一種實現安全網關服務質量的方法
2023-05-15 20:24:51 1
專利名稱:一種實現安全網關服務質量的方法
技術領域:
本發明涉及通信技術領域,尤其涉及一種實現安全網關服務質量的方法。
背景技術:
隨著網絡的飛速發展,網絡資源越來越豐富,應用範圍越來越廣,而網絡的通訊速 度直接影響了訪問網絡資源的質量。支持QoS(服務質量)功能的網絡設備可以幫助優化 網絡流量,合理規劃帶寬資源。對於安全網關產品,用戶經常需要限制某種應用的帶寬或者為一些核心業務提供 保證帶寬,但目前大多數安全網關產品配置QoS時都需要基於出接口進行QoS配置,並需要 分清用戶的上下行使用的不同的出接口 ;並且一旦用戶更換了接口,就需要重新配置,使用 和維護十分不便。
發明內容
鑑於上述的分析,本發明旨在提供一種實現安全網關服務服務質量的方法,用以 解決現有技術中基於出接口進行QoS配置存在的使用和維護不方便的問題。本發明的目的主要是通過以下技術方案實現的本發明提供了一種實現安全網關服務質量的方法,包括預定義限制類型隊列參數和保證類型隊列參數;在安全網關中創建一個虛擬接口,在該虛擬接口的下一級上以令牌桶的方式創建 至少一個限制類型隊列,並配置限制類型隊列參數;同時在虛擬接口下創建一個或多個出 接口 CE,在每個出接口 CE下創建至少一個保證類型隊列CRL以及創建一個def隊列,並且 配置保證類型隊列參數;當安全網關接收到數據包後,將該數據包插入相應的限制類型隊列或者保證類型 隊列中等待出隊;根據預定調度策略對該數據包進行調度出隊,當限制類型隊列的數據包出隊時, 檢測該數據包的目的出接口下是否有保證類型業務如果該數據包的目的出接口下不存在 def隊列,則該數據包直接出隊;如果該數據包的目的出接口下存在def隊列,則將該數據 包插入到對應出接口的def隊列中等待發送。進一步地,所述方法還包括當安全網關接收到數據包後,根據預定匹配條件進行 匹配,匹配成功後,根據匹配結果確定將數據包插入相應的限制類型隊列或者保證類型隊 列中等待發送。進一步地,所述限制類型隊列參數包括限制帶寬參數;所述保證類型隊列參數 包括保證帶寬、限制帶寬、出接口和出接口帶寬、隊列的優先級。其中,所述預定調度策略包括按照從最底層到高層,從高優先級到低優先級的順 序、選擇有足夠令牌的隊列進行出隊。本發明有益效果如下
本發明對於限制類型業務不需要提供出接口,大大簡化了安全網關QoS的配置方 式。本發明的其他特徵和優點將在隨後的說明書中闡述,並且,從說明書中變得顯而 易見,或者通過實施本發明而了解。本發明的目的和其他優點可通過在所寫的說明書、權利 要求書、以及附圖中所特別指出的結構來實現和獲得。
圖1為本發明所述方法的流程示意圖;圖2為本發明所述方法中,限制類型隊列和保證類型隊列的結構示意圖;圖3為本發明實施例的示意圖。
具體實施例方式下面結合附圖來具體描述本發明的優選實施例,其中,附圖構成本申請一部分,並 與本發明的實施例一起用於闡釋本發明的原理。為了清楚和簡化目的,當其可能使本發明 的主題模糊不清時,將省略本文所描述的器件中已知功能和結構的詳細具體說明。首先結合附圖對本發明所述方法進行詳細說明。如圖1所示,圖1為本發明所述方法的流程示意圖,具體可以包括如下步驟步驟101 預定義QoS隊列(包括限制類型隊列和保證類型隊列)參數;具體的說 就是,對於限制類型隊列只需要配置限制帶寬參數;對於保證類型隊列需要配置保證帶 寬,限制帶寬,出接口和出接口帶寬,隊列的優先級;步驟102 在安全網關中創建一個虛擬接口,在該虛擬接口上創建限制類型隊列 和保證類型隊列;其中,創建限制類型隊列的具體過程包括在虛擬接口的下一級上以令牌桶的方式創建限制類型隊列,每個限制類型業務都 相當於一個令牌桶節點CL,同時配置限制類型隊列參數是限制類業務要求的限制帶寬值;創建保證類型隊列的具體過程包括在虛擬接口下創建一個或多個出接口隊列CE,CE隊列的參數是出接口帶寬值,並 且在每個出接口隊列CE下創建一個或多個保證類型隊列CRL,保證類型隊列參數是保證類 業務要求的保證帶寬值和限制帶寬值;同時在每個出接口隊列CE下創建一個def (默認) 隊列,def隊列的保證帶寬值為出接口的帶寬減去所有在此接口下的保證用戶的帶寬值之 和,也就是此接口的剩餘帶寬值;根據步驟102所述過程創建的限制類型隊列和保證類型隊列的結構如圖2所示。步驟103 安全網關接收到數據包後,首先根據預定的匹配條件進行匹配,匹配成 功後,根據匹配結果到QoS配置庫中查詢該數據包屬於步驟102創建的哪個隊列,並將該數 據包插入相應的限制類型隊列或者保證類型隊列中等待發送;其中,匹配過程具體可以包 括首先需要用戶定義匹配條件,以及滿足此匹配條件的業務流所對應的QoS隊列。 其中,安全網關中所提供的識別手段都可以作為匹配條件,如基於五元組、基於應用程式或 基於報文內容。收到數據包後,匹配模塊根據用戶定義的匹配條件,對業務流進行匹配,如
4果滿足匹配條件則在此業務流上標記上對應的QoS隊列的ID,對於匹配不上業務流的處理 分下面兩種情況1)業務流的目的出口存在於步驟102所創建的隊列中,則在此業務流標記上此接 口 def的隊列ID。2)業務流的目的出口不存在於步驟102所創建的隊列中,則在此業務流不做任何標記。接下來所有打上ID的業務流都會進入步驟102中所定義的虛擬接口設備,根據不 同的ID進入對應的隊列進行排隊。沒有打上ID的業務流屬於不需要做QoS的業務流,不 經過QoS模塊處理直接發送。步驟104 根據預定調度策略進行調度出隊;具體的說就是,調度策略是從最底層 到高層,從高優先級到低優先級的順序、選擇有足夠令牌的隊列進行出隊;特別的,限制類型隊列的數據包出隊時,要對數據包的目的出接口(邏輯接口或 者物理接口)下是否有保證類型業務進行檢測如果該數據包的目的出接口下不存在def 隊列,則此數據包可以直接出隊;如果該數據包的目的出接口下存在def隊列,則該數據包 還要插入到對應出接口的def隊列中等待發送,此種情況下,限制類數據流的最大速率受 兩個隊列限制,第一是受限制類隊列自身的最大速率限制,第二是受目的出接口下def隊 列的限制,這就做到了對於限制類型的業務配置時與接口無關,同時又不會影響保證業務 的帶寬。為了便於理解本發明所述方法,下面將舉個具體的例子進行進一步說明。如圖3所示,圖3為本發明實施例的示意圖,其中包括保證業務類型隊列Ul (如 VOIP業務流)和限制業務類型隊列U2(如p2p業務流);其中,Ul承諾保證流量1M,限制流 量2M ;U2限制流量1. 5M。配置Ul時需要提供的數據 保證帶寬值IM 限制帶寬值2M 出接口 eth0(由於是在ethO接口上提供保證帶寬,需要設置ethO的有效帶 寬2M);配置U2時需要提供的數據限制帶寬值1. 5M (此處本發明的優勢限制帶寬並不需要提供出接口參數,無論 U2發向哪個目的出口,其最大帶寬不會超過限制帶寬1. 5M)。設定Rl表示Ul進入安全網關速率,rl表示Ul流出安全網關的速率;同時設定R2 表示U2進入安全網關速率,r2表示U2流出安全網關的速率。情況一 U2業務流的目的出接口下不存在def隊列,即目的出接口下不存在保證 業務的情況(對於本例是非ethO的接口),r2受U2隊列限制帶寬的控制,最大速率是1.5M。情況二 U2的目的出接口下存在def隊列的情況(對於本例是ethO接口);保證 業務rl可以達到保證帶寬1M,在沒有其他業務流使用帶寬時,可以達到Ul的限制帶寬2M; 限制業務r2的最大速率不會超過U2的限制帶寬或ethO下當前剩餘帶寬兩者之間的小者, 用公式表示如下r2 <= min [U2,def]。
下表主要是為表明Rl與R2間的關係不同時,rl、r2的值。 綜上所述,本發明提供了一種實現安全網關服務質量的方法,本發明所述方法對 於限制類型業務不需要提供出接口,同時還不影響保證業務的帶寬。以往的安全網關QoS 配置,都是基於出接口進行配置的,管理員要很清楚,待配置的用戶的上下行出接口分別是 哪個接口,並且在對應接口上配置QoS策略。採用本發明,就可以在訪問控制中或QoS配置 中直接指定每個用戶上下行的QoS策略,大大簡化了安全網關QoS的配置方式。以上所述,僅為本發明較佳的具體實施方式
,但本發明的保護範圍並不局限於此, 任何熟悉本技術領域的技術人員在本發明揭露的技術範圍內,可輕易想到的變化或替換, 都應涵蓋在本發明的保護範圍之內。因此,本發明的保護範圍應該以權利要求書的保護範 圍為準。
權利要求
一種實現安全網關服務質量的方法,其特徵在於,包括預定義限制類型隊列參數和保證類型隊列參數;在安全網關中創建一個虛擬接口,在該虛擬接口的下一級上以令牌桶的方式創建至少一個限制類型隊列,並配置限制類型隊列參數;同時在虛擬接口下創建一個或多個出接口CE,在每個出接口CE下創建至少一個保證類型隊列CRL以及創建一個def隊列,並且配置保證類型隊列參數;當安全網關接收到數據包後,將該數據包插入相應的限制類型隊列或者保證類型隊列中等待出隊;根據預定調度策略對該數據包進行調度出隊,當限制類型隊列的數據包出隊時,檢測該數據包的目的出接口下是否有保證類型業務如果該數據包的目的出接口下不存在def隊列,則該數據包直接出隊;如果該數據包的目的出接口下存在def隊列,則將該數據包插入到對應出接口的def隊列中等待發送。
2.根據權利要求1所述的方法,其特徵在於,所述方法還包括當安全網關接收到數據 包後,根據預定匹配條件進行匹配,匹配成功後,根據匹配結果確定將數據包插入相應的限 制類型隊列或者保證類型隊列中等待發送。
3.根據權利要求1所述的方法,其特徵在於,所述限制類型隊列參數包括限制帶寬參 數;所述保證類型隊列參數包括保證帶寬、限制帶寬、出接口和出接口帶寬、隊列的優先 級。
4.根據權利要求1所述的方法,其特徵在於,所述預定調度策略包括按照從最底層到 高層,從高優先級到低優先級的順序、選擇有足夠令牌的隊列進行出隊。
全文摘要
本發明公開了一種實現安全網關服務質量的方法,包括預定義限制類型隊列參數和保證類型隊列參數;創建一個虛擬接口,在虛擬接口的下一級上創建至少一個限制類型隊列;同時在虛接口下創建一個或多個出接口CE,在每個出接口CE下創建至少一個保證類型隊列CRL以及創建一個def隊列;安全網關將數據包插入相應的限制類型隊列或者保證類型隊列中等待出隊;當限制類型隊列的數據包出隊時,檢測該數據包的目的出接口下是否有保證類型業務如果該數據包的目的出接口下不存在def隊列,則該數據包直接出隊;否則,將該數據包插入到對應出接口的def隊列中;本發明對於限制類型業務不需要提供出接口,大大簡化了安全網關QoS的配置方式。
文檔編號H04L12/56GK101909015SQ20101026335
公開日2010年12月8日 申請日期2010年8月26日 優先權日2010年8月26日
發明者李瑋, 郎衛鵬 申請人:北京天融信科技有限公司