WO2010020151A1

WO2010020151A1 - 报文处理方法、装置和***

Info

Publication number: WO2010020151A1
Application number: PCT/CN2009/073100
Authority: WO
Inventors: 朱志强; 张日华; 侯贵斌; 徐勇; 谢文辉; 马擘; 高国鲁; 陆晓萍; 付翠花
Original assignee: 成都市华为赛门铁克科技有限公司
Priority date: 2008-08-18
Filing date: 2009-08-05
Publication date: 2010-02-25
Also published as: US20130297671A1; US8737388B2; US8509239B2; US20110149971A1

Description

报文处理方法、装置和***

本申请要求于 2008 年 08 月 18 日提交中国专利局、申请号为 200810142458. 5 , 发明名称为 "一种报文处理方法、业务板、接口板及网络通信设备"， 2008年 09月 10日提交中国专利局、申请号为 200810212182. 3、发明名称为 "一种 IP安全业务的实现方法、装置和通信设备" ， 2008年 12 月 18 日提交中国专利局、申请号为 200810183551. 0、发明名称为 "一种建立隧道的方法、 ***和设备" ，以及 2008年 9月 12 日提交中国专利局、申请号为 200810149594. 7、发明名称为 "一种报文的转发方法、装置和***" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明实施例涉及通信技术领域，特别涉及一种报文处理方法、装置和 ***。背景技术

虚拟专用网（Vi r tua l Pr iva te Network, 以下简称： VPN) 技术是指采用隧道技术以及加解密、身份认证等方法，在公众网络上构建专用网络的技术。 VPN技术具有节省成本、安全性高、扩展性强、便于管理和实现全面控制等优点，是目前和今后企业网络发展的趋势。 VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络， VPN只为特定的企业或用户群体所专用， VPN不是一种简单的高层业务，而是建立专网用户之间的网络互联。 VPN 的隧道协议可包括第二层隧道（ yer 2 tunnel ing Protocol , 以下简称： UTP )协议、 IP层协议安全结构 ( Secur i ty Archi tec ture for IP network, 以下简称： IPSec ) 协议、通用路由封装（ Gener ic Rout ing Encapsula t ion, 以下简称： GRE ) 协议等。 VPN的隧道协议在协议层采用了隧道（Tunne l )技术，隧道是一个虚拟的点对点的连接，在实际中可以看成是仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报文能够在这个通路上传输，并且在一个隧道的两端分别对数据报文进行封装及解封装。

在实现本发明的过程中，发明人发现现有技术存在如下问题：在应用上述 VPN的隧道协议实现 ^艮文处理的过程中，通常采用多业务板的分布式架构的方案，在这种方案中，隧道的协商建立及报文的处理皆由该架构中的主控板来完成，当隧道的协商建立次数和报文的数量增加时，会造成主控板的工作量增加，从而降低整个架构的业务的吞吐量及报文的处理效率。发明内容

本发明实施例提供了一种报文处理方法、装置和***，从而提高业务的吞吐量和 ^艮文的处理效率。

本发明实施例提供一种报文处理方法，应用于多业务板的分布式架构，所述分布式架构包括主控板、至少一个业务板和至少一个接口板，其特征在于，包括：

确定接收到的报文对应的指定的 CPU , 由所述 CPU对应的业务板对接收到的报文进行处理。

本发明实施例提供了一种接口板，应用于包括主控板、至少一个接口板和业务板的***，其特征在于，包括：

报文下发单元，用于根据主控板下发的配置 GRE路由信息，将接收到的第一报文发送到指定业务板；

报文转发单元，用于接收所述业务板发送的封装处理后的第一报文，并根据所述主控板下发的配置 GRE路由信息向外部转发所述封装处理后的第一报文；报文接收单元，用于接收到外部发送的对所述封装处理后的第一报文进行响应的第二报文，根据配置的路由信息将所述第二报文发送到所述业务板。

本发明实施例提供了一种报文处理***，其特征在于，包括主控板、至少一个接口板和业务板；

所述主控板，用于对封装报文所需要的信息和配置 GRE路由信息进行下发；

所述接口板，用于根据所述主控板下发的配置 GRE路由信息，将接收到的第一报文发送到所述业务板，由所述业务板对所述第一报文进行封装处理，并接收所述业务板发送的封装处理后的第一报文，并根据所述主控板下发的配置 GRE路由信息向外部转发所述封装处理后的第一报文，在接收到外部发送的对所述封装处理后的第一报文进行响应的第二报文之后，根据配置的路由信息将所述第二报文路由到所述业务板，由所述业务板对所述第二报文进行解封装处理；

所述业务板，用于对所述接口板发送的报文进行封装和解封装处理。本发明实施例提供了一种报文处理***，包括多个业务板、控制板及接口板，其中，所述多个业务板，用于建立与客户端之间的隧道，存储所述隧道的编号至与所述客户端建立隧道的业务板的 CPU, 并请求所述控制板为所述客户端分配 IP地址；

所述控制板，用于将所述隧道的编号、处理所述隧道的当前业务板的

CPU 的编号及所述客户端的 IP地址的对应关系发送至所述接口板和所述多个业务板；

所述接口板，用于当接收到报文时查询所述报文的目的地址，当查询所述 ^艮文的目的地址为所述客户端的 IP地址时，居所述客户端的 IP地址对应的 CPU编号将所述 >¾文发送至与所述 CPU编号对应的业务板进行处理。本发明实施例提供了一种应用于分布式架构的业务板，所述业务板与控制板、接口板通信连接，用于接收所述控制板发送的与客户端建立的隧道的编号、处理所述隧道的 CPU编号及分配给所述客户端的 IP地址对应关系，并当接收报文后查询所述报文的目的地址，及当查询所述报文的目的地址为所述客户端的 IP地址时，根据所述客户端的 IP地址对应的 CPU 编号将所述报文发送至与所述 CPU编号对应的业务板进行处理。

本发明实施例提供了一种应用于分布式架构的接口板，所述接口板与控制板、多个业务板通信连接，所述多个业务板用于建立与所述客户端之间的隧道，所述接口板用于接收所述控制板发送的与客户端建立的隧道的编号、处理所述隧道的 CPU编号及分配给所述客户端的 IP地址对应关系，并当接收报文后查询所述报文的目的地址，及当查询所述报文的目的地址为所述客户端的 IP地址，根据所述客户端的 IP地址对应的 CPU编号将所述才艮文发送至与所述 CPU编号对应的业务板进行处理。

本发明实施例提供了一种报文处理装置，包括：第一 CPU获取单元和第一 CPU; 其中

所述第一 CPU获取单元，用于根据接收到的 IP报文，获取对该 IP报文进行 IP安全 IPSEC业务处理的第一 CPU;

所述第一 CPU, 用于对该 IP 文进行相应的 IPSEC业务处理并发送。本发明实施例提供了一种报文处理***，包括至少一个接口板和至少两个 CPU;

所述接口板，用于根据接收到的 IP报文，获取对该 IP报文进行 IP 安全 IPSEC业务处理的第一 CPU;

所述第一 CPU, 用于对该 IP 文进行相应的 IPSEC业务处理并发送。本发明实施例通过将接收到的报文在指定的 CPU对应的业务板中进行处理，可以使报文均勾的分布到各业务板中进行处理，减轻了主控板的工作量，并大大提高了业务的吞吐量，从而提高了整个架构的报文的处理效附图说明

图 1为本发明实施例二提供的一种报文处理方法的流程图；

图 2为本发明实施例二中报文在设备中转发的数据流示意图；图 3为本发明实施例二中报文的转发方法流程图；

图 4为本发明实施例二中报文的转发方法又一流程图；

图 5为本发明实施例三提供的一种接口板的结构示意图；

图 6为本发明实施例四提供的一种接口板的结构示意图；

图 7为本发明实施例五提供的一种报文处理***的结构示意图；图 8为本发明实施例六提供的一种报文处理方法的流程图；

图 9为本发明实施例七提供的一种报文处理方法的流程图；

图 10为本发明实施例八提供的一种报文处理***的应用环境图；图 11为本发明实施例八提供的一种报文处理***的结构图；图 12为本发明实施例九提供的一种报文处理方法的流程图；图 13为本发明实施例十提供的一种报文处理方法的流程图；图 14为本发明实施例十提供的一种报文处理方法的示意图；图 15为本发明实施例十一提供的一种报文处理装置的结构示意图；图 16为本发明实施例十二提供的一种报文处理***的结构示意图；图 17 为本发明实施例十二提供的一种报文处理***的工作流程示意图；

图 18为本发明实施例十三提供的一种建立隧道的方法的流程图；图 19为本发明实施例分布式架构中实现 IKE协商的简要流程图；图 20为本发明实施例提供的 IKE协商的流程图；

图 21为本发明实施例十四提供的一种建立隧道的设备的结构示意图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例一提供了一种报文处理方法，应用于多业务板的分布式架构，所述分布式架构包括主控板、至少一个业务板和至少一个接口板，该方法包括：确定接收到的报文对应的指定的 CPU , 由所述 CPU对应的业务板对接收到的报文进行处理。

本实施例通过将接收到的报文在指定的 CPU 对应的业务板中进行处理，可以使报文均勾的分布到各业务板中进行处理，减轻了主控板的工作量，并大大提高了业务的吞吐量，从而提高了报文的处理效率。

图 1为本发明实施例二提供的一种报文处理方法的流程图，如图 1所示，该方法包括以下步骤：

51 01、接口板根据主控板下发的配置通用路由封装 GRE路由信息，将接收到的第一报文发送到指定的业务板，由所述业务板对所述第一报文进行封装处理。

上述 GRE路由信息具体包括路由的下一跳、出接口、处理 GRE ^艮文的 CPU I D以及隧道的 I D等信息。

51 02、所述接口板接收所述业务板发送的封装处理后的第一报文，并根据所述主控板下发的配置 GRE路由信息向外部转发所述封装处理后的第一报文。其中外部为第一报文待发送的目的地址。

51 03、所述接口板接收到外部发送的对所述封装处理后的第一报文进行响应的第二报文，根据配置的路由信息将所述第二报文发送到所述业务板，由所述业务板对所述第二报文进行解封装处理。其中外部为发送第二才艮文的源地址。

通过本发明实施例，实现了当大量的报文经过设备时，接口板根据配置的 GRE路由信息将不同的报文送到不同的业务板进行处理，可以使报文均匀的分布到各业务板中进行处理，避免了大量报文同时送到主控板等待处理，提高了报文的处理效率。

本发明实施例二提供一种报文处理方法。该方法应用在 GRE 隧道封装业务中，所封装的数据流是由隧道的源地址和目的地址决定的。在主控板配置 Tunne l 的同时，将封装报文所需要的信息广播到所有的业务板，这样，接口板收到的报文，无论送到哪个 CPU都可以正确的进行封装或者解封装处理。具体的，本发明实施例中，首先对给每个业务板上的 CPU编号；然后对 Tunne l的两端的 IP地址进行 ha sh, 根据 ha sh索引选择相应的 CPU。由于隧道两端的 IP地址是固定的，使得不同 Tunne l加封装和反向解封装的报文会根据 ha sh索引选择到不同的 CPU上处理，这样实现了进出隧道的才艮文由同一个 CPU处理的目的。

该方法中报文在设备中转发的数据流示意图如图 2所示，其中， 0号数据流为主控板下发到业务板的配置数据流； 1 号流为送到业务板进行加封装的流； 2 号流为在业务板上封装后送到接口板的流。 3 号流为从接口板送到业务板解封装的流； 4号流为报文在业务板解封装后转到接口板的流。

在本发明实施例二中实现网络通信中报文的封装转发的流程图，如图

3所示，包括以下步骤：

S 30K 主控板的将封装报文所需要的相关信息广播至各个业务板。其中，主控板在多业务板分布式架构的设备中，负责所有的配置管理。上述封装报文所需要的信息包括隧道的源地址、目的地址、 Tunen l 接口的 IP地址、检验和、认证关键字等信息；

S 302、主控板将配置的 GRE路由信息广播到业务板和接口板。该步骤中， GRE路由信息除了路由的下一跳和出接口外，还包括处理 GRE ^艮文的 CPU ID和隧道 ID。

5303、接口板接收报文，并根据报文的目的地址来确定如何路由此包。该步骤中路由该数据包的方式包括：

( 1 ) 当报文的目的地址被发现要路由经过 Tunnel的出接口时，接口板根据配置的 GRE路由信息获得该报文对应的 CPUID, 并将报文送到对应的 CPU所在的业务板进行处理；

( 2 ) 当报文是到本机的，接口板根据报文的源地址和目的地址进行 hash, 计算出应该由哪个业务板对文进行处理。该过程实现了本步骤的目的在于保证了同一个报文在同一个 CPU上进行处理，避免了相同报文在不同 CPU处理时因为查不到会话信息丟包，同时避免了对所有报文都进行 hash计算 CPU所带来的转 CPU的麻烦。

5304、业务板接收接口板发送的要路由经过 Tunnel 的出接口的报文时，查找该报文的路由，并根据预先配置的 GRE路由信息确定该报文的出接口，下一跳以及要进哪个 Tunnel进行加封装等信息。

5305、业务板根据预先配置的封装报文的相关信息对报文进行加封装处理。

上述对 ^艮文进行加封装处理具体为将隧道的源地址、目的地址和隧道标识等信息添加到报文的头部。

S306、业务板将封装后根据步骤 s304 中配置的报文的出接口、下一跳等信息的报文通过查路由确定接口和下一跳，将封装后的报文后送到接口板转发。

具体的将接收到的报文进行解封装的过程，如图 4所示，具体为： S401、接口板收到本机的文后，对^艮文的源地址和目的地址进行 hash,根据 hash索引选择相应的 CPU, 并将该报文发送到 CPU对应的业务板上。 54 02、业务板根据所保存的配置信息对接收到的报文进行解封装。其中，配置信息具体为道的源地址、目的地址、 Tunen 1接口的 I P地址和隧道标识等信息。

上述解封装过程具体包括：首先判断 GRE协议报文的源地址、目的地址和隧道标识是否为该隧道的源地址、目的地址和隧道标识。如果是，则将 GRE协议文的源地址、目的地址和隧道标识去掉；否则，丟弃该 GRE 协议报文。

54 03、报文解封装后直接在该业务的 CPU上进行处理。

通过上述步骤，实现了在复杂的多业务板多核环境中的负载分流。通过本发明实施例二提供的方法，避免了大量报文同时送到主控板等待处理，提高了处理效率、节省了主控板的 CPU资源。并且 GRE报文进出隧道在同一个 CPU进行处理，保持了会话信息的一致性。

图 5为本发明实施例三提供的一种接口板的结构示意图，如图 5所示，该接口板应用于包括主控板、至少一个接口板和业务板的***，包括：报文下发单元 1 0、报文转发单元 2 0以及报文接收单元 30 ;

所述报文下发单元 1 0 , 用于根据主控板下发的配置通用路由封装 GRE 路由信息，将接收到的第一报文发送到指定业务板；

所述报文转发单元 20 ,用于接收所述业务板发送的封装处理后的第一报文，并根据所述主控板下发的配置 GRE路由信息向外部转发所述封装处理后的第一 4艮文；

所述报文接收单元 30 ,用于接收到外部发送的对所述封装处理后的第一报文进行响应的第二报文，根据配置的路由信息将所述第二报文发送到所述业务板；

图 6为本发明实施例四提供的一种接口板的结构示意图，如图 6所示，在实施例三的基础上，所述报文下发单元 1 0还包括：第一报文下发子单元 1 1和第二报文下发子单元 1 2 ; 第一报文下发子单元 1 1 ,用于当所述接口板发现接收到的第一报文是要路由经过隧道 Tunne 1 的出接口时，所述接口板根据配置的 GRE路由信息获得所述第一报文对应的 CPU I D , 并将所述第一报文发送到业务板。

第二报文下发子单元 1 2 ,用于当所述接口板发现接收到的第一报文是到本机的报文时，所述接口板根据所述第一报文的源地址和目的地址进行 ha sh , 计算处理所述第一文的业务板并发送所述第一 ^艮文。

图 7为本发明实施例五提供的一种报文处理***的结构示意图，如图 7所示，包括主控板 40、至少一个接口板 50和业务板 6 0 ;

所述主控板 40 ,用于对封装报文所需要的信息和配置 GRE路由信息进行下发；

所述接口板 5 0 , 用于根据所述主控板 4 0下发的配置 GRE路由信息，将接收到的第一报文发送到所述业务板 60 , 由所述业务板 60对所述第一报文进行封装处理，并接收所述业务板 60发送的封装处理后的第一报文，并根据所述主控板 40下发的配置 GRE路由信息向外部转发所述封装处理后的第一报文，在接收到外部发送的对所述封装处理后的第一报文进行响应的第二报文之后，根据配置的路由信息将所述第二报文路由到所述业务板 60 , 由所述业务板 60对所述第二报文进行解封装处理；

所述业务板 60 , 用于对所述接口板 50发送的报文进行封装和解封装处理。

通过使用本发明实施例提供的设备和***，可以使报文均匀的分布到各业务板中进行处理，避免了大量报文同时送到主控板等待处理，提高了转发效率、节省了主控板的 CPU资源。并且 GRE 文进出隧道在同一个 CPU 进行处理，保持了会话信息的一致性。

图 8为本发明实施例六提供的一种报文处理方法的流程图，如图 8所示，在本实施例六中，所述方法应用于多业务板的分布式架构的网络设备，在该分布式架构中，包括主控板、接口板和多个业务板，主控板连接于接口板和该多个业务板，接口板与该多个业务板分别连接。该分布式架构的网络设备外接于客户端及网络。

步骤 S800 , 当客户端发起连接请求时，通过接口板选择业务板，协商建立该客户端与该业务板的 L2TP 隧道。在本实施例六中，客户端向接口板发送一个连接请求的协商报文，接口板根据该协商报文中的源地址和目的地址进行 HASH运算来选择多个业务板中的一个业务板，之后，该业务板协商建立该客户端与该业务板的 L2TP 隧道。在本实施例六中，该连接请求的协商 ^艮文中的目的地址为隧道两端的 IP地址，接口板可根据该隧道两端的 IP地址可查询处理该客户端的发送的报文的业务板，从而业务板与客户端协商建立该 IP地址对应的隧道。

步骤 S802 , 当该 L2TP隧道建立后，将该隧道对应的编号存储至该业务板的 CPU中，并请求主控板为该客户端分配 IP地址，及将分配后的 IP 地址及隧道的编号返回客户端。在本实施例六中，当业务板成功建立该 IP 地址对应的隧道后，会对该隧道进行编号。

步骤 S804 , 通过主控板将该隧道的编号、处理该隧道的 CPU编号及该客户端的 IP地址的对应关系发送至接口板和所有的业务板。

步骤 S806 , 当接口板接收到报文后，经由接口板查询该报文的目的地址，或当其它业务板接收到报文后，经由该业务板查询该报文的目的地址。在本实施例六中，当客户端与业务板建立 L2TP 隧道后，接口板可能接收到客户端发送至网络的需进行 L2TP解封装的报文，则其目的地址为该隧道的 IP地址，也有可能接收网络反馈至客户端的需进行 L2TP封装的报文，则其目的地址为客户端的 IP地址。同时，其它业务板接收到的报文有可能是网络反馈至客户端的报文，则其目的地址为客户端的 IP地址。在本实施例六中，其它业务板接收到报文后，可能会处理该报文的 NAT( Ne twork Addres s Trans l a t ion , 网络地址转换）业务，也有可能处理其它业务，该其它业务不包括 L2TP解封装和 L2TP封装业务。当该其它业务板处理完该业务后，进行处理 L2TP封装时，需查询该报文的目的地址。步骤 S808 , 若查询该报文的目的地址为该客户端的 IP地址，则根据该客户端的 IP地址对应的 CPU编号将该报文发送至与该 CPU编号对应的业务板进行 L2TP封装处理，或若查询该报文的目的地址为建立该业务板与客户端的隧道的 IP地址时，则将所述报文发送所述隧道对应的当前业务板进行 L2TP解封装处理。在本实施例六中，根据报文的源地址和目的地址进行 HASH运算来查询处理该文的业务板，此时，根据 >¾文的源地址和目的地址进行 HASH 运算来查询处理该文的业务板的步骤与步骤 S800—样，当查询业务板后，业务板从该报文的头部信息中获取该隧道的编号，从而选择该隧道的编号对应的 CPU进行 L2TP解封装处理，即根据该才艮文的隧道两端的 IP地址找出相应的业务板，此时，该^艮文的隧道两端的 IP地址为步骤 S800中协商建立过程中的隧道两端的 IP地址。

在本实施例六中，若接口板查询接收到的报文的目的地址为该客户端的 IP地址或若其它业务板查询接收到的该报文的目的地址为该客户端的 IP地址，则根据该客户端的 IP地址对应的 CPU编号将该报文发送至与该 CPU编号对应的业务板进行 L2TP封装处理；或若接口板查询该报文的目的地址为隧道的 IP地址，则根据报文的源地址和目的地址进行 HASH运算来查询处理该报文的业务板，进行 L2TP解封装处理。

步骤 S810 , 经由接口板发送处理完的报文。在本实施例六中，经由接口板将 L2TP封装后的报文发送至该 IP地址对应的该客户端，或经由接口板将 L2TP解封装后的报文发送至网络。

本发明实施例六提供的报文处理方法，通过当前业务板与客户端协商建立隧道，并将该隧道的编号、该业务板的 CPU编号及该客户端的 IP地址的对应关系发送至接口板及所有的业务板，当接口板或其它业务板接收需发送至客户端的报文时，通过该对应关系将该报文发送至该隧道编号对应的当前业务板的 CPU进行 L2TP封装，当接口板接收需发送至网络的报文时，通过该报文的隧道的 IP地址来查询之前协商建立该隧道的当前业务板，及将该报文发送至当前业务板的 CPU进行 L2TP解封装处理，从而确保将同一客户端的需进行 L2TP封装和 L2TP解封装的报文在同一个业务板的 CPU 中进行相应处理，减轻了主控板的工作量，并大大提高了 L2TP 业务的吞吐量，从而提高了整个架构的报文的处理效率。

图 9为本发明实施例七提供的一种报文处理方法的流程图，如图 9所示，该方法包括：

步骤 S900 ,根据客户端发送的 IPSEC报文协商建立客户端与业务板的 IPSEC隧道。

步骤 S902 , 根据 IPSEC报文的 L2TP报文协商建立该客户端与该业务板的 L2TP隧道。

步骤 S904、 S906、 S908与图 8的步骤 S802、 S804、 S806的描述一致。步骤 S910 , 若查询该报文的目的地址为该客户端的 IP地址，则根据该客户端的 IP地址对应的 CPU编号将该报文发送至与该 CPU编号对应的业务板先进行 L2TP封装处理再进行 IPSEC加密处理，或若查询该文的目的地址为建立该业务板与客户端的隧道的 IP地址，则将所述报文发送所述隧道对应的业务板先进行 IPSEC解密处理再进行 L2TP解封装处理。在本实施例七中，根据报文的源地址和目的地址进行 HASH运算来查询处理该报文的业务板，此时，根据报文的源地址和目的地址进行 HASH运算来查询处理该文的业务板的步骤与步骤 S902 —样，当查询业务板后，业务板从该报文的头部信息中获取该隧道的编号，从而选择该隧道的编号对应的 CPU进行客户端的 IP地址对应的 CPU编号将该报文发送至该 CPU 编号对应的业务板先进行 IPSEC解密处理再进行 L2TP解封装处理，即根据该 ^艮文的隧道两端的 IP地址找出相应的业务板，此时，该 ^艮文的隧道两端的 IP地址为步骤 S902中协商建立过程中的隧道两端的 IP地址。

在本实施例七中，若接口板查询接收到的报文的目的地址为该客户端的 IP地址或若该其它业务板查询接收到的该报文的目的地址为该客户端的 IP地址，则根据该客户端的 IP地址对应的 CPU编号将该报文发送至与该 CPU编号对应的业务板进行处理；或若接口板查询该报文的目的地址为隧道的 IP地址，则根据报文的源地址和目的地址进行 HASH运算来查询处理该报文的业务板进行处理。在本实施例七中，其它业务板接收到报文后，可能会处理该才艮文的 NAT ( Network Addres s Trans la t i on , 网络地址转换）业务，也有可能处理其它业务，该其它业务不包括 L2TP解封装、 L2TP封装、 IPSEC解密、 IPSEC加密业务。当该其它业务板处理完该业务后，进行处理 L2TP封装时，需查询该 >¾文的目的地址。

步骤 S912 ,发送处理完的报文。在本实施例七中，经由接口板将 L2TP 封装及 IPSEC加密后的报文发送至该 IP地址对应的该客户端，或经由接口板将 IPSEC解密及 L2TP解封装后的报文发送至网络。

本发明实施例七提供的报文处理方法，通过当前业务板与客户端协商建立隧道，并将该隧道的编号、该业务板的 CPU编号及该客户端的 IP地址的对应关系发送至接口板及所有的业务板，当接口板或其它业务板接收需发送至客户端的报文时，通过该对应关系将该报文发送至该隧道编号对应的当前业务板的 CPU先进行 L2TP封装处理再进行 IPSEC加密处理，当接口板接收需发送至网络的报文时，通过该报文的隧道的 IP地址来查询之前协商建立该隧道的当前业务板，及将该报文发送至当前业务板的 CPU 先进行 IPSEC解密处理再进行 L2TP解封装处理，从而确保将同一客户端的需进行 L2TP封装、 IPSEC加密、 L2TP解封装及 IPSEC解密的文在同一个业务板的 CPU中进行相应处理，减轻了主控板的工作量，并大大提高了 L2TP及 IPSEC业务的吞吐量，从而提高了 L2TP+IPSEC组网的文的处理效率。

图 10 为本发明实施例八提供的一种报文处理***的应用环境图。在本实施例中，报文处理*** 3与多个客户端 5、及网络 4通信相连，网络 4 包括内部网络 400和外部网络 41 0 , 内部网络 400为企业的内部网络，外部网络 41 0为非企业的内部网络。在本实施例中，客户端 5发送的报文有可能为访问企业的内部网络的报文，也有可能为访问非企业的内部网络的报文。

图 1 1 为本发明实施例八提供的一种报文处理***的结构图。在本实施例中，报文处理*** 3包括接口板 300、主控板 31 0、第一业务板 321、第二业务板 322 第 N业务板 32N , 报文处理*** 3用于将接口板 300 接收的网络发送至客户端的需进行 L2TP封装及客户端发送至网络的需进行 L2TP解封装的^艮文在同一个业务板的 CPU中进行处理。在本实施例中，第一业务板 321、第二业务板 322 第 N业务板 32N的功能结构相同，为使描述简便，以第一业务板 321为例进行描述。

接口板 300用于根据客户端发起的连接请求选择 N个业务板中的一个业务板。在本实施例中，接口板 300选择第一业务板 321。

第一业务板 321用于协商建立该第一业务板 321与客户端的 L2TP隧道，并存储建立后的 L2TP 隧道的编号于内部的 CPU , 及请求主控板 31 0 为客户端分配 I P地址，并将分配后的 IP地址返回客户端。

第一业务板 321还用于将该隧道的编号、及处理该隧道的 CPU编号及分配给该客户端的 IP地址发送至主控板 31 0。

主控板 31 0用于将第一业务板 321发送的该隧道的编号、及处理该隧道的 CPU编号及分配给该客户端的 I P地址的对应关系发送至主控板 31 0 及第一业务板 321、第二业务板 322 第 N业务板 32N。

接口板 300还用于当接收客户端或网络发送的报文时，查询该报文的目的地址。在本实施例中，当查询该报文的目的地址为该客户端的 IP地址时，即该报文为网络发送至客户端的报文，接口板 300根据该 IP地址对应的 CPU编号将该^艮文发送至与该 CPU编号对应的业务板进行 L2TP封装处理，即发送至第一业务板 321进行 L2TP封装处理；当查询该报文的目的地址为建立该业务板与客户端之间隧道的 IP地址时，接口板 300将所述报文发送所述隧道对应的业务板进行进行 L2TP解封装处理，即发送至第一业务板 321进行 L2TP解封装处理。

第二业务板 322 第 N业务板 32N中的任何一个业务板还用于当接收到报文后，查询该报文的目的地址。在本实施例中，第二业务板

322 第 N业务板 32N中的任何一个业务板接收到报文后，可能会处理该报文的 NAT ( Network Addres s Trans la t ion, 网络地址转换）业务，也有可能处理其它业务，该其它业务不包括 L2TP解封装、 L2TP封装、 IPSEC 解密、 IPSEC加密业务。当第二业务板 322 第 N业务板 32N中的任何一个业务板处理完该业务后，进行处理 L2TP封装时，需查询该>¾文的目的地址。

在本实施例中，当查询该^艮文的目的地址为该客户端的 IP地址时，即该报文为网络发送至客户端的报文，该处理 NAT业务的报文的业务板根据该 IP地址对应的 CPU编号将该^艮文发送至与该 CPU编号对应的业务板进行 L2TP封装处理，即发送至第一业务板 321进行 L2TP封装处理。

接口板 300还用于发送第一业务板 321处理完后的报文。在本实施例中，接口板 300将第一业务板 321进行 L2TP封装处理后的报文发送至客户端，或将第一业务板 321进行 L2TP解封装处理后的报文发送至网络。

在本实施例中，第一业务板 321还用于根据客户端发送的 IPSEC报文协商建立客户端与该业务板的 IPSEC隧道，并根据 IPSEC报文的 L2TP报文协商建立该客户端与该业务板的 L2TP隧道。

在本实施例中，接口板 300还用于当查询该报文的目的地址为该客户端的 I P地址时，即该报文为网络发送至客户端的报文，根据该 I P地址对应的 CPU编号将该^艮文发送至与该 CPU编号对应的业务板先进行 L2TP封装处理再进行 IPSEC加密处理，即发送至第一业务板 321先进行 L2TP封装处理再进行 IPSEC加密处理；若查询该^艮文的目的地址为建立该业务板与客户端之间隧道的 IP地址时，接口板 300将所述报文发送所述隧道对应的业务板先进行 IPSEC解密处理再进行 L2TP解封装处理，即发送至第一业务板 321先进行 IPSEC解密处理再进行 L2TP解封装处理。

在本实施例中，第二业务板 322 第 N业务板 32N中的任何一个业务板还用于当查询该报文的目的地址为该客户端的 I P地址时，即该报文为网络发送至客户端的，该业务板根据该 IP地址对应的 CPU编号将该报文发送至与该 CPU编号对应的业务板先进行 L2TP封装处理再进行 IPSEC加密处理，即发送至第一业务板 321先进行 L2TP封装处理再进行 IPSEC加密处理。

接口板 300还用于将第一业务板 321进行 L2TP封装及 IPSEC加密处理后的报文发送至客户端，或将第一业务板 321进行 IPSEC解密及 L2TP解封装处理后的报文发送至网络。

本发明实施例提供的报文处理***，通过当前业务板与客户端协商建立隧道，并将该隧道的编号、该业务板的 CPU编号及该客户端的 IP地址的对应关系发送至接口板及所有的业务板，当接口板或其它业务板接收需发送至客户端的报文时，通过该对应关系将该报文发送至该隧道编号对应的当前业务板的 CPU先进行 L2TP封装处理再进行 IPSEC加密处理，当接口板接收需发送至网络的报文时，通过该报文的隧道的 IP地址来查询之前协商建立该隧道的当前业务板，及将该报文发送至当前业务板的 CPU先进行 IPSEC解密处理再进行 L2TP解封装处理，从而确保将同一客户端的需进行 L2TP封装、 IPSEC加密、 L2TP解封装及 IPSEC解密的报文在同一个业务板的 CPU中进行相应处理，减轻了主控板的工作量，并大大提高了 L2TP及 IPSEC业务的吞吐量，从而提高了 L2TP+IPSEC组网的 ^艮文的处理效率。

图 12为本发明实施例九提供的一种报文处理方法的流程图，该方法基于至少两个 CPU, 如图 12所示，该方法具体包括如下步骤：

步骤 S 1201、接口板根据接收到的 I P报文，从至少两个 CPU中获取对该 IP报文进行 IP安全 IPSEC业务处理的第一 CPU;

其中该第一 CPU为指定的 CPU;

步骤 S1202、所述第一 CPU对该 IP 文进行相应的 IPSEC业务处理并发送。

本发明实施例九提供的技术方案，通过 IP报文获取实现该 IP报文 IPSEC 业务的第一 CPU, 将 IP >¾文对应于相应的 CPU, 由该 CPU实现对该 IP 文的 IPSEC 业务，减轻了主控板的工作量，从而提高了报文的处理效率；利用不同的 CPU实现了 IP报文的负载分流，解决了现有技术中因无法对具有多 CPU 的高端 VPN设备，实现 IPSEC业务带来的问题，从而能够在包含多个 CPU的 VPN设备中实现 IPSEC业务。

下面对本发明实施例十提供的报文处理方法进行具体说明。

在本发明实施例中采用了 "第一" 、 "第二" 等字样，用于对一条 IP报文进行处理时，起不同作用的 CPU进行区分，并不在数量上进行限定。下文将对第一 CPU和第二 CPU的具体功能进行介绍。

作为 VPN设备上的物理实体，下述的第一 CPU和第二 CPU并没有实质上的区别，可以为业务板上的任一个 CPU, 以下皆同，不再赘述。

图 13为本发明实施例十提供的一种报文处理方法的流程图，该方法基于至少两个 CPU, 如图 13所示，该方法具体包括如下步骤：

步骤 S 1301：接口板根据接收到的 I P报文，从至少两个 CPU中获取对该 IP报文进行 IP安全 IPSEC业务处理的第一 CPU。

为了便于清楚说明，在本发明实施例十中，如图 14所示，包括业务板一至四，接口板一和二，但不限于此，可以包括一个业务板，该业务板上包括多个 CPU; 或者，也可以包括多个业务板，上述 CPU分布于多个业务板之上，接口板可以为一个或者多个，下面以接口板一或接口板二作为上述 IP报文的入口为例进行说明，具体分为两种情况：

第一种情况：上述 IP报文为需加封装的 IP报文，具体包括：步骤 S1301A: 接口板根据所述需加封装的 IP报文，获取第二 CPU。

接口板一为上述需加封装的 IP报文（ IP报文 1 )的入口，接口板一接收来自数据发送客户端的 IP报文，该 IP报文携带有 IP报文数据发送客户端和数据接收客户端的源和目的 IP地址，在本发明实施例十中，接口板一根据该 IP报文中携带的源和目的 IP地址获取第二 CPU, 处理的方式如下：

本发明实施例十首先对上述 ip 报文携带的源和目的 ip 地址进行哈希

(HASH) 变换，获取上述 IP报文的 HASH索引值，优选的，本发明实施例十采用的 HASH变换方法包括如下步骤：

步骤 S1301a、将上述的源 IP 地址（ Souncelp ) 和目的 IP 地址 ( Destinationlp ) 之和右移 16 位，获取第一参数 XI , 即 Xl= ( Souncelp+Destinationlp ) &16;

将上述的 Souncelp 和 Destinationlp之和与 1进行与运算，获取第二参数 X2, 即 X2 = (Sourcelp+Destinationlp) & OxFFFF;

步骤 S1301b、将上述第一参数 XI和第二参数 X2进行或运算，获取第三参数 X3, 即 X3 = Χ1^ΛΧ2;

步骤 S1301c、将上述第三参数 X3右移 1位，将移位后获取的数值的后 6 位与 1进行与运算，获取第四参数 X4, 即 X4 = (X3»l) & 0x3F。

将通过上述步骤 S1301a至 S1301c获取的第四参数 X4, 作为该 IP报文的 HASH索引值。

然后，将上述 IP报文的 HASH索引值对应于各业务板上不同的 CPU, 从而根据上述需加封装的 IP报文，可以获取到相应的第二 CPU。

上述获取的 HASH索引值，即第四参数的取值范围通常为 0至 63, 以图

14 中给出的四个业务板，每个业务板上包括两个 CPU为例说明 IP报文和第二业务板的对应关系。

可以采用多种方法将上述 IP报文对应于相应的第二 CPU, 从而根据上述

IP报文获取业务板上的第二 CPU, 优选的，本发明实施例十提供的方法如下：业务板上的每个 CPU都可以作为第二 CPU, 将 IP报文转发至相应的第一 CPU, 并且所转发的 IP报文的数据量也是任意的，为了充分利用分布式多业务板包含多个 CPU的优势，提高 IPSEC业务的处理效率，优选的，本发明实施例二将 HASH索引值按照 IP报文的数据量平均对应于各 CPU, 为了便于理解，现简化说明如下：

例如，为每个 CPU设置一个编号，当网络中需要处理的不同的 IP报文共有 160条时，根据该 IP报文获取到 160个不同的 HASH索引值，范围处于为 0至 63之间。四个业务板中包括了 8个 CPU, 对该 CPU的编号为 1至 8 , 业务板一上为 CPU1和 CPU2 , 业务板二上为 CPU3和 CPU4 , 业务板三上为 CPU5 和 CPU6 , 业务板四上为 CPU7和 CPU8。

可以将上述的取值范围 0至 63平均分为 8个子范围，每个子范围的取值范围依次为 0至 7 , 8至 15 , 16至 23 , 24至 31 , 31至 38 , 39至 46 , 47至 55 , 56至 63 , 将这 8个子范围对应的 HASH索引值分别对应至 CPU1至 CPU8。

但不限于此，例如，当某个范围内的 HASH索引值对应的 IP报文较多时，若在上述的 160条 IP报文中，获取到 60条 IP报文的 HASH索引值取值范围都在 24至 31之间，则可将该范围内 HASH索引值对应的 IP报文对应在两个或多个 CPU上，以保证充分利用每个 CPU, 提高 VPN设备的数据处理性能。

当接口板一接收到来自数据发送客户端的 IP报文，先根据该 IP报文中的源和目的 IP, 获取该 IP报文的 HASH索引值，根据该 HASH索引值通过上述的对应关系，即可获取该 IP报文对应的第二 CPU。

图 14中虚线所示为 IP报文 1 ,接口板一接收到该 IP报文 1后，对该 IP 报文 1的源和目的 IP进行 HASH变换，获得 HASH索引值，利用该 HASH索引值通过上述的对应关系获取第二 CPU为业务板四上的 CPU8 ,接口板一将该 IP 报文 1发送给 CPU8。

步骤 S1301B: 所述第二 CPU利用访问控制列表 ACL对该 IP报文进行匹配，获取所述第一 CPU。第二 CPU, 用于将来自接口板的 IP报文，进行 ACL匹配，匹配成功时，将该 IP报文发送给实现 IPSEC业务的 CPU, 该 CPU即为第一 CPU; 匹配失败时，将该 IP报文发送给接口板，直接发送。其中，匹配失败时的处理情况与本发明关系不大，不再描述。

本发明实施例十利用了包括多个 CPU的 VPN设备，数据量处理能力强的特点，在多个 CPU之间对 IP报文采用了一种负载分流的技术，即由上述第二 CPU将 IP报文与预先设置的不同 ACL数据进行匹配，根据匹配结果，当需要进行 IPSEC业务处理时，获取执行该 IP >¾文对应的 IPSEC业务的 CPU,该 CPU 即为该 IP报文的第一 CPU。对不需要进行 IPSEC业务处理的 IP报文，直接将该 IP ^Jl发送出去。

如图 14所示，第二 CPU ( CPU8 )将 IP报文 1与其上已配置的 ACL数据进行匹配，根据匹配结果，可以判断出该 IP报文 1是否需要进行 IPSEC业务处理，当需要进行 IPSEC业务处理时，根据 ACL的配置，能够获取出对该 IP 报文 1进行 IPSEC业务处理的第一 CPU。

上述 ACL数据的配置可以由主控板来实现。

第二种情况、上述 IP报文为需解封装的 IP报文，具体包括：

步骤 S1301C: 对所述需解封装的 IP 文中携带的 IPSEC隧道两端的 IP 地址进行哈希变换，获取哈希索引值；

仍以图 14所示为例进行说明，其中接口板二作为需解封装的 IP报文（ IP 报文 2 ) 的入口，接口板二接收 IP报文 2 , 该 IP报文 2中封装了（包括 ESP 封装或 /和 AH封装）其所处 IP隧道两端的 IP地址。对该 IP隧道两端的 IP 地址进行哈希变换，获取哈希索引值的方法参见上述步骤 S1301a 至步骤 S1301c。

步骤 S1301D: 根据所述哈希索引值获取所述第一 CPU。

由于预先主控板对各 CPU的数据配置，当采用 IP报文所处的 IP隧道两端的地址作为上述 HASH变换的源和目的地址时，根据获取到的 HASH索引值可直接获取到实现该 IP报文的 IPSEC业务的第一 CPU。

下面对主控板预先对各 CPU进行数据配置的方法进行说明。在上述步骤 S1301之前还包括：

步骤 S1300: 主控板预先对 CPU进行数据配置，包括：

步骤 S1300A: 主控板为所述 IP 文分配相应的第一 CPU;

在本发明实施例十中，主控板根据 IP 文所处 IP隧道两端的地址为该 IP报文分配相应的第一 CPU。上述 IP报文包括需加封装的 IP报文和需解封装的 IP报文。

主控板对上述 IP隧道两端的地址进行 HASH变换，获取哈希索引值，将所述 IP报文的哈希索引值对应于所述 CPU, 具体方法参见上述步骤 S1301a 至步骤 S1301 c。这种方法保证了处于同一 IP隧道的 IP报文能被送至同一个 CPU进行 IPSEC业务处理，即对同一条 IP隧道中的 IP 4艮文进行加封装和解封装的处理的是同一个 CPU。

步骤 S1300B: 主控板对所述 IP 文对应的第一 CPU进行相应的 ACL配置，并将实现该 IP报文相应 IPSEC业务所需的数据，发送给该第一 CPU。

为 IP报文分配完 CPU之后，主控板根据 IP报文与 CPU的对应关系，进行 ACL配置，该 ACL配置表明了处理同一 IP隧道中的 IP才艮文的第一 CPU。主控板将 ACL数据配置广播给业务板中的各 CPU, 同时将执行相应的 IPSEC 业务所需的数据也发送给已确定的各相应 CPU。

由上所述，对于需加封装的 IP报文，首先由接口板根据其源和目的 IP 地址获取到第二 CPU, 该第二 CPU根据主控板为其配置的 ACL数据，对该 IP 报文进行 ACL匹配，根据匹配结果将该 IP报文发送给第一 CPU。由于主控板对 CPU进行 ACL数据配置时，是根据 IP报文所处 IP隧道两端的 IP地址，并且对需解封装的 IP报文是直接根据 IP隧道两端的 IP地址获取第一 CPU, 从而保证了对同一条 IP隧道中的 IP报文进行加封装和解封装的处理的是同一个 CPU。上述主控板进行 CPU分配，配置 ACL及向 CPU发送执行相应的 IPSEC业务所需的数据的步骤，可以根据 IP报文的变化等因素，周期性的或根据需要发送控制命令进行，例如，当报文的客户端或服务器的 IP地址发生了变动、或有新的 IP报文需要进行 IPSEC业务处理时，可以再次进行上述配置等步骤。

如图 14所示，主控板通过数据流 1 ,将上述 ACL配置和执行相应的 IPSEC 业务所需的数据发送给业务板一至四。

由上所述，第二 CPU, 即业务板四中的 CPU8 , 将 IP报文 1与配置的 ACL 进行匹配，判断出该 IP报文 1需要进行加封装的 IPSEC业务处理， CPU8根据相应的 IPSEC业务与处理该业务的 CPU的对应关系，找出进行加封装 IPSEC 业务处理的 CPU为业务板一上的 CPU1 , 即该 IP报文 1的执行 CPU为 CPU1。

步骤 S1302: 所述第一 CPU对该 IP 文进行相应的 IPSEC业务处理并发送。

对于需加封装的 IP报文，该第一 CPU对其进行加封装处理；对于需解封装的 IP报文，该第一 CPU对其进行解封装处理。

本发明实施例十通过采用负载分流技术，使多个 CPU分别承载不同的 ACL 数据流和不同 IP报文的 IPSEC业务处理，并通过建立 IP报文与处理该 IP报文的 IPSEC业务的 CPU的对应关系，使各 CPU对 IP报文的数据处理处于一种均匀的状态，并且保证了同一个 CPU处理同一条 IP隧道中的 IP报文，提高了整机的 VPN业务处理性能，包括 IPSEC每秒新建隧道数量，最大并发隧道数量，加解密吞吐量等大大提升。

本发明实施例十提供的技术方案，通过 IP报文获取实现该 IP报文 IPSEC 业务的第一 CPU, 将 IP >¾文对应于相应的 CPU, 由该 CPU实现对该 IP 文的 IPSEC 业务，减轻了主控板的工作量，从而提高了报文的处理效率；利用不同的 CPU实现了 IP报文的负载分流，解决了现有技术中因无法对具有多 CPU 的高端 VPN设备，实现 IPSEC业务带来的问题，从而能够在包含多个 CPU的 VPN设备中实现 IPSEC业务。本发明实施例十一还提供了一种报文处理装置，如图 15所示，包括：第一 CPU获取单元 41和第一 CPU42; 其中

所述第一 CPU获取单元 41 , 用于根据接收到的 IP报文，获取对该 IP报文进行 IP安全 IPSEC业务处理的第一 CPU,

所述第一 CPU42 , 用于对该 IP 文进行相应的 IPSEC业务处理并发送。所述 IP报文包括需加封装的 IP报文和需解封装的 IP报文，当该 IP报文为需解封装的 IP报文时，所述第一 CPU获取单元 41还包括：

第二 CPU获取模块，用于根据所述需加封装的 IP报文，获取第二 CPU, 该第二 CPU利用访问控制列表 ACL对该 IP报文进行匹配，获取所述第一 CPU。

当该 IP报文为需解封装的 IP报文，所述第一 CPU获取单元，还包括：计算模块，用于对所述需解封装的 IP报文中携带的 IPSEC 隧道两端的 IP地址进行哈希变换，获取哈希索引值；

获取模块，根据所述哈希索引值获取所述第一 CPU。

在本发明实施例十一中，上述第一 CPU获取单元 41可以由接口板实现，上述第一 CPU42可以为业务板上的任一 CPU。

本发明装置实施例中各功能模块的具体工作方式参见本发明方法实施例。本发明实施例十一提供的技术方案，通过 ip报文获取实现该 ip 报文

IPSEC业务的第一 CPU, 将 IP ^艮文对应于相应的 CPU, 由该 CPU实现对该 IP 报文的 IPSEC业务，减轻了主控板的工作量，从而提高了报文的处理效率；利用不同的 CPU实现了 IP报文的负载分流，解决了现有技术中因无法对具有多 CPU的高端 VPN设备，实现 IPSEC业务带来的问题，从而能够在包含多个

CPU的 VPN设备中实现 IPSEC业务。

本发明实施例十二还提供一种报文处理***，如图 16所示，包括至少一个接口板和至少两个 CPU ,

所述接口板 51 , 用于根据接收到的 IP报文，获取对该 IP报文进行 IP 安全 IPSEC业务处理的第一 CPU; 所述第一 CPU52 , 用于对该 IP 文进行相应的 IPSEC业务处理并发送。进一步的，该报文处理***还包括：

主控板 53 , 用于为所述 IP 文分配相应的第一 CPU; 对所述 1? >¾文对应的第一 CPU进行相应的 ACL配置，并将实现该 IP 文相应 IPSEC业务所需的数据，发送给该第一 CPU。

上述 CPU可以分布于一个业务板上或者多个业务板之上，第二 CPU和第一 CPU是对同一条 IP隧道中的 IP ·艮文进行处理时，起不同作用的 CPU, 作为 VPN设备上的物理实体，上述第二 CPU和执行 CPU并没有实质上的区别，可以为业务板上的任一个 CPU。

如图 17 所示，本发明实施例十二提供的报文处理***的工作流程示意图，包括接口板 61和接口板 62 , 主控板 63 , 业务板 64上包括 CPU65 , 业务板 66上包括 CPU67。但不限于此，例如，接口板的数量可以为一个或多个，业务板的数量可以为多个等。

主控板 63对业务板 64和业务板 66进行 ACL数据的配置，接口板 61接收 IP报文 1 , 获取到该 IP报文 1的第二 CPU为业务板 64上的 CPU65 , CPU65 根据 ACL数据对该 IP报文 1进行匹配，获取到执行该 IP报文对应的 IPSEC 业务（加封装）的执行 CPU为业务板 66上的 CPU67 , CPU67对该 IP报文 1进行加封装后，通过接口板 62发送出去。

接口板 62接收利用相同方式加封装处理后的 IP报文 2 , 直接获取到相应的执行 CPU67 , 将该 IP报文 2发送给该 CPU67 , 该 CPU67对 IP报文 2进行解封装后通过接口板 61发送出去。

上述报文处理***中各功能实体的具体工作方式可参见本发明的方法实施例。

本发明实施例十二提供的技术方案，通过 ip报文获取实现该 ip 报文 IPSEC业务的第一 CPU, 将 IP报文对应于相应的 CPU, 由该 CPU实现对该 IP 报文的 IPSEC业务，减轻了主控板的工作量，从而提高了报文的处理效率；利用不同的 CPU实现了 IP报文的负载分流，解决了现有技术中因无法对具有多 CPU的高端 VPN设备，实现 IPSEC业务带来的问题，从而能够在包含多个 CPU的 VPN设备中实现 IPSEC业务。

上述本发明实施例九和实施例十为实现 IPSEC业务的报文处理方法。在实现 IPSEC业务中，报文处理方法还可包括建立隧道的过程。

图 18 为本发明实施例十三提供的一种建立隧道的方法的流程图，如图 18所示，包括：

步骤 S1801、接收需要加密的报文，所述需要加密的报文为根据分配规则发送到指定的中央处理器 CPU中的报文；

其中指定的 CPU可以为第一 CPU。

其中，分配规则具体为：根据从接口板获取的 CPU号将报文发送到与所述 CPU号对应的 CPU中，所述 CPU号由所述接口板通过对所述 4艮文的源、目的地址哈希计算得到。

接口板对要发送报文的源、目的地址进行哈希计算，获得该报文的哈希值，然后根据该哈希值向业务板发送该报文。业务板接收报文后，查找与该报文匹配的安全策略，获取其中需要加密的报文；业务板获取需要加密报文的哈希值所对应的 CPU号码，然后根据安全策略将该需要加密的报文发送到与所述 CPU号码对应的该指定的 CPU中。

其中，安全策略用以维护隧道协商动态生成的数据流，检测业务板接收的报文是否需要加密。

另外，在该步骤之后还可以包括以下步骤：

上述指定的 CPU检测需要加密的报文所在隧道是否建立；

当所述需要加密的报文所在隧道已经建立时，不进行隧道协商。

步骤 S1802、当所述指定的 CPU检测到所述文所在隧道没有建立时，向接口板发送 IKE报文，触发隧道协商。

步骤 S1803、接收所述接口板根据所述分配规则上送的 IKE报文，建立所述隧道。

其中，接口板根据所述分配规则上送 IKE报文可以包括以下步骤：所述接口板对接收的所述 IKE报文的源、目的地址进行哈希值计算，获得进行隧道协商的 CPU号；根据所述隧道协商的 CPU号上送 IKE报文。

在本发明实施例提供的建立隧道的方法中，当业务板接收的报文为 IKE 协商包时，可以直接向接口板发送 IKE报文进行隧道协商；接口板接收该 IKE 报文后根据其源、目的地址进行哈希计算，得到能进行隧道协商的 CPU号码，业务板接收接口板上送的 IKE报文，建立隧道。

需要说明的是，上述 CPU分布于网关的一个或多个业务板上，所述 CPU 的数量和所述业务板的数量根据所述网关处理业务的需求而定。

通过采用本发明实施例，可以在业务板上实现处理 IPsec业务和进行 IKE 协商，减轻了主控板的工作量，从而提高了报文的处理效率，采用本发明实施例提供的分配规则，可以在不同业务板上实现 IKE协商均衡，从而提高系统 IPsec业务和 IKE协商的处理能力。

采用本发明实施例提供的建立隧道的方法，可以在分布式架构下，在业务板上实现 IKE协商，从而实现在隧道协商的时候，将传输报文的隧道分散在各个 CPU上，提高了整机容量和性能。如图 19为在分布式架构下的简要处理流程图。为了清楚说明本发明实施例的具体实施方式，假设在现有的分布式架构中安装三块业务板，另外还有一块主控板、两块接口板。每块业务板上有两个处理器 CPU, 如业务板上所示的 A、 B。但是需要说明的是，每块业务板上不是仅有两个 CPU, 可以根据需要在业务板上增加 CPU的数量。在图 19中共有三条数据流，其中 1号流用于传输 IP报文， 2号流用于发送 IKE报文， 3号流用于发送接口板二根据计算得到的用于进行隧道协商的 IKE报文。具体实现 IKE协商，建立隧道的方法流程图如图 20所示，包括：

步骤 S2001、将接收的报文发送到业务板。

当接口板一收到一个 IP包时，通过对 IP _¾文的源、目的地址计算哈希值后，得到接收该报文的 CPU所对应的 CPU号码，然后将该 IP报文通过 1号数据流发送到与上述 CPU号匹配的 CPU上，在图 19中为业务板二上的 B-CPU。

步骤 S2002、检测 IP报文是否需要加密。如果该 IP报文不需要加密，则执行步骤 S2003; 如果该 IP报文需要加密，则执行步骤 S2004。

步骤 S2003、不进行 IKE协商。

步骤 S2004、将需要加密的 IP报文发送到指定的 CPU中。

业务板接收到 IP报文后，会查找与该报文匹配的安全策略，获取其中需要加密的报文；然后，业务板获取该需要加密报文所对应的 CPU号码，该 CPU 号码在步骤 S2008 中产生，根据匹配的安全策略将该需要加密的报文发送到与所述 CPU号码对应的 CPU中，该 CPU即是传输该需要加密报文的隧道所在的 CPU。在图 19中示例为业务板二上的 B-CPU通过安全策略匹配，选中了业务板一中的 A-CPU,然后将此需要加密的 IP报文通过 1号数据流发送到 A-CPU 中。

步骤 S2005、检测需要加密的报文所在隧道是否建立。当该需要加密的 IP报文所在隧道已经建立时，执行步骤 S2006; 当该 IP报文所在隧道还未建立时，执行步骤 S2007。

步骤 S2006、不进行 IKE协商。当该需要加密的 IP报文所在隧道已经建立时，即通过该隧道传输上述 ·艮文。

步骤 S2007、进行隧道协商。

当业务板中的 CPU收到一个 IP报文后，先在安全策略单元对此报文进行安全策略匹配，当发现此报文所在的遂道并没有建立时，就会通过 2号流发送 IKE 报文进行遂道协商。当收到 IKE协商包后，后续的响应协商也会产生 2号流。

步骤 S2GG8、接收上送的 IKE报文，建立隧道。

当接口板二收到目的地址为本机的 IKE报文时，接口板二将通过源 IP、目的 IP进行哈希计算，得到进行 IKE协商的 CPU号，该 CPU号所对应的 CPU 即为步骤 S2004中所指定的 CPU, 用于 IP ^艮文入隧道时选择对应的 CPU进行加密处理（在图 19中选择的 CPU即为业务板一中的 A-CPU ) 。接口板根据计算得到的 CPU号将 IKE >¾文上送到 A-CPU中，隧道建立。

需要说明的是，同一条遂道的 1号流与 3号流将会发送报文到同一个 CPU, 这样才能建立起传输需要加密报文的隧道。只有当处于 i sakmp方式协商时才会存在主动发起协商。而此方式需要配置遂道，在配置时就可以得到遂道的源 IP与目的 IP, 在主控板将可以将此两个 IP的哈希值计算出来将下发到所有业务板中（下发到所有业务板的目的是让 1 号流能顺利找到指定 CPU ) , 这样可以使得 1号流与 3号流所选择的 CPU相同。另外，业务板和 CPU的数量并不仅仅限于图中的几个，业务板和 CPU的数量可以根据网关处理数据业务的需要视情况而定。

通过本发明实施例， IPsec 业务可以全部实现在业务板上，业务板都具有处理 IPsec业务和进行 IKE协商的能力，业务板上的 CPU经过 IKE协商建立发送加密报文的隧道，减轻了主控板的工作量，从而提高了报文的处理效率，；由于采用上述分配规则，根据不同的 IKE报文而计算得到的哈希值不同，可以实现 IKE协商在不同业务板上的均衡。由此可见，使用的业务板越多，越能增强该分布式架构进行 IPsec业务和 IKE协商的处理能力。

上述本发明实施例十二为实现 IPSEC业务的报文处理***。在实现 IPSEC 业务中，报文处理***还可包括与接口板连接的建立隧道的设备。

隧道建立设备用于接收接口板根据分配规则发送的报文；将需要加密的报文根据所述分配规则发送到指定的 CPU中；当所述指定的 CPU检测到所述报文所在隧道没有建立时，向接口板发送 IKE报文，触发隧道协商；接收接口板根据所述分配规则上送的 IKE报文，建立所述隧道。

接口板，用于向隧道建立设备根据所述分配规则发送所述报文；接收隧道建立设备发送的所述 IKE报文，对所述 IKE报文的源、目的地址进行哈希值计算，获得所述进行隧道协商的 CPU号码；向隧道建立设备上送 IKE报文。

其中，分配规则具体为：根据从接口板获取的 CPU号将报文发送到与所述 CPU号对应的 CPU中，所述 CPU号由所述接口板通过对所述 4艮文的源、目的地址哈希计算得到。上述 CPU位于隧道建立设备中，用于接收所述需要加密的报文，检测所述需要加密的报文所在隧道是否建立。实际上，该隧道建立设备为网关上的一个或多个业务板， CPU分布于每块业务板上， CPU的数量和业务板的数量根据网关处理业务的需求而定。

图 21为本发明实施例十四提供的一种建立隧道的设备的结构示意图，如图 21所示，包括：

加密报文接收单元 101 , 用于接收需要加密的报文，所述需要加密的报文为根据分配规则发送到指定的中央处理器 CPU中的报文；

第一发送单元 201 , 用于当所述指定的 CPU检测到所述报文所在隧道没有建立时，向接口板发送 IKE报文，触发隧道协商；

建立单元 301 , 用于接收所述接口板根据所述分配规则上送的 IKE报文，建立所述隧道。

分配规则具体为：根据从接口板获取的 CPU号将报文发送到与所述 CPU 号对应的 CPU中，所述 CPU号由所述接口板通过对所述 ^艮文的源、目的地址哈希计算得到。

该设备还可以包括：报文接收单元 401 , 用于接收接口板根据所述分配规则发送的报文。另外，该报文接收单元 401还用于接收 IKE协商包。

另外，该建立隧道的设备中还可以包括：安全策略单元 501 , 用于配置所述安全策略，维护隧道协商动态生成的数据流，检测报文接收单元 401接收的报文是否需要加密。

该建立隧道的设备还可以包括：

查找单元 601 , 用于在安全策略单元 501 查找与所述报文匹配的安全策略，获取所述需要加密的报文；

获取单元 701 , 用于获取接收所述需要加密报文的 CPU号码；

第二发送单元 801 , 用于将查找单元 601 获取的所述需要加密的报文，根据所述安全策略发送到与获取单元 701所获取的所述 CPU号码对应的所述指定的 CPU中。

在本发明实施例中，该建立隧道的设备为网关上的一个或多个业务板， CPU分布于每块业务板上，其中， CPU的数量和业务板的数量根据网关处理业务的需求而定。

通过本发明实施例提供的建立隧道的设备，可以实现在业务板处理 IPsec 业务和进行 IKE协商，减轻了主控板的工作量，从而提高了报文的处理效率，采用本发明实施例提供的分配规则可以在不同业务板上实现 IKE协商均衡，从而提高*** IPsec业务和 IKE协商的处理能力。

本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，上述的程序可存储于一个或多个计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，上述的存储介质可为磁碟、光盘、只读存储记忆体（ Read-Only Memory, ROM )或随机存储记忆体 ( Random Acces s Memory, RAM )等。

最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对其进行限制，尽管参照较佳实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对本发明的技术方案进行修改或者等同替换，而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的 4青神和范围。

Claims

权利要求书

1、一种报文处理方法，应用于多业务板的分布式架构，所述分布式架构包括主控板、至少一个业务板和至少一个接口板，其特征在于，包括：

确定接收到的报文对应的指定的 CPU, 由所述 CPU对应的业务板对接收到的报文进行处理。

2、根据权利要求 1所述的方法，其特征在于，所述确定接收到的报文对应的指定的 CPU, 由所述 CPU对应的业务板对接收到的报文进行处理包括：接口板根据主控板下发的配置通用路由封装 GRE路由信息，将接收到的第一报文发送到指定的业务板，由所述业务板对所述第一报文进行封装处理；所述接口板接收所述业务板发送的封装处理后的第一报文，并根据所述主控板下发的配置 GRE路由信息向外部转发所述封装处理后的第一 ·艮文；所述接口板接收到外部发送的对所述封装处理后的第一报文进行响应的第二报文，根据配置的路由信息将所述第二报文发送到所述业务板，由所述业务板对所述第二>¾文进行解封装处理。

3、根据权利要求 2所述的方法，其特征在于，所述接口板根据主控板下发的配置通用路由封装 GRE路由信息，将接收到的第一报文发送到指定的业务板之前包括：

***对每个业务板上的 CPU进行编号，并对隧道 Tunne l的两端的地址进行 ha sh, 根据 ha sh索引选择相应的 CPU。

4、根据权利要求 2所述的方法，其特征在于，所述接口板根据主控板下发的配置通用路由封装 GRE路由信息，将接收到的第一报文发送到指定的业务板之前还包括：

所述主控板将封装信息所需要的信息和配置的 GRE路由信息广播到业务板。

5、根据权利要求 4所述的方法，其特征在于，

所述封装信息所需要的信息包括隧道 Tunne l 的源地址、目的地址、 Tunen 1接口的 I P地址、检验和以及认证关键字；

所述配置 GRE路由信息包括路由的下一跳、出接口、处理 GRE报文的 CPUID 以及 1¾道 ID。

6、根据权利要求 2所述的方法，其特征在于，所述接口板根据主控板下发的配置通用路由封装 GRE路由信息，将接收到的第一报文发送到指定的业务板包括：

当所述接口板发现接收到的第一报文是要路由经过隧道 Tunnel 的出接口时，所述接口板根据配置的 GRE路由信息获得所述第一报文对应的 CPUID, 并将所述第一 ^¾文发送到 CPUID对应的业务板；

当所述接口板发现接收到的第一报文是到本机时，所述接口板根据第一才艮文的源地址和目的地址进行 hash, 计算处理所述第一^艮文的业务板并发送所述第一报文。

7、根据权利要求 2所述的方法，其特征在于，所述接口板接收到外部发送的对所述封装处理后的第一报文进行响应的第二报文，根据配置的路由信息将所述第二报文发送到所述业务板具体包括：

所述接口板接收到本机的第二报文，对所述第二报文的源地址和目的地址进行 hash并发送到所述业务板。

8、根据权利要求 2所述的方法，其特征在于，所述业务板对所述第二报文进行解封装处理包括：

所述业务板判断当接收到的第二报文的配置信息与隧道的配置信息相符时，所述业务板将所述文的 GRE协议头部信息去掉；

所述业务板判断当接收到的第二报文的配置信息与该隧道的配置信息不相符时，所述业务板将该报文丟弃。

9、根据权利要求 1所述的方法，其特征在于，所述确定接收到的报文对应的指定的 CPU, 由所述 CPU对应的业务板对接收到的报文进行处理包括：存储建立的当前业务板与客户端之间的隧道的编号至所述当前业务板的 CPU, 并请求所述主控板为所述客户端分配 IP地址；

通过所述主控板将所述隧道的编号、处理所述隧道的当前业务板的 CPU 的编号及所述客户端的 IP地址的对应关系发送至所述多个业务板；

当接收到报文后，查询所述报文的目的地址；

若查询所述报文的目的地址为所述客户端的 IP地址，则根据所述客户端的 IP地址对应的 CPU编号将所述 >¾文发送至与所述 CPU编号对应的当前业务板进行处理。

10、根据权利要求 9所述方法，其特征在于，还包括：建立当前业务板与客户端之间的隧道的步骤，具体包括：

建立所述当前业务板与所述客户端之间的 L2TP隧道；或

先建立所述当前业务板与所述客户端之间的 IPSEC隧道，再建立所述当前业务板与所述客户端之间的 L2TP隧道。

11、根据权利要求 10所述方法，其特征在于，所述若查询所述报文的目的地址为所述客户端的 IP地址，则根据所述客户端的 I P地址对应的 CPU编号将所述报文发送至与所述 CPU 编号对应的当前业务板进行处理的步骤包括：

若查询所述报文的目的地址为所述客户端的 IP地址，则根据所述客户端的 IP地址对应的 CPU编号将所述 >¾文发送至与所述 CPU编号对应的业务板进行 L2TP封装处理，或先进行 L2TP封装处理再进行 IPSEC加密处理。

12、根据权利要求 1所述的方法，其特征在于，所述确定接收到的报文对应的指定的 CPU, 由所述 CPU对应的业务板对接收到的报文进行处理包括：接收所述主控板发送的与客户端建立的隧道的编号、处理所述隧道的 CPU 编号及分配给所述客户端的 IP地址对应关系；

当接收到报文后，查询所述报文的目的地址；

若查询所述报文的目的地址为所述客户端的 IP地址，则根据所述客户端的 IP地址对应的 CPU编号将所述 >¾文发送至与所述 CPU编号对应的业务板进行处理。

13、根据权利要求 12所述的方法，其特征在于，所述若查询所述报文的目的地址为所述客户端的 IP地址，则根据所述客户端的 IP地址对应的 CPU 编号将所述报文发送至与所述 CPU编号对应的业务板进行处理的步骤包括：查询所述 ^艮文的目的地址为所述客户端的 I P地址时，居所述客户端的

IP地址对应的 CPU编号将所述报文发送至与所述 CPU编号对应的业务板进行 L2TP封装处理，或先进行 L2TP封装处理再进行 IPSEC加密处理。

14、根据权利要求 12所述的方法，其特征在于，所述当接收到报文后，查询所述^艮文的目的地址的步骤还包括：

若查询所述报文的目的地址为所述建立当前业务板与客户端之间的隧道的 IP地址，则将所述>¾文发送所述隧道对应的当前业务板进行 L2TP解封装处理，或先进行 IPSEC解密处理再进行 L2TP解封装处理。

15、根据权利要求 1所述的方法，其特征在于，所述确定接收到的报文对应的指定的 CPU, 由所述 CPU对应的业务板对接收到的报文进行处理包括：接口板根据接收到的 I P报文，从至少两个 CPU中获取对该 I P报文进行

IP安全 IPSEC业务处理的第一 CPU, 所述第一 CPU为指定的 CPU;

所述第一 CPU对该 IP 文进行相应的 IPSEC业务处理并发送。

16、根据权利要求 15所述的方法，其特征在于，所述 IP报文包括需加封装的 IP报文，所述接口板根据接收到的 IP报文，获取对该 IP报文进行 IP安全 IPSEC业务处理的第一 CPU包括：

所述接口板根据所述需加封装的 IP报文，获取第二 CPU;

所述第二 CPU利用访问控制列表 ACL对该 IP报文进行匹配，获取所述第一 CPU。

17、根据权利要求 16所述的方法，其特征在于，所述接口板根据所述需加封装的 IP报文，获取第二 CPU包括：

对所述需加封装的 IP报文中携带的 IP报文的源和目的 IP地址进行哈希变换，获取哈希索引值；

根据所述哈希索引值获取所述第二 CPU。

18、根据权利要求 15所述的方法，其特征在于，所述 IP报文包括需解封装的 IP报文，所述接口板根据接收到的 IP报文，获取对该 IP报文进行 IP安全 IPSEC业务处理的第一 CPU包括：

对所述需解封装的 IP报文中携带的 IPSEC隧道两端的 IP地址进行哈希变换，获取哈希索引值；

根据所述哈希索引值获取所述第一 CPU。

19、根据权利要求 15至 18任一项所述的方法，其特征在于，在所述接口板根据接收到的 IP报文，获取对该 IP报文进行 IP安全 IPSEC业务处理的第一 CPU的步骤之前还包括：

主控板为所述 IP ·艮文分配相应的第一 CPU;

主控板对所述 IP 文对应的第一 CPU进行相应的 ACL配置，并将实现该 IP报文相应 IPSEC业务所需的数据，发送给该第一 CPU。

20、根据权利要求 19所述的方法，其特征在于，所述主控板为所述 IP 报文分配相应的第一 CPU包括：

对所述 IP 文所处 IPSEC隧道两端的 IP地址进行哈希变换，获取哈希索引值；

将所述 IP报文的哈希索引值对应于所述 CPU。

21、根据权利要求 15所述的方法，其特征在于，所述确定接收到的报文对应的指定的 CPU, 由所述 CPU对应的业务板对接收到的报文进行处理之前还包括：

接收需要加密的报文，所述需要加密的报文为根据分配规则发送到指定的中央处理器 CPU中的报文；

当所述指定的 CPU检测到所述需要加密的报文所在隧道没有建立时，向接口板发送因特网密钥交换 IKE报文，触发隧道协商；接收所述接口板根据所述分配规则上送的 IKE报文，建立所述需要加密的报文所在隧道。

22、根据权利要求 21所述的方法，其特征在于，所述分配规则包括：根据从接口板获取的 CPU号将 ^艮文发送到与所述 CPU号对应的 CPU中，所述 CPU 号由所述接口板通过对所述报文的源、目的地址哈希计算得到。

23、根据权利要求 21所述的方法，其特征在于，在所述接收需要加密的报文之前还包括：

接收接口板根据所述分配规则发送的报文。

24、根据权利要求 21所述的方法，其特征在于，还包括：

查找与所述报文匹配的安全策略，获取所述需要加密的报文；

获取接收所述需要加密报文的 CPU号码；

将所述需要加密的报文根据所述安全策略发送到与所述 CPU号码对应的所述指定的 CPU中。

25、根据权利要求 24所述的方法，其特征在于，还包括：

配置所述安全策略，以维护隧道协商动态生成的数据流，检测接收的报文是否需要加密。

26、根据权利要求 21所述的方法，其特征在于，在所述接收需要加密的报文之后还包括：

当所述指定的 CPU检测到所述需要加密的报文所在隧道已经建立时，不进行隧道协商。

27、根据权利要求 21所述的方法，其特征在于，所述接口板根据所述分配规则上送 IKE报文包括：

所述接口板对接收的所述 IKE报文的源、目的地址进行哈希值计算，获得进行隧道协商的 CPU号；

根据所述隧道协商的 CPU号上送 IKE报文。

28、根据权利要求 21所述的方法，其特征在于，还包括：当接收的报文为 IKE协商包时，向所述接口板发送 IKE报文触发隧道协商；

接收所述接口板根据所述分配规则上送的 IKE报文，建立隧道。

29、根据权利要求 21-28任一项所述的方法，其特征在于，所述 CPU分布于网关的一个或多个业务板上，所述 CPU的数量和所述业务板的数量根据所述网关处理业务的需求而定。

30、一种接口板，应用于包括主控板、至少一个接口板和业务板的***，其特征在于，包括：

报文转发单元，用于接收所述业务板发送的封装处理后的第一报文，并根据所述主控板下发的配置 GRE路由信息向外部转发所述封装处理后的第一报文；

报文接收单元，用于接收到外部发送的对所述封装处理后的第一报文进行响应的第二报文，根据配置的路由信息将所述第二报文发送到所述业务板。

31、根据权利要求 30所述的接口板，其特征在于，所述报文下发单元包括：第一报文下发子单元，用于当所述接口板发现接收到的第一报文是要路由经过隧道 Tunnel的出接口时，所述接口板根据配置的 GRE路由信息获得所述第一 "¾文对应的 CPUID, 并将所述第一文发送到业务板；

第二报文下发子单元，用于当所述接口板发现接收到的第一报文是到本机的报文时，所述接口板根据所述第一报文的源地址和目的地址进行 hash, 计算处理所述第一报文的业务板并发送所述第一报文。

32、一种报文处理***，其特征在于，包括主控板、至少一个接口板和业务板；

所述主控板，用于对封装报文所需要的信息和配置 GRE路由信息进行下发；所述接口板，用于根据所述主控板下发的配置 GRE路由信息，将接收到的第一报文发送到所述业务板，由所述业务板对所述第一报文进行封装处理，并接收所述业务板发送的封装处理后的第一报文，并根据所述主控板下发的配置 GRE路由信息向外部转发所述封装处理后的第一报文，在接收到外部发送的对所述封装处理后的第一报文进行响应的第二报文之后，根据配置的路由信息将所述第二报文路由到所述业务板，由所述业务板对所述第二报文进行解封装处理；

所述业务板，用于对所述接口板发送的报文进行封装和解封装处理。

33、一种报文处理***，其特征在于，包括多个业务板、控制板及接口板，其中，所述多个业务板，用于建立与客户端之间的隧道，存储所述隧道的编号至与所述客户端建立隧道的业务板的 CPU, 并请求所述控制板为所述客户端分配 IP地址；

所述控制板，用于将所述隧道的编号、处理所述隧道的当前业务板的 CPU 的编号及所述客户端的 IP 地址的对应关系发送至所述接口板和所述多个业务板；

所述接口板，用于当接收到报文时查询所述报文的目的地址，当查询所述才艮文的目的地址为所述客户端的 IP地址时，根据所述客户端的 IP地址对应的 CPU编号将所述 >¾文发送至与所述 CPU编号对应的业务板进行处理。

34、根据权利要求 33所述的***，其特征在于，所述多个业务板还用于当接收到报文后查询所述报文的目的地址，并当查询所述报文的目的地址为所述客户端的 IP地址，根据所述客户端的 IP地址对应的 CPU编号将所述报文发送至与所述 CPU编号对应的业务板进行处理。

35、根据权利要求 33所述的***，其特征在于，所述多个业务板还用于建立与所述客户端之间的 L2TP 隧道；或还用于先建立与所述客户端之间的 IPSEC隧道，再建立与所述客户端之间的 L2TP隧道。

36、根据权利要求 35所述的***，其特征在于，所述多个业务板还用于查询所述 ^艮文的目的地址为所述客户端的 IP地址时，根据所述客户端的 IP 地址对应的 CPU 编号将所述 >¾文发送至与所述 CPU 编号对应的业务板进行 L2TP封装处理，或先进行 L2TP封装处理再进行 IPSEC加密处理。

37、根据权利要求 35所述的***，其特征在于，所述接口板还用于查询所述 ^艮文的目的地址为所述客户端的 IP地址时，才艮据所述客户端的 IP地址对应的 CPU编号将所述文发送至与所述 CPU编号对应的业务板进行 L2TP封装处理，或先进行 L2TP封装处理再进行 IPSEC加密处理。

38、根据权利要求 35所述的***，其特征在于，所述接口板还用于查询所述报文的目的地址为所述建立业务板与客户端之间的隧道的 IP地址时，将所述文发送所述隧道对应的业务板进行 L2TP解封装处理，或先进行 IPSEC 解密处理再进行 L2TP解封装处理。

39、一种应用于分布式架构的业务板，其特征在于，所述业务板与控制板、接口板通信连接，用于接收所述控制板发送的与客户端建立的隧道的编号、处理所述隧道的 CPU编号及分配给所述客户端的 IP地址对应关系，并当接收报文后查询所述报文的目的地址，及当查询所述报文的目的地址为所述客户端的 IP地址时，根据所述客户端的 IP地址对应的 CPU编号将所述报文发送至与所述 CPU编号对应的业务板进行处理。

40、根据权利要求 39所述的业务板，其特征在于，所述业务板还用于建立与所述客户端之间的 L2TP 隧道；或还用于先建立与所述客户端之间的 IPSEC隧道，再建立与所述客户端之间的 L2TP隧道。

41、根据权利要求 40所述的业务板，其特征在于，所述业务板还用于查询所述 ^艮文的目的地址为所述客户端的 IP地址时，根据所述客户端的 IP地址对应的 CPU编号将所述 ^艮文发送至与所述 CPU编号对应的业务板进行 L2TP 封装处理，或先进行 L2TP封装处理再进行 IPSEC加密处理。

42、一种应用于分布式架构的接口板，其特征在于，所述接口板与控制板、多个业务板通信连接，所述多个业务板用于建立与所述客户端之间的隧道，所述接口板用于接收所述控制板发送的与客户端建立的隧道的编号、处理所述隧道的 CPU编号及分配给所述客户端的 IP地址对应关系，并当接收报文后查询所述报文的目的地址，及当查询所述报文的目的地址为所述客户端的 IP地址，根据所述客户端的 IP地址对应的 CPU编号将所述文发送至与所述 CPU编号对应的业务板进行处理。

43、根据权利要求 42所述的接口板，其特征在于，所述接口板还用于查询所述 ^艮文的目的地址为所述客户端的 IP地址时，根据所述客户端的 IP地址对应的 CPU编号将所述 ^艮文发送至与所述 CPU编号对应的业务板进行 L2TP 封装处理，或先进行 L2TP封装处理再进行 IPSEC加密处理。

44、根据权利要求 42所述的接口板，其特征在于，所述接口板还用于查询所述报文的目的地址为所述建立业务板与客户端之间的隧道的 IP地址时，将所述报文发送所述隧道对应的业务板进行 L2TP 解封装处理，或先进行 IPSEC解密处理再进行 L2TP解封装处理。

45、一种报文处理装置，其特征在于，包括：第一 CPU获取单元和第一 CPU; 其中

所述第一 CPU, 用于对该 IP 文进行相应的 IPSEC业务处理并发送。

46、根据权利要求 45所述的装置，其特征在于，所述 IP报文包括需加封装的 IP报文，所述第一 CPU获取单元包括：

47、根据权利要求 45所述的装置，其特征在于，所述 IP报文包括需解封装的 IP报文，所述第一 CPU获取单元包括：

计算模块，用于对所述需解封装的 IP报文中携带的 IPSEC 隧道两端的 IP地址进行哈希变换，获取哈希索引值；

获取模块，根据所述哈希索引值获取所述第一 CPU。

48、一种文处理***，其特征在于，包括至少一个接口板和至少两个

CPU;

所述接口板，用于根据接收到的 IP报文，获取对该 IP报文进行 IP安全 IPSEC业务处理的第一 CPU;

49、根据权利要求 48所述的***，其特征在于，还包括：

主控板，用于为所述 IP 文分配相应的第一 CPU; 对所述 IP 文对应的第一 CPU进行相应的 ACL配置，并将实现该 IP 文相应 IPSEC业务所需的数据，发送给该第一 CPU。

50、根据权利要求 48所述的***，其特征在于，还包括与所述接口板连接的建立隧道的设备；

所述接口板，还用于向所述隧道建立设备根据分配规则发送报文；接收所述隧道建立设备发送的 IKE报文，对所述 IKE报文的源、目的地址进行哈希值计算，获得进行隧道协商的 CPU号码；向所述隧道建立设备上送 IKE报文；所述隧道建立设备，用于接收所述接口板根据所述分配规则发送的所述报文；将需要加密的报文根据所述分配规则发送到指定的 CPU中；当所述指定的 CPU检测到所述需要加密的报文所在隧道没有建立时，向所述接口板发送 IKE报文，触发隧道协商；接收所述接口板根据所述分配规则上送的 IKE 报文，建立所述需要加密的报文所在隧道；

所述建立隧道的设备包括：

加密报文接收单元，用于接收需要加密的报文，所述需要加密的报文为根据分配规则发送到指定的 CPU中的报文，所述指定的 CPU为第一 CPU; 第一发送单元，用于当所述指定的 CPU检测到所述需要加密的报文所在隧道没有建立时，向接口板发送 IKE报文，触发隧道协商；

建立单元，用于接收所述接口板根据所述分配规则上送的 IKE报文，建立所述需要加密的报文所在隧道。

51、根据权利要求 50所述的***，其特征在于，所述分配规则包括：根据从接口板获取的 CPU号将 ^艮文发送到与所述 CPU号对应的 CPU中，所述 CPU 号由所述接口板通过对所述报文的源、目的地址哈希计算得到。

52、根据权利要求 50所述的***，其特征在于，所述建立隧道的设备还包括：

报文接收单元，用于接收接口板根据所述分配规则发送的报文。

53、根据权利要求 52所述的***，其特征在于，所述建立隧道的设备还包括：

安全策略单元，用于配置安全策略，维护隧道协商动态生成的数据流，检测所述报文接收单元接收的报文是否需要加密。

54、根据权利要求 53所述的***，其特征在于，所述建立隧道的设备还包括：

查找单元，用于在所述安全策略单元查找与所述报文匹配的安全策略，获取所述需要加密的报文；

获取单元，用于获取接收所述需要加密报文的 CPU号码；

第二发送单元，用于将所述查找单元获取的所述需要加密的报文，根据所述安全策略发送到与所述获取单元所获取的所述 CPU号码对应的所述指定的 CPU中。

55、根据权利要求 52所述的***，其特征在于，所述报文接收单元还用于接收 IKE协商包。

56、根据权利要求 50-55任一项所述的***，其特征在于，所述设备为网关的一个或多个业务板，所述 CPU位于所述业务板上，所述 CPU的数量和所述业务板的数量根据所述网关处理业务的需求而定。