CN110611646A - 一种端口的安全策略合并方法、装置及交换设备 - Google Patents

一种端口的安全策略合并方法、装置及交换设备 Download PDF

Info

Publication number
CN110611646A
CN110611646A CN201811415014.4A CN201811415014A CN110611646A CN 110611646 A CN110611646 A CN 110611646A CN 201811415014 A CN201811415014 A CN 201811415014A CN 110611646 A CN110611646 A CN 110611646A
Authority
CN
China
Prior art keywords
switching device
port
security policy
switching
request message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811415014.4A
Other languages
English (en)
Other versions
CN110611646B (zh
Inventor
赵丽丽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN201811415014.4A priority Critical patent/CN110611646B/zh
Priority to PCT/CN2019/119996 priority patent/WO2020108382A1/zh
Publication of CN110611646A publication Critical patent/CN110611646A/zh
Application granted granted Critical
Publication of CN110611646B publication Critical patent/CN110611646B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种端口的安全策略合并方法、装置及交换设备。本发明实施例中,第一交换设备在感知到第二交换设备接入SAN时,利用与第二交换设备之间的报文交互,获取第二交换设备中端口的安全策略,以实现端口的安全策略的自动合并,提升端口的安全策略的合并效率。

Description

一种端口的安全策略合并方法、装置及交换设备
技术领域
本发明涉及网络通信技术领域,尤其涉及一种端口的安全策略合并方法、装置及交换设备。
背景技术
存储区域网络(Storage Area Network,SAN)是用于提供服务器与存储设备之间进行数据传输的专用网络。SAN中的服务器和存储设备通过交换机连接。
为了保障SAN网络安全,通常引入端口安全技术,以提供基于端口级别的安全控制。端口安全技术主要是指:在交换机上,建立端口与直连设备的绑定关系,该绑定关系亦称为端口的安全策略,以允许符合端口的安全策略的设备通过交换机登陆网络。
在实际应用中,会有网络合并的情况。比如,将SAN1与SAN2合并。此时,需要对SAN1和SAN2中各个交换机的端口的安全策略进行合并,以达到合并后各交换机中端口的安全策略一致的效果,防止原本在SAN1中不允许通过交换机登录网络的设备,网络合并后通过SAN2中的交换机登录网络。
目前,合并端口的安全策略的操作需要人工手动完成,合并效率不高,且容易出错。
发明内容
本发明为了解决现有端口的安全策略合并效率不高的问题,提出一种端口的安全策略合并方法、装置及交换设备,用以提升端口的安全策略的合并效率。
为实现上述发明目的,本发明提供了如下技术方案:
第一方面,本发明提供一种端口的安全策略合并方法,应用于SAN中的第一交换设备,所述方法包括:
若检测到第二交换设备接入所述SAN,向所述第二交换设备发送第一请求报文,所述第一请求报文用于获取所述第二交换设备中端口的安全策略;
接收所述第二交换设备根据所述第一请求报文回应的第一响应报文,所述第一响应报文包括所述第二交换设备中端口的安全策略;
将所述第二交换设备中端口的安全策略,添加到所述第一交换设备的端口安全策略表中。
可选的,所述向所述第二交换设备发送第一请求报文之前,还包括:
学习所述SAN中交换设备的路由;
若存在新增的路由,获取所述路由包括的目的地址,所述路由包括的目的地址为交换设备的地址;
将所述目的地址对应的交换设备确定为所述第二交换设备。
可选的,所述方法还包括:
接收所述第二交换设备发送的第二请求报文,所述第二请求报文用于获取所述第一交换设备中端口的安全策略;
根据所述第二请求报文,获取所述第一交换设备中端口的安全策略;
向所述第二交换设备发送第二响应报文,所述第二响应报文包括所述第一交换设备中端口的安全策略。
可选的,所述请求报文和所述响应报文均为FC协议报文;
其中,所述请求报文的命令码字段携带标识,所述标识用于表示所述请求报文为用于获取端口的安全策略的报文。
第二方面,本发明提供一种端口的安全策略合并装置,应用于SAN中的第一交换设备,所述装置包括:
发送单元,用于若检测到第二交换设备接入所述SAN,向所述第二交换设备发送第一请求报文,所述第一请求报文用于获取所述第二交换设备中端口的安全策略;
接收单元,用于接收所述第二交换设备根据所述第一请求报文回应的第一响应报文,所述第一响应报文包括所述第二交换设备中端口的安全策略;
添加单元,用于将所述第二交换设备中端口的安全策略,添加到所述第一交换设备的端口安全策略表中。
可选的,所述装置还包括:
学习单元,用于学习所述SAN中交换设备的路由;
获取单元,用于若存在新增的路由,获取所述路由包括的目的地址,所述路由包括的目的地址为交换设备的地址;
确定单元,用于将所述目的地址对应的交换设备确定为所述第二交换设备。
可选的,所述接收单元,还用于接收所述第二交换设备发送的第二请求报文,所述第二请求报文用于获取所述第一交换设备中端口的安全策略;
获取单元,用于根据所述第二请求报文,获取所述第一交换设备中端口的安全策略;
所述发送单元,还用于向所述第二交换设备发送第二响应报文,所述第二响应报文包括所述第一交换设备中端口的安全策略。
可选的,所述请求报文和所述响应报文均为FC协议报文;
其中,所述请求报文的命令码字段携带标识,所述标识用于表示所述请求报文为用于获取端口的安全策略的报文。
第三方面,本发明提供一种交换设备,所述设备包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述端口的安全策略合并方法。
第四方面,本发明提供一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时实现上述端口的安全策略合并方法。
由以上描述可以看出,第一交换设备在感知到第二交换设备接入SAN时,利用与第二交换设备之间的报文交互,获取第二交换设备中端口的安全策略,以实现端口的安全策略自动合并,提升端口的安全策略的合并效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例示出的一种端口的安全策略合并方法流程图;
图2是本发明实施例示出的第一交换设备检测第二交换设备的实现流程;
图3是本发明实施例示出的第一交换设备向第二交换设备提供端口的安全策略的实现流程;
图4是本发明实施例示出的FC协议报文示例;
图5A是本发明实施例示出的一个SAN的示意图;
图5B是本发明实施例示出的另一个SAN的示意图;
图5C是本发明实施例示出的图5A和图5B合并后的SAN网络的示意图;
图6是本发明实施例示出的一种端口的安全策略合并装置的结构示意图;
图7是本发明实施例示出的一种交换设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明实施例。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明实施例范围的情况下,协商信息也可以被称为第二信息,类似地,第二信息也可以被称为协商信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本发明实施例提供一种端口的安全策略合并方法。该方法中,第一交换设备在感知到第二交换设备时,利用与第二交换设备之间的报文交互,获取第二交换设备中端口的安全策略,以实现端口的安全策略自动合并,提升端口的安全策略的合并效率。
为了使本发明实施例的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明实施例执行详细描述:
参见图1,为本发明实施例提供的端口的安全策略合并方法流程图。该流程应用于SAN中的第一交换设备。
如图1所示,该流程可包括以下步骤:
步骤101,若检测到第二交换设备接入SAN,第一交换设备向第二交换设备发送第一请求报文。
当第一交换设备检测到第二交换设备接入SAN时,第一交换设备需要获得第二交换设备中端口的安全策略,此时,第一交换设备生成第一请求报文。该第一请求报文用于获取第二交换设备中端口的安全策略。
第一交换设备向第二交换设备发送第一请求报文。
这里,第一交换设备、第二交换设备、第一请求报文只是为便于描述而进行的命名,并非用于限定。
第一交换设备检测第二交换设备的过程在下文描述,这里暂不赘述。
步骤102,第一交换设备接收第二交换设备根据第一请求报文回应的第一响应报文。
在本发明实施例中,第二交换设备接收到步骤101中的第一请求报文后,对第一请求报文进行解析,确定第一交换设备需要自身端口的安全策略。第二交换设备获取端口的安全策略,并生成第一响应报文。可以理解的是,第一响应报文包括第二交换设备中端口的安全策略。
第二交换设备向第一交换设备发送第一响应报文。这里,第一响应报文只是为便于描述而进行的命名,并非用于限定。
作为示例而非限定,端口的安全策略可存储在第二交换设备中的端口安全策略表里。第二交换设备可直接从端口安全策略表中,获取第二交换设备的端口的安全策略。
参见表1,为交换设备中的端口安全策略表示例。
表1
其中,每一条表项代表一个端口安全策略。比如,第一条表项表示的端口安全策略为:允许服务器1通过交换设备1的端口1接入网络。
步骤103,第一交换设备将第二交换设备中端口的安全策略,添加到第一交换设备的端口安全策略表中。
第一交换设备接收到第一响应报文后,解析并从中获取第二交换设备中端口的安全策略。第一交换设备将从第二交换设备获取的端口的安全策略,添加到本交换设备的端口安全策略表中,即完成对端口的安全策略的合并。
第一交换设备根据合并后的端口的安全策略,确定网络设备是否可以通过第一交换设备登录网络。
至此,完成图1所示流程。
通过图1所示流程可以看出,在本发明实施例中,第一交换设备在感知到第二交换设备接入SAN时,利用与第二交换设备之间的报文交互,获取第二交换设备中端口的安全策略,以实现端口的安全策略的自动合并,提升端口的安全策略的合并效率。
下面对第一交换设备检测第二交换设备的过程进行具体描述。参见图2,为本发明实施例示出的第一交换设备检测第二交换设备的实现流程,通过检测交换设备接入SAN的过程,可使第一交换设备快速发现新接入的交换设备,并获取到该交换设备的端口的安全策略。
如图2所示,该流程可包括以下步骤:
步骤201,第一交换设备学习SAN中交换设备的路由。
当存在交换设备接入SAN时,SAN中的各个交换设备会重新收集网络拓扑,并基于收集到的网络拓扑重新计算路由。即交换设备的接入触发SAN中各交换设备重新学习路由。
第一交换设备将本次学习到的路由与路由表中已存在的路由进行比较,若此次学习到的路由未记录在路由表中,说明该路由为新学习到的路由,即新增的路由,将该新增的路由添加到路由表中。
路由包括的目的地址为交换设备的地址。
步骤202,若存在新增的路由,第一交换设备获取该路由包括的目的地址。
步骤203,第一交换设备将目的地址对应的交换设备确定为第二交换设备。
如前所述,路由包括的目的地址为交换设备的地址,因此,第一交换设备可根据从新增路由中获取到的目的地址,确定该目的地址对应的交换设备为接入SAN的交换设备,即第二交换设备。
至此,完成图2所示流程。
通过图2所示流程,实现对第二交换设备的检测。
参见图3,为本发明实施例示出的第一交换设备向第二交换设备提供端口的安全策略的实现流程。
如图3所示,该流程可包括以下步骤:
步骤301,第一交换设备接收第二交换设备发送的第二请求报文。
该第二请求报文用于获取第一交换设备中端口的安全策略。
需要说明的是,本发明实施例中,第二交换设备发送第二请求报文、第一交换设备接收第二请求报文的过程与前述实施例步骤101相同,在此不再复述。
这里,第二请求报文只是为便于描述而进行的命名,并非用于限定。
步骤302,根据第二请求报文,第一交换设备获取第一交换设备中端口的安全策略。
需要说明的是,本发明实施例中,第一交换设备获取自身端口的安全策略的过程与前述实施例步骤102中第二交换设备获取自身端口的安全策略的过程相同,在此不再复述。
步骤303,第一交换设备向第二交换设备发送第二响应报文。
需要说明的是,本发明实施例中,第一交换设备向第二交换设备发送第二响应报文的过程与前述实施例步骤102中第二交换设备向第一交换设备发送第一响应报文的过程相同,在此不再复述。
第二响应报文包括第一交换设备中端口的安全策略。
这里,第二响应报文只是为便于描述而进行的命名,并非用于限定。
至此,完成图3所示流程。
通过图3所示流程,实现第一交换设备向第二交换设备提供第一交换设备中端口的安全策略。即第二交换设备获取到第一交换设备中端口的安全策略。
可选的,作为一个实施例,第一交换设备和第二交换设备之间交互的请求报文和响应报文均为FC协议报文。
参见图4,为FC协议报文示例。
FC协议报文包括FC报文头和负载。在本发明实施例中该FC协议报文可具体为获取端口安全策略(Get Port Security Policies,GPSP)报文。为了方便描述,下文以FC协议报文说明。GPSP报文为FC协议报文中的一种类型。
FC报文头包括路由控制(R_CTL)字段、类型特殊控制(CS_CTL)字段、目的标识符(D_ID)字段、源标识符(S_ID)字段以及数据结构类型(TYPE)字段。其中:
R_CTL字段:请求报文中该字段的值为02H,响应报文中该字段的值为03H;
CS_CTL字段:值为00H;
D_ID字段和S_ID字段:分别为目的交换设备的地址和源交换设备的地址;
TYPE字段:值为22H。
请求报文的负载,如表2所述,包括命令码(Command Code)字段,该Command Code字段携带标识,比如,标识为70000004H,用于表示当前请求报文为获取端口的安全策略的报文。以使接收到该请求报文的交换设备根据Command Code字段的标识,确定接收到的请求报文为用于获取端口的安全策略的报文,从而向发送该请求报文的交换设备提供端口的安全策略。
负载内容 字节数(Bytes)
70000004H 4
表2
响应报文的负载,如表3所示。表3仅为示例性说明。
负载内容 字节数(Bytes)
端口安全策略表项的数量 4
端口安全策略表项1 20
…… 20
端口安全策略表项n 20
表3
其中,端口安全策略表项1~端口安全策略表项n为交换设备中端口安全策略表的表项。
本发明实施例通过对FC协议报文进行上述扩展,使交换设备之间可基于FC协议交互端口的安全策略。
下面通过具体实施例对本发明实施例提供的方法进行描述:
参见图5A,为本发明实施例示出的一个SAN的示意图。
图5A中,交换设备521当前已有的端口的安全策略,如表4所示。
表4
其中,节点设备为与交换设备直连的服务器、存储设备或者其它交换设备;策略行为为允许,表示对应节点设备可以通过交换设备登录网络;策略行为为拒绝,表示对应节点设备不可以通过交换设备登录网络。比如,最后一条表项所代表的端口安全策略为:禁止服务器513通过任意端口接入网络。
需要说明的是,在SAN中,端口标识或节点设备的标识通常利用全球名字(WorldWide Name,WWN)表示。本发明实施例中,为了更加直观的展现交换设备与节点设备的绑定关系(即端口的安全策略),利用图5A~图5C中示出的设备名称或端口名称表示。
参见图5B,为本发明实施例示出的另一个SAN的示意图。该组网中的交换设备522和交换设备523已通过自动合并或手动配置,具有相同的端口的安全策略,如表5和表6所示。
表5
表6
其中,表5为交换设备522中当前已有的端口的安全策略;表6为交换设备523中当前已有的端口的安全策略。
若将图5A与图5B所示SAN网络合并(合并后如图5C所示),图5C中的各个交换设备重新收集网络拓扑,并基于网络拓扑重新计算到各个交换设备的路由,即完成路由学习。
交换设备521学习到目的地址为交换设备522的地址的路由,以及目的地址为交换设备523的地址的路由;同理,交换设备522学习到目的地址为交换设备521的地址的路由,以及目的地址为交换设备523的地址的路由;交换设备523学习到目的地址为交换设备521的地址的路由,以及目的地址为交换设备522的地址的路由。
交换设备521~交换设备523分别将本次学习到的路由与各自路由表中的已有路由进行比较。比如,交换设备521在网络合并之前,路由表中没有目的地址为交换设备522的地址的路由,也没有目的地址为交换设备523的地址的路由。因此,交换设备521可确定此次学习到的目的地址为交换设备522的地址的路由、目的地址为交换设备523的地址的路由均为新增路由。同理,交换设备522可确定此次学习到的目的地址为交换设备521的地址的路由为新增路由。交换设备523可确定此次学习到的目的地址为交换设备521的地址的路由为新增路由。
如前所述,交换设备521中存在两条新增路由。
交换设备521基于目的地址为交换设备522的地址的新增路由,向交换设备522发送获取交换设备522中端口的安全策略的请求报文(记为Packet11)。该Packet11的R_CTL字段为02H,CS_CTL字段为00H,D_ID字段为交换设备522的地址,S_ID字段为交换设备521的地址,TYPE字段为22H,Command Code字段为70000004H。
交换设备522接收到Packet11后,基于R_CTL字段(02H),确定Packet11为请求报文。基于Command Code字段(70000004H),确定Packet11为用于获取端口安全策略的请求报文。即确定交换设备521是要获取本设备中的端口的安全策略。因此,交换设备522从自身维护的端口安全策略表(表5)中获取端口的安全策略。交换设备522向交换设备521发送响应报文(记为Packet12),该Packet12的R_CTL字段为03H,CS_CTL字段为00H,D_ID字段为交换设备521的地址,S_ID字段为交换设备522的地址,TYPE字段为22H,负载为从表4中获取的端口的安全策略。
交换设备521接收到Packet12后,基于R_CTL字段(03H),确定Packet12为响应报文,从该响应报文中获取到交换设备522中端口的安全策略,并添加到本地的端口安全策略表中,如表7所示。
表7
交换设备521基于目的地址为交换设备523的地址的新增路由,向交换设备523发送获取交换设备523中端口的安全策略的请求报文(记为Packet21)。该Packet21的R_CTL字段为02H,CS_CTL字段为00H,D_ID字段为交换设备523的地址,S_ID字段为交换设备521的地址,TYPE字段为22H,Command Code字段为70000004H。
交换设备523接收到Packet21后,基于R_CTL字段(02H),确定Packet21为请求报文。基于Command Code字段(70000004H),确定Packet21为用于获取端口安全策略的请求报文。即确定交换设备521是要获取本设备中的端口的安全策略。因此,交换设备523从自身维护的端口安全策略表(表6)中获取端口的安全策略。交换设备523向交换设备521发送响应报文(记为Packet22),该Packet22的R_CTL字段为03H,CS_CTL字段为00H,D_ID字段为交换设备521的地址,S_ID字段为交换设备523的地址,TYPE字段为22H,负载为从表5中获取的端口的安全策略。
交换设备521接收到Packet22后,基于R_CTL字段(03H),确定Packet22为响应报文,从该响应报文中获取到交换设备523中端口的安全策略。由于交换设备523中端口的安全策略与交换设备522中端口的安全策略相同,因此,表6不需要更新。
交换设备522基于目的地址为交换设备521的地址的新增路由,向交换设备521发送获取交换设备521中端口的安全策略的请求报文(记为Packet31)。该Packet31的R_CTL字段为02H,CS_CTL字段为00H,D_ID字段为交换设备521的地址,S_ID字段为交换设备522的地址,TYPE字段为22H,Command Code字段为70000004H。
交换设备521接收到Packet31后,基于R_CTL字段(02H),确定Packet31为请求报文。基于Command Code字段(70000004H),确定Packet31为用于获取端口安全策略的请求报文。即确定交换设备522是要获取本设备中的端口的安全策略。因此,交换设备521从自身维护的端口安全策略表(表4)中获取端口的安全策略。交换设备521向交换设备522发送响应报文(记为Packet32),该Packet32的R_CTL字段为03H,CS_CTL字段为00H,D_ID字段为交换设备522的地址,S_ID字段为交换设备521的地址,TYPE字段为22H,负载为从表3中获取的端口的安全策略。
交换设备522接收到Packet32后,基于R_CTL字段(03H),确定Packet32为响应报文,从该响应报文中获取到交换设备521中端口的安全策略,并添加到本地的端口安全策略表中,如表8所示。
表8
交换设备523基于目的地址为交换设备521的地址的新增路由,向交换设备521发送获取交换设备521中端口的安全策略的请求报文(记为Packet41)。该Packet41的R_CTL字段为02H,CS_CTL字段为00H,D_ID字段为交换设备521的地址,S_ID字段为交换设备523的地址,TYPE字段为22H,Command Code字段为70000004H。
交换设备521接收到Packet41后,基于R_CTL字段(02H),确定Packet41为请求报文。基于Command Code字段(70000004H),确定Packet41为用于获取端口安全策略的请求报文。即确定交换设备523是要获取本设备中的端口的安全策略。因此,交换设备521从自身维护的端口安全策略表(表4)中获取端口的安全策略。交换设备521向交换设备523发送响应报文(记为Packet42),该Packet42的R_CTL字段为03H,CS_CTL字段为00H,D_ID字段为交换设备523的地址,S_ID字段为交换设备521的地址,TYPE字段为22H,负载为从表3中获取的端口的安全策略。
交换设备523接收到Packet42后,基于R_CTL字段(03H),确定Packet42为响应报文,从该响应报文中获取到交换设备521中端口的安全策略,并添加到本地的端口安全策略表中,如表9所示。
表9
至此,完成图5C中所有交换设备中端口的安全策略的合并。
合并后,服务器513通过交换设备521、交换设备522、交换设备523均无法登录网络。
以上对本发明实施例提供的方法进行了描述,下面对本发明实施例提供的装置进行描述:
参见图6,为本发明实施例提供的装置的结构示意图。该装置包括:发送单元601、接收单元602以及添加单元603,其中:
发送单元601,用于若检测到第二交换设备接入所述SAN,向所述第二交换设备发送第一请求报文,所述第一请求报文用于获取所述第二交换设备中端口的安全策略;
接收单元602,用于接收所述第二交换设备根据所述第一请求报文回应的第一响应报文,所述第一响应报文包括所述第二交换设备中端口的安全策略;
添加单元603,用于将所述第二交换设备中端口的安全策略,添加到所述第一交换设备的端口安全策略表中。
作为一个实施例,所述装置还包括:
学习单元,用于学习所述SAN中交换设备的路由;
获取单元,用于若存在新增的路由,获取所述路由包括的目的地址,所述路由包括的目的地址为交换设备的地址;
确定单元,用于将所述目的地址对应的交换设备确定为所述第二交换设备。
作为一个实施例,所述接收单元602,还用于接收所述第二交换设备发送的第二请求报文,所述第二请求报文用于获取所述第一交换设备中端口的安全策略;
获取单元,用于根据所述第二请求报文,获取所述第一交换设备中端口的安全策略;
所述发送单元601,还用于向所述第二交换设备发送第二响应报文,所述第二响应报文包括所述第一交换设备中端口的安全策略。
作为一个实施例,所述请求报文和所述响应报文均为FC协议报文;
其中,所述请求报文的命令码字段携带标识,所述标识用于表示所述请求报文为用于获取端口的安全策略的报文。
至此,完成图6所示装置的描述。在本发明实施例中,第一交换设备在感知到第二交换设备接入SAN时,利用与第二交换设备之间的报文交互,获取第二交换设备中端口的安全策略,以实现端口的安全策略自动合并,提升端口的安全策略的合并效率。
下面对本发明实施例提供的交换设备进行描述:
参见图7,为本发明实施例提供的一种交换设备的硬件结构示意图。该交换设备可包括处理器701、存储有机器可执行指令的机器可读存储介质702。处理器701与机器可读存储介质702可经由系统总线703通信。并且,通过读取并执行机器可读存储介质702中与端口的安全策略合并逻辑对应的机器可执行指令,处理器701可执行上文描述的端口的安全策略合并方法。
本文提到的机器可读存储介质702可以是任何电子、磁性、光学或其他物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,所述机器可读存储介质702可以包括如下至少一个种存储介质:易失存储器、非易失性存储器、其它类型存储介质。其中,易失性存储器可为RAM(Random Access Memory,随机存取存储器),非易失性存储器可为闪存、存储驱动器(如硬盘驱动器)、固态硬盘、存储盘(如光盘、DVD等)。
本发明实施例还提供一种包括机器可执行指令的机器可读存储介质,例如图7中的机器可读存储介质702,所述机器可执行指令可由交换设备中的处理器701执行,以实现以上描述的端口的安全策略合并方法。
至此,完成图7所示设备的描述。
以上所述仅为本发明实施例的较佳实施例而已,并不用以限制本发明,凡在本发明实施例的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (10)

1.一种端口的安全策略合并方法,应用于存储区域网络SAN中的第一交换设备,其特征在于,所述方法包括:
若检测到第二交换设备接入所述SAN,向所述第二交换设备发送第一请求报文,所述第一请求报文用于获取所述第二交换设备中端口的安全策略;
接收所述第二交换设备根据所述第一请求报文回应的第一响应报文,所述第一响应报文包括所述第二交换设备中端口的安全策略;
将所述第二交换设备中端口的安全策略,添加到所述第一交换设备的端口安全策略表中。
2.如权利要求1所述的方法,其特征在于,所述向所述第二交换设备发送第一请求报文之前,还包括:
学习所述SAN中交换设备的路由;
若存在新增的路由,获取所述路由包括的目的地址,所述路由包括的目的地址为交换设备的地址;
将所述目的地址对应的交换设备确定为所述第二交换设备。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述第二交换设备发送的第二请求报文,所述第二请求报文用于获取所述第一交换设备中端口的安全策略;
根据所述第二请求报文,获取所述第一交换设备中端口的安全策略;
向所述第二交换设备发送第二响应报文,所述第二响应报文包括所述第一交换设备中端口的安全策略。
4.如权利要求1所述的方法,其特征在于:所述请求报文和所述响应报文均为光纤通道FC协议报文;
其中,所述请求报文的命令码字段携带标识,所述标识用于表示所述请求报文为用于获取端口的安全策略的报文。
5.一种端口的安全策略合并装置,应用于存储区域网络SAN中的第一交换设备,其特征在于,所述装置包括:
发送单元,用于若检测到第二交换设备接入所述SAN,向所述第二交换设备发送第一请求报文,所述第一请求报文用于获取所述第二交换设备中端口的安全策略;
接收单元,用于接收所述第二交换设备根据所述第一请求报文回应的第一响应报文,所述第一响应报文包括所述第二交换设备中端口的安全策略;
添加单元,用于将所述第二交换设备中端口的安全策略,添加到所述第一交换设备的端口安全策略表中。
6.如权利要求5所述的装置,其特征在于,所述装置还包括:
学习单元,用于学习所述SAN中交换设备的路由;
获取单元,用于若存在新增的路由,获取所述路由包括的目的地址,所述路由包括的目的地址为交换设备的地址;
确定单元,用于将所述目的地址对应的交换设备确定为所述第二交换设备。
7.如权利要求5所述的装置,其特征在于,所述装置还包括:
所述接收单元,还用于接收所述第二交换设备发送的第二请求报文,所述第二请求报文用于获取所述第一交换设备中端口的安全策略;
获取单元,用于根据所述第二请求报文,获取所述第一交换设备中端口的安全策略;
所述发送单元,还用于向所述第二交换设备发送第二响应报文,所述第二响应报文包括所述第一交换设备中端口的安全策略。
8.如权利要求5所述的装置,其特征在于:
所述请求报文和所述响应报文均为FC协议报文;
其中,所述请求报文的命令码字段携带标识,所述标识用于表示所述请求报文为用于获取端口的安全策略的报文。
9.一种交换设备,其特征在于,所述交换设备包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-4任一所述的方法步骤。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时实现权利要求1-4任一所述的方法步骤。
CN201811415014.4A 2018-11-26 2018-11-26 一种端口的安全策略合并方法、装置及交换设备 Active CN110611646B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201811415014.4A CN110611646B (zh) 2018-11-26 2018-11-26 一种端口的安全策略合并方法、装置及交换设备
PCT/CN2019/119996 WO2020108382A1 (zh) 2018-11-26 2019-11-21 端口的安全策略合并

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811415014.4A CN110611646B (zh) 2018-11-26 2018-11-26 一种端口的安全策略合并方法、装置及交换设备

Publications (2)

Publication Number Publication Date
CN110611646A true CN110611646A (zh) 2019-12-24
CN110611646B CN110611646B (zh) 2020-07-07

Family

ID=68888967

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811415014.4A Active CN110611646B (zh) 2018-11-26 2018-11-26 一种端口的安全策略合并方法、装置及交换设备

Country Status (2)

Country Link
CN (1) CN110611646B (zh)
WO (1) WO2020108382A1 (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795644A (zh) * 2014-01-27 2014-05-14 福建星网锐捷网络有限公司 策略表表项配置方法、装置及系统
CN104038424A (zh) * 2014-06-03 2014-09-10 杭州华三通信技术有限公司 一种下线报文的处理方法和设备
CN105939268A (zh) * 2015-10-28 2016-09-14 杭州迪普科技有限公司 一种二层转发表项聚合方法及装置
US20160359912A1 (en) * 2015-06-05 2016-12-08 Cisco Technology, Inc. System and method for network policy simulation
CN106254244A (zh) * 2016-07-28 2016-12-21 上海斐讯数据通信技术有限公司 一种基于sdn网络的合并流表项方法
CN108616587A (zh) * 2018-04-24 2018-10-02 新华三技术有限公司 一种表项同步方法、装置及网络设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7817583B2 (en) * 2003-04-28 2010-10-19 Hewlett-Packard Development Company, L.P. Method for verifying a storage area network configuration
US20050091353A1 (en) * 2003-09-30 2005-04-28 Gopisetty Sandeep K. System and method for autonomically zoning storage area networks based on policy requirements
CN108259545B (zh) * 2017-01-13 2021-04-27 新华三技术有限公司 端口安全策略扩散方法及装置
CN108092810A (zh) * 2017-12-13 2018-05-29 锐捷网络股份有限公司 一种虚拟机管理方法、vtep设备及管理设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795644A (zh) * 2014-01-27 2014-05-14 福建星网锐捷网络有限公司 策略表表项配置方法、装置及系统
CN104038424A (zh) * 2014-06-03 2014-09-10 杭州华三通信技术有限公司 一种下线报文的处理方法和设备
US20160359912A1 (en) * 2015-06-05 2016-12-08 Cisco Technology, Inc. System and method for network policy simulation
CN105939268A (zh) * 2015-10-28 2016-09-14 杭州迪普科技有限公司 一种二层转发表项聚合方法及装置
CN106254244A (zh) * 2016-07-28 2016-12-21 上海斐讯数据通信技术有限公司 一种基于sdn网络的合并流表项方法
CN108616587A (zh) * 2018-04-24 2018-10-02 新华三技术有限公司 一种表项同步方法、装置及网络设备

Also Published As

Publication number Publication date
WO2020108382A1 (zh) 2020-06-04
CN110611646B (zh) 2020-07-07

Similar Documents

Publication Publication Date Title
US10027623B2 (en) Internet protocol address resolution
US9825860B2 (en) Flow-driven forwarding architecture for information centric networks
CN110535744B (zh) 报文处理方法、装置及Leaf设备
US11012258B2 (en) Packet transmission
KR20130136522A (ko) 하이브리드 통신 네트워크들에 대한 어드레싱 방식
CN110417683B (zh) 报文处理方法、装置及服务器
US9658984B2 (en) Method and apparatus for synchronizing multiple MAC tables across multiple forwarding pipelines
US20230421487A1 (en) Reflection route for link local packet processing
CN110505621B (zh) 一种终端迁移的处理方法及装置
CN111064804B (zh) 网络访问方法和装置
CN107852344B (zh) 存储网元发现方法及装置
CN108259348B (zh) 一种报文传输方法和装置
CN113839882B (zh) 一种报文流分流方法及装置
CN114338153A (zh) 一种IPSec的协商方法及装置
CN110611646B (zh) 一种端口的安全策略合并方法、装置及交换设备
EP3996334A1 (en) Method and device for packet forwarding
CN113315848B (zh) 访问控制方法、装置及设备
CN112073212A (zh) 参数配置方法、装置、终端设备和存储介质
CN108494691B (zh) 一种组播转发方法、装置及隧道端点设备
CN110995610A (zh) Vxlan隧道报文处理方法、装置及vtep设备
CN108600075B (zh) 一种故障处理方法及装置
CN110809033B (zh) 报文转发方法、装置及交换服务器
CN111556179A (zh) Arp表项更新方法和装置
CN105530189A (zh) Trill网络中转发报文的方法和路由桥
CN108768711B (zh) 一种网络管理方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant