用于传输和接收包的方法和系统与流程

技术领域

本发明总体上涉及计算机网络的领域。更确切地说，本发明涉及用于通过限制网络节点处的集中的VPN连接的上行带宽和/或下行带宽来管理所述集中的VPN连接的性能的方法。本发明还涉及用于通过集中的端到端连接传输和接收封装包的方法。

背景技术：

虚拟专用网络(VPN)服务提供商能够允许用户独自浏览万维网、共享文件和访问流媒体。VPN服务提供商部署VPN集中器以终止VPN隧道。有两个主要因素影响用户在通过由VPN服务提供商提供的VPN连接到因特网、企业内部网或网络节点时能够享有的网络性能。

第一因素是在用户的装置与VPN服务提供商部署的用以终止VPN隧道的VPN集中器之间的VPN隧道带宽。

第二因素是在VPN集中器与用户想要接入的目的地(例如，网站、YouTube或企业内部网中的文件服务器)之间的连接带宽。

如果用户的装置与VPN集中器之间的VPN隧道带宽高但是VPN集中器与目的地之间的连接带宽低，那么用户所体验的总带宽将仍是低的。这不是仅限于带宽，而且还适用于例如时延、丢包、包抖动、往返时间、误码率等其它性能标准的情况。

常见的是，VPN服务提供商不提供无限的VPN服务，因此其可以通过限制用户的装置与VPN集中器之间VPN隧道带宽、通过限制VPN集中器与用户的目的地之间的连接带宽、和/或通过限制VPN能够承载的传送会话的数目来限制VPN隧道带宽。

2009年1月12日提交的发明名称为“用于优化大量VPN隧道的创建并区分优先级的方法和装置(Method and apparatus for optimizing and prioritizing the creation of a large number of VPN tunnels)”的第7,921,215号美国专利已经揭示了创建大量VPN隧道和解决方案的多种问题以及解决方案。2009年12月8日提交的发明名称为“具有用于提供商网络的VPN服务管理器和用于客户网络的VPN服务代理并且允许快速改变VPN服务条件的VPN服务管理系统(VPN service management system having a VPN service manager for a provider network and a VPN service agent for a customer network and enabling rapid change of VPN service conditions)”的第7,631,059号美国专利已经教示了为VPN服务提供快速改变的VPN服务条件的实施例。

然而，当用户的装置具有多个网络接口并且能够通过集中多个VPN隧道建立与VPN集中器的一个或多个集中的VPN连接时，当限制分配给集中的VPN连接和对应VPN隧道的资源时，VPN集中器需要考虑与用户的装置建立的多个VPN隧道。

技术实现要素：

一种用于在第一网络装置及第二网络装置传输和接收数据包的方法，包括：在第一网络装置，使用第一协议与第三网络装置建立第一集中隧道；在第二网络装置，使用第二协议与第三网络装置建立第二隧道；当第一网络装置传输第一数据包至第二网络装置时，第一数据包会首先通过第一集中隧道，由第一网络装置传输至第三网络装置，然后通过第二隧道，由第三网络装置传输至第二网络装置；当第二网络装置传输第二数据包至第一网络装置，第二数据包会首先通过第二隧道，由第二网络装置传输至第三网络装置，然后通过第一集中隧道，由第三网络装置传输至第一网络装置；其中第一集中隧道包括第一多个隧道。

根据本发明的一个实施例，虚拟专用网络(VPN)集中器通过限制分配给集中的VPN连接中的每个VPN隧道的带宽来限制可用于所述集中的VPN连接的带宽。集中的VPN连接包括多个VPN隧道。替代地，VPN集中器在不限制可用于集中的VPN连接中的每个VPN隧道的带宽的情况下限制可用于所述集中的VPN连接的带宽。在一个变型中，分配给集中的VPN连接中的VPN隧道的带宽是在所有对应VPN隧道之间经动态地分配、根据策略分配、和/或根据预定义配置分配的。策略之一是大体上基于价格分配带宽。

根据本发明的一个实施例，VPN集中器在第一封装包中封装第一数据包并且将所述封装包通过第一集中的VPN连接传输到第一网络元件。VPN集中器还通过第一集中的VPN连接从第一网络元件接收第二封装包。接着VPN集中器从第二封装包解封装第二数据包。如果第二数据包的目的地址是第二网络元件的地址，那么可以将第二数据包传输到第二网络元件。在实施例中的一个中，当第二数据包的目的地址是第二网络元件的地址时，首先在第三封装包中封装第二数据包，并且接着将第三封装包通过第二集中的VPN连接传输到第二网络元件。

根据本发明的一个实施例，VPN集中器通过限制上行带宽和/或下行带宽来限制可用于集中的VPN连接的带宽。

根据本发明的一个实施例，如果数据包源自第一VPN的第一主机且预定目的地为第一VPN的第二主机，那么VPN集中器不对通过集中的VPN连接承载的数据包施加约束。另一方面，如果数据包不是源自第一VPN的主机或不是预定目的地为第一VPN的主机，那么VPN集中器对数据包施加约束(例如，带宽限制)和不同优先级。

根据本发明的一个实施例，为了限制集中的VPN连接所使用的带宽，VPN集中器通知集中的VPN连接的对应节点或主机以限制在带宽限制内的数据包传输。VPN集中器通过向对应节点或主机发送隧道管理消息来通知对应节点或主机。

根据本发明的一个实施例，VPN集中器限制在集中的VPN连接中能够同步地承载的会话数。

附图说明

图1示出了根据本发明的一个实施例的网络环境。

图2A是示出根据本发明的一个实施例的接收和/或传输封装包的过程的流程图。

图2B是示出根据本发明的一个实施例的接收和/或传输封装包的过程的流程图。

图2C是示出根据本发明的一个实施例的接收和/或传输封装包的过程的流程图。

图3示出了根据本发明的一个实施例的数据包与封装包之间的关系。

图4是示出了根据本发明的一个实施例的限制带宽的方法的流程图。

图5是展示根据本发明的一个实施例的VPN集中器的架构的方块图。

具体实施方式

以下说明仅提供优选示例性实施例和示例性实施例，且不意图限制本发明的范围、适用性或配置。实际上，优选示例性实施例和示例性实施例的以下说明将为所属领域的技术人员提供实施本发明的优选示例性实施例的有效说明。应理解，在不脱离如在所附权利要求书中阐述的本发明的精神和范围的情况下可以制得元件的功能和布置的各种变化。

同样，应注意，实施例可以描述为过程，过程描绘为流程图、流程图表、数据流图、结构图或方块图。尽管流程图可以将操作描述为顺序过程，但是许多操作可以并行或同时执行。另外，操作的顺序可以重新布置。当操作完成时，过程终止，但是过程可以具有不包含在图中的另外步骤。过程可以与方法、函数、步骤、子例程、子程序等相对应。当过程与函数相对应时，其终止与所述函数返回到调用函数或主函数相对应。

实施例或其各部分可以程序指令来实施，所述程序指令可在处理单元上操作以用于执行如本文中所描述的功能和操作。构成各种实施例的程序指令可以存储于存储单元中，例如存储于从存储装置中。

此外，如本文所揭示，术语“从存储装置”和“主存储器”可以表示用于存储数据的一个或多个装置，包含只读存储器(ROM)、随机存取存储器(RAM)、磁性RAM、磁心存储器、磁盘存储媒体、光学存储媒体、快闪存储器装置和/或用于存储信息的其它机器可读媒体。术语“机器可读媒体”包含但不限于便携式或固定存储装置、光学存储装置、无线信道以及能够存储、含有或承载指令和/或数据的各种其它媒体。机器可读媒体可以通过虚拟化来实现，且可以是虚拟机器可读媒体，包含在基于云的实例中的虚拟机器可读媒体。

此外，实施例可以由硬件、软件、固件、中间件、微码、硬件描述语言或其任意组合来实施。当以软件、固件、中间件或微码实施时，执行必要任务的程序指令或代码段可以存储在例如存储单元等机器可读媒体中。处理单元可以执行必要任务。处理单元可以是CPU、ASIC半导体芯片、半导体芯片、逻辑单元、数字处理器、模拟处理器、FPGA或能够执行逻辑和算术函数的任何处理器。程序指令可以表示步骤、函数、子程序、程序、例程、子例程、模块、软件包、类别，或指令、数据结构或程序语句的任何组合。一个程序指令可以通过传递和/或接收信息、数据、自变量、参数或存储器内容耦合到另一程序指令或硬件电路。信息、自变量、参数、数据等可以经由包含存储器共享、消息传递、令牌传递、网络传输等任何合适的方式传递、转发或传输。处理单元可以通过虚拟化来实现，且可以是虚拟处理单元，包含在基于云的实例中的虚拟处理单元。

网络接口可以通过独立的电子组件实施或者可以与其它电子组件整合。取决于配置，网络接口可以不具有网络连接或具有至少一个网络连接。网络接口仅连接到一个可接入网络。因此，可能存在由可接入网络承载的超过一个网络连接。网络接口可以是以太网接口、帧中继接口、光纤接口、电缆接口、DSL接口、令牌环接口、串行总线接口、通用串行总线(USB)接口、火线接口、外围组件互连(PCI)接口等。

实施例或其各部分可以计算机数据信号来实施，所述计算机数据信号可以采用用于经由传输媒体进行通信的任何合适形式，使得所述计算机数据信号是可读的以用于通过功能装置(例如，处理单元)来执行从而执行本文中所描述的操作。计算机数据信号可以包含能够经由传输媒体传播的任何二进制数字电子信号，所述传输媒体例如电子网络信道、光纤、空气、电磁媒体、射频(RF)链路等，且因此数据信号可以采用电信号、光信号、射频或其它无线通信信号等形式。在某些实施例中，可经由计算机网络下载程序指令，计算机网络例如因特网、企业内部网、LAN、MAN、WAN、PSTN、卫星通信系统、电缆传输系统和/或类似物。

网络元件可以是主机或节点。主机可以是个人计算机、工作站、大型机、文件服务器、瘦客户机、PDA、智能电话或其它计算装置。节点可以是调制解调器、集线器、网桥、路由器、接入点、网关、虚拟机或服务器。节点充当连接点、重分布点或通信终端。节点能够发送、接收或转发数据包。术语“节点”可以表示网络节点。节点或网络节点可以通过虚拟化来实现，并且可以是虚拟网络节点。

多个虚拟专用网络(VPN)隧道集中或绑定在一起以形成一个集中的VPN连接。所属领域的技术人员将了解，有种种方式来集中或绑定多个VPN隧道以形成一个集中的VPN连接。集中的VPN连接可以被使用它们的会话或应用程序视为一个VPN连接。集中的VPN连接的一个实例是Peplink开发的SpeedFusion。

数据包可以是IP包。数据包可以封装在封装IP包中。如果数据包封装另外的数据包，那么其也可以是封装IP包。数据包和封装数据包的封装包可以具有相同的协议或不同的协议。

图1示出了根据本发明的一个实施例的系统的网络环境。可以使用虚拟专用网络(VPN)技术通过公用/专用互连网络105实施所述系统以用于传输和/或接收数据包。也可以用具有在装置之间建立的物理和/或虚拟连接的其它类型的网络实施所述系统，装置例如节点120、服务器121、数据库服务器122、网关103、移动电话125、路由器102、或连接到公用/专用互连网络105的任何其它装置。VPN集中器101能够通过终止经由公用/专用互连网络105与装置所建立的VPN隧道提供VPN服务至连接到公用/专用互连网络105的装置。因此VPN集中器101向与VPN集中器101建立VPN隧道或集中的VPN连接的主机或节点提供内部或外部网络的安全和受控接入。节点120通过接入连接132连接到公用/专用互连网络105。服务器121通过接入连接133a和133b连接到公用/专用互连网络105。数据库服务器122通过接入连接134连接到公用/专用互连网络105。膝上型电脑123和移动电话124分别通过局域网(LAN)连接141a和141b连接到网关103。网关103通过接入连接135a和135b连接到公用/专用互连网络105。移动电话125通过接入连接136a和136b连接到公用/专用互连网络105。移动电话126和膝上型电脑127分别通过相同的LAN连接142b和142a连接到路由器102，并且路由器102通过接入连接137连接到公用/专用互连网络105。VPN集中器101使用接入连接131a、131b、131c和131d连接到公用/专用互连网络105。

在实施例中的一个中，VPN集中器101可以与属于同一或多个用户或管理员的主机或节点建立VPN隧道和/或集中的VPN连接。属于不同用户或管理员的主机或节点可以与VPN集中器101建立独立的VPN，并且在一个VPN中的主机或节点不可以使用另一VPN或通过所述另一VPN传送的数据。

优选地，VPN隧道和集中的VPN连接的数目不会大得以至于影响与VPN集中器101形成VPN隧道的装置的计算和/或网络资源和/或影响VPN集中器101的计算和/或网络资源。

出于说明的目的，节点120和数据库服务器122分别是公用万维网服务器和公用数据库服务器。因此，VPN集中器101可能不能够与它们形成VPN隧道。VPN集中器101分别与网关103、服务器121、移动电话125和路由器102形成集中的VPN连接。在每个集中的VPN连接中存在至少两个VPN隧道。例如，VPN集中器可以与移动电话125建立两个VPN隧道并且所述两个VPN隧道集中在一起以形成集中的VPN连接。

VPN隧道可以建立于主机或节点与VPN集中器101之间，例如，在路由器102与VPN集中器101之间；在移动电话125与VPN集中器101之间；在网关103与VPN集中器101之间；以及在服务器121与VPN集中器101之间。VPN集中器101可以与不使用VPN隧道的主机和节点通信；例如与节点120和数据库服务器122通信。

通过服务器121、网关103、移动电话125和路由器137经由公用/专用互连网络105传输和接收的所有数据包应通过VPN集中器101。因此，VPN集中器用作用于服务器121、网关103、移动电话125和路由器137的网关。此类设计合乎需要是因为许多原因。例如，网关103能够利用接入连接135a和135b的集中的带宽。在另一实例中，通过由移动电话125与VPN集中器101之间的集中的VPN连接提供的VPN隧道以及通过由路由器102与VPN集中器101之间的另一集中的VPN连接提供的VPN隧道，移动电话125能够与膝上型电脑127通信，如同移动电话125在相同的LAN中一样。在另一实例中，为了提供更好的安全性，服务器121通过由服务器121与VPN集中器101之间的集中的VPN连接提供的VPN隧道以及节点120与VPN集中器101之间的端到端连接与节点120通信。

节点120可以是调制解调器、集线器、网桥、计算装置、路由器、接入点、网关、虚拟机、移动电话或服务器。节点120充当连接点、重分布点或通信终端。节点120能够发送、接收或转发数据包。

服务器121可以是数据库服务器、文件服务器、邮件服务器、打印服务器、万维网服务器、游戏服务器、应用程序服务器等。服务器121是可以通过公用/专用互连网络105或任何其它网络连接到一个或多个客户端的计算装置。服务器121也可以是虚拟化服务器。

数据库服务器122可以含有连接到公用/专用互连网络105的装置所需的数据。数据库服务器122可以是包括内部存储单元的计算装置。

网关103可以是路由器、网关、接入点、IEEE 802.11接入点、计算装置、虚拟机或网络节点。

路由器102是将通过公用/专用互连网络105接收到的数据包转发并路由到连接到其的装置(例如，膝上型电脑127和移动电话126)的网络装置。网关能够建立VPN隧道并且允许连接到网关的LAN接口的装置通过所述VPN隧道传输和接收数据包。

公用/专用互连网络105可以是例如因特网等公用网络、由一或多个实体管理的专用网络、或由VPN集中器的管理员提供的专用网络。

图5是根据本发明的一个实施例的VPN集中器(例如，VPN集中器101)的示意性方块图。VPN集中器101包括处理单元502、主存储器503、系统总线504、从存储装置505以及多个网络接口，即，网络接口506、507、508和509。处理单元502和主存储器503彼此直接连接。系统总线504将处理单元502直接或间接连接到从存储装置505以及网络接口506、507、508和509。使用系统总线504允许网络装置101具有提高的模块性。系统总线504将处理单元502耦合到从存储装置505以及网络接口506、507、508和509。系统总线504可以是包含存储器总线、外围总线以及使用各种总线架构中的任一个的本地总线的若干类型总线结构中的任一个。从存储装置505存储用于由处理单元502执行的程序指令。接入连接131a、131b、131c和131d可以分别通过网络接口506、507、508和509建立。本发明的范围并不限于网络装置101具有四个网络接口，因而网络装置101可以具有一个或多个网络接口。指定网络接口506、507、508和509仅是出于说明的目的。

包封装

当通过在节点或主机与VPN集中器101之间所建立的VPN隧道传输数据包时，在封装包中封装数据包。当封装包已经到达VPN隧道的末端时，封装数据包能够接着被解封装并且数据包能够被提取。图3示出了数据包与封装包之间的关系。仅出于说明的目的，当移动电话125将数据包301传输到膝上型电脑123时，将发生后续过程。

数据包301具有报头302和净荷303。报头302用以存储源地址、目的地址和其它信息。净荷303用以保持移动电话125尝试发送到膝上型电脑123的数据。在此图示中，源地址是移动电话125的地址且目的地址是膝上型电脑123的地址。所属领域的技术人员将了解，数据包301可以是因特网协议(IP)包、以太网帧、X.25包等。如图2A的流程图中的过程所示，在步骤201中在第一封装包311中封装数据包301，并且在步骤202中通过移动电话125经由包括两个或更多个VPN隧道的第一集中的VPN连接将封装包传输到VPN集中器101。封装包311具有报头312和净荷部分。报头312含有设置成VPN集中器101的网络接口的地址的目的地址字段以及设置成移动电话125的网络接口的地址的源地址字段。净荷部分用以保持包301。当在步骤203中VPN集中器101接收到第一封装包311之后，VPN集中器101接着在步骤204中从第一封装包311解封装数据包301。接着在步骤205中通过VPN集中器101在第二封装包321中封装数据包301。类似于封装包311，封装包321具有报头322和净荷部分。报头322含有设置成网关103的网络接口的地址的目的地址字段以及设置成VPN集中器101的网络接口的地址的源地址字段。净荷部分用以保持包301。

在步骤206中，VPN集中器101使用包括网关103与VPN集中器101之间所建立的两个或更多个VPN隧道的第二集中的VPN连接通过公用/专用互连网络105将第二封装包321传输到网关103。公用/专用互连网络105的网络节点能够根据报头322中的目的地址将第二封装包321路由到网关103。网关103接着从第二封装包321解封装数据包301并且将数据包301传输到目的地，即膝上型电脑123。VPN集中器101能够将第二封装包321中封装的数据包301传输到网关103，因为VPN集中器101能够在检查报头302中的目的地址之后确定网关103是第一封装包的目的地。在此图示中，VPN集中器101执行路由、解封装和封装功能。

在一个变型中，如图2B中所示，VPN集中器101不针对数据包301执行解封装和封装。当移动电话125将数据包301传输到膝上型电脑123时，在步骤201中在第三封装包331中封装数据包301。在步骤202中移动电话125通过包括两个或更多个VPN隧道的第一集中的VPN连接传输第三封装包331。封装包331具有报头332、地址信息334和净荷字段。净荷字段保持数据包301。报头332中的目的地址是VPN集中器101的IP地址。地址信息334是网关123的地址。当在步骤203中VPN集中器101接收到第三封装包331时，其通过在步骤211中检查地址信息334来确定应通过第二集中的VPN连接将第三封装包331转发到网关103。因此，其在步骤212中以网关103的目的地址更新报头332中的目的地址。所属领域的技术人员将了解，当更新报头332中的目的地址时，也可能需要更新第三封装包331的其它字段，例如校验和。在步骤213中VPN集中器101将具有更新后的目的地址的第三封装包331传输到网关103。当网关103接收到第三封装包331时，其从第三封装包331解封装数据包301并且将数据包301传输到目的地，即膝上型电脑123。移动电话125在第三封装包331中包含地址信息334的好处是VPN集中器101不需要检查第三封装包331的报头302中的目的地址信息。这可以减少所需的计算资源并且还可以使得更快速地作出转发第三封装包331的决策。然而，为了确定地址信息334的地址，移动电话125必须预先知道网关103的地址。

在另一实例中，如图2C的流程图中所示，当移动电话125向节点120传输数据包301时，移动电话125在步骤201中在第一封装包311中封装数据包301并且接着在步骤202中通过集中的VPN连接将第一封装包311传输到VPN集中器101。当在步骤203中接收到第一封装包311之后，VPN集中器101在步骤204中从第一封装包311解封装数据包301。取决于数据包301的协议，可以在VPN集中器101与节点120之间形成连接，例如超文本传送协议和安全套接层(SSL)，或使用无连接的数据传送，例如用户数据报协议(UDP)。VPN集中器101在步骤221中对数据包301执行网络地址转换(NAT)，因为数据包311的源IP地址应更新为VPN集中器101的IP地址。接着在步骤222中VPN集中器101将更新后的数据包301传输到节点120。

类似地，当节点120将数据包传输到移动电话125时，节点120将所述数据包传输到VPN集中器101。接着VPN集中器101将数据包封装到封装包中，并且通过已经与移动电话125建立的集中的VPN连接的VPN隧道将封装包传输到移动电话125。当移动电话125接收到封装包时，其解封装所述封装包以检索数据包。

由于集中的VPN连接具有一个或多个VPN隧道，因此当在封装包中封装数据包并且通过集中的VPN连接的多个VPN隧道传输封装包时，可以根据预定义外发策略、算法或负载均衡技术在多个VPN隧道之间分布封装包。形成集中的VPN连接的节点、主机和/或VPN集中器101能够对封装包解封装并以原始顺序检索数据包。

隧道管理消息

出于说明的目的，当VPN集中器101的处理单元502限制在移动电话125与膝上型电脑123之间传输和/或接收数据包的带宽时，处理单元502可以限制每个VPN隧道的上行带宽、每个VPN隧道的下行带宽、VPN隧道总上行带宽、VPN隧道总下行带宽、集中的VPN连接的上行带宽以及集中的VPN连接的下行带宽。

在一个实施例中，当VPN隧道或集中的VPN连接的一端处的节点或主机帮助或指示所述VPN隧道或所述集中的VPN连接的另一端处的另一节点或主机以限制上行带宽和/或下行带宽时，所述节点或主机需要通过隧道管理消息通知所述另一节点或主机。

在一个变型中，在与主机或节点(例如，移动电话125)建立对应的VPN隧道或集中的VPN连接之前通过VPN集中器101发送隧道管理消息。移动电话125接着能够基于隧道管理消息中的信息建立VPN隧道或集中的VPN连接。例如，VPN集中器101向移动电话125发送隧道管理消息，并且在隧道管理消息已经发送之后的某个时间建立VPN隧道或集中的VPN连接。在建立VPN隧道或集中的VPN连接之后立即根据隧道管理消息在移动电话125处应用上行带宽限制和/或下行带宽限制。如果所述建立是基于隧道管理消息，那么在移动电话125处用于建立VPN隧道或集中的VPN连接所需的计算资源可较少。

在一个变型中，VPN集中器101在对应VPN隧道或集中的VPN连接的建立期间向移动电话125发送隧道管理消息。出于说明的目的，VPN集中器101在VPN隧道或集中的VPN连接的建立期间根据网络带宽可用性确定移动电话125处的上行带宽限制和/或下行带宽限制。所确定的上行带宽限制和/或下行带宽限制接着包含于隧道管理消息中。这是有利的，因为在创建和发送隧道管理消息时VPN集中器101考虑了当前网络状态。

在一个变型中，在与移动电话125建立VPN隧道或集中的VPN连接之后通过VPN集中器101发送隧道管理消息。这可以是有利的，因为可以基于穿过VPN隧道或集中的VPN连接的流量的实际量确定移动电话125处的上行带宽限制和/或下行带宽限制。对应于穿过VPN隧道或集中的VPN连接的流量，还可以根据例如端口编号、应用程序、时间和/或目的地址等标准确定上行带宽限制和/或下行带宽限制。这些标准和流量的实际量在建立VPN隧道或集中的VPN连接之前或在建立VPN隧道或集中的VPN连接期间可能是未知的。因此，在建立VPN隧道或集中的VPN连接之后发送隧道管理消息。

在一个变型中，可以当对应的VPN隧道或集中的VPN连接仍处于操作状态时的任何时候发送隧道管理消息这允许在必要时改变限制。隧道管理消息可以采用二进制数据、文本和可扩展标记语言(XML)格式消息的格式。

隧道管理消息包含上行标志、下行标志、VPN隧道标识以及受限制的带宽的量。上行标志用以表示带宽限制是否是上行带宽限制。下行标志用以表示带宽限制是否是下行带宽限制。VPN隧道标识用于确定应对哪个VPN隧道应用带宽限制。限制的带宽的量用于陈述在VPN隧道中限制的带宽的量，即上行带宽限制或下行带宽限制。在一个变型中，可以省略VPN隧道的标识。接着将带宽限制应用于集中的VPN连接的所有VPN隧道。

在一个变型中，隧道管理消息包含VPN隧道标识和所允许的会话数的信息。VPN隧道标识用于确定应对哪个VPN隧道应用会话数限制。所允许的会话数的信息用于确定应通过VPN隧道同步地允许的会话数。在一个变型中，可以省略VPN隧道的标识。接着将会话数限制应用于集中的VPN连接的所有VPN隧道。

在一个变型中，隧道管理消息包括端口编号、应用程序、时间、位置、网络带宽可用性、目的地址中的至少一个的信息。例如，端口编号的信息用以指示应对哪个端口编号应用带宽限制。因此，使用隧道管理消息中指定的端口编号的VPN隧道的带宽受到限制。应用程序的信息用以指示应对哪个应用程序应用带宽限制。因此，用于隧道管理消息中指定的应用程序的VPN隧道的带宽受到限制。时间的信息用以指示应在哪个时间或在某个时间之后的时间周期应用带宽限制。因此，VPN隧道的带宽在隧道管理消息中指定的时间受到限制，或已经在隧道管理消息中指定的时间周期使用了VPN隧道之后VPN隧道的带宽受到限制。位置的信息用以指示应在哪个位置应用带宽限制或不应在哪个位置应用带宽限制。例如，当接收隧道管理消息的主机或节点在第一位置内时，不应应用带宽限制。当所述主机或节点在第一位置之外时，应应用带宽限制。网络带宽可用性的信息用以指示应应用带宽限制时的网络带宽。因此，当网络带宽可用性等于或小于隧道管理消息中所指定的时，集中的VPN连接中的一个或多个VPN隧道的带宽受到限制。可以在隧道管理消息的VPN隧道标识中指定一个或多个VPN隧道的标识。

限制VPN隧道的带宽

在本发明的一个实施例中，通过指定上行带宽限制来限制VPN隧道的上行带宽。例如，路由器102使用接入连接137和131a与VPN集中器101建立VPN隧道。仅出于说明的目的，通过将路由器102配置为使用不超过15Mbps向VPN集中器101传输数据包，并将VPN集中器101配置为使用不超过15Mbps向路由器102传输数据包，将VPN隧道的上行带宽限于15Mbps。因此，对于所述VPN隧道，路由器102和VPN集中器101两者的上行带宽均限于15Mbps。VPN隧道的每个末端处的上行带宽可以不同或可以并非不同。例如，VPN隧道的上行带宽在路由器102处限于10Mbps并且在VPN集中器101处限于15Mbps。

替代地，VPN隧道的下行带宽通过指定下行带宽限制来限制。仅出于说明的目的，VPN隧道的下行带宽在VPN集中器101处限于15Mbps。当数据包到达率接近阈值时，VPN集中器101首先在从存储装置505中缓冲数据包以便将下行带宽限于15Mbps。当不存在可用于暂时存储数据包的更多缓冲空间时，处理单元502开始丢弃数据包。

在一个变型中，VPN隧道的上行和下行带宽均受到限制。上行带宽的限制和下行带宽的限制可以是相同或不同的。例如，VPN隧道的上行带宽限制是10Mbps而VPN隧道的下行带宽限制是20Mbps。在另一实例中，VPN隧道的上行带宽限制和下行带宽限制均是10Mbps。

限制集中的VPN连接的带宽

在本发明的一个实施例中，集中的VPN连接的上行带宽受到限制。例如，服务器121与VPN集中器101建立第一集中的VPN连接。通过集中第一VPN隧道和第二VPN隧道形成第一集中的VPN连接，并且第一VPN隧道和第二VPN隧道均可以用来承载属于一个相同会话的数据包。例如，使用接入连接133a和131a建立第一VPN隧道，并且使用接入连接133b和131b建立第二VPN隧道。仅出于说明的目的，第一集中的VPN连接的上行带宽限制确定为15Mbps。因此，通过配置服务器121以使用不超过15Mbps的组合带宽通过第一和第二VPN隧道向VPN集中器101传输数据包而将第一集中的VPN连接的上行带宽限于15Mbps。类似地，例如，VPN集中器101配置成使用不超过15Mbps的组合带宽通过第一和第二VPN隧道向服务器121传输数据包。因此，可以使用不超过15Mbps的带宽通过第一集中的VPN连接传输数据包。在一个变型中，通过限制第一和第二VPN隧道中的每个隧道的上行带宽来限制上行带宽。例如，第一VPN隧道和第二VPN隧道的上行带宽分别限于8Mbps和7Mbps，使得第一集中的VPN连接的组合上行带宽限于15Mbps。

替代地，集中的VPN连接的下行带宽受到限制。仅出于说明的目的，下行带宽限制确定为15Mbps。因此，第一集中的VPN连接的下行带宽在VPN集中器101处限于15Mbps。当通过第一集中的VPN连接的数据包到达率接近阈值时，VPN集中器101开始丢弃第一集中的VPN连接的一个或多个VPN隧道中的数据包，以便将下行带宽限于15Mbps。优选的是，首先丢弃效能最差的VPN隧道中的数据包，因为相较于丢弃其它性能良好的VPN隧道中的数据包可以更不明显地影响总体网络性能。用以选择哪个VPN隧道来丢弃数据包的其它技术包含选择最贵的VPN隧道、以及根据对应于一个或多个VPN隧道中的每个隧道的预定义优先级选择一个或多个VPN隧道等。

在一个变型中，集中的VPN连接的上行带宽和下行带宽均受到限制。上行带宽的限制和下行带宽的限制可以是相同或不同的。例如，集中的VPN连接的上行带宽限制是10Mbps而集中的VPN连接的下行带宽限制是20Mbps。

限制组合的VPN连接的带宽

组合的VPN连接与集中的VPN连接之间的区别在于：在组合的VPN连接中，属于一个会话的数据包通过组合的VPN连接的隧道中的一个一致地承载且组合的VPN连接的其它隧道不应用来传输或接收同一个会话的数据包；在集中的VPN连接中，集中的VPN连接的隧道中的任一个可以用来传输和接收同一个会话的数据包。

根据本发明的一个实施例，组合的VPN连接的上行带宽受到限制。当组合的VPN连接中的多个或所有VPN隧道中的一个隧道的上行带宽超过或/和即将超过上行带宽限制时，建立组合的VPN连接的主机或节点的处理单元停止传输数据包。在一个变型中，组合的VPN连接的下行带宽受到限制。当组合的VPN连接中的多个或所有VPN隧道中的一个隧道的下行带宽超过或/和即将超过下行带宽限制时，建立组合的VPN连接的主机或节点的处理单元开始丢弃数据包。

在一个变型中，组合的VPN连接的上行和下行带宽均受到限制。上行带宽的限制和下行带宽的限制可以是相同或不同的。例如，组合的VPN连接的上行带宽限制是10Mbps而组合的VPN连接的下行带宽限制是20Mbps。

限制接入连接的带宽

根据实施例中的一个，如果VPN集中器101能够控制可用于接入连接的带宽，那么VPN集中器101限制可用于接入连接的带宽。例如，如果接入连接136a和136b的总上行带宽限于10Mbps，那么移动电话125无法使用高于10Mbps的带宽通过移动电话125与无线网络所建立的无线连接传输数据包，即使所述无线网络允许移动电话125使用超过10Mbps的带宽传输数据包。在另一实例中，接入连接136a的上行带宽限于20Mbps但是接入连接137的下行带宽限于5Mbps。那么移动电话125能够使用不高于5Mbps的带宽向连接到路由器102的装置(即，膝上型电脑127或移动电话126)传输数据包，并且可以在路由器102处经历丢包。

相比限制下行带宽更优选限制上行带宽

在优选实施例中，VPN隧道的上行带宽受到限制。例如，通过接入连接133a和131d在服务器121与VPN集中器101之间建立第一VPN隧道并且限制所述第一VPN隧道的上行带宽。仅出于说明的目的，VPN集中器101发送隧道管理消息到服务器121以用于将服务器121处的针对第一VPN隧道的上行带宽限于15Mbps，使得VPN集中器可不需要将VPN集中器101处的针对第一VPN隧道的下行带宽限于15Mbps。类似地，将VPN集中器101处的针对第一VPN隧道的上行带宽限于10Mbps而不是将服务器121处的下行带宽限于10Mbps。相比限制服务器121和VPN集中器101的下行带宽优选的是限制服务器121和VPN集中器101的上行带宽，因为当上行带宽受到限制时会传输更少的数据包。当限制服务器121和VPN集中器101的下行带宽时，数据包仍被传输但是当到达目的地时被丢弃并且产生带宽的低效使用。类似地，相比限制入口带宽优选的是限制出口带宽，因为当限制数据包的传输时保留了带宽。当丢弃接收到的数据包以限制下行带宽时，接收到的数据包已经消耗了资源，例如带宽和处理时间。因此，丢弃接收到的数据包不是优选的。限制VPN隧道的一端处的上行带宽能够产生限制VPN隧道的另一端处的下行带宽的相同影响。

限制VPN隧道的上行带宽的好处之一是在接收数据包的装置处丢弃更少的数据包。优选的是在接收数据包的装置处的VPN隧道的下行带宽高于在传输数据包的装置处的VPN隧道的上行带宽。例如，服务器121处的VPN隧道的下行带宽高于VPN集中器101处的VPN隧道的上行带宽，并且VPN集中器101处的VPN隧道的下行带宽高于服务器121处的VPN隧道的上行带宽。因此，当通过服务器121处的VPN隧道使用上行带宽将数据包从服务器121传输到VPN集中器101时，因为VPN集中器101处的VPN隧道的下行带宽高于服务器121处的上行带宽，所以VPN集中器101处的丢包减到最少。同样的情况适用于集中的VPN连接的上行带宽和下行带宽。

在一个变型中，通过在VPN集中器101中运行的管理软件模块来管理服务器121处的上行带宽。这提供了集中管理能力，使得可以通过管理软件模块来管理VPN集中器101处建立的集中的VPN连接。在一个变型中，通过在主机中运行的管理软件模块来管理服务器121处的上行带宽，因为管理软件模块可以在不同于VPN集中器101的一个或多个计算装置中执行。例如，管理软件模块在节点120处托管并且由节点120的处理单元执行。管理软件模块与VPN集中器101和服务器121通信，以便管理VPN隧道带宽和/或网络性能。管理软件模块也可以用于管理在主机或节点与VPN集中器101之间建立的集中的VPN连接。

在一个变型中，服务器121通过第一集中的VPN连接向VPN集中器101传输数据包，并且接着通过VPN集中器101经由第二集中的VPN连接将所述数据包转发到移动电话125。因此服务器121能够通过VPN集中器101与移动电话125通信。例如，服务器121和移动电话125通过VPN集中器101仅与彼此通信。仅出于说明的目的，移动电话125处的第一集中的VPN连接的上行带宽限于10Mbps且VPN集中器101处的第二集中的VPN连接的上行带宽限于7Mbps。当服务器121通过第一集中的VPN连接和第二集中的VPN连接以超过7Mbps的速率向移动电话125传输数据包时，VPN集中器101将在从存储装置505中缓冲无法通过第二集中的VPN连接传输的数据包。当不存在可用于暂时存储数据包的更多缓冲空间时，VPN集中器101开始丢弃数据包以便将第二集中的VPN连接到移动电话125的上行带宽限于7Mbps内。为了将丢包减到最少，用于通过VPN集中器101向移动电话125传输数据包的在服务器121处的第一集中的VPN连接的上行带宽限制应低于用于向移动电话125传输数据包的在VPN集中器101处的第二集中的VPN连接的上行带宽限制。类似地，为了将移动电话125通过VPN集中器101传输到服务器121的数据包的丢包减到最少，用于向服务器121传输数据包的在移动电话125处的第二集中的VPN连接的上行带宽限制应低于用于向服务器121传输数据包的在VPN集中器101处的第一集中的VPN连接的上行带宽。

在一个变型中，多个主机或节点能够通过VPN集中器101与移动电话125通信。仅出于说明的目的，用于向移动电话125传输数据包的在VPN集中器101处的上行带宽限于20Mbps，且多个主机或节点通过VPN集中器101传输到移动电话125的数据包的总上行带宽限于30Mbps。当预定目的地为移动电话125的数据包以超过20Mbps的速率到达VPN集中器101时，VPN集中器在从存储装置505中缓冲无法传输到移动电话125的数据包。当不存在可用于暂时存储到达的数据包的更多缓冲空间时，VPN集中器101开始丢弃数据包以便将在VPN集中器101处用于向移动电话125传输数据包的上行带宽限于20Mbps。为了将VPN集中器101处的丢包减到最少，多个主机或节点通过VPN集中器101向移动电话125传输的数据包的总上行带宽应低于用于向移动电话125传输数据包的VPN集中器101处的上行带宽。

在主机或节点不兼容时限制下行带宽

根据实施例中的一个，VPN集中器101限制可用于通过VPN隧道或集中的VPN连接的数据传送的下行带宽，而不论VPN集中器101是否能够控制连接到公用/专用互连网络105的主机或节点的上行带宽。在此实施例中，VPN集中器101不能够控制VPN隧道或集中的VPN连接的另一端上的主机或节点处的上行或下行带宽。例如，在VPN集中器101与服务器121之间建立了第一VPN隧道。服务器121不充分与VPN集中器101兼容，因为其固件不是最新的或无法通过VPN集中器101管理。在此情况下，当VPN集中器101无法限制在服务器121处的针对第一VPN隧道的上行带宽时，VPN集中器101限制在VPN集中器101处的针对从服务器121到达的数据包(即，针对第一VPN隧道)的下行带宽。当数据包从服务器121到达的速率超出阈值时，VPN集中器101丢弃数据包中的一些或全部以尝试限制下行带宽。当数据包被丢弃时，服务器121从协议(例如，TCP)得知其可能需要降低到VPN集中器101的数据包传输速率。

在主机或节点不兼容时提示其升级固件

替代地，当节点或主机不与VPN集中器101兼容使得不可通过VPN集中器101管理节点或主机以限制节点或主机处的上行带宽时，需要节点或主机升级其固件以便与VPN集中器101兼容。例如，需要服务器121升级固件以便与VPN集中器101充分兼容。接着VPN集中器101能够限制在服务器121处的上行带宽。在一个变型中，如果节点或主机尝试与VPN集中器101建立VPN隧道且所述节点或主机不与VPN集中器101兼容，那么在可以建立一个或多个VPN隧道之前所述节点或主机的管理员被提示升级其固件或软件。在一个变型中，所述节点或主机通过从服务器检索更新版本来自动地升级其固件或软件。

在集中的VPN连接的VPN隧道之间的带宽分配

根据实施例中的一个，当在两个网络节点或主机之间(例如，在服务器121与VPN集中器101之间)存在多个VPN隧道时，对所述VPN隧道应用不同的上行和/或下行带宽限制。仅出于说明的目的，组合的VPN连接的第一VPN隧道的上行带宽限于10Mbps，而组合的VPN连接的第二VPN隧道的上行带宽限于30Mbps。使用接入连接133a建立第一VPN隧道且使用接入连接133b建立第二VPN隧道。为第一和第二VPN隧道分配不同带宽限制是因为种种原因。例如，接入连接133a的使用价格低于接入连接133b的使用价格。因此，允许第一VPN隧道利用较小带宽以便将成本降至最低。可以动态地、根据策略或根据预定义配置来设置在VPN集中器101与网络元件之间形成的组合的VPN连接或集中的VPN连接的VPN隧道之间的带宽限制的比率。集中的VPN连接的带宽限制可以是在VPN集中器101处的上行带宽限制、在VPN集中器101处的下行带宽限制、在网络元件处的上行带宽限制、或在网络元件处的下行带宽限制。

在一个变型中，当在集中的VPN连接的VPN隧道之间动态地分配带宽限制时，处理单元502确定在指定时间哪个VPN隧道具有最高流量，并且为具有最高流量的VPN隧道分配最高比率的带宽限制。可以取决于在集中的VPN连接的VPN隧道的每个隧道中流量的性质和/或流量的量频繁地改变带宽限制分配。

在另一变型中，根据策略在集中的VPN连接的VPN隧道之间分配带宽限制。出于说明的目的，所述策略是在第一预定义时间周期期间为集中的VPN连接的第一VPN隧道分配三分之二的带宽限制，并且在第一预定义时间周期期间为集中的VPN连接的第二VPN隧道分配三分之一的带宽限制。所述策略还是在第二预定义时间周期期间为集中的VPN连接的第一VPN隧道和第二VPN隧道分配相等比率的带宽限制。因此，所述策略基于时间。此类策略会合乎需要是因为许多原因。例如，在第一预定义时间周期期间使用第一VPN隧道的成本明显低于使用第二VPN隧道的成本。在第二预定义时间周期期间，使用第一VPN隧道和第二VPN隧道的成本几乎相同。因此，在第一预定义时间周期期间为第一VPN隧道分配更高的带宽限制。众所周知的是，连接到由一些运营商提供的网络的使用价格在高峰时间和非高峰时间不同。策略也可以基于服务提供商、用途、位置、价格、安全性、用户身份标识、通信协议和/或通信技术。

在另一变型中，根据预定义配置在集中的VPN连接的VPN隧道之间分配带宽限制。出于说明的目的，VPN集中器101配置有为集中的VPN连接的每个VPN隧道分配相等的带宽限制的预定义配置。因此，如果集中的VPN连接的带宽限制是30Mbps，并且集中的VPN连接包括第一VPN隧道和第二VPN隧道，那么第一VPN隧道的带宽限制是15Mbps且第二VPN隧道的带宽限制是15Mbps。在另一实例中，VPN集中器101配置有在断开第二VPN隧道时将第一VPN隧道的所分配带宽限制增加至30Mbps的预定义配置。

在一个变型中，通过管理员经由万维网接口、命令行接口和/或应用编程接口(API)手动地将策略和/或预定义配置发送到VPN集中器101。接着可以在服务器中远程地存储或在从存储装置505或主存储器503中在本地存储策略和/或预定义配置。

根据标准限制带宽

根据本发明的一个实施例，VPN集中器101通过VPN集中器101和/或与VPN集中器101建立VPN隧道的装置限制VPN隧道性能或集中的VPN连接性能。根据一或多个标准应用VPN隧道性能约束或集中的VPN连接的性能约束。标准的实例包含端口编号、应用程序、时间、位置、价格、网络带宽可用性以及目的地址。标准可以存储于存储单元中，例如从存储装置505或主存储器503。当符合标准时的带宽限制或结果也存储于存储单元中。

根据端口编号限制带宽

在一个变型中，如果VPN隧道中承载的数据包使用预定义因特网协议端口中的一个，那么应用带宽限制。例如，针对文件传送的预定义因特网协议端口编号是20并且带宽限制是3Mbps。那么可以用于具有端口编号20的数据包的带宽被限于3Mbps。同样的情况适用于集中的VPN连接中承载的数据包。

根据应用程序限制带宽

在一个变型中，根据在其中使用VPN隧道或集中的VPN连接的应用程序限制带宽。可以通过深度包检测确定应用程序。在一个实施例中，出于说明的目的，VPN集中器101检测到主机或节点(例如，移动电话124)正使用在网关103与VPN集中器101之间所建立的集中的VPN连接用于视频会议。VPN集中器101接着将所述集中的VPN连接的带宽限于20Mbps。在优选实施例中，通过VPN集中器101限制网关103处和VPN集中器101处的集中的VPN连接的上行带宽。替代地，也可以限制网关103处和VPN集中器101处的集中的VPN连接的下行带宽。

根据时间限制带宽

在一个变型中，根据时间限制带宽。移动电话125使用接入连接136a与VPN集中器101建立VPN隧道。出于说明的目的，VPN集中器101在上班时间期间(例如，上午九点到下午五点)将接入连接136a的上行带宽或移动电话125处的VPN隧道的上行带宽限于10Mbps。从下午五点到上午九点，VPN集中器101不限制上行带宽，或上行带宽限制更高，例如20Mbps。这可以帮助防止任何一个主机或节点(例如，移动电话125)在上班时间期间过度使用带宽，使得其它主机或节点也可以具有相当大量的带宽。在另一实施例中，自从在移动电话125与VPN集中器101之间建立VPN隧道已经经过某段时间之后，VPN集中器101将接入连接136a的上行和/或下行带宽限于10Mbps。由于一些运营商可能在某段时间之后开始以更高的使用价格计费，因此可以在某段时间之后限制带宽以便降低成本。

根据位置限制带宽

在一个变型中，根据位置限制带宽。移动电话125与VPN集中器101建立集中的VPN连接。出于说明的目的，当在第一位置内使用移动电话125时，集中的VPN连接的上行带宽限制和下行带宽限制是10Mbps。当在第一位置之外使用移动电话125时，集中的VPN连接的上行带宽限制和下行带宽限制是5Mbps。根据位置限制带宽会合乎需要是因为许多原因。例如，当移动电话在特定国家或区域之外时，连接到网络的成本可高于当所述移动电话在特定国家或区域之内时连接到网络的成本。当移动电话在特定国家或区域之外时信号质量也可能降低。

根据价格限制带宽

在一个变型中，根据价格限制带宽。服务器121与VPN集中器101建立集中的VPN连接。出于说明的目的，每当连接到由集中的VPN连接提供的VPN的价格低于预定义阈值时，服务器121处的上行和下行带宽限制是15Mbps。连接到由集中的VPN连接提供的VPN的价格包含对应于集中的VPN连接的每个VPN隧道的价格。当所述价格变得高于预定义阈值时，服务器121处的上行和下行带宽限制各自下降到5Mbps。这对将成本降至最低可为有利的。

根据网络带宽可用性限制带宽

在一个变型中，根据网络带宽可用性限制带宽。当许多装置连接到同一网络时，应为每个装置分配受限制的上行和/或下行带宽。移动电话125使用接入连接136a与VPN集中器101建立第一VPN隧道，并且服务器121使用接入连接133b与VPN集中器101建立第二VPN隧道。移动电话125和服务器121均连接到公用/专用互连网络105以分别建立第一和第二VPN隧道。仅出于说明的目的，当通过接入连接131a、131b、131c和131d连接到VPN集中器101的主机或节点的可用总网络带宽是20Mbps时，VPN集中器101将移动电话125的上行带宽限于12Mbps。因此，移动电话125未消耗VPN集中器101的所有带宽。在另一变型中，VPN集中器101为其已经建立的每个VPN隧道分配带宽。例如，由于可用的总网络带宽是20Mbps，因此通过VPN集中器101为第一VPN隧道分配12Mbps的上行带宽并为第二VPN隧道分配8Mbps的上行带宽。在一个变型中，VPN集中器101分配比其具有的带宽更多的带宽以便在所有分配的带宽未被主机或节点使用时获得更高的带宽使用效率。然而，过渡分配可能产生拥塞以及较低的带宽使用效率。

根据数据包的目的地限制带宽

在另一实例中，根据数据包的目的地限制带宽。这适用于其中约束雇员访问某些网站的办公室设置。例如，节点120提供视频托管服务并且服务器121含有重要的公文档案。膝上型电脑127是办公室计算机。仅出于说明的目的，当膝上型电脑127与VPN集中器101建立VPN隧道以用于传输数据包到节点120处托管的网站和/或从节点120处托管的网站接收数据包时，带宽限于5Mbps。然而，对于在节点120处托管的其它网站，不应用此类带宽限制。

限制用于接入公用服务器的带宽

在本发明的一个实施例中，用以限制带宽的标准是数据包的源或目的地是否属于公用网络。因此，仅对尚未与VPN集中器101建立VPN隧道的主机和/或节点应用带宽限制。如果主机或节点尚未与VPN集中器101建立VPN隧道，那么很可能所述主机或节点是外部主机或节点。专用网络的管理员可能想要为属于专用网络的数据包分配比属于外部网络的数据包更多的带宽。

仅出于说明的目的，服务器121是能够与VPN集中器101形成VPN隧道的服务器，并且数据库服务器122是可通过因特网接入的公用服务器。移动电话125已经通过接入连接136a和136b与VPN集中器101形成集中的VPN连接。在移动电话125与VPN集中器101之间的集中的VPN连接包括多个VPN隧道。来自移动电话125和到达移动电话125的所有数据包通过VPN集中器101和集中的VPN连接。服务器121和移动电话125在同一VPN中。因此，当移动电话125向服务器121发送数据包以及从服务器121接收数据包时，所述数据包是经过封装的。当与数据库服务器122通信时VPN集中器101用作移动电话125的网关。同样仅出于说明的目的，管理员尝试以3Mbps限制可用于接入外部服务器的带宽同时不对接入内部服务器施加任何带宽限制。因此，VPN集中器101配置成当与属于VPN的主机和/或节点(例如，数据库服务器122)通信时允许移动电话125使用小于3Mbps的带宽。当移动电话125向服务器121发送数据包以及从服务器121接收数据包时，数据包通过VPN集中器101。当移动电话125向数据库服务器122传输数据包以及从数据库服务器122接收数据包时，VPN集中器101将上行带宽和下行带宽限制在3Mbps内。另一方面，当移动电话125向服务器121传输数据包以及从服务器121接收数据包时，VPN集中器101不施加带宽限制。

在一个变型中，VPN集中器101还限制可用于向属于同一VPN的主机或节点传输数据包以及从所述主机或节点接收数据包的带宽，但是所述限制高于针对向不属于同一VPN的主机或节点发送数据包以及从所述主机或节点接收数据包所限制的带宽。这允许为同一VPN内的通信分配更多带宽。

在一个变型中，相较于针对向在同一VPN中的主机或节点发送的或从所述主机或节点接收的数据包分配的服务目标的质量，VPN集中器101针对向不在同一VPN中的主机或节点发送的或从所述主机或节点接收的数据包分配更低质量的服务目标。这允许属于所述VPN的数据包具有更高的服务质量。仅出于说明的目的，膝上型电脑123和移动电话126在穿过VPN集中器101的第一VPN中而节点120是不属于第一VPN的公用节点。VPN集中器101将对向膝上型电脑123和移动电话126发送的以及从膝上型电脑123和移动电话126接收的数据包给予比向节点120发送的以及从节点120接收的数据包更高的优先级或更好的服务质量。

限制会话数

在本发明的一个实施例中，同步限制VPN隧道或集中的VPN连接中的所允许的会话数。例如，VPN集中器101在与服务器121所建立的集中的VPN连接中所允许的会话数限于六个会话。因此，当在集中的VPN连接中存在超过六个会话时，例如与节点120的三个HTTP会话、与膝上型电脑123的一个远程登录会话以及与移动电话125的两个FTP会话，VPN集中器101将在集中的VPN连接中不接受新的会话。这可以是有利的，因为其能够有助于控制服务器121所使用的带宽并且减少服务器121的计算和/或网络资源的使用。所属领域的技术人员将了解当允许太多会话时的后果，例如存储器膨胀。

限制网络性能

在本发明的一个实施例中，除限制VPN隧道或集中的VPN连接的带宽之外，通过VPN集中器101限制VPN隧道或集中的VPN连接的网络性能。所限制的网络性能可以包含丢包率、最大传输单元(MTU)和/或服务质量(QoS)。例如，通过VPN集中器101增加集中的VPN连接或VPN隧道的丢包率以便限制集中的VPN连接或VPN隧道的上行和/或下行带宽。在另一实例中，VPN集中器101限制通过VPN隧道或集中的VPN连接传输的IP数据包的MTU，以便减少通过VPN隧道或集中的VPN连接的延迟和时延。减少IP数据包的MTU可以在用低上行和/或下行带宽限制减少VPN隧道或集中的VPN连接的时延时尤其有利。在另一实例中，VPN集中器101针对与VPN集中器101所建立的每个VPN隧道或集中的VPN连接配置QoS，使得根据VPN集中器101中定义的标准为主机或节点分配资源。

确定上行或下行带宽

图4是示出了根据本发明的一个实施例的限制带宽的方法的流程图。为了更好地理解实施例，结合图1查看图4。在步骤401中，VPN集中器101确定限制VPN集中器101与服务器121之间建立的第一VPN隧道的带宽。服务器121使用接入连接133a并且VPN集中器101使用接入连接131a用于建立第一VPN隧道。VPN集中器101可以根据以下标准中的至少一个来确定限制VPN隧道的带宽：端口编号、应用程序、时间、价格、网络带宽可用性以及目的地址。在步骤402中，VPN集中器101的处理单元502确定是否能够限制服务器121处的第一VPN隧道的上行带宽。如果能够通过VPN集中器101限制服务器121处的第一VPN隧道的上行带宽，那么在步骤403中在服务器121处限制第一VPN隧道的上行带宽。替代地，如果VPN集中器101无法限制服务器121处的第一VPN隧道的上行带宽，那么在步骤404中限制VPN集中器101处的第一VPN隧道的下行带宽。无法限制服务器121处的第一VPN隧道的上行带宽可能是因为各种原因。例如，如果服务器121的固件与VPN集中器101不兼容，那么VPN集中器101会不能够限制服务器121处的第一VPN隧道的上行带宽。在此情况下，可以通过在步骤404中限制VPN集中器101处的第一VPN隧道的下行带宽来限制从服务器121传递到VPN集中器101的流量所经历的带宽。在一个变型中，通过运行管理软件模块的另一装置实施图4的步骤。

在一个变型中，在服务器121与VPN集中器101之间建立集中的VPN连接。集中的VPN连接包括使用接入连接133a和131a的第一VPN隧道以及使用接入连接133b和131b的第二VPN隧道。仅出于说明的目的，在步骤401中，VPN集中器101确定将从服务器121到VPN集中器101的流量的带宽限于20Mbps，并且确定将从VPN集中器101到服务器121的流量的带宽限于15Mbps。在步骤402中，VPN集中器101的处理单元502确定是否能够限制服务器121处的集中的VPN连接的上行带宽。如果能够限制服务器121处的集中的VPN连接的上行带宽，那么在步骤403中VPN集中器101将服务器121处的集中的VPN连接的总上行带宽限于20Mbps。根据VPN服务提供商设置的策略可以在第一VPN隧道与第二VPN隧道之间共享20Mbps的上行带宽。如果无法限制服务器121处的集中的VPN连接的上行带宽，那么将VPN集中器101处的集中的VPN连接的下行带宽限于20Mbps。对于从VPN集中器101到服务器121的流量，VPN集中器101处的集中的VPN连接的总上行带宽限于15Mbps。可以在第一VPN隧道与第二VPN隧道相等地或不相等地之间共享所述15Mbps的带宽。

用于限制在连接到网络105的主机或节点之间建立的VPN隧道和/或集中的VPN连接的带宽的程序指令可以存储于从存储装置505或主存储器503中并且由处理单元502执行。用于限制带宽的程序指令也可以存储于主机或节点的存储单元中并且在主机或节点的处理单元中执行。在一个变型中，当管理软件模块不在VPN集中器101处运行时，也可以通过VPN集中器101从运行管理软件模块的装置远程地检索程序指令。在远程检索之后可以将程序指令存储于从存储装置505或主存储器503中。接着通过处理单元502执行程序指令。