板；并通过将SA流信息同步到所有业务板，当业务板根据SA流信息，发现其接收的报文不属于其自身处理时，进一步将该报文重定向至与该SA流信息匹配的业务板。
[0022]具体地，当所述业务板接收到来自接口板的报文时，需要确认是否对所述报文进行IPSec加密或解密处理，进一步地，当分支内网设备向中心内网设备发起访问时，所述业务板确认是否需要对所述报文进行IPSec解密处理；当中心内网设备向分支内网设备发起访问时，所述业务板确认是否需要对所述报文进行IPSec加密处理。当业务板确认需要对所述报文进行IPSec加密处理时，还需要通知主控板下发ACL信息给所有接口板，告知后续源或目的IP地址为传输所述报文的外网设备的IP地址的所有报文均发送至该业务板。反之，如果经确认不需要对所述报文进行IPSec加密或解密处理，则直接对所述报文进行转发处理。
[0023]进一步地，当所述业务板确认需要对所述报文进行IPSec加解密处理时，所述业务板查询本地是否保存有对所述报文进行IPSec处理的对应SA流信息，如果查询到本地保存有对所述报文进行IPSec处理的对应SA流信息，则表明所述报文之前已建立起相应的IPSec加密或解密处理策略；反之，如果没有查询到本地保存有对所述报文进行IPSec处理的对应SA流信息，则表明所述报文为新报文，需要进一步与外网分支设备进行IPSec加密处理的IKE协商，以便协商到对应的SA流信息。
[0024]进一步地，当所述业务板查询到本板上保存有对所述报文进行IPSec处理的对应SA流信息，需要进一步根据查询到的SA流程判断所述报文是否由本板进行IPSec加密或解密处理，如果是则直接根据该SA流信息进行相应的IPSec加密或解密处理，否则，业务板根据查询到的SA流信息进行匹配，并将该报文重定向发送给匹配到的对应业务板进行IPSec加密或解密处理。具体地，当业务板接收到来自外网分支设备的IPSec报文时，则根据查询到的SA流信息，对所述IPSec报文进行解密处理，并将解密后的报文发送给中心内网设备；反之，如果业务板接收到来自中心内网设备的报文，则根据查询到的SA流信息，对所述中心内网设备发送的报文进行IPSec加密处理，并将加密后的报文发送给外网分支设备。
[0025]进一步地，当业务板对来自外网分支设备的IPSec报文进行解密后，还需要通知主控板下发ACL信息给所有接口板，告知后续目的IP为所述该报文源IP地址的报文均发送至该业务板。
[0026]进一步地，当业务板根据查询到的SA流信息判断不是由本板进行IPSec加密或解密处理，则根据该查询到的SA流信息进行匹配对应的业务板，并将所述报文重定向至匹配到的业务板进行前述IPSec加密或解密处理。[0027]进一步地，当所述业务板没有查询到本地保存有对所述报文进行IPSec处理的对应SA流信息，则表明所述报文为网络设备新发送的报文，此时所述业务板需要启动与外网分支设备进行IPSec加密/解密处理的IKE协商，以便协商到对应的SA流信息。另外，在协商到对应的SA流信息后，进一步将协商到的SA流信息同步到所有其他业务板，并标识后续具有该SA流信息的报文均由该业务板处理。
[0028]如图2所示，为本发明分布式防火墙IPSec业务负载分担的方法流程图，应用于需要通过公网进行IPSec数据传输的网络系统中，该网络系统至少包括若干个外网设备和内网设备。所述防火墙设置于所述外网设备和内网设备之间，且至少包括一个主控板和两个以上的接口板和业务板，其中所述方法包括如下步骤:
[0029]步骤1、接口板接收来自网络设备的报文，按照预定策略规则转发给对应的业务板。
[0030]具体地，当分支内网设备向中心内网设备发起访问时，所述网络设备具体为外网(公网)分支设备；当中心内网设备向分支内网设备发起访问时，所述网络设备具体为中心内网设备。另外，在本发明实施例中，所述预定的策略规则，具体为通过Hash算法随机均衡分配业务给对应的业务板。
[0031]步骤2、业务板确认是否需要对所述报文进行IPSec加密或解密处理，如果是，则进行步骤3，否则，进行步骤8。
[0032]具体地，当分支内网设备向中心内网设备发起访问时，所述业务板确认是否需要对所述报文进行IPSec解密处理；当中心内网设备向分支内网设备发起访问时，所述业务板确认是否需要对所述报文进行IPSec加密处理。
[0033]另外，当业务板确认需要对所述报文进行IPSec加密处理时，还需要通知主控板下发ACL信息给所有接口板，告知后续源或目的IP地址为传输所述报文的外网设备的IP地址的所有报文均发送至该业务板。
[0034]步骤3、业务板查询本地是否保存有对所述报文进行IPSec处理的对应SA流信息，如果有，则进行步骤4，否则进行步骤7。
[0035]具体地，当查询到本地保存有对所述报文进行IPSec处理的对应SA流信息，则表明所述报文之前已建立起相应的IPSec加密或解密处理策略；反之，如果没有查询到本地保存有对所述报文进行IPSec处理的对应SA流信息，则表明所述报文为新报文，需要进一步与外网分支设备进行IPSec加密处理的IKE协商，以便协商到对应的SA流信息。
[0036]步骤4、业务板根据查询到的SA流信息判断是否由本板进行IPSec加密或解密处理，如果是，则进行步骤5，否则，进行步骤6。
[0037]具体地，当业务板查询到本板上保存有对所述报文进行IPSec处理的对应SA流信息，需要进一步根据查询到的SA流程判断所述报文是否由本板进行IPSec加密或解密处理，如果是则直接根据该SA流信息进行相应的IPSec加密或解密处理，否则，业务板根据查询到的SA流信息进行匹配，并将该报文重定向发送给匹配到的对应业务板进行IPSec加密或解密处理。
[0038]步骤5、业务板对所述报文进行IPSec加密或解密处理，并将加密或解密后的报文发送给目标网络设备。
[0039]具体地，当业务板接收到来自外网分支设备的IPSec报文时，则根据查询到的SA流信息，对所述IPSec报文进行解密处理，并将解密后的报文发送给中心内网设备；反之，如果业务板接收到来自中心内网设备的报文，则根据查询到的SA流信息，对所述中心内网设备发送的报文进行IPSec加密处理，并将加密后的报文发送给外网分支设备。
[0040]进一步地，当业务板对来自外网分支设备的IPSec报文进行解密后，还需要通知主控板下发ACL信息给所有接口板，告知后续目的IP为所述该报文源IP地址的报文均发送至该业务板。
[0041]步骤6、业务板根据查询到的SA流信息进行匹配，并将该报文重定向发送给匹配到的对应业务板进行IPSec加密或解密处理，并将加密或解密后的报文发送给目标网络设备。
[0042]具体地，当业务板根据查询到的SA流信息判断不是由本板进行IPSec加密或解密处理，则根据该查询到的SA流信息进行匹配对应的业务板，并将所述报文重定向至匹配到的业务板进行前述步骤6所述的IPSec加密或解密处理。
[0043]步骤7、业务板启动所述报文IPSec加密处理的IKE协商，并将协商到的SA流信息同步到所有其他业务板，并标识后续具有该SA流信息的报文均由该业务板处理。
[0044]具体地，如果业务板没有查询到本地保存有对所述报文进行IPSec处理的对应SA流信息，则表明所述报文为网络设备新发送的报文，此时所述业务板需要启动与外网分支设备进行IPSec加密/解密处理的IKE协商，以便协商到对应的SA流信息。另外，在协商到对应的SA流信息后，进一步将协商到的SA流信息同步到所有其他业务板，并标识后续具有该SA流信息的报文均由该业务板处理。
[0045]步骤8、直接对所述报文进行转发处理。
[0046]如图3所示，为本发明分布式防火墙IPSec业务负载分担的应用场景图，图4则为图3所示应用场景下采用本发明方法分支内网设备Blcl向中心内网设备SI发起访问的流程图。
[0047]在该应用场景下，本发明分支内网设备Blcl向中心内网设备SI发起的访问，首先触发外网分支设备BI主动发起对中心设备分布式防火墙的IKE协商。
[0048]具体地，外网分支设备BI发送IKE协商报文到中心设备分布式防火墙的接口卡，防火墙接口板通过所述报文源IP地址、目的IP地址、源端口，目的端口以及协议号做HASH处理，假定经HASH处理后发送到业务板Cl。
[0049]业务板Cl在进行转发处理前，先确认是否需要对该报文进行IPSEC加密处理，如果需要进行IPSec加密处理，则进一步查询其上是否保存有对应的SA流信息，如果没有发现其上没有保存符合的SA流信息，则启动IKE协商，同时业务板Cl通知主控卡下发ACL信息给所有接口板，通告后续源IP为BI公网地址的报文均发送往业务板Cl。
[0050]当业务板Cl协商到SA流信息后，业务板Cl需要进一步把该SA流信息同步到所有的其他业务板上，同时标识该SA流信息的IPSec处理的业务板为Cl。
[0051]当接口板接收到外网分支设备BI发送的IPSEC加密报文，根据之前下发的ACL信息发送到业务板Cl，业务板Cl解密后发送到中心内网设备SI，并通知主控板下发ACL给所有接口板，告知后续目的地址为Blcl的报文均发送到业务板Cl，同时建立防火墙会话信肩、O
[0052]接口板后续接受到由SI发往BlCl的原始报文，根据ACL匹配发送到Cl，由业务卡Cl加密后发送给BI。
[0053]当接口卡接收到来自中心内网设备Sn发送给Blcn的报文，假如根据随机HASH运算最终发送到业务板Cn，业务板Cn确认需要进行IPSEC加密处理，根据SA流信息确认该SA已经建立，同时进行该IPSec业务处理的仍是业务卡Cl,则业务板Cn将中心内网设备Sn发送给Blcn的报文转发给业务板Cl，由业务板Cl对该报文进行IPSec加密后发送给外网设备BI。如果业务板Cn确认之前没有建立SA信息，则由该业务板Cn发起建立SA的IKE协商，同时标注业务卡Cn为该SA的处理业务板卡。
[0054]进一步地，如图5所示，为图3所示应用场景下采用本发明方法，中心内网设备SI向分支内网设备Blcl发起访问的流程图。
[0055]在该应用场景下，中心内网设备SI发起对分支内网设备BI Cl的访问，首先会触发中心设备分布式防火墙主动发起对分支设备的IPSEC连接。
[0056]当中心设备分布式防火墙的接口板接收到中心内网设备SI发送给分支内网设备Blcl的报文，防火墙接口板通过源IP地址、目的IP地址、源端口、目的端口、协议号做HASH处理，假如经HASH处理后将该报文发送到业务板Cl。
[0057]业务板Cl在进行转发处理之前，确认是否需要进行IPSEC加密处理，如果判断需要进行IPSEC加密处理，则进一步查询其上是否保存有与该报文相符合的SA流信息，如果没有，则需要启动与外网分支设备BI的IKE协商，同时，业务板Cl通知主控板下发ACL信息给所有的接口卡保证后续源IP为BI公网地址的报文送往业务板Cl。
[0058]当业务板Cl协商到SA后，需要进一步把SA流信息同步到所有的业务卡，同时标识该SA的处理业务板为Cl。
[0059]当接口卡接受到外网分支设备BI发送的IPSEC加密报文，根据之前下发的ACL信息发送到业务板Cl，经业务板Cl解密后发送到中心内网设备SI，同时，通知主控板下发ACL给所有接口卡，告知后续所有目的地址为Blcl的报文均发送到业务板Cl，同时建立防火墙
会话信息。
[0060]当接口板后续接受到由中心内网设备SI发往内网分支设备Blcl的原始报文，首先根据ACL匹配发送到业务板Cl加密后发送给外网分支设备BI。
[0061]当接口板接受到中心内网设备Sn发送BnCn的报文，假定根据随机HASH最终发送到业务板Cn，业务板Cn确认需要进行IPSEC加密处理，根据SA流信息确认该SA没有建立，由该业务板Cn发起对外网分支设备Bn的IKE协商，发送IKE协商报文到Bn。同时通知主控板下发ACL给所有的接口卡，告知后续目的IP为BnCn的报文或则源IP为Bn的报文发送到Cn。
[0062]当接口板接受到外网分支设备Bn发送的IKE协商报文，根据ACL匹配发送到业务板Cn，在完成SA协商后，下发该SA流信息给所有的业务板，同时标识该SA的处理板卡为Cn,保证后续来自Bn的IPSEC保温由Cn处理。
[0063]与现有的技术方案相比，本发明通过SA保护流信息同步，动态ACL下发和根据SA流信息的报文重定向实现分布式防火墙IPSEC业务的负载分担，同时保证IPSEC加密的同一条流的正反向报文都送往同一个业务卡处理，保证IPSEC信息随业务插卡数量增加而线形增加。
[0064]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【权利要求】
1.一种分布式防火墙IPSec业务分担的方法，应用于需要通过公网进行IPSec数据传输的网络系统中，其中该网络系统至少包括若干个外网设备和内网设备，所述防火墙设置于所述外网设备和内网设备之间，且至少包括一个主控板和两个以上的接口板和业务板，其特征在于，所述方法包括如下步骤: 所述业务板通知主控板下发ACL策略信息给所有接口板，以保证来自特定网络设备的报文均发送给对应的接口板； 所述业务板进一步将SA流信息同步到其他所有业务板，当业务板根据SA流信息，发现其接收的报文不属于其自身处理时，进一步将该报文重定向至与该SA流信息匹配的业务板。
2.如权利要求1所述的方法，其特征在于，所述业务板通知主控板下发ACL策略信息给所有接口板具体包括: 当业务板确认需要对所述报文首次进行IPSec加密处理时，通知主控板下发ACL信息给所有接口板，告知后续源或目的IP地址为传输所述报文的外网设备的IP地址的所有报文均发送至该业务板；并且 当业务板对来自外网分支设备的IPSec报文首次进行解密后，还需要通知主控板下发ACL信息给所有接口板，告知后续目的IP为所述该报文源IP地址的报文均发送至该业务板。
3.如权利要求2所述的方法，其特征在于，当所述业务板确认需要对所述报文进行IPSec加密或解密处理时，该业务板查询本地是否保存有对所述报文进行IPSec处理的对应SA流信息，如果没有，则表明所述报文为网络设备新发送的报文，所述业务板需要启动与外网分支设备进行IPSec加密/解密处理的IKE协商，以便协商到对应的SA流信息。
4.如权利要求3所述的方法，其特征在于，所述业务板在协商到对应的SA流信息后，进一步将协商到的SA流信息同步到所有其他业务板，并标识后续具有该SA流信息的报文均由该业务板处理。
5.如权利要求3所述的方法，其特征在于，如果业务板本地保存有对所述报文进行IPSec处理的对应SA流信息，则所述业务板根据查询到的SA流信息判断是否由本板进行IPSec加密或解密处理，如果判断结果为由本板进行处理，则所述业务板对所述报文进行IPSec加密或解密处理，并将加密或解密后的报文发送给目标网络设备，否则，业务板根据查询到的SA流信息进行匹配，并将该报文重定向发送给匹配到的对应业务板进行IPSec加密或解密处理，并将加密或解密后的报文发送给目标网络设备。
6.一种分布式防火墙IPSec报文业务负载分担的装置，所述装置应用于需要通过公网进行IPSec数据传输的网络系统中，其中该网络系统至少包括若干个外网设备和内网设备，所述装置设置于所述外网设备和内网设备之间，且至少包括一个主控板和两个以上的接口板和业务板，其中所述接口板，用于接收来自网络设备的报文，并按照预定策略规则转发给对应的业务板，其特征于: 所述业务板，用于对接收来自接口板的报文进行相应的处理并转发给目标网络设备，并通过主控板及时下发ACL策略信息给所有接口板，以保证来自特定网络设备的报文均发送给对应的接口板；并通过将SA流信息同步到所有业务板，当业务板根据SA流信息，发现其接收的报文不属于其自身处理时，进一步将该报文重定向至与该SA流信息匹配的业务板。
7.如权利要求6所述的装置，其特征在于，所述业务板通知主控板下发ACL策略信息给所有接口板具体包括: 当业务板确认需要对所述报文首次进行IPSec加密处理时，通知主控板下发ACL信息给所有接口板，告知后续源或目的IP地址为传输所述报文的外网设备的IP地址的所有报文均发送至该业务板；并且 当业务板对来自外网分支设备的IPSec报文首次进行解密后，还需要通知主控板下发ACL信息给所有接口板，告知后续目的IP为所述该报文源IP地址的报文均发送至该业务板。
8.如权利要求7所述的装置，其特征在于，当所述业务板确认需要对所述报文进行IPSec加密或解密处理时，该业务板查询本地是否保存有对所述报文进行IPSec处理的对应SA流信息，如果没有，则表明所述报文为网络设备新发送的报文，所述业务板需要启动与外网分支设备进行IPSec加密/解密处理的IKE协商，以便协商到对应的SA流信息。
9.如权利要求8所述的装置，其特征在于，所述业务板在协商到对应的SA流信息后，进一步将协商到的SA流信息同步到所有其他业务板，并标识后续具有该SA流信息的报文均由该业务板处理。
10.如权利要求8所述的装置，其特征在于，如果业务板本地保存有对所述报文进行IPSec处理的对应SA流信息 ，则所述业务板根据查询到的SA流信息判断是否由本板进行IPSec加密或解密处理，如果判断结果为由本板进行处理，则所述业务板对所述报文进行IPSec加密或解密处理，并将加密或解密后的报文发送给目标网络设备，否则，业务板根据查询到的SA流信息进行匹配，并将该报文重定向发送给匹配到的对应业务板进行IPSec加密或解密处理，并将加密或解密后的报文发送给目标网络设备。
【文档编号】H04L29/08GK103546497SQ201210235999
【公开日】2014年1月29日 申请日期:2012年7月9日 优先权日:2012年7月9日
【发明者】王其勇 申请人:杭州华三通信技术有限公司