专利名称:一种基于用户的流量控制方法
技术领域:
本发明涉及一种基于用户的流量控制方法。
背景技术:
随着网络安全和流量控制重要性的日益突出,各种网络安全和流量控制的新技术 和新产品不断涌现,包括SFQ(随机公平队列)、TBF(令牌桶过滤器)等不可分类流量控制 技术,以及CBQ (基于类的队列)、HTB (分层令牌桶)等可分类的流量控制技术,为保护厂商 和客户端的信息在网络传输过程的安全性,基于客户端认证的加密传输的安全网关越来越 重要,SSLVPN安全网关正是为满足这个需求产生的。但在现有技术中,用户的流量控制时 的数据流标识操作会引起系统性能下降的问题
发明内容
本发明的目的是提供一种基于用户的流量控制方法,可以很好的解决进行基于用 户的流量控制时的数据流标识操作引起的系统性能下降的问题。本发明的目的是通过以下技术方案来实现一种基于用户的流量控制方法,包括=SSLVPN设备启动源进源出功能;建立客户 端与SSLVPN网关之间的隧道连接,并生成客户端节点;为客户端配置与客户端节点一一对 应的流量控制策略;客户端发起到服务器端的访问请求;SSLVPN网关识别客户端;建立客 户端与服务器端的连接;建立连接的状态表项与流量控制策略之间的关联;建立状态表项 与由服务器端返回客户端的报文之间的关联;通过流量控制策略对由服务器端返回客户端 的报文进行流量控制。本发明通过状态表项进行数据流标识,避免维护一张新的规则表来标识数据流, 提升整个系统性能。
下面根据附图和实施例对本发明作进一步详细说明。图1为本发明一种基于用户的流量控制方法示意图;图2为本发明实施例1中步骤103的具体流程图;图3为本发明实施例1中步骤107的具体流程图;图4为本发明实施例1中步骤109的具体流程图。
具体实施例方式本发明提出一种基于用户的流量控制方法,其核心思想在于配置在线客户端的 流量控制策略;关联在线客户端新建连接的状态表项与所述流量控制策略;关联所述状态 表项与由服务器返回的报文;根据由服务器返回的报文对在线客户端进行流量控制。实施例1
3
SlOU SSLVPN设备启动源进源出功能。也就是说,报文请求的入接口,一定是报文应答的出接口。S102、建立客户端与SSLVPN网关之间的隧道连接,并生成客户端节点。S103、SSLVPN网关为客户端配置与客户端节点一一对应的流量控制策略。流量控制策略包括过滤表项和规则表项,过滤表项与规则表项一一对应,过滤表 项与规则表项具有相同的classid。过滤表项由参数classid标识,classid是一个32位的值,其前16位为父类的 序号,后16位是自己的序号,过滤表项的主要参数还包括设备名称、父类标识、优先级、 handle值和classid等,过滤表项的handle属性值也是一个32位值,当SSLVPN支持的客 户端总数被限制在6万以内时,将客户端节点保存的classid的后16位值赋给handle。具体包括S1031、SSLVPN网关根据客户端信息,获取客户端配置数据库,并从客户端配置数 据库中获取客户端流量控制信息。客户端信息必须是能够唯一标识用户的比如用户名/密码、证书等多种形式。客户端流量控制信息具体包括带宽的上限、下限与优先级。S1032、根据客户端与SSLVPN网关之间的隧道连接的入接口及客户端流量控制信 息配置客户端流量控制策略。将客户端流量控制信息即带宽的上限、下限与优先级植入客户端流量控制策略的 规则表项中。S1033、维护客户端节点与流量控制策略一一对应的关系。客户端节点通过保存用来标识客户端流量控制策略中标识过滤表项的classid 以维护客户端节点与流量控制策略一一对应的关系。S104、客户端发起到服务器端的访问请求。S105、SSLVPN网关识别客户端。SSLVPN网关根据上述连接请求中所携带的客户端信息识别发起上述连接请求的 客户端。 S106、建立客户端与服务器端的连接。S107、SSLVPN网关建立客户端与服务器端的连接的状态表项与客户端的流量控制 策略之间的关联。具体包括S1071、SSLVPN网关获取客户端与服务器端的连接的五元组。五元组包括源/目的IP地址、源/目的端口、协议。S1072、SSLVPN网关根据上述五元组获取客户端与服务器端连接的状态表项。S1073、将客户端节点保存的classid的后16位值赋给上述状态表项的mark属性值。状态表项包括五元组、入接口设备、mark值等信息,使用五元组进行hash存储。流量控制策略的规则表项由参数classid标识,规则表项表项的主要参数还包 括设备名称、父类标识、优先级、速率上限、速率下限和classid等,相同流量控制策略的 过滤表项与状态表项具有相同的classid。
4
通过将客户端流量控制策略的classid的后16位值赋给客户端与服务器端的连 接的状态表项的mark值,从而建立客户端与服务器端的连接的状态表项与客户端的流量 控制策略之间的关联。S108、建立客户端与服务器端的连接的状态表项与由服务器端返回客户端的报文 之间的关联。申请人:将用于存储报文的类似于Linux的sk_bufT结构体定义为skb。当客户端访问服务器端的资源时,将由服务器返回的报文以skb进行存储,并将 skb的mark属性值设置成同客户端与服务器端的连接的状态表项的mark值相同,从而建立 客户端的流量控制策略与由服务器端返回客户端的报文之间的关联。S109、通过客户端的流量控制策略对由服务器端返回客户端的报文进行流量控 制。具体包括S1091、由服务器端返回的报文以skb进行存储,使用skb的mark值与客户端的流 量控制策略的过滤表项的handle值进行匹配,获取handle值与skb的mark值相同的过滤表项。S1092、获取与上述过滤表项对应的规则表项。上述过滤表项与上述规则表项属于相同的流量控制策略,通过相同的classid进 行标识。S1093、将skb放入上述规则表项中。S1094、根据保存在上述规则表项中的带宽上限、下限和优先级对由服务器返回到 客户端的报文进行流量控制。以上只是本发明一个优选的实施例,基于本发明思想的其他实施例均应包含在本 发明的保护范围。
权利要求
一种基于用户的流量控制方法,其特征在于,包括SSLVPN设备启动源进源出功能;建立客户端与SSLVPN网关之间的隧道连接,并生成客户端节点;为所述的客户端配置与所述的客户端节点一一对应的流量控制策略;所述的客户端发起到所述的服务器端的访问请求;所述的SSLVPN网关识别所述的客户端;建立所述的客户端与所述的服务器端的连接;建立所述连接的状态表项与所述流量控制策略之间的关联;建立所述状态表项与由所述服务器端返回所述客户端的报文之间的关联;通过所述流量控制策略对所述由服务器端返回客户端的报文进行流量控制。
全文摘要
一种基于用户的流量控制方法,包括SSLVPN设备启动源进源出功能;建立客户端与SSLVPN网关之间的隧道连接,并生成客户端节点;为客户端配置与客户端节点一一对应的流量控制策略;客户端发起到服务器端的访问请求;SSLVPN网关识别客户端;建立客户端与服务器端的连接;建立连接的状态表项与流量控制策略之间的关联;建立状态表项与由服务器端返回客户端的报文之间的关联;通过流量控制策略对由服务器端返回客户端的报文进行流量控制。本发明通过状态表项进行数据流标识,避免维护一张新的规则表来标识数据流,提升整个系统性能。
文档编号H04L12/46GK101958842SQ201010522910
公开日2011年1月26日 申请日期2010年10月28日 优先权日2010年10月28日
发明者宋庆 申请人:神州数码网络(北京)有限公司