CN104717290B - San的访问控制方法和装置 - Google Patents
San的访问控制方法和装置 Download PDFInfo
- Publication number
- CN104717290B CN104717290B CN201510121970.1A CN201510121970A CN104717290B CN 104717290 B CN104717290 B CN 104717290B CN 201510121970 A CN201510121970 A CN 201510121970A CN 104717290 B CN104717290 B CN 104717290B
- Authority
- CN
- China
- Prior art keywords
- zone
- current
- role attribute
- rules
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请提供一种SAN的访问控制方法,应用在SAN的边缘网络设备上,所述方法包括:获取SAN的Zone配置信息,所述Zone配置信息包括默认Zone策略和Zone成员;根据默认Zone策略生成Zone规则;获取Zone规则所涉及的Zone成员的角色属性,在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项。通过本申请的技术方案,减少了访问控制表项的数目,节约了网络设备的访问控制资源。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种SAN(Storage Area Network,存储区域网络)的访问控制方法和装置。
背景技术
SAN网络的出现解决了日益增长的数据的存储和管理问题。通过将硬件存储技术和网络技术相结合,SAN网络能够在主机和存储设备之间高速传输存储数据,实现了数据的集中存储。
SAN网络广泛的应用于数据中心。对将企业信息或私人信息存储在数据中心的用户而言,数据的安全性是需要慎重考虑的问题。在SAN网络中,可以通过VSAN(VirtualStorage Area Network,虚拟存储区域网络)、Zone(区域)等多种技术来实现网络的逻辑隔离和访问控制,以增强存储网络的适应性和安全性。而实施这些技术需要耗费SAN网络的资源,随着数据中心的规模不断增大,所需的资源也急剧增加。
发明内容
有鉴于此,本申请提供一种SAN的访问控制方法,应用在SAN的边缘网络设备上,所述方法包括:
获取SAN的区域Zone配置信息,所述Zone配置信息包括默认Zone策略和Zone成员;
根据默认Zone策略生成Zone规则;
获取Zone规则所涉及的Zone成员的角色属性,在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项。
本申请还提供了一种SAN的访问控制装置,应用在SAN的边缘网络设备上,所述装置包括:
配置信息获取单元,用于获取SAN的区域Zone配置信息,所述Zone配置信息包括默认Zone策略和Zone成员;
规则生成单元,用于根据默认Zone策略生成Zone规则;
表项生成下发单元,用于获取Zone规则所涉及的Zone成员的角色属性,在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项。
由以上技术方案可见,本申请的实施例中根据Zone规则,只生成并下发用于角色属性不同的Zone成员之间的访问控制表项,而对不会实际发生的角色属性相同的Zone成员之间的流量,则不再用访问控制表项进行控制,减少了访问控制表项的数目,节约了网络设备的访问控制资源。
附图说明
图1是一个例子中一种SAN的访问控制方法的流程图;
图2是一个例子中边缘网络设备上根据1类规则生成并下发ACL的流程图;
图3是一个例子中一种SAN的访问控制装置的逻辑结构图;
图4是一个例子中一种SAN的访问控制装置所在设备的硬件架构示意图。
具体实施方式
在SAN网络中,服务器、磁盘阵列等节点通过SAN的边缘网络设备接入SAN,被接入的节点通常称为N节点,被接入的节点连接边缘网络设备的端口通常称为N端口(NodePort,节点端口)。为了控制N节点之间的访问权限,可以将N节点按照应用环境的需要划分到一个到多个Zone中,这一个到多个Zone形成一个Zone集合(Zone Set)。每个Zone中包括一个至多个Zone成员,Zone成员可通过FC(Fibre Channel,光纤通道)地址、PWWN(PortWorld Wide Name,端口全球名字,即N端口的WWN)或FWWN(Fabric port World Wide Name,光纤端口全球名字,即网络设备上用于接入N端口的F端口的WWN)等方式来标识,每个Zone成员都代表了至少一个N节点。
对同一个SAN或VSAN中的所有N节点,如果划分Zone的策略不同,将会形成多个Zone集合,这些按照不同策略划分出来的各个Zone以及Zone集合组成了Zone数据库。虽然在Zone数据库中可以保存多个Zone集合,但只有一个Zone集合能够被激活来作为生效的Zone集合,这个激活Zone集合中的Zone也称为激活Zone。
当一个Zone集合被激活后,不属于任何激活Zone的N节点组成的集合称为默认Zone;也就是说,接入SAN网络的N节点,如果没有被配置为任何一个激活Zone的成员,将自动被划归为默认Zone的成员。
对N节点间访问权限的控制可以通过默认Zone策略来设置。例如,将默认Zone策略设置为允许访问,则在该Zone集合中,属于同一个激活Zone的成员可以相互访问,属于不同激活Zone的成员不能相互访问,默认Zone成员之间可以相互访问,但默认Zone的成员与激活Zone的成员不能相互访问;如果将默认Zone策略设置为拒绝访问,则在该Zone集合中,只有属于同一个激活Zone的成员可以相互访问。在网络设备上,可以根据网络管理员配置的默认Zone策略自动生成Zone规则。
目前Zone共有以下四类规则:
1类(Class 1)规则:同一激活Zone中点到点的允许访问规则;
2类(Class 2)规则:激活Zone中的点到其他点的拒绝访问规则;
3类(Class 3)规则:8位域标识(Domain ID)到激活Zone中点的拒绝访问规则;
4类(Class 4)规则:8位域标识到其他点的默认规则(根据默认Zone策略,分别为允许访问或拒绝访问)。
其中,域标识为N节点登录到边缘网络设备上完成注册后获得的FC地址的8位前缀,接入同一个边缘网络设备的N节点具有相同的域标识。以上四类规则按照从1类到4类的优先级顺序生效。当默认Zone策略为拒绝访问时,所生成的Zone规则为1类规则和4类规则(拒绝访问);当默认Zone策略为允许访问时,所述生成的Zone规则为1类规则、2类规则、3类规则和4类规则(允许访问)。
在SAN网络中,N节点(如服务器与存储设备)之间通过交互FC报文来进行磁盘读写操作,FC报文经由网络设备传输。通过在边缘网络设备上下发ACL(Access Control List,访问控制列表)表项来允许和限制某些FC报文的转发,即可控制N节点之间的访问权限。其中,网络设备包括FC设备和FCoE(Fibre Channel over Ethernet,基于以太网的光纤协议)设备。对Zone规则而言,在SAN的边缘网络设备上根据所设置的Zone规则生成并下发对应的访问控制表项,即可实现Zone规则所指定的访问权限。
一条Zone规则可能对应于数量众多的ACL表项。以使用最为普遍的1类规则为例,如果一个激活Zone内的N节点数目为m(m为自然数),允许这个激活Zone内所有N节点相互访问的ACL表项将有m*(m-1)条。对包括3个服务器和3个磁盘阵列的激活Zone,根据1类规则在边缘网络设备上下发的ACL为30条。
网络设备中的ACL资源是有限的。随着SAN网络中服务器和存储设备的数量不断增多,边缘交换机支持登录的N节点数目不断扩大,仅1类规则产生的ACL条数就已经近乎N节点数目的平方这一数量级,加剧了ACL资源的紧张程度。
在本申请的一个例子中,应用在边缘网络设备上的SAN网络访问控制方法能够有效减少实现Zone规则所占用的资源,其运行流程如图1所示。
步骤110,获取SAN的Zone配置信息;Zone配置信息包括默认Zone策略和Zone成员。
SAN中的Zone通常由网络管理员设置,设置完成后Zone配置信息作为SAN配置信息的一部分保存起来,边缘网络设备可以从保存SAN配置信息的网络节点上得到Zone配置信息。如果Zone配置信息采用了扩散机制,则网络管理员完成设置后,Zone配置信息会同步到所有的网络设备上,此时边缘网络设备从本设备上即可得到Zone配置信息。对设置了一个以上Zone集合的场景,Zone配置信息指的是当前生效的Zone集合中Zone的Zone规则和Zone成员。
Zone配置信息包括Zone及其成员,以及默认Zone策略。默认Zone策略包括允许访问和拒绝访问。在一些应用场景中,将拒绝访问作为默认Zone策略的缺省值,如果网络管理员没有对默认Zone策略做设置,则默认Zone策略为拒绝访问。
步骤120,根据默认Zone策略生成Zone规则。
边缘网络设备在获取Zone配置信息后,根据其中的默认Zone策略自动生成Zone规则。具体的生成方式可以参照现有技术中的实现,不再赘述。
步骤130,获取Zone规则所涉及的Zone成员的角色属性,在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项。
SAN是互连存储设备和服务器的专用网络,用于实现服务器对外部存储设备的高速存储访问。存储访问在服务器和存储设备之间进行,不会在服务器与服务器之间进行,也不会在存储设备与存储设备之间进行。服务器是存储访问的发起端,存储设备是存储访问的接收端。也就是说,SAN中的N节点具有角色属性,或者是服务器(存储访问的发起端),或者是存储设备(存储访问的接收端)。
SAN中会保存所有接入的N节点信息(包括角色属性在内)。对Zone规则所涉及的Zone成员,边缘网络设备可以从保存N节点信息的网络节点上获得Zone成员的角色属性。
在一个例子中,当N节点登录到接入SAN的边缘网络设备上后,边缘网络设备向登录的N节点分配FC地址;N节点进行注册,上报自身的角色属性、PWWN等信息;边缘网络设备将N节点的角色属性、PWWN和FC地址等信息保存到名字服务数据库中;基于SAN的扩散机制,名字服务数据库同步到SAN中的每个网络设备上。边缘网络设备读取本设备上名字数据库中作为Zone成员的N节点的信息,即可得到该Zone成员的角色属性。
例如,某个SAN中的名字服务器数据库中包括如表1所示的表项:
FC地址 | 类型 | PWWN | FC4-type:feature |
0x010000 | 0x01(N) | 21:00:00:24:ff:4a:b4:42 | SCSI-FCP:Initiator |
0x020000 | 0x01(N) | 21:11:00:02:ac:00:66:4b | SCSI-FCP:Target |
表1
表1中,FC4-type:feature指FC-4层的feature属性。FC-4层是FC网络和SCSI(Small Computer System Interface,小型计算机系统接口)协议的映射层,主要用来将SCSI读写指令封装及解封装。在基于SCSI协议交互前,交互的双方要获知对方的feature属性,存储访问的发起端为SCSI-FCP:Initiator(SCSI光纤通道协议:发起端),存储访问的接收端为SCSI-FCP:Target(SCSI光纤通道协议:接收端)。N节点在注册时会向边缘网络设备上报自身的feature属性,并被记录在名字服务数据库中。
可以从SAN的名字服务数据库中查找Zone成员的feature属性,以feature属性作为Zone成员的角色属性。表1中,PWWN为21:00:00:24:ff:4a:b4:42、类型为0x01(N节点)的服务器(feature属性为发起端)被分配的FC地址为0x010000,PWWN为21:11:00:02:ac:00:66:4b、类型为0x01(N节点)的存储设备(feature属性为接收端)被分配的FC地址为0x020000,根据Zone成员的PWWN或者FC地址,可以查找得到该Zone成员的feature属性,以feature属性作为该Zone成员的角色属性。
由于只有角色属性不同的Zone成员之间会进行存储访问,在获得Zone成员的角色属性后,只要在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项即可;角色属性相同的Zone成员之间不会进行存储访问,不会有存储访问的流量,无需对其进行限制或允许。
可以采用多种方式来实现在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项。例如,可以参照现有技术中的方式来根据Zone规则生成访问控制表项;在下发访问控制表项时,只下发角色属性不同的Zone成员之间的访问控制表项。再如,在生成控制表项前,先判断该控制表项的通信双方是否具有相同的角色属性,是则不再生成该表项;下发所生成的所有表项。
当Zone配置发生可能导致访问控制表项变化的更新时,按照最新的Zone配置信息,在角色属性不同的Zone成员之间生成并下发访问控制表项。例如,当网络管理员更改激活Zone集合后,当有成员加入或离开某个激活Zone后,当网络管理员更改Zone规则后。
访问控制表项中作为通信一方(访问发起端或访问接收端)的N节点可以是一个,也可以是两个或多个;换言之,一条访问控制表项可以是限制或允许点到点的访问,可以是限制或允许点到多点的访问,还可以是限制或允许多点到多点的访问。本例中的方法适用于生成并下发控制点到点存储访问的访问控制表项,而不适用于点到多点、多点到多点的情形。
在前述4类Zone规则中,允许同一激活Zone中Zone成员相互访问的规则(即1类规则)应用最为广泛。根据1类规则通常生成允许点到点访问的访问控制表项。在一个例子中,可以按照以下流程来按照1类规则生成并下发访问控制表项:
以激活Zone集合中的一个激活Zone作为当前Zone;
以当前Zone中的一个Zone成员作为第一当前成员,获取第一当前成员的角色属性;
以当前Zone中除第一当前成员之外的一个Zone成员作为第二当前成员,获取第二当前成员的角色属性;比较第一当前成员的角色属性与第二当前成员的角色属性,如果不同,则生成并下发允许第一当前成员访问第二当前成员的访问控制表项,否则不做处理;重复本步骤直至遍历完当前Zone中除第一当前成员之外的所有其他Zone成员;
重复上述两个步骤,直至遍历完当前Zone的所有Zone成员;
重复上述四个步骤,直至遍历完激活Zone集合中的所有激活Zone。
本例中,在将Zone规则转换为访问控制表项时,只生成并下发用于角色属性不同的Zone成员之间的访问控制表项,避免了对不会实际发生的角色属性相同的Zone成员之间的流量进行控制,达到节约网络设备的访问控制资源的目的。尤其是对于控制点到点访问的访问控制表项,应用本例后能够减少大量的表项条数,仍以包括3个服务器和3个磁盘阵列的激活Zone为例,应用本例后,根据1类规则在边缘网络设备上下发的ACL为18条。
在本申请的另一个例子中,网络管理员完成某个Zone集合中各个Zone的Zone成员的设置和默认Zone策略的设置,并激活该Zone集合。激活Zone的配置信息扩散到SAN网络中的每个网络设备上,在边缘网络设备上,根据Zone配置信息中的默认Zone策略生成Zone规则,其中包括允许同一激活Zone中的Zone成员相互访问的1类规则。根据1类规则生成并下发ACL的处理流程,如图2所示。
步骤201,以激活Zone集合中的一个激活Zone作为当前Zone。
步骤202,以当前Zone中的一个Zone成员作为第一当前成员。
步骤203,根据第一当前成员的FC地址或者PWWN,在名字服务数据库中查找对应的N节点。基于扩散机制,本例中每个SAN的网络设备上维护着同样的名字服务数据库。
步骤204,判断是否在名字服务数据库中是否找到第一当前成员对应的N节点,如果是,执行步骤205;否则转步骤213。
步骤205,将第一当前成员对应的N节点在名字服务数据库中的feature属性记为Fx。
步骤206,将当前Zone中除第一当前成员之外的一个Zone成员作为第二当前成员。
步骤207,根据第二当前成员的FC地址或者PWWN,在名字服务数据库中查找对应的N节点。
步骤208,判断是否在名字服务数据库中是否找到第二当前成员对应的N节点,如果是,执行步骤209;否则转步骤212。
步骤209,将第二当前成员对应的N节点在名字服务数据库中的feature属性记为Fy。
步骤210,判断Fx和Fy是否相同,如果是,转步骤212;否则执行步骤211。
步骤211,生成并下发允许第一当前成员访问第二当前成员的访问控制表项。
步骤212,判断是否遍历完当前Zone中除第一当前成员外的所有其他Zone成员,如果是,执行步骤213;否则转步骤206。当前Zone中除第一当前成员之外的每个Zone成员都会依次作为第二当前成员,这样,生成并下发的访问控制表项将允许第一当前成员访问当前Zone中所有角色属性不同的其他Zone成员。
步骤213,判断是否遍历完当前Zone中的所有Zone成员,如果是,执行步骤214,否则转步骤202。当前Zone中的每一个Zone成员会依次作为第一当前成员,这样,生成并下发的访问控制表项将允许当前Zone中的任一成员访问角色属性不同的其他成员。
步骤214,判断是否遍历完激活Zone集合中的所有激活Zone,如果是,流程结束,否则转步骤201。激活Zone集合中的每个激活Zone会依次作为当前Zone,这样,生成并下发的访问控制表项将允许每个激活Zone中的任一成员访问同一个激活Zone中角色属性不同的其他成员。
上述流程执行完毕后,在边缘网络设备上,每个激活Zone中每个N节点对同一个激活Zone中角色属性不同的N节点的访问,将对应于一条允许上述访问的ACL表项。
与上述流程实现对应,本申请还提供了SAN的访问控制装置,图3所示为本申请一个例子中的一种SAN的访问控制装置,应用在SAN的边缘网络设备上,从功能上划分,包括配置信息获取单元、规则生成单元和表项生成下发单元,其中:配置信息获取单元用于获取SAN的Zone配置信息,所述Zone配置信息包括默认Zone策略和Zone成员;规则生成单元用于根据默认Zone策略生成Zone规则;表项生成下发单元用于获取Zone规则所涉及的Zone成员的角色属性,在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项。
一个例子中个,所述Zone规则包括:允许同一激活Zone中Zone成员相互访问的规则。
上述例子中,所述表项生成下发单元获取Zone规则所涉及的Zone成员的角色属性,在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项,包括:
以激活Zone集合中的一个激活Zone作为当前Zone;
将当前Zone的一个Zone成员作为第一当前成员,获取第一当前成员的角色属性;
将当前Zone中除第一当前成员之外的一个Zone成员作为第二当前成员,获取第二当前成员的角色属性;如果第一当前成员与第二当前成员的角色属性不同,则生成并下发允许第一当前成员访问第二当前成员的访问控制表项,否则不做处理;重复本步骤直至遍历完当前Zone中除第一当前成员之外的所有其他Zone成员;
重复上述两个步骤,直至遍历完当前Zone的所有Zone成员;
重复上述四个步骤,直至遍历完激活Zone集合中的所有激活Zone。
一个例子中,所述角色属性包括存储访问的发起端和接收端。
上述例子中,所述配置信息获取单元获取Zone规则所涉及的Zone成员的角色属性,包括:从SAN的名字服务数据库中查找Zone成员的feature属性,以feature属性作为Zone成员的角色属性。
本申请实施例的SAN的访问控制装置可以是软硬件结合的可编程设备,从硬件层面而言,SAN的访问控制装置的硬件架构示意图具体可以参见图4。图4为本申请实施例提供的包含SAN的访问控制装置的设备的硬件结构示意图。该设备包括:机器可读存储介质、CPU(Central Process Unit,中央处理器),其中:
机器可读存储介质:存储指令代码;所述指令代码被CPU执行时完成的操作主要为SAN的访问控制装置完成的功能。
CPU:与机器可读存储介质通信,读取和执行机器可读存储介质中存储的所述指令代码,完成上述SAN的访问控制装置完成的功能。
机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom AccessMemory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。另外,本文所描述的任一机器可读存储介质都可以是非暂时性的。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种存储区域网络SAN的访问控制方法,应用在SAN的边缘网络设备上,其特征在于,所述方法包括:
获取SAN的区域Zone配置信息,所述Zone配置信息包括默认Zone策略和Zone成员;
根据默认Zone策略生成Zone规则;
获取Zone规则所涉及的Zone成员的角色属性,仅在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项。
2.根据权利要求1所述的方法,其特征在于,所述Zone规则包括:允许同一激活Zone中Zone成员相互访问的规则。
3.根据权利要求2所述的方法,其特征在于,所述获取Zone规则所涉及的Zone成员的角色属性,在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项,包括:
以激活Zone集合中的一个激活Zone作为当前Zone;
将当前Zone的一个Zone成员作为第一当前成员,获取第一当前成员的角色属性;
将当前Zone中除第一当前成员之外的一个Zone成员作为第二当前成员,获取第二当前成员的角色属性;如果第一当前成员与第二当前成员的角色属性不同,则生成并下发允许第一当前成员访问第二当前成员的访问控制表项,否则不做处理;重复本步骤直至遍历完当前Zone中除第一当前成员之外的所有其他Zone成员;
重复上述两个步骤,直至遍历完当前Zone的所有Zone成员;
重复上述四个步骤,直至遍历完激活Zone集合中的所有激活Zone。
4.根据权利要求1所述的方法,其特征在于,所述角色属性包括存储访问的发起端和接收端。
5.根据权利要求4所述的方法,其特征在于,所述获取Zone规则所涉及的Zone成员的角色属性,包括:从SAN的名字服务数据库中查找Zone成员的feature属性,以feature属性作为Zone成员的角色属性。
6.一种存储区域网络SAN的访问控制装置,应用在SAN的边缘网络设备上,其特征在于,所述装置包括:
配置信息获取单元,用于获取SAN的区域Zone配置信息,所述Zone配置信息包括默认Zone策略和Zone成员;
规则生成单元,用于根据默认Zone策略生成Zone规则;
表项生成下发单元,用于获取Zone规则所涉及的Zone成员的角色属性,仅在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项。
7.根据权利要求6所述的装置,其特征在于,所述Zone规则包括:允许同一激活Zone中Zone成员相互访问的规则。
8.根据权利要求7所述的装置,其特征在于,所述表项生成下发单元获取Zone规则所涉及的Zone成员的角色属性,在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项,包括:
以激活Zone集合中的一个激活Zone作为当前Zone;
将当前Zone的一个Zone成员作为第一当前成员,获取第一当前成员的角色属性;
将当前Zone中除第一当前成员之外的一个Zone成员作为第二当前成员,获取第二当前成员的角色属性;如果第一当前成员与第二当前成员的角色属性不同,则生成并下发允许第一当前成员访问第二当前成员的访问控制表项,否则不做处理;重复本步骤直至遍历完当前Zone中除第一当前成员之外的所有其他Zone成员;
重复上述两个步骤,直至遍历完当前Zone的所有Zone成员;
重复上述四个步骤,直至遍历完激活Zone集合中的所有激活Zone。
9.根据权利要求6所述的装置,其特征在于,所述角色属性包括存储访问的发起端和接收端。
10.根据权利要求9所述的装置,其特征在于,所述配置信息获取单元获取Zone规则所涉及的Zone成员的角色属性,包括:从SAN的名字服务数据库中查找Zone成员的feature属性,以feature属性作为Zone成员的角色属性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510121970.1A CN104717290B (zh) | 2015-03-19 | 2015-03-19 | San的访问控制方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510121970.1A CN104717290B (zh) | 2015-03-19 | 2015-03-19 | San的访问控制方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104717290A CN104717290A (zh) | 2015-06-17 |
CN104717290B true CN104717290B (zh) | 2018-02-09 |
Family
ID=53416238
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510121970.1A Active CN104717290B (zh) | 2015-03-19 | 2015-03-19 | San的访问控制方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104717290B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107515879B (zh) | 2016-06-16 | 2021-03-19 | 伊姆西Ip控股有限责任公司 | 用于文档检索的方法和电子设备 |
US10764367B2 (en) * | 2017-03-15 | 2020-09-01 | Hewlett Packard Enterprise Development Lp | Registration with a storage networking repository via a network interface device driver |
CN113965401B (zh) * | 2021-11-01 | 2023-09-19 | 新华三技术有限公司合肥分公司 | 一种报文转发方法、装置及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101458666A (zh) * | 2008-12-05 | 2009-06-17 | 北京安高科技有限公司 | 一种数据访问控制方法 |
CN102611624A (zh) * | 2012-03-16 | 2012-07-25 | 北京星网锐捷网络技术有限公司 | 一种存储网络安全访问控制方法、装置及交换设备 |
CN103560909A (zh) * | 2013-10-24 | 2014-02-05 | 杭州华三通信技术有限公司 | 区域访问控制表项维护方法及装置 |
CN104283803A (zh) * | 2014-10-11 | 2015-01-14 | 杭州华三通信技术有限公司 | 一种控制报文转发的方法和装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4220166B2 (ja) * | 2002-02-19 | 2009-02-04 | 株式会社日立製作所 | ストレージエリアネットワークシステムのアクセス制御方法 |
US20070186274A1 (en) * | 2006-02-07 | 2007-08-09 | Matsushita Electric Industrial Co., Ltd. | Zone based security model |
US8274993B2 (en) * | 2006-06-16 | 2012-09-25 | Cisco Technology, Inc. | Fibre channel dynamic zoning |
-
2015
- 2015-03-19 CN CN201510121970.1A patent/CN104717290B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101458666A (zh) * | 2008-12-05 | 2009-06-17 | 北京安高科技有限公司 | 一种数据访问控制方法 |
CN102611624A (zh) * | 2012-03-16 | 2012-07-25 | 北京星网锐捷网络技术有限公司 | 一种存储网络安全访问控制方法、装置及交换设备 |
CN103560909A (zh) * | 2013-10-24 | 2014-02-05 | 杭州华三通信技术有限公司 | 区域访问控制表项维护方法及装置 |
CN104283803A (zh) * | 2014-10-11 | 2015-01-14 | 杭州华三通信技术有限公司 | 一种控制报文转发的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104717290A (zh) | 2015-06-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11354039B2 (en) | Tenant-level sharding of disks with tenant-specific storage modules to enable policies per tenant in a distributed storage system | |
US10277677B2 (en) | Mechanism for disaggregated storage class memory over fabric | |
CN101449275B (zh) | 用于存储装置的安全访问控制的系统和方法 | |
CN104364761B (zh) | 用于在集群网络中转发流量的系统和方法 | |
US8732381B2 (en) | SAS expander for communication between drivers | |
JP6328596B2 (ja) | 十分に接続されたメッシュトポロジーのためのPCIExpressファブリックルーティング | |
CN104717290B (zh) | San的访问控制方法和装置 | |
CN106130721B (zh) | 一种高速网络存贮加密机 | |
US8504770B2 (en) | System and method for representation of target devices in a storage router | |
CN107196982A (zh) | 一种用户请求的处理方法和装置 | |
WO2016066108A1 (zh) | 路由访问方法、路由访问系统及用户终端 | |
CN109542861B (zh) | 一种文件管理方法、装置和系统 | |
CN106815218A (zh) | 数据库访问方法、装置和数据库系统 | |
US10091057B2 (en) | Configuring distributed monitoring systems | |
CN106164898A (zh) | 数据处理方法和装置 | |
CN108370382A (zh) | 用于虚拟机之间的数据传输的可缩放技术 | |
US9565050B1 (en) | Fibre channel peer zoning | |
US9641611B2 (en) | Logical interface encoding | |
CN105991439B (zh) | 管理数据中心服务器的方法及装置 | |
CN109995853A (zh) | 一种基于私有云的数据传输中心及方法 | |
CN104247375B (zh) | 光纤通道中实现节点端口虚拟化的方法,装置和系统 | |
US20110276728A1 (en) | Method and apparatus for storage i/o path configuration | |
CN106933497A (zh) | 一种基于sas的管理调度装置、系统及方法 | |
CN103560909B (zh) | 区域访问控制表项维护方法及装置 | |
JP2024510438A (ja) | コンピューティング・システムにおけるメモリ動作管理 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |