CN103312525A - 服务器业务网与管理网混合部署系统、服务器和交换机 - Google Patents

服务器业务网与管理网混合部署系统、服务器和交换机 Download PDF

Info

Publication number
CN103312525A
CN103312525A CN2012100574971A CN201210057497A CN103312525A CN 103312525 A CN103312525 A CN 103312525A CN 2012100574971 A CN2012100574971 A CN 2012100574971A CN 201210057497 A CN201210057497 A CN 201210057497A CN 103312525 A CN103312525 A CN 103312525A
Authority
CN
China
Prior art keywords
server
port
address
network segment
vlan
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012100574971A
Other languages
English (en)
Other versions
CN103312525B (zh
Inventor
刘涛
罗枫
王志谦
魏伟
刘宁
张�诚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN201210057497.1A priority Critical patent/CN103312525B/zh
Publication of CN103312525A publication Critical patent/CN103312525A/zh
Application granted granted Critical
Publication of CN103312525B publication Critical patent/CN103312525B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种服务器业务网与管理网的混合部署系统,包括服务器和交换机,服务器的NC-SI接口与交换机的一个端口相连,交换机接收业务网或管理网的数据包,并根据预设配置将数据包发送至服务器,且接收服务器反馈的数据包,并根据预设配置将服务器反馈的数据包发送至业务网的其它服务器或管理网的特权机,服务器的NIC和BMC分别具有第一和第二地址,NC-SI接口与端口相连,且NC-SI接口与NIC和BMC相连,NC-SI接口接收交换机发送的数据包,并根据其目的地址将数据包发送至NIC或BMC。本发明还提出一种服务器和交换机。本发明的实施例节省网络资源,有效降低成本和运维代价,且安全性高。

Description

服务器业务网与管理网混合部署系统、服务器和交换机
技术领域
本发明涉及计算机网络技术领域,特别涉及一种服务器业务网与管理网的混合部署系统、服务器和交换机。
背景技术
在数据中心中,出于安全和管理的需求,一般会部署两套独立的网络(业务网和管理网),分别用于承载业务和日常管理,但是两套网络的并存,增加了硬件成本和运维代价。以目前的业务网和管理网而言,目前普遍采用的独立的业务网和管理网使得服务器需要通过2个网口与交换机之间进行业务网和管理网独立的连接,彼此隔离。
但是,通过将业务网和管理网独立地设置,将有两套网络需要进行运维,对硬件的要求比较苛刻,使硬件的成本加大,且需要对两套网络进行网络运维,增加了网络运维的成本。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一,提出了一种服务器业务网与管理网的混合部署系统、服务器和交换机。
为此,本发明的一个目的在于提出一种服务器业务网与管理网的混合部署系统。该混合部署系统的服务器能够通过一个网口实现与数据网和管理网的混合部署,降低硬件成本且减少运维代价,且具有安全性高的优点。
本发明的另一目的在于提出一种服务器。
本发明的再一目的在于提出一种交换机。
为了实现上述目的,本发明的第一方面实施例提出了一种服务器业务网与管理网的混合部署系统,包括服务器和交换机,所述服务器的NC-SI接口与所述交换机的一个端口相连,所述交换机,用于接收来自业务网或管理网的数据包,并根据预设配置将所述数据包通过所述端口发送至所述服务器,以及接收所述服务器反馈的数据包,并根据所述预设配置将所述服务器反馈的数据包发送至所述业务网的其他服务器,或发送至所述管理网的特权机;其中,所述服务器的网络适配器NIC和所述服务器的基板管理控制器BMC分别具有第一地址和第二地址,所述NC-SI接口与所述的端口相连,且所述NC-SI接口与所述NIC和BMC相连,所述NC-SI接口用于接收所述交换机发送的数据包,并根据所述数据包的目的地址将所述数据包发送至所述NIC或所述BMC。
根据本发明实施例的服务器业务网与管理网的混合部署系统,通过服务器的边带接口NC-SI实现了交换机与服务器的网络适配器NIC和基板管理控制器BMC的相连,且交换机的其它端口与业务网和管理网连接,由此,可以通过服务器的一个网口(边带接口NC-SI)实现服务器与业务网和管理网之间的互联,节省服务器通过两个网口分别承载业务网和管理网流量的开销,由此节省掉传统的整套独立的管理网资源,有效降低硬件成本和运维代价。
本发明第二方面的实施例提出了一种服务器,包括:NIC和BMC,其中,所述NIC和所述BMC分别具有第一地址和第二地址;NC-SI接口,用于接收交换机发送的数据包,并根据所述数据包的目的地址将所述数据包发送至所述NIC或所述BMC。
根据本发明实施例的服务器,通过服务器的边带接口NC-SI能够同时实现交换机与服务器的NIC和BMC的相连,由此,可以通过服务器的一个网口(边带接口NC-SI)同时实现服务器与不同网络之间(例如业务网以及管理网)的互联,节省服务器通过两个网口分别承载业务网和管理网流量的开销,由此节省掉传统的整套独立的管理网资源,有效降低硬件成本和运维代价。
本发明第三方面的实施例提出了一种交换机,包括:第一端口,所述第一端口与服务器相连;第二端口,所述第二端口与业务网和管理网相连;调度模块,用于通过所述第二端口接收来自所述业务网和所述管理网的数据包,并根据预设配置将所述数据包通过所述第一端口发送至所述服务器,以及通过所述第一端口接收所述服务器反馈的数据包,并根据所述预设配置将所述服务器反馈的数据包通过所述第二端口发送至所述业务网的其他服务器,或发送至所述管理网的特权机。
根据本发明实施例的交换机,通过对交换机的预设配置,可以采用两个端口实现如服务器和多个网络之间的连接(如服务器与业务网和管理网的同时互联)由此,可以节省服务器通过两个网口分别承载业务网和管理网流量的开销,由此节省掉传统的整套独立的管理网资源,有效降低硬件成本和运维代价。
本发明第四方面的实施例提出了一种交换机,包括:第一端口,所述第一端口与服务器相连;第二端口,所述第二端口与业务网相连;第三端口,所述第三端口与管理网相连;调度模块,用于通过所述第二端口和第三端口接收来自所述业务网和所述管理网的数据包,并根据预设配置将所述数据包通过所述第一端口发送至所述服务器,以及通过所述第一端口接收所述服务器反馈的数据包,并根据所述预设配置将所述服务器反馈的数据包通过所述第二端口发送至所述业务网的其他服务器,或通过第三端口发送至所述管理网的特权机。
根据本发明实施例的交换机,通过对交换机的预设配置,交换机通过一个端口与服务器相连,可以实现服务器同时与业务网和管理网的同时互联,由此,可以节省服务器通过两个网口分别承载业务网和管理网流量的开销,由此节省掉传统的整套独立的管理网资源,有效降低硬件成本和运维代价。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例的业务网与管理网的混合部署系统的结构图;
图2为本发明一个实施例的业务网与管理网的混合部署系统的示意图;;
图3为本发明另一个实施例的业务网与管理网的混合部署系统的示意图;
图4为图3所示的业务网与管理网的混合部署系统的服务器的NC-SI网卡的配置示意图;
图5为本发明再一个实施例的业务网与管理网的混合部署系统的示意图;以及
图6为本发明第四个实施例的业务网与管理网的混合部署系统的示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,需要理解的是,术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,除非另有规定和限定,需要说明的是,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是机械连接或电连接,也可以是两个元件内部的连通,可以是直接相连,也可以通过中间媒介间接相连,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
参考图1-6,根据本发明实施例的服务器业务网与管理网的混合部署系统100,该系统包括服务器110和交换机120等。
服务器110的NC-SI接口与交换机120的一个端口相连。交换机120用于接收来自业务网130或管理网140的数据包,并根据预设配置将数据包通过上述端口发送至服务器110,以及接收服务器110反馈的数据包,并根据预设配置将服务器110反馈的数据包发送至业务网130的其它服务器,或发送至管理网140的特权机150;其中,服务器110的网络适配器NIC和服务器110的基板管理控制器BMC分别具有第一地址和第二地址,NC-SI接口与上述的端口相连,且NC-SI接口与NIC和BMC相连,NC-SI接口用于接收交换机120发送的数据包,并根据数据包的目的地址将数据包发送至NIC或BMC。
根据本发明实施例的服务器业务网与管理网的混合部署系统100,通过服务器110的边带接口NC-SI实现了交换机120与服务器110的网络适配器NIC和基板管理控制器BMC的相连,且交换机120的其它端口与业务网130和管理网140连接,由此,可以通过服务器110的一个网口(边带接口NC-SI)实现服务器110与业务网130和管理网140之间的互联,节省服务器110通过两个网口分别承载业务网130和管理网140流量的开销,由此节省掉传统的整套独立的管理网资源,有效降低硬件成本和运维代价。
实施例一
参见图2,为发明一个实施例的业务网与管理网的混合部署系统的部署方式示意图。业务网130和管理网140分别具有独立的第一网段和第二网段,且服务器110的网络适配器NIC的第一地址属于第一网段,服务器110的基板管理控制器BMC的第二地址属于第二网段,以及第一地址和第二地址位于交换机120中的同一个虚拟局域网VLAN之中,其中,交换机120具有访问控制列表ACL,特权机150通过智能平台管理接口IPMI并采用IPMI协议访问基板管理控制器BMC。在该实施例中,交换机120根据ACL的配置对VLAN中上述端口的流入方向或流出方向的数据包进行控制以保证源端口为IPMI端口号,如在本发明实施例中IPMI端口号为623,且目的IP地址为特权机地址的用户数据包协议UDP数据包可以流入,而其他源端口为IPMI端口号的UDP数据包丢弃;或者保证目的端口为IPMI端口号,源IP地址为特权机地址的UDP数据包可以流出,其他目的端口为IPMI端口号的UDP数据包丢弃。
具体而言:
1、对服务器110进行如下配置:
在服务器110上分别对网络适配器NIC和基板管理控制器BMC配置属于不同网段(第一网段和第二网段)的IP(第一地址和第二地址),如图2中,示出了两个服务器110,其中一个服务器110(左侧)配置的网络适配器NIC的IP(第一地址)为192.168.1.111,基板管理控制器BMC的IP(第二地址)为192.168.2.111,上述两个IP分别属于第一网段和第二网段。另一个服务器(右侧)的NIC的IP(第一地址)为192.168.1.110,BMC的IP(第二地址)为192.168.2.110。需要说明的是,服务器110的数量并不限于两个,既可以为1个,也可以为多个,只要保证全部服务器110的NIC的IP分配到同一个网段中,且BMC的IP分配到同一个网段即可。
2、对交换机120进行如下配置:
在交换机120上创建一个虚拟局域网VLAN,在上述VLAN上配置2个IP且这两个IP分别位于服务器110上NIC和BMC两个网段(第一网段和第二网段)内,以分别用于与网络适配器NIC和基板管理控制器BMC之间通讯。例如,在VLAN中配置的两个IP分别为192.168.1.1和192.168.2.1。
3、ACL(Access Control List,访问控制列表)的配置:
由于网络适配器NIC和基板管理控制器BMC同属于一个VLAN下,为了使管理网140的安全性得到保障,本发明的一个实施例通过在交换机120上配置ACL来加强管理网140的安全性。具体地,交换机120根据ACL的配置对VLAN中端口的流入方向(入口ingress)或流出方向(出口egress)的数据包进行控制。更为具体地,根据ACL应用在VLAN的入口ingress(流入方向)和出口egress(流出方向)的不同,ACL的配置的内容也不同。由于IPMI协议是采用询问/应答方式进行交互,因此ACL配置的思想是阻断端口号为IPMI端口号中其中一个方向的数据流即可。
作为一个具体的例子,如当ACL应用在VLAN的入口ingress方向时,ACL配置的内容为除了源端口为IPMI端口号,如本发明实施例所采用的IPMI端口号为623,且目的地址为特权机150地址的用户数据包协议UDP数据包允许通过以外,其他源端口为623的UDP数据包一律丢弃。当ACL应用在VLAN的出口(egress)方向时,ACL配置的内容是除了目的端口为IPMI端口号,如本发明实施例采用的IPMI端口号为623,且源地址为特权机150地址的UDP数据包允许通过以外,其他目的端口为623的UDP数据包一律丢弃。由此,提高了管理网140的安全性。
实施例二
业务网130和管理网140分别具有独立的第一网段和第二网段,且第一地址属于第一网段,第二地址属于第二网段,服务器110及交换机120对应地设置有第一VLAN和第二VLAN,且第一网段属于第一VLAN,第二网段属于第二VLAN,且上述端口(服务器110与交换机120相连的接口)以标记类型分别加入第一VLAN和第二VLAN,且NIC以标记类型加入第一VLAN,BMC以标记类型加入第二VLAN。在该实施例中,交换机120与管理网140核心相连的端口以非标记类型加入第二VLAN,具体而言:
1、对服务器110进行如下配置:
在服务器110上创建2个VLAN(第一网段和第二网段),并分别给网络适配器NIC和基板管理控制器BMC设置2个属于不同网段(第一网段和第二网段)的IP(第一地址和第二地址),如图3中所示,对于一个服务器110(左侧)的对网络适配器NIC设置的第一地址IP为192.168.1.111,对基板管理控制器BMC设置的第二地址IP为192.168.2.111。将网络适配器NIC和基板管理控制器BMC与交换机120相连的两个接口(需理解,对于服务器110自身而言是2个接口,对外只是1个接口NC-SI接口)以标记(tagged)类型加入到各自对应的VLAN中,即NIC的接口以标记类型加入第一VLAN,BMC的接口以标记类型加入第二VLAN。如图4所示,为该实施例中对于服务器的NC-SI网卡的配置示意图。
2、对交换机120进行如下配置:
2.1、在交换机120上创建2个VLAN,并分别对应服务器110的网络适配器NIC和基板管理控制器BMC所在的两个网段(第一网段和第二网段)。交换机120上连接服务器110端口配置为标记(tagged)类型,并加入上述2个VLAN,即上述的端口以标记类型分别加入第一VLAN和第二VLAN,将NIC以标记类型加入第一VLAN,BMC以标记类型加入第二VLAN。
2.2、将交换机120连接管理网140核心的端口加入到基板管理控制器BMC所在网段(第二网段)的VLAN下,配置为非标记(untagged)类型,即交换机120与管理网140核心相连的端口以非标记类型加入第二VLAN。
在本发明的一个实施例中,可通过IPMI或SSH的方式对BMC进行访问。
实施例三
业务网130和管理网140属于同一个网段,且第一地址和第二地址位于交换机120中的同一个VLAN之中,且服务器的BMC上运行有安全外壳协议SSH服务,其中,SSH服务具有对应的SSH账户和密码,因此可以通过设置SSH服务的账户密码来保障访问的安全性。具体而言:
1、在服务器110上分别给网络适配器NIC和基板管理控制器BMC配置不同的IP(第一地址和第二地址),且将上述两个IP分配到同一个网段中,如图5所示,对于其中一个服务器110(左侧)而言,配置给网络适配器NIC的第一地址和基板管理控制器BMC的第二地址分别为192.168.2.111和192.168.1.113。
2、通过对服务器110的BMC上运行的安全外壳协议SSH服务设置SSH账户和密码,通过该账户密码登录BMC,进而使得访问BMC得到安全性保障。
3、对交换机120的配置:
在交换机120中创建一个VLAN,且交换机120的与服务器110连接的端口地址IP对应服务器110上NIC和BMC所在网段。
实施例四:
业务网130和管理网140分别具有独立的第一网段和第二网段,且第一地址属于第一网段,第二地址属于第二网段,以及第一网段和第二网段位于交换机120中的同一个虚拟局域网VLAN之中,其中,服务器110具有访问控制列表ACL,且服务器110的BMC上运行有SSH服务,其中,上述SSH服务具有对应的SSH账户和密码。在该实施例中,交换机根据ACL的配置对VLAN中端口(服务器110与交换机120连接的接口)的流入方向或流出方向的数据包进行控制以保证源端口为SSH端口号,如本发明实施例采用的SSH端口号为22,目的IP地址为特权机地址的传输控制协议TCP数据包可以流入,其他源端口为SSH端口号的TCP数据包丢弃;或者保证目的端口为SSH端口号,源IP地址为特权机地址的TCP数据包可以流出,其他目的端口为SSH端口号的TCP数据包丢弃。
具体而言:
1、对服务器110的配置:
在服务器110上分别给NIC配置第一地址IP和给BMC配置第二地址IP,并将上述两个IP配置成属于不同网段的IP。如图6所示,对于一个服务器110(左侧)的NIC配置第一地址IP为192.168.1.111,对BMC配置第二地址IP为192.168.2.111。
2、对交换机120的配置:
2.1、对交换机120中VLAN的配置
在交换机120上创建一个VLAN,在该VLAN上配置2个IP,分别对应服务器110上NIC和BMC两个网段,如对应于NIC的IP为192.168.1.1,对应于BMC的IP为192.168.2.1。
2.2、对交换机120中ACL的配置
其中,对ACL的配置思想与实施例一中的配置思想类似,不同点在于允许通过的数据包类型不同,如作为一个具体的例子,如当ACL应用在VLAN的入口ingress(流入)方向时,ACL配置的内容为除了源端口为SSH端口号,如本发明实施例采用的SSH端口号为22,且目的地址为特权机150地址的传输控制协议TCP数据包允许通过以外,其他源端口为22的TCP数据包一律丢弃。当ACL应用在VLAN的出口egress(流出)方向时,ACL配置的内容是除了目的端口为22(SSH服务端口号),源地址为特权机150地址的TCP数据包允许通过以外,其他目的端口为22的TCP数据包一律丢弃。由此,进一步提高了管理网140的安全性。
从网络配置、网络运维,服务器配置和服务器运维四个角度对上述四个方案(实施例)进行比较,结论如1所示:
表1
在本发明的进一步实施例中,还提出了一种可用于上述服务器业务网与管理网的混合部署系统中的服务器。在该实施例中,服务器包括:NIC和BMC,其中,NIC和所述BMC分别具有第一地址和第二地址;以及NC-SI接口,用于接收交换机发送的数据包,并根据所述数据包的目的地址将所述数据包发送至所述NIC或所述BMC。
对于上述实施例的服务器可以采用以下四种配置方式进行配置以与上述四种实施例进行对应。
一、业务网和管理网分别具有独立的第一网段和第二网段,且所述第一地址属于所述第一网段,所述第二地址属于所述第二网段,以及所述第一网段和第二网段位于所述交换机中的同一个虚拟局域网VLAN之中,且所述交换机具有ACL,所述特权机通过IPMI协议访问所述BMC。
二、业务网和管理网分别具有独立的第一网段和第二网段,且所述第一地址属于所述第一网段,所述第二地址属于所述第二网段,交换机和服务器分别对应地设置有第一VLAN和第二VLAN,且所述第一网段属于所述第一VLAN,所述第二网段属于所述第二VLAN,且所述端口(服务器与交换机相连的接口)以标记类型分别加入至所述第一VLAN和第二VLAN,NIC以标记类型加入所述第一VLAN,BMC以标记类型加入所述第二VLAN,特权机通过IPMI或SSH方式访问所述BMC。
三、业务网和管理网属于同一个网段,且所述第一地址和第二地址位于所述交换机中的同一个VLAN之中,且所述服务器的BMC上运行有SSH服务,其中,所述SSH服务具有对应的SSH账户和密码,从而保障了访问BMC的安全性。
四、业务网和管理网分别具有独立的第一网段和第二网段,且所述第一地址属于所述第一网段,所述第二地址属于所述第二网段,以及所述第一网段和第二网段位于所述交换机中的同一个VLAN之中,其中,所述服务器具有ACL,且所述服务器的BMC上运行有SSH服务。
根据本发明实施例的服务器,通过服务器的边带接口NC-SI能够同时实现交换机与服务器的NIC和BMC的相连,由此,可以通过服务器的一个网口(边带接口NC-SI)同时实现服务器与不同网络之间(例如业务网以及管理网)的互联,节省服务器通过两个网口分别承载业务网和管理网流量的开销,由此节省掉传统的整套独立的管理网资源,有效降低硬件成本和运维代价。
在本发明的进一步实施例中,还提出了一种可用于上述实施例的业务网与管理网的混合部署系统的交换机。在该实施例中,交换机包括:第一端口,所述第一端口与服务器相连;第二端口,所述第二端口与业务网和管理网相连;调度模块,用于通过所述第二端口接收来自所述业务网和管理网的数据包,并根据预设配置将所述数据包通过所述第一端口发送至所述服务器,以及通过所述第一端口接收所述服务器反馈的数据包,并根据所述预设配置将所述服务器反馈的数据包通过所述第二端口发送至所述业务网的其它服务器,或发送至所述管理网的特权机。
与上述实施例中对服务器的四种配置方式一一对应地,对交换机进行如下四种配置:
一、业务网和管理网分别具有独立的第一网段和第二网段,第一网段和第二网段位于交换机中的同一个虚拟局域网VLAN之中,第一端口具有第一地址和第二地址,其中第一地址属于第一网段,第二地址属于第二网段,其中,交换机具有ACL,特权机通过IPMI协议访问所述BMC。在该实施例中,调度模块根据ACL的配置对VLAN中端口的流入方向或流出方向的数据包进行控制,以保证源端口为IPMI端口号且目的IP地址为特权机地址的用户数据包协议UDP数据包可以流入,而其他源端口为IPMI端口号的UDP数据包丢弃;或者保证目的端口为IPMI端口号,源IP地址为特权机地址的UDP数据包可以流出,其他目的端口为IPMI端口号的UDP数据包丢弃。
二、业务网和管理网分别具有独立的第一网段和第二网段,且所述第一地址属于所述第一网段,所述第二地址属于所述第二网段,所述服务器及交换机对应地设置有第一VLAN和第二VLAN,且所述第一网段属于所述第一VLAN,所述第二网段属于所述第二VLAN,且所述端口以标记类型分别加入所述第一VLAN和第二VLAN,所述NIC以标记类型加入所述第一VLAN,所述BMC以标记类型加入第二VLAN。在该实施例中,将交换机与管理网核心相连的端口以非标记类型加入所述第二VLAN。从而特权机可以通过IPMI或SSH方式访问所述BMC。
三、业务网和管理网属于同一个网段,且所述第一地址和第二地址位于所述交换机中的同一个VLAN之中,且所述服务器的BMC上运行有SSH服务,其中,所述SSH服务具有对应的SSH账户和密码。
四、业务网和管理网分别具有独立的第一网段和第二网段,且所述第一网段和第二网段位于所述交换机中的同一个VLAN之中,其中,所述交换机具有ACL,且所述服务器的BMC上运行有SSH服务,其中,所述SSH服务具有对应的SSH账户和密码。在该示例中,调度模块用于根据所述ACL的配置对所述VLAN中所述端口的流入方向或流出方向的数据包进行控制,以保证源端口为SSH端口号,目的IP地址为特权机地址的传输控制协议TCP数据包可以流入,其他源端口为SSH端口号的TCP数据包丢弃,或者保证目的端口为SSH端口号,源IP地址为特权机地址的TCP数据包可以流出,其他目的端口为SSH端口号的TCP数据包丢弃。
根据本发明实施例的交换机,通过对交换机的预设配置,可以采用两个端口实现如服务器和多个网络之间的连接(如服务器与业务网和管理网的同时互联)由此,可以节省服务器通过两个网口分别承载业务网和管理网流量的开销,由此节省掉传统的整套独立的管理网资源,有效降低硬件成本和运维代价。
在本发明的其它示例中,交换机的端口数量并不限于两个,例如还可以采用3个端口实现,如本发明的一个实施例中,交换机,包括第一端口、第二端口、第三端口和调度模块。其中:所述第一端口与服务器相连。所述第二端口与业务网相连。所述第三端口与管理网相连。调度模块用于通过所述第二端口和第三端口接收来自所述业务网和所述管理网的数据包,并根据预设配置将所述数据包通过所述第一端口发送至所述服务器,以及通过所述第一端口接收所述服务器反馈的数据包,并根据所述预设配置将所述服务器反馈的数据包通过所述第二端口发送至所述业务网的其他服务器,或通过第三端口发送至所述管理网的特权机。
在本发明的一个示例中,对于上述实施例2如果采用本实施例的交换机,则对交换机的配置为,业务网和管理网分别具有独立的第一网段和第二网段,交换机设置有第一VLAN和第二VLAN,且所述第一网段属于所述第一VLAN,所述第二网段属于所述第二VLAN,且所述第一端口以标记类型分别加入所述第一VLAN和第二VLAN。在该实施例中,将交换机的第三端口以非标记类型加入所述第二VLAN。
根据本发明实施例的交换机,通过对交换机的预设配置,交换机通过一个端口与服务器相连,可以实现服务器同时与业务网和管理网的同时互联,由此,可以节省服务器通过两个网口分别承载业务网和管理网流量的开销,由此节省掉传统的整套独立的管理网资源,有效降低硬件成本和运维代价。
根据本发明的实施例,通过服务器的边带接口NC-SI实现了交换机与服务器的网络适配器NIC和基板管理控制器BMC的相连,且交换机的其它端口与业务网和管理网连接,由此,可以通过服务器的一个网口(边带接口NC-SI)实现服务器与业务网和管理网之间的互联,节省服务器通过两个网口分别承载业务网和管理网流量的开销,由此节省掉传统的整套独立的管理网资源,有效降低硬件成本和运维代价。另外,提高了业务网和管理网的安全性。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,″计算机可读介质″可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。

Claims (22)

1.一种服务器业务网与管理网的混合部署系统,其特征在于,包括服务器和交换机,所述服务器的NC-SI接口与所述交换机的一个端口相连,
所述交换机,用于接收来自业务网或管理网的数据包,并根据预设配置将所述数据包通过所述端口发送至所述服务器,以及接收所述服务器反馈的数据包,并根据所述预设配置将所述服务器反馈的数据包发送至所述业务网的其他服务器,或发送至所述管理网的特权机;
其中,所述服务器的网络适配器NIC和所述服务器的基板管理控制器BMC分别具有第一地址和第二地址,所述NC-SI接口与所述的端口相连,且所述NC-SI接口与所述NIC和BMC相连,所述NC-SI接口用于接收所述交换机发送的数据包,并根据所述数据包的目的地址将所述数据包发送至所述NIC或所述BMC。
2.如权利要求1所述的服务器业务网与管理网的混合部署系统,其特征在于,所述业务网和管理网分别具有独立的第一网段和第二网段,且所述第一地址属于所述第一网段,所述第二地址属于所述第二网段,以及所述第一地址和第二地址位于所述交换机中的同一个虚拟局域网VLAN之中,其中,所述交换机具有访问控制列表ACL,所述特权机通过智能平台管理接口IPMI并采用IPMI协议访问所述BMC。
3.如权利要求2所述的服务器业务网与管理网的混合部署系统,其特征在于,所述交换机根据所述ACL的配置对所述VLAN中所述端口的流入方向或流出方向数据包进行控制,以保证源端口为IPMI端口号且目的IP地址为特权机地址的用户数据包协议UDP数据包可以流入,而其他源端口为IPMI端口号的UDP数据包丢弃;或者保证目的端口为IPMI端口号,源IP地址为特权机地址的UDP数据包可以流出,其他目的端口为IPMI端口号的UDP数据包丢弃。
4.如权利要求1所述的服务器业务网与管理网的混合部署系统,其特征在于,所述业务网和管理网分别具有独立的第一网段和第二网段,且所述第一地址属于所述第一网段,所述第二地址属于所述第二网段,所述服务器及交换机对应地设置有第一VLAN和第二VLAN,且所述第一网段属于所述第一VLAN,所述第二网段属于所述第二VLAN,且所述端口以标记类型分别加入所述第一VLAN和第二VLAN,所述NIC以标记类型加入所述第一VLAN,所述BMC以标记类型加入第二VLAN,所述特权机通过IPMI或安全外壳协议SSH方式访问所述BMC。
5.如权利要求4所述的服务器业务网与管理网的混合部署系统,其特征在于,所述交换机与管理网核心相连的端口以非标记类型加入所述第二VLAN。
6.如权利要求1所述的服务器业务网与管理网的混合部署系统,其特征在于,所述业务网和管理网属于同一个网段,且所述第一地址和第二地址位于所述交换机中的同一个VLAN之中,且所述服务器的BMC上运行有SSH服务,其中,所述SSH服务具有对应的SSH账户和密码。
7.如权利要求1所述的服务器业务网与管理网的混合部署系统,其特征在于,所述业务网和管理网分别具有独立的第一网段和第二网段,且所述第一地址属于所述第一网段,所述第二地址属于所述第二网段,以及所述第一网段和第二网段位于所述交换机中的同一个VLAN之中,其中,所述服务器具有ACL,且所述服务器的BMC上运行有SSH服务,其中,所述SSH服务具有对应的SSH账户和密码。
8.如权利要求7所述的服务器业务网与管理网的混合部署系统,其特征在于,所述交换机根据所述ACL的配置对所述VLAN中所述端口的流入方向或流出方向的数据包进行控制,以保证源端口为SSH端口号,目的IP地址为特权机地址的传输控制协议TCP数据包可以流入,其他源端口为SSH端口号的TCP数据包丢弃;或者保证目的端口为SSH端口号,源IP地址为特权机地址的TCP数据包可以流出,其他目的端口为SSH端口号的TCP数据包丢弃。
9.一种服务器,其特征在于,包括:
NIC和BMC,其中,所述NIC和所述BMC分别具有第一地址和第二地址;以及
NC-SI接口,用于接收交换机发送的数据包,并根据所述数据包的目的地址将所述数据包发送至所述NIC或所述BMC。
10.如权利要求9所述的服务器,其特征在于,所述业务网和管理网分别具有独立的第一网段和第二网段,且所述第一地址属于所述第一网段,所述第二地址属于所述第二网段,以及所述第一网段和第二网段位于所述交换机中的同一个虚拟局域网VLAN之中,且所述交换机具有ACL,所述特权机通过IPMI协议访问所述BMC。
11.如权利要求9所述的服务器,其特征在于,所述业务网和管理网分别具有独立的第一网段和第二网段,且所述第一地址属于所述第一网段,所述第二地址属于所述第二网段,所述交换机和服务器分别对应地设置有第一VLAN和第二VLAN,且所述第一网段属于所述第一VLAN,所述第二网段属于所述第二VLAN,且所述端口以标记类型分别加入所述第一VLAN和第二VLAN,所述NIC以标记类型加入所述第一VLAN,所述BMC以标记类型加入所述第二VLAN。
12.如权利要求9所述的服务器,其特征在于,所述业务网和管理网属于同一个网段,且所述第一地址和第二地址位于所述交换机中的同一个VLAN之中,且所述服务器的BMC上运行有SSH服务,其中,所述SSH服务具有对应的SSH账户和密码。
13.如权利要求9所述的服务器,其特征在于,所述业务网和管理网分别具有独立的第一网段和第二网段,且所述第一地址属于所述第一网段,所述第二地址属于所述第二网段,以及所述第一网段和第二网段位于所述交换机中的同一个VLAN之中,其中,所述服务器具有ACL,且所述服务器的BMC上运行有SSH服务。
14.一种交换机,其特征在于,包括:
第一端口,所述第一端口与服务器相连;
第二端口,所述第二端口与业务网和管理网相连;
调度模块,用于通过所述第二端口接收来自所述业务网和所述管理网的数据包,并根据预设配置将所述数据包通过所述第一端口发送至所述服务器,以及通过所述第一端口接收所述服务器反馈的数据包,并根据所述预设配置将所述服务器反馈的数据包通过所述第二端口发送至所述业务网的其他服务器,或发送至所述管理网的特权机。
15.如权利要求14所述的交换机,其特征在于,所述业务网和管理网分别具有独立的第一网段和第二网段,所述第一网段和第二网段位于所述交换机中的同一个虚拟局域网VLAN之中,所述第一端口具有第一地址和第二地址,其中第一地址属于所述第一网段,第二地址属于所述第二网段,其中,所述交换机具有ACL,所述特权机通过IPMI协议访问所述BMC。
16.如权利要求15所述的交换机,其特征在于,所述调度模块根据所述ACL的配置对所述VLAN中所述端口的流入方向或流出方向的数据包进行控制,以保证源端口为IPMI端口号且目的IP地址为特权机地址的用户数据包协议UDP数据包可以流入,而其他源端口为IPMI端口号的UDP数据包丢弃;或者保证目的端口为IPMI端口号,源IP地址为特权机地址的UDP数据包可以流出,其他目的端口为IPMI端口号的UDP数据包丢弃。
17.如权利要求14所述的交换机,其特征在于,所述业务网和管理网属于同一个网段,且所述第一地址和第二地址位于所述交换机中的同一个VLAN之中,且所述服务器的BMC上运行有SSH服务,其中,所述SSH服务具有对应的SSH账户和密码。
18.如权利要求14所述的交换机,其特征在于,所述业务网和管理网分别具有独立的第一网段和第二网段,且所述第一网段和第二网段位于所述交换机中的同一个VLAN之中,其中,所述交换机具有ACL,且所述服务器的BMC上运行有SSH服务,其中,所述SSH服务具有对应的SSH账户和密码。
19.如权利要求18所述的交换机,其特征在于,所述调度模块用于根据所述ACL的配置对所述VLAN中所述端口的流入方向或流出方向的数据包进行控制,以保证源端口为SSH端口号,目的IP地址为特权机地址的传输控制协议TCP数据包可以流入,其他源端口为SSH端口号的TCP数据包丢弃,或者保证目的端口为SSH端口号,源IP地址为特权机地址的TCP数据包可以流出,其他目的端口为SSH端口号的TCP数据包丢弃。
20.一种交换机,其特征在于,包括:
第一端口,所述第一端口与服务器相连;
第二端口,所述第二端口与业务网相连;
第三端口,所述第三端口与管理网相连;
调度模块,用于通过所述第二端口和第三端口接收来自所述业务网和所述管理网的数据包,并根据预设配置将所述数据包通过所述第一端口发送至所述服务器,以及通过所述第一端口接收所述服务器反馈的数据包,并根据所述预设配置将所述服务器反馈的数据包通过所述第二端口发送至所述业务网的其他服务器,或通过第三端口发送至所述管理网的特权机。
21.如权利要求20所述的交换机,其特征在于,所述业务网和管理网分别具有独立的第一网段和第二网段,所述交换机设置有第一VLAN和第二VLAN,且所述第一网段属于所述第一VLAN,所述第二网段属于所述第二VLAN,且所述第一端口以标记类型分别加入所述第一VLAN和第二VLAN,所述特权机通过IPMI或SSH方式访问所述BMC。
22.如权利要求21所述的交换机,其特征在于,所述第三端口以非标记类型加入所述第二VLAN。
CN201210057497.1A 2012-03-06 2012-03-06 服务器业务网与管理网混合部署系统、服务器和交换机 Active CN103312525B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210057497.1A CN103312525B (zh) 2012-03-06 2012-03-06 服务器业务网与管理网混合部署系统、服务器和交换机

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210057497.1A CN103312525B (zh) 2012-03-06 2012-03-06 服务器业务网与管理网混合部署系统、服务器和交换机

Publications (2)

Publication Number Publication Date
CN103312525A true CN103312525A (zh) 2013-09-18
CN103312525B CN103312525B (zh) 2017-02-08

Family

ID=49137331

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210057497.1A Active CN103312525B (zh) 2012-03-06 2012-03-06 服务器业务网与管理网混合部署系统、服务器和交换机

Country Status (1)

Country Link
CN (1) CN103312525B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016082522A1 (zh) * 2014-11-25 2016-06-02 华为技术有限公司 管理路径确定方法及装置
CN107229492A (zh) * 2017-05-17 2017-10-03 东软集团股份有限公司 服务器系统的安装方法、装置、系统、存储介质及设备
CN108196994A (zh) * 2018-01-03 2018-06-22 郑州云海信息技术有限公司 一种数据中心服务器硬件的自动化测试方法
CN108259226A (zh) * 2016-12-28 2018-07-06 迈络思科技有限公司 利用管理网络进行安全配置和平台管理
CN109743319A (zh) * 2019-01-03 2019-05-10 北京工业大学 一种联网式专用服务器的可信启动和安全运行方法
CN111565116A (zh) * 2020-03-27 2020-08-21 苏州浪潮智能科技有限公司 一种整机柜服务器管理系统及配置方法
CN112187522A (zh) * 2020-09-10 2021-01-05 苏州浪潮智能科技有限公司 一种在cpu端升级bmc的方法及装置
CN117499347A (zh) * 2023-12-29 2024-02-02 苏州元脑智能科技有限公司 一种基板控制器接口处理方法及其应用设备
WO2024109666A1 (zh) * 2022-11-24 2024-05-30 北京有竹居网络技术有限公司 设备管理的方法、装置、设备和存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1357997A (zh) * 2000-12-15 2002-07-10 华为技术有限公司 以太网接入网中的虚拟局域网接入方法
US20110040917A1 (en) * 2009-08-12 2011-02-17 +Dell Products L.P. System and method for enabling interchangeable dedicated management network interface card access via fabric controller
CN102077194A (zh) * 2008-07-01 2011-05-25 美国博通公司 本地主机和管理控制器之间基于网络控制器的传输通信机制
CN102130803A (zh) * 2010-10-22 2011-07-20 新兴铸管股份有限公司 一种局域网网站安全架构系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101404630B (zh) * 2008-11-25 2011-12-14 中国联合网络通信集团有限公司 互联网业务接入网关的实现方法和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1357997A (zh) * 2000-12-15 2002-07-10 华为技术有限公司 以太网接入网中的虚拟局域网接入方法
CN102077194A (zh) * 2008-07-01 2011-05-25 美国博通公司 本地主机和管理控制器之间基于网络控制器的传输通信机制
US20110040917A1 (en) * 2009-08-12 2011-02-17 +Dell Products L.P. System and method for enabling interchangeable dedicated management network interface card access via fabric controller
CN102130803A (zh) * 2010-10-22 2011-07-20 新兴铸管股份有限公司 一种局域网网站安全架构系统

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016082522A1 (zh) * 2014-11-25 2016-06-02 华为技术有限公司 管理路径确定方法及装置
CN108259226A (zh) * 2016-12-28 2018-07-06 迈络思科技有限公司 利用管理网络进行安全配置和平台管理
CN108259226B (zh) * 2016-12-28 2022-06-28 迈络思科技有限公司 网络接口设备管理方法与装置
CN107229492A (zh) * 2017-05-17 2017-10-03 东软集团股份有限公司 服务器系统的安装方法、装置、系统、存储介质及设备
CN108196994A (zh) * 2018-01-03 2018-06-22 郑州云海信息技术有限公司 一种数据中心服务器硬件的自动化测试方法
CN109743319A (zh) * 2019-01-03 2019-05-10 北京工业大学 一种联网式专用服务器的可信启动和安全运行方法
CN109743319B (zh) * 2019-01-03 2021-02-05 北京工业大学 一种联网式专用服务器的可信启动和安全运行方法
CN111565116A (zh) * 2020-03-27 2020-08-21 苏州浪潮智能科技有限公司 一种整机柜服务器管理系统及配置方法
CN112187522A (zh) * 2020-09-10 2021-01-05 苏州浪潮智能科技有限公司 一种在cpu端升级bmc的方法及装置
WO2024109666A1 (zh) * 2022-11-24 2024-05-30 北京有竹居网络技术有限公司 设备管理的方法、装置、设备和存储介质
CN117499347A (zh) * 2023-12-29 2024-02-02 苏州元脑智能科技有限公司 一种基板控制器接口处理方法及其应用设备
CN117499347B (zh) * 2023-12-29 2024-04-12 苏州元脑智能科技有限公司 一种基板控制器接口处理方法及其应用设备

Also Published As

Publication number Publication date
CN103312525B (zh) 2017-02-08

Similar Documents

Publication Publication Date Title
CN103312525A (zh) 服务器业务网与管理网混合部署系统、服务器和交换机
JP5493926B2 (ja) インタフェース制御方式、インタフェース制御方法、及びインタフェース制御用プログラム
CN104468181B (zh) 虚拟网络设备故障的检测和处理
CN102255903B (zh) 一种云计算虚拟网络与物理网络隔离安全方法
CN105765946B (zh) 支持数据网络中的服务链接的方法和系统
US11558260B2 (en) Network node memory utilization analysis
CN105407028A (zh) 用于高频宽伺服器管理的方法与系统
US20180367396A1 (en) Identifying mismatches between a logical model and node implementation
CN105308915A (zh) 用于分布式中继控制协议(drcp)中的网络和门户内链路(ipl)共享的方法和系统
CN102347900A (zh) 整合虚拟和物理网络交换设备到异构交换域的方法和系统
US20180367387A1 (en) Identifying components for removal in a network configuration
US20180367401A1 (en) Network validation between the logical level and the hardware level of a network
CN104969517A (zh) 针对有限用户损坏的自动控制平面
EP3643013A1 (en) Validation of layer 3 bridge domain subnets in a network
EP3643012B1 (en) Validating endpoint configurations between nodes
CN105340230A (zh) 虚拟机架拓扑管理
US20230236912A1 (en) Distributed fault code aggregation across application centric dimensions
CN110301125B (zh) 虚拟机的逻辑端口认证
CN107707557A (zh) 匿名访问方法、装置、网络设备及可读存储介质
CN103416026B (zh) 网络系统和分组处理方法
CN109962978A (zh) 充电桩日志导出方法、充电桩以及控制设备
CN104168121B (zh) 一种pse的端口保护方法以及pse
US10560355B2 (en) Static endpoint validation
US20180367397A1 (en) Endpoint bridge domain subnet validation
Toy Future Directions in Cable Networks, Services and Management

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant