[发明专利]一种IPSec VPN网关数据包处理装置及方法

说明书

本发明提供一种IPSec VPN网关数据包处理装置及方法，包括：IPSec主模块，用于进行IPSec VPN网关的数据层面和控制层面分离；数据层面包括用户态网卡收发数据包，控制层面包括IPSec协议的密钥协商；用户态收发包模块，用于提供用户态网卡收发数据包的收包接口和发包接口，并与IPSec主模块进行交互实现数据包的收发。本发明能够实现数据包的零拷贝、数据层面和控制层面分离，有效提升数据包的处理性能。

技术领域

本发明涉及计算机数据处理技术领域，具体涉及一种IPSec VPN网关数据包处理装置及方法。

背景技术

VPN技术，即虚拟专用网技术，是指在公共网络中建立私有专用网络，数据通过安全的“加密管道”在公共网络中传播。虚拟专用网是一条穿过公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络建立一个临时的、安全的连接，从而实现在公网上传输私有数据，达到私有网络的安全级别。IPSec VPN是采用IPSec协议来实现远程接入的一种目前广泛使用的VPN技术，用以提供公用和专用网络的端对端加密和验证服务。

然而传统的IPSec VPN数据传输，是数据包到达网卡后，网卡驱动产生一个中断告知内核，内核将数据包从网卡缓冲区复制到内核缓冲区，最后还需要将数据包拷贝至应用程序的用户态缓冲区，在整个的处理流程中，中断通知、数据包的拷贝、用户态和内核态的切换等导致消耗一定的CPU资源和损耗大量的CPU性能；此外，数据传输还涉及控制层面和数据层面，控制层面是各种协议工作的层面，数据层面是针对数据收发等，采用多CPU切换和调度将使得控制层面和数据层面相互交织，融合处理，如何合理地设计使用CPU资源，使得控制层面和数据层面能够相互分离，提高数据包处理的性能是目前急需解决的问题。

为了解决上述所存在的问题，人们一直在寻求一种理想的技术解决方案。

发明内容

本发明的目的在于针对现有技术中存在的不足，从而提供一种IPSec VPN网关数据包处理装置及方法，通过用户态网卡轮询DMA连续内存机制实现数据包的收发，避免多次拷贝、中断收包以及用户态和内核态的切换；同时，通过将数据层面绑定单独的一CPU核，控制层面绑定另一CPU核，保证数据层面和控制层面分离，避免数据层面和控制层面的CPU资源竞争。

为达到上述目的，本发明采用的技术方案如下：

一种IPSec VPN网关数据包处理装置，包括：

IPSec主模块，用于进行IPSec VPN网关的数据层面和控制层面分离；所述数据层面包括用户态网卡收发数据包，所述控制层面包括IPSec协议的密钥协商；

用户态收发包模块，用于提供所述用户态网卡收发数据包的收包接口和发包接口，并与所述IPSec主模块进行交互实现数据包的收发。

基于上述，所述数据层面独占绑定第一CPU核，所述控制层面绑定第二CPU核；所述数据层面还包括由所述第一CPU核进行数据包的协议解析、包过滤和NAT功能。

基于上述，所述用户态收发包模块采用用户态网卡轮询DMA的连续内存机制进行数据包的收发，所述连续内存用于用户态网卡DMA进行数据包的直接存储。

基于上述，所述数据包处理装置还包括FPGA加解密模块，用于与所述IPSec主模块进行交互实现数据包的加解密。

本发明还提供一种应用所述的数据包处理装置的数据包处理方法，所述数据包处理方法包括：

通过所述IPSec主模块进行IPSec VPN网关的数据层面和控制层面分离；所述数据层面包括用户态网卡收发数据包，所述控制层面包括IPSec协议的密钥协商；

通过所述用户态收发包模块与所述IPSec主模块进行交互实现数据包的收发。