专利名称:一种虚拟专用网络用户服务质量控制方法和设备的制作方法
技术领域:
本发明涉及网络通信技术领域,特别是涉及一种虚拟专用网络用户服务质量控制方法和设备。
背景技术:
虚拟专用网络(Virtual Private Network, VPN)是一种在公共网络上建立的专用网络,它是通过特殊加密的通信协议、在位于公共网络上不同地址的两个或多个企业的内部网之间所建立的专有的远程安全访问通道。企业只需要租用本地的数据专线,连接上本地的因特网anternet),企业各分支机构与企业的内部网之间就可以建立安全可信的连接,以保证数据的安全传输。使用VPN有节省成本、提供远程访问、扩展性强、便于管理等优点ο安全套接层虚拟专用网络(Security Socket Layer Virtual Private Network, SSLVPN)是一种基于安全套接层协议建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术,其应用随着互联网的普及和电子商务、远程办公的兴起而发展迅速。现有技术中,远端用户可以通过TOB浏览器或SSL隧道访问SSLVPN网关。当大量的远端用户进行在线访问时,由于广域网的带宽是有限的,如果不进行服务质量(Quality of Service, Q0S)控制,就会出现一个用户占用大部分广域网侧带宽或者出现多个用户抢占带宽的情况。这时在网络上的数据队列长度将会增加,导致数据包延迟增加,进而导致部分用户报文传输不稳定、TCP重传发生次数增多、业务出现断续甚至完全中断的结果。另外, 如果不进行QOS控制,一些对实时性要求较高的业务(例如语音业务),会因调度不当导致丢包、发生重传,使得业务效果不可接受,例如出现语音通话延迟、声音不可辨识等情况,并且造成网络资源的浪费。因此,为了使SSLVPN业务不受到网络延迟或阻塞等问题的影响, 需要一种有效的服务质量QOS控制机制保证网络的畅通与业务的正常进行。QOS策略可以在网络过载或拥塞时,确保重要网络业务数据不受延迟的影响或遭到丢弃,同时保证网络的高效运行,充分利用网络资源。现有技术中存在一种基于SSLVPN的用户服务质量控制方法,这种方法通过带宽预留的方法保证SSLVPN业务在广域网出口占用的总带宽。SSLVPN网关在广域网有一个固定开放的IP地址和端口(PORT),可以针对此IP地址和端口设置一个QOS策略,该策略通过控制访问此IP地址和端口的流量的带宽,并优选调度此IP地址和端口收发的报文,来保证 SSLVPN业务总的服务质量。在实现本发明的过程中,发明人发现现有技术中至少存在如下问题现有技术提供的方法只能保障SSLVPN业务总的服务质量,并不能够针对不同用户实施服务质量控制, 因此无法解决各个用户间带宽抢占以及优先调度高优先级数据转发的问题,无法保证重要业务的正常进行,网络资源利用率低
发明内容
为解决上述技术问题,本发明实施例提供了一种虚拟专用网络用户服务质量控制方法和设备,可以识别出进入SSLVPN网关的流量所归属的用户,并针对不同的用户实施服务质量控制,合理利用带宽,确保重要业务的正常进行。一方面,本发明实施例提供了一种虚拟专用网络用户服务质量控制方法,所述方法包括网关接收报文,获取所述报文的地址信息;根据所述报文的地址信息判断所述报文是否归属于已知的连接或流,如果所述报文属于已知的连接或流,确定所述报文对应的用户;其中,所述网关记录有已知的流或连接与用户的对应关系;根据用户与服务质量策略的对应关系确定所述用户的服务质量策略,根据所述服务质量策略对所述报文执行服务质量控制。另一方面,本发明实施例提供了一种虚拟专用网络设备,所述设备包括存储器,用于记录已知的流或连接与用户的对应关系以及用户与服务质量策略的对应关系;获取模块,用于网关接收报文,获取所述报文的地址信息;识别模块,用于根据所述报文的地址信息判断所述报文是否归属于已知的连接或流,如果所述报文属于已知的连接或流,根据存储器中记录的已知的流或连接与用户的对应关系确定所述报文对应的用户;第一处理模块,用于根据存储器中记录的用户与服务质量策略的对应关系确定所述用户的服务质量策略,根据所述服务质量策略对所述报文执行服务质量控制。本发明实施例中,网关在接收到报文后,获取所述报文的地址信息,根据所述报文的地址信息判断所述报文是否归属于已知的连接或流;如果是,根据记录的流与用户的对应关系或Socket连接与用户的对应关系,确定所述报文对应的用户;根据用户与服务质量策略的对应关系确定用户的服务质量策略,根据所述服务质量策略对所述报文进行服务质量控制。本发明实施例提供的方法可以识别出进入SSLVPN网关的流量所归属的用户,并针对不同的用户实施不同的服务质量控制,合理利用带宽,确保重要业务的正常进行。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。图1为本发明实施例提供的虚拟专用网络用户服务质量控制方法第一实施例流程图;图2为本发明实施例提供的虚拟专用网络用户服务质量控制方法第二实施例流程图;图3为本发明实施例提供的虚拟专用网络用户服务质量控制方法第三实施例流程图;图4为本发明实施例提供的虚拟专用网络用户服务质量控制方法第四实施例流程图;图5为本发明实施例提供的虚拟专用网络设备第一实施例示意图;图6为本发明实施例提供的虚拟专用网络设备第二实施例示意图。
具体实施例方式本发明实施例提供了一种虚拟专用网络用户服务质量控制方法和设备,可以识别出进入SSLVPN网关的流量所归属的用户,并针对不同的用户实施服务质量控制,合理利用带宽,确保重要业务的正常进行。为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。在SSLVPN网络中,SSLVPN网关是提供SSLVPN业务功能的设备,以下简称网关。 WAN(ffide Area Network,广域网)口是网关接入广域网的接口,远端用户可以通过WAN 口接入网关;LAN (Local Area Network,局域网)口是网关面向内部网络的接口。本发明提供的实施例通过识别进入WAN 口流量所归属的用户以及识别进入LAN 口流量所归属的用户, 针对不同的用户实施QOS控制,确保了重要业务的正常进行,合理利用了带宽,提高了网络资源的利用率。参见图1,为本发明实施例提供的虚拟专用网络用户服务质量控制方法第一实施例流程图。所述方法包括S101,网关接收报文,并获取所述报文的地址信息。S102,根据所述报文的地址信息判断所述报文是否归属于已知的连接或流,如果所述报文属于已知的连接或流,确定所述报文对应的用户;其中,所述网关记录有已知的流或连接与用户的对应关系。S103,根据用户与服务质量策略的对应关系确定所述用户的服务质量策略,根据所述服务质量策略对所述报文执行服务质量控制。优选的,所述方法还包括如果所述报文不属于已知的连接或流,则根据限定的速率接收所述报文。本发明实施例提供的一种虚拟专用网络用户服务质量控制方法通过报文的地址信息判断所述报文是否归属于已知的连接或流,并根据记录的流与用户的对应关系或连接与用户的对应关系可以识别出进入SSLVPN网关的流量所归属的用户,并针对不同的用户实施不同的服务质量控制,合理利用带宽,确保重要业务的正常进行。前面提到,SSLVPN网关在广域网和局域网都有一个接口。下面对通过识别进入 WAN 口的流量所归属的用户来进行QOS控制的两个实施例进行详细介绍,所述两个实施例均是对图1所示实施例的改进。参见图2,为本发明实施例提供的虚拟专用网络用户服务质量控制方法第二实施例流程图。S201,在网关的WAN侧,对访问网关的流量,根据报文的地址信息建立流表。
本发明提供的实施例中,报文是指I P报文。在一段时间内,在一个源IP地址和目的IP地址之间连续传输的报文序列,称之为流。属于同一个流的报文具有相同的源端口号、目的端口号、协议号和源IP地址、目的IP地址。在本发明提供的实施例中,对访问网关的流量,根据报文的地址信息建立流表。其中,报文的地址信息包括源IP地址、目的IP地址、源端口、目的端口。对于进入网关的流量,以报文的源IP地址、目的IP地址、源端口、目的端口信息为关键字建立流表。流表是一组以报文中的几个元组(IP地址、端口号、dscp、协议号)为关键字、以具体动作为内容的数据转发基础表项。表项的动作内容可以储存执行的QOS策略,所述QOS策略具体可以包括带宽控制、优先级调度信息等。流表中记录有用户与服务质量QOS策略的对应关系。S202,当网关接收到用户发送的报文后,获取报文的地址信息。S203,根据报文的地址信息查找流表中是否存在与所述报文对应的表项。如果有, 判断所述报文属于已知的流,进入步骤S204。如果不存在,进入步骤S207。对于进入网关WAN 口的SSLVPN报文,网关首先根据报文的地址信息查找流表,所述地址信息可以包括报文的源、目的IP地址以及源、目的端口号。如果在流表中存在与所述报文对应的表项,则判断所述报文属于已知的流。如果不存在,则判断所述报文属于未知的流。S204,判断所述流表的表项中是否存在用户标识。如果存在,进入步骤S205,如果不存在,进入步骤S208。用户标识用于区分不同的用户,用户标识与用户具有对应关系。流表中保存有用户与QOS策略的对应关系。S205,根据所述用户标识确定所述报文对应的用户,进入步骤S206。S206,根据用户与服务质量策略的对应关系确定与所述用户对应的服务质量策略,根据所述服务质量策略对所述报文进行服务质量控制。在本发明实施例中,QOS策略主要用于描述如何针对归属于不同用户的流量执行不同的服务质量控制的信息集合。具体的,QOS策略主要用于在识别出具体用户后,对进入网关的流量进行带宽限制和优先级调度。在本发明实施例中,QOS策略会设定每个用户的带宽,在SSLVPN网关接收流量时,如果接收的数据超过设定的带宽则会被丢弃;当发送流量时,如果超过带宽限制一般进行丢弃或整形。在本发明实施例中,如果有多个用户流量同时进入网关,则在用户优先级不同的情况下,优先接收高优先级的用户流量,丢弃低优先级用户流量;在同时发送多个用户流量时,会优先发送高优先级用户流量,稍后发送或丢弃低优先级用户流量。S207,如果查找流表不存在对应的表项,则建立与所述报文对应的流表表项,进入步骤S208。所述流表表项中包含所述报文的地址信息。S208,对不属于已知的流的报文,根据限定的速率接收报文。一般而言,在流表中不存在与报文对应的表项或者在流表表项中没有用户标识时,可以限定以较低的速率来接收报文(例如20KB/S)。这样可以防止无法识别用户的报文流量过大,造成网络堵塞,并可以提高数据接收的安全性。进一步的,所述方法还可以包括
若网关在接收报文的处理过程中识别出所述报文对应的用户时,判断所述用户是否是新用户;如果是,将所述新用户的用户标识以及所述用户与服务质量策略的对应关系记录在所述流表表项中。如果不是新用户,在所述报文对应的流表表项中记录所述用户的用户标识。网关应用层可以从http请求中获取存在于首行或cookie中的用户标识来识别用户。所述用户标识一般是数字和字母组成的可见字符串。当收到的报文数据中没有用户标识时可以认为是一个新用户。或者当一个用户登陆认证成功后,也会产生一个新用户。当网关应用层发现所述用户是新用户时,则将新用户的用户标识以及对应的QOS策略发送到数据面,由数据面的流表记录所述用户与用户标识的对应关系、用户标识与QOS策略的对应关系。当网关应用层识别所述用户不是新用户时,将用户标识发送给数据面的流表。具体的,本发明实施例提供的方法还可以包括流表的维护步骤当所述报文对应的TCP连接断开时,删除与所述报文对应的流表表项。由于流表表项对应TCP/SSL连接,因此网关在感知TCP结束报文时可以删除相应的流表表项。具体的,收到TCP Fin或RST时,表明TCP连接断开,可以删除所述流表表项。为了防止异常情况的发生(例如FIN或RST报文丢失),可以采取闲置切断的方式删除流表表项,即当所述报文对应的TCP连接在设定的时间内未进行报文处理时,删除与所述报文对应的流表表项。一般可以使用定时器进行检测,如果一个流表表项(对应TCP 连接)在一段时间内没有接收或发送报文,则将其删除。在本发明提供的第二实施例中,在网关建立流表,通过报文的地址信息查找流表, 判断所述报文是否属于已知的流,并根据流与用户的对应关系识别所述报文对应的用户, 根据用户对应的QOS策略执行QOS控制,可以对不同用户进行不同的QOS控制,以确保重要业务的正常进行,合理利用带宽。根据SSLVPN设备的不同,可以采用本发明提供的第三实施例实现对流量所归属用户的识别,并根据不同的用户执行不同的QOS策略。与第二实施例不同的是,本发明提供的第三实施例是在TCP协议栈通过Socket控制网关WAN侧数据的收发。参见图3,为本发明提供的虚拟专用网络用户服务质量控制方法第三实施例流程图。S301,网关接收报文,并获取报文的地址信息。S302,网关将所述报文的地址信息与已知连接的地址信息进行比较,当所述报文的地址信息与已知连接的地址信息相同时,判断所述报文属于已知的连接。如果不是,进入步骤S305。前面提到,一个流对应一个TCP连接。因此,网关可以根据报文对应的连接的地址信息判断报文是否归属于已知的连接。一般而言,具有相同源IP地址和源端口信息的报文归属于同一个连接。其中,所述连接为Socket连接。S303,根据记录的连接与用户的对应关系,确定所述连接归属的用户。如果所述报文归属于已知的连接,网关可以根据记录的Socket连接与用户的对应关系,确定所述连接归属的用户。Socket通常也称作"套接字",用于描述IP地址和端口,应用程序通常通过"套接字"向网络发出请求或者应答网络请求。S304,如果识别出所述报文对应的连接归属的用户,则根据用户与服务质量策略的对应关系对所述报文进行服务质量控制。具体的,网关可以在识别出所述报文对应的连接归属的用户后,针对具体的用户执行相应的服务质量控制,主要是对流量进行带宽限制和优选级调度。具体的服务质量策略与第二实施例相同。优选的,若多个Socket连接对应同一个用户,则设置所述多个Socket连接共用所述用户的带宽。这样可以保证单一用户带宽可控,合理利用带宽。S305,对不归属于已知连接的报文,根据限定的速率接收报文。当一个连接刚被建立时,网关是不知道其对应的用户的,只有在深度处理后,才知道其对应的用户。对不归属于已知用户的连接,控制TCP Socket的接收,以较低的速率来接收报文(例如20KB/S)。这样可以防止此连接突发较大流量,造成网络堵塞,并可以提高数据接收的安全性。S306,当网关对接收到的数据进行处理后,确定所述连接对应的用户后,记录此连接与用户以及用户的服务质量策略的对应关系。具有相同的源IP地址和源端口的报文对应同一个Socket连接。当网关应用层通过Socket请求中的用户自定义字段,识别出所述连接对应的用户后,则会记录此连接与用户以及用户的服务质量策略的对应关系。使用此连接传输的流量则应用统一的QOS策略。本发明提供的第三实施例用于使没有数据层的VPN设备通过TCP Socket的控制来对不同用户的QOS进行控制。本发明实施例提供的方法可以区分不同的用户,针对不同用户实施不同的QOS策略,以确保重要业务的正常进行,合理利用带宽。前面提到,SSLVPN网关在广域网和局域网都有一个接口。下面对通过识别进入 LAN 口的流量所归属的用户来进行QOS控制的一个实施例进行详细介绍。参见图4,为本发明实施例提供的虚拟专用网络用户服务质量控制方法第四实施例流程图。所述方法包括S401,为每个用户在局域网LAN侧分配一个独立的IP地址,记录所述IP地址与用户的对应关系。现有技术中,对于进入LAN 口的WEB类应用的流量,报文的目的IP地址是网关的内网IP地址,所述报文的目的IP地址与用户并不是一一对应的关系,无法用于区分用户。 在本发明实施例中,SSLVPN设备在用户上线后,为每个用户在局域网LAN侧分配一个独立的IP地址,并记录所述IP地址与用户的对应关系。通过此方式,当报文进入LAN 口时,可以根据这个IP地址区分用户。S402,根据所述IP地址与用户的对应关系对进入LAN侧的报文进行用户识别。在LAN侧网关接收报文时,这一 IP地址是报文的目的IP地址,可以通过IP地址与用户的对应关系,查找与这一 IP地址对应的用户。对于进入LAN侧的隧道类应用的流量,由于网关为每个用户独立分配了一个IP地址,因此可以根据目的IP地址区分用户。在本申请实施例中,对于进入LAN侧TOB类应用的流量,网关也为用户在LAN侧分配了一个独立的IP地址。这样,在LAN侧,每个用户具有两个IP地址。网关数据面就可以对进入这两个IP地址的报文进行用户识别。具体的,可以通过用户表记录IP地址与用户的对应关系,通常查找用户表区分进入LAN侧流量归属的用户。
S403,识别出所述报文对应的用户后,根据用户与服务质量策略的对应关系确定所述用户的服务质量策略,根据所述服务质量策略对所述报文进行服务质量控制。这样,对于进入LAN测的流量也可以通过区分用户,对不同的用户实施不同的QOS 控制,合理利用带宽,有效利用网络资源。参见图5,本发明实施例了一种虚拟专用网络设备,用于实现上述方法。所述设备包括存储器501,用于记录已知的流或连接与用户的对应关系以及用户与服务质量策略的对应关系。获取模块502,用于接收报文,获取所述报文的地址信息。识别模块503,用于根据所述报文的地址信息判断所述报文是否归属于已知的连接或流,如果,所述报文属于已知的连接或流,根据存储器中记录的已知的流或连接与用户的对应关系确定所述报文对应的用户。第一处理模块504,用于根据存储器中记录的用户与服务质量策略的对应关系确定所述用户的服务质量策略,根据所述服务质量策略对所述报文执行服务质量控制。具体的,所述设备还包括第二处理模块,用于如果所述报文不属于已知的连接或流,则根据限定的速率接收所述报文。在本发明提供的一个具体实施例中,所述识别模块为第一识别模块,用于根据所述报文的地址信息查询流表中是否有与所述报文对应的表项;如果有,判断所述报文属于已知的流;当所述报文属于已知的流时,进一步确定所述报文对应的用户。优选的,当识别模块为第一识别模块时,所述设备还包括建立模块,用于当判断所述流表中不存在与所述报文对应的表项时,建立与所述报文对应的流表表项,所述流表表项包含所述报文的地址信息。第一记录模块,用于当网关在接收报文的处理过程中识别出所述报文对应的用户是新用户时,将所述新用户的用户标识以及所述用户与服务质量策略的对应关系记录在所述流表表项中。第二记录模块,用于当网关在接收报文的处理过程中识别出所述报文对应的用户不是新用户时,在所述报文对应的流表表项中记录所述用户的用户标识。第一删除模块,用于当所述报文对应的TCP连接断开时,删除与所述报文对应的流表表项。第二删除模块,用于当所述报文对应的TCP连接在设定的时间内未进行报文处理时,删除与所述报文对应的流表表项。在本发明提供的另一实施例中,所述识别模块为第二识别模块,用于将所述报文的地址信息与已知连接的地址信息进行比较,当所述报文的地址信息与已知连接的地址信息相同时,判断所述报文属于已知的连接;如果是,根据连接与用户的对应关系确定所述报文对应的用户。优选的,当识别模块为第二识别模块时,所述设备还包括第三记录模块,用于当网关对接收的报文进行处理后,识别出所述连接对应的用户后,记录此连接与用户以及用户的服务质量策略的对应关系。设置模块,用于若多个连接对应同一个用户,则设置所述多个连接共用所述用户的带宽。参见图6,本发明提供的虚拟专用网络设备第二施例示意图。本发明实施例还提供了一种虚拟专用网络设备,用于实现图4所示的方法,所述设备包括分配模块601,用于为每个用户在局域网LAN侧分配一个独立的IP地址,记录所述 IP地址与用户的对应关系;第三识别模块602,用于根据所述IP地址与用户的对应关系对进入LAN侧的报文进行用户识别;第三处理模块603,用于识别出所述报文对应的用户后,根据用户与服务质量策略的对应关系确定所述用户的服务质量策略,根据所述服务质量策略对所述报文进行服务质量控制。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排
除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。以上所述仅是本发明的具体实施方式
,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种虚拟专用网络用户服务质量控制方法,其特征在于,所述方法包括网关接收报文,获取所述报文的地址信息;根据所述报文的地址信息判断所述报文是否归属于已知的连接或流,如果所述报文属于已知的连接或流,确定所述报文对应的用户;其中,所述网关记录有已知的流或连接与用户的对应关系;根据用户与服务质量策略的对应关系确定所述用户的服务质量策略,根据所述服务质量策略对所述报文执行服务质量控制。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括如果所述报文不属于已知的连接或流,则根据限定的速率接收所述报文。
3.根据权利要求1或2所述的方法,其特征在于,所述根据所述报文的地址信息判断所述报文是否归属于已知的连接或流为根据所述报文的地址信息查询流表中是否有与所述报文对应的表项;如果有,判断所述报文属于已知的流;所述确定所述报文对应的用户为判断所述表项中是否存在用户标识;如果存在,根据用户标识与用户的对应关系确定所述报文对应的用户。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括当所述报文对应的TCP连接断开时,删除与所述报文对应的表项。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括当所述报文对应的TCP连接在设定的时间内未进行报文处理时,删除与所述报文对应的表项。
6.根据权利要求3至5任意一项所述的方法,其特征在于,所述报文的地址信息、所述用户标识与用户的对应关系以及所述用户与服务质量策略的对应关系保存在流表中。
7.根据权利要求1所述的方法,其特征在于,所述根据所述报文的地址信息判断所述报文是否归属于已知的连接或流为将所述报文的地址信息与已知连接的地址信息进行比较,当所述报文的地址信息与已知连接的地址信息相同时,判断所述报文属于已知的连接;所述确定所述报文对应的用户为根据连接与用户的对应关系确定所述报文对应的用户。
8.根据权利要求7所述的方法,其特征在于,所述确定服务质量策略为若多个连接对应同一个用户,则确定服务质量策略为设置所述多个连接共用所述用户的带宽。
9.根据权利要求1所述的方法,其特征在于,当判断所述报文不归属于已知的连接或流时,所述方法还包括当网关对所述报文进行处理识别出所述报文对应的用户后,保存所述报文对应的连接或流与用户以及用户的服务质量策略的对应关系。
10.一种虚拟专用网络设备,其特征在于,所述设备包括存储器,用于记录已知的流或连接与用户的对应关系以及用户与服务质量策略的对应关系;获取模块,用于网关接收报文,获取所述报文的地址信息;识别模块,用于根据所述报文的地址信息判断所述报文是否归属于已知的连接或流, 如果所述报文属于已知的连接或流,根据存储器中记录的已知的流或连接与用户的对应关系确定所述报文对应的用户;第一处理模块,用于根据所述存储器中记录的用户与服务质量策略的对应关系确定所述用户的服务质量策略,根据所述服务质量策略对所述报文执行服务质量控制。
11.根据权利要求10所述的设备,其特征在于,所述识别模块为第一识别模块,用于根据所述报文的地址信息查询流表中是否有与所述报文对应的表项;如果有,判断所述报文是否属于已知的流;当所述报文属于已知的流时,进一步确定所述报文对应的用户。
12.根据权利要求10所述的设备,其特征在于,所述识别模块为第二识别模块,用于将所述报文的地址信息与已知连接的地址信息进行比较,当所述报文的地址信息与已知连接的地址信息相同时,判断所述报文属于已知的连接;如果是,根据连接与用户的对应关系确定所述报文对应的用户。
13.根据权利要求10所述的设备,其特征在于,所述设备还包括第二处理模块,用于如果所述报文不属于已知的连接或流,则根据限定的速率接收所述报文。
全文摘要
本发明涉及网络通信技术领域,特别是一种虚拟专用网络用户服务质量控制方法,所述方法包括网关接收报文,获取所述报文的地址信息;根据所述报文的地址信息判断所述报文是否归属于已知的连接或流,如果所述报文属于已知的连接或流,确定所述报文对应的用户;其中,所述网关记录有已知的流或连接与用户的对应关系;根据用户与服务质量策略的对应关系确定所述用户的服务质量策略,根据所述服务质量策略对所述报文执行服务质量控制。本发明提供的方法可以识别出进入SSLVPN网关的流量所归属的用户,并针对不同的用户实施不同的服务质量控制,确保重要业务的正常进行,合理利用带宽,有效利用网络资源。
文档编号H04L12/56GK102394816SQ20111033468
公开日2012年3月28日 申请日期2011年10月28日 优先权日2011年10月28日
发明者鄂维, 陈伟 申请人:华为技术有限公司