CN107634932A - 报文处理方法、装置及系统 - Google Patents
报文处理方法、装置及系统 Download PDFInfo
- Publication number
- CN107634932A CN107634932A CN201610571213.9A CN201610571213A CN107634932A CN 107634932 A CN107634932 A CN 107634932A CN 201610571213 A CN201610571213 A CN 201610571213A CN 107634932 A CN107634932 A CN 107634932A
- Authority
- CN
- China
- Prior art keywords
- rule
- message
- mac
- fcoe
- types
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种报文处理方法、装置及系统,其中报文处理方法包括:接收处理器下发的ACL规则,包括第一规则和第二规则,第一规则包括:允许所有目的MAC为FCF MAC,且源MAC为分配的VN_Port_MAC的FCoE类型的报文通过;第二规则包括:捕获所有FCoE类型的报文并发送至处理器;并顺序执行第一规则和第二规则。采用本发明的方法,可以避免出现因硬件设备未就绪无法进行FCoE报文的转发,而直接执行下一规则将FCoE报文丢弃导致FIP协议中断的问题,提高了网络安全的稳定性。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种报文处理方法、装置及系统。
背景技术
在传统的数据中心里,存储网络与数据网络往往是各自独立的。出于用户对于存储网络与数据网络整合的需求,诞生了以太网光纤通道(Fibre Channel over Ethernet,简称FCoE)技术。FCoE允许通过以太网传输存储区域网络(Storage Area Network,简称SAN)数据,其目的是让数据中心用户使用公共的基础设施实现存储网络与数据网络的融合,同时保护并扩展用户原先在存储网络上的投资。光纤通道(FC)是存储网络事实上的标准。
FCoE是在不同连接传输层上对光纤通道进行拓展,其目标是在继续保持用户对光纤通道SAN所期望的高性能和功能性的前提下,将存储传输融入以太网架构。FCoE提高了灵活性,但是同时也增加了安全性的挑战,例如ENode服务器和FCF(FC frame)转发器之间是以太网交换机,则失去了点到点的安全保障。为了保持与FC相同的健壮性,FCoE需要确保从一个ENode流出或流入的所有FCoE数据流经过同一个FCF,而且如果多个ENode通过同一个物理FCF端口接入到FCF,这些ENode使用分配的媒体访问控制子层协议(Media AccessControl,简称MAC)地址。这样,可以在ENode和FCF间建立等同于点到点的连接。上述方法是必须的,但是并不足够。
以太网桥一般提供访问控制列表(Access Control Lists,简称ACL)功能。如图1所示,图1是相关技术中以太网桥安全策略的部署方法。适当地配置ACL可以为数据流提供等同于点到点的连接。另外FCoE初始化协议(FCoE Initialization Protocal,简称FIP)允许以太网桥监控流过它们的FIP帧。检查FIP帧可以自动生成访问控制通道(AccessControl Entries,简称ACE)。
图2是相关技术中FIP协议交互过程示意图,如图2所示,FCoE虚链路主要分为三个阶段,分别是FIP VLAN Discovery、FIP FCF Discovery和FIP FLOGI and FDISC。图2是FIP协议的交互过程。在不同的阶段在不同的位置部署不同级别的ACL。对于部署ENODE节点ACL(C3)的策略如下:
交换系统接收到发现通告(Discovery Advertisement)之前,ACL规则包括:
规则1:允许所有目的MAC为ALL-FCF-MAC的FIP类型报文通过;
规则2:拒绝所有FIP类型报文通过;
规则3:拒绝所有FCoE类型报文通过;
交换系统接收到Discovery Advertisement之后或者进行了管理配置之后,ACL规则拓展到:
规则1:拒绝所有类型的源MAC为FCF转发器的MAC的报文通过;
规则2:允许目的MAC为ALL-FCF-MACs的FIP类型的报文通过;
规则3:允许所有目的MAC为FCF转发器的MAC的FIP类型的报文通过;
规则4:拒绝所有FIP类型报文通过;
规则5:允许所有目的MAC为FCF转发器MAC,并且源MAC为分配的VN_Port_MAC的FCoE类型的报文通过;
规则6:拒绝所有FCoE类型报文通过;
对于控制与转发平面分离的交换系统,可能会出现控制平面的协议就绪而转发平面用于转发FCoE报文的硬件装置仍然在准备当中的情况,这种情况会导致部署边缘ACL(C3)策略的端口发出的名字服务注册报文Plogi因“规则5:允许所有目的MAC为FCF转发器MAC且源MAC为分配的VN_Port_MAC的FCoE类型的报文通过”硬件转发未就绪而直接执行规则6,报文被丢弃,最终导致协议中断。
针对相关技术中因硬件设备未就绪无法进行FCoE报文的转发,而直接执行下一规则将FCoE报文丢弃导致FIP协议中断的问题,目前尚无有效解决办法。
发明内容
本发明实施例提供了一种报文处理方法、装置及系统,以至少解决相关技术中因硬件设备未就绪无法进行FCoE报文的转发,而直接执行下一规则将FCoE报文丢弃导致FIP协议中断的问题。
根据本发明的一个方面,提供了一种报文处理方法,包括:
接收处理器下发的第一ACL规则,所述第一ACL规则至少包括:
第一规则,其中,所述第一规则包括:允许所有目的MAC为光纤通道结构FCF转发器MAC,且源MAC为分配的VN_Port_MAC的以太网光纤通道FCoE类型的报文通过;
第二规则,其中,所述第二规则包括:捕获所有以太光纤通道FCoE类型的报文并发送至所述处理器;
顺序执行所述第一规则和所述第二规则。
可选地,接收处理器下发的第一ACL规则之前,所述方法还包括:
接收处理器下发的第二ACL规则,其中,所述第二ACL规则至少包括:
捕获所有目的MAC为ALL-FCF-MAC的FCoE初始化协议FIP类型的报文,并发送至所述处理器;
拒绝所有FIP类型的报文通过;
捕获所有FCoE类型的报文并发送至所述处理器。
可选地,接收处理器下发的第一ACL规则,包括:
接收所述处理器在接收到发现通告之后下发的第一ACL规则。
根据本发明的另一个方面,还提供了一种报文处理装置,包括:
第一接收模块,用于接收处理器下发的第一ACL规则,所述第一ACL规则至少包括:
第一规则,其中,所述第一规则包括:允许所有目的MAC为FCF MAC,且源MAC为分配的VN_Port_MAC的道FCoE类型的报文通过;
第二规则,其中,所述第二规则包括:捕获所有FCoE类型的报文并发送至所述处理器;
执行模块,用于顺序执行所述第一规则和所述第二规则。
可选地,所述报文处理装置还包括:
第二接收模块,用于接收处理器下发的第二ACL规则,其中,所述第二ACL规则至少包括:
捕获所有目的MAC为ALL-FCF-MAC的FIP类型的报文,并发送至所述处理器;
拒绝所有FIP类型的报文通过;
捕获所有FCoE类型的报文并发送至所述处理器。
可选地,所述第一接收模块,还用于接收所述处理器在接收到发现通告之后下发的第一ACL规则。
根据本发明的另一个方面,还提供了一种报文处理系统,包括:
服务器,用于向交换机发送报文;
交换机,连接所述服务器,用于接收所述服务器发送的报文,并根据预设规则转发所述报文,所述预设规则包括第一ACL规则,所述第一ACL规则至少包括:
第一规则,其中,所述第一规则包括:允许所有目的MAC为FCF MAC,且源MAC为分配的VN_Port_MAC的FCoE类型的报文通过;
第二规则,其中,所述第二规则包括:捕获所有FCoE类型的报文并发送至所述处理器。
可选地,所述交换机至少包括:
处理器,用于部署所述第一ACL规则并将所述第一ACL规则下发给硬件设备;
硬件设备,用于接收所述处理器下发的所述第一ACL规则,并顺序执行所述ACL规则中的第一规则和第二规则。
可选地,所述处理器,还用于部署第二ACL规则并将所述第二ACL规则下发给所述硬件设备,其中,所述第二ACL规则至少包括:
捕获所有目的MAC为ALL-FCF-MAC的FCoE初始化协议FIP类型的报文,并发送至所述处理器;
拒绝所有FIP类型的报文通过;
捕获所有FCoE类型的报文并发送至所述处理器。
可选地,所述处理器,还用于在接收到发现通告之前部署所述第一ACL规则并下发给硬件设备。
通过本发明,接收处理器下发的ACL规则,并顺序执行第一ACL规则的第一规则和第二规则,即使硬件设备在执行第一规则时没有准备好,不能进行FCoE报文的转发,也可以通过执行第二规则,将所有FCoE报文捕获并发送至处理器,避免出现因硬件设备未就绪无法进行FCoE报文的转发,而直接执行下一规则将FCoE报文丢弃导致FIP协议中断的问题,提高了网络安全的稳定性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是相关技术中以太网桥安全策略的部署方法;
图2是相关技术中FIP协议交互过程的示意图;
图3是根据本发明实施例1的报文处理方法的流程图;
图4是根据本发明实施例2的报文处理装置的结构框图(一);
图5是根据本发明实施例2的报文处理装置的结构框图(二);
图6是根据本发明实施例2的报文处理装置的结构框图(三);
图7是根据本发明实施例3的报文处理系统的结构框图(一);
图8是根据本发明实施例3的报文处理系统的结构框图(二);
图9是根据本发明优选实施例2的FCoE网络安全策略的装置的结构框图;
图10是根据本发明优选实施例3的FCoE网络安全策略的部署方法的流程图;
图11是根据本发明优选实施例3中步骤1007发送消息至FIP_SNOOPING模块的流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例1
根据本发明实施例1,提供了一种报文的处理方法,本实施例提供的报文处理方法,可以在交换机、转发器等转发设备上运行,以运行在交换机的硬件设备上为例,图3是根据本发明实施例1的报文处理方法的流程图。如图3所示,本实施例的报文处理方法包括如下步骤:
S301,接收处理器下发的第一访问控制列表ACL规则,第一ACL规则至少包括:
第一规则,其中,第一规则包括:允许所有目的MAC为FCF转发器MAC,且源MAC为分配的VN_Port_MAC的FCoE类型的报文通过;
第二规则,其中,第二规则包括:捕获所有FCoE类型的报文并发送至处理器;
S303,顺序执行第一规则和第二规则。
需要说明的是,这里提到的第一ACL规则不限于只包括第一规则和第二规则,在第一规则和第二规则的之前、之间或之后均可能包含有其他规则,而且,处理器下发的也不限于第一ACL规则,不排除下发其他ACL规则或者其他类型规则的可能性。
另外,此处所说的处理器,是设置在转发设备内部的处理器,用于承载相关软件的运行,并进行相关规则的部署及下发,可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。
通过执行本实施例中的报文处理方法,接收处理器下发的第一ACL规则,并顺序执行第一ACL规则的第一规则和第二规则,即使硬件设备在执行第一ACL规则的第一规则时没有准备好,不能进行FCoE报文的转发,也可以通过执行第二规则,将所有FCoE报文捕获并发送至处理器,避免出现因硬件设备未就绪无法进行FCoE报文的转发,而直接执行下一规则将FCoE报文丢弃导致FIP协议中断的问题,提高了网络安全的稳定性。
本实施例的一种优选实施方式中,接收处理器下发的第一ACL规则之前,上述报文处理方法还包括:
接收处理器下发的第二ACL规则,其中,第二ACL规则至少包括:
捕获所有目的MAC为ALL-FCF-MAC的FIP类型的报文,并发送至所述处理器;
拒绝所有FIP类型的报文通过;
捕获所有FCoE类型的报文并发送至处理器。
需要说明的是,此处的第二ACL规则可以是在处理器接收到发现通告之前进行部署并下发的,但也不限于此种情况。第二ACL规则的内容不限于上述内容,在上述规则之前、之间或之后增加新的内容或者舍弃某一部分内容,或更换上述规则的顺序,都是本领域技术人员在本发明的基础上容易想到的。
本实施例的另一种优选实施方式中,接收处理器下发的第一ACL规则,包括:接收处理器在接收到发现通告之后下发的第一ACL规则。
相关技术中,在处理器接收到发现通告之前,下发到硬件设备的ACL规则都是“拒绝所有FCoE类型的报文”,主要是为了防止伪装成FCoE报文的攻击型报文,经由硬件设备转发,对终端造成安全危害。但是这种做法同时也滤除了正常的FCoE报文,造成信息的遗失。本实施例的优选方案中,在在处理器接收到发现通告之前,下发到硬件设备的ACL规则包括一项“捕获所有FCoE类型的报文并发送至处理器”,利用处理器内部的相关处理模块对FCoE类型的报文进行识别、判断和处理,避免遗失安全的FCoE报文。
实施例2
为了更好的理解实施例1中的报文处理方法,在本实施例中提供了一种应用上述方法的报文处理装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例2的报文处理装置的结构框图(一),如图4所示,包括:
第一接收模块40,用于接收处理器下发的第一ACL规则,第一ACL规则至少包括:
第一规则,其中,第一规则包括:允许所有目的MAC为FCF转发器MAC,且源MAC为分配的VN_Port_MAC的FCoE类型的报文通过;
第二规则,其中,第二规则包括:捕获所有FCoE类型的报文并发送至处理器;
执行模块42,用于顺序执行第一规则和第二规则。
通过上述步骤,第一接收模块40接收处理器下发的ACL规则,执行模块42顺序执行第一ACL规则的第一规则和第二规则,即使在执行第一规则时没有准备好,不能进行FCoE报文的转发,也可以通过执行第二规则,将所有FCoE报文捕获并发送至处理器,避免出现因硬件设备未就绪无法进行FCoE报文的转发,而直接执行下一规则将FCoE报文丢弃导致FIP协议中断的问题,提高了网络安全的稳定性。
图5是根据本发明实施例2的报文处理装置的结构框图(二)。如图5所示,本实施例的一种优选实施方式中,上述报文处理装置还包括:
第二接收模块44,用于接收处理器下发的第二ACL规则,其中,第二ACL规则至少包括:
捕获所有目的MAC为ALL-FCF-MAC的FIP类型的报文,并发送至所述处理器;
拒绝所有FIP类型的报文通过;
捕获所有FCoE类型的报文并发送至处理器。
可选地,第一接收模块40还用于接收处理器在接收到发现通告之后下发的第一ACL规则。
为了更好地理解本实施例提供的报文处理装置,本实施例提供一种优选实施例进行说明。图6是根据本发明实施例2的报文处理装置的结构框图(三)。如图6所示,在本优选实施例中,上述报文处理装置还包括:
报文接收模块46,用于接收各种类型的报文。
上述执行模块42中还包括:
判断单元421,用于判断接收到的报文的类型;
捕获单元422,用于根据接收到的ACL规则捕获符合规则的报文;
发送单元423,用于将捕获的报文发送到处理器;
转发单元424,用于根据接收到的ACL规则将符合通过规则的报文转发给相应的装置或设备;
过滤单元425,用于根据接收到的ACL规则将符合拒绝规则的报文丢弃。
需要说明的是,本优选实施例中提及的ACL规则包括但不限于第一ACL规则和第二ACL规则。
实施例3
为了更好地理解上述实施例的报文处理方法和报文处理装置,本实施例还提供了一种报文处理系统。图7是根据本发明实施例3的报文处理系统的结构框图(一)。如图7所示,本实施例的报文处理系统包括:
服务器70,用于向交换机发送报文;
交换机72,连接服务器70,用于接收服务器70发送的报文,并根据预设规则转发报文,预设规则包括第一ACL规则,第一ACL规则至少包括:
第一规则,其中,第一规则包括:允许所有目的MAC为FCF转发器MAC,且源MAC为分配的VN_Port_MAC的FCoE类型的报文通过;
第二规则,其中,第二规则包括:捕获所有FCoE类型的报文并发送至处理器。
需要说明的是,本实施例中的交换机上至少包括两个端口,一个端口连接服务器,另一个端口连接FCF转发器,交换机接收服务器发送的报文后,按照预设规则将符合通过规则的报文转发至相应的FCF转发器,然后FCF转发器将相应的报文发送至匹配的终端。
通过本实施例,服务器发送报文给交换机,交换机自身预设好报文的处理规则,根据预设规则进行报文的处理。交换机顺序执行第一ACL规则的第一规则和第二规则,即使硬件设备在执行第一规则时没有准备好,不能进行FCoE报文的转发,也可以通过执行第二规则,将所有FCoE报文捕获并发送至处理器,避免出现因硬件设备未就绪无法进行FCoE报文的转发,而直接执行下一规则将FCoE报文丢弃导致FIP协议中断的问题,提高了网络安全的稳定性。
为了更好地理解本实施例提供的报文处理装置,本实施例提供一种优选实施例进行说明。图8是根据本发明实施例3的报文处理系统的结构框图(二)。如图8所示,本实施例的报文处理系统的交换机至少包括:
处理器721,用于部署第一ACL规则并将所述第一ACL规则下发给硬件设备;
硬件设备722,用于接收处理器下发的第一ACL规则,并顺序执行ACL规则中的第一规则和第二规则。
处理器721还包括:
FIP报文处理模块7211,用于部署FIP类型的报文的处理规则;
FCoE报文处理模块7212,用于部署FCoE类型的报文的处理规则。
因此,处理器70部署的ACL规则,至少包括:FIP报文处理规则、FCoE报文处理规则和下发给硬件设备的ACL规则。当硬件设备捕获符合规则的报文并发送给处理器后,处理器内部的FIP报文处理模块7211和FCoE报文处理模块7212会对相应的报文进行规则匹配,然后根据相应的规则指示硬件设备执行相应的动作。从而避免出现直接将报文丢弃导致FIP协议中断的问题,提高了网络安全的稳定性。
实施例4
为了更好地理解本发明的技术方案,本实施例提供以下优选实施例进行进一步地示例说明,已经进行过说明的不再赘述。
优选实施例1
一种FCoE网络安全策略的部署方法,包括以下步骤:
1)在交换系统接收到Discovery Advertisement之前,FIP-SNOOPING模块部署ACL:
规则1:允许所有目的MAC为ALL-FCF-MAC的FIP类型报文通过;
规则2:拒绝所有FIP类型报文通过;
2)在交换系统接收到Discovery Advertisement之前,FCoE模块部署ACL:
规则1:拒绝所有FCoE类型报文通过;
3)在交换系统接收到Discovery Advertisement之前,底层硬件接收ACL:
规则1:捕获所有目的MAC为ALL-FCF-MAC的FIP类型报文到CPU;
规则2:拒绝所有FIP类型报文通过;
规则3:捕获所有类型FCoE报文到CPU;
4)接收到Discovery Advertisement之后或者进行了管理配置,FIP_SNOOPING模块部署的ACL更新为:
规则1:拒绝所有源MAC为FCF转发器的MAC的FIP类型的报文通过;
规则2:允许目的MAC为ALL-FCF-MACs的FIP类型的报文通过;
规则3:允许所有目的MAC为FCF转发器的MAC的FIP类型的报文通过;
规则4:拒绝所有FIP类型报文通过;
5)接收到Discovery Advertisement之后或者进行了管理配置,FCoE模块部署的ACL更新为:
规则1:拒绝所有源MAC为FCF转发器的MAC的FCoE类型的报文通过;
规则2:允许所有目的MAC为FCF转发器MAC且源MAC为分配的VN_Port_MAC的FCoE类型的报文通过;
规则3:拒绝所有FCoE类型报文通过;
6)接收到Discovery Advertisement之后或者进行了管理配置,底层硬件ACL拓展为:
规则1:拒绝所有类型的源MAC为FCF转发器的MAC的报文通过;
规则2:捕获目的MAC为ALL-FCF-MACs的FIP类型的报文;
规则3:捕获所有目的MAC为FCF转发器的MAC的FIP类型的报文;
规则4:拒绝所有FIP类型报文通过;
规则5:允许所有目的MAC为FCF转发器MAC,并且源MAC为分配的VN_Port_MAC的FCoE类型的报文通过;
规则6:捕获所有FCoE类型报文;
在ENode侧,包括以下步骤:
当Discovery Advertisement之后,底层硬件接收更新后的ACL规则5。即使规则5出现延时下发也可以有规则6将FCoE报文捕获到CPU处理器,CPU的FCOE模块收到FCoE报文后进行软件转发和部署的ACL进行仲裁报文的转发路径。
优选实施例2
图9是根据本发明优选实施例2FCoE网络安全策略的装置的结构框图。如图9所示,一种FCoE网络安全策略的装置,包括:
FIP-SNOOPING模块901,用于处理硬件上送的FIP协议报文,通过协议计算触发安全策略ACL规则,并下发给硬件;
硬件转发模块902,接收FIP-SNOOPING模块的安全策略,通过配置底层ACL,实现对FIP报文和FCOE报文的过滤;
FCoE模块903,用于处理硬件上送的FCoE报文,该模块发送消息通知FIP-SNOOPING模块,FIP-SNOOPING模块决定是否需要重新下发一次安全策略给硬件;上送的报文经由该模块经过部署在模块安全策略检查并且查找出端口信息,对于安全策略检查通过的报文并且成功获取出端口的报文由FCoE模块发送该报文到出端口。
本优选实施例通过部署软件硬件两个层次的安全策略,保证在DiscoveryAdvertisement之后硬件即使出现ACL规则未就绪的情况下仍能转发FCoE报文,例如PLOGI报文等。该方法可提升FCoE网络的稳定性。
优选实施例3
图10是根据本发明优选实施例3FCoE网络安全策略的部署方法的流程图,如图10所示,该方法包括以下步骤:
S1001:基于VLAN使能安全策略,初始化软硬件;
具体的,FIP-SNOOPING模块部署ACL:
规则1:VLAN,DA=ALL-FCF-MAC,Type=FIP_TYPE,permit;
规则2:VLAN,Type=FIP_TYPE,deny;
FCOE模块部署ACL:
规则1:VLAN,Type=FCoE_TYPE,deny;
底层硬件接收ACL:
规则1:VLAN,DA=ALL-FCF-MAC,Type=FIP_TYPE,trap;
规则2:VLAN,Type=FIP_TYPE,deny;
规则3:VLAN,Type=FCoE_TYPE,trap;
S1003:硬件可以捕获FIP报文给FIP-SNOOPING处理;
S1005:FIP-SNOOPING处理FIP报文进行协议解析,在收到DiscoveryAdvertisement后,修改安全策略;
具体的,FIP_SNOOPING模块部署的ACL更新为:
规则1:VLAN,SA={FCFs},deny;
规则2:VLAN,DA=ALL-FCF-MACs,Type=FIP_TYPE,permit
规则3:VLAN,DA={FCFs},Type=FIP_TYPE,permit
规则4:VLAN,Type=FIP_TYPE,deny;
FCOE模块部署的ACL更新为:
规则1:VLAN,DA=FCF-MAC-address,SA=VN_Port_MAC_address,Type=FCOE_TYPE,permit;
规则2:VLAN,Type=FCoE_TYPE,deny;
底层硬件ACL拓展为:
规则1:VLAN,SA={FCFs},deny;
规则2:VLAN,DA=ALL-FCF-MACs,Type=FIP_TYPE,trap;
规则3:VLAN,DA={FCFs},Type=FIP_TYPE,trap;
规则4:VLAN,Type=FIP_TYPE,deny;
规则5:VLAN,DA=FCF-MAC-address,SA=VN_Port_MAC_address,Type=FCOE_TYPE,permit;
规则6:VLAN,Type=FCoE_TYPE,trap;
S1007:FIP协议部分交互完毕进入保活阶段,ENode发送PLOGI报文(FCoE协议报文);
S1009:PLOGI报文在硬件匹配报文,若匹配规则5,PLOGI走步骤306;否则报文必定匹配规则6,PLOGI走步骤307;
S1011:由硬件进行转发FCOE报文;
S1013:上送FCOE报文至FCOE模块,解析报文并发送通知消息给FIP_SNOOPING模块;
S1015:应用部署好的安全策略到该FCoE报文;
S1017:若安全策略检查为允许报文通过,则走步骤311;若安全策略检查为拒绝报文通过,则走步骤310;
S1019:丢弃该FCoE报文;
S1021:获取该报文的VLAN和目的MAC,查找MAC表,索引出端口信息;
S1023:若获取到出端口信息,则走步骤313;若获取出端口信息失败,则走步骤314;
S1025:根据311获取到的出端口信息,发送报文;
S1027:丢弃该FCoE报文。
图11是根据本发明优选实施例中步骤1007发送消息至FIP_SNOOPING模块的流程图,其中,
S1101:FCOE解析收到的FCoE报文;
S1103:若FCOE模块当前不允许有消息通知FIP_SNOOPING模块,则结束消息通知流程,走步骤505;否则,走步骤503;
S1105:通知FIP-SNOOPING模块,FIP-SNOOPING收到消息检查ACL策略是否正确下发,若下发成功则不做处理,若检查发现下发失败,则重新触发一次下发安全策略流程到硬件模块;
S1107:关闭通知FIP-SNOOPING功能S秒;
S1109:结束消息通知流程。
实施例5
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的页面内容的处理方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
S1,接收处理器下发的第一访问控制列表ACL规则,所述第一ACL规则至少包括:
第一规则,其中,第一规则包括:允许所有目的MAC为FCF转发器MAC,且源MAC为分配的VN_Port_MAC的FCoE类型的报文通过;
第二规则,其中,第二规则包括:捕获所有FCoE类型的报文并发送至处理器;
S2,顺序执行第一规则和第二规则。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本发明所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种报文处理方法,其特征在于,包括:
接收处理器下发的第一访问控制列表ACL规则,所述第一ACL规则至少包括:
第一规则,其中,所述第一规则包括:允许所有目的媒体接入控制MAC为光纤通道结构FCF转发器MAC,且源MAC为分配的VN_Port_MAC的以太网光纤通道FCoE类型的报文通过;
第二规则,其中,所述第二规则包括:捕获所有以太光纤通道FCoE类型的报文并发送至所述处理器;
顺序执行所述第一规则和所述第二规则。
2.根据权利要求1所述的报文处理方法,其特征在于,接收处理器下发的第一ACL规则之前,所述方法还包括:
接收处理器下发的第二ACL规则,其中,所述第二ACL规则至少包括:
捕获所有目的MAC为ALL-FCF-MAC的FCoE初始化协议FIP类型的报文,并发送至所述处理器;
拒绝所有FIP类型的报文通过;
捕获所有FCoE类型的报文并发送至所述处理器。
3.根据权利要求1所述的报文处理方法,其特征在于,接收处理器下发的第一ACL规则,包括:
接收所述处理器在接收到发现通告之后下发的第一ACL规则。
4.一种报文处理装置,其特征在于,包括:
第一接收模块,用于接收处理器下发的第一ACL规则,所述第一ACL规则至少包括:
第一规则,其中,所述第一规则包括:允许所有目的MAC为FCF MAC,且源MAC为分配的VN_Port_MAC的FCoE类型的报文通过;
第二规则,其中,所述第二规则包括:捕获所有FCoE类型的报文并发送至所述处理器;
执行模块,用于顺序执行所述第一规则和所述第二规则。
5.根据权利要求4所述的报文处理装置,其特征在于,还包括:
第二接收模块,用于接收处理器下发的第二ACL规则,其中,所述第二ACL规则至少包括:
捕获所有目的MAC为ALL-FCF-MAC的FIP类型的报文,并发送至所述处理器;
拒绝所有FIP类型的报文通过;
捕获所有FCoE类型的报文并发送至所述处理器。
6.根据权利要求4所述的报文处理装置,其特征在于,所述第一接收模块,还用于接收所述处理器在接收到发现通告之后下发的第一ACL规则。
7.一种报文处理系统,其特征在于,包括:
服务器,用于向交换机发送报文;
交换机,连接所述服务器,用于接收所述服务器发送的报文,并根据预设规则转发所述报文,所述预设规则包括第一ACL规则,所述第一ACL规则至少包括:
第一规则,其中,所述第一规则包括:允许所有目的MAC为FCF MAC,且源MAC为分配的VN_Port_MAC的FCoE类型的报文通过;
第二规则,其中,所述第二规则包括:捕获所有FCoE类型的报文并发送至所述处理器。
8.根据权利要求7所述的报文处理系统,其特征在于,所述交换机至少包括:
处理器,用于部署所述第一ACL规则并将所述第一ACL规则下发给硬件设备;
硬件设备,用于接收所述处理器下发的所述第一ACL规则,并顺序执行所述ACL规则中的第一规则和第二规则。
9.根据权利要求8所述的报文处理系统,其特征在于,
所述处理器,还用于部署第二ACL规则并将所述第二ACL规则下发给所述硬件设备,其中,所述第二ACL规则至少包括:
捕获所有目的MAC为ALL-FCF-MAC的FIP类型的报文,并发送至所述处理器;
拒绝所有FIP类型的报文通过;
捕获所有FCoE类型的报文并发送至所述处理器。
10.根据权利要求8所述报文处理系统,其特征在于,所述处理器,还用于在接收到发现通告之前部署所述第一ACL规则并下发给硬件设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610571213.9A CN107634932B (zh) | 2016-07-19 | 2016-07-19 | 报文处理方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610571213.9A CN107634932B (zh) | 2016-07-19 | 2016-07-19 | 报文处理方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107634932A true CN107634932A (zh) | 2018-01-26 |
| CN107634932B CN107634932B (zh) | 2021-07-20 |
Family
ID=61113201
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610571213.9A Active CN107634932B (zh) | 2016-07-19 | 2016-07-19 | 报文处理方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107634932B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474588A (zh) * | 2018-11-02 | 2019-03-15 | 杭州迪普科技股份有限公司 | 一种终端认证方法及装置 |
| CN112714052A (zh) * | 2020-12-20 | 2021-04-27 | 苏州浪潮智能科技有限公司 | 一种流量隔离方法、装置、交换机及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820383A (zh) * | 2010-01-27 | 2010-09-01 | 中兴通讯股份有限公司 | 限制交换机远程访问的方法及装置 |
| CN103220215A (zh) * | 2013-04-25 | 2013-07-24 | 杭州华三通信技术有限公司 | TRILL网络中FCoE报文的转发方法和装置 |
| US20140286175A1 (en) * | 2013-03-22 | 2014-09-25 | Fujitsu Limited | Apparatus and method for controlling packet transfer |
| CN105337869A (zh) * | 2014-08-08 | 2016-02-17 | 中兴通讯股份有限公司 | 一种rscn通知方法、系统及相关装置 |
-
2016
- 2016-07-19 CN CN201610571213.9A patent/CN107634932B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820383A (zh) * | 2010-01-27 | 2010-09-01 | 中兴通讯股份有限公司 | 限制交换机远程访问的方法及装置 |
| US20140286175A1 (en) * | 2013-03-22 | 2014-09-25 | Fujitsu Limited | Apparatus and method for controlling packet transfer |
| CN103220215A (zh) * | 2013-04-25 | 2013-07-24 | 杭州华三通信技术有限公司 | TRILL网络中FCoE报文的转发方法和装置 |
| CN105337869A (zh) * | 2014-08-08 | 2016-02-17 | 中兴通讯股份有限公司 | 一种rscn通知方法、系统及相关装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474588A (zh) * | 2018-11-02 | 2019-03-15 | 杭州迪普科技股份有限公司 | 一种终端认证方法及装置 |
| CN112714052A (zh) * | 2020-12-20 | 2021-04-27 | 苏州浪潮智能科技有限公司 | 一种流量隔离方法、装置、交换机及存储介质 |
| CN112714052B (zh) * | 2020-12-20 | 2022-12-27 | 苏州浪潮智能科技有限公司 | 一种流量隔离方法、装置、交换机及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107634932B (zh) | 2021-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11032190B2 (en) | Methods and systems for network security universal control point | |
| CN103688489B (zh) | 一种策略处理的方法及网络设备 | |
| CN104685507B (zh) | 向虚拟云基础结构提供虚拟安全装置架构 | |
| CN1823496B (zh) | 交换机端口分析仪 | |
| KR101472695B1 (ko) | 스위치 시스템, 모니터링 집중 관리 방법 | |
| US9185056B2 (en) | System and methods for controlling network traffic through virtual switches | |
| CN103621028B (zh) | 控制网络访问策略的计算机系统、控制器和方法 | |
| WO2018058677A1 (zh) | 一种报文处理方法、计算设备以及报文处理装置 | |
| CN110506411A (zh) | 基于逻辑端口标识符管理虚拟交换机中的网络流量 | |
| CN1826769A (zh) | 虚拟网络设备 | |
| CN103944865B (zh) | 隔离保护系统及其执行双向数据包过滤检查的方法 | |
| CN107078974A (zh) | 用于存储区域网中的网络交换机的多播通告消息 | |
| WO2012154604A2 (en) | Systems and methods for managing virtual switches | |
| CN111684775B (zh) | 用于为数据中心提供安全性服务的方法、装置和计算机可读介质 | |
| CN102461089A (zh) | 用于使用标签进行策略执行的方法和设备 | |
| US9871864B2 (en) | Fibre channel peer zoning | |
| CN104506548B (zh) | 一种数据包重定向装置、虚拟机安全保护方法及系统 | |
| CN103209191A (zh) | 一种实现内外网物理隔断的方法 | |
| CN103237036A (zh) | 一种实现内外网物理隔断的装置 | |
| CN108737217A (zh) | 一种抓包方法及装置 | |
| CN107634932A (zh) | 报文处理方法、装置及系统 | |
| CN108418776A (zh) | 用于提供安全业务的方法和设备 | |
| US9184997B2 (en) | Selective network merging | |
| CN109417556A (zh) | 用于安全服务协作的系统和方法 | |
| CN106302360A (zh) | 信息在不同网络间单向传输的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180418 Address after: 518057 Nanshan District science and technology, Guangdong Province, South Road, No. 55, No. Applicant after: ZTE Corporation Address before: Yuhuatai District of Nanjing City, Jiangsu province 210012 Bauhinia Road No. 68 Applicant before: Nanjing Zhongxing New Software Co., Ltd. |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |