当今网络规模和性能迅速增长,网络技术推陈出新,新业务不断涌现,这就要求网络设备具有线速和智能的处理能力。网络处理器(Network Processor,NP)专门针对网络数据处理进行了硬件优化,既有ASIC的高速处理能力,又有完全的可编程特性,能够快速升级以适应新的网络技术和应用。IXP2850网络处理器是Intel公司IXP2XXX第二代网络处理器系列的最新产品,它集成了两个加/解密单元(Crypto Unit),可达到10Gbit/s的加/解密速度,在单个芯片中集成了高性能分组处理功能与强大的安全特性,可支持如虚拟专用网、Web服务和存储局域网络等一系列应用。 虚拟专用网(Virtual Private Network,VPN),通过对网络数据的鉴别和加密传输,在公用网络上搭建临时的、安全的连接,从而实现在公网上传输私有数据,达到专用网络的安全级别。目前VPN技术中应用最广泛的是L2TP与IPSec的结合。对二者综合使用,可以构建一个既支持多种协议又能确保数据完整性和安全性的VPN,在IXP2850上实现,使其具有灵活性,安全性,经济性,可扩展性。 本文主要研究VPN承载协议L2TP与IPSec在基于Intel网络处理器的硬件防火墙系统中的设计。详细叙述作者在本课题中所承担的工作,深入研究L2TP与IPSec协议,阐述设计思路、实现过程中需要考虑的问题、以及这些问题的解决方案,包括系统中L2TP控制消息的验证过程,IPSec中加密选项的安全性研究,密码算法的硬件实现方案的研究。在IXP2850上,设计并实现了协议体系相关的数据包分类处理模块,L2TP处理模块,IPSec加解密处理模块,VPN转发处理模块。