[发明专利]一种虚拟专用网络用户服务质量控制方法和设备

说明书

技术领域

本发明涉及网络通信技术领域，特别是涉及一种虚拟专用网络用户服务质量控制方法和设备。

背景技术

虚拟专用网络(Virtual Private Network，VPN)是一种在公共网络上建立的专用网络，它是通过特殊加密的通信协议、在位于公共网络上不同地址的两个或多个企业的内部网之间所建立的专有的远程安全访问通道。企业只需要租用本地的数据专线，连接上本地的因特网(Internet)，企业各分支机构与企业的内部网之间就可以建立安全可信的连接，以保证数据的安全传输。使用VPN有节省成本、提供远程访问、扩展性强、便于管理等优点。

安全套接层虚拟专用网络(Security Socket Layer Virtual Private Network，SSLVPN)是一种基于安全套接层协议建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术，其应用随着互联网的普及和电子商务、远程办公的兴起而发展迅速。

现有技术中，远端用户可以通过WEB浏览器或SSL隧道访问SSLVPN网关。当大量的远端用户进行在线访问时，由于广域网的带宽是有限的，如果不进行服务质量(Quality of Service，QOS)控制，就会出现一个用户占用大部分广域网侧带宽或者出现多个用户抢占带宽的情况。这时在网络上的数据队列长度将会增加，导致数据包延迟增加，进而导致部分用户报文传输不稳定、TCP重传发生次数增多、业务出现断续甚至完全中断的结果。另外，如果不进行QOS控制，一些对实时性要求较高的业务(例如语音业务)，会因调度不当导致丢包、发生重传，使得业务效果不可接受，例如出现语音通话延迟、声音不可辨识等情况，并且造成网络资源的浪费。因此，为了使SSLVPN业务不受到网络延迟或阻塞等问题的影响，需要一种有效的服务质量QOS控制机制保证网络的畅通与业务的正常进行。QOS策略可以在网络过载或拥塞时，确保重要网络业务数据不受延迟的影响或遭到丢弃，同时保证网络的高效运行，充分利用网络资源。

现有技术中存在一种基于SSLVPN的用户服务质量控制方法，这种方法通过带宽预留的方法保证SSLVPN业务在广域网出口占用的总带宽。SSLVPN网关在广域网有一个固定开放的IP地址和端口(PORT)，可以针对此IP地址和端口设置一个QOS策略，该策略通过控制访问此IP地址和端口的流量的带宽，并优选调度此IP地址和端口收发的报文，来保证SSLVPN业务总的服务质量。

在实现本发明的过程中，发明人发现现有技术中至少存在如下问题：现有技术提供的方法只能保障SSLVPN业务总的服务质量，并不能够针对不同用户实施服务质量控制，因此无法解决各个用户间带宽抢占以及优先调度高优先级数据转发的问题，无法保证重要业务的正常进行，网络资源利用率低。

发明内容

为解决上述技术问题，本发明实施例提供了一种虚拟专用网络用户服务质量控制方法和设备，可以识别出进入SSLVPN网关的流量所归属的用户，并针对不同的用户实施服务质量控制，合理利用带宽，确保重要业务的正常进行。

一方面，本发明实施例提供了一种虚拟专用网络用户服务质量控制方法，所述方法包括：

网关接收报文，获取所述报文的地址信息；

根据所述报文的地址信息判断所述报文是否归属于已知的连接或流，如果所述报文属于已知的连接或流，确定所述报文对应的用户；其中，所述网关记录有已知的流或连接与用户的对应关系；

根据用户与服务质量策略的对应关系确定所述用户的服务质量策略，根据所述服务质量策略对所述报文执行服务质量控制。

另一方面，本发明实施例提供了一种虚拟专用网络设备，所述设备包括：

存储器，用于记录已知的流或连接与用户的对应关系以及用户与服务质量策略的对应关系；

获取模块，用于网关接收报文，获取所述报文的地址信息；

识别模块，用于根据所述报文的地址信息判断所述报文是否归属于已知的连接或流，如果所述报文属于已知的连接或流，根据存储器中记录的已知的流或连接与用户的对应关系确定所述报文对应的用户；

第一处理模块，用于根据存储器中记录的用户与服务质量策略的对应关系确定所述用户的服务质量策略，根据所述服务质量策略对所述报文执行服务质量控制。