CN114915451B - 一种基于企业级路由器的融合隧道加密传输方法 - Google Patents

Abstract

本发明是一种基于企业级路由器的融合隧道加密传输方法，包括：设计LSN业务板级ACL策略组的下发、IPSec安全策略隧道的下发、国密业务板卡的负载均衡处理、国密业务板卡的主备切换选板流程处理；在国密业务板上根据板级ACL策略判断报文四层协议特征、查询全局隧道表项，当协议号为特殊的ESP或AH端口号且隧道类型为SR时进行SR及IPSec报文头封装，国密板卡将原始报文进行加密，后由出接口业务板发送至对端路由设备。本发明使同一路由接口同一方向相同ACL元素可多次进行流策略处理，实现了基于IPSec安全策略利用SR隧道进行LSN业务国密安全传输的方案，有效解决用户对高速传输网络自主可控安全保护的诉求。

Description

一种基于企业级路由器的融合隧道加密传输方法

技术领域

本发明属于数据通信、隧道加密技术领域，具体的说是涉及一种基于企业级路由器的融合隧道加密传输方法。

背景技术

近年来，个人和企事业单位的隐私及内部数据时有泄露，使得全社会对网络安全的重视上升到一个新的高度。在国家政策法规层面，对广域网、城域网、局域网等通信网络中的网络架构、通信传输、可信验证等安全控制提出了更高的要求。

路由器设备应用于链路级传输保护，部署简单、运维统一。相对于外挂在网络中的密码机等设备，路由器设备可以集成网络数据路由转发、数据加解密等功能，不改变现有网络架构，业务可灵活匹配来满足对全部或部分网络数据的加密。

目前在金融、安防、政府、涉密等行业中，通过现有虚拟专用网络(VPN) 专线等网络架构可一定程度上保证数据安全，但对于截获、篡改等手段仍缺乏防护。路由器设备作为网络既有节点，新增国密能力，可有效支撑网络改造升级。

随着分段路由技术的大规模应用以及企业自主可控安全传输需求的迅速提升，传统的ACL匹配隧道传输功能已逐渐无法满足LSN业务的隧道加密传输需求。当前的路由设备同一业务板在报文转发的流程中通过优先级匹配 ACL，在同接口同方向转发的流程中只能匹配一次ACL规则，否则不同ACL 规则中可能存在匹配相同元素造成冲突。LSN业务及IPsec业务在处理流程中都需进行ACL流策略处理，难以实现两种业务的叠加传输处理。

发明内容

为了解决上述问题，本发明提供了一种基于企业路由器的融合隧道加密传输方案，在现有纵向网、城域网、局域网等架构上，配合国密业务板卡及 LSN业务板卡，通过分布式板级的异步ACL匹配处理，在设备间建立基于 IPSec策略的LSN业务国密加密隧道，可有效解决用户对高速传输网络自主可控安全保护的诉求。

为了达到上述目的，本发明是通过以下技术方案实现的：

本发明是一种基于企业级路由器的融合隧道加密传输方法，该方法包括如下步骤：

步骤1：用户在路由设备完成接口板ACL策略及LSN业务板级ACL策略组的下发，具体包括如下步骤：

步骤1-1：在路由器的用户视图下配置板级ACL策略，根据ACL版本、 ACL组索引号、路由器的接口索引从LSN转换策略ACL组的软件表中判断配置是否已经生效；

步骤1-2：接口级ACL判断指定的LSN业务板卡是否有效，若有效则下发报文流量重定向到业务板卡，若无效则继续判断备用业务板卡是否有效，如果备用业务板卡亦无效则不下发硬件板级ACL策略组，报文的SIP不做处理，按原始SIP的报文进行普通转发；

步骤1-3：LSN业务板添加板级ACL策略：在ACL策略中添加流动作应用，当报文SIP匹配对应的访问控制规则引流到LSN业务板卡时，对报文不同的SIP进行转换处理，当路由接口配置ACL重定向策略时生效。

步骤2：用户在路由设备完成国密业务板级ACL组及IPSec安全策略隧道的下发，IPSec安全策略隧道的下发具体包括如下步骤：

步骤2-1：在互联的路由器上创建全局IPSec隧道，设置下发叠加隧道类型为SR，配置时获取隧道对应的索引值，查询隧道的软件信息，如果不存在则创建新的融合隧道；

步骤2-2：设置进入隧道的出口表项，取用户配置的DIP地址作为隧道的DIP下发；

步骤2-3：激活隧道时查询用户配置的IPSecProtect标记是否生效，同时查询配置的国密业务板是否可用，在可用的情况下设置隧道硬件表项的转发标记位、SR类型标记位为有效；

步骤2-4：下发板级的ACL策略，当DIP为隧道IP、四层协议类型为UDP 协议、协议端口号为特殊的ESP或AH认证端口号时，报文流量动作为重定向到加密隧道；

步骤2-5：保存隧道索引、融合隧道类型、隧道状态信息，完成安全策略隧道下发。

步骤3：路由设备入接口接收到原始报文后，路由接口配置接口级ACL 匹配待做LSN业务的SIP信息，将所有待转换地址的报文重定向转发到LSN 业务板卡；

步骤4：在LSN业务板卡上先根据报文特征选择下一步需要做加密业务处理的国密板卡，之后根据板级ACL策略解析报文SIP，报文在LSN业务板卡完成网络地址转换流程，将SIP转换为预先分配的公网地址池IP，报文四层PORT号存储在全局隧道表项新增的LSNPORT字段，之后将报文中的 PORT号赋为特殊的ESP或AH端口号用于IPSec转发；

步骤5：根据报文DIP查找路由转发出接口，判定DIP指向的下一跳为 IPSec安全策略隧道并且出接口信息表中的IPSec隧道类型为SR时将报文重定向到经负载均衡或主备切换选板流程处理的国密业务板卡；

步骤6：在国密业务板上根据板级ACL策略判断报文四层协议特征、查询全局隧道表项，当协议号为特殊的ESP或AH端口号且隧道类型为SR时进行SR及IPSec报文头封装，国密板卡将原始报文进行加密，处理完毕后由出接口业务板发送至对端路由设备。

所述步骤6的融合隧道封装加密处理转发具体包括如下步骤：

步骤6-1：根据报文DIP查找路由转发出接口，判定DIP指向的下一跳为 IPSec安全策略隧道并且出接口信息表中的IPSec隧道类型为SR时将报文重定向转发到国密业务板卡；

步骤6-2：在国密业务板上根据板级ACL策略判断报文四层协议特征、查询全局隧道表项，当协议号为特殊的ESP或AH端口号且隧道类型为SR 时查询段路由转发信息后进行SR及IPSec报文头封装，国密板卡根据用户配置的国密算法将原始报文进行加密，处理完毕后由业务板绑定了隧道口的物理出接口发送至对端路由设备；

步骤6-3：对端路由设备入接口接收到封装的报文后，在接口业务板上判断报文四层协议特征，当协议号为特殊的ESP或AH端口号且接口的隧道类型为SR时发送至国密业务板进行IPSec报文头及SR头解封装，国密板卡将加密报文进行解密；

步骤6-4：在国密板卡上查询全局隧道表项信息，将解密后的报文四层 PORT信息进行还原；

步骤6-5：报文根据DIP查找路由转发出接口，根据下一跳信息进行报文普通转发处理。

本发明的进一步改进在于：步骤5中，国密业务板的负载均衡处理包括如下步骤：

步骤5-1-1：报文在LSN业务板上根据报文五元组特征分配唯一的 FlowNum，业务板为FlowNum分配一个全局资源池，资源池的大小为当前设备国密板支持的隧道数总和，其中五元组特征为SIP地址，源端口，DIP地址，目的端口和传输层协议；

步骤5-1-2：将FlowNum同当前路由器可用国密板卡数取模进行第一次负载均衡处理，所得余数即为路由器的第几个国密板卡，指定该板为下一步处理的国密板卡，若指定板卡支持加密的资源已耗尽则指定下一个国密板卡执行加密业务；

步骤5-1-3：根据报文的SIP及DIP字段数值同国密板卡的CPU核数取模进行二次负载均衡，所得余数即为指定国密板卡执行业务的CPU核；

步骤5-1-4：报文在LSN业务板执行操作后根据报文DIP查找路由转发出接口，判定DIP指向的下一跳为IPSec安全策略隧道并且出接口信息表中的IPSec隧道类型为SR时将报文重定向转发到国密业务板卡，选择所述步骤 2中指定的板卡转发报文；

步骤5-1-5：在用于报文LSN业务板和国密业务板卡通信的报文头中封装步骤5-1-3的CPU核ID，通知国密业务板执行业务的CPU核。

本发明的进一步改进在于：国密业务板的主备切换选板流程处理包括如下步骤：

步骤5-2-1：设备默认主备倒换配置不开启，多国密业务板按所述步骤4 负载均衡处理；

步骤5-2-2：在国密业务板卡无流量的状态下用户配置两两一对的互主备业务板使能，此时两个板的性能规格变为原先的一半；

步骤5-2-3：在所述步骤5选择国密业务板卡时，若指定板卡存在主备板配置，则将报文复制一份同时发送到备用国密业务板；

步骤5-2-4：在用于报文LSN业务板和国密业务板卡通信的报文头中封装备份报文判断标记，将其置位为True，国密业务板收到备份报文标记不进行业务处理，将报文丢弃；

步骤5-2-5：当主用业务板故障或被热拔出时，LSN业务板和国密业务板卡通信的报文头中封装备份报文判断标记，将其置位为False，国密业务板收到报文正常进行业务处理。

本发明的有益效果是：本发明将基于IPsec策略的LSN业务国密加密处理与SR隧道结合，不仅满足了端到端组网的加密需求，还满足了纵向网部署，如使用专线或公有网络的加密需求，有效解决了企业网用户对网络安全保护的诉求；本方法基于高性能的核心路由器进行国密业务加密，为加密业务提供了良好的性能处理及业务扩展性，国密业务板卡及LSN业务板卡作为可插拔的设备在路由器上执行业务，路由器设备作为网络既有节点，新增高性能的国密及NAT能力，可有效支撑企业安全网络的改造升级。

附图说明

图1是本发明融合隧道加密传输的流程图。

图2是本发明LSN业务板级ACL策略组的下发流程图。

图3是本发明IPSec安全策略隧道的下发的流程图。

图4是本发明国密业务板的负载均衡处理的流程图。

图5是本发明国密业务板的主备切换选板流程处理的流程图。

图6是本发明融合隧道封装加密处理转发的流程图。

具体实施方式

以下将以图式揭露本发明的实施方式，为明确说明起见，许多实务上的细节将在以下叙述中一并说明。然而，应了解到，这些实务上的细节不应用以限制本发明。也就是说，在本发明的部分实施方式中，这些实务上的细节是非必要的。

本发明基于企业路由器应用IPSec安全策略实现了一种利用SR隧道进行 LSN业务国密安全传输的方法，该方案由LSN业务ACL组的下发、IPSec安全策略隧道的下发、国密业务板的负载均衡处理、国密业务板的主备切换、融合隧道封装加密处理转发五个模块组成。LSN业务ACL组下发模块实现报文在LSN业务板卡上进行地址转换的配置下发；IPSec安全策略隧道下发模块实现报文在国密业务板卡进行SR头封装及报文国密加密处理的配置下发；融合隧道封装加密处理转发模块实现对数据报文的国密加密和指定隧道类型的加解封处理。国密业务板的负载均衡模块实现国密加密业务的多业务板均匀分布，提升加密性能。国密业务板的主备切换模块有效提升国密板卡的可靠性。

本发明的融合隧道加密传输方法包括如下步骤：

步骤1：用户在路由设备完成接口板ACL策略及LSN业务板级ACL策略组的下发，其作用是根据报文的SIP特征匹配用户配置的接口ACL策略，运用流动作策略将报文重定向转发到LSN业务板卡，匹配板级的ACL策略进行SIP地址的转换处理。其工作原理是：ACL是一系列用于识别报文流的规则的集合。路由设备根据ACL策略判断匹配条件的报文，匹配条件可以是报文的源地址、目的地址、端口号等，识别出特定的报文后根据预先设定的策略对其进行处理。

具体的，LSN业务板级ACL策略组的下发具体包括如下步骤：

步骤1-1：在路由器的用户视图下配置板级ACL策略，根据ACL版本、 ACL组索引号、路由器的接口索引从LSN转换策略ACL组的软件表中判断配置是否已经生效；

步骤1-2：接口级ACL判断指定的LSN业务板卡是否有效，若有效则下发报文流量重定向到业务板卡，若无效则继续判断备用业务板卡是否有效，如果备用业务板卡亦无效则不下发硬件板级ACL策略组，报文的SIP不做处理，按原始SIP的报文进行普通转发；

步骤1-3：LSN业务板添加板级ACL策略：在ACL策略中添加流动作应用，当报文SIP匹配对应的访问控制规则引流到LSN业务板卡时，对报文不同的SIP进行转换处理，当路由接口配置ACL重定向策略时生效。

步骤2：用户在路由设备完成国密业务板级ACL组及IPSec安全策略隧道的下发，其作用是报文根据DIP查询出接口软件表，下一跳地址为隧道IP时将报文由LSN业务板卡重定向到国密板卡处理，匹配国密板卡板级ACL策略之后进行对应的隧道报文头封装后转发报文；其原理是：IPSec是IETF制定的三层隧道加密协议，通过在特定通信方之间(例如两个安全网关之间)建立“通道”，来保护通信方之间传输的用户数据，该通道通常称为IPSec隧道。在国密业务板卡上根据板级ACL策略对报文重定向到IPSec进行叠加隧道报文头处理。

具体的，所述IPSec安全策略隧道的下发具体包括如下步骤：

步骤2-1：在互联的路由器上创建全局IPSec隧道，设置下发叠加隧道类型为SR，配置时获取隧道对应的索引值，查询隧道的软件信息，如果不存在则创建新的融合隧道；

步骤2-2：设置进入隧道的出口表项，取用户配置的DIP地址作为隧道的 DIP下发；

步骤2-3：激活隧道时查询用户配置的IPSecProtect标记是否生效，同时查询配置的国密业务板是否可用，在可用的情况下设置隧道硬件表项的转发标记位、SR类型标记位为有效；

步骤2-4：下发板级的ACL策略，当DIP为隧道IP、四层协议类型为UDP 协议、协议端口号为特殊的ESP或AH认证端口号时，报文流量动作为重定向到加密隧道；

步骤2-5：保存隧道索引、融合隧道类型、隧道状态信息，完成安全策略隧道下发。

步骤3：路由设备入接口接收到原始报文后，路由接口配置接口级ACL 匹配待做LSN业务的SIP信息，将所有待转换地址的报文重定向转发到LSN 业务板卡；

步骤4：在LSN业务板卡上先根据报文特征选择下一步需要做加密业务处理的国密板卡，之后根据板级ACL策略解析报文SIP，报文在LSN业务板卡完成网络地址转换流程，将SIP转换为预先分配的公网地址池IP，报文四层PORT号存储在全局隧道表项新增的LSNPORT字段，之后将报文中的PORT号赋为特殊的ESP或AH端口号用于IPSec转发；

步骤5：根据报文DIP查找路由转发出接口，判定DIP指向的下一跳为 IPSec安全策略隧道并且出接口信息表中的IPSec隧道类型为SR时将报文重定向到经负载均衡或主备切换选板流程处理的国密业务板卡。

在此步骤中，国密业务板的负载均衡处理的作用是：在LSN业务板做地址转换业务前，根据报文五元组特征选择下一步待处理的国密业务板卡，使报文流量均匀分布在多个业务板上，有效提升报文隧道加密及传输性能；其原理是：负载均衡建立在现有网络结构之上，它提供了一种方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。负载均衡(Load Balance)即分摊到多个操作单元上进行执行，例如Web服务器、FTP服务器、企业关键应用服务器和其它关键任务服务器等，从而共同完成工作任务。

具体的，国密业务板的负载均衡处理包括如下步骤：

步骤5-1-1：报文在LSN业务板上根据报文五元组特征分配唯一的 FlowNum，业务板为FlowNum分配一个全局资源池，资源池的大小为当前设备国密板支持的隧道数总和；

步骤5-1-2：将FlowNum同当前路由器可用国密板卡数取模进行第一次负载均衡处理，所得余数即为路由器的第几个国密板卡，指定该板为下一步处理的国密板卡，若指定板卡支持加密的资源已耗尽则指定下一个国密板卡执行加密业务；

步骤5-1-3：根据报文的SIP及DIP字段数值同国密板卡的CPU核数取模进行二次负载均衡，所得余数即为指定国密板卡执行业务的CPU核；

步骤5-1-4：报文在LSN业务板执行操作后根据报文DIP查找路由转发出接口，判定DIP指向的下一跳为IPSec安全策略隧道并且出接口信息表中的IPSec隧道类型为SR时将报文重定向转发到国密业务板卡，选择所述步骤2中指定的板卡转发报文；

步骤5-1-5：在用于报文LSN业务板和国密业务板卡通信的报文头中封装步骤5-1-3的CPU核ID，通知国密业务板执行业务的CPU核。

在步骤5中，国密业务板的主备切换处理的作用是：多个国密业务板卡之间两两互相备份加密隧道处理表项，当其中一块业务板卡发生故障无法工作或被热拔出时，业务流量转发到备用板上执行对应的处理；其原理是：主备倒换实现了国密业务处理的高可靠性，通过业务板互备份的处理保证了加密业务的连续性。

具体的，国密业务板的主备切换选板流程处理包括如下步骤：

步骤5-2-1：设备默认主备倒换配置不开启，多国密业务板按所述步骤4 负载均衡处理；

步骤5-2-2：在国密业务板卡无流量的状态下用户配置两两一对的互主备业务板使能，此时两个板的性能规格变为原先的一半；

步骤5-2-3：在所述步骤5选择国密业务板卡时，若指定板卡存在主备板配置，则将报文复制一份同时发送到备用国密业务板；

步骤5-2-4：在用于报文LSN业务板和国密业务板卡通信的报文头中封装备份报文判断标记，将其置位为True，国密业务板收到备份报文标记不进行业务处理，将报文丢弃；

步骤5-2-5：当主用业务板故障或被热拔出时，LSN业务板和国密业务板卡通信的报文头中封装备份报文判断标记，将其置位为False，国密业务板收到报文正常进行业务处理。

步骤6：在国密业务板上根据板级ACL策略判断报文四层协议特征、查询全局隧道表项，当协议号为特殊的ESP或AH端口号且隧道类型为SR时进行SR及IPSec报文头封装，国密板卡将原始报文进行加密，处理完毕后由出接口业务板发送至对端路由设备。

步骤6的作用是：将待通过SR隧道转发的数据报文叠加IPSec隧道头并进行国密加密处理，使被封装的LSN业务SR转发数据报文可以在IP网络中完成机密传输。

步骤6的原理是：SR是基于源路由理念而设计的在网络上转发数据包的一种协议。SR将网络路径分成一个个段，并且为这些段和网络节点分配分段 ID(SID)。通过对SID进行有序排列，就可以得到一条转发路径。段路由转发自身不提供加密与可靠性验证的功能，可以和安全协议(如IPSec)搭配使用，从而实现数据的加密传输。

具体的，融合隧道封装加密处理转发具体包括如下步骤：

步骤6-1：根据报文DIP查找路由转发出接口，判定DIP指向的下一跳为 IPSec安全策略隧道并且出接口信息表中的IPSec隧道类型为SR时将报文重定向转发到国密业务板卡；

步骤6-2：在国密业务板上根据板级ACL策略判断报文四层协议特征、查询全局隧道表项，当协议号为特殊的ESP或AH端口号且隧道类型为SR 时查询段路由转发信息后进行SR及IPSec报文头封装，国密板卡根据用户配置的国密算法将原始报文进行加密，处理完毕后由业务板绑定了隧道口的物理出接口发送至对端路由设备；

步骤6-3：对端路由设备入接口接收到封装的报文后，在接口业务板上判断报文四层协议特征，当协议号为特殊的ESP或AH端口号且接口的隧道类型为SR时发送至国密业务板进行IPSec报文头及SR头解封装，国密板卡将加密报文进行解密；

步骤6-4：在国密板卡上查询全局隧道表项信息，将解密后的报文四层 PORT信息进行还原；

步骤6-5：报文根据DIP查找路由转发出接口，根据下一跳信息进行报文普通转发处理。

本发明将待通过SR隧道转发的数据报文叠加IPSec隧道头并进行国密加密处理，使被封装的LSN业务SR转发数据报文可以在IP网络中完成机密传输。

以上所述仅为本发明的实施方式而已，并不用于限制本发明。对于本领域技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原理的内所作的任何修改、等同替换、改进等，均应包括在本发明的权利要求范围之内。

Claims (6)

1.一种基于企业级路由器的融合隧道加密传输方法，其特征在于：所述融合隧道传输方法包括如下步骤：

步骤1：用户在路由设备完成接口板ACL策略及LSN业务板级ACL策略组的下发；

步骤2：用户在路由设备完成国密业务板级ACL组及IPSec安全策略隧道的下发；

步骤3：路由设备入接口接收到原始报文后，路由接口配置接口级ACL匹配待做LSN业务的SIP信息，将所有待转换地址的报文重定向转发到LSN业务板卡；

步骤4：在LSN业务板卡上先根据报文特征选择下一步需要做加密业务处理的国密板卡，之后根据板级ACL策略解析报文SIP，报文在LSN业务板卡完成网络地址转换流程，将SIP转换为预先分配的公网地址池IP，报文四层PORT号存储在全局隧道表项新增的LSN PORT字段，之后将报文中的PORT号赋为特殊的ESP或AH端口号用于IPSec转发；

步骤5：根据报文DIP查找路由转发出接口，判定DIP指向的下一跳为IPSec安全策略隧道并且出接口信息表中的IPSec隧道类型为SR时将报文重定向到经负载均衡或主备切换选板流程处理的国密业务板卡；

步骤6：在国密业务板上根据板级ACL策略判断报文四层协议特征、查询全局隧道表项，当协议号为特殊的ESP或AH端口号且隧道类型为SR时进行SR及IPSec报文头封装，国密板卡将原始报文进行加密，处理完毕后由出接口业务板发送至对端路由设备。

2.根据权利要求1所述一种基于企业级路由器的融合隧道加密传输方法，其特征在于：步骤1中，所述LSN业务板级ACL策略组的下发具体包括如下步骤：

步骤1-1：在路由器的用户视图下配置板级ACL策略，根据ACL版本、ACL组索引号、路由器的接口索引从LSN转换策略ACL组的软件表中判断配置是否已经生效；

步骤1-2：接口级ACL判断指定的LSN业务板卡是否有效，若有效则下发报文流量重定向到业务板卡，若无效则继续判断备用业务板卡是否有效，如果备用业务板卡亦无效则不下发硬件板级ACL策略组，报文的SIP不做处理，按原始SIP的报文进行普通转发；

步骤1-3：LSN业务板添加板级ACL策略：在ACL策略中添加流动作应用，当报文SIP匹配对应的访问控制规则引流到LSN业务板卡时，对报文不同的SIP进行转换处理，当路由接口配置ACL重定向策略时生效。

3.根据权利要求1所述一种基于企业级路由器的融合隧道加密传输方法，其特征在于：步骤2中，所述IPSec安全策略隧道的下发具体包括如下步骤：

步骤2-1：在互联的路由器上创建全局IPSec隧道，设置下发叠加隧道类型为SR，配置时获取隧道对应的索引值，查询隧道的软件信息，如果不存在则创建新的融合隧道；

步骤2-2：设置进入隧道的出口表项，取用户配置的DIP地址作为隧道的DIP下发；

步骤2-3：激活隧道时查询用户配置的IPSecProtect标记是否生效，同时查询配置的国密业务板是否可用，在可用的情况下设置隧道硬件表项的转发标记位、SR类型标记位为有效；

步骤2-4：下发板级的ACL策略，当DIP为隧道IP、四层协议类型为UDP协议、协议端口号为特殊的ESP或AH认证端口号时，报文流量动作为重定向到加密隧道；

步骤2-5：保存隧道索引、融合隧道类型、隧道状态信息，完成安全策略隧道下发。

4.根据权利要求1所述一种基于企业级路由器的融合隧道加密传输方法，其特征在于：步骤5中，国密业务板的负载均衡处理包括如下步骤：

步骤5-1-1：报文在LSN业务板上根据报文五元组特征分配唯一的FlowNum，业务板为FlowNum分配一个全局资源池，资源池的大小为当前设备国密板支持的隧道数总和；

步骤5-1-2：将FlowNum同当前路由器可用国密板卡数取模进行第一次负载均衡处理，所得余数即为路由器的第几个国密板卡，指定该板为下一步处理的国密板卡，若指定板卡支持加密的资源已耗尽则指定下一个国密板卡执行加密业务；

步骤5-1-3：根据报文的SIP及DIP字段数值同国密板卡的CPU核数取模进行二次负载均衡，所得余数即为指定国密板卡执行业务的CPU核；

步骤5-1-4：报文在LSN业务板执行操作后根据报文DIP查找路由转发出接口，判定DIP指向的下一跳为IPSec安全策略隧道并且出接口信息表中的IPSec隧道类型为SR时将报文重定向转发到国密业务板卡，选择所述步骤2中指定的板卡转发报文；

步骤5-1-5：在用于报文LSN业务板和国密业务板卡通信的报文头中封装步骤5-1-3的CPU核ID，通知国密业务板执行业务的CPU核。

5.根据权利要求1所述一种基于企业级路由器的融合隧道加密传输方法，其特征在于：所述步骤5中，国密业务板的主备切换选板流程处理包括如下步骤：

步骤5-2-1：设备默认主备倒换配置不开启，多国密业务板按所述步骤4负载均衡处理；

步骤5-2-2：在国密业务板卡无流量的状态下用户配置两两一对的互主备业务板使能，此时两个板的性能规格变为原先的一半；

步骤5-2-3：在所述步骤5选择国密业务板卡时，若指定板卡存在主备板配置，则将报文复制一份同时发送到备用国密业务板；

步骤5-2-4：在用于报文LSN业务板和国密业务板卡通信的报文头中封装备份报文判断标记，将其置位为True，国密业务板收到备份报文标记不进行业务处理，将报文丢弃；

步骤5-2-5：当主用业务板故障或被热拔出时，LSN业务板和国密业务板卡通信的报文头中封装备份报文判断标记，将其置位为False，国密业务板收到报文正常进行业务处理。

6.根据权利要求1所述一种基于企业级路由器的融合隧道加密传输方法，其特征在于：所述步骤6的融合隧道封装加密处理转发具体包括如下步骤：

步骤6-1：根据报文DIP查找路由转发出接口，判定DIP指向的下一跳为IPSec安全策略隧道并且出接口信息表中的IPSec隧道类型为SR时将报文重定向转发到国密业务板卡；

步骤6-2：在国密业务板上根据板级ACL策略判断报文四层协议特征、查询全局隧道表项，当协议号为特殊的ESP或AH端口号且隧道类型为SR时查询段路由转发信息后进行SR及IPSec报文头封装，国密板卡根据用户配置的国密算法将原始报文进行加密，处理完毕后由业务板绑定了隧道口的物理出接口发送至对端路由设备；

步骤6-3：对端路由设备入接口接收到封装的报文后，在接口业务板上判断报文四层协议特征，当协议号为特殊的ESP或AH端口号且接口的隧道类型为SR时发送至国密业务板进行IPSec报文头及SR头解封装，国密板卡将加密报文进行解密；

步骤6-4：在国密板卡上查询全局隧道表项信息，将解密后的报文四层PORT信息进行还原；

步骤6-5：报文根据DIP查找路由转发出接口，根据下一跳信息进行报文普通转发处理。