CN105306387B - 一种分区方法及设备 - Google Patents
一种分区方法及设备 Download PDFInfo
- Publication number
- CN105306387B CN105306387B CN201410373288.7A CN201410373288A CN105306387B CN 105306387 B CN105306387 B CN 105306387B CN 201410373288 A CN201410373288 A CN 201410373288A CN 105306387 B CN105306387 B CN 105306387B
- Authority
- CN
- China
- Prior art keywords
- enode
- identifier
- zone configuration
- sent
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供的分区方法,应用于无损以太网交换设备,其中,多个ENode通过所述无损以太网交换设备互联,所述方法包括:侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识;向FCoE控制设备发送所述ENode的第一标识;接收所述FCoE控制设备发送的分区配置,根据所述分区配置控制所述多个ENode之间的报文转发;其中,所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识。本发明实施例通过对VN2VN网络的各节点进行分区处理,实现各节点之间的网络隔离,提高了网络安全性。本发明实施例还提供了一种无损以太网交换设备和FCoE控制设备。
Description
技术领域
本发明实施例涉及通信技术领域,具体涉及一种分区(英文:zoning)方法及设备。
背景技术
在以太网光纤通道(英文:Fibre Channel over Ethernet,简称:FCoE)网络中,以太网光纤通道网络节点(英文:FCoE Node,简称:ENode)之间通过一个或多个FCoE交换机互联。ENode在初始化时需要向FCoE转发器(英文:FCoE Forwarder,简称:FCF)注册,由FCF为ENode分配N端口标识(英文:N_Port_ID),用于在后续通信过程中标识所述ENode。
虚拟N端口-虚拟N端口(英文:Virtual N_Port to Virtual N_Port,简称:VN2VN)网络是FCoE网络的一种新型的组网形态。如图1所示,为现有技术中的VN2VN网络示意图。在VN2VN组网中,多个ENode(例如ENode1,ENode2,ENode3)通过无损以太网络(英文:LosslessEthernet Network)进行互联,无需FCoE交换机的支持。此外,在VN2VN组网中,各ENode之间直接交互协商N_Port_ID等网络参数,无需FCF设备的参与。
在现有VN2VN组网中,当有新的ENode上线时,需按照一定步骤进行N_Port_ID协商,以使该新的ENode加入VN2VN网络。假设在VN2VN网络中,已经有3个ENode进入工作态,该3个ENode具有各自的N_Port_ID,在VN2VN网络中,该N_Port_ID又可称为局部唯一标识(英文:locally Unique N_Port_ID,简称:LUID)。当ENode完成邻居发现后,其VN2VN邻居列表(英文:VN2VN Neighbor Set)中保存了邻居节点的信息。新增ENode在刚加入VN2VN网络时,其N_Port_ID还未分配,其VN2VN Neighbor Set也为空。新增ENode只有成功获取N_Port_ID才能进行数据传输。新增ENode协商N_Port_ID以及进行邻居发现的处理流程如下:
Step1,新增ENode先在本地随机产生一个临时的N_Port_ID,然后向所在网络内所有VN2VN_Port组播发送探测(Probe)报文,以向网络内的所有其他ENode通告其临时N_Port_ID,然后等待其他ENode的响应消息。如果其他ENode返回的响应消息表明该临时N_Port_ID不与已分配的N_Port_ID冲突,则在连续两次发送Probe报文之后,确定该临时N_Port_ID可以作为新增ENode的VN2VN_Port的N_Port_ID值。如果有冲突,则所述新增ENode重新随机产生一个临时N_Port_ID,再重复上述冲突探测流程,直到N_Port_ID不与网络中现有的N_Port_ID产生冲突为止。
Step2,新增ENode确定N_Port_ID后,通过向网络内所有VN2VN_Port发送邻居发现Claim报文以通告自身的N_Port_ID,所有ENode在收到该Claim报文并解析报文内容后将所述新增ENode的N_Port_ID添加到各自的邻居列表中。
Step3,邻居ENode在收到Claim报文后,均需向新增ENode发送邻居发现响应ClaimResponse报文,以通告各自的N_Port_ID。新增ENode逐一解析这些Claim Response报文并将所有邻居的N_Port_ID逐一添加到自己的邻居列表中。
现有技术中,由于新增ENode在进行N_Port_ID的协商以及邻居发现过程中,是向网络中所有ENode发送probe报文以及Claim报文,这样所有的邻居ENode均能够获知新增节点的N_Port_ID等网络参数信息。相应的,新增节点也通过所有邻居ENode发送的ClaimResponse报文能够获知网络中所有ENode的N_Port_ID等网络参数信息。因此,在VN2VN网络中,每个ENode均能够感知其他ENode的网络参数信息,并能够与其他ENode实现通信。然而,光纤通道存储网络(英文:Fibre Chanel Storage Area Network,简称:FC SAN)对安全性要求极高,特定的存储只希望被特定的主机进行访问。现有的VN2VN中无法实现ENode之间的网络隔离,因此存在安全性差的问题。
发明内容
本发明要解决的技术问题在于提供一种分区方法及设备,以克服现有技术中无法实现各ENode之间的网络隔离导致的网络安全性差的缺陷。
为此,本发明提供如下技术方案:
第一方面,本发明提供了一种分区方法,应用于无损以太网交换设备,其中,多个ENode通过所述无损以太网交换设备互联,所述方法包括:
侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识;
向FCoE控制设备发送所述ENode的第一标识;
接收所述FCoE控制设备发送的分区配置,根据所述分区配置控制所述多个ENode之间的报文转发;其中,所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识。
结合第一方面,在第一方面的第一种可能的实现方式中,所述根据所述分区配置控制所述多个ENode之间的报文转发包括:
根据所述分区配置控制所述多个ENode之间的控制协议报文转发;和/或,
根据所述分区配置控制所述多个ENode之间的数据报文转发。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述根据所述分区配置控制所述多个ENode之间的控制协议报文转发包括:
接收第一ENode向所述无损以太网内所有ENode组播发送的claim报文,所述第一ENode为所述多个ENode中的任意一个;
根据所述分区配置确定与所述第一ENode属于同一分区的ENode,向与所述第一ENode属于同一分区的ENode发送所述claim报文。
结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述根据所述分区配置确定与所述第一ENode属于同一分区的ENode包括:
根据所述claim报文中携带的所述第一ENode的第二标识,获得与所述第一ENode的第二标识对应的分区配置;
根据所述与所述第一ENode的第二标识对应的分区配置确定与所述第一ENode属于同一分区的ENode。
结合第一方面的第一种可能的实现方式,在第一方面的第四种可能的实现方式中,所述根据所述分区配置控制所述多个ENode之间的数据报文转发包括:
当接收到第一ENode向第二ENode发送的数据报文时,根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区;所述第一ENode为所述多个ENode中的任意一个;如果所述第一ENode和所述第二ENode属于同一分区,则向所述第二ENode发送所述数据报文;如果所述第一ENode和所述第二ENode不属于同一分区,则丢弃所述数据报文。
结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式中,所述根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区包括:
根据所述数据报文获得所述第一ENode的第二标识;
根据获得的所述第一ENode的第二标识,查找访问控制列表(英文:AccessControl List,缩写:ACL),根据所述ACL中与所述第一ENode的第二标识对应的转发表项,确定所述第一ENode和所述第二ENode是否属于同一分区;其中,所述ACL为根据所述分区配置映射得到。
结合第一方面或第一方面的前述任意一种可能的实现方式,在第一方面的第六种可能的实现方式中,所述第一标识包括全球唯一端口名称(英文:World Wide Port Name,缩写:WWPN)、N_Port ID以及介质访问控制(英文:Media Access Control,缩写:MAC)地址;
所述第二标识包括所述N_Port ID以及所述MAC地址中的至少一个。
结合第一方面的第六种可能的实现方式,在第一方面的第七种可能的实现方式中,所述侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识包括:
侦听所述第一ENode向所述无损以太网内的所述多个ENode组播发送的probe报文,从所述probe报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址;
所述向所述FCoE控制设备发送所述ENode的第一标识包括:
在侦听到所述无损以太网内的所述多个ENode中的每个ENode发送的proberesponse报文且根据所述每个ENode发送的probe response报文确定所述probe报文中携带的所述第一ENode的N_Port ID不与所述无损以太网内的任何ENode的N_Port ID冲突时,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
结合第一方面的第六种可能的实现方式,在第一方面的第八种可能的实现方式中,所述侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识包括:
侦听所述第一ENode发送的claim报文,从所述claim报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址;
所述向所述FCoE控制设备发送所述ENode的第一标识包括:
在侦听到所述第一ENode发送的claim报文后,在向所述多个ENode中的其他ENode转发所述claim报文之前,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
根据本发明的第二方面,提供了一种分区方法,应用于FCoE控制设备,所述FCoE控制设备与无损以太网交换设备通信连接,其中,多个ENode通过所述无损以太网交换设备互联,所述方法包括:
接收所述无损以太网交换设备发送的每个ENode的第一标识;
根据所述每个ENode的第一标识,生成分区配置;所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识;
向所述无损以太网交换设备发送所述分区配置。
结合第二方面,在第二方面的第一种可能的实现方式中,所述接收所述无损以太网交换设备发送的每个ENode的第一标识包括:
接收所述无损以太网交换设备发送的每个ENode的WWPN、N_Port ID以及MAC地址;
所述根据所述每个ENode的第一标识,生成分区配置包括:
接收第一分区配置,所述第一分区配置包括属于同一分区的ENode的WWPN;
根据所述每个ENode的WWPN、N_PortID以及MAC地址,将所述第一分区配置中的属于同一分区的ENode对应的WWPN转换为属于同一分区的ENode对应的N_PortID和/或MAC地址,以生成第二分区配置;
所述向所述无损以太网交换设备发送所述分区配置包括:
向所述无损以太网交换设备发送所述第二分区配置。
根据本发明的第三方面,公开了一种无损以太网交换设备,多个ENode通过所述无损以太网交换设备互联,所述设备包括:
侦听单元,用于侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识;
发送单元,用于向FCoE控制设备发送所述侦听单元获得的所述ENode的第一标识;
控制单元,用于接收所述FCoE控制设备发送的分区配置,根据所述分区配置控制所述多个ENode之间的报文转发;其中,所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识。
结合第三方面,在第三方面的第一种可能的实现方式中,所述控制单元具体用于:
根据所述分区配置控制所述多个ENode之间的控制协议报文转发;和/或,
根据所述分区配置控制所述多个ENode之间的数据报文转发。
结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述控制单元具体用于:
接收第一ENode向所述无损以太网内所有ENode组播发送的claim报文,根据所述分区配置确定与所述第一ENode属于同一分区的ENode,向与所述第一ENode属于同一分区的ENode发送所述claim报文;其中,所述第一ENode为所述多个ENode中的任意一个。
结合第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,当根据所述分区配置确定与所述第一ENode属于同一分区的ENode时,所述控制单元具体用于:
根据所述claim报文中携带的第一ENode的第二标识,获得与所述第一ENode的第二标识对应的分区配置;根据所述与所述第一ENode的第二标识对应的分区配置确定与所述第一ENode属于同一分区的ENode。
结合第三方面的第一种可能的实现方式,在第三方面的第四种可能的实现方式中,当根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区时,所述控制单元具体用于:
当接收到所述第一ENode向第二ENode发送的数据报文时,根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区;如果所述第一ENode和所述第二ENode属于同一分区,则向所述第二ENode发送所述数据报文;如果所述第一ENode和所述第二ENode不属于同一分区,则丢弃所述数据报文。
结合第三方面的第四种可能的实现方式,在第三方面的第五种可能的实现方式中,所述控制单元具体用于:
根据所述数据报文获得所述第一ENode的第二标识;根据获得的所述第一ENode的第二标识,查找ACL,根据所述ACL中与所述第一ENode的标识对应的转发表项,确定所述第一ENode和所述第二ENode是否属于同一分区;其中,所述ACL为根据所述分区配置映射得到。
结合第三方面或者第三方面的前述任意一种可能的实现方式,在第三方面的第六种可能的实现方式中,所述第一标识包括WWPN、N_Port ID以及MAC地址;所述第二标识包括所述N_Port ID以及MAC地址中的至少一个。
结合第三方面的第六种可能的实现方式,在第三方面的第七种可能的实现方式中,所述侦听单元具体用于:
侦听所述第一ENode向所述无损以太网内的所述多个ENode组播发送的probe报文,从所述probe报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址;
所述发送单元具体用于:
在侦听到所述无损以太网内的所述多个ENode中的每个ENode发送的proberesponse报文且根据所述每个ENode发送的probe response报文确所述probe报文中携带的所述第一ENode的N_Port ID标识不与所述无损以太网内的任何ENode的N_Port ID冲突时,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
结合第三方面的第六种可能的实现方式,在第三方面的第八种可能的实现方式中,所述侦听单元具体用于:
侦听所述第一ENode发送的claim报文,从所述claim报文中获得所述第一ENod的WWPN、N_Port ID以及MAC地址;
所述发送单元具体用于:
在侦听到所述第一ENode发送的claim报文后,在向所述多个ENode中的其他ENode转发所述claim报文之前,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
根据本发明的第四方面,提供了一种以太网光纤通道FCoE控制设备,所述FCoE控制设备与无损以太网交换设备通信连接,其中,多个ENode通过所述无损以太网交换设备互联,所述设备包括:
接收单元,用于接收所述无损以太网交换设备发送的每个ENode的第一标识;
分区配置单元,用于根据所述接收单元接收的所述每个ENode的第一标识,生成分区配置;所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识;
发送单元,用于向所述无损以太网交换设备发送所述分区配置单元生成的分区配置。
结合第四方面,在第四方面的第一种可能的实现方式中,当所述接收单元接收的所述每个ENode的第一标识包括WWPN、N_Port ID以及MAC地址时,所述分区配置单元具体用于:
接收第一分区配置,所述第一分区配置包括属于同一分区的ENode的WWPN;
根据所述每个ENode的WWPN、N_Port ID以及MAC地址,将所述第一分区配置中的属于同一分区的ENode对应的WWPN转换为属于同一分区的ENode对应的N_Port ID和/或MAC地址,以生成第二分区配置;
所述发送单元具体用于:
向所述无损以太网交换设备发送所述第二分区配置。
本发明提供的分区方法及设备,所述无损以太网交换设备对VN2VN网络的各ENode节点发送的报文进行侦听,获得各ENode的第一标识,并将所述各ENode的第一标识发送给FCoE控制设备,由所述FCoE控制设备根据所述各ENode的第一标识进行分区处理,所述无损以太网交换设备根据FCoE控制设备下发的分区配置,控制所述多个ENode之间的报文转发。本发明实施例通过对VN2VN网络的各节点进行分区处理,实现各节点之间的网络隔离,提高了网络安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其它的附图。
图1为现有技术中的VN2VN网络示意图;
图2为本发明实施例提供的一种分区方法的流程示意图;
图3为本发明实施例提供的一种分区方法中控制报文转发的过程示意图;
图4为本发明实施例提供的一种分区方法中另一种控制报文转发的过程示意图;
图5为本发明实施例提供的一种分区方法中数据报文转发的过程示意图;
图6为本发明实施例提供的一种分区方法中的数据报文转发的过程示意图;
图7为本发明实施例提供的另一种分区方法的流程示意图;
图8为本发明实施例提供的无损以太网交换设备示意图;
图9为本发明另一实施例提供的无损以太网交换设备示意图;
图10为本发明实施例提供的FCoE控制设备示意图;
图11为本发明另一实施例提供的FCoE控制设备示意图。
具体实施方式
本发明提供的一种分区方法及设备,实现了各ENode之间的网络隔离,提高了VN2VN网络的安全性。
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
参见图2,示出了本发明实施例提供的一种分区方法的流程示意图,应用于无损以太网交换设备,可包括以下步骤:
S201,所述无损以太网交换设备侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识。
在本发明实施例中,多个ENode通过所述无损以太网交换设备互联。相对于现有技术的无损以太网交换设备,本发明实施例的所述无损以太网交换设备新增侦听(Snooping)功能,可以侦听所述多个ENode的每个ENode发送的报文。具体实现时,所述无损以太网交换设备侦听每个ENode发送的控制协议报文。所述第一标识可以包括WWPN、N_Port ID以及MAC地址。
在一种可能的实现方式中,所述无损以太网交换设备侦听每个ENode向所述无损以太网内的其他ENode组播发送的探测probe报文,从所述probe报文中获得所述ENode的WWPN、N_Port ID以及MAC地址。假设第一ENode为多个ENode中的任意一个,则侦听第一ENode发送的报文,从所述报文中获取所述第一ENode的第一标识具体为:所述无损以太网交换设备侦听所述第一ENode向所述无损以太网内的所述多个ENode组播发送的探测probe报文,从所述probe报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址。假设无损以太网络内原本存在3个ENode,例如ENode1,ENode2和ENode3,ENode4为新增节点。当所述新增节点ENode4尝试接入所述无损以太网络时,将在本地生成临时N_Port ID,用于与所述无损以太网络中的其他ENode协商所述ENode4的N_Port ID。所述ENode4向无损以太网内的所有ENode组播发送包含所述ENode4的第一标识的probe报文。优选的,所述ENode4将发送两次probe报文,当在两个probe消息周期内通过probe reply确定所述ENode4的N_Port ID不与无损以太网络中的任何一个ENode的N_Port ID冲突,则确定所述N_Port ID有效,将其作为所述ENode4的N_Port ID使用。这时,所述无损以太网交换设备从所述probe报文中获得所述ENode4的第一标识,所述第一标识可以包括WWPN、N_Port ID以及MAC地址。如果发现为所述ENode4配置的N_Port ID与无损以太网络中的任何一个ENode的N_Port ID冲突时,则所述ENode4随机生成新的临时N_Port ID,重复上述冲突探测流程,直到为所述ENode4配置的N_Port ID不与所述无损以太网络中的已有的设备的N_Port ID冲突为止。在这一种实现方式中,当ENode成功发送两次probe报文且根据收到的两次probe reply确定所述ENode的N_Port ID不与网络中任何ENode的N_Port ID冲突时,所述以太网交换设备可以仅保存第二次侦听获得的所述ENode的第一标识。以此类推,所述以太网交换设备可以在有新增ENode加入所述无损以太网络时,通过侦听probe报文获得所述新增ENode的第一标识,从而获得每个ENode的第一标识。
在另外一种可能的实现方式中,所述以太网交换设备侦听所述每个ENode向所述无损以太网内的其他ENode组播发送的claim报文,从所述claim报文中获得所述ENode的WWPN、N_Port ID以及MAC地址。假设第一ENode为多个ENode中的任意一个,则侦听第一ENode发送的报文,从所述报文中获取所述第一ENode的第一标识具体为:所述以太网交换设备侦听所述第一ENode向所述无损以太网内的多个ENode组播发送的claim报文,从所述claim报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址。仍以无损以太网络内原本存在3个ENode,例如ENode1,ENode2和ENode3,ENode4为新增节点为例,ENode4在与以太网络中的其他节点ENode1、ENode2和ENode3协商N_Port ID成功后,将构造包含所述第一标识的claim报文,向无损以太网络中的其他ENode组播发送所述claim报文。所述第一标识可以包括:WWPN、MAC地址以及所述N_Port ID。其中,所述Claim报文的目的MAC地址为标准定义的二层组播地址。所述无损以太网交换设备可以通过侦听所述claim报文,获得每个ENode的第一标识。
S202,所述以太网交换设备向FCoE控制设备发送所述ENode的第一标识。
以太网交换设备还与FCoE控制设备通信连接。所述FCoE控制设备是FCoE VN2VN网络中的集中控制器,其可以是单独的硬件设备,例如一个专用设备或一台物理服务器;其还可以是以软件模块的方式实现,例如作为所述无损以太网交换设备的一个模块或一个部分实现。本发明对所述FCoE控制设备的具体实现不进行限制。
根据所述以太网交换设备侦听所述ENode的报文以获取所述ENode的第一标识的方式不同,所述以太网交换设备向所述FCoE控制设备发送所述ENode的第一标识的时机和方式将有所不同。一般情况下,当所述无损以太网络中的多个ENode包括第一ENode时,所述以太网交换设备在接收到所述第一ENode向所述多个ENode中的任意一个ENode发送的数据报文,在转发所述数据报文前,向所述FCoE控制设备发送所述ENode的第一标识即可。进一步地,所述以太网交换设备在接收到所述第一ENode向所述多个ENode组播发送的claim报文,在转发所述claim报文前,向所述FCoE控制设备发送所述ENode的第一标识即可。
在一种可能的实现方式中,当所述侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识具体包括侦听所述第一ENode向所述无损以太网内的所述多个ENode组播发送的probe报文,从所述probe报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址时,所述向所述FCoE控制设备发送所述ENode的第一标识包括:在侦听到所述无损以太网内的所述多个ENode中的每个ENode发送的probe response报文且根据所述每个ENode发送的probe response报文确定所述probe报文中携带的所述第一ENode的N_Port ID不与所述无损以太网内的任何ENode的N_Port ID冲突时,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
在另外一种可能的实现方式中,当所述侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识具体包括侦听所述第一ENode发送的claim报文,从所述claim报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址时,则所述无损以太网交换设备向所述FCoE控制设备发送所述ENode的第一标识包括:在所述无损以太网交换设备侦听到所述第一ENode发送的claim报文后,在向所述多个ENode中的其他ENode转发所述claim报文之前,所述无损以太网交换设备向所述FCoE控制设备发送所述第一ENode的WWPN、N_PortID以及MAC地址。
所述FCoE控制设备在接收所述无损以太网交换设备发送的ENode的第一标识后,将根据所述每个ENode的第一标识,生成分区配置。所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识。所述FCoE控制设备侧的具体实现可以参照图7所示实施例的描述实现。
S203,所述无损以太网交换设备接收所述FCoE控制设备发送的分区配置,根据所述分区配置控制所述多个ENode之间的报文转发。
具体实现时,所述无损以太网交换设备根据所述分区配置控制所述多个ENode之间的报文转发可以包括:根据所述分区配置控制所述多个ENode之间的控制协议报文转发;和/或,根据所述分区配置控制所述多个ENode之间的数据报文转发。其中,所述控制协议报文为ENode间根据控制协议进行控制面协议交换所发送的报文,控制协议报文又可称为控制报文,例如可以包括cliam报文、claim response报文等。
在一种可能的实现方式中,所述根据所述分区配置控制所述多个ENode之间的控制协议报文转发包括:所述无损以太网交换设备接收第一ENode向所述无损以太网内所有ENode组播发送的邻居发现claim报文,所述第一ENode为所述多个ENode中的任意一个;所述无损以太网交换设备根据所述分区配置确定与所述第一ENode属于同一分区的ENode,向与所述第一ENode属于同一分区的ENode发送所述claim报文。具体实现时,为了实现各ENode之间的网络隔离,在所述无损以太网交换设备接收到ENode(例如第一ENode)向其他ENode组播发送的claim报文时,所述无损以太网交换设备可以根据分区配置,确定与所述第一ENode属于同一分区的ENode,仅向与所述第一ENode处于同一分区的ENode转发所述claim报文,不向与所述第一ENode不处于同一分区的ENode转发所述claim报文。其中,所述无损以太网交换设备根据所述分区配置确定与所述第一ENode属于同一分区的ENode包括:所述无损以太网交换设备根据所述claim报文中携带的所述第一ENode的第二标识,获得与所述第一ENode的第二标识对应的分区配置;所述无损以太网交换设备根据所述与所述第一ENode的第二标识对应的分区配置确定与所述第一ENode属于同一分区的ENode。其中,所述第二标识可以包括所述N_Port ID以及所述MAC地址中的至少一个。
本发明实施例提供的方法还可以进一步包括:所述无损以太网交换设备接收与所述第一ENode属于同一分区的ENode向所述第一ENode发送的claim response,向所述第一ENode发送所述claim response,所述claim response包含所述与所述第一ENode属于同一分区的ENode的第一标识。
下面以一个实例对上述实现方式进行说明。参见图3,为本发明实施例提供的一种分区方法中控制报文转发的过程示意图。在图3中,无损以太网络中包括4个ENode,分别是ENode1,ENode2,ENode3以及ENode4,其中,ENode1和ENode2属于主机设备(host),ENode3以及ENode4属于存储设备(storage)。根据所述FCoE控制设备下发的分区配置,ENode1和ENode4属于同一分区,ENode3和ENode2属于同一分区。当ENode4向ENode1,ENode2以及ENode3组播发送claim报文以向ENode1,ENode2以及ENode3通告其N_Port ID时,所述无损以太网交换设备接收到所述ENode4组播发送的claim报文时,根据所述claim报文包含的N_Port ID和/或MAC地址,获得与所述N_Port ID和/或MAC地址对应的分区配置。例如,根据ENode4的N_Port ID和/或MAC地址,确定所述ENode4与ENode1属于同一分区,因此,仅向与所述ENode4属于同一分区的ENode1发送所述claim报文,发往ENode2和ENode3的claim报文将被屏蔽。因此,仅有ENode1收到所述ENode4发送的claim报文,并通过解析所述claim报文获得所述ENode4的第一标识,并在其邻居列表中保存所述ENode4的第一标识,例如可以包括ENode4的WWPN、N_Port ID以及MAC地址。参见图4,为本发明实施例提供的一种分区方法中另一种控制报文转发的过程示意图。由于仅有ENode1收到所述ENode4发送的claim报文,所述ENode1将向所述ENode4发送probe reply(又可以称为probe response),所述probereply包含了所述ENode1的标识信息。由此,ENode4即获得了与其属于同一分区的ENode1的第一标识,并保存所述ENode1的标识信息作为所述ENode4的邻居节点的标识信息。所述邻居节点的标识信息可以包括:WWPN、N_Port ID以及MAC地址。
在另外一种可能的实现方式中,所述根据所述分区配置控制所述多个ENode之间的控制协议报文转发包括:所述无损以太网交换设备接收每个ENode向第一ENode组播发送的claim response报文,所述第一ENode为所述多个ENode中的任意一个;所述无损以太网交换设备根据所述分区配置确定与所述第一ENode属于同一分区的ENode,向所述第一ENode发送与所述第一ENode属于同一分区的ENode发送的claim response报文。具体实现时,与前一种实现方式不同,为了实现各ENode之间的网络隔离,在所述无损以太网交换设备接收到ENode(例如第一ENode)向其他ENode组播发送的claim报文时,可以不进行处理,而是在收到所述无损以太网络中的其他ENode向所述第一ENode发送的claim response时,根据分区配置,确定与所述第一ENode属于同一分区的ENode,仅向所述第一ENode发送与所述第一ENode处于同一分区的ENode发送的claimresponse报文,从而使得第一ENode仅能获得与其属于同一分区的ENode的第一标识,从而实现第一ENode与其不处于同一分区的ENode的网络隔离。
在一种可能的实现方式中,所述根据所述分区配置控制ENode之间的数据报文转发包括:当接收到所述第一ENode向第二ENode发送的数据报文时,根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区;如果所述第一ENode和所述第二ENode属于同一分区,则向所述第二ENode发送所述数据报文;如果所述第一ENode和所述第二ENode不属于同一分区,则丢弃所述数据报文。具体实现时,为了实现各ENode之间的网络隔离,在所述无损以太网交换设备接收到ENode(例如第一ENode)向其他ENode(例如第二ENode)发送的数据报文时,仅在第一ENode与第二ENode属于同一分区时才转发所述数据报文,否则丢弃所述数据报文。其中,所述根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区包括:根据所述数据报文获得所述第一ENode的第二标识;根据获得的所述第一ENode的第二标识,查找访问控制列表ACL,根据所述ACL中与所述第一ENode的第二标识对应的转发表项,确定所述第一ENode和所述第二ENode是否属于同一分区;其中,所述ACL为根据所述分区配置映射得到。
下面以一个实例对上述实现方式进行说明。参见图5,为本发明实施例提供的一种分区方法中数据报文转发的过程示意图。例如,无损以太网络中包括4个ENode,分别是ENode1,ENode2,ENode3以及ENode4,其中,ENode1和ENode4属于同一分区,ENode3和ENode2属于同一分区。当ENode4向ENode2发送FCoE数据报文时,所述无损以太网交换设备接收到所述ENode4发送的FCoE数据报文时,根据所述FCoE数据报文包含的N_Port ID和/或MAC地址,查找访问控制列表ACL,根据所述ACL中与所述ENode1的第二标识对应的转发表项,确定所述ENode1和所述ENode2是否属于同一分区。其中,ACL为根据所述分区配置映射而成。假设分区配置中,ENode1和ENode4属于同一分区,ENode2和ENode3属于同一分区。其中,ACL的具体表现形式可以如表1所示。
表1 ACL转发控制表(1)
其中,在表1中,Source Address表示源地址,Destination Adress表示目的地址,其中的值可以是各ENode的N_Port ID和/或MAC地址。Deny表示不属于同一分区,禁止数据报文转发;Permit表示属于同一分区,允许数据报文转发。
其中,ACL的具体表现形式还可以如表2所示。
表2 ACL转发控制表(2)
| N_Port ID Group | |
| {00.00.01,00.00.04} | Permit |
| {00.00.02,00.00.03} | Permit |
| …… | …… |
| …… | …… |
| …… | …… |
在表2中,保存了属于同一分区的ENode的标识组(N_Port ID Group),属于同一分区的N_Port ID Group转发表项为Permit,即允许N_Port ID group内的N_Port ID对应的N_Port之间转发数据报文。
其中,ACL的具体表现形式还可以如表3所示。
表3 ACL转发控制表(3)
| MAC Group | |
| {01.00.00.01,04.00.00.04} | Permit |
| {02.00.00.02,03.00.00.03} | Permit |
| …… | …… |
| …… | …… |
| …… | …… |
在表3中,保存了属于同一分区的ENode的MAC地址组(MAC Group),属于同一分区的MAC Group转发表项为Permit,即允许MAC group内的MAC地址之间转发数据报文。当然,ACL列表还可以有其他实现方式,本发明对此不进行限定。
所述无损以太网交换设备可以通过查找表1或表2或者表3,确定ENode4和ENode2不属于同一分区,因此丢弃所述FCoE数据报文,不向ENode2发送所述数据报文。
参见图6,为本发明实施例提供的一种分区方法中的数据报文转发的过程示意图。当ENode4向ENode1发送FCoE数据报文时,所述无损以太网交换设备接收到所述ENode4发送的FCoE数据报文时,根据所述FCoE数据报文包含的N_Port ID和/或MAC地址,查找访问控制列表ACL,根据所述ACL中与所述ENode4的N_Port ID和/或MAC地址对应的转发表项,确定所述ENode4和所述ENode1属于同一分区,则向ENode1转发所述FCoE数据报文。
需要说明的是,所述无损以太网交换设备根据所述分区配置控制所述多个ENode之间的控制协议报文转发,以及,所述无损以太网交换设备根据所述分区配置控制所述多个ENode之间的数据报文转发,这两种控制方式可以单独适用,也可以结合适用。例如,在第一种可能的实现方式中,可以仅在接收到所述多个ENode中的任意一个ENode(例如第一ENode)向所述无损以太网内所有ENode组播发送的邻居发现claim报文时,根据所述分区配置确定与所述第一ENode属于同一分区的ENode,向与所述第一ENode属于同一分区的ENode发送所述claim报文。又如,在第二种可能的实现方式中,结合第一种可能的实现方式,所述方法进一步包括对数据报文的转发控制。例如,当接收到所述第一ENode向第二ENode发送的数据报文时,根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区;如果所述第一ENode和所述第二ENode属于同一分区,则向所述第二ENode发送所述数据报文;如果所述第一ENode和所述第二ENode不属于同一分区,则丢弃所述数据报文。当然,可以不对控制协议报文进行转发控制,仅对数据报文进行转发控制。
在本发明实施例提供的分区方法中,所述无损以太网交换设备对VN2VN网络的各ENode节点发送的报文进行侦听,获得各ENode的第一标识,并将所述各ENode的第一标识发送给FCoE控制设备,由所述FCoE控制设备根据所述各ENode的第一标识进行分区处理,所述无损以太网交换设备根据FCoE控制设备下发的分区配置,控制所述多个ENode之间的报文转发。本发明实施例通过对VN2VN网络的各节点进行分区处理,实现各节点之间的网络隔离,提高了网络安全性。
参见图7,为本发明实施例提供的另一种分区方法的流程示意图,所述方法应用于FCoE控制设备,所述FCoE控制设备与无损以太网交换设备通信连接,其中,多个ENode通过所述无损以太网交换设备互联,所述方法包括:
S701,所述FCoE控制设备接收所述无损以太网交换设备发送的每个ENode的第一标识。
其中,所述FCoE控制设备是FCoE VN2VN网络中的集中控制器,其可以是单独的硬件设备,例如一个专用设备或一台物理服务器;其还可以是以软件模块的方式实现,例如作为所述无损以太网交换设备的一个模块或一个部分实现。本发明对所述FCoE控制设备的具体实现不进行限制。
所述每个ENode的第一标识可以包括:所述ENode的WWPN、N_Port ID以及MAC地址。
S702,所述FCoE控制设备根据所述每个ENode的第一标识,生成分区配置;所述分区配置包括属于同一分区的各ENode的第二标识。
其中,每个ENode的第一标识包括所述ENode的第二标识。所述第二标识包括所述N_Port ID以及所述MAC地址中的至少一个。
具体实现时,所述根据所述每个ENode的第一标识,生成分区配置包括:
接收第一分区配置,所述第一分区配置包括属于同一分区的ENode的WWPN;根据所述每个ENode的WWPN、N_PortID以及MAC地址,将所述第一分区配置中的属于同一分区的ENode对应的WWPN转换为属于同一分区的ENode对应的N_PortID和/或MAC地址,以生成第二分区配置。
具体实现时,所述FCoE控制设备包括配置接口,通过配置接口接收第一分区配置,所述第一分区配置包括属于同一分区的ENode的WWPN。例如,系统管理员可以通过所述配置接口将一组WWPN配置在同一个分区内,生成第一分区配置,通过配置接口输入所述第一分区配置。所述第一分区配置可以是一组WWPN集合,例如,{10:00:00:00:00:00:00:01,10:00:00:00:00:00:00:04},对应ENode1和ENode4的WWPN。当然,系统也可以根据预置的规则或方法自动生成第一分区配置。
当所述FCoE控制设备接收到第一分区配置后,则根据所述无损以太网交换设备发送的每个ENode的第一标识,即每个ENode的WWPN、N_PortID以及MAC地址,将第一分区配置转换为第二分区配置,即将属于同一分区的WWPN映射为属于同一分区的ENode对应的N_PortID和/或MAC地址。假设第一分区配置包括WWPN集合{10:00:00:00:00:00:00:01,10:00:00:00:00:00:00:04},则映射为N_Port_ID集合{00.00.01,00.00.04}和/或ENode MAC集合{01.00…01,01.00…04}。
S703,所述FCoE控制设备向所述无损以太网交换设备发送所述分区配置。
其中,所述FCoE控制设备向所述无损以太网交换设备发送所述分区配置包括:所述FCoE控制设备向所述无损以太网交换设备发送所述第二分区配置。当所述FCoE控制设备生成第二分区配置后,则向所述无损以太网交换设备发送所述包括属于同一分区的ENode对应的N_PortID和/或MAC地址的第二分区配置,以供所述无损以太网交换设备根据所述分区配置控制所述多个ENode的报文转发。
在本发明实施例提供的分区方法中,所述FCoE控制设备接收所述无损以太网交换设备发送的每个ENodeFCoE控制设备每个ENode的第一标识;根据所述每个ENode的第一标识,生成分区配置,向所述无损以太网交换设备发送所述分区配置,以供所述无损以太网交换设备根据所述分区配置控制所述多个ENode的报文转发。本发明实施例通过对VN2VN网络的各节点进行分区处理,实现各节点之间的网络隔离,提高了网络安全性。
与图2所示方法相对应地,本发明实施例还提供了一种无损以太网交换设备,多个以太网光纤通道节点ENode通过所述无损以太网交换设备互联,参见图8所示示意图,所述设备可包括:
侦听单元801,用于侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识。
发送单元802,用于向以太网光纤通道FCoE控制设备发送所述侦听单元获得的所述ENode的第一标识。
控制单元803,用于接收所述FCoE控制设备发送的分区配置,根据所述分区配置控制所述多个ENode之间的报文转发;其中,所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识。
其中,所述控制单元803具体用于:
根据所述分区配置控制所述多个ENode之间的控制协议报文转发;和/或,
根据所述分区配置控制所述多个ENode之间的数据报文转发。
在一个实施方式中,所述控制单元803具体用于:
接收第一ENode向所述无损以太网内所有ENode组播发送的邻居发现claim报文,根据所述分区配置确定与所述第一ENode属于同一分区的ENode,向与所述第一ENode属于同一分区的ENode发送所述claim报文;其中,所述第一ENode为所述多个ENode中的任意一个。
其中,当根据所述分区配置确定与所述第一ENode属于同一分区的ENode时,所述控制单元803具体用于:
根据所述claim报文中携带的第一ENode的第二标识,获得与所述第一ENode的第二标识对应的分区配置;根据所述与所述第一ENode的第二标识对应的分区配置确定与所述第一ENode属于同一分区的ENode。
在另一个实施方式中,所述控制单元803具体用于:
当接收到第一ENode向第二ENode发送的数据报文时,根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区;如果所述第一ENode和所述第二ENode属于同一分区,则向所述第二ENode发送所述数据报文;如果所述第一ENode和所述第二ENode不属于同一分区,则丢弃所述数据报文;其中,所述第一ENode为所述多个ENode中的任意一个。
其中,当根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区时,所述控制单元803具体用于:
根据所述数据报文获得所述第一ENode的第二标识;根据获得的所述第一ENode的第二标识,查找访问控制列表ACL,根据所述ACL中与所述第一ENode的标识对应的转发表项,确定所述第一ENode和所述第二ENode是否属于同一分区;其中,所述ACL为根据所述分区配置映射得到。
本发明上述各实施例中,所述第一标识包括全球唯一端口名称WWPN、N端口标识N_Port ID以及介质访问控制MAC地址;所述第二标识包括所述N_Port ID以及MAC地址中的至少一个。
在一个实施方式中,所述侦听单元801具体用于:
侦听所述第一ENode向所述无损以太网内的所述多个ENode组播发送的探测probe报文,从所述probe报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址;
其中,所述发送单元802具体用于:
在侦听到所述无损以太网内的所述多个ENode中的每个ENode发送的探测响应probe response报文且根据所述每个ENode发送的probe response报文确所述probe报文中携带的所述第一ENode的N_Port ID标识不与所述无损以太网内的任何ENode的N_PortID冲突时,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
在另一个实施方式中,所述侦听单元801具体用于:
侦听所述第一ENode发送的claim报文,从所述claim报文中获得所述第一ENod的WWPN、N_Port ID以及MAC地址;
所述发送单元802具体用于:
在侦听到所述第一ENode发送的claim报文后,在向所述多个ENode中的其他ENode转发所述claim报文之前,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
参见图9,图9为本发明另一实施例提供的一种无损以太网交换设备900。该无损以太网交换设备900可包括处理器901,网络接口902,存储器903,和通信总线904,所述通信总线用于实现处理器901,网络接口902,存储器903之间的连接通信。该处理器901可以为CPU,存储器903可能包含高速随机存取存储器(Random Access Memory,RAM),也可能还包括非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。所述存储器903用于存储一组程序指令,所述处理器901用于调用所述存储器903存储的程序指令执行相应操作。
其中,所述处理器901调用所述存储器903中的程序指令以用于:
侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识;
向以太网光纤通道FCoE控制设备发送所述ENode的第一标识;
接收所述FCoE控制设备发送的分区配置,根据所述分区配置控制所述多个ENode之间的报文转发;其中,所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识。
其中,所述处理器901调用所述存储器903中的程序指令还用于:
根据所述分区配置控制所述多个ENode之间的控制协议报文转发;和/或,
根据所述分区配置控制所述多个ENode之间的数据报文转发。
其中,所述处理器901调用所述存储器903中的程序指令还用于:
接收第一ENode向所述无损以太网内所有ENode组播发送的邻居发现claim报文,所述第一ENode为所述多个ENode中的任意一个;
根据所述分区配置确定与所述第一ENode属于同一分区的ENode,向与所述第一ENode属于同一分区的ENode发送所述claim报文。
其中,所述处理器901调用所述存储器903中的程序指令还用于:
根据所述claim报文中携带的所述第一ENode的第二标识,获得与所述第一ENode的第二标识对应的分区配置;
根据所述与所述第一ENode的第二标识对应的分区配置确定与所述第一ENode属于同一分区的ENode。
其中,所述处理器901调用所述存储器903中的程序指令还用于:
当接收到第一ENode向第二ENode发送的数据报文时,根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区;所述第一ENode为所述多个ENode中的任意一个;
如果所述第一ENode和所述第二ENode属于同一分区,则向所述第二ENode发送所述数据报文;如果所述第一ENode和所述第二ENode不属于同一分区,则丢弃所述数据报文。
其中,所述处理器901调用所述存储器903中的程序指令还用于:
根据所述数据报文获得所述第一ENode的第二标识;
根据获得的所述第一ENode的第二标识,查找访问控制列表ACL,根据所述ACL中与所述第一ENode的第二标识对应的转发表项,确定所述第一ENode和所述第二ENode是否属于同一分区;其中,所述ACL为根据所述分区配置映射得到。
其中,所述处理器901调用所述存储器903中的程序指令还用于:
侦听所述第一ENode向所述无损以太网内的所述多个ENode组播发送的探测probe报文,从所述probe报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址;
在侦听到所述无损以太网内的所述多个ENode中的每个ENode发送的探测响应probe response报文且根据所述每个ENode发送的probe response报文确定所述probe报文中携带的所述第一ENode的N_Port ID不与所述无损以太网内的任何ENode的N_Port ID冲突时,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
其中,所述处理器901调用所述存储器903中的程序指令还用于:
侦听所述第一ENode发送的claim报文,从所述claim报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址;
在侦听到所述第一ENode发送的claim报文后,在向所述多个ENode中的其他ENode转发所述claim报文之前,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
本发明实施例提供的无损以太网交换设备,对VN2VN网络的各ENode节点发送的报文进行侦听,获得各ENode的第一标识,并将所述各ENode的第一标识发送给FCoE控制设备,由所述FCoE控制设备根据所述各ENode的第一标识进行分区处理,所述无损以太网交换设备根据FCoE控制设备下发的分区配置,控制所述多个ENode之间的报文转发。本发明实施例的无损以太网交换设备通过对VN2VN网络的各节点进行分区处理,实现各节点之间的网络隔离,提高了网络安全性。
与图7所示方法相对应地,本发明实施例还提供了一种FCoE控制设备1000,所述以太网光纤通道FCoE控制设备与无损以太网交换设备通信连接,其中,多个以太网光纤通道节点ENode通过所述无损以太网交换设备互联,参见图10所示示意图,所述设备1000可包括:
接收单元1001,用于接收所述无损以太网交换设备发送的每个ENode的第一标识。
分区配置单元1002,用于根据所述接收单元接收的所述每个ENode的第一标识,生成分区配置;所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识。
发送单元1003,用于向所述无损以太网交换设备发送所述分区配置单元生成的分区配置。
其中,当所述接收单元1001接收的所述每个ENode的第一标识包括全球唯一端口名称WWPN、N端口标识N_PortID以及介质访问控制MAC地址时,所述分区配置单元1002具体用于:
接收第一分区配置,所述第一分区配置包括属于同一分区的ENode的WWPN;
根据所述每个ENode的WWPN、N_PortID以及MAC地址,将所述第一分区配置中的属于同一分区的ENode对应的WWPN转换为属于同一分区的ENode对应的N_PortID和/或MAC地址,以生成第二分区配置;
所述发送单元1003具体用于:
向所述无损以太网交换设备发送所述第二分区配置。
参见图11,图11为本发明实施例提供的一种以太网光纤通道FCoE控制设备1100。该无损以太网交换设备1100可包括处理器1101,网络接口1102,存储器1103,和通信总线1104,所述通信总线用于实现处理器1101,网络接口1102,存储器1103之间的连接通信。该处理器1101可以为CPU,存储器1103可能包含高速随机存取存储器(Random AccessMemory,RAM),也可能还包括非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。所述存储器1103用于存储一组程序指令,所述处理器1101用于调用所述存储器1103存储的程序指令执行相应操作。
其中,所述处理器1101调用所述存储器1103中的程序指令以用于:
接收所述无损以太网交换设备发送的每个ENode的第一标识;
根据所述每个ENode的第一标识,生成分区配置;所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识;
向所述无损以太网交换设备发送所述分区配置。
其中,所述处理器1101调用所述存储器1103中的程序指令还用于:
接收所述无损以太网交换设备发送的每个ENode的全球唯一端口名称WWPN、N端口标识N_Port ID以及介质访问控制MAC地址;
所述根据所述每个ENode的第一标识,生成分区配置包括:
接收第一分区配置,所述第一分区配置包括属于同一分区的ENode的WWPN;
根据所述每个ENode的WWPN、N_PortID以及MAC地址,将所述第一分区配置中的属于同一分区的ENode对应的WWPN转换为属于同一分区的ENode对应的N_PortID和/或MAC地址,以生成第二分区配置;
所述向所述无损以太网交换设备发送所述分区配置包括:
向所述无损以太网交换设备发送所述第二分区配置。
本发明实施例提供的FCoE控制设备,接收所述无损以太网交换设备发送的每个ENodeFCoE控制设备每个ENode的第一标识;根据所述每个ENode的第一标识,生成分区配置,向所述无损以太网交换设备发送所述分区配置,以供所述无损以太网交换设备根据所述分区配置控制所述多个ENode的报文转发。本发明实施例的FCoE控制设备通过对VN2VN网络的各节点进行分区处理,实现各节点之间的网络隔离,提高了网络安全性。
本发明方案可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序单元。一般地,程序单元包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明方案,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序单元可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其它实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上对本发明实施例进行了详细介绍,本文中应用了具体实施方式对本发明进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及设备;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (22)
1.一种分区方法,其特征在于,应用于无损以太网交换设备,其中,多个以太网光纤通道节点ENode通过所述无损以太网交换设备互联,所述方法包括:
侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识;
向以太网光纤通道FCoE控制设备发送所述ENode的第一标识;
接收所述FCoE控制设备发送的分区配置,根据所述分区配置控制所述多个ENode之间的报文转发;其中,所述分区配置是由所述FCoE控制设备根据所述ENode的第一标识生成的,所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识。
2.根据权利要求1所述的方法,其特征在于,所述根据所述分区配置控制所述多个ENode之间的报文转发包括:
根据所述分区配置控制所述多个ENode之间的控制协议报文转发;和/或,
根据所述分区配置控制所述多个ENode之间的数据报文转发。
3.根据权利要求2所述的方法,其特征在于,所述根据所述分区配置控制所述多个ENode之间的控制协议报文转发包括:
接收第一ENode向所述无损以太网内所有ENode组播发送的邻居发现claim报文,所述第一ENode为所述多个ENode中的任意一个;
根据所述分区配置确定与所述第一ENode属于同一分区的ENode,向与所述第一ENode属于同一分区的ENode发送所述claim报文。
4.根据权利要求3所述的方法,其特征在于,所述根据所述分区配置确定与所述第一ENode属于同一分区的ENode包括:
根据所述claim报文中携带的所述第一ENode的第二标识,获得与所述第一ENode的第二标识对应的分区配置;
根据所述与所述第一ENode的第二标识对应的分区配置确定与所述第一ENode属于同一分区的ENode。
5.根据权利要求2所述的方法,其特征在于,所述根据所述分区配置控制所述多个ENode之间的数据报文转发包括:
当接收到第一ENode向第二ENode发送的数据报文时,根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区;所述第一ENode为所述多个ENode中的任意一个;
如果所述第一ENode和所述第二ENode属于同一分区,则向所述第二ENode发送所述数据报文;如果所述第一ENode和所述第二ENode不属于同一分区,则丢弃所述数据报文。
6.根据权利要求5所述的方法,其特征在于,所述根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区包括:
根据所述数据报文获得所述第一ENode的第二标识;
根据获得的所述第一ENode的第二标识,查找访问控制列表ACL,根据所述ACL中与所述第一ENode的第二标识对应的转发表项,确定所述第一ENode和所述第二ENode是否属于同一分区;其中,所述ACL为根据所述分区配置映射得到。
7.根据权利要求3-6中任意一项所述的方法,其特征在于,所述第一标识包括全球唯一端口名称WWPN、N端口标识N_Port ID以及介质访问控制MAC地址;
所述第二标识包括所述N_Port ID以及所述MAC地址中的至少一个。
8.根据权利要求7所述的方法,其特征在于,所述侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识包括:
侦听所述第一ENode向所述无损以太网内的所述多个ENode组播发送的探测probe报文,从所述probe报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址;
所述向所述FCoE控制设备发送所述ENode的第一标识包括:
在侦听到所述无损以太网内的所述多个ENode中的每个ENode发送的探测响应proberesponse报文且根据所述每个ENode发送的probe response报文确定所述probe报文中携带的所述第一ENode的N_Port ID不与所述无损以太网内的任何ENode的N_Port ID冲突时,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
9.根据权利要求7所述的方法,其特征在于,所述侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识包括:
侦听所述第一ENode发送的claim报文,从所述claim报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址;
所述向所述FCoE控制设备发送所述ENode的第一标识包括:
在侦听到所述第一ENode发送的claim报文后,在向所述多个ENode中的其他ENode转发所述claim报文之前,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
10.一种分区方法,其特征在于,应用于以太网光纤通道FCoE控制设备,所述FCoE控制设备与无损以太网交换设备通信连接,其中,多个以太网光纤通道节点ENode通过所述无损以太网交换设备互联,所述方法包括:
接收所述无损以太网交换设备发送的每个ENode的第一标识;
根据所述每个ENode的第一标识,生成分区配置;所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识;
向所述无损以太网交换设备发送所述分区配置。
11.根据权利要求10所述的方法,其特征在于,所述接收所述无损以太网交换设备发送的每个ENode的第一标识包括:
接收所述无损以太网交换设备发送的每个ENode的全球唯一端口名称WWPN、N端口标识N_Port ID以及介质访问控制MAC地址;
所述根据所述每个ENode的第一标识,生成分区配置包括:
接收第一分区配置,所述第一分区配置包括属于同一分区的ENode的WWPN;
根据所述每个ENode的WWPN、N_PortID以及MAC地址,将所述第一分区配置中的属于同一分区的ENode对应的WWPN转换为属于同一分区的ENode对应的N_PortID和/或MAC地址,以生成第二分区配置;
所述向所述无损以太网交换设备发送所述分区配置包括:
向所述无损以太网交换设备发送所述第二分区配置。
12.一种无损以太网交换设备,其特征在于,多个以太网光纤通道节点ENode通过所述无损以太网交换设备互联,所述设备包括:
侦听单元,用于侦听每个ENode发送的报文,从所述报文中获得所述ENode的第一标识;
发送单元,用于向以太网光纤通道FCoE控制设备发送所述侦听单元获得的所述ENode的第一标识;
控制单元,用于接收所述FCoE控制设备发送的分区配置,根据所述分区配置控制所述多个ENode之间的报文转发;其中,所述分区配置是由所述FCoE控制设备根据所述ENode的第一标识生成的,所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识。
13.根据权利要求12所述的设备,其特征在于,所述控制单元具体用于:
根据所述分区配置控制所述多个ENode之间的控制协议报文转发;和/或,
根据所述分区配置控制所述多个ENode之间的数据报文转发。
14.根据权利要求13所述的设备,其特征在于,所述控制单元具体用于:
接收第一ENode向所述无损以太网内所有ENode组播发送的邻居发现claim报文,根据所述分区配置确定与所述第一ENode属于同一分区的ENode,向与所述第一ENode属于同一分区的ENode发送所述claim报文;其中,所述第一ENode为所述多个ENode中的任意一个。
15.根据权利要求14所述的设备,其特征在于,当根据所述分区配置确定与所述第一ENode属于同一分区的ENode时,所述控制单元具体用于:
根据所述claim报文中携带的第一ENode的第二标识,获得与所述第一ENode的第二标识对应的分区配置;根据所述与所述第一ENode的第二标识对应的分区配置确定与所述第一ENode属于同一分区的ENode。
16.根据权利要求13所述的设备,其特征在于,所述控制单元具体用于:
当接收到第一ENode向第二ENode发送的数据报文时,根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区;如果所述第一ENode和所述第二ENode属于同一分区,则向所述第二ENode发送所述数据报文;如果所述第一ENode和所述第二ENode不属于同一分区,则丢弃所述数据报文;其中,所述第一ENode为所述多个ENode中的任意一个。
17.根据权利要求16所述的设备,其特征在于,当根据所述分区配置确定所述第一ENode和所述第二ENode是否属于同一分区时,所述控制单元具体用于:
根据所述数据报文获得所述第一ENode的第二标识;根据获得的所述第一ENode的第二标识,查找访问控制列表ACL,根据所述ACL中与所述第一ENode的标识对应的转发表项,确定所述第一ENode和所述第二ENode是否属于同一分区;其中,所述ACL为根据所述分区配置映射得到。
18.根据权利要求14-17任意一项所述的设备,其特征在于,所述第一标识包括全球唯一端口名称WWPN、N端口标识N_Port ID以及介质访问控制MAC地址;所述第二标识包括所述N_Port ID以及MAC地址中的至少一个。
19.根据权利要求18所述的设备,其特征在于,所述侦听单元具体用于:
侦听所述第一ENode向所述无损以太网内的所述多个ENode组播发送的探测probe报文,从所述probe报文中获得所述第一ENode的WWPN、N_Port ID以及MAC地址;
所述发送单元具体用于:
在侦听到所述无损以太网内的所述多个ENode中的每个ENode发送的探测响应proberesponse报文且根据所述每个ENode发送的probe response报文确所述probe报文中携带的所述第一ENode的N_Port ID标识不与所述无损以太网内的任何ENode的N_Port ID冲突时,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
20.根据权利要求18所述的设备,其特征在于,所述侦听单元具体用于:
侦听所述第一ENode发送的claim报文,从所述claim报文中获得所述第一ENod的WWPN、N_Port ID以及MAC地址;
所述发送单元具体用于:
在侦听到所述第一ENode发送的claim报文后,在向所述多个ENode中的其他ENode转发所述claim报文之前,向所述FCoE控制设备发送所述第一ENode的WWPN、N_Port ID以及MAC地址。
21.一种以太网光纤通道FCoE控制设备,其特征在于,所述以太网光纤通道FCoE控制设备与无损以太网交换设备通信连接,其中,多个以太网光纤通道节点ENode通过所述无损以太网交换设备互联,所述设备包括:
接收单元,用于接收所述无损以太网交换设备发送的每个ENode的第一标识;
分区配置单元,用于根据所述接收单元接收的所述每个ENode的第一标识,生成分区配置;所述分区配置包括属于同一分区的各ENode的第二标识;其中,每个ENode的第一标识包括所述ENode的第二标识;
发送单元,用于向所述无损以太网交换设备发送所述分区配置单元生成的分区配置。
22.根据权利要求21所述的设备,其特征在于,当所述接收单元接收的所述每个ENode的第一标识包括全球唯一端口名称WWPN、N端口标识N_PortID以及介质访问控制MAC地址时,所述分区配置单元具体用于:
接收第一分区配置,所述第一分区配置包括属于同一分区的ENode的WWPN;
根据所述每个ENode的WWPN、N_PortID以及MAC地址,将所述第一分区配置中的属于同一分区的ENode对应的WWPN转换为属于同一分区的ENode对应的N_PortID和/或MAC地址,以生成第二分区配置;
所述发送单元具体用于:
向所述无损以太网交换设备发送所述第二分区配置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410373288.7A CN105306387B (zh) | 2014-07-31 | 2014-07-31 | 一种分区方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410373288.7A CN105306387B (zh) | 2014-07-31 | 2014-07-31 | 一种分区方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105306387A CN105306387A (zh) | 2016-02-03 |
| CN105306387B true CN105306387B (zh) | 2018-11-13 |
Family
ID=55203153
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410373288.7A Active CN105306387B (zh) | 2014-07-31 | 2014-07-31 | 一种分区方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105306387B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11044252B2 (en) * | 2018-09-12 | 2021-06-22 | Subcom, Llc | Techniques for secured partitioning of an optical transmission system to provide multi-client management access and a network management system implementing same |
| CN116192879A (zh) * | 2020-06-12 | 2023-05-30 | 华为技术有限公司 | 一种以太网存储系统及其信息通告方法和相关装置 |
| CN115174139B (zh) * | 2022-05-26 | 2024-04-09 | 华为技术有限公司 | 节点隔离方法、交换设备及以太网存储系统 |
| CN115459968B (zh) * | 2022-08-25 | 2023-06-06 | 中国人民解放军国防科技大学 | 用于高性能计算机系统的隔离方法及高性能计算机系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179053A (zh) * | 2011-12-23 | 2013-06-26 | 林伟东 | 用于提供数据管理服务的系统和方法 |
| CN103262470A (zh) * | 2012-08-21 | 2013-08-21 | 华为技术有限公司 | FCoE网络链接管理方法、设备和系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8817656B2 (en) * | 2008-04-08 | 2014-08-26 | Cisco Technology, Inc. | Discovery for fibre channel over ethernet devices |
| CN101588365B (zh) * | 2009-06-18 | 2012-05-23 | 杭州华三通信技术有限公司 | 链路协商的控制方法和光纤通道承载以太协议整合系统 |
| CN101656721B (zh) * | 2009-08-27 | 2012-08-08 | 杭州华三通信技术有限公司 | 虚链路发现控制方法和以太网承载光纤通道协议系统 |
| CN103379151B (zh) * | 2012-04-19 | 2016-11-23 | 华为技术有限公司 | 一种流量交换方法、装置及系统 |
| US8750311B2 (en) * | 2012-07-25 | 2014-06-10 | Hewlett-Packard Development Company, L.P. | Fibre channel host virtualization |
| US8923320B2 (en) * | 2012-12-10 | 2014-12-30 | Dell Products L.P. | Systems and methods for automating virtual network interface controller configuration during workload provisioning |
-
2014
- 2014-07-31 CN CN201410373288.7A patent/CN105306387B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179053A (zh) * | 2011-12-23 | 2013-06-26 | 林伟东 | 用于提供数据管理服务的系统和方法 |
| CN103262470A (zh) * | 2012-08-21 | 2013-08-21 | 华为技术有限公司 | FCoE网络链接管理方法、设备和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105306387A (zh) | 2016-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107332812B (zh) | 网络访问控制的实现方法及装置 | |
| KR101886291B1 (ko) | 흐름 엔트리 구성 방법, 장치, 및 시스템 | |
| CN103026660B (zh) | 网络策略配置方法、管理设备以及网络管理中心设备 | |
| US10333845B2 (en) | Forwarding data packets | |
| US9369375B2 (en) | Link-layer level link aggregation autoconfiguration | |
| CN103259725B (zh) | 报文发送方法和网络设备 | |
| CN105262667A (zh) | Overlay网络中控制组播传输的方法、装置 | |
| CN105306387B (zh) | 一种分区方法及设备 | |
| JP6633775B2 (ja) | パケット伝送 | |
| CN104780088A (zh) | 一种业务报文的传输方法和设备 | |
| CN104506511A (zh) | 一种sdn网络动态目标防御系统及方法 | |
| CN105681198B (zh) | 一种业务链处理方法、设备及系统 | |
| CN104243269A (zh) | 一种虚拟扩展局域网报文的处理方法及装置 | |
| CN102111318A (zh) | 分配虚拟局域网资源的方法和交换机 | |
| EP3292666B1 (en) | Multicast data packet forwarding | |
| CN104852846B (zh) | 一种数据转发控制方法及系统 | |
| CN105763440A (zh) | 一种报文转发的方法和装置 | |
| CN104601467A (zh) | 一种发送报文的方法和装置 | |
| JP2018518925A (ja) | パケット転送 | |
| KR20180056692A (ko) | 데이터 루팅 방법 및 장치 | |
| CN105187311A (zh) | 一种报文转发方法及装置 | |
| JP2018515050A (ja) | パケット転送 | |
| CN107508836A (zh) | 一种acl规则下发的方法及装置 | |
| JP6437694B2 (ja) | パケット転送 | |
| CN111935018B (zh) | 一种可自主配置组网规则的跳板网络路径生成方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |