专利名称:一种基于ssl vpn的数据转发方法和设备的制作方法
技术领域:
本发明涉及通信技术领域,特别是涉及一种基于SSL VPN的数据转发方法和设备。
背景技术:
SSL (Security Socket Layer,安全嵌套字层)VPN (Virtual Private Network,虚 拟专用网络)是新兴的VPN技术,以HTTPSGecure Hyper Text Transfer Protocol,安全 超文本传输协议,即支持SSL的HTTP协议)为基础,广泛应用在基于Web的远程安全接入 中,为客户端远程访问公司内部网络提供了安全保证。SSL VPN的典型组网架构如图1所示,管理员在SSL VPN网关上创建企业的内网 服务器所对应的资源,远程接入用户(即客户端)访问内网服务器时,与SSL VPN网关建立 HTTPS连接,选择需要访问的资源,并由SSL VPN网关将请求转发给内网服务器,从而达到 保护内网服务器的目的。现有技术中,基于SSL VPN网关的数据转发过程包括客户端请求数据的过程和 内网服务器响应请求的过程,其中(1)客户端请求数据的过程包括客户端根据配置的SSL VPN网关的端口(企业 自定义VPN的私有端口)和公网IP地址,向SSL VPN网关发送连接请求,如果SSL VPN网 关检查到接收连接请求的端口类型为SSL VPNTurmel (隧道)接口,则将连接请求经由软转 发模块发送至协议栈Socket (套接字)处理,之后发送到SSL VPN模块进行解封装,剥去 VPN公网头部,获取内网数据,并由SSL解密算法完成解密处理,重新发送至软转发模块,由 软转发模块将经过解封装的数据或请求发送给内网服务器处理。(2)内网服务器响应请求的过程包括SSL VPN网关接收到内网服务器的响应数 据后,将响应数据反馈给软转发模块,如果软转发模块根据路由表检查到当前出接口类型 为SSL VPN Tunnel接口,则将响应数据发送给SSLVPN模块进行加密处理,封装VPN公网头 部,并发送至协议栈Socket处理,之后经过SSL VPN Tunnel出接口发送给客户端。在实现本发明的过程中,发明人发现现有技术中至少存在以下问题现有技术中没有办法针对客户端下发QoS(Quality of krvice,服务质量),在有 大量客户端在线的情况下,瞬间流量会很大(如单个网页大小500K左右,当50个客户端同 时访问时,瞬间流量达到24M),而由于无法实现QoS,会影响客户端的接收流量,严重影响 用户感受。
发明内容
本发明提供一种基于SSL VPN的数据转发方法和设备,以对客户端进行区分,并执 行相应的QoS。为了达到上述目的,本发明提供一种基于安全嵌套字层SSL虚拟专用网络VPN的 数据转发方法,应用于包括SSL VPN设备、客户端和内网服务器的系统中,所述SSL VPN设 备为所述客户端建立的对应会话表项包含服务质量QoS标识,该方法包括以下步骤当所述SSL VPN设备接收到内网服务器向客户端发送的数据时,所述SSL VPN设备通过数据中 携带的地址信息查找会话表项,并通过查找到会话表项中对应的QoS标识信息对客户端的 数据进行区分,并对区分后的数据进行基于QoS策略的转发处理。所述SSL VPN设备为所述客户端建立的对应会话表项包含服务质量QoS标识,具 体包括预先记录QoS标识信息与客户端信息的对应关系;所述SSLVPN设备在接收到客户 端进行SSL VPN应用的数据时,根据数据中携带的客户端信息查找是否存在对应的QoS标 识信息;如果存在对应的QoS标识信息,所述SSL VPN设备为所述客户端建立会话表项,并 将查找到的QoS标识信息记录到所述会话表项中;如果不存在对应的QoS标识信息,所述 SSL VPN设备判断是否为客户端提供SSL VPN服务,如果是,则为所述客户端建立会话表项, 并将QoS标识信息设为空记录到所述会话表项中。所述SSL VPN设备通过数据中携带的地址信息查找会话表项,并通过查找到会话 表项中对应的QoS标识信息对客户端的数据进行区分,并对区分后的数据进行基于QoS策 略的转发处理,具体包括所述SSL VPN设备通过数据中携带的地址信息查找会话表项,将 查找到会话表项中对应的QoS标识信息记录到该数据对应内存缓冲区MBUF的控制头部分; 所述SSL VPN设备从所述MBUF的控制头部分获得所述QoS标识信息,并通过获得的QoS标 识信息对该数据进行区分,并对区分后的数据进行基于QoS策略的转发处理。通过查找到会话表项中对应的QoS标识信息对客户端的数据进行区分之前,进一 步包括所述SSL VPN设备判断是否需要利用QoS标识信息对内网服务器发送给客户端的 数据进行处区分处理,如果是,所述SSL VPN设备通过QoS标识信息对客户端的数据进行区 分。需要利用QoS标识信息对内网服务器发送给客户端的数据进行区分处理,具体包 括当向客户端发送数据的端口的带宽占用情况达到预设阈值时,所述SSL VPN设备触发 利用QoS标识信息对数据进行区分处理;或者,所述SSL VPN设备根据设定的QoS类型满足 条件时触发利用QoS标识信息对数据进行区分处理。一种SSL VPN设备,应用于包括所述SSL VPN设备、客户端和内网服务器的系统 中,所述SSL VPN设备包括维护模块,用于为所述客户端建立对应会话表项,且会话表项 中包含服务质量QoS标识;查找模块,用于当接收到内网服务器向客户端发送的数据时, 通过数据中携带的地址信息查找会话表项;处理模块,用于通过查找到会话表项中对应的 QoS标识信息对客户端的数据进行区分,并对区分后的数据进行基于QoS策略的转发处 理。所述维护模块,具体用于预先记录QoS标识信息与客户端信息的对应关系;在接 收到客户端进行SSL VPN应用的数据时,根据数据中携带的客户端信息查找是否存在对应 的QoS标识信息;如果存在对应的QoS标识信息,为所述客户端建立会话表项,并将查找到 的QoS标识信息记录到所述会话表项中;如果不存在对应的QoS标识信息,判断是否为客户 端提供SSL VPN服务,如果是,则为所述客户端建立会话表项,并将QoS标识信息设为空记 录到所述会话表项中。所述处理模块,具体用于将查找到会话表项中对应的QoS标识信息记录到该数据 对应内存缓冲区MBUF的控制头部分;从所述MBUF的控制头部分获得所述QoS标识信息,并 通过获得的QoS标识信息对该数据进行区分,并对区分后的数据进行基于QoS策略的转发处理。所述处理模块,具体用于判断是否需要利用QoS标识信息对内网服务器发送给客 户端的数据进行处区分处理,如果是,则通过QoS标识信息对客户端的数据进行区分。需要利用QoS标识信息对内网服务器发送给客户端的数据进行区分处理,具体 为当向客户端发送数据的端口的带宽占用情况达到预设阈值时,触发利用QoS标识信息 对数据进行区分处理;或者,根据设定的QoS类型满足条件时触发利用QoS标识信息对数据 进行区分处理。与现有技术相比,本发明至少具有以下优点SSL VPN设备可根据客户端的类型为客户端设定QoS标识,并基于QoS标识信息对 客户端进行区分,执行相应的QoS策略,从而可合理利用网络带宽,最大限度保证重要客户 端和对实时性要求高的客户端的数据不丢失;确保没有建立会话表现的流量不占用带宽, 提高设备安全性。
图1是现有技术中SSLVPN的典型组网架构示意图;图2是本发明提供的一种基于SSL VPN的数据转发方法流程图;图3是本发明提出的一种SSL VPN设备结构图。
具体实施例方式本发明提出一种基于SSL VPN的数据转发方法,该方法应用于包括SSLVPN设备、 客户端和内网服务器的系统中,下面结合附图,对本发明具体实施方式
进行详细说明。以图 1为参考网络模型图,SSL VPN设备在图1中为SSL VPN网关,客户端通过hternet网络连 接到SSL VPN网关,继而连接到内网服务器。本发明中,在SSL VPN设备上定义客户端时,可根据客户端的类型(如重要客 户端、对实时性要求高的客户端等)为客户端设定QoS标识信息,该QoS标识信息以 qos-local-id值(实际应用中qos-local-id值可为1-4095之间的任意数据)为例,使得 QoS分类器可以基于qos-local-id值对各种类型客户端的数据进行区分。实际应用中QoS 标识信息并不局限于qos-local-id值,本发明中不再赘述。基于上述设置的qos-local-id值,在为客户端建立会话表项(SSL VPN设备根据 此会话表项对数据进行加密、解密和转发处理)时,SSL VPN设备将在相应的会话表项中记 录 qos-local-id 值。具体的,预先记录客户端信息与qos-local-id值的对应关系,在SSL握手认证通 过后,SSL VPN设备根据接收到客户端进行SSL VPN应用的数据中携带的客户端信息(如 用户名)查找是否存在对应的qos-local-id值。如果存在对应的qos-local-id值,则SSL VPN设备为客户端建立会话表项,将查 找到的qos-local-id值记录到会话表项中;如果不存在对应的qos-local-id值,则SSL VPN设备判断是否为客户端提供SSL VPN服务,如果是,则为客户端建立会话表项,并将 qos-local-id值设为空(Null)记录到会话表项中;否则,SSL VPN设备丢弃接收到的数据, 中断会话。如表1所示,为客户端的会话表项,qos-local-id值为对应的设定值或为空,公网地址、公网端口、私网地址、私网端口可从数据中获得,其他字段本发明中不再赘述。表 权利要求
1.一种基于安全嵌套字层SSL虚拟专用网络VPN的数据转发方法,应用于包括SSL VPN 设备、客户端和内网服务器的系统中,其特征在于,所述SSL VPN设备为所述客户端建立的 对应会话表项包含服务质量QoS标识,该方法包括以下步骤当所述SSL VPN设备接收到内网服务器向客户端发送的数据时,所述SSL VPN设备通 过数据中携带的地址信息查找会话表项,并通过查找到会话表项中对应的QoS标识信息对 客户端的数据进行区分,并对区分后的数据进行基于QoS策略的转发处理。
2.如权利要求1所述的方法,其特征在于,所述SSLVPN设备为所述客户端建立的对应 会话表项包含服务质量QoS标识,具体包括预先记录QoS标识信息与客户端信息的对应关系;所述SSL VPN设备在接收到客户端进行SSL VPN应用的数据时,根据数据中携带的客 户端信息查找是否存在对应的QoS标识信息;如果存在对应的QoS标识信息,所述SSL VPN设备为所述客户端建立会话表项,并将查 找到的QoS标识信息记录到所述会话表项中;如果不存在对应的QoS标识信息,所述SSL VPN设备判断是否为客户端提供SSL VPN 服务,如果是,则为所述客户端建立会话表项,并将QoS标识信息设为空记录到所述会话表 项中。
3.如权利要求1所述的方法,其特征在于,所述SSLVPN设备通过数据中携带的地址 信息查找会话表项,并通过查找到会话表项中对应的QoS标识信息对客户端的数据进行区 分,并对区分后的数据进行基于QoS策略的转发处理,具体包括所述SSLVPN设备通过数据中携带的地址信息查找会话表项,将查找到会话表项中对 应的QoS标识信息记录到该数据对应内存缓冲区MBUF的控制头部分;所述SSL VPN设备从所述MBUF的控制头部分获得所述QoS标识信息,并通过获得的 QoS标识信息对该数据进行区分,并对区分后的数据进行基于QoS策略的转发处理。
4.如权利要求1所述的方法,其特征在于,通过查找到会话表项中对应的QoS标识信息 对客户端的数据进行区分之前,进一步包括所述SSL VPN设备判断是否需要利用QoS标识信息对内网服务器发送给客户端的数据 进行处区分处理,如果是,所述SSL VPN设备通过QoS标识信息对客户端的数据进行区分。
5.如权利要求4所述的方法,其特征在于,需要利用QoS标识信息对内网服务器发送给 客户端的数据进行区分处理,具体包括当向客户端发送数据的端口的带宽占用情况达到预设阈值时,所述SSLVPN设备触发 利用QoS标识信息对数据进行区分处理;或者,所述SSL VPN设备根据设定的QoS类型满足条件时触发利用QoS标识信息对数据进行 区分处理。
6.一种SSL VPN设备,应用于包括所述SSL VPN设备、客户端和内网服务器的系统中, 其特征在于,所述SSL VPN设备包括维护模块,用于为所述客户端建立对应会话表项,且会话表项中包含服务质量QoS标识;查找模块,用于当接收到内网服务器向客户端发送的数据时,通过数据中携带的地址 信息查找会话表项;处理模块,用于通过查找到会话表项中对应的QoS标识信息对客户端的数据进行区 分,并对区分后的数据进行基于QoS策略的转发处理。
7.如权利要求6所述的SSLVPN设备,其特征在于,所述维护模块,具体用于预先记录QoS标识信息与客户端信息的对应关系;在接收到 客户端进行SSL VPN应用的数据时,根据数据中携带的客户端信息查找是否存在对应的 QoS标识信息;如果存在对应的QoS标识信息,为所述客户端建立会话表项,并将查找到的 QoS标识信息记录到所述会话表项中;如果不存在对应的QoS标识信息,判断是否为客户端 提供SSL VPN服务,如果是,则为所述客户端建立会话表项,并将QoS标识信息设为空记录 到所述会话表项中。
8.如权利要求6所述的SSLVPN设备,其特征在于,所述处理模块,具体用于将查找到会话表项中对应的QoS标识信息记录到该数据对应 内存缓冲区MBUF的控制头部分;从所述MBUF的控制头部分获得所述QoS标识信息,并通过 获得的QoS标识信息对该数据进行区分,并对区分后的数据进行基于QoS策略的转发处理。
9.如权利要求6所述的SSLVPN设备,其特征在于,所述处理模块,具体用于判断是否需要利用QoS标识信息对内网服务器发送给客户端 的数据进行处区分处理,如果是,则通过QoS标识信息对客户端的数据进行区分。
10.如权利要求9所述的SSLVPN设备,其特征在于,需要利用QoS标识信息对内网服 务器发送给客户端的数据进行区分处理,具体为当向客户端发送数据的端口的带宽占用情况达到预设阈值时,触发利用QoS标识信息 对数据进行区分处理;或者,根据设定的QoS类型满足条件时触发利用QoS标识信息对数据 进行区分处理。
全文摘要
本发明公开了一种基于SSL VPN的数据转发方法和设备,该方法包括当SSL VPN设备接收到内网服务器向客户端发送的数据时,所述SSL VPN设备通过数据中携带的地址信息查找会话表项,并通过查找到会话表项中对应的QoS标识信息对客户端的数据进行区分,并对区分后的数据进行基于QoS策略的转发处理。本发明中,可合理利用网络带宽,提高设备安全性。
文档编号H04L12/46GK102143088SQ20111011060
公开日2011年8月3日 申请日期2011年4月29日 优先权日2011年4月29日
发明者赵丽瑞 申请人:杭州华三通信技术有限公司