CN115550290A - 一种在存储区域网络中实现Zone隔离的方法及设备 - Google Patents
一种在存储区域网络中实现Zone隔离的方法及设备 Download PDFInfo
- Publication number
- CN115550290A CN115550290A CN202211260918.0A CN202211260918A CN115550290A CN 115550290 A CN115550290 A CN 115550290A CN 202211260918 A CN202211260918 A CN 202211260918A CN 115550290 A CN115550290 A CN 115550290A
- Authority
- CN
- China
- Prior art keywords
- acl
- current switch
- host
- access message
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000002955 isolation Methods 0.000 title claims abstract description 25
- 230000008569 process Effects 0.000 claims description 4
- 239000000126 substance Substances 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/356—Switches specially adapted for specific applications for storage area networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/72—Routing based on the source address
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在存储区域网络中实现Zone隔离的方法及设备,属于存储区域网络技术领域,用于解决传统的完全由ACL实现Zone隔离的方法易造成ACL资源冲突,并且无法同时兼容IPv4和IPv6主机的技术问题。方法包括:当前交换机在感应到新上线主机时,生成对应的出端口的ACL,并存储在ACL表中;各交换机分别查找新上线主机的同域主机,并为查找到的每个同域主机分别生成对应的EM entry,存储在精确匹配子系统中;在当前交换机接收到访问报文的情况下,在精确匹配子系统中匹配访问报文对应的EM entry,并对命中的EM entry打上状态标签;同时在MAC表或ARP表中查找访问报文对应的目的出端口;根据中间状态、状态标签以及目的出端口,在ACL表中匹配对应的ACL。
Description
技术领域
本申请涉及存储区域网络技术领域,尤其涉及一种在存储区域网络中实现Zone隔离的方法及设备。
背景技术
RoCE-SAN是一种基于RoCE协议的高性能存储区域网络,由服务器、交换机与存储设备构成,具备零丢包、低时延、即插即用以及故障快速收敛等特点,能够兼备FC-SAN和IP-SAN的优点。Zone是存储区域网络中一个常用的概念,它具备两个层面的功能:第一是让处于相同Zone内的设备(主机与存储设备)彼此可见;第二是让处于不同Zone之间的成员转发隔离。存储区域网络需要做到相同Zone内的终端可以互访,但不同Zone之间的终端不可以互访。需要在交换机上导入整网的Zone配置规划,确认每个Zone和成员设备的关系。
传统的硬件Zone隔离方法是完全由访问控制列表(Access Control List,ACL)来实现,而交换机中的ACL为三态内容寻址存储器(Ternary Content Addressable Memory,TCAM)资源,因TCAM资源具有成本高和功耗大这样明显的缺点,其表项一般较小,无法承载过多的设备,当上线主机增加、或者上线主机同时属于多个Zone、或者交换机上有其他功能也需要使用ACL资源时,需要的ACL资源会急剧增加,容易造成ACL资源冲突,且频繁操作ACL会影响CPU效率。另外,当存储区域网络中同时存在IPv4和IPv6主机时,需要多个ACL slice块。
发明内容
本申请实施例提供了一种在存储区域网络中实现Zone隔离的方法及设备,用于解决如下技术问题:传统的完全由ACL实现Zone隔离的方法易造成ACL资源冲突,并且无法同时兼容IPv4和IPv6主机。
本申请实施例采用下述技术方案:
一方面,本申请实施例提供了一种在存储区域网络中实现Zone隔离的方法,方法包括:当前交换机在感应到连接的新上线主机时,生成所述新上线主机对应的出端口的ACL,并存储在当前交换机的ACL表中;其中,所述ACL包括放行ACL以及丢弃ACL;各交换机分别在本地Zone信息中,查找所述新上线主机的同域主机,并为查找到的每个同域主机分别生成对应的EM entry,存储在自己的精确匹配子系统中;其中,所述EM entry中至少包括源IP以及目的IP;在当前交换机接收到访问报文的情况下,所述当前交换机在精确匹配子系统中匹配所述访问报文对应的EM entry,若命中任一EM entry,则为所述访问报文设置中间状态且打上状态标签;同时,所述当前交换机在MAC表或ARP表中查找所述访问报文对应的目的出端口;所述当前交换机根据所述中间状态、所述状态标签以及所述目的出端口,在所述ACL表中匹配对应的ACL,并根据命中的ACL的类型,处理所述访问报文。
在一种可行的实施方式中,当前交换机在感应到连接的新上线主机时,生成所述新上线主机对应的出端口的ACL,并存储在当前交换机的ACL表中,具体包括:所述当前交换机在感知到新上线主机上线时,获取所述当前交换机与所述新上线主机之间的连接端口,确定为所述新上线主机的出端口;所述当前交换机根据所述出端口,生成对应的状态标签;所述当前交换机将中间状态EM hit、所述状态标签以及所述出端口封装为一条放行ACL,将所述出端口单独封装为一条丢弃ACL,并将所述放行ACL与所述丢弃ACL存储在所述当前交换机的ACL表中;其中,所述放行ACL的优先级高于所述丢弃ACL的优先级。
在一种可行的实施方式中,各交换机分别在本地Zone信息中,查找所述新上线主机的同域主机,并为查找到的每个同域主机分别生成对应的EM entry,存储在自己的精确匹配子系统中,具体包括:在感知到所述新上线主机上线时,各交换机读取当前存储区域网络中的Zone配置文件,并分别在本地Zone信息中,查找与所述新上线主机属于同一Zone的其他已上线主机,确定为所述新上线主机的同域主机;各交换机将查找到的每个同域主机的IP地址确定为所述源IP,将所述新上线主机的IP地址设为所述目的IP,封装为所述EMentry,并存储在当前交换机的精确匹配子系统中。
在一种可行的实施方式中,在当前交换机接收到访问报文的情况下,所述当前交换机在精确匹配子系统中匹配所述访问报文对应的EM entry,若命中任一EM entry,则为所述访问报文设置中间状态且打上状态标签,具体包括:当前交换机读取所述访问报文中的源IP以及目的IP;所述当前交换机根据所述访问报文中的源IP以及目的IP,在精确匹配子系统中匹配内容相同的EM entry,若命中了某条EM entry,则对所述访问报文设置中间状态EM hit,并打上状态标签EM Label;其中,所述状态标签与所述访问报文对应的目的主机有关。
在一种可行的实施方式中,所述当前交换机在MAC表或ARP表中查找所述访问报文对应的目的出端口,具体包括:在所述访问报文中的源IP与目的IP属于同一网段的情况下,所述当前交换机在MAC表中查找所述目的IP对应的目的出端口;在所述访问报文中的源IP与目的IP不属于同一网段的情况下,所述当前交换机在所述ARP表中查找所述目的IP对应的目的出端口。
在一种可行的实施方式中,所述方法还包括:在所述访问报文中的源IP与目的IP不属于同一交换机直连网段的情况下,所述当前交换机在路由表中查找所述目的IP对应的目的出端口。
在一种可行的实施方式中,在所述当前交换机根据所述中间状态、所述状态标签以及所述目的出端口,在所述ACL表中匹配对应的ACL之前,所述方法还包括:在所述访问报文并未命中精确匹配子系统中的任何EM entry的情况下,所述当前交换机仅根据所述目的出端口,在所述ACL表中匹配对应的丢弃ACL。
在一种可行的实施方式中,所述当前交换机根据所述中间状态、所述状态标签以及所述目的出端口,在所述ACL表中匹配对应的ACL,具体包括:在所述访问报文命中精确匹配子系统中的任一EM entry的情况下,所述当前交换机根据所述访问报文的中间状态EMhit、状态标签以及目的出端口,在所述ACL表中匹配相同的放行ACL。
在一种可行的实施方式中,所述根据命中的ACL的类型,处理所述访问报文,具体包括:在命中放行ACL后,所述当前交换机将所述访问报文从所述目的出端口转发到对应的目的主机;在命中丢弃ACL后,所述当前交换机将所述访问报文丢弃。
另一方面,本申请实施例还提供了一种在存储区域网络中实现Zone隔离的设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有能够被所述至少一个处理器执行的指令,以使所述至少一个处理器能够执行根据上述任一实施方式所述的一种在存储区域网络中实现Zone隔离的方法。
本申请实施例提供的一种在存储区域网络中实现Zone隔离的方法及设备,通过使用Exact Match Subsystem过滤主机IP,使用ACL过滤出口信息,来满足主机间的互访和隔离需求。通过使用Exact Match Subsystem实现IP过滤及对IPv6的兼容,极大的释放了ACL的资源压力,ACL只需要针对每个本地的物理端口下发两条规则即可。本申请不仅兼容IPv6,而且还支持一个设备多个IP(虚拟机)的情况(需要限制这些IP属于同一个ZONE)。无论这些设备是否跨网段,是否跨leaf交换机,都适用于本申请。本申请只需要对于本leaf下接的设备下发一条丢弃Acl和一条放行Acl,而将容量压力放在Exact Match Subsystem上。Exact Match Subsystem为hash表,使用静态随机存取存储器(Static Random-AccessMemory,SRAM)资源实现,容量相对TCAM资源来说要大得多,并且交换机中此资源一般都处于闲置状态。使用Exact Match Subsystem来兼容IPv6相对TCAM来说也更加节约资源一些。另外,本申请还可以支持同一个主机属于多个Zone的场景,且为这种场景提供了更大的容量支撑。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本申请实施例提供的一种在存储区域网络中实现Zone隔离方法流程图;
图2为本申请实施例提供的一种交换机Zone隔离场景示意图;
图3为本申请实施例提供的一种访问报文处理流程示意图;
图4为本申请实施例提供的一种在存储区域网络中实现Zone隔离设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本说明书实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
本申请实施例提供了一种在存储区域网络中实现Zone隔离方法,如图1所示,在存储区域网络中实现Zone隔离方法具体包括步骤S101-S105:
S101、当前交换机在感应到连接的新上线主机时,生成新上线主机对应的出端口的ACL,并存储在当前交换机的ACL表中。
具体地,当前交换机在感知到新上线主机上线时,获取当前交换机与新上线主机之间的连接端口,确定为新上线主机的出端口。然后根据出端口,生成对应的状态标签。然后将中间状态EM hit、状态标签以及出端口封装为一条放行ACL,将出端口单独封装为一条丢弃ACL,并将放行ACL与丢弃ACL存储在当前交换机的ACL表中。其中,ACL包括放行ACL以及丢弃ACL,放行ACL的优先级高于丢弃ACL的优先级,在ACL表中,所有的ACL以优先级从高到低排列。新上线主机是指刚刚上线的主机。
其中,精确匹配子系统(Exact Match Subsystem,EM)可以理解为hash ACL,无法像TCAM一样支持掩码匹配、并行查找和顺序查找,但是由于其使用SRAM实现,表项容量相对TCAM ACL来说要大得多。Label是EM中的一种状态标签,EM支持多种Label,并且这些状态标签可以用作ACL规则的匹配过滤。EM Label就是报文查找命中EM entry后被打上的一种状态标签。EM hit是报文命中了任意EM entry而被置上的一种中间状态,这种中间状态同样可以用作ACL规则的匹配过滤。
在一个实施例中,图2为本申请实施例提供的一种交换机Zone隔离场景示意图,以图2为例,当leaf 1交换机感知到端口A的下接主机A上线时,leaf1交换机下发端口A的放行ACL:{EM hit、EM Label A、出端口A},和丢弃ACL:{出端口A},放行ACL的优先级比丢弃ACL的优先级高。同理,若此时上线的是主机B,对应的出端口为端口B,那么下发的放行ACL为:{EM hit、EM Label B、出端口B},放行ACL为{出端口B}。
S102、各交换机分别在本地Zone信息中,查找新上线主机的同域主机,并为查找到的每个同域主机分别生成对应的EM entry,存储在自己的精确匹配子系统中。
具体地,在检测到新上线主机上线时,各交换机读取当前存储区域网络中的Zone配置文件,并分别在本地Zone信息中,查找与新上线主机属于同一Zone的其他已上线主机,确定为新上线主机的同域主机。
进一步地,各交换机将查找到的每个同域主机的IP地址确定为源IP,将新上线主机的IP地址设为目的IP,封装为EM entry,并存储在当前交换机的精确匹配子系统EM中。
作为一种可行的实施方式,各leaf交换机通过智能无损存储网络(IntelligentLossless NVMe Over Fabric,iNOF)感知到某一主机上线后,根据Zone相关配置,自动同步和更新本地的Zone信息。各leaf交换机会根据本地Zone信息的变化,下发EM entry放开同一Zone中的主机互访。当主机不属于任何Zone时,主机属于默认Zone,即Zone 0。
在一个实施例中,如图2所示,当主机A上线时,如图可知主机A属于Zone 1,那么针对同一Zone中的其他已上线主机B(假设此时主机C和主机D还未上线),其上接交换机leaf2会下发EM entry,其中,目的IP为主机A的IP,源IP为主机B的IP。交换机leaf 2下发的EMentry为:{192.168.1.2、192.168.3.2}。
S103、在当前交换机接收到访问报文的情况下,当前交换机在精确匹配子系统中匹配访问报文对应的EM entry,若命中任一EM entry,则为该访问报文设置中间状态且打上状态标签;同时,当前交换机在MAC表或ARP表中查找访问报文对应的目的出端口。
具体地,在当前交换机接收到访问报文的情况下,当前交换机读取访问报文中的源IP以及目的IP。然后根据访问报文中的源IP以及目的IP,在精确匹配子系统中匹配内容相同的EM entry,若命中了某条EM entry,则对该访问报文设置中间状态EM hit,并打上状态标签EM Label;其中,状态标签与访问报文对应的目的主机有关。
作为一种可行的实施方式,图3为本申请实施例提供的一种访问报文处理流程示意图,当主机B要访问主机A时,B给A发送源IP为192.168.1.2,目的IP为192.168.3.2的访问报文,访问报文到达leaf 1交换机时,会走图3的流程。如图3所示,该访问报文在ExactMatch Subsystem中会命中源IP为192.168.1.2,目的IP为192.168.3.2的EM entry,同时访问报文在ARP表中会命中192.168.3.2的ARP从而被赋予目的出端口A,从而给该访问报文打上状态标签EM Label A。其中,EM Label A中的A根据目的主机A的出端口确定,若目的主机A的出端口为D,那么状态标签则为EM Label D。
在精确匹配子系统中匹配访问报文对应的EM entry的同时,当前交换机在MAC表或ARP表中查找访问报文对应的目的出端口,具体包括:在访问报文中的源IP与目的IP属于同一网段的情况下,当前交换机在MAC表中查找目的IP对应的目的出端口;在访问报文中的源IP与目的IP不属于同一网段的情况下,当前交换机在ARP表中查找目的IP对应的目的出端口;在访问报文中的源IP与目的IP不属于同一交换机直连网段的情况下,当前交换机在路由表中查找目的IP对应的目的出端口。
在一个实施例中,如果是主机B和主机C互访,因为两个主机是同一网段,会直接通过MAC表走二层转发,此时不会查ARP表找出端口,而是直接查MAC表找到相应出口。主机A和主机B因为不仅跨网段,而且在不同leaf交换机上,所以spine交换机上需要添加相应路由。
S104、当前交换机根据中间状态、状态标签以及目的出端口,在ACL表中匹配对应的ACL。
具体地,在访问报文并未命中精确匹配子系统中的任何EM entry的情况下,当前交换机仅根据目的出端口,在ACL表中匹配对应的丢弃ACL。在访问报文命中精确匹配子系统中的任一EM entry的情况下,当前交换机根据该访问报文的中间状态EM hit、状态标签以及目的出端口,在ACL表中匹配相同的放行ACL。
在一个实施例中,如图2所示,当主机E上线时,leaf 2下发对应的丢弃ACL和放行ACL,此时,leaf 1虽然感知到主机E上线,但是由于主机A与主机E不在同一个Zone中,因而不会更新本地Zone信息,进而也不会下发相应的EM entry。同样,leaf 2上主机E也不会针对主机A下发EM entry。当主机A要访问主机E时,A给E发送源IP为192.168.3.2,目的IP为192.168.2.3的报文,报文到达leaf 2交换机时,会走图3的流程。该报文在Exact MatchSubsystem中不会命中任何EM entry,从而不会打上任何状态标签,也不会有中间状态。此时在ARP表中依然会查到目的IP192.168.2.3的出端口E(假设主机E通过端口E与leaf 2交换机连接)。此时在ACL表中,访问报文会命中{出端口E}这条丢弃Acl,从而被丢弃,因而无法到达主机E。主机E访问主机A的流程类似。
在另一个实施例中,当主机B要访问主机A时,B给A发送源IP为192.168.1.2,目的IP为192.168.3.2的访问报文,该访问报文在Exact Match Subsystem中会命中源IP为192.168.1.2,目的IP为192.168.3.2的EM entry,同时访问报文在ARP表中会命中192.168.3.2的ARP,从而被赋予目的出端口A,进而给该访问报文打上状态标签EM LabelA,则会在ACL表中,命中{EM hit、EM Label A、出端口A}这条放行Acl,从而被放行到达主机A。
S105、根据命中的ACL的类型,处理访问报文。
具体地,在命中放行ACL后,当前交换机将访问报文从目的出端口转发到对应的目的主机。在命中丢弃ACL后,当前交换机将访问报文丢弃。
作为一种可行的实施方式,若一个访问报文既命中了放行ACL,也命中了丢弃ACL,则优先执行放行ACL,将该访问报文从目的出端口转发到对应的目的主机,因为放行ACL的优先级比丢弃ACL的优先级高。
在一个实施例中,通过本申请提供的一种在存储区域网络中实现Zone隔离的方法,能够实现以下场景:
1、同一个Zone中的主机可以相互访问,无论是否同一网段,是否接在同一台leaf交换机上,如图2中Zone 1中的主机192.168.1.2、192.168.1.3、192.168.2.2和192.168.3.2之间可以相互访问。
2、不同Zone中的主机不能相互访问,无论是否同一网段,是否接在同一台leaf交换机上,如图2中Zone 1中的主机192.168.1.2、192.168.1.3、192.168.2.2和192.168.3.2不能与Zone 2中的主机192.168.2.3相互访问。
3、上述逻辑同样适用于IPv6主机。
4、当同一台主机上有多个地址时(IPv4地址或IPv6地址),只要这些地址属于同一个Zone,上述逻辑同样适用。
5、同网段主机相互访问在leaf交换机上走二层转发,即根据MAC表进行转发,例如192.168.1.2和192.168.1.3之间;同一个leaf交换机下接的不同网段主机相互访问根据ARP表进行三层转发,例如192.168.1.2和192.168.2.2之间;不同leaf交换机下接的不同网段主机相互访问根据路由表进行三层转发,例如192.168.2.2和192.168.3.2之间。不管怎么转发,都适用上述Zone的访问逻辑。
另外,本申请实施例还提供了一种在存储区域网络中实现Zone隔离的设备,如图4所示,在存储区域网络中实现Zone隔离的设备具体包括:
至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,
存储器存储有能够被至少一个处理器执行的指令,以使至少一个处理器能够执行:
当前交换机在感应到连接的新上线主机时,生成所述新上线主机对应的出端口的ACL,并存储在当前交换机的ACL表中;其中,所述ACL包括放行ACL以及丢弃ACL;
各交换机分别在本地Zone信息中,查找所述新上线主机的同域主机,并为查找到的每个同域主机分别生成对应的EM entry,存储在自己的精确匹配子系统中;其中,所述EMentry中至少包括源IP以及目的IP;
在当前交换机接收到访问报文的情况下,所述当前交换机在精确匹配子系统中匹配所述访问报文对应的EM entry,若命中任一EM entry,则为所述访问报文设置中间状态且打上状态标签;同时,所述当前交换机在MAC表或ARP表中查找所述访问报文对应的目的出端口;
所述当前交换机根据所述中间状态、所述状态标签以及所述目的出端口,在所述ACL表中匹配对应的ACL,并根据命中的ACL的类型,处理所述访问报文。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
上述对本申请特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请的实施例可以有各种更改和变化。凡在本申请实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种在存储区域网络中实现Zone隔离的方法,其特征在于,所述方法包括:
当前交换机在感应到连接的新上线主机时,生成所述新上线主机对应的出端口的ACL,并存储在当前交换机的ACL表中;其中,所述ACL包括放行ACL以及丢弃ACL;
各交换机分别在本地Zone信息中,查找所述新上线主机的同域主机,并为查找到的每个同域主机分别生成对应的EM entry,存储在自己的精确匹配子系统中;其中,所述EMentry中至少包括源IP以及目的IP;
在当前交换机接收到访问报文的情况下,所述当前交换机在精确匹配子系统中匹配所述访问报文对应的EM entry,若命中任一EM entry,则为所述访问报文设置中间状态且打上状态标签;同时,所述当前交换机在MAC表或ARP表中查找所述访问报文对应的目的出端口;
所述当前交换机根据所述中间状态、所述状态标签以及所述目的出端口,在所述ACL表中匹配对应的ACL,并根据命中的ACL的类型,处理所述访问报文。
2.根据权利要求1所述的一种在存储区域网络中实现Zone隔离的方法,其特征在于,当前交换机在感应到连接的新上线主机时,生成所述新上线主机对应的出端口的ACL,并存储在当前交换机的ACL表中,具体包括:
所述当前交换机在感知到新上线主机上线时,获取所述当前交换机与所述新上线主机之间的连接端口,确定为所述新上线主机的出端口;
所述当前交换机根据所述出端口,生成对应的状态标签;
所述当前交换机将中间状态EM hit、所述状态标签以及所述出端口封装为一条放行ACL,将所述出端口单独封装为一条丢弃ACL,并将所述放行ACL与所述丢弃ACL存储在所述当前交换机的ACL表中;其中,所述放行ACL的优先级高于所述丢弃ACL的优先级。
3.根据权利要求1所述的一种在存储区域网络中实现Zone隔离的方法,其特征在于,各交换机分别在本地Zone信息中,查找所述新上线主机的同域主机,并为查找到的每个同域主机分别生成对应的EM entry,存储在自己的精确匹配子系统中,具体包括:
在感知到所述新上线主机上线时,各交换机读取当前存储区域网络中的Zone配置文件,并分别在本地Zone信息中,查找与所述新上线主机属于同一Zone的其他已上线主机,确定为所述新上线主机的同域主机;
各交换机将查找到的每个同域主机的IP地址确定为所述源IP,将所述新上线主机的IP地址设为所述目的IP,封装为所述EM entry,并存储在当前交换机的精确匹配子系统中。
4.根据权利要求1所述的一种在存储区域网络中实现Zone隔离的方法,其特征在于,在当前交换机接收到访问报文的情况下,所述当前交换机在精确匹配子系统中匹配所述访问报文对应的EM entry,若命中任一EM entry,则为所述访问报文设置中间状态且打上状态标签,具体包括:
当前交换机读取所述访问报文中的源IP以及目的IP;
所述当前交换机根据所述访问报文中的源IP以及目的IP,在精确匹配子系统中匹配内容相同的EM entry,若命中了某条EM entry,则对所述访问报文设置中间状态EM hit,并打上状态标签EM Label;其中,所述状态标签与所述访问报文对应的目的主机有关。
5.根据权利要求4所述的一种在存储区域网络中实现Zone隔离的方法,其特征在于,所述当前交换机在MAC表或ARP表中查找所述访问报文对应的目的出端口,具体包括:
在所述访问报文中的源IP与目的IP属于同一网段的情况下,所述当前交换机在MAC表中查找所述目的IP对应的目的出端口;
在所述访问报文中的源IP与目的IP不属于同一网段的情况下,所述当前交换机在所述ARP表中查找所述目的IP对应的目的出端口。
6.根据权利要求5所述的一种在存储区域网络中实现Zone隔离的方法,其特征在于,所述方法还包括:
在所述访问报文中的源IP与目的IP不属于同一交换机直连网段的情况下,所述当前交换机在路由表中查找所述目的IP对应的目的出端口。
7.根据权利要求1所述的一种在存储区域网络中实现Zone隔离的方法,其特征在于,在所述当前交换机根据所述中间状态、所述状态标签以及所述目的出端口,在所述ACL表中匹配对应的ACL之前,所述方法还包括:
在所述访问报文并未命中精确匹配子系统中的任何EM entry的情况下,所述当前交换机仅根据所述目的出端口,在所述ACL表中匹配对应的丢弃ACL。
8.根据权利要求1所述的一种在存储区域网络中实现Zone隔离的方法,其特征在于,所述当前交换机根据所述中间状态、所述状态标签以及所述目的出端口,在所述ACL表中匹配对应的ACL,具体包括:
在所述访问报文命中精确匹配子系统中的任一EM entry的情况下,所述当前交换机根据所述访问报文的中间状态EM hit、状态标签以及目的出端口,在所述ACL表中匹配相同的放行ACL。
9.根据权利要求1所述的一种在存储区域网络中实现Zone隔离的方法,其特征在于,所述根据命中的ACL的类型,处理所述访问报文,具体包括:
在命中放行ACL后,所述当前交换机将所述访问报文从所述目的出端口转发到对应的目的主机;
在命中丢弃ACL后,所述当前交换机将所述访问报文丢弃。
10.一种在存储区域网络中实现Zone隔离的设备,其特征在于,所述设备包括:
至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有能够被所述至少一个处理器执行的指令,以使所述至少一个处理器能够执行根据权利要求1-9任一项所述的一种在存储区域网络中实现Zone隔离的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211260918.0A CN115550290A (zh) | 2022-10-14 | 2022-10-14 | 一种在存储区域网络中实现Zone隔离的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211260918.0A CN115550290A (zh) | 2022-10-14 | 2022-10-14 | 一种在存储区域网络中实现Zone隔离的方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115550290A true CN115550290A (zh) | 2022-12-30 |
Family
ID=84736501
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211260918.0A Pending CN115550290A (zh) | 2022-10-14 | 2022-10-14 | 一种在存储区域网络中实现Zone隔离的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115550290A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117499346A (zh) * | 2023-12-28 | 2024-02-02 | 苏州元脑智能科技有限公司 | 访问控制信息的下发方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106301970A (zh) * | 2016-10-27 | 2017-01-04 | 盛科网络(苏州)有限公司 | 一种使用转发表收敛以减少tcam表项消耗的芯片实现方法 |
| CN108848034A (zh) * | 2018-07-17 | 2018-11-20 | 新华三技术有限公司 | 一种网络设备及表项学习方法 |
| WO2019140958A1 (zh) * | 2018-01-22 | 2019-07-25 | 西安中兴新软件有限责任公司 | 转发方法及设备、电子设备和存储介质 |
| CN112468415A (zh) * | 2020-10-21 | 2021-03-09 | 浪潮思科网络科技有限公司 | 一种协议报文处理方法、装置、设备及介质 |
| CN112714052A (zh) * | 2020-12-20 | 2021-04-27 | 苏州浪潮智能科技有限公司 | 一种流量隔离方法、装置、交换机及存储介质 |
-
2022
- 2022-10-14 CN CN202211260918.0A patent/CN115550290A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106301970A (zh) * | 2016-10-27 | 2017-01-04 | 盛科网络(苏州)有限公司 | 一种使用转发表收敛以减少tcam表项消耗的芯片实现方法 |
| WO2019140958A1 (zh) * | 2018-01-22 | 2019-07-25 | 西安中兴新软件有限责任公司 | 转发方法及设备、电子设备和存储介质 |
| CN108848034A (zh) * | 2018-07-17 | 2018-11-20 | 新华三技术有限公司 | 一种网络设备及表项学习方法 |
| CN112468415A (zh) * | 2020-10-21 | 2021-03-09 | 浪潮思科网络科技有限公司 | 一种协议报文处理方法、装置、设备及介质 |
| CN112714052A (zh) * | 2020-12-20 | 2021-04-27 | 苏州浪潮智能科技有限公司 | 一种流量隔离方法、装置、交换机及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117499346A (zh) * | 2023-12-28 | 2024-02-02 | 苏州元脑智能科技有限公司 | 访问控制信息的下发方法及装置 |
| CN117499346B (zh) * | 2023-12-28 | 2024-03-01 | 苏州元脑智能科技有限公司 | 访问控制信息的下发方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8249065B2 (en) | Destination MAC aging of entries in a Layer 2 (L2) forwarding table | |
| US8855117B2 (en) | Scalable media access control protocol synchronization techniques for fabric extender based emulated switch deployments | |
| US20190116220A1 (en) | Neighbor Discovery for IPV6 Switching Systems | |
| US9667541B2 (en) | Virtual MAC address, mask-based, packet forwarding | |
| US10237179B2 (en) | Systems and methods of inter data center out-bound traffic management | |
| US9106443B2 (en) | Forwarding table optimization with flow data | |
| US20180287942A1 (en) | Forwarding Data Packets | |
| US9917794B2 (en) | Redirection IP packet through switch fabric | |
| EP3292666B1 (en) | Multicast data packet forwarding | |
| JP2014135721A (ja) | データセンタネットワークのトラフィックを分配するための装置および方法 | |
| EP3292659B1 (en) | Multicast data packet forwarding | |
| US20150372869A1 (en) | Distributed Gateways for Overlay Networks | |
| JP2012161044A (ja) | 通信処理装置、アドレス学習プログラムおよびアドレス学習方法 | |
| US20150295861A1 (en) | Link problem handling | |
| CN106031104A (zh) | 数据报文的转达方法、装置及设备 | |
| US10880109B2 (en) | Forwarding multicast data packet | |
| CN115550290A (zh) | 一种在存储区域网络中实现Zone隔离的方法及设备 | |
| CN106453091B (zh) | 路由器转发平面的等价路由管理方法和装置 | |
| CN106789523B (zh) | 一种逻辑隧道的创建方法及装置 | |
| WO2020119317A1 (zh) | 报文转发方法及装置、存储介质、电子装置 | |
| US20170237691A1 (en) | Apparatus and method for supporting multiple virtual switch instances on a network switch | |
| CN102763376B (zh) | 用于电信网络环境中共同组动作过滤的方法和系统 | |
| US7843927B1 (en) | Methods, systems, and computer program products for routing packets at a multi-mode layer 3 packet forwarding device | |
| US9853891B2 (en) | System and method for facilitating communication | |
| CN115086272B (zh) | Arp代答方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |