随着互联网的迅猛发展，互联网的强大作用在人们的日常工作、生活和娱乐 中都在发挥着其不可替代的地位。由于技术的不断更新，现在的网络速度越来越 快，带宽也从十兆发展到百兆、千兆，乃至万兆的带宽。高速度、高性能的网络 确实为我们使用网络提供了更好的条件，也提高了我们的效率。为我们在互联网 上建立廉价的专有网络奠定了基础。传统的百兆VPN以及部分准千兆的VPN采 用的X86架构在应对这种高速网络环境时显得力不从心。
高速数据处理平台是一种结合硬件系统平台及软件分布实施组件技术的系 统平台，该平台包含多个异构的处理单元，异构的处理单元采用不同的芯片技术 和硬件架构，多个处理单元构成一个基于以太网的协作集群，进而打破了传统单 台VPN设备对网络数据进行处理造成的加解密等操作造成的网络性能急剧下降 的状况。VPN软件系统在集群上进行并行计算，在各处理单元间实现高效的通 信和高效的处理同步机制，从而提供了另一种高性能VPN系统的解决方案，在 应对大量应用数据分析处理时，由于数据包被分配到不同的数据处理存储单元进 行处理，避免了单一NP或其他芯片的VPN系统负载过高而性能下降的问题。

本发明目的是提供一种基于高速数据处理平台的VPN系统的实现方式，这 种方式充分利用了硬件数据处理的高性能和软件功能的高扩展性，构建了一个性 能优良，功能强大，可靠性，可扩充性良好的VPN系统。
本发明目的是这样实现的：基于高速网络数据处理平台的虚拟专用网网关系 统的处理方法，由系统数据交换支持系统、数据接入及预处理板卡、防火墙数据 处理板卡组成；其中，接入板实现千兆线速转发，以及数据预处理，对于外网的 入站报文，通过对需要进一步分析的数据包计算HASH，将它们动态负载均衡的 发到多块VPN处理板卡上进行处理；对于内网的出站报文，根据VPN隧道策略 分发到多块VPN处理板卡进行处理；。VPN的各种数据处理在多处理板并行运 行，以使整个系统达到千兆线速所需的处理效率；系统数据交换支持系统，则负 责在各系统部件之间进行数据传送。
所述千兆线速VPN软件系统，VPN的主控模块和隧道协商模块和隧道实现 模块位于VPN处理板卡上；。主机系统硬件平台的接入板卡处理单元负责进行报 文简单过滤、流量控制和基于网络协议攻击行为的检测。；VPN处理板卡中的主 X86板负责隧道协商和系统管理等功能。VPN处理板卡共同负责隧道中报文的 封装和解封装。
所述该硬件平台综合利用网络处理器对网络报文的接收和转发处理能力，一 些专业芯片在查表、内容分类标记方面的优势，以及x86系统对复杂计算支持的 优势来真正实现千兆线速。具体工作流如下：
401：当内网报文从LAN/DMZ进入接入板，根据VPN策略分发到x86 Node板处理；
402：当内网报文到达x86Node板后，进行IPSec封装，成为密文报文， 然后交给接入板，由接入板通过WAN口发送给对方网关；
403：密文由WAN进入接入板，根据负载均衡的分析发到x86Node板处 理；
404：当密文到达x86Node板后，进行IPSec解封装，成为明文报文，然 后交给接入板，由接入板通过LAN/DMZ口发送给内网主机；
405：协商报文由主Node板发出，经接入板WAN口发送到对方网关， 对方网关接入板WAN口接收到协商报文后，交给主Node板，主 Node板分析协商报文并回复，由此完成协商；
406：最大限度地提高系统计算效能。为我们要达到千兆线速的处理要求 提供足够的性能保障。
本发明整个系统可以划分为数据接入模块，VPN隧道协商模块，VPN隧道 实现模块，管理模块和日志模块五个部分。数据接入模块位于接入板，负责将隧 道协商报文转发到主VPN处理板；负责将内网报文根据VPN策略分发到VPN 处理板；负责外网收到的IPSec报文根据负载均衡算法，转发到VPN处理板； 负责将VPN处理板处理后的报文根据路由转发到内网或者外网。VPN隧道协商 模块位于VPN主处理板，负责与其他VPN设备协商VPN隧道，并将协商好的 隧道信息传递到各VPN处理板的VPN实现模块。VPN实现模块位于各VPN处 理板，负责封装由内网发送到对方网关保护的内网的报文，成为IPSec报文；负 责解封装收到的IPSec，成为普通的明文报文。
本发明基于高速数据处理平台的VPN系统，通过硬件平台与相应的软件改 进两部分进行实现，其中软件改进包括软件体系结构的改良、以及为适应新硬件 平台一些关键算法设计的修改。

图1为VPN管理及日志模块结构图
图2为VPN隧道协商结构图
图3为VPN出站流程图
图4为VPN入站流程图
图5为本发明系统示意图

如图1所示，整个VPN系统由远程GUI模块(包括VPN配置、VPN日志 浏览)，控制管理模块、Node板同步模块、数据接入板管理模块、功能模块(包 括隧道协商和隧道实现)、日志服务器模块组成。
VPN系统位于企业与Internet数据交换的核心节点处，基于高速数据处理平 台的VPN系统的部署位置与传统VPN类似，对外VPN提供2个以上接口，分 别对应于Lan、Wan和DMZ区域(如果有的话)。
用户在GUI上配置好VPN策略后，通过TCP连接发送到数据接入板，数 据接入板将报文分流到主处理板，主处理板负责接收GUI发送的策略，对策略 进行分解后分发到各处理板。对于协商报文，数据接入板分流到主处理板；对于 出站报文根据源IP目的IP进行分流，对于入站报文根据源IP和UDP端口进行 分流。分流要保证协商出的隧道的报文交由同一个处理板进行处理。主处理板协 商出隧道后，将隧道信息广播到各处理板，并通知数据接入板将报文分流到处理 板。
VPN处理板卡中的主X86板负责隧道协商和系统管理均采用现有技术方案。隧 道中报文封装和解封装亦采用现有方法，由VPN处理板卡共同负责隧道中报文 的封装和解封装。
如图3和图4所示，内网报文通过Lan/Dmz口进入系统，经过接入板通过 负载均衡分析，转发到Node板，Node板完成报文的IPSec封装后，交接入板经 Wan口发送到对方网关。接入板Wan口接收到IPSec报文后，通过负载均衡分 析，转发到Node板，Node板完成报文的IPSec解封装后，交接入板经Lan/Dmz 口发送到内网主机。
IPSec的报文封装和解封装在处理板实现，数据接入板负责分流报文，将同 一隧道处理的报文发送到同一处理板上，处理板负责封装和解封装报文，在多个 处理板的情况下，会自动协商出主处理板，主处理板负责协商隧道。策略配置由 主处理板处理，并分发到其他处理板。