CN105939241B - 连接断开方法及装置 - Google Patents
连接断开方法及装置 Download PDFInfo
- Publication number
- CN105939241B CN105939241B CN201610137427.5A CN201610137427A CN105939241B CN 105939241 B CN105939241 B CN 105939241B CN 201610137427 A CN201610137427 A CN 201610137427A CN 105939241 B CN105939241 B CN 105939241B
- Authority
- CN
- China
- Prior art keywords
- effective
- flow
- real
- time
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种连接断开方法及装置,所述方法应用于VPN客户端上,所述方法包括:设置超时定时器;获得所述VPN客户端对应的实时流量;利用平均有效流量判断所述实时流量是否有效;若无效,则保持所述超时定时器的统计时间;若有效,则利用有效统计次数保持或者清除所述超时定时器的统计时间;判断所述超时定时器的统计时间是否超过第一预设阈值;若是,则断开所述VPN客户端与VPN服务器之间的连接。应用本申请实施例,通过VPN客户端判断本VPN客户端是否需要断开与VPN服务器的连接,不需要VPN服务器去判断是否需要断开与VPN客户端的连接,从而不需要占用VPN服务器的资源,提高了VPN服务器的处理效率。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种连接断开方法及装置。
背景技术
VPN(Virtual Private Network,虚拟专用网络)远程接入技术是指:VPN客户端通过位于公用网络中的VPN服务器接入公司内网,进行远程办公,该VPN远程接入技术在方便VPN客户端获取公司内网资源的同时,也增加了公司内网资源泄露的风险。为了保护公司内网资源的安全,当VPN客户端长时间没有访问公司内网资源的流量时,VPN服务器需要断开与VPN客户端的连接。
在相关技术中,VPN服务器通过流量统计表记录每个VPN客户端最近一次访问公司内网资源的时间,基于流量统计表,如果确定VPN客户端在超时时间内没有访问公司内网资源,则断开与该VPN客户端的连接。然而,当有大量VPN客户端在线时,VPN服务器会在流量统计表中记录大量VPN客户端的信息,这样势必会占用VPN服务器的资源,影响VPN服务器的处理效率。
发明内容
有鉴于此,本申请提供一种连接断开方法及装置,以解决现有连接断开的方式,会占用VPN服务器的资源,影响VPN服务器的处理效率的问题。
根据本申请实施例的第一方面,提供一种连接断开方法,所述方法应用于VPN客户端上,所述方法包括:
设置超时定时器;
获得所述VPN客户端对应的实时流量;利用平均有效流量判断所述实时流量是否有效;若无效,则保持所述超时定时器的统计时间;若有效,则利用有效统计次数保持或者清除所述超时定时器的统计时间;
判断所述超时定时器的统计时间是否超过第一预设阈值;若是,则断开所述VPN客户端与VPN服务器之间的连接。
根据本申请实施例的第二方面,提供一种连接断开装置,所述装置应用于VPN客户端上,所述装置包括:
设置单元,用于设置超时定时器;
获得单元,用于获得所述VPN客户端对应的实时流量;
处理单元,用于利用平均有效流量判断所述实时流量是否有效;若无效,则保持所述超时定时器的统计时间;若有效,则利用有效统计次数保持或者清除所述超时定时器的统计时间;
判断单元,用于判断所述超时定时器的统计时间是否超过第一预设阈值;
断开单元,用于当判断结果为是时,断开所述VPN客户端与VPN服务器之间的连接。
应用本申请实施例,当VPN客户端与VPN服务器建立连接之后,VPN客户端首先设置超时定时器,然后获得所述VPN客户端对应的实时流量,并利用平均有效流量判断所述实时流量是否有效,若无效,则保持所述超时定时器的统计时间;若有效,则利用有效统计次数保持或者清除所述超时定时器的统计时间,最后判断所述超时定时器的统计时间是否超过第一预设阈值,若是,则断开所述VPN客户端与VPN服务器之间的连接。
基于上述实现方式,通过VPN客户端判断本VPN客户端是否长时间没有访问公司内网资源,当长时间没有访问公司内网资源时,则由VPN客户端主动断开与VPN服务器的连接,而不需要VPN服务器去判断是否需要断开与VPN客户端的连接,从而不需要占用VPN服务器的资源,提高了VPN服务器的处理效率。
而且,当有大量VPN客户端在线时,通过将VPN服务器的判断过程迁移到VPN客户端上,由VPN客户端判断是否需要断开与VPN服务器的连接,可以充分利用每个VPN客户端的资源,每个VPN客户端都只判断本VPN客户端是否长时间没有访问公司内网资源,而不是一个VPN客户端判断所有VPN客户端是否长时间没有访问公司内网资源,所以对VPN客户端的资源占用少,不会影响VPN客户端的处理性能。
附图说明
图1为本申请根据一示例性实施例示出的一种应用场景示意图;
图2为本申请根据一示例性实施例示出的一种连接断开方法的实施例流程图;
图3为本申请根据一示例性实施例示出的一种VPN客户端的硬件结构图;
图4为本申请根据一示例性实施例示出的一种连接断开装置的实施例结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1所示,为本申请根据一示例性实施例示出的一种应用场景示意图:包括多个VPN客户端、VPN服务器以及内网服务器。其中,所述VPN客户端在与VPN服务器建立连接之后,通过VPN服务器访问内网服务器的资源(比如公司内网资源);所述VPN服务器位于公用网络中,用于将VPN客户端发送的报文转发至内网服务器;所述内网服务器通常位于公司的内网中,用于向VPN客户端提供相应的资源。
参见图2所示,为本申请根据一示例性实施例示出的一种连接断开方法的实施例流程图,该实施例应用于VPN客户端上,包括以下步骤:
步骤201:设置超时定时器。
当VPN客户端与VPN服务器建立连接之后,VPN客户端设置超时定时器,并通过VPN服务器访问内网服务器的资源。
其中,所述超时定时器不会被删除,没有老化时间,始终在计时,后续VPN客户端通过读取所述超时定时器的统计时间,可以确定出VPN客户端没有访问内网服务器的持续时间。比如,在设置超时定时器之后,如果过了5秒,超时定时器的统计时间没有被清除,则表明VPN客户端已经有5秒没有访问内网服务器。
步骤202:获得所述VPN客户端对应的实时流量。
VPN客户端首先获取需要过滤的协议类型,然后再获取将要发送到所述VPN服务器以及已接收到所述VPN服务器发送的所有报文,并将所述所有报文中匹配到所述协议类型的报文过滤掉,并计算剩余的报文的实时流量。
其中,VPN客户端可以周期性的获取将要发送到所述VPN服务器以及已接收到所述VPN服务器发送的所有报文,比如每5秒获取一次。
其中,所述需要过滤的协议类型为非业务流量的类型,不是真正访问内网服务器的流量类型,所述需要过滤的协议类型可以包括但不限于ARP(Address ResolutionProtocol,地址解析协议)类型、LLMNR(Link-Local Multicast Name Resolution,本地链路多播名称解析)类型、DNS(Domain Name System,域名系统)类型、DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)类型、SSDP(Simple Service DiscoveryProtocol,简单服务发现协议)类型、组播协议类型、广播协议类型中的一种或多种。
此外,不需要过滤的协议类型为业务流量的类型,是真正访问内网服务器的流量类型,所述不需要过滤的协议类型可以包括但不限于TCP(Translation ControlProtocol,传输控制协议)类型、UDP(User Datagram Protocol,用户数据报协议)类型,上述过滤之后剩余的报文就是属于这些不需要过滤的协议类型的报文。
然后,VPN客户端可以通过计算剩余的报文的报文长度作为所述VPN客户端对应的实时流量。
假设VPN客户端获取到的将要发送到所述VPN服务器以及已接收到所述VPN服务器发送的的报文有200个,其中4个报文为ARP类型的报文、2个报文为DNS类型的报文,3个报文为组播类型的报文,剩余的191个报文是TCP类型的报文,则:ARP类型的报文、DNS类型的报文、组播类型的报文可以匹配到需要过滤的协议类型,因此,将4个ARP类型的报文、2个DNS类型的报文,3个组播类型的报文过滤掉,之后,剩下的191个TCP类型的报文为VPN客户端的业务流量,假设每个TCP类型的报文的长度为1000字节,可以计算得到所述实时流量为191000字节。
步骤203:利用平均有效流量判断所述实时流量是否有效;若有效,则执行步骤204;若无效,则执行步骤205。
VPN客户端首先获取平均有效流量,然后计算所述实时流量与所述平均有效流量的比值,并将所述比值与第二预设阈值进行比较;若所述比值超过所述第二预设阈值,则确定所述实时流量有效;若所述比值不超过所述第二预设阈值,则确定所述实时流量无效。
其中,所述平均有效流量的初始值确定方式为:当VPN客户端与VPN服务器建立连接之后,VPN客户端首先获取最小有效流量,然后将所述最小有效流量作为所述平均有效流量。通常情况下,所述第二预设阈值可以为0.1。
其中,所述最小有效流量为业务流量的最小值,针对不同类型的报文,其对应的最小有效流量可以不同。
如步骤202所述,针对TCP类型的报文,VPN客户端与VPN服务器之间需要通过3个TCP类型的报文建立TCP连接,即三次握手的过程,并且每个TCP类型的报文都有IP头部+TCP头部,因此TCP类型的报文的最小有效流量可以为(IP头部长度+TCP头部长度)*3,所述数值3是指建立TCP连接进行的三次握手的过程。由于所述IP头部长度和TCP头部长度均为20字节,因此可以得到TCP类型的报文的最小有效流量为(20+20)*3=120字节。
针对UDP类型的报文,VPN客户端与VPN服务器之间需要通过2个UDP类型的报文建立UDP连接(VPN客户端发送连接请求到VPN服务器,VPN服务器发送连接响应到VPN客户端),并且每个UDP类型的报文都有IP头部+UDP头部,因此UDP类型的报文的最小有效流量可以为(IP头部长度+UDP头部长度)*2,所述数值2是指建立UDP连接需要进行的两个过程。由于所述IP头部长度为20字节,所述UDP头部长度为8字节,因此所述UDP类型的报文的最小有效流量为(20+8)*2=56字节。
此外,不需要过滤的协议类型还包括一些其他类型的报文,通常情况下,其他类型的报文对应的最小有效流量与TCP类型或UDP类型的报文的最小有效流量的计算原理相类似,在此不再一一赘述。
假设过滤之后剩余的报文只包括TCP类型的报文,如步骤202所述,计算得到的TCP类型的报文的实时流量为191000字节,由于TCP类型的报文的最小有效流量为120字节,所以获取到TCP类型的报文的平均有效流量为120字节,从而可以得到所述实时流量与所述平均有效流量的比值为191000/120=1591.7,假设所述第二预设阈值为0.1,所述比值超过所述第二预设阈值,则确定所述实时流量有效。
假设过滤之后剩余的报文只包括UDP类型的报文,且计算得到的UDP类型的报文的实时流量为112字节,由于UDP类型的报文的最小有效流量为56字节,所以获取到UDP类型的报文的平均有效流量为56字节,从而可以得到所述实时流量与所述平均有效流量的比值为112/56=2,假设所述第二预设阈值为0.1,所述比值超过所述第二预设阈值,则确定所述实时流量有效。
在一个例子中,当过滤之后剩余的报文包括TCP类型的报文和UDP类型的报文时,则所述实时流量与所述平均有效流量的比值可以为:(TCP类型的报文的实时流量与TCP类型的报文的平均有效流量的比值+UDP类型的报文的实时流量与UDP类型的报文的平均有效流量的比值)/2。同样的,当所述比值超过所述第二预设阈值时,则确定所述实时流量有效。当所述比值不超过所述第二预设阈值时,则确定所述实时流量无效。
在后续过程中,可以对平均有效流量进行调整,具体调整方式在后续介绍。
步骤204:利用有效统计次数保持或者清除所述超时定时器的统计时间。
在步骤203之后,若确定所述实时流量有效,则将所述有效统计次数加1,并利用加1后的有效统计次数保持或者清除所述超时定时器的统计时间。
从有效统计次数被更新为0开始计时,在达到预设时间(比如3分钟)之后,VPN客户端将当前的有效统计次数与第三预设阈值进行比较,若所述有效统计次数超过所述第三预设阈值,则清除所述超时定时器的统计时间,并将所述有效统计次数更新为0,VPN客户端重新开始监控是否有流量访问,再次达到预设时间之后,VPN客户端将当前的有效统计次数与第三预设阈值进行比较,以此类推;若所述有效统计次数不超过所述第三预设阈值,则保持所述超时定时器的统计时间,并将所述有效统计次数更新为0,VPN客户端重新开始监控是否有访问内网服务器的流量,再次达到预设时间之后,VPN客户端将当前的有效统计次数与第三预设阈值进行比较,以此类推。
通常情况下,所述第三预设阈值可以为2,即在预设时间之内,计算得到的实时流量只要有效3次或3次以上,表示VPN客户端有访问内网服务器的流量,需要将超时定时器的统计时间进行清除,重新开始计时,同时将有效统计次数更新为0,若在预设时间之内,计算得到的有效的实时流量没有达到3次,表示VPN客户端没有访问内网服务器的流量,需要继续保持超时定时器的统计时间,并将有效统计次数更新为0,重新经过预设时间之后,再次利用有效统计次数保持或者清除所述超时定时器的统计时间。
需要说明的是,由于VPN客户端的实时流量是随时间变化的,为了使平均有效流量能够反映VPN客户端当前的实时流量状态,可以利用实时流量更新所述平均有效流量。因此,若所述实时流量有效,则将流量更新次数加1,并利用加1后的流量更新次数和所述实时流量调整所述平均有效流量,具体调整计算公式为:更新后的平均有效流量=((流量更新次数-1)*更新前的平均有效流量+实时流量)/流量更新次数;其中,流量更新次数减1中的数值1表示开始时,平均有效流量已经更新一次,即开始时将最小有效流量作为平均有效流量的那一次,因此,需要在流量更新次数记录的数值的基础上再减1。所述流量更新次数记录的是每次计算实时流量的有效次数,并且在达到预设时间之后,不会被更新为0。利用所述流量更新次数和实时流量调整平均有效流量可以确保平均有效流量的变化趋势比较平滑,从而能够反映VPN客户端当前的实时流量状态。
假设目前的流量更新次数为2,如步骤202和步骤203所述,若过滤之后剩余的报文只包括TCP类型的报文,由于TCP类型的报文的实时流量为191000字节,相应的平均有效流量为120字节,那么利用上述公式可以得到更新后的平均有效流量为(1*120+191000)/2=95560字节。
步骤205:保持所述超时定时器的统计时间。
由于VPN客户端的实时流量是随时间变化的,为了使平均有效流量能够反映VPN客户端当前的实时流量状态,可以利用实时流量更新所述平均有效流量。因此,若所述实时流量无效,表明此时实时流量有所减少,需要将平均有效流量调小,VPN客户端可以将所述平均有效流量降低预设数值,以获得衰减后的流量,然后将所述衰减后的流量与最小有效流量进行比较,若所述衰减后的流量未超过所述最小有效流量,则将所述最小有效流量确定为更新后的平均有效流量;若所述衰减后的流量超过所述最小有效流量,则将所述衰减后的流量确定为更新后的平均有效流量。
通常情况下,将所述平均有效流量降低预设数值时可以为降低百分数,比如降低百分之十。并且衰减之后,得到的衰减后的流量不能小于最小有效流量,如果小于最小有效流量,则需要将最小有效流量确定为更新后的平均有效流量。
步骤206:判断所述超时定时器的统计时间是否超过第一预设阈值;若是,则执行步骤207,否则执行步骤208。
其中,如步骤204所述的预设时间表示一次统计过程,在每个统计过程中,VPN客户端会利用有效统计次数来判断是否清除超时定时器的统计时间。而第一预设阈值为N次统计过程的时间,比如5次,假设预设时间为3分钟,那么所述第一预设阈值为5*3=15分钟。
在每个统计过程结束之后,VPN客户端均判断所述超时定时器的统计时间是否超过第一预设阈值。所述第一预设阈值用于表示无流量断开间隔,即VPN客户端持续多长时间没有访问内网服务器时,断开与VPN服务器的连接。
假设连续5次统计过程结束之后,VPN客户端均没有清除所述超时定时器的统计时间,则在第5次统计过程结束之后,在判断超时定时器的统计时间是否超过第一预设阈值时,会判断出所述超时定时器的统计时间已经超过第一预设阈值,此外,如果在连续5次的统计过程结束之后,VPN客户端有清除过所述超时定时器的统计时间,则会判断出所述超时定时器的统计时间未超过第一预设阈值。
步骤202至步骤206所述的需要过滤的协议类型、最小有效流量、第一预设阈值以及第二预设阈值等配置参数可以直接在VPN客户端上配置,VPN客户端与VPN服务器建立连接之后,VPN客户端可以直接使用这些配置参数。
此外,这些配置参数也可以在VPN服务器上配置,VPN客户端与VPN服务器建立连接之后,可以从VPN服务器获取这些配置参数。并且,若配置参数改变,可以只在VPN服务器上进行更新,然后每个与VPN服务器连接的VPN客户端再去获取新的配置参数,而不需要对每个VPN客户端更新配置参数。因此,在VPN服务器上配置这些配置参数,维护相对比较方便,简洁。
步骤207:断开所述VPN客户端与VPN服务器之间的连接。
若VPN客户端监控到所述超时定时器的统计时间超过第一预设阈值,则表明所述VPN客户端已经很长时间没有访问内网服务器,可以断开与VPN服务器之间的连接。
步骤208:保持所述VPN客户端与VPN服务器之间的连接。
由上述实施例所述,当VPN客户端与VPN服务器建立连接之后,VPN客户端首先设置超时定时器,然后获得所述VPN客户端对应的实时流量,并利用平均有效流量判断所述实时流量是否有效,若无效,则保持所述超时定时器的统计时间;若有效,则利用有效统计次数保持或者清除所述超时定时器的统计时间,最后判断所述超时定时器的统计时间是否超过第一预设阈值,若是,则断开所述VPN客户端与VPN服务器之间的连接。
基于上述实现方式,通过VPN客户端判断本VPN客户端是否长时间没有访问公司内网资源,当长时间没有访问公司内网资源时,则由VPN客户端主动断开与VPN服务器的连接,而不需要VPN服务器去判断是否需要断开与VPN客户端的连接,从而不需要占用VPN服务器的资源,提高了VPN服务器的处理效率。
而且,当有大量VPN客户端在线时,通过将VPN服务器的判断过程迁移到VPN客户端上,由VPN客户端判断是否需要断开与VPN服务器的连接,可以充分利用每个VPN客户端的资源,每个VPN客户端都只判断本VPN客户端是否长时间没有访问公司内网资源,而不是一个VPN客户端判断所有VPN客户端是否长时间没有访问公司内网资源,所以对VPN客户端的资源占用少,不会影响VPN客户端的处理性能。
与前述连接断开方法的实施例相对应,本申请还提供了连接断开装置的实施例。
本申请连接断开装置的实施例可以应用在VPN客户端上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为一种VPN客户端的硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。
参见图4所示,为本申请根据一示例性实施例示出的一种连接断开装置的实施例结构图,该实施例应用于VPN客户端上,所述装置包括:设置单元410、计算单元420、处理单元430、判断单元440、断开单元450。
其中,所述设置单元410,用于设置超时定时器;
所述获得单元420,用于获得所述VPN客户端对应的实时流量;
所述处理单元430,用于利用平均有效流量判断所述实时流量是否有效;若无效,则保持所述超时定时器的统计时间;若有效,则利用有效统计次数保持或者清除所述超时定时器的统计时间;
所述判断单元440,用于判断所述超时定时器的统计时间是否超过第一预设阈值;
所述断开单元450,用于当判断结果为是时,断开所述VPN客户端与VPN服务器之间的连接。
在一个可选的实现方式中,所述获得单元420,具体用于获取需要过滤的协议类型;获取将要发送到所述VPN服务器以及已接收到所述VPN服务器发送的所有报文;将所述所有报文中匹配到所述协议类型的报文过滤掉,并计算剩余的报文的实时流量。
在另一个可选的实现方式中,所述处理单元430,具体用于在利用平均有效流量判断所述实时流量是否有效的过程中,计算所述实时流量与所述平均有效流量的比值;将所述比值与第二预设阈值进行比较;若所述比值超过所述第二预设阈值,则确定所述实时流量有效;若所述比值不超过所述第二预设阈值,则确定所述实时流量无效。
在另一个可选的实现方式中,所述装置还包括(图4中未示出):
次数更新单元,用于当所述实时流量有效时,将所述有效统计次数加1;
所述处理单元430,具体用于在利用有效统计次数确定保持或者清除所述超时定时器的统计时间的过程中,从有效统计次数被更新为0开始计时,在达到预设时间之后,将当前的有效统计次数与第三预设阈值进行比较;若所述有效统计次数超过所述第三预设阈值,则清除所述超时定时器的统计时间,并将所述有效统计次数更新为0;若所述有效统计次数不超过所述第三预设阈值,则保持所述超时定时器的统计时间,并将所述有效统计次数更新为0。
在另一个可选的实现方式中,所述装置还包括(图4中未示出):
平均有效流量更新单元,用于若所述实时流量有效,则将流量更新次数加1,并利用如下公式计算更新后的平均有效流量:((流量更新次数-1)*更新前的平均有效流量+实时流量)/流量更新次数;若所述实时流量无效,则将所述平均有效流量降低预设数值,以获得衰减后的流量;将所述衰减后的流量与最小有效流量进行比较;若所述衰减后的流量不超过所述最小有效流量,则将所述最小有效流量确定为更新后的平均有效流量;若所述衰减后的流量超过所述最小有效流量,则将所述衰减后的流量确定为更新后的平均有效流量。
由上述实施例所述,当VPN客户端与VPN服务器建立连接之后,VPN客户端首先设置超时定时器,然后获得所述VPN客户端对应的实时流量,并利用平均有效流量判断所述实时流量是否有效,若无效,则保持所述超时定时器的统计时间;若有效,则利用有效统计次数保持或者清除所述超时定时器的统计时间,最后判断所述超时定时器的统计时间是否超过第一预设阈值,若是,则断开所述VPN客户端与VPN服务器之间的连接。
基于上述实现方式,通过VPN客户端判断本VPN客户端是否长时间没有访问公司内网资源,当长时间没有访问公司内网资源时,则由VPN客户端主动断开与VPN服务器的连接,而不需要VPN服务器去判断是否需要断开与VPN客户端的连接,从而不需要占用VPN服务器的资源,提高了VPN服务器的处理效率。
而且,当有大量VPN客户端在线时,通过将VPN服务器的判断过程迁移到VPN客户端上,由VPN客户端判断是否需要断开与VPN服务器的连接,可以充分利用每个VPN客户端的资源,每个VPN客户端都只判断本VPN客户端是否长时间没有访问公司内网资源,而不是一个VPN客户端判断所有VPN客户端是否长时间没有访问公司内网资源,所以对VPN客户端的资源占用少,不会影响VPN客户端的处理性能。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种连接断开方法,其特征在于,所述方法应用于虚拟专用网络VPN客户端上,所述方法包括:
设置超时定时器;
获得所述VPN客户端对应的实时流量;利用平均有效流量判断所述实时流量是否有效;若无效,则保持所述超时定时器的统计时间;若有效,则利用有效统计次数保持或者清除所述超时定时器的统计时间;
判断所述超时定时器的统计时间是否超过第一预设阈值;若是,则断开所述VPN客户端与VPN服务器之间的连接;
其中,在确定所述实时流量有效时,将流量更新次数加1,并利用如下公式计算更新后的平均有效流量:((流量更新次数-1)*更新前的平均有效流量+实时流量)/流量更新次数;其中,所述流量更新次数初始时为1;
在确定所述实时流量无效时,保持流量更新次数不变,并将所述平均有效流量降低预设数值,以获得衰减后的流量;将所述衰减后的流量与最小有效流量进行比较;若所述衰减后的流量不超过所述最小有效流量,则将所述最小有效流量确定为更新后的平均有效流量;若所述衰减后的流量超过所述最小有效流量,则将所述衰减后的流量确定为更新后的平均有效流量。
2.根据权利要求1所述的方法,其特征在于,所述获得所述VPN客户端对应的实时流量,包括:
获取需要过滤的协议类型;
获取将要发送到所述VPN服务器以及已接收到所述VPN服务器发送的所有报文;
将所述所有报文中匹配到所述协议类型的报文过滤掉,并计算剩余的报文的实时流量。
3.根据权利要求1所述的方法,其特征在于,所述利用平均有效流量判断所述实时流量是否有效,包括:
计算所述实时流量与所述平均有效流量的比值;
将所述比值与第二预设阈值进行比较;
若所述比值超过所述第二预设阈值,则确定所述实时流量有效;
若所述比值不超过所述第二预设阈值,则确定所述实时流量无效。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述实时流量有效,则将所述有效统计次数加1;
所述利用有效统计次数确定保持或者清除所述超时定时器的统计时间,包括:
从有效统计次数被更新为0开始计时,在达到预设时间之后,将当前的有效统计次数与第三预设阈值进行比较;
若所述有效统计次数超过所述第三预设阈值,则清除所述超时定时器的统计时间,并将所述有效统计次数更新为0;
若所述有效统计次数不超过所述第三预设阈值,则保持所述超时定时器的统计时间,并将所述有效统计次数更新为0。
5.一种连接断开装置,其特征在于,所述装置应用于虚拟专用网络VPN客户端上,所述装置包括:
设置单元,用于设置超时定时器;
获得单元,用于获得所述VPN客户端对应的实时流量;
处理单元,用于利用平均有效流量判断所述实时流量是否有效;若无效,则保持所述超时定时器的统计时间;若有效,则利用有效统计次数保持或者清除所述超时定时器的统计时间;
判断单元,用于判断所述超时定时器的统计时间是否超过第一预设阈值;
断开单元,用于当判断结果为是时,断开所述VPN客户端与VPN服务器之间的连接;
其中,所述装置还包括:
平均有效流量更新单元,用于在确定所述实时流量有效时,将流量更新次数加1,并利用如下公式计算更新后的平均有效流量:((流量更新次数-1)*更新前的平均有效流量+实时流量)/流量更新次数;在确定所述实时流量无效时,将所述平均有效流量降低预设数值,以获得衰减后的流量;将所述衰减后的流量与最小有效流量进行比较;若所述衰减后的流量不超过所述最小有效流量,则将所述最小有效流量确定为更新后的平均有效流量;若所述衰减后的流量超过所述最小有效流量,则将所述衰减后的流量确定为更新后的平均有效流量。
6.根据权利要求5所述的装置,其特征在于,
所述获得单元,具体用于获取需要过滤的协议类型;获取将要发送到所述VPN服务器以及已接收到所述VPN服务器发送的所有报文;将所述所有报文中匹配到所述协议类型的报文过滤掉,并计算剩余的报文的实时流量。
7.根据权利要求5所述的装置,其特征在于,
所述处理单元,具体用于在利用平均有效流量判断所述实时流量是否有效的过程中,计算所述实时流量与所述平均有效流量的比值;将所述比值与第二预设阈值进行比较;若所述比值超过所述第二预设阈值,则确定所述实时流量有效;若所述比值不超过所述第二预设阈值,则确定所述实时流量无效。
8.根据权利要求5所述的装置,其特征在于,所述装置,还包括:
次数更新单元,用于当所述实时流量有效时,将所述有效统计次数加1;
所述处理单元,具体用于在利用有效统计次数确定保持或者清除所述超时定时器的统计时间的过程中,从有效统计次数被更新为0开始计时,在达到预设时间之后,将当前的有效统计次数与第三预设阈值进行比较;若所述有效统计次数超过所述第三预设阈值,则清除所述超时定时器的统计时间,并将所述有效统计次数更新为0;若所述有效统计次数不超过所述第三预设阈值,则保持所述超时定时器的统计时间,并将所述有效统计次数更新为0。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610137427.5A CN105939241B (zh) | 2016-03-10 | 2016-03-10 | 连接断开方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610137427.5A CN105939241B (zh) | 2016-03-10 | 2016-03-10 | 连接断开方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105939241A CN105939241A (zh) | 2016-09-14 |
| CN105939241B true CN105939241B (zh) | 2019-03-15 |
Family
ID=57151924
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610137427.5A Active CN105939241B (zh) | 2016-03-10 | 2016-03-10 | 连接断开方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105939241B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106533845A (zh) * | 2016-12-27 | 2017-03-22 | 海尔优家智能科技(北京)有限公司 | 一种长连接状态监控方法和装置 |
| CN109587028B (zh) * | 2018-11-29 | 2021-11-26 | 麒麟合盛网络技术股份有限公司 | 一种控制客户端流量的方法和装置 |
| CN109951332B (zh) * | 2019-03-19 | 2022-04-05 | 江河瑞通(北京)技术有限公司 | 基于非对等网络的边缘计算设备组网方法、装置及系统 |
| CN114741422A (zh) * | 2022-06-09 | 2022-07-12 | 深圳华锐分布式技术股份有限公司 | 查询请求方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102143150A (zh) * | 2010-12-10 | 2011-08-03 | 华为技术有限公司 | 一种获取媒体内容的方法、设备及系统 |
| CN103944912A (zh) * | 2014-04-28 | 2014-07-23 | 东华大学 | 一种防范网络中各种新兴和未知攻击行为的方法 |
| CN104320425A (zh) * | 2014-08-28 | 2015-01-28 | 海视云(北京)科技有限公司 | 消息的接收与发送方法及装置 |
| CN104348659A (zh) * | 2013-08-08 | 2015-02-11 | 富士通株式会社 | 多跳网络的故障检测方法和节点 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9781214B2 (en) * | 2013-04-08 | 2017-10-03 | Amazon Technologies, Inc. | Load-balanced, persistent connection techniques |
-
2016
- 2016-03-10 CN CN201610137427.5A patent/CN105939241B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102143150A (zh) * | 2010-12-10 | 2011-08-03 | 华为技术有限公司 | 一种获取媒体内容的方法、设备及系统 |
| CN104348659A (zh) * | 2013-08-08 | 2015-02-11 | 富士通株式会社 | 多跳网络的故障检测方法和节点 |
| CN103944912A (zh) * | 2014-04-28 | 2014-07-23 | 东华大学 | 一种防范网络中各种新兴和未知攻击行为的方法 |
| CN104320425A (zh) * | 2014-08-28 | 2015-01-28 | 海视云(北京)科技有限公司 | 消息的接收与发送方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105939241A (zh) | 2016-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11606381B2 (en) | Creating aggregate network flow time series in network anomaly detection systems | |
| CN105939241B (zh) | 连接断开方法及装置 | |
| AU2004282937B2 (en) | Policy-based network security management | |
| EP2433401B1 (en) | Dynamic management of network flows | |
| CN101505219B (zh) | 一种防御拒绝服务攻击的方法和防护装置 | |
| US6801503B1 (en) | Progressive and distributed regulation of selected network traffic destined for a network node | |
| US11570107B2 (en) | Method and system for triggering augmented data collection on a network device based on traffic patterns | |
| US10659327B2 (en) | Network traffic analysis | |
| CN106254261B (zh) | 流量检测的方法和装置 | |
| EP3300332A1 (en) | Automated ddos attack mitigation via bgp messaging | |
| CN109617912B (zh) | 一种采用多个域名智能切换防DDoS攻击的装置 | |
| WO2018103665A1 (zh) | 基于l2tp的设备管理方法、设备及系统 | |
| CN109756520B (zh) | 动态访问控制方法、设备及计算机可读存储介质 | |
| KR20160118813A (ko) | 이동통신망을 통해 원격 서버와 연결되는 게이트웨이 장치 및 그것의 ip관리 방법 | |
| CN107547561B (zh) | 一种进行ddos攻击防护处理的方法及装置 | |
| EP3490227A1 (en) | Internet reachability detection and internet high availability for multi-homed network devices | |
| CN110809065B (zh) | 基于IPv6的无IP网络通信方法及其电子设备、存储介质 | |
| CN103795590B (zh) | 一种网络流量检测阈值的计算方法 | |
| EP3435615A1 (en) | Network service implementation method, service controller, and communication system | |
| CN110798448B (zh) | 一种无ip网络通信方法及其装置、电子设备、存储介质 | |
| TWI703835B (zh) | 用於虛擬機網路卡之供裝監控系統及方法 | |
| CN114448653A (zh) | 策略执行方法、相关装置以及存储介质 | |
| JP2005086566A (ja) | トラヒック量の推定方法及びこれを利用したパケット廃棄防止方法 | |
| CN111866003A (zh) | 一种终端的风险评估方法和装置 | |
| CN110311932A (zh) | 一种私有云远程控制网关的方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |