CN102045379B - 一种进行ip存储的方法、系统和存储设备 - Google Patents
一种进行ip存储的方法、系统和存储设备 Download PDFInfo
- Publication number
- CN102045379B CN102045379B CN2009102358000A CN200910235800A CN102045379B CN 102045379 B CN102045379 B CN 102045379B CN 2009102358000 A CN2009102358000 A CN 2009102358000A CN 200910235800 A CN200910235800 A CN 200910235800A CN 102045379 B CN102045379 B CN 102045379B
- Authority
- CN
- China
- Prior art keywords
- data source
- source device
- session
- access port
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种进行IP存储的方法、系统和存储设备,在存储设备上预先配置发现(Discovery)会话访问端口和常规(Normal)会话访问端口,其中Discovery会话访问端口设置在安全网络中。存储设备通过Discovery会话访问端口与数据源装置进行Discovery会话;如果通过Normal会话访问端口接收到所述数据源装置发起的Normal会话,则判断存储设备中配置的访问控制列表(ACL)表项中是否包含数据源装置的IP地址,如果是,通过Normal会话访问端口与数据源装置进行Normal会话以接受数据源装置的数据读写;否则拒绝通过Normal会话访问端口与数据源装置进行Normal会话。本发明能够保证存储设备的安全且减小网络安全的处理压力。
Description
技术领域
本发明涉及网络通信中的存储技术,特别涉及一种进行IP存储的方法、系统和存储设备。
背景技术
随着IP技术的不断发展和数据存储需求的日益激烈,基于IP的存储技术得到了飞速发展,其中,基于IP的数据存储一般采用基于Internet的小型计算机系统接口(iSCSI)技术。iSCSI是一种基于传输控制协议(TCP)/网际协议(IP)的小型计算机系统接口(SCSI)传输协议,用于数据源和存储设备之间通过IP网络传输SCSI命令和数据,目前iSCSI技术已标准化且在业界取得广泛的应用。
图1为iSCSI协议的一个典型应用示意图,在应用服务器中安装数据源装置(Initiator),在存储设备中预先将存储区域网络(SAN)资源分配给各数据源装置,通常将分配给数据源装置的SAN资源称为目标资源(target)。数据源装置对存储设备进行访问,例如进行数据的写入和读取,主要包括两个会话过程:发现(Discovery)会话和常规(Normal)会话。在Discovery会话中,数据源装置主动与存储设备建立传输控制协议(TCP)连接,存储设备将分配给该数据源装置的SAN资源信息发送给数据源装置,即数据源装置在Discover会话过程中获取到target信息,该target信息可以包括:target的IP地址、target的名称和对应的SAN资源信息等。在Normal会话中,数据源装置利用获取到的target的IP地址向存储设备发起Normal会话,与每个target建立TCP连接后,根据获取的SAN资源信息对分配给该数据源装置的SAN资源进行数据访问。
由以上过程可以看出,由于存储设备既具有信令交互功能又具有数据交互功能,也就是说,存储设备同时扮演信令控制中枢和存储资源两种角色,且数据源设备可以与存储设备的任意端口建立TCP连接进行信令交互和数据交互,这就给存储设备的网络安全部署带来了一定的困难。如果要保证存储设备的网络安全,需要将存储设备放置在安全网络中,例如放置在防火墙的后面,数据源设备对存储设备的访问需要通过防火墙,但存储的数据流也必须穿过防火墙,无论对于信令和数据流都需要进行安全处理,这显然给防火墙带来较大的处理压力。
发明内容
有鉴于此,本发明提高了一种进行IP存储的方法、系统和存储设备,以便于保证存储设备的安全且减小网络安全的处理压力。
一种进行IP存储的方法,应用于包含数据源装置和存储设备的系统,所述存储设备上预先配置了Discovery会话访问端口和Normal会话访问端口,其中Discovery会话访问端口设置在安全网络中,该方法包括:
A、所述存储设备通过所述Discovery会话访问端口与所述数据源装置进行Discovery会话;
B、如果通过所述Normal会话访问端口接收到所述数据源装置发起的Normal会话,则判断设置在存储设备中的访问控制列表ACL表项中是否包含所述数据源装置的IP地址,如果是,通过所述Normal会话访问端口与所述数据源装置进行Normal会话以接受所述数据源装置的数据读写;否则拒绝通过所述Normal会话访问端口与所述数据源装置进行Normal会话。
一种存储设备,该存储设备上预先配置了Discovery会话访问端口和Normal会话访问端口,其中Discovery会话访问端口设置在安全网络中,该存储设备包括:
Discovery会话单元,用于通过所述Discovery会话访问端口与数据源装置进行Discovery会话;
Normal会话单元,用于如果通过所述Normal会话访问端口接收到所述数据源装置发起的Normal会话,则判断设置在该存储设备中的ACL表项中是否包含所述数据源装置的IP地址,如果是,通过所述Normal会话访问端口与所述数据源装置进行Normal会话以接受所述数据源装置的数据读写;否则拒绝通过所述Normal会话访问端口与所述数据源装置进行Normal会话。
一种进行IP存储的系统,该系统包括:数据源装置和存储设备;所述存储设备上预先配置了Discovery会话访问端口和Normal会话访问端口,其中Discovery会话访问端口设置在安全网络中;
所述数据源装置,用于向所述存储设备上的Discovery会话访问端口发起Discovery会话;向所述存储设备上的Normal会话访问端口发起Normal会话;
所述存储设备,用于通过所述Discovery会话访问端口与所述数据源装置进行Discovery会话;如果通过所述Normal会话访问端口接收到所述数据源装置发起的Normal会话,则判断设置在该存储设备中的ACL表项中包含所述数据源装置的IP地址,如果是,通过所述Normal会话访问端口与所述数据源装置进行Normal会话以接受所述数据源装置的数据读写;否则拒绝通过所述Normal会话访问端口与所述数据源装置进行Normal会话。
由以上技术方案可以看出,本发明采用将Discovery会话访问端口和Normal会话访问端口分离的方式,实现Discovery会话的信令流和Normal会话的数据流分离,通过将Discovery会话访问端口设置在安全网络中,例如受防火墙的保护,实现信令流的安全;通过Normal会话访问端口接收到数据源装置发起的Normal会话时,查找ACL表项,仅允许IP地址在ACL表项中的数据源设备访问Normal会话访问端口,实现数据流的安全。并且,这种方式使得数据流的安全保护不会对诸如防火墙等安全网络带来处理压力。
附图说明
图1为iSCSI协议的一个典型应用示意图;
图2为本发明提供的一个组网实例图;
图3为本发明提供的第一种方式的流程图;
图4为本发明提供的现有Discovery会话的流程图;
图5为本发明提供的修改后的Discovery会话流程图;
图6为本发明提供的第二种方式的流程图;
图7为本发明提供的存储设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明提供的方法主要包括:预先在存储设备上配置Discovery会话访问端口和Normal会话访问端口,其中Discovery会话访问端口设置在安全网络中;存储设备通过Discovery会话访问端口与数据源装置进行Discovery会话;如果通过Normal会话访问端口接收到数据源装置发起的Normal会话,则判断设置在存储设备中的访问控制列表(ACL)表项中是否包含数据源装置的IP地址,如果是,通过Normal会话访问端口与数据源装置进行Normal会话以接受该数据源装置的数据读写;否则,拒绝通过Normal会话访问端口与数据源装置进行Normal会话。
在本发明中可以将存储系统中用于Discovery会话的端口和用于Normal会话的端口分开,某些端口固定用于Discovery会话且设置在安全网络中,例如设置在防火墙的后面受防火墙的保护,或者设置在私有的安全网络中等,数据源装置需要通过安全网络与用于Discovery会话建立连接;而其他的端口固定用于Normal会话,设置在不安全的网络中即可,合法的数据源设备可以直接与用于Normal会话的端口建立连接。
实现本发明上述方法可以采用以下两种方式:
第一种方式:预先在数据源装置上配置存储设备上的Discovery会话访问端口的IP地址,通过Discovery会话将存储设备上的Normal会话访问端口的IP地址告知数据源装置。其网络结构图可以如图2所示,存储设备的端口A作为Discovery会话访问端口,固定用于Discovery会话且有防火墙的保护,存储设备的端口B、C和D作为Normal会话访问端口,固定用于Normal会话且没有防火墙的保护。其具体过程可以如图3所示,包括以下步骤:
步骤301:数据源装置1根据预先配置的Discovery会话访问端口的IP地址,向存储设备的端口A发起Discovery会话。
由于在存储设备上端口A固定用于Discovery会话,因此,可以预先在各数据源装置上配置Discovery会话访问端口的IP地址,即存储设备上端口A的IP地址,使得各数据源装置进行IP存储时,首先向存储设备的端口A发起Discovery会话。
由于端口A位于防火墙后面,受防火墙的保护,因此,其安全性可以通过防火墙来保证。
步骤302:在Discovery会话中存储设备从端口B、C和D中为数据源装置1分配Normal会话访问端口,将该Normal会话访问端口的IP地址发送给数据源装置1。
该Discovery会话的流程可以与现有技术中相同,如图4所示,在该Discovery会话流程中,如果没有为该数据源装置1分配target,则结束Discovery会话,并结束本发明的流程。如果为该数据源装置1分配了target,则存储设备将分配给该数据源装置1的target信息发送给数据源装置1,同时从端口B、C和D中分配Normal会话访问端口给数据源装置1,将该Normal会话访问端口的IP地址发送给数据源装置1。
需要说明的是,在Discovery会话中将Normal会话访问端口的IP地址发送给数据源装置1,实际上是告知数据源装置1将该Normal会话访问端口的IP地址作为目的IP地址向该Normal会话访问端口发起Normal会话,由于现有技术中,数据源装置是按照获取的target的IP地址发起Normal会话的,因此,在本发明中可以将Normal会话访问端口的IP地址作为target的IP地址发送给数据源装置1。
另外,在本发明中,存储设备上的各Normal会话访问端口可以分别具有不同的IP地址,也可以采用聚合的一个IP地址。
步骤303:存储设备建立包含从Discovery会话中获取的数据源装置IP地址的ACL表项。
存储设备在Discovery会话中为数据源装置分配target通常是按照数据源装置的名字进行的,因此,存储设备可以在Discovery会话中获取到数据源装置的IP地址后,存储数据源装置的名称和IP地址之间的对应关系,假设数据源装置1的名称为rd-tc,IP地址为20.20.20.100,则建立的对应关系可以如表1所示。
表1
| 数据源名称 | 数据源的IP地址 |
| rd-tc | 20.20.20.100 |
本发明中可以针对所有端口增加一块特定用途集成电路(ASIC)芯片,在该ASIC芯片实现对各端口的访问控制,其中默认受防火墙保护的端口可以接收任何TCP报文,没有受防火墙保护的端口拒绝任何TCP报文;也可以针对B、C和D分别设置ASIC芯片,在每一个ASIC芯片上设置ACL表项,初始默认阻止任何数据源装置对端口B、C和D的访问。除了ASIC芯片之外,还可以采用增加CPU或者现场可编程门阵列(FPGA)等方式。
本发明是通过在存储设备上配置ACL表项来实现对数据源装置访问Normal会话访问端口的安全过滤,如果在步骤302中,存储设备将端口B分配给数据源装置1作为Normal会话访问端口,数据源装置1按照从Discovery会话中获取的target的IP地址,即端口B的IP地址,向端口B发起Normal会话。
如果数据源装置1的IP地址为20.20.20.100,则在ASIC芯片上设置包含数据源装置1的IP地址的ACL表项,该ACL表项指示允许接收源IP地址为20.20.20.100且目的TCP端口号为3260的TCP报文。其中,3260为Normal会话的统一目的TCP端口号。
针对数据源装置2如果执行上述方法,假设在Discovery会话中为数据源装置2分配的Normal会话访问端口也为端口C,数据源装置2根据从Discovery会话中获取的target的IP地址,即端口C的IP地址,向存储设备的端口C发起Normal会话。如果数据源装置2的IP地址为20.20.20.200,则在存储设备中设置包含数据源装置2的IP地址的ACL表项,该ACL表项指示允许接收源IP地址为20.20.20.200且目的TCP端口号为3260的TCP报文。
实际上,存储设备不仅仅对于数据源装置发起的Normal会话按照ACL表项进行过滤,对所有的TCP报文都会按照ACL表项进行过滤,即只要通过Normal会话访问端口接收到TCP报文,则会判断该TCP报文的源IP地址是否包含在该ACL表项中,如果是,对该TCP报文进行处理,否则不处理该TCP报文。
步骤304:数据源装置1结束Discovery会话后,通过为其分配的Normal会话访问端口与存储设备进行Normal会话,以对为其分配的target进行数据读写。
数据源装置1在结束Discovery会话后,通过为其分配的Normal会话访问端口,例如端口B,按照获取的target名称与为其分配的各target建立TCP连接,然后对为其分配的target进行数据读写。
步骤305:存储设备结束Normal会话后,删除该数据源装置1的IP地址所对应的ACL表项。
由于Normal会话是按照数据源装置的名称进行的,因此,结束Normal会话完成数据读写后,存储设备按照存储数据源装置的名称和IP地址之间的对应关系确定数据源装置的IP地址,并删除包含该数据源装置的IP地址的ACL表项,然后删除上述如表1所示的对应关系。然后,存储设备恢复拒绝数据源装置1发起的访问。
至此图3所述流程结束。
另外,在该第一种方式中,为了更进一步保证安全,防止冒用IP地址进行的攻击,存储设备在与数据源装置进行Discovery会话时,除了获取数据源装置的IP地址之外,还可以获取数据源装置用于进行Normal会话的源TCP端口信息。这种情况下,可以对Discovery会话的流程稍加修改,如图5所示,在存储设备将target信息发送给数据源装置之后,向数据源装置询问进行Normal会话的源TCP端口信息;数据源装置将用于进行Normal会话的源TCP端口信息发送给存储设备。其中,数据源装置上用于进行Normal会话的源TCP端口可以是一个,也可以是多个。例如,当分配给该数据源装置的target为N个时,数据源装置可以为后续的Normal会话TCP连接预留N个源TCP端口,使用该N个源TCP端口分别与N个target建立N个TCP连接。
存储设备接收到数据源装置发送的用于Normal会话的源TCP端口信息后,将该源TCP端口信息也加入包含该数据源装置的IP地址的ACL表项中,此时ACL表项可以指示允许接收源IP地址为该数据源装置的IP地址、源TCP端口为该数据源装置分配的用于Normal会话的源TCP端口且目的TCP端口为3260的报文。仍以数据源装置1为例,假设数据源装置1的IP地址为20.20.20.100,其分配的用于Normal会话的源TCP端口号为4425和4426,则存储设备可以建立两个ACL表项,分别用于指示:
允许接收源IP地址为20.20.20.100,源TCP端口号为4425且目的TCP端口号为3260的TCP报文;
允许接收源IP地址为20.20.20.100,源TCP端口号为4426且目的TCP端口号为3260的TCP报文。
完成Discovery会话后,数据源装置1利用端口号为4425和4426的两个TCP端口与存储设备进行Normal会话,数据源装置按照获取的target名称与为其分配的各target建立TCP连接,然后对为其分配的target进行数据读写。数据源装置在完成与一个target的Normal会话后,将该Normal会话对应的ACL表项删除。例如,数据源装置1采用源TCP端口4425的Normal会话结束,则删除指示允许接收源IP地址为20.20.20.100,源TCP端口为4425且目的TCP端口号为3260的TCP报文的ACL表项。
待该数据源装置1的所有Normal会话都结束后,存储设备删除该数据源装置1的名称和IP地址之间的对应关系。
为了增加可靠性和充分利用带宽,数据源装置在与存储设备进行Normal会话的过程中,可以增加多个TCP连接,即数据源装置上用于Normal会话的源TCP端口,数据源装置可以在Normal会话过程中将增加的用于Normal会话的源TCP端口信息发送给存储设备,存储设备建立包含增加的源TCP端口的ACL表项。这样,数据源装置就可以与存储设备之间增加多个TCP连接,从而增加数据读写的带宽;也可以在已有的TCP连接故障后,利用增加的TCP连接进行数据读写,从而避免重新进行Discovery会话所带来的资源消耗。
第二种方式:预先在数据源装置上配置存储设备上用于Discovery会话的端口IP地址和用于Normal会话的端口IP地址。其网络结构仍可以如图2所示。该种方式的具体过程可以如图6所示,包括以下步骤:
步骤601:数据源装置1根据预先配置的Discovery会话访问端口IP地址,向存储设备的端口A发起Discovery会话。
由于在存储设备上端口A固定用于Discovery会话,因此,可以预先在各数据源装置上配置Discovery会话访问端口IP地址,即存储设备上端口A的IP地址,使得各数据源装置进行IP存储时,首先与存储设备的端口A进行Discovery会话。
由于端口A位于防火墙后面,受防火墙的保护,因此,其安全性可以通过防火墙来保证。
该Discovery会话的流程可以与现有技术中相同,采用如图4所示的流程,数据源装置1在此过程中获取到存储设备为该数据源装置1分配的target信息。
步骤602:数据源装置1根据预先配置的Normal会话访问端口的IP地址,向存储设备上的Normal会话访问端口发起Normal会话。
由于在该种方式中,存储设备上的Normal会话访问端口的IP地址是预先配置在数据源装置1上的,假设预先在数据源装置1上配置存储设备上的端口B的IP地址,则数据源装置1向存储设备的端口B发起Normal会话。
步骤603:存储设备根据预先配置的ACL表项,确定是否允许该数据源装置1的Normal会话,如果允许,则数据源装置1与存储设备进行Normal会话,以对为其分配的target进行数据读写。
在该种方式中,可以手工在存储设备上配置包含数据源装置的IP地址的ACL表项,以此杜绝非法数据源装置对存储设备进行数据读写。
假设数据源装置1的IP地址为20.20.20.100,数据源装置1上配置的Normal会话访问端口为存储设备的端口B,则与第一种方式中相同,可以在存储设备上预先配置包含20.20.20.100的ACL表项,该ACL表项用于指示允许接收源IP地址为20.20.20.100且目的TCP端口号为3260的TCP报文。
另外,也可以预先配置数据源装置1上用于Normal会话的源TCP端口,则此时在存储设备上配置的ACL表项还包括该数据源装置1上用于进行Normal会话的源TCP端口信息,例如配置数据源装置1上用于Normal会话的源TCP端口号为4425和4426,则在存储设备上预先手工配置两个ACL表项,分别用于指示:
允许接收源IP地址为20.20.20.100,源TCP端口号为4425且目的TCP端口号为3260的TCP报文;
允许接收源IP地址为20.20.20.100,源TCP端口号为4426且目的TCP端口号为3260的TCP报文。
存储设备接收到数据源装置1发起的Normal会话后,利用配置的ACL表项确定是否与该数据源装置1进行Normal会话。
步骤604:数据源装置1完成数据读写后结束Normal会话。
在第二种方式中,由于ACL表项是手工配置的,因此,在结束Normal会话后并不会删除该ACL表项。
至此图6所示流程结束。
以上是对本发明所提供的方法进行的详细描述,下面对本发明提供的系统和存储设备进行详细描述。本发明提供的系统主要包括:数据源装置和存储设备;存储设备上预先配置了Discovery会话访问端口和Normal会话访问端口,其中Discovery会话访问端口设置在安全网络中。
数据源装置,用于向存储设备上的Discovery会话访问端口发起Discovery会话;向存储设备上的Normal会话访问端口发起Normal会话。
存储设备,用于通过Discovery会话访问端口与数据源装置进行Discovery会话;如果通过Normal会话访问端口接收到数据源装置发起的Normal会话,则判断设置在存储设备中的ACL表项中是否包含数据源装置的IP地址,如果是,通过Normal会话访问端口与数据源装置进行Normal会话以接受数据源装置的数据读写;否则拒绝通过Normal会话访问端口与数据源装置进行Normal会话。
其中,数据源装置根据预先配置的Discovery会话访问端口的IP地址,向存储设备上的Discovery会话访问端口发起Discovery会话。
上述ACL表项的配置方式可以有两种:
第一种:包含数据源装置的IP地址的ACL表项是手工配置的。
此时,数据源装置根据预先配置的Normal会话访问端口的IP地址,向存储设备上的Normal会话访问端口发起Normal会话。
第二种:存储设备从Discovery会话中获取数据源装置的IP地址,生成包含数据源装置的IP地址的ACL表项;在Discovery会话中,如果确定为数据源装置分配了target,则将Normal会话访问端口的IP地址发送给数据源装置;结束Normal会话后删除包含数据源装置的IP地址的ACL表项。
具体地,存储设备可以在Discovery会话中将Normal会话访问端口地IP地址作为target的IP地址发送给数据源装置。
此时,数据源装置按照存储设备发送的Normal会话访问端口的IP地址,向存储设备上的Normal会话访问端口发起Normal会话。
在第二种方式中,数据源装置还可以用于在Discovery会话中将自身用于Normal会话的源TCP端口信息发送给存储设备。
存储装置,还用于从Discovery会话中获取数据源装置用于Normal会话的源TCP端口信息,生成包含数据源装置的IP地址和数据源装置用于Normal会话的源TCP端口信息的ACL表项;在通过Normal会话访问端口与数据源装置进行Normal会话之前,判断数据源装置发起Normal会话的源TCP端口信息是否存在于包含数据源装置的IP地址的ACL表项中,如果是,则继续执行存储设备通过Normal会话访问端口与数据源装置进行Normal会话;否则,拒绝通过Normal会话访问端口与数据源装置进行Normal会话。
另外,存储设备,还可以用于在获取数据源装置的IP地址后,建立数据源装置的名称和IP地址之间的对应关系;结束Normal会话后,根据对应关系确定数据源装置的名称对应的IP地址,以删除包含数据源装置的IP地址的ACL表项;结束与数据源装置的所有Normal会话后,删除对应关系。
图7为本发明提供的存储设备的结构示意图,如图7所示,该存储设备上预先配置了Discovery会话访问端口和Normal会话访问端口,其中Discovery会话访问端口设置在安全网络中,该存储设备可以包括:Discovery会话单元700和Normal会话单元710。
Discovery会话单元700,用于通过Discovery会话访问端口与数据源装置进行Discovery会话。
Normal会话单元710,用于如果通过Normal会话访问端口接收到数据源装置发起的Normal会话,则判断ACL表项中是否包含数据源装置的IP地址,如果是,通过Normal会话访问端口与数据源装置进行Normal会话以接受数据源装置的数据读写;否则拒绝通过Normal会话访问端口与数据源装置进行Normal会话。
需要说明的是,该存储设备中的Discovery会话访问端口和Normal会话访问端口均可以是一个或多个,图中以一个Discovery会话访问端口和三个Normal会话访问端口为例。
其中,Discovery会话访问端口受防火墙的保护,或者Discovery会话访问端口设置在私有网络中。
更进一步地,该存储设备还可以包括:表项处理单元720。
Discovery会话单元700,还可以用于从Discovery会话中获取数据源装置的IP地址,并将数据源装置的IP地址提供给表项处理单元720;在Discovery会话中,如果确定为数据源装置分配了target,则将该存储设备上的Normal会话访问端口的IP地址发送给数据源装置。
表项处理单元720,用于生成包含数据源装置的IP地址的ACL表项,在结束Normal会话后,删除ACL表项。
该Discovery会话单元700发送的Normal会话访问端口的IP地址可以是一个Normal会话访问端口的IP地址,也可以是多个Normal会话访问端口聚合的IP地址。
更优地,Discovery会话单元700,还可以用于从Discovery会话中获取数据源装置用于Normal会话的源TCP端口,并将数据源装置用于Normal会话的源TCP端口信息提供给表项处理单元720。
表项处理单元720生成的ACL表项中还包含数据源装置用于Normal会话的源TCP端口。
此时,Normal会话单元710可以包括:第一判断子单元711、第二判断子单元712和会话处理子单元713。
第一判断子单元711,用于判断该存储设备中设置的ACL表项中是否包含数据源装置的IP地址,如果是,向第二判断子单元712发送判断通知,否则,向会话处理子单元713发送拒绝通知。
第二判断子单元712,用于判断数据源装置发起Normal会话的源TCP端口是否存在于包含数据源装置的IP地址的ACL表项中,如果是,向会话处理子单元713发送执行通知,否则,向会话处理子单元713发送拒绝通知。
会话处理子单元713,用于接收到执行通知后,通过Normal会话访问端口与数据源装置进行Normal会话;接收到拒绝通知后,拒绝通过Normal会话访问端口与数据源装置进行Normal会话。
更优地,该存储设备还可以包括:对应关系处理单元730,用于在Discovery会话单元700获取数据源装置的IP地址后,建立数据源装置的名称和IP地址之间的对应关系;接收到删除通知后,删除上述对应关系。
Normal会话单元710结束Normal会话后,根据对应关系确定数据源装置的名称对应的IP地址,删除包含数据源装置的IP地址的ACL表项,并向对应关系处理单元730发送删除通知。
由以上描述可以看出,本发明采用将Discovery会话访问端口和Normal会话访问端口分离的方式,实现Discovery会话的信令流和Normal会话的数据流分离,通过将Discovery会话访问端口设置在安全网络中,例如受防火墙的保护,实现信令流的安全;通过Normal会话访问端口接收到数据源装置发起的Normal会话时,查找ACL表项,仅允许IP地址在ACL表项中的数据源设备访问Normal会话访问端口,实现数据流的安全。并且,这种方式使得数据流的安全保护不会对诸如防火墙等安全网络带来处理压力。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (18)
1.一种进行IP存储的方法,应用于包含数据源装置和存储设备的系统,其特征在于,所述存储设备上预先配置了发现Discovery会话访问端口和常规Normal会话访问端口,其中Discovery会话访问端口设置在安全网络中,该方法包括:
A、所述存储设备通过所述Discovery会话访问端口与所述数据源装置进行Discovery会话;
B、如果通过所述Normal会话访问端口接收到所述数据源装置发起的Normal会话,则判断设置在存储设备中的访问控制列表ACL表项中是否包含所述数据源装置的IP地址,如果是,通过所述Normal会话访问端口与所述数据源装置进行Normal会话以接受所述数据源装置的数据读写;否则拒绝通过所述Normal会话访问端口与所述数据源装置进行Normal会话。
2.根据权利要求1所述的方法,其特征在于,Discovery会话访问端口设置在安全网络中包括:所述Discovery会话访问端口受防火墙的保护,或者所述Discovery会话访问端口设置在私有网络中。
3.根据权利要求1所述的方法,其特征在于,在所述步骤A之前还包括:所述数据源装置根据预先配置的Discovery会话访问端口的IP地址,向所述存储设备上的Discovery会话访问端口发起Discovery会话。
4.根据权利要求1至3任一权项所述的方法,其特征在于,所述ACL表项的设置包括:手工在所述存储设备上配置包含所述数据源装置的IP地址的ACL表项;
所述数据源装置根据预先配置的Normal会话访问端口的IP地址,向所述存储设备上的Normal会话访问端口发起Normal会话。
5.根据权利要求1至3任一权项所述的方法,其特征在于,所述ACL表项的设置包括:所述存储设备从步骤A中的所述Discovery会话中获取所述数据源装置的IP地址,并生成包含所述数据源装置的IP地址的ACL表项;
所述存储设备在步骤A中的所述Discovery会话中,如果确定为所述数据源装置分配了存储资源,则将Normal会话访问端口的IP地址发送给所述数据源装置,所述数据源装置按照存储设备发送的所述Normal会话访问端口的IP地址,向所述存储设备上的Normal会话访问端口发起Normal会话;
所述存储设备结束所述Normal会话后删除包含所述数据源装置的IP地址的ACL表项。
6.根据权利要求5所述的方法,其特征在于,所述存储设备从步骤A中的所述Discovery会话中还获取所述数据源装置用于Normal会话的源TCP端口信息,存储设备生成的所述ACL表项中还包含所述源TCP端口信息;
在步骤B中所述存储设备通过所述Normal会话访问端口与所述数据源装置进行Normal会话之前还包括:所述存储设备判断所述数据源装置发起Normal会话的源TCP端口信息是否存在于包含所述数据源装置的IP地址的ACL表项中,如果是,则继续执行所述存储设备通过所述Normal会话访问端口与所述数据源装置进行Normal会话;否则,拒绝通过所述Normal会话访问端口与所述数据源装置进行Normal会话,结束流程;
所述存储设备结束所述Normal会话后删除包含所述数据源装置的IP地址的ACL表项包括:所述存储设备结束所述Normal会话中与一个源TCP端口的TCP连接后,删除同时包含所述数据源装置的IP地址和结束Normal会话的源TCP端口的ACL表项。
7.根据权利要求5所述的方法,其特征在于,所述存储设备从步骤A中的所述Discovery会话中获取所述数据源装置的IP地址后,建立所述数据源装置的名称和IP地址之间的对应关系;
所述存储设备结束所述Normal会话后,且删除包含所述数据源装置的IP地址的ACL表项之前还包括:根据所述对应关系确定所述数据源装置的名称对应的IP地址;
在存储设备结束与所述数据源装置的所有Normal会话后,删除所述对应关系。
8.一种存储设备,其特征在于,该存储设备上预先配置了Discovery会话访问端口和Normal会话访问端口,其中Discovery会话访问端口设置在安全网络中,该存储设备包括:
Discovery会话单元,用于通过所述Discovery会话访问端口与数据源装置进行Discovery会话;
Normal会话单元,用于如果通过所述Normal会话访问端口接收到所述数据源装置发起的Normal会话,则判断设置在该存储设备中的ACL表项中是否包含所述数据源装置的IP地址,如果是,通过所述Normal会话访问端口与所述数据源装置进行Normal会话以接受所述数据源装置的数据读写;否则拒绝通过所述Normal会话访问端口与所述数据源装置进行Normal会话。
9.根据权利要求8所述的存储设备,其特征在于,所述Discovery会话访问端口受防火墙的保护,或者所述Discovery会话访问端口设置在私有网络中。
10.根据权利要求8或9所述的存储设备,其特征在于,该存储设备还包括:表项处理单元;
所述Discovery会话单元,还用于从所述Discovery会话中获取所述数据源装置的IP地址,并将所述数据源装置的IP地址提供给所述表项处理单元;在所述Discovery会话中,如果确定为所述数据源装置分配了存储资源,则将该存储设备上的Normal会话访问端口的IP地址发送给所述数据源装置;
所述表项处理单元,用于生成包含所述数据源装置的IP地址的ACL表项,在结束所述Normal会话后,删除所述ACL表项。
11.根据权利要求10所述的存储设备,其特征在于,所述Discovery会话单元,还用于从所述Discovery会话中获取所述数据源装置用于Normal会话的源TCP端口信息,并将所述数据源装置用于Normal会话的源TCP端口信息提供给所述表项处理单元;
所述表项处理单元生成的所述ACL表项中还包含所述数据源装置用于Normal会话的源TCP端口信息;
所述Normal会话单元包括:第一判断子单元、第二判断子单元和会话处理子单元;
所述第一判断子单元,用于判断该存储设备的ACL表项中是否包含所述数据源装置的IP地址,如果是,向所述第二判断子单元发送判断通知,否则,向所述会话处理子单元发送拒绝通知;
所述第二判断子单元,用于判断所述数据源装置发起Normal会话的源TCP端口信息是否存在于包含所述数据源装置的IP地址的ACL表项中,如果是,向所述会话处理子单元发送执行通知,否则,向所述会话处理子单元发送拒绝通知;
所述会话处理子单元,用于接收到执行通知后,通过所述Normal会话访问端口与所述数据源装置进行Normal会话;接收到拒绝通知后,拒绝通过所述Normal会话访问端口与所述数据源装置进行Normal会话。
12.根据权利要求10所述的存储设备,其特征在于,该存储设备还包括:对应关系处理单元,用于在所述Discovery会话单元获取所述数据源装置的IP地址后,建立所述数据源装置的名称和IP地址之间的对应关系;接收到删除通知后,删除所述对应关系;
所述Normal会话单元结束所述Normal会话后,根据所述对应关系确定所述数据源装置的名称对应的IP地址,删除所述包含所述数据源装置的IP地址的ACL表项,并向所述对应关系处理单元发送删除通知。
13.一种进行IP存储的系统,其特征在于,该系统包括:数据源装置和存储设备;所述存储设备上预先配置了Discovery会话访问端口和Normal会话访问端口,其中Discovery会话访问端口设置在安全网络中;
所述数据源装置,用于向所述存储设备上的Discovery会话访问端口发起Discovery会话;向所述存储设备上的Normal会话访问端口发起Normal会话;
所述存储设备,用于通过所述Discovery会话访问端口与所述数据源装置进行Discovery会话;如果通过所述Normal会话访问端口接收到所述数据源装置发起的Normal会话,则判断设置在该存储设备中的ACL表项中是否包含所述数据源装置的IP地址,如果是,通过所述Normal会话访问端口与所述数据源装置进行Normal会话以接受所述数据源装置的数据读写;否则拒绝通过所述Normal会话访问端口与所述数据源装置进行Normal会话。
14.根据权利要求13所述的系统,其特征在于,所述数据源装置根据预先配置的Discovery会话访问端口的IP地址,向所述存储设备上的Discovery会话访问端口发起Discovery会话。
15.根据权利要求13或14所述的系统,其特征在于,包含所述数据源装置的IP地址的ACL表项是手工配置的;
所述数据源装置根据预先配置的Normal会话访问端口的IP地址,向所述存储设备上的Normal会话访问端口发起Normal会话。
16.根据权利要求13或14所述的系统,其特征在于,所述存储设备,还用于从所述Discovery会话中获取所述数据源装置的IP地址,并生成包含所述数据源装置的IP地址的ACL表项;在所述Discovery会话中,如果确定为所述数据源装置分配了存储资源,则将Normal会话访问端口的IP地址发送给所述数据源装置;结束所述Normal会话后删除包含所述数据源装置的IP地址的ACL表项;
所述数据源装置按照存储设备发送的所述Normal会话访问端口的IP地址,向所述存储设备上的Normal会话访问端口发起Normal会话。
17.根据权利要求16所述的系统,其特征在于,所述数据源装置还用于在所述Discovery会话中将自身用于Normal会话的源TCP端口发送给所述存储设备;
所述存储装置,还用于从所述Discovery会话中获取所述数据源装置用于Normal会话的源TCP端口,生成包含所述数据源装置的IP地址和所述源TCP端口信息的ACL表项;在通过所述Normal会话访问端口与所述数据源装置进行Normal会话之前,判断所述数据源装置发起Normal会话的源TCP端口是否存在于包含所述数据源装置的IP地址的ACL表项中,如果是,则继续执行所述存储设备通过所述Normal会话访问端口与所述数据源装置进行Normal会话;否则,拒绝通过所述Normal会话访问端口与所述数据源装置进行Normal会话。
18.根据权利要求16所述的系统,其特征在于,所述存储设备,还用于在获取所述数据源装置的IP地址后,建立所述数据源装置的名称和IP地址之间的对应关系;结束所述Normal会话后,根据所述对应关系确定所述数据源装置的名称对应的IP地址,以删除包含所述数据源装置的IP地址的ACL表项;结束与所述数据源装置的所有Normal会话后,删除所述对应关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102358000A CN102045379B (zh) | 2009-10-15 | 2009-10-15 | 一种进行ip存储的方法、系统和存储设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102358000A CN102045379B (zh) | 2009-10-15 | 2009-10-15 | 一种进行ip存储的方法、系统和存储设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102045379A CN102045379A (zh) | 2011-05-04 |
| CN102045379B true CN102045379B (zh) | 2013-01-02 |
Family
ID=43911145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102358000A Expired - Fee Related CN102045379B (zh) | 2009-10-15 | 2009-10-15 | 一种进行ip存储的方法、系统和存储设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102045379B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101236991B1 (ko) * | 2011-10-24 | 2013-02-25 | 한국전자통신연구원 | 하드디스크 암호화를 위한 장치 및 방법 |
| CN103092798B (zh) | 2012-12-28 | 2016-05-25 | 华为技术有限公司 | 片上系统及总线下的访问设备的方法 |
| CN103425940A (zh) * | 2013-08-16 | 2013-12-04 | 广东电网公司中山供电局 | 一种数据库安全加固方法及装置 |
| CN105763599B (zh) * | 2016-01-13 | 2019-03-15 | 新华三技术有限公司 | 一种ipsan下的t-cdp实现方法及装置 |
| CN106533808B (zh) * | 2016-12-28 | 2020-02-07 | 苏州浪潮智能科技有限公司 | 基于mcs的链路聚合方法及装置 |
| CN107968825B (zh) * | 2017-11-28 | 2021-06-29 | 新华三技术有限公司 | 一种报文转发控制方法及装置 |
| CN111695150B (zh) * | 2020-05-15 | 2023-07-28 | 浙江信网真科技股份有限公司 | 一种动态粒度自聚合的安全过滤方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885817A (zh) * | 2006-06-08 | 2006-12-27 | 杭州华为三康技术有限公司 | 一种网际存储区域网络ip san的访问方法及交换机 |
-
2009
- 2009-10-15 CN CN2009102358000A patent/CN102045379B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885817A (zh) * | 2006-06-08 | 2006-12-27 | 杭州华为三康技术有限公司 | 一种网际存储区域网络ip san的访问方法及交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102045379A (zh) | 2011-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102045379B (zh) | 一种进行ip存储的方法、系统和存储设备 | |
| US7770208B2 (en) | Computer-implemented method, apparatus, and computer program product for securing node port access in a switched-fabric storage area network | |
| CN106790758B (zh) | 一种访问nat网络内部的网络对象的方法及装置 | |
| CN102739411B (zh) | 提供证明服务 | |
| EP1484860A1 (en) | Automatic discovery and configuration of external network devices | |
| EP3352431A1 (en) | Network load balance processing system, method, and apparatus | |
| US20180242154A1 (en) | System and method for automatic provisioning of multi-tenant wireless local area networks | |
| US20120195188A1 (en) | Control method of virtual link discovery and system for fibre channel over ethernet protocol | |
| CN102761534B (zh) | 实现媒体接入控制层透明代理的方法和装置 | |
| US20190319923A1 (en) | Network data control method, system and security protection device | |
| CN101917444A (zh) | 一种ip源地址绑定表项的创建方法、装置及交换机 | |
| EP2218214B1 (en) | Network location service | |
| CN112769837A (zh) | 基于WebSocket的通信传输方法、装置、设备、系统及存储介质 | |
| CN102916826A (zh) | 网络接入的控制方法及装置 | |
| CN107613023B (zh) | 设备连接方法及装置 | |
| CN101119383B (zh) | 目标端和发起端建立iSCSI会话的方法及设备 | |
| CN102281263B (zh) | 一种建立iSCSI会话的方法和iSCSI发起方 | |
| CN113420007A (zh) | 数据库访问的审计处理方法、装置及电子设备 | |
| WO2009021424A1 (en) | A device and method for handling messages | |
| CN106936608B (zh) | 一种建立ssh连接的方法、相关设备及系统 | |
| CN101621526B (zh) | 一种防止无用连接占用系统资源的iSCSI方法及装置 | |
| CN107547680B (zh) | 一种数据处理方法及装置 | |
| WO2015139633A1 (en) | Data transmission method and apparatus | |
| CN114362976A (zh) | 一种裸机的对接存储方法、装置及系统 | |
| US8560638B2 (en) | Systems and methods for changing the address of an interface |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130102 Termination date: 20201015 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |