CN101958842B - 一种基于用户的流量控制方法 - Google Patents
一种基于用户的流量控制方法 Download PDFInfo
- Publication number
- CN101958842B CN101958842B CN2010105229108A CN201010522910A CN101958842B CN 101958842 B CN101958842 B CN 101958842B CN 2010105229108 A CN2010105229108 A CN 2010105229108A CN 201010522910 A CN201010522910 A CN 201010522910A CN 101958842 B CN101958842 B CN 101958842B
- Authority
- CN
- China
- Prior art keywords
- client
- flow control
- client side
- control strategy
- server end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于用户的流量控制方法,包括:SSLVPN设备启动源进源出功能;建立客户端与SSLVPN网关之间的隧道连接,并生成客户端节点;为客户端配置与客户端节点一一对应的流量控制策略;客户端发起到服务器端的访问请求;SSLVPN网关识别客户端;建立客户端与服务器端的连接;建立连接的状态表项与流量控制策略之间的关联;建立状态表项与由服务器端返回客户端的报文之间的关联;通过流量控制策略对由服务器端返回客户端的报文进行流量控制。本发明通过状态表项进行数据流标识,避免维护一张新的规则表来标识数据流,提升整个系统性能。
Description
技术领域
本发明涉及一种基于用户的流量控制方法。
背景技术
随着网络安全和流量控制重要性的日益突出,各种网络安全和流量控制的新技术和新产品不断涌现,包括SFQ(随机公平队列)、TBF(令牌桶过滤器)等不可分类流量控制技术,以及CBQ(基于类的队列)、HTB(分层令牌桶)等可分类的流量控制技术,为保护厂商和客户端的信息在网络传输过程的安全性,基于客户端认证的加密传输的安全网关越来越重要,SSLVPN安全网关正是为满足这个需求产生的。但在现有技术中,用户的流量控制时的数据流标识操作会引起系统性能下降的问题
发明内容
本发明的目的是提供一种基于用户的流量控制方法,可以很好的解决进行基于用户的流量控制时的数据流标识操作引起的系统性能下降的问题。
本发明的目的是通过以下技术方案来实现:
一种基于用户的流量控制方法,包括:SSLVPN设备启动源进源出功能;建立客户端与SSLVPN网关之间的隧道连接,并生成客户端节点;为客户端配置与客户端节点一一对应的流量控制策略;客户端发起到服务器端的访问请求;SSLVPN网关识别客户端;建立客户端与服务器端的连接;建立连接的状态表项与流量控制策略之间的关联;建立状态表项与由服务器端返回客户端的报文之间的关联;通过流量控制策略对由服务器端返回客户端的报文进行流量控制。
本发明通过状态表项进行数据流标识,避免维护一张新的规则表来标识数据流,提升整个系统性能。
附图说明
下面根据附图和实施例对本发明作进一步详细说明。
图1为本发明一种基于用户的流量控制方法示意图;
图2为本发明实施例1中步骤103的具体流程图;
图3为本发明实施例1中步骤107的具体流程图;
图4为本发明实施例1中步骤109的具体流程图。
具体实施方式
本发明提出一种基于用户的流量控制方法,其核心思想在于:配置在线客户端的流量控制策略;关联在线客户端新建连接的状态表项与所述流量控制策略;关联所述状态表项与由服务器返回的报文;根据由服务器返回的报文对在线客户端进行流量控制。
实施例1
S101、SSLVPN设备启动源进源出功能。
也就是说,报文请求的入接口,一定是报文应答的出接口。
S102、建立客户端与SSLVPN网关之间的隧道连接,并生成客户端节点。
S103、SSLVPN网关为客户端配置与客户端节点一一对应的流量控制策略。
流量控制策略包括过滤表项和规则表项,过滤表项与规则表项一一对应,过滤表项与规则表项具有相同的classid。
过滤表项由参数classid标识,classid是一个32位的值,其前16位为父类的序号,后16位是自己的序号,过滤表项的主要参数还包括设备名称、父类标识、优先级、handle值和classid等,过滤表项的handle属性值也是一个32位值,当SSLVPN支持的客户端总数被限制在6万以内时,将客户端节点保存的classid的后16位值赋给handle。
具体包括:
S1031、SSLVPN网关根据客户端信息,获取客户端配置数据库,并从客户端配置数据库中获取客户端流量控制信息。
客户端信息必须是能够唯一标识用户的比如:用户名/密码、证书等多种形式。
客户端流量控制信息具体包括:带宽的上限、下限与优先级。
S1032、根据客户端与SSLVPN网关之间的隧道连接的入接口及客户端流量控制信息配置客户端流量控制策略。
将客户端流量控制信息即带宽的上限、下限与优先级植入客户端流量控制策略的规则表项中。
S1033、维护客户端节点与流量控制策略一一对应的关系。
客户端节点通过保存用来标识客户端流量控制策略中标识过滤表项的classid以维护客户端节点与流量控制策略一一对应的关系。
S104、客户端发起到服务器端的访问请求。
S105、SSLVPN网关识别客户端。
SSLVPN网关根据上述连接请求中所携带的客户端信息识别发起上述连接请求的客户端。
S106、建立客户端与服务器端的连接。
S107、SSLVPN网关建立客户端与服务器端的连接的状态表项与客户端的流量控制策略之间的关联。
具体包括:
S1071、SSLVPN网关获取客户端与服务器端的连接的五元组。
五元组包括源/目的IP地址、源/目的端口、协议。
S1072、SSLVPN网关根据上述五元组获取客户端与服务器端连接的状态表项。
S1073、将客户端节点保存的classid的后16位值赋给上述状态表项的mark属性值。
状态表项包括五元组、入接口设备、mark值等信息,使用五元组进行hash存储。
流量控制策略的规则表项由参数classid标识,规则表项表项的主要参数还包括:设备名称、父类标识、优先级、速率上限、速率下限和classid等,相同流量控制策略的过滤表项与状态表项具有相同的classid。
通过将客户端流量控制策略的classid的后16位值赋给客户端与服务器端的连接的状态表项的mark值,从而建立客户端与服务器端的连接的状态表项与客户端的流量控制策略之间的关联。
S108、建立客户端与服务器端的连接的状态表项与由服务器端返回客户端的报文之间的关联。
申请人将用于存储报文的类似于Linux的sk_buff结构体定义为skb。
当客户端访问服务器端的资源时,将由服务器返回的报文以skb进行存储,并将skb的mark属性值设置成同客户端与服务器端的连接的状态表项的mark值相同,从而建立客户端的流量控制策略与由服务器端返回客户端的报文之间的关联。
S109、通过客户端的流量控制策略对由服务器端返回客户端的报文进行流量控制。
具体包括:
S1091、由服务器端返回的报文以skb进行存储,使用skb的mark值与客户端的流量控制策略的过滤表项的handle值进行匹配,获取handle值与skb的mark值相同的过滤表项。
S1092、获取与上述过滤表项对应的规则表项。
上述过滤表项与上述规则表项属于相同的流量控制策略,通过相同的classid进行标识。
S1093、将skb放入上述规则表项中。
S1094、根据保存在上述规则表项中的带宽上限、下限和优先级对由服务器返回到客户端的报文进行流量控制。
以上只是本发明一个优选的实施例,基于本发明思想的其他实施例均应包含在本发明的保护范围。
Claims (1)
1.一种基于用户的流量控制方法,其特征在于,包括:
SSLVPN设备启动源进源出功能,所述源进源出功能是指报文请求的入接口一定是报文应答的出接口;
建立客户端与SSLVPN网关之间的隧道连接,并生成客户端节点;
为所述的客户端配置与所述的客户端节点一一对应的流量控制策略;
所述的客户端发起到所述的服务器端的访问请求;
所述的SSLVPN网关识别所述的客户端;
建立所述的客户端与所述的服务器端的连接;
建立所述连接的状态表项与所述流量控制策略之间的关联;
建立所述状态表项与由所述服务器端返回所述客户端的报文之间的关联;
通过所述流量控制策略对所述由服务器端返回客户端的报文进行流量控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105229108A CN101958842B (zh) | 2010-10-28 | 2010-10-28 | 一种基于用户的流量控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105229108A CN101958842B (zh) | 2010-10-28 | 2010-10-28 | 一种基于用户的流量控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101958842A CN101958842A (zh) | 2011-01-26 |
| CN101958842B true CN101958842B (zh) | 2013-07-24 |
Family
ID=43485960
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105229108A Active CN101958842B (zh) | 2010-10-28 | 2010-10-28 | 一种基于用户的流量控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101958842B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255909B (zh) * | 2011-07-11 | 2014-07-02 | 北京星网锐捷网络技术有限公司 | 监控会话流的方法及装置 |
| CN105099930B (zh) * | 2014-05-21 | 2019-07-09 | 新华三技术有限公司 | 加密数据流流量控制方法及装置 |
| CN106101015B (zh) * | 2016-07-19 | 2020-08-14 | 广东药科大学 | 一种移动互联网流量类别标记方法和系统 |
| CN109587028B (zh) * | 2018-11-29 | 2021-11-26 | 麒麟合盛网络技术股份有限公司 | 一种控制客户端流量的方法和装置 |
| CN109660400B (zh) * | 2018-12-24 | 2021-06-25 | 思必驰科技股份有限公司 | 流控配置方法及系统 |
| CN113285886B (zh) * | 2021-06-11 | 2021-10-15 | 北京天融信网络安全技术有限公司 | 一种带宽分配的方法、装置、电子设备及可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
| CN1697443A (zh) * | 2004-05-11 | 2005-11-16 | 华为技术有限公司 | 一种控制动态数据流的方法 |
-
2010
- 2010-10-28 CN CN2010105229108A patent/CN101958842B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
| CN1697443A (zh) * | 2004-05-11 | 2005-11-16 | 华为技术有限公司 | 一种控制动态数据流的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101958842A (zh) | 2011-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101958842B (zh) | 一种基于用户的流量控制方法 | |
| CN102918801B (zh) | 将网络流量策略应用于应用会话的系统和方法 | |
| TWI675339B (zh) | 虛擬物品的分配方法、系統及伺服器 | |
| US7949704B2 (en) | Administration of a broker-based publish/subscribe messaging system | |
| CN112187764A (zh) | 用于多租户环境的网络流日志的系统和方法 | |
| CN104935583A (zh) | 一种云端服务平台、信息处理方法及数据处理系统 | |
| CN108809808A (zh) | 信息处理方法、装置、设备及存储介质 | |
| TWI354475B (en) | Dispatching client requests to appropriate server- | |
| CN109815373A (zh) | 数据存储的控制方法、装置、服务器及可读存储介质 | |
| US9614798B2 (en) | Method and an apparatus for distribution of a message | |
| CN104137491A (zh) | 通过服务网关管理服务的方法 | |
| CN102143088B (zh) | 一种基于ssl vpn的数据转发方法和设备 | |
| CN104484187B (zh) | 一种信息集成方法和系统 | |
| CN107659453A (zh) | 通过zabbix监控大量TCP服务端口的方法 | |
| CN106227780A (zh) | 一种海量网页的自动化截图取证方法和系统 | |
| CN103036732A (zh) | 一种网络监控处理的方法、系统和设备 | |
| CN109756528A (zh) | 频率控制方法及装置、设备、存储介质、服务器 | |
| CN104735026B (zh) | 安全策略控制方法和装置 | |
| CN112272166A (zh) | 一种流量处理方法、装置、设备及机器可读存储介质 | |
| CN102904823A (zh) | 一种基于存储器的多用户多业务的精确流量控制方法 | |
| CN105224541B (zh) | 数据的唯一性控制方法、信息存储方法及装置 | |
| CN102647432A (zh) | 一种认证信息传输方法、装置及认证中间件 | |
| CN109391562B (zh) | 一种优先级调度方法、装置和防火墙 | |
| Niu et al. | An empirical study of a Chinese online social network--renren | |
| CN106790178B (zh) | 防入侵认证方法、系统及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |