CN101909015B - 一种实现安全网关服务质量的方法 - Google Patents

一种实现安全网关服务质量的方法 Download PDF

Info

Publication number
CN101909015B
CN101909015B CN2010102633566A CN201010263356A CN101909015B CN 101909015 B CN101909015 B CN 101909015B CN 2010102633566 A CN2010102633566 A CN 2010102633566A CN 201010263356 A CN201010263356 A CN 201010263356A CN 101909015 B CN101909015 B CN 101909015B
Authority
CN
China
Prior art keywords
queue
packet
formation
outgoing interface
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2010102633566A
Other languages
English (en)
Other versions
CN101909015A (zh
Inventor
李玮
郎卫鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN2010102633566A priority Critical patent/CN101909015B/zh
Publication of CN101909015A publication Critical patent/CN101909015A/zh
Application granted granted Critical
Publication of CN101909015B publication Critical patent/CN101909015B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种实现安全网关服务质量的方法,包括:预定义限制类型队列参数和保证类型队列参数;创建一个虚拟接口,在虚拟接口的下一级上创建至少一个限制类型队列;同时在虚接口下创建一个或多个出接口CE,在每个出接口CE下创建至少一个保证类型队列CRL以及创建一个def队列;安全网关将数据包插入相应的限制类型队列或者保证类型队列中等待出队;当限制类型队列的数据包出队时,检测该数据包的目的出接口下是否有保证类型业务:如果该数据包的目的出接口下不存在def队列,则该数据包直接出队;否则,将该数据包插入到对应出接口的def队列中;本发明对于限制类型业务不需要提供出接口,大大简化了安全网关QoS的配置方式。

Description

一种实现安全网关服务质量的方法
技术领域
本发明涉及通信技术领域,尤其涉及一种实现安全网关服务质量的方法。
背景技术
随着网络的飞速发展,网络资源越来越丰富,应用范围越来越广,而网络的通讯速度直接影响了访问网络资源的质量。支持QoS(服务质量)功能的网络设备可以帮助优化网络流量,合理规划带宽资源。
对于安全网关产品,用户经常需要限制某种应用的带宽或者为一些核心业务提供保证带宽,但目前大多数安全网关产品配置QoS时都需要基于出接口进行QoS配置,并需要分清用户的上下行使用的不同的出接口;并且一旦用户更换了接口,就需要重新配置,使用和维护十分不便。
发明内容
鉴于上述的分析,本发明旨在提供一种实现安全网关服务服务质量的方法,用以解决现有技术中基于出接口进行QoS配置存在的使用和维护不方便的问题。
本发明的目的主要是通过以下技术方案实现的:
本发明提供了一种实现安全网关服务质量的方法,包括:
预定义限制类型队列参数和保证类型队列参数;
在安全网关中创建一个虚拟接口,在该虚拟接口的下一级上以令牌桶的方式创建至少一个限制类型队列,并配置限制类型队列参数;同时在虚拟接口下创建一个或多个出接口CE,在每个出接口CE下创建至少一个保证类型队列以及创建一个默认队列,并且配置保证类型队列参数;
当安全网关接收到数据包后,将该数据包插入相应的限制类型队列或者保证类型队列中等待出队;
根据预定调度策略对该数据包进行调度出队,当限制类型队列的数据包出队时,检测该数据包的目的出接口下是否有保证类型业务:如果该数据包的目的出接口下不存在默认队列,则该数据包直接出队;如果该数据包的目的出接口下存在默认队列,则将该数据包插入到对应出接口的默认队列中等待发送。
进一步地,所述方法还包括:当安全网关接收到数据包后,根据预定匹配条件进行匹配,匹配成功后,根据匹配结果确定将数据包插入相应的限制类型队列或者保证类型队列中等待发送。
进一步地,所述限制类型队列参数包括:限制带宽参数;所述保证类型队列参数包括:保证带宽、限制带宽、出接口和出接口带宽、队列的优先级。
其中,所述预定调度策略包括:按照从最底层到高层,从高优先级到低优先级的顺序、选择有足够令牌的队列进行出队。
本发明有益效果如下:
本发明对于限制类型业务不需要提供出接口,大大简化了安全网关QoS的配置方式。
本发明的其他特征和优点将在随后的说明书中阐述,并且,从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
图1为本发明所述方法的流程示意图;
图2为本发明所述方法中,限制类型队列和保证类型队列的结构示意图;
图3为本发明实施例的示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理。为了清楚和简化目的,当其可能使本发明的主题模糊不清时,将省略本文所描述的器件中已知功能和结构的详细具体说明。
首先结合附图对本发明所述方法进行详细说明。
如图1所示,图1为本发明所述方法的流程示意图,具体可以包括如下步骤:
步骤101:预定义QoS队列(包括限制类型队列和保证类型队列)参数;具体的说就是,对于限制类型队列只需要配置限制带宽参数;对于保证类型队列需要配置:保证带宽,限制带宽,出接口和出接口带宽,队列的优先级;
步骤102:在安全网关中创建一个虚拟接口,在该虚拟接口上创建限制类型队列和保证类型队列;
其中,创建限制类型队列的具体过程包括:
在虚拟接口的下一级上以令牌桶的方式创建限制类型队列,每个限制类型业务都相当于一个令牌桶节点CL,同时配置限制类型队列参数是限制类业务要求的限制带宽值;
创建保证类型队列的具体过程包括:
在虚拟接口下创建一个或多个出接口队列CE,CE队列的参数是出接口带宽值,并且在每个出接口队列CE下创建一个或多个保证类型队列CRL,保证类型队列参数是保证类业务要求的保证带宽值和限制带宽值;同时在每个出接口队列CE下创建一个def(默认)队列,def队列的保证带宽值为出接口的带宽减去所有在此接口下的保证用户的带宽值之和,也就是此接口的剩余带宽值;
根据步骤102所述过程创建的限制类型队列和保证类型队列的结构如图2所示。
步骤103:安全网关接收到数据包后,首先根据预定的匹配条件进行匹配,匹配成功后,根据匹配结果到QoS配置库中查询该数据包属于步骤102创建的哪个队列,并将该数据包插入相应的限制类型队列或者保证类型队列中等待发送;其中,匹配过程具体可以包括:
首先需要用户定义匹配条件,以及满足此匹配条件的业务流所对应的QoS队列。其中,安全网关中所提供的识别手段都可以作为匹配条件,如基于五元组、基于应用程序或基于报文内容。收到数据包后,匹配模块根据用户定义的匹配条件,对业务流进行匹配,如果满足匹配条件则在此业务流上标记上对应的QoS队列的ID,对于匹配不上业务流的处理分下面两种情况:
1)业务流的目的出口存在于步骤102所创建的队列中,则在此业务流标记上此接口def的队列ID。
2)业务流的目的出口不存在于步骤102所创建的队列中,则在此业务流不做任何标记。
接下来所有打上ID的业务流都会进入步骤102中所定义的虚拟接口设备,根据不同的ID进入对应的队列进行排队。没有打上ID的业务流属于不需要做QoS的业务流,不经过QoS模块处理直接发送。
步骤104:根据预定调度策略进行调度出队;具体的说就是,调度策略是从最底层到高层,从高优先级到低优先级的顺序、选择有足够令牌的队列进行出队;
特别的,限制类型队列的数据包出队时,要对数据包的目的出接口(逻辑接口或者物理接口)下是否有保证类型业务进行检测:如果该数据包的目的出接口下不存在def队列,则此数据包可以直接出队;如果该数据包的目的出接口下存在def队列,则该数据包还要插入到对应出接口的def队列中等待发送,此种情况下,限制类数据流的最大速率受两个队列限制,第一是受限制类队列自身的最大速率限制,第二是受目的出接口下def队列的限制,这就做到了对于限制类型的业务配置时与接口无关,同时又不会影响保证业务的带宽。
为了便于理解本发明所述方法,下面将举个具体的例子进行进一步说明。
如图3所示,图3为本发明实施例的示意图,其中包括保证业务类型队列U1(如VOIP业务流)和限制业务类型队列U2(如p2p业务流);其中,U1承诺保证流量1M,限制流量2M;U2限制流量1.5M。
配置U1时需要提供的数据:
◆保证带宽值:1M
◆限制带宽值:2M
◆出接口:eth0(由于是在eth0接口上提供保证带宽,需要设置eth0的有效带宽:2M);
配置U2时需要提供的数据:
限制带宽值:1.5M(此处本发明的优势:限制带宽并不需要提供出接口参数,无论U2发向哪个目的出口,其最大带宽不会超过限制带宽1.5M)。
设定R1表示U1进入安全网关速率,r1表示U1流出安全网关的速率;同时设定R2表示U2进入安全网关速率,r2表示U2流出安全网关的速率。
情况一:U2业务流的目的出接口下不存在def队列,即目的出接口下不存在保证业务的情况(对于本例是非eth0的接口),r2受U2队列限制带宽的控制,最大速率是1.5M。
情况二:U2的目的出接口下存在def队列的情况(对于本例是eth0接口);保证业务r1可以达到保证带宽1M,在没有其他业务流使用带宽时,可以达到U1的限制带宽2M;限制业务r2的最大速率不会超过U2的限制带宽或eth0下当前剩余带宽两者之间的小者,用公式表示如下:
r2<=min[U2,def]。
下表主要是为表明R1与R2间的关系不同时,r1、r2的值。
Figure GDA0000108625980000061
Figure GDA0000108625980000071
综上所述,本发明提供了一种实现安全网关服务质量的方法,本发明所述方法对于限制类型业务不需要提供出接口,同时还不影响保证业务的带宽。以往的安全网关QoS配置,都是基于出接口进行配置的,管理员要很清楚,待配置的用户的上下行出接口分别是哪个接口,并且在对应接口上配置QoS策略。采用本发明,就可以在访问控制中或QoS配置中直接指定每个用户上下行的QoS策略,大大简化了安全网关QoS的配置方式。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。

Claims (4)

1.一种实现安全网关服务质量的方法,其特征在于,包括:
预定义限制类型队列参数和保证类型队列参数;
在安全网关中创建一个虚拟接口,在该虚拟接口的下一级上以令牌桶的方式创建至少一个限制类型队列,并配置限制类型队列参数;同时在虚拟接口下创建一个或多个出接口CE,在每个出接口CE下创建至少一个保证类型队列以及创建一个默认队列,并且配置保证类型队列参数;
当安全网关接收到数据包后,将该数据包插入相应的限制类型队列或者保证类型队列中等待出队;
根据预定调度策略对该数据包进行调度出队,当限制类型队列的数据包出队时,检测该数据包的目的出接口下是否有保证类型业务:如果该数据包的目的出接口下不存在默认队列,则该数据包直接出队;如果该数据包的目的出接口下存在默认队列,则将该数据包插入到对应出接口的默认队列中等待发送。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:当安全网关接收到数据包后,根据预定匹配条件进行匹配,匹配成功后,根据匹配结果确定将数据包插入相应的限制类型队列或者保证类型队列中等待发送。
3.根据权利要求1所述的方法,其特征在于,所述限制类型队列参数包括限制带宽参数;所述保证类型队列参数包括:保证带宽、限制带宽、出接口和出接口带宽、队列的优先级。
4.根据权利要求1所述的方法,其特征在于,所述预定调度策略包括:按照从最底层到高层,从高优先级到低优先级的顺序、选择有足够令牌的队列进行出队。
CN2010102633566A 2010-08-26 2010-08-26 一种实现安全网关服务质量的方法 Active CN101909015B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010102633566A CN101909015B (zh) 2010-08-26 2010-08-26 一种实现安全网关服务质量的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010102633566A CN101909015B (zh) 2010-08-26 2010-08-26 一种实现安全网关服务质量的方法

Publications (2)

Publication Number Publication Date
CN101909015A CN101909015A (zh) 2010-12-08
CN101909015B true CN101909015B (zh) 2012-08-22

Family

ID=43264338

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010102633566A Active CN101909015B (zh) 2010-08-26 2010-08-26 一种实现安全网关服务质量的方法

Country Status (1)

Country Link
CN (1) CN101909015B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103560970A (zh) * 2013-09-25 2014-02-05 深圳市共进电子股份有限公司 一种对具有多lan口的网络设备下行限速的实现方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101217499A (zh) * 2008-01-21 2008-07-09 中兴通讯股份有限公司 队列调度方法
CN101707807A (zh) * 2009-12-14 2010-05-12 中兴通讯股份有限公司 一种业务队列调度的方法和装置
CN101714947A (zh) * 2009-10-30 2010-05-26 清华大学 一种可扩展的全流优先级调度方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101340731B (zh) * 2008-08-22 2011-06-15 中国电信股份有限公司 业务的服务质量的保证方法、网络侧设备和终端

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101217499A (zh) * 2008-01-21 2008-07-09 中兴通讯股份有限公司 队列调度方法
CN101714947A (zh) * 2009-10-30 2010-05-26 清华大学 一种可扩展的全流优先级调度方法
CN101707807A (zh) * 2009-12-14 2010-05-12 中兴通讯股份有限公司 一种业务队列调度的方法和装置

Also Published As

Publication number Publication date
CN101909015A (zh) 2010-12-08

Similar Documents

Publication Publication Date Title
US20210266262A1 (en) Fine-grained sd-wan optimization services for cloud-native applications
CN110267312B (zh) 数据传输的方法、管理服务质量流的方法、设备及介质
Chaves et al. Ofswitch13: Enhancing ns-3 with openflow 1.3 support
US20110261831A1 (en) Dynamic Priority Queue Level Assignment for a Network Flow
US20190089623A1 (en) Hcpe-based intelligent path selection over a multipath network
WO2007140337A2 (en) Systems and methods for wireless resource management
US10701582B2 (en) Dynamic application QoS profile provisioning
EP2362589B1 (en) Priority and source aware packet memory reservation and flow control
CN112769597B (zh) 一种云边协同虚拟化场景的容器网络限流方法和系统
Wette et al. Which flows are hiding behind my wildcard rule? adding packet sampling to OpenFlow
CN105791153A (zh) 业务流量调度方法和系统及流量控制器和网络边缘设备
CN105429882A (zh) 基于传统交换芯片查找方式的报文编辑实现方法及装置
CN108289061A (zh) 基于sdn的业务链编排方法及业务链拓扑结构
CN103236944A (zh) 基于OpenFlow网络的QoS集中管理系统
CN109391555A (zh) 报文调度方法、装置及通信设备
Wang et al. Software defined autonomic QoS model for future Internet
CN101909015B (zh) 一种实现安全网关服务质量的方法
CN102377645A (zh) 交换芯片及其实现方法
CN101883050B (zh) 一种实现业务限速的系统及方法
CN103560970A (zh) 一种对具有多lan口的网络设备下行限速的实现方法
WO2017211252A1 (zh) 业务流调度方法及装置、设备、存储介质
CN112491576A (zh) 网络配置的发送方法及装置、存储介质、电子装置
CN102739523B (zh) 一种linux内核定位CPE业务流类型的方法
CN103973590B (zh) 一种QoS调度方法和装置
CN111030931B (zh) 一种跨网段转发优先级标签的方法和设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Free format text: FORMER NAME: BEIJING HEAVEN MELTS LETTER SCIENCE TECHNOLOGIES CO., LTD.

CP01 Change in the name or title of a patent holder

Address after: 100085 Beijing East Road, No. 1, building No. 301, building on the north side of the floor, room 3, room 3

Patentee after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085 Beijing East Road, No. 1, building No. 301, building on the north side of the floor, room 3, room 3

Patentee before: Beijing heaven melts letter Science Technologies Co., Ltd.

C56 Change in the name or address of the patentee

Owner name: BEIJING HEAVEN MELTS LETTER SCIENCE TECHNOLOGIES C

Free format text: FORMER NAME: BEIJING TOPSEC TECHNOLOGY CO., LTD.

CP01 Change in the name or title of a patent holder

Address after: 100085 Beijing East Road, No. 1, building No. 301, building on the north side of the floor, room 3, room 3

Patentee after: Beijing heaven melts letter Science Technologies Co., Ltd.

Address before: 100085 Beijing East Road, No. 1, building No. 301, building on the north side of the floor, room 3, room 3

Patentee before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: 100085 Beijing East Road, No. 1, building No. 301, building on the north side of the floor, room 3, room 3

Patentee after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085 Beijing East Road, No. 1, building No. 301, building on the north side of the floor, room 3, room 3

Patentee before: Beijing heaven melts letter Science Technologies Co., Ltd.

C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: 100085 Beijing East Road, No. 1, building No. 301, building on the north side of the floor, room 3, room 3

Patentee after: Beijing heaven melts letter Science Technologies Co., Ltd.

Address before: 100085 Beijing East Road, No. 1, building No. 301, building on the north side of the floor, room 3, room 3

Patentee before: BEIJING TOPSEC TECHNOLOGY CO., LTD.