一種基於sslvpn的數據轉發方法和設備的製作方法

2023-11-06 05:58:57

專利名稱：一種基於ssl vpn的數據轉發方法和設備的製作方法
技術領域：
本發明涉及通信技術領域，特別是涉及一種基於SSL VPN的數據轉發方法和設備。
背景技術：
SSL (Security Socket Layer，安全嵌套字層)VPN (Virtual Private Network，虛 擬專用網絡)是新興的VPN技術，以HTTPSGecure Hyper Text Transfer Protocol，安全 超文本傳輸協議，即支持SSL的HTTP協議)為基礎，廣泛應用在基於Web的遠程安全接入 中，為客戶端遠程訪問公司內部網絡提供了安全保證。SSL VPN的典型組網架構如圖1所示，管理員在SSL VPN網關上創建企業的內網 伺服器所對應的資源，遠程接入用戶(即客戶端)訪問內網伺服器時，與SSL VPN網關建立 HTTPS連接，選擇需要訪問的資源，並由SSL VPN網關將請求轉發給內網伺服器，從而達到 保護內網伺服器的目的。現有技術中，基於SSL VPN網關的數據轉發過程包括客戶端請求數據的過程和 內網伺服器響應請求的過程，其中(1)客戶端請求數據的過程包括客戶端根據配置的SSL VPN網關的埠(企業 自定義VPN的私有埠)和公網IP位址，向SSL VPN網關發送連接請求，如果SSL VPN網 關檢查到接收連接請求的埠類型為SSL VPNTurmel (隧道)接口，則將連接請求經由軟轉 發模塊發送至協議棧Socket (套接字)處理，之後發送到SSL VPN模塊進行解封裝，剝去 VPN公網頭部，獲取內網數據，並由SSL解密算法完成解密處理，重新發送至軟轉發模塊，由 軟轉發模塊將經過解封裝的數據或請求發送給內網伺服器處理。(2)內網伺服器響應請求的過程包括SSL VPN網關接收到內網伺服器的響應數 據後，將響應數據反饋給軟轉發模塊，如果軟轉發模塊根據路由表檢查到當前出接口類型 為SSL VPN Tunnel接口，則將響應數據發送給SSLVPN模塊進行加密處理，封裝VPN公網頭 部，並發送至協議棧Socket處理，之後經過SSL VPN Tunnel出接口發送給客戶端。在實現本發明的過程中，發明人發現現有技術中至少存在以下問題現有技術中沒有辦法針對客戶端下發QoS(Quality of krvice，服務質量)，在有 大量客戶端在線的情況下，瞬間流量會很大(如單個網頁大小500K左右，當50個客戶端同 時訪問時，瞬間流量達到24M)，而由於無法實現QoS，會影響客戶端的接收流量，嚴重影響 用戶感受。

發明內容
本發明提供一種基於SSL VPN的數據轉發方法和設備，以對客戶端進行區分，並執 行相應的QoS。為了達到上述目的，本發明提供一種基於安全嵌套字層SSL虛擬專用網絡VPN的 數據轉發方法，應用於包括SSL VPN設備、客戶端和內網伺服器的系統中，所述SSL VPN設 備為所述客戶端建立的對應會話表項包含服務質量QoS標識，該方法包括以下步驟當所述SSL VPN設備接收到內網伺服器向客戶端發送的數據時，所述SSL VPN設備通過數據中 攜帶的地址信息查找會話表項，並通過查找到會話表項中對應的QoS標識信息對客戶端的 數據進行區分，並對區分後的數據進行基於QoS策略的轉發處理。所述SSL VPN設備為所述客戶端建立的對應會話表項包含服務質量QoS標識，具 體包括預先記錄QoS標識信息與客戶端信息的對應關係；所述SSLVPN設備在接收到客戶 端進行SSL VPN應用的數據時，根據數據中攜帶的客戶端信息查找是否存在對應的QoS標 識信息；如果存在對應的QoS標識信息，所述SSL VPN設備為所述客戶端建立會話表項，並 將查找到的QoS標識信息記錄到所述會話表項中；如果不存在對應的QoS標識信息，所述 SSL VPN設備判斷是否為客戶端提供SSL VPN服務，如果是，則為所述客戶端建立會話表項， 並將QoS標識信息設為空記錄到所述會話表項中。所述SSL VPN設備通過數據中攜帶的地址信息查找會話表項，並通過查找到會話 表項中對應的QoS標識信息對客戶端的數據進行區分，並對區分後的數據進行基於QoS策 略的轉發處理，具體包括所述SSL VPN設備通過數據中攜帶的地址信息查找會話表項，將 查找到會話表項中對應的QoS標識信息記錄到該數據對應內存緩衝區MBUF的控制頭部分； 所述SSL VPN設備從所述MBUF的控制頭部分獲得所述QoS標識信息，並通過獲得的QoS標 識信息對該數據進行區分，並對區分後的數據進行基於QoS策略的轉發處理。通過查找到會話表項中對應的QoS標識信息對客戶端的數據進行區分之前，進一 步包括所述SSL VPN設備判斷是否需要利用QoS標識信息對內網伺服器發送給客戶端的 數據進行處區分處理，如果是，所述SSL VPN設備通過QoS標識信息對客戶端的數據進行區 分。需要利用QoS標識信息對內網伺服器發送給客戶端的數據進行區分處理，具體包 括當向客戶端發送數據的埠的帶寬佔用情況達到預設閾值時，所述SSL VPN設備觸發 利用QoS標識信息對數據進行區分處理；或者，所述SSL VPN設備根據設定的QoS類型滿足 條件時觸發利用QoS標識信息對數據進行區分處理。一種SSL VPN設備，應用於包括所述SSL VPN設備、客戶端和內網伺服器的系統 中，所述SSL VPN設備包括維護模塊，用於為所述客戶端建立對應會話表項，且會話表項 中包含服務質量QoS標識；查找模塊，用於當接收到內網伺服器向客戶端發送的數據時， 通過數據中攜帶的地址信息查找會話表項；處理模塊，用於通過查找到會話表項中對應的 QoS標識信息對客戶端的數據進行區分，並對區分後的數據進行基於QoS策略的轉發處 理。所述維護模塊，具體用於預先記錄QoS標識信息與客戶端信息的對應關係；在接 收到客戶端進行SSL VPN應用的數據時，根據數據中攜帶的客戶端信息查找是否存在對應 的QoS標識信息；如果存在對應的QoS標識信息，為所述客戶端建立會話表項，並將查找到 的QoS標識信息記錄到所述會話表項中；如果不存在對應的QoS標識信息，判斷是否為客戶 端提供SSL VPN服務，如果是，則為所述客戶端建立會話表項，並將QoS標識信息設為空記 錄到所述會話表項中。所述處理模塊，具體用於將查找到會話表項中對應的QoS標識信息記錄到該數據 對應內存緩衝區MBUF的控制頭部分；從所述MBUF的控制頭部分獲得所述QoS標識信息，並 通過獲得的QoS標識信息對該數據進行區分，並對區分後的數據進行基於QoS策略的轉發處理。所述處理模塊，具體用於判斷是否需要利用QoS標識信息對內網伺服器發送給客 戶端的數據進行處區分處理，如果是，則通過QoS標識信息對客戶端的數據進行區分。需要利用QoS標識信息對內網伺服器發送給客戶端的數據進行區分處理，具體 為當向客戶端發送數據的埠的帶寬佔用情況達到預設閾值時，觸發利用QoS標識信息 對數據進行區分處理；或者，根據設定的QoS類型滿足條件時觸發利用QoS標識信息對數據 進行區分處理。與現有技術相比，本發明至少具有以下優點SSL VPN設備可根據客戶端的類型為客戶端設定QoS標識，並基於QoS標識信息對 客戶端進行區分，執行相應的QoS策略，從而可合理利用網絡帶寬，最大限度保證重要客戶 端和對實時性要求高的客戶端的數據不丟失；確保沒有建立會話表現的流量不佔用帶寬， 提高設備安全性。


圖1是現有技術中SSLVPN的典型組網架構示意圖；圖2是本發明提供的一種基於SSL VPN的數據轉發方法流程圖；圖3是本發明提出的一種SSL VPN設備結構圖。
具體實施例方式本發明提出一種基於SSL VPN的數據轉發方法，該方法應用於包括SSLVPN設備、 客戶端和內網伺服器的系統中，下面結合附圖，對本發明具體實施方式
進行詳細說明。以圖 1為參考網絡模型圖，SSL VPN設備在圖1中為SSL VPN網關，客戶端通過hternet網絡連 接到SSL VPN網關，繼而連接到內網伺服器。本發明中，在SSL VPN設備上定義客戶端時，可根據客戶端的類型(如重要客 戶端、對實時性要求高的客戶端等)為客戶端設定QoS標識信息，該QoS標識信息以 qos-local-id值(實際應用中qos-local-id值可為1-4095之間的任意數據)為例，使得 QoS分類器可以基於qos-local-id值對各種類型客戶端的數據進行區分。實際應用中QoS 標識信息並不局限於qos-local-id值，本發明中不再贅述。基於上述設置的qos-local-id值，在為客戶端建立會話表項(SSL VPN設備根據 此會話表項對數據進行加密、解密和轉發處理)時，SSL VPN設備將在相應的會話表項中記 錄 qos-local-id 值。具體的，預先記錄客戶端信息與qos-local-id值的對應關係，在SSL握手認證通 過後，SSL VPN設備根據接收到客戶端進行SSL VPN應用的數據中攜帶的客戶端信息(如 用戶名)查找是否存在對應的qos-local-id值。如果存在對應的qos-local-id值，則SSL VPN設備為客戶端建立會話表項，將查 找到的qos-local-id值記錄到會話表項中；如果不存在對應的qos-local-id值，則SSL VPN設備判斷是否為客戶端提供SSL VPN服務，如果是，則為客戶端建立會話表項，並將 qos-local-id值設為空(Null)記錄到會話表項中；否則，SSL VPN設備丟棄接收到的數據， 中斷會話。如表1所示，為客戶端的會話表項，qos-local-id值為對應的設定值或為空，公網地址、公網埠、私網地址、私網埠可從數據中獲得，其他欄位本發明中不再贅述。表 權利要求
1.一種基於安全嵌套字層SSL虛擬專用網絡VPN的數據轉發方法，應用於包括SSL VPN 設備、客戶端和內網伺服器的系統中，其特徵在於，所述SSL VPN設備為所述客戶端建立的 對應會話表項包含服務質量QoS標識，該方法包括以下步驟當所述SSL VPN設備接收到內網伺服器向客戶端發送的數據時，所述SSL VPN設備通 過數據中攜帶的地址信息查找會話表項，並通過查找到會話表項中對應的QoS標識信息對 客戶端的數據進行區分，並對區分後的數據進行基於QoS策略的轉發處理。
2.如權利要求1所述的方法，其特徵在於，所述SSLVPN設備為所述客戶端建立的對應 會話表項包含服務質量QoS標識，具體包括預先記錄QoS標識信息與客戶端信息的對應關係；所述SSL VPN設備在接收到客戶端進行SSL VPN應用的數據時，根據數據中攜帶的客 戶端信息查找是否存在對應的QoS標識信息；如果存在對應的QoS標識信息，所述SSL VPN設備為所述客戶端建立會話表項，並將查 找到的QoS標識信息記錄到所述會話表項中；如果不存在對應的QoS標識信息，所述SSL VPN設備判斷是否為客戶端提供SSL VPN 服務，如果是，則為所述客戶端建立會話表項，並將QoS標識信息設為空記錄到所述會話表 項中。
3.如權利要求1所述的方法，其特徵在於，所述SSLVPN設備通過數據中攜帶的地址 信息查找會話表項，並通過查找到會話表項中對應的QoS標識信息對客戶端的數據進行區 分，並對區分後的數據進行基於QoS策略的轉發處理，具體包括所述SSLVPN設備通過數據中攜帶的地址信息查找會話表項，將查找到會話表項中對 應的QoS標識信息記錄到該數據對應內存緩衝區MBUF的控制頭部分；所述SSL VPN設備從所述MBUF的控制頭部分獲得所述QoS標識信息，並通過獲得的 QoS標識信息對該數據進行區分，並對區分後的數據進行基於QoS策略的轉發處理。
4.如權利要求1所述的方法，其特徵在於，通過查找到會話表項中對應的QoS標識信息 對客戶端的數據進行區分之前，進一步包括所述SSL VPN設備判斷是否需要利用QoS標識信息對內網伺服器發送給客戶端的數據 進行處區分處理，如果是，所述SSL VPN設備通過QoS標識信息對客戶端的數據進行區分。
5.如權利要求4所述的方法，其特徵在於，需要利用QoS標識信息對內網伺服器發送給 客戶端的數據進行區分處理，具體包括當向客戶端發送數據的埠的帶寬佔用情況達到預設閾值時，所述SSLVPN設備觸發 利用QoS標識信息對數據進行區分處理；或者，所述SSL VPN設備根據設定的QoS類型滿足條件時觸發利用QoS標識信息對數據進行 區分處理。
6.一種SSL VPN設備，應用於包括所述SSL VPN設備、客戶端和內網伺服器的系統中， 其特徵在於，所述SSL VPN設備包括維護模塊，用於為所述客戶端建立對應會話表項，且會話表項中包含服務質量QoS標識；查找模塊，用於當接收到內網伺服器向客戶端發送的數據時，通過數據中攜帶的地址 信息查找會話表項；處理模塊，用於通過查找到會話表項中對應的QoS標識信息對客戶端的數據進行區 分，並對區分後的數據進行基於QoS策略的轉發處理。
7.如權利要求6所述的SSLVPN設備，其特徵在於，所述維護模塊，具體用於預先記錄QoS標識信息與客戶端信息的對應關係；在接收到 客戶端進行SSL VPN應用的數據時，根據數據中攜帶的客戶端信息查找是否存在對應的 QoS標識信息；如果存在對應的QoS標識信息，為所述客戶端建立會話表項，並將查找到的 QoS標識信息記錄到所述會話表項中；如果不存在對應的QoS標識信息，判斷是否為客戶端 提供SSL VPN服務，如果是，則為所述客戶端建立會話表項，並將QoS標識信息設為空記錄 到所述會話表項中。
8.如權利要求6所述的SSLVPN設備，其特徵在於，所述處理模塊，具體用於將查找到會話表項中對應的QoS標識信息記錄到該數據對應 內存緩衝區MBUF的控制頭部分；從所述MBUF的控制頭部分獲得所述QoS標識信息，並通過 獲得的QoS標識信息對該數據進行區分，並對區分後的數據進行基於QoS策略的轉發處理。
9.如權利要求6所述的SSLVPN設備，其特徵在於，所述處理模塊，具體用於判斷是否需要利用QoS標識信息對內網伺服器發送給客戶端 的數據進行處區分處理，如果是，則通過QoS標識信息對客戶端的數據進行區分。
10.如權利要求9所述的SSLVPN設備，其特徵在於，需要利用QoS標識信息對內網服 務器發送給客戶端的數據進行區分處理，具體為當向客戶端發送數據的埠的帶寬佔用情況達到預設閾值時，觸發利用QoS標識信息 對數據進行區分處理；或者，根據設定的QoS類型滿足條件時觸發利用QoS標識信息對數據 進行區分處理。
全文摘要
本發明公開了一種基於SSL VPN的數據轉發方法和設備，該方法包括當SSL VPN設備接收到內網伺服器向客戶端發送的數據時，所述SSL VPN設備通過數據中攜帶的地址信息查找會話表項，並通過查找到會話表項中對應的QoS標識信息對客戶端的數據進行區分，並對區分後的數據進行基於QoS策略的轉發處理。本發明中，可合理利用網絡帶寬，提高設備安全性。
文檔編號H04L12/46GK102143088SQ20111011060
公開日2011年8月3日 申請日期2011年4月29日 優先權日2011年4月29日
發明者趙麗瑞 申請人:杭州華三通信技術有限公司