CN108259545B - 端口安全策略扩散方法及装置 - Google Patents
端口安全策略扩散方法及装置 Download PDFInfo
- Publication number
- CN108259545B CN108259545B CN201710025413.9A CN201710025413A CN108259545B CN 108259545 B CN108259545 B CN 108259545B CN 201710025413 A CN201710025413 A CN 201710025413A CN 108259545 B CN108259545 B CN 108259545B
- Authority
- CN
- China
- Prior art keywords
- message
- port security
- policy
- switch
- security policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请提供一种端口安全策略扩散方法及装置,其中,该方法应用于SAN中的交换机,该方法包括:检测本地的策略数据库中的端口安全策略是否发生了变化;若发生了变化,则将变化后策略数据库中的端口安全策略携带在SPSP报文中,发送给SAN中除本设备以外的其它交换机,以使其它交换机暂存该SPSP报文中携带的端口安全策略;在策略数据库中的所有端口安全策略均发送完毕后,向其它交换机发送UPSP报文,以使其它交换机将策略数据库中的端口安全策略更新为暂存的端口安全策略。
Description
技术领域
本申请涉及网络通信技术领域,特别涉及一种端口安全策略扩散方法及装置。
背景技术
SAN(Storage Area Network,存储区域网络)是一种提供服务器与存储设备之间数据传输的专用网络。FC(Fiber Channel,光纤通道)协议是SAN的一种常用的实现协议,SAN中的服务器与存储设备通过FC交换机组成的网络相连,来实现数据通信。
发明内容
有鉴于此,本申请提供一种端口安全策略扩散方法及装置。
具体地,本申请是通过如下技术方案实现的:
一方面,提供了一种端口安全策略扩散方法,该方法应用于SAN中的交换机,该方法包括:
检测本地的策略数据库中的端口安全策略是否发生了变化;
若发生了变化,则将变化后策略数据库中的端口安全策略携带在SPSP报文中,发送给SAN中除本设备以外的其它交换机,以使其它交换机暂存该SPSP报文中携带的端口安全策略;
在策略数据库中的所有端口安全策略均发送完毕后,向其它交换机发送UPSP报文,以使其它交换机将策略数据库中的端口安全策略更新为暂存的端口安全策略。
另一方面,还提供了一种端口安全策略扩散装置,该装置应用于SAN中的交换机中,该装置包括:
检测单元,用于检测本地的策略数据库中的端口安全策略是否发生了变化;
发送单元,用于若检测单元检测出本地的策略数据库中的端口安全策略发生了变化,则将变化后策略数据库中的端口安全策略携带在SPSP报文中,发送给SAN中除本设备以外的其它交换机,以使其它交换机暂存该SPSP报文中携带的端口安全策略;还用于在策略数据库中的所有端口安全策略均发送完毕后,向其它交换机发送UPSP报文,以使其它交换机将策略数据库中的端口安全策略更新为暂存的端口安全策略。
通过本申请的以上技术方案,SAN中的任一交换机在检测到策略数据库中的端口安全策略发生了变化时,会自动将变化后策略数据库中的所有端口安全策略扩散给其它交换机,以便更新其它交换机上的策略数据库中的端口安全策略,从而实现了端口安全策略的自动扩散,无需通过配置命令来触发端口安全策略的扩散,减轻了配置工作量。
附图说明
图1是本申请实施例的端口安全策略扩散方法的流程图;
图2是本申请实施例的SAN的网络示意图;
图3是在图2所示的SAN中加入了一个服务器的网络示意图;
图4是一种实施例的图2中的交换机1_1的策略数据库中的端口安全策略发生了变化时的端口安全策略扩散方法的报文交互图;
图5是另一种实施例的图2中的交换机1_1的策略数据库中的端口安全策略发生了变化时的端口安全策略扩散方法的报文交互图;
图6是又一种实施例的图2中的交换机1_1的策略数据库中的端口安全策略发生了变化时的端口安全策略扩散方法的报文交互图;
图7是本申请实施例的端口安全策略扩散装置所在交换机的硬件结构示意图;
图8是本申请实施例的端口安全策略扩散装置的一种结构示意图;
图9是本申请实施例的端口安全策略扩散装置的另一种结构示意图;
图10是本申请实施例的端口安全策略扩散装置的又一种结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
端口安全(Port Security)技术可以通过在FC交换机上配置端口安全策略,实现将交换机端口与直连的服务器、存储设备或FC交换机一一绑定。端口安全策略中包括:交换机端口WWN(World Wide Name,全球唯一名字)、设备端口WWN、以及Action(执行动作)。其中,交换机端口WWN用于标识FC交换机上的端口;设备端口WWN用于标识与该交换机端口直连的接入设备上的端口,该接入设备可以是服务器、存储设备或FC交换机等;Action具体为Permit(接受)或Deny(拒绝),Permit表示允许该设备端口连接该交换机端口,即允许该接入设备通过该交换机端口加入SAN,而Deny表示拒绝该设备端口连接该交换机端口,即拒绝该接入设备通过该交换机端口加入SAN。
通过在FC交换机上配置针对某一交换机端口的端口安全策略,能够实现只有该端口安全策略允许的接入设备才能通过该交换机端口加入SAN,与SAN中的其它设备通信,从而确保了SAN的网络安全。
为了避免不同FC交换机上的端口安全策略不一致,导致某一FC交换机允许某一接入设备加入SAN,而另一FC交换机却拒绝该接入设备加入SAN等问题的出现,FC交换机需要将本地的端口安全策略扩散给其它FC交换机,从而实现SAN中所有FC交换机上的端口安全策略的一致性。
目前,通常采用手动静态配置的方式,在FC交换机上配置命令,从而使得该FC交换机将本地的端口安全策略扩散给其它FC交换机。这种扩散方法由于需要在FC交换机上配置命令来触发端口安全策略的扩散,增加了配置工作量。
为了解决上述问题,本申请以下实施例中提供了一种端口安全策略扩散方法,以及一种可以应用该方法的装置。
本申请实施例的端口安全策略扩散方法可以由SAN中的任一交换机来执行,如图1所示,该方法包括以下步骤:
步骤S101,检测本地的策略数据库中的端口安全策略是否发生了变化,若发生了变化,则执行步骤S102,否则,返回步骤S101;
在实际实施过程中,交换机上的端口安全策略保存在策略数据库中。当与该交换机直连的接入设备发生了新增或减少时,策略数据库中的端口安全策略会随之发生变化,或者,当采用手动静态配置的方式添加或删除端口安全策略时,策略数据库中的端口安全策略也会发生变化。交换机会实时检测本地的策略数据库的变化情况。
步骤S102,将变化后策略数据库中的端口安全策略携带在SPSP(Stage PortSecurity Policy,筹集端口安全策略)报文中,发送给SAN中除本设备以外的其它交换机,以使其它交换机暂存该SPSP报文中携带的端口安全策略;
步骤S103,在本地的策略数据库中的所有端口安全策略均发送完毕后,向其它交换机发送UPSP(Update Port Security Policy,更新端口安全策略)报文,以使其它交换机将策略数据库中的端口安全策略更新为暂存的端口安全策略。
本申请上述实施例的方法中,SAN中的任一交换机在检测到策略数据库中的端口安全策略发生了变化时,会自动将变化后策略数据库中的所有端口安全策略扩散给其它交换机,以便更新其它交换机上的策略数据库中的端口安全策略,从而实现了端口安全策略的自动扩散,无需通过配置命令来触发端口安全策略的扩散,减轻了配置工作量。
为了实现端口安全策略的扩散,本申请实施例中定义了四种报文:ALPS(AcquireLock For Port Security,端口安全策略加锁)报文、RLPS(Release Lock For PortSecurity,端口安全策略解锁)报文、SPSP报文、以及UPSP报文,分别对这四种报文介绍如下:
ALPS报文
ALPS报文用于指示交换机将策略数据库锁定。交换机上的策略数据库被锁定后,当与该交换机直连的接入设备发生了变化,例如,新增或减少时,不允许更新该策略数据库中的端口安全策略,另外,也不允许采用手动静态配置的方式更新该策略数据库中的端口安全策略。ALPS报文的结构如表1-1或表1-2所示:
表1-1
| 字段名称 | 字段长度(字节) |
| Command Code | 4 |
由表1-1可以看出,ALPS报文中主要包括:报文类型(Command Code)字段,该字段用于标识该报文的类型,例如,当该字段的值置为70000000h时,用于标识该报文的类型为ALPS报文。
表1-2
由表1-2可以看出,ALPS报文中除了包括报文类型(Command Code)字段以外,还包括以下字段:
域ID列表长度(Domain_ID List Length)用于指示该ALPS报文携带的域ID列表中的域ID数量;在SAN中,一台交换机以及与该交换机直连的服务器和/或存储设备形成一个域,通过域ID唯一标识;每台交换机上均保存一个域ID列表,其中存储有该交换机学习到的域ID。
域标识(Domain_ID)用于携带域ID列表中的一个域ID。
在实际实施过程中,根据实际需求,ALPS报文的结构可以如表1-1所示,即,ALPS报文中仅包括Command Code字段,而不包括Domain_ID List Length字段和Domain_ID字段;或者,ALPS报文的结构也可以如表1-2所示,即,ALPS报文中不仅包括Command Code字段,还包括Domain_ID List Length字段和Domain_ID字段;本申请实施例对此不做限定。
当需要扩散端口安全策略时,发起扩散的交换机可以先向其它交换机发送ALPS报文,以使其它交换机将策略数据库锁定,然后,再将需要扩散的端口安全策略携带在SPSP报文中发送给其它交换机。其中,在不需要考虑当前SAN是否稳定的应用场景中,发起扩散的交换机发送的ALPS报文中仅包括Command Code字段,其它交换机接收到该ALPS报文后,直接将策略数据库锁定。
另一种应用场景中,在需要考虑当前SAN是否稳定时,发起扩散的交换机发送的ALPS报文中不仅包括Command Code字段,还包括Domain_ID List Length字段和Domain_ID字段,即,发起扩散的交换机会通过ALPS报文将本设备学习的域ID列表发送给其它交换机,其它交换机接收到该ALPS报文后,将该ALPS报文中携带的域ID列表与本地保存的域ID列表进行比较,在比较结果为相同时,才将策略数据库锁定。若确定所有其它交换机都将策略数据库锁定,说明当前SAN是一个稳定的网络,则发起扩散的交换机才将需要扩散的端口安全策略携带在SPSP报文中发送给其它交换机,从而确保在一个稳定的SAN中扩散端口安全策略。
RLPS报文
RLPS报文用于指示交换机解除对策略数据库的锁定。RLPS报文的结构如表2所示:
表2
| 字段名称 | 字段长度(字节) |
| Command Code | 4 |
由表2可以看出,RLPS报文中只需包括用于标识该报文的类型的报文类型(Command Code)字段即可,例如,当该字段的值置为70000001h时,用于标识该报文的类型为RLPS报文。
SPSP报文
SPSP报文用于携带需要扩散的端口安全策略。SPSP报文的结构如表3所示:
表3
由表3可以看出,SPSP报文中主要包括以下字段:
报文类型(Command Code)用于标识该报文的类型,例如,当该字段的值置为70000002h时,用于标识该报文的类型为SPSP报文;
端口安全策略项数(Port Security Policy Entry Number)用于指示该SPSP报文中携带的端口安全策略的数量;
端口安全策略项(Port Security Policy Entry)用于携带一条端口安全策略,其中,该端口安全策略中的交换机端口WWN和设备端口WWN可以各占用8字节,Action可以占用4字节。
UPSP报文
UPSP报文用于指示交换机将策略数据库中的端口安全策略更新为接收到的SPSP报文中携带的端口安全策略,从而使得通过SPSP报文扩散来的端口安全策略生效。UPSP报文的结构如表2所示,由表2可以看出,UPSP报文中只需包括用于标识该报文的类型的报文类型(Command Code)字段即可,例如,当该字段的值置为70000003h时,用于标识该报文的类型为UPSP报文。
以如图2所示的SAN为例,详细说明本申请实施例的端口安全策略扩散方法。如图2所示,SAN网络中包括:交换机1_1、交换机1_2、交换机1_3、交换机1_4、服务器2_1、存储设备3_1、以及存储设备3_2。交换机1_1、交换机1_2、交换机1_3、交换机1_4上的策略数据库中均保存了全网所有的端口安全策略,如表5所示:
表5
| 交换机端口WWN | 设备端口WWN | Action |
| P1_1_A | P2_1_A | Permit |
| P1_1_C | P1_2_A | Permit |
| P1_1_D | P1_3_A | Permit |
| P1_2_A | P1_1_C | Permit |
| P1_2_B | P3_2_A | Permit |
| P1_3_A | P1_1_D | Permit |
| P1_3_B | P1_4_A | Permit |
| P1_4_A | P1_3_B | Permit |
| P1_4_B | P3_1_A | Permit |
如图3所示,当服务器2_2通过交换机1_1上的端口P1_1_B加入了SAN中时,交换机1_1的策略数据库中会新增对应的端口安全策略,交换机1_1上的策略数据库更新为如表6所示,新增的端口安全策略参见表6第3行。
表6
| 交换机端口WWN | 设备端口WWN | Action |
| P1_1_A | P2_1_A | Permit |
| P1_1_B | P2_2_A | Permit |
| P1_1_C | P1_2_A | Permit |
| P1_1_D | P1_3_A | Permit |
| P1_2_A | P1_1_C | Permit |
| P1_2_B | P3_2_A | Permit |
| P1_3_A | P1_1_D | Permit |
| P1_3_B | P1_4_A | Permit |
| P1_4_A | P1_3_B | Permit |
| P1_4_B | P3_1_A | Permit |
一种实施例中,本申请实施例的端口安全策略扩散方法如图4所示,包括以下步骤:
步骤S201,交换机1_1检测到本地的策略数据库中新增了端口安全策略时,将变化后策略数据库中的端口安全策略携带在SPSP报文中发送给交换机1_2、交换机1_3、交换机1_4;
从而,交换机1_1将如表6所示的策略数据库中的端口安全策略携带在如表3所示的SPSP报文中发送给其它交换机,其中,SPSP报文中的每一个Port Security PolicyEntry字段中携带一个端口安全策略。
步骤S202,交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的SPSP报文后,暂存该SPSP报文中携带的端口安全策略;
具体的,可以将该SPSP报文中携带的端口安全策略暂存到缓存等存储介质中。另外,在暂存完毕后,还可以回应用于指示暂存完成的SPSP ACC(接受)报文给交换机1_1。
步骤S203,在本地的策略数据库中的所有端口安全策略均发送完毕后,交换机1_1发送UPSP报文给交换机1_2、交换机1_3、交换机1_4;
具体的,在步骤S203中,交换机1_1可以在本地的策略数据库中的所有端口安全策略均发送完毕,且接收到交换机1_2、交换机1_3、交换机1_4中的所有交换机回应的SPSPACC报文后,向交换机1_2、交换机1_3、交换机1_4发送UPSP报文,从而保证这些交换机上的端口安全策略的统一更新。
步骤S204,交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的UPSP报文后,将本地的策略数据库中的端口安全策略更新为暂存的端口安全策略。从而,交换机1_2、交换机1_3、交换机1_4上的策略数据库更新为了如表6所示。
另外,交换机1_2、交换机1_3、交换机1_4中的每一个交换机在完成了对策略数据库中的端口安全策略的更新后,还可以回应用于指示更新完成的UPSP ACC报文给交换机1_1。
通过上述步骤S201至步骤S204,交换机1_1上的策略数据库中的端口安全策略发生了变化时,可以将变化后的策略数据库中的所有端口安全策略扩散给其它交换机,从而实现了SAN中的交换机上的端口安全策略的一致性。
另一种实施例中,本申请实施例的端口安全策略扩散方法如图5所示,包括以下步骤:
步骤S301,交换机1_1检测到本地的策略数据库中新增了端口安全策略时,向交换机1_2、交换机1_3、交换机1_4发送ALPS报文,其中,该ALPS报文中仅包含Command Code字段;
步骤S302,交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的ALPS报文后,将本地的策略数据库锁定,策略数据库被锁定后,不允许更新该策略数据库中的端口安全策略;
另外,交换机1_2、交换机1_3、交换机1_4中的每一个交换机在将策略数据库锁定时,还会回应用于指示接受锁定的ALPS ACC报文。
步骤S303,交换机1_1接收到交换机1_2、交换机1_3、交换机1_4中的所有交换机回应的ALPS ACC报文后,将变化后策略数据库中的端口安全策略携带在SPSP报文中发送给交换机1_2、交换机1_3、交换机1_4;
从而,交换机1_1将如表6所示的策略数据库中的端口安全策略携带在如表3所示的SPSP报文中发送给其它交换机,其中,SPSP报文中的每一个Port Security PolicyEntry字段中携带一个端口安全策略。
步骤S304,交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的SPSP报文后,暂存该SPSP报文中携带的端口安全策略;
具体的,可以将该SPSP报文中携带的端口安全策略暂存到缓存等存储介质中。另外,在暂存完毕后,还可以回应用于指示暂存完成的SPSP ACC报文给交换机1_1。
步骤S305,在本地的策略数据库中的所有端口安全策略均发送完毕后,交换机1_1发送UPSP报文给交换机1_2、交换机1_3、交换机1_4;
具体的,在步骤S305中,交换机1_1可以在本地的策略数据库中的所有端口安全策略均发送完毕,且接收到交换机1_2、交换机1_3、交换机1_4中的所有交换机回应的SPSPACC报文后,向交换机1_2、交换机1_3、交换机1_4发送UPSP报文,从而保证这些交换机上的端口安全策略的统一更新。
步骤S306,交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的UPSP报文后,将本地的策略数据库中的端口安全策略更新为暂存的端口安全策略。从而,交换机1_2、交换机1_3、交换机1_4上的策略数据库更新为了如表6所示。
另外,交换机1_2、交换机1_3、交换机1_4中的每一个交换机在完成了对策略数据库中的端口安全策略的更新后,还可以回应用于指示更新完成的UPSP ACC报文给交换机1_1。
步骤S307,交换机1_1在接收到交换机1_2、交换机1_3、交换机1_4中所有交换机发来的UPSP ACC报文后,向这些交换机发送RLPS报文;
步骤S308,交换机1_2、交换机1_3、交换机1_4中每一个交换机接收到交换机1_1发来的RLPS报文后,解除对本地的策略数据库的锁定,解除锁定后,允许更新该策略数据库中的端口安全策略。
另外,交换机1_2、交换机1_3、交换机1_4中每一个交换机在解除对策略数据库的锁定时,还可以回应用于指示接受解锁的RLPS ACC报文给交换机1_1。
通过上述步骤S301至步骤S308,交换机1_1上的策略数据库中的端口安全策略发生了变化时,可以将变化后的策略数据库中的所有端口安全策略扩散给其它交换机,从而实现了SAN中的交换机上的端口安全策略的一致性。另外,在扩散前,交换机1_1先向其它交换机发送ALPS报文,使得其它交换机将策略数据库锁定,然后再扩散端口安全策略,扩散完成后,再向其它交换机发送RLPS报文,使得其它交换机解锁策略数据库,这样,可以避免其它交换机上策略数据库中的端口安全策略在扩散过程中发生变化,导致多个交换机同时进行端口安全策略扩散的混乱情况。
又一种实施例中,交换机1_1所属域的域ID为Domain1、交换机1_2所属域的域ID为Domain2、交换机1_3所属域的域ID为Domain3、交换机1_4所属域的域ID为Domain4。本申请实施例的端口安全策略扩散方法如图6所示,包括以下步骤:
步骤S401,交换机1_1在检测到本地的策略数据库中新增了端口安全策略时,向交换机1_2、交换机1_3、交换机1_4发送ALPS报文,其中,该ALPS报文中包含Command Code字段,并且,携带有交换机1_1上保存的域ID列表,该列表中包括:Domain1、Domain2、Domain3、Domain4;
步骤S402,交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的ALPS报文后,将该ALPS报文中携带的域ID列表与本地保存的域ID列表进行比较,若相同,则回应用于指示接受锁定的ALPS ACC报文,并将本地的策略数据库锁定;反之,若不相同,则回应用于指示拒绝锁定的ALPS RJT(拒绝)报文;
步骤S403,交换机1_1在接收到交换机1_2、交换机1_3、交换机1_4中的所有交换机回应的ALPS ACC报文后,将变化后策略数据库中的端口安全策略携带在SPSP报文中发送给交换机1_2、交换机1_3、交换机1_4;
从而,交换机1_1将如表6所示的策略数据库中的端口安全策略携带在如表3所示的SPSP报文中发送给其它交换机,其中,SPSP报文中的每一个Port Security PolicyEntry字段中携带一个端口安全策略。
另外,若接收到了交换机1_2、交换机1_3、交换机1_4中任一交换机回应的ALPSRJT报文,假设,交换机1_2回应了ALPS RJT报文,而交换机1_3、交换机1_4回应了ALPS ACC报文,则端口安全策略扩散发起失败,交换机1_1会向回应ALPS ACC报文的交换机1_3、交换机1_4发送RLPS报文,以使交换机1_3、交换机1_4解除对本地的策略数据库的锁定。后续,交换机1_1可以再次执行步骤S401,以发起端口安全策略扩散。
步骤S404,交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的SPSP报文后,暂存该SPSP报文中携带的端口安全策略;
具体的,可以将该SPSP报文中携带的端口安全策略暂存到缓存等存储介质中。另外,在暂存完毕后,还可以回应用于指示暂存完成的SPSP ACC报文给交换机1_1。
步骤S405,在本地的策略数据库中的所有端口安全策略均发送完毕后,交换机1_1发送UPSP报文给交换机1_2、交换机1_3、交换机1_4;
具体的,在步骤S405中,交换机1_1可以在本地的策略数据库中的所有端口安全策略均发送完毕,且接收到交换机1_2、交换机1_3、交换机1_4中的所有交换机回应的SPSPACC报文后,向交换机1_2、交换机1_3、交换机1_4发送UPSP报文,从而保证这些交换机上的端口安全策略的统一更新。
步骤S406,交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的UPSP报文后,将本地的策略数据库中的端口安全策略更新为暂存的端口安全策略。从而,交换机1_2、交换机1_3、交换机1_4上的策略数据库更新为了如表6所示。
另外,交换机1_2、交换机1_3、交换机1_4中的每一个交换机在完成了对策略数据库中的端口安全策略的更新后,还可以回应用于指示更新完成的UPSP ACC报文给交换机1_1。
步骤S407,交换机1_1在接收到交换机1_2、交换机1_3、交换机1_4中所有交换机发来的UPSP ACC报文后,向这些交换机发送RLPS报文;
步骤S408,交换机1_2、交换机1_3、交换机1_4中每一个交换机接收到交换机1_1发来的RLPS报文后,解除对本地的策略数据库的锁定,后续,允许更新该策略数据库中的端口安全策略。
另外,交换机1_2、交换机1_3、交换机1_4中每一个交换机在解除对策略数据库的锁定时,还可以回应用于指示接受解锁的RLPS ACC报文给交换机1_1。
通过上述步骤S401至步骤S408,交换机1_1上的策略数据库中的端口安全策略发生了变化时,可以将变化后的策略数据库中的所有端口安全策略扩散给其它交换机,从而实现了SAN中的交换机上的端口安全策略的一致性。另外,在扩散前,交换机1_1先向其它交换机发送ALPS报文,使得其它交换机将策略数据库锁定,然后再扩散端口安全策略,扩散完成后,再向其它交换机发送RLPS报文,使得其它交换机解锁策略数据库,这样,可以避免其它交换机上策略数据库中的端口安全策略在扩散过程中发生变化,导致多个交换机同时进行端口安全策略扩散的混乱情况。
而且,交换机1_1在ALPS报文中携带域ID列表发送给其它交换机,其它交换机将该ALPS报文中携带的域ID列表与本地保存的域ID列表进行比较,若比较结果为相同,则将策略数据库锁定并回应ALPS ACC报文,否则,回应ALPS RJT报文,若交换机1_1接收到了所有其它交换机发来的ALPS ACC报文,则确定SAN中所有交换机上的域ID列表均相同,说明当前SAN是一个稳定的网络,确保在一个稳定的SAN中扩散端口安全策略。
与前述端口安全策略扩散方法的实施例相对应,本申请还提供了端口安全策略扩散装置的实施例。
本申请端口安全策略扩散装置60的实施例可以应用在SAN中的交换机上。从硬件层面而言,如图7所示,本申请端口安全策略扩散装置60所在交换机的中包括:处理器10、内部总线20、网络接口30、内存40、以及非易失性存储器50,此外,根据该交换机的实际功能,还可以包括其他硬件,对此不再赘述。
本申请端口安全策略扩散装置60的实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,本申请端口安全策略扩散装置60可以作为一个逻辑意义上的装置来实现。具体的,交换机中的处理器10(可以为CPU)将非易失性存储器50中的计算机程序指令读取到内存40中运行,从而形成了用于实现上述端口安全策略扩散方法中的步骤功能的端口安全策略扩散装置60,即,端口安全策略扩散装置60可以执行上述端口安全策略扩散方法中的操作步骤。
请参考图8,本申请实施例中的端口安全策略扩散装置60中包括以下单元:检测单元601和发送单元602,其中:
检测单元601,用于检测本地的策略数据库中的端口安全策略是否发生了变化;
发送单元602,用于若检测单元601检测出本地的策略数据库中的端口安全策略发生了变化,则将变化后策略数据库中的端口安全策略携带在SPSP报文中,发送给SAN中除本设备以外的其它交换机,以使其它交换机暂存该SPSP报文中携带的端口安全策略;还用于在策略数据库中的所有端口安全策略均发送完毕后,向其它交换机发送UPSP报文,以使其它交换机将策略数据库中的端口安全策略更新为暂存的端口安全策略。
如图9所示,本申请实施例中的端口安全策略扩散装置60中还包括:第一接收单元603、暂存单元604和更新单元605,其中:
第一接收单元603,用于接收SPSP报文和UPSP报文;
暂存单元604,用于暂存第一接收单元603接收到的SPSP报文中携带的端口安全策略;
更新单元605,用于在第一接收单元603接收到UPSP报文后,将本地的策略数据库中的端口安全策略更新为暂存单元604暂存的端口安全策略。
如图10所示,本申请实施例中的端口安全策略扩散装置60中还包括:第二接收单元606和锁定单元607,其中:
发送单元602,还用于在将变化后策略数据库中的端口安全策略携带在SPSP报文中,发送给SAN中除本设备以外的其它交换机之前,向其它交换机发送ALPS报文,以使其它交换机将策略数据库锁定;
第二接收单元606,用于接收ALPS报文;
锁定单元607,用于在第二接收单元606接收到ALPS报文后,将本地的策略数据库锁定。
其中,ALPS报文中携带发出该ALPS报文的交换机上保存的域ID列表;
锁定单元607具体用于通过以下方式将策略数据库锁定:将第二接收单元606接收到的ALPS报文中携带的域ID列表与本地保存的域ID列表进行比较,若相同,则将策略数据库锁定,并回应用于指示接受锁定的ALPS ACC报文;
发送单元602具体用于通过以下方式将变化后策略数据库中的端口安全策略携带在SPSP报文中发送给其它交换机:若接收到了所有其它交换机回应的ALPS ACC报文,则将变化后策略数据库中的端口安全策略携带在SPSP报文中发送给每个其它交换机。
其中,发送单元602,还用于在确定其它交换机完成了对策略数据库中的端口安全策略的更新时,向其它交换机发送RLPS报文,以使其它交换机解除策略数据库的锁定;
第二接收单元606,还用于接收RLPS报文;
锁定单元607,还用于在第二接收单元606接收到RLPS报文后,解除本地的策略数据库的锁定。
在实际实施过程中,第一接收单元603和第二接收单元606可以为两个独立的单元,也可以集成到一个单元中来实现,本申请实施例对此不做限定。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种端口安全策略扩散方法,其特征在于,所述方法应用于存储区域网络SAN中的交换机,所述方法包括:
检测本地的策略数据库中的端口安全策略是否发生了变化,所述端口安全策略包括交换机端口、设备端口以及执行动作,所述执行动作用于表示是否允许设备通过交换机端口加入SAN;
若发生了变化,则将变化后所述策略数据库中的端口安全策略携带在筹集端口安全策略SPSP报文中,发送给所述SAN中除本设备以外的其它交换机,以使其它交换机暂存所述SPSP报文中携带的端口安全策略;
在所述策略数据库中的所有端口安全策略均发送完毕,且接收到所有其它交换机回应的用于指示暂存完成的SPSP ACC报文后,向其它交换机发送更新端口安全策略UPSP报文,以使其它交换机将策略数据库中的端口安全策略更新为暂存的端口安全策略。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收SPSP报文,暂存接收到的SPSP报文中携带的端口安全策略;
接收UPSP报文,将本地的策略数据库中的端口安全策略更新为暂存的端口安全策略。
3.根据权利要求1所述的方法,其特征在于,在将变化后所述策略数据库中的端口安全策略携带在SPSP报文中,发送给所述SAN中除本设备以外的其它交换机之前,还包括:向其它交换机发送端口安全策略加锁ALPS报文,以使其它交换机将策略数据库锁定;
所述方法还包括:接收ALPS报文,将本地的策略数据库锁定。
4.根据权利要求3所述的方法,其特征在于,ALPS报文中携带发出该ALPS报文的交换机上保存的域标识ID列表;
通过以下方式将策略数据库锁定:将接收到的ALPS报文中携带的域ID列表与本地保存的域ID列表进行比较,若相同,则将策略数据库锁定,并回应用于指示接受锁定的ALPS接受ACC报文;
通过以下方式将变化后所述策略数据库中的端口安全策略携带在SPSP报文中发送给其它交换机:若接收到了所有其它交换机回应的ALPS ACC报文,则将变化后所述策略数据库中的端口安全策略携带在SPSP报文中发送给每个其它交换机。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在确定其它交换机完成了对策略数据库中的端口安全策略的更新时,向其它交换机发送端口安全策略解锁RLPS报文,以使其它交换机解除策略数据库的锁定;
接收RLPS报文,解除本地的策略数据库的锁定。
6.一种端口安全策略扩散装置,其特征在于,所述装置应用于存储区域网络SAN中的交换机中,所述装置包括:
检测单元,用于检测本地的策略数据库中的端口安全策略是否发生了变化,所述端口安全策略包括交换机端口、设备端口以及执行动作,所述执行动作用于表示是否允许设备通过交换机端口加入SAN;
发送单元,用于若所述检测单元检测出本地的策略数据库中的端口安全策略发生了变化,则将变化后所述策略数据库中的端口安全策略携带在筹集端口安全策略SPSP报文中,发送给所述SAN中除本设备以外的其它交换机,以使其它交换机暂存所述SPSP报文中携带的端口安全策略;还用于在所述策略数据库中的所有端口安全策略均发送完毕,且接收到所有其它交换机回应的用于指示暂存完成的SPSP ACC报文后,向其它交换机发送更新端口安全策略UPSP报文,以使其它交换机将策略数据库中的端口安全策略更新为暂存的端口安全策略。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第一接收单元,用于接收SPSP报文和UPSP报文;
暂存单元,用于暂存所述第一接收单元接收到的SPSP报文中携带的端口安全策略;
更新单元,用于在所述第一接收单元接收到UPSP报文后,将本地的策略数据库中的端口安全策略更新为所述暂存单元暂存的端口安全策略。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:第二接收单元和锁定单元,其中:
所述发送单元,还用于在将变化后所述策略数据库中的端口安全策略携带在SPSP报文中,发送给所述SAN中除本设备以外的其它交换机之前,向其它交换机发送端口安全策略加锁ALPS报文,以使其它交换机将策略数据库锁定;
所述第二接收单元,用于接收ALPS报文;
所述锁定单元,用于在所述第二接收单元接收到ALPS报文后,将本地的策略数据库锁定。
9.根据权利要求8所述的装置,其特征在于,ALPS报文中携带发出该ALPS报文的交换机上保存的域标识ID列表;
所述锁定单元具体用于通过以下方式将策略数据库锁定:将所述第二接收单元接收到的ALPS报文中携带的域ID列表与本地保存的域ID列表进行比较,若相同,则将策略数据库锁定,并回应用于指示接受锁定的ALPS接受ACC报文;
所述发送单元具体用于通过以下方式将变化后所述策略数据库中的端口安全策略携带在SPSP报文中发送给其它交换机:若接收到了所有其它交换机回应的ALPS ACC报文,则将变化后所述策略数据库中的端口安全策略携带在SPSP报文中发送给每个其它交换机。
10.根据权利要求8所述的装置,其特征在于,
所述发送单元,还用于在确定其它交换机完成了对策略数据库中的端口安全策略的更新时,向其它交换机发送端口安全策略解锁RLPS报文,以使其它交换机解除策略数据库的锁定;
所述第二接收单元,还用于接收RLPS报文;
所述锁定单元,还用于在所述第二接收单元接收到RLPS报文后,解除本地的策略数据库的锁定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710025413.9A CN108259545B (zh) | 2017-01-13 | 2017-01-13 | 端口安全策略扩散方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710025413.9A CN108259545B (zh) | 2017-01-13 | 2017-01-13 | 端口安全策略扩散方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108259545A CN108259545A (zh) | 2018-07-06 |
| CN108259545B true CN108259545B (zh) | 2021-04-27 |
Family
ID=62721360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710025413.9A Active CN108259545B (zh) | 2017-01-13 | 2017-01-13 | 端口安全策略扩散方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108259545B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110611646B (zh) * | 2018-11-26 | 2020-07-07 | 新华三技术有限公司 | 一种端口的安全策略合并方法、装置及交换设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025535A (zh) * | 2010-11-17 | 2011-04-20 | 福建星网锐捷网络有限公司 | 虚拟机管理方法、装置及网络设备 |
| CN102244858A (zh) * | 2011-08-01 | 2011-11-16 | 王冬梅 | 移动终端可自行锁定和解锁通信功能的方法及该移动终端 |
| CN103198259A (zh) * | 2012-01-09 | 2013-07-10 | 国际商业机器公司 | 用于安全策略管理的方法和装置 |
| CN103973676A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算安全保护***及方法 |
| CN106202365A (zh) * | 2016-07-07 | 2016-12-07 | 帅斌鹏 | 数据库更新同步的方法、***及数据库集群 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9154394B2 (en) * | 2010-09-28 | 2015-10-06 | Brocade Communications Systems, Inc. | Dynamic latency-based rerouting |
-
2017
- 2017-01-13 CN CN201710025413.9A patent/CN108259545B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025535A (zh) * | 2010-11-17 | 2011-04-20 | 福建星网锐捷网络有限公司 | 虚拟机管理方法、装置及网络设备 |
| CN102244858A (zh) * | 2011-08-01 | 2011-11-16 | 王冬梅 | 移动终端可自行锁定和解锁通信功能的方法及该移动终端 |
| CN103198259A (zh) * | 2012-01-09 | 2013-07-10 | 国际商业机器公司 | 用于安全策略管理的方法和装置 |
| CN103973676A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算安全保护***及方法 |
| CN106202365A (zh) * | 2016-07-07 | 2016-12-07 | 帅斌鹏 | 数据库更新同步的方法、***及数据库集群 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108259545A (zh) | 2018-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11638141B1 (en) | Remote sim unlock (RSU) implementation using blockchain | |
| CN113453213B (zh) | 一种鉴权数据同步方法及装置 | |
| CN103202049A (zh) | 自组织网络中的冲突处理 | |
| CN104303454A (zh) | 认证对无线通信***中的特定资源的访问授权的方法和装置 | |
| CN111385370B (zh) | Id分配方法、装置、存储介质及id分配*** | |
| CN103488526A (zh) | 在分布式***中锁定业务资源的***和方法 | |
| CN109492370A (zh) | 终端启动方法、终端及签名设备 | |
| CN107306247B (zh) | 资源访问控制方法及装置 | |
| CN111478894B (zh) | 一种外部用户授权方法、装置、设备及可读存储介质 | |
| CN112650812A (zh) | 一种数据分片存储方法、装置、计算机设备和存储介质 | |
| CN113886495B (zh) | 验证区块链数据的方法、装置、电子设备和存储介质 | |
| CN106909197B (zh) | 一种虚拟化主机时间管理方法及虚拟化主机*** | |
| EP3128715B1 (en) | Resource creation method and apparatus | |
| CN108259545B (zh) | 端口安全策略扩散方法及装置 | |
| CN108733477B (zh) | 数据集群化处理的方法、装置及设备 | |
| CN112468497B (zh) | 区块链的终端设备授权认证方法、装置、设备及存储介质 | |
| CN108089968A (zh) | 一种宿主机监控虚拟机数据库状态的方法 | |
| CN111259376A (zh) | 权限配置方法、装置、服务器及存储介质 | |
| CN108199882B (zh) | 分布式数据库的节点分配方法、装置、储存介质和设备 | |
| CN117014175A (zh) | 云***的权限处理方法、装置、电子设备及存储介质 | |
| CN114710350A (zh) | 一种可调用资源的分配方法和装置 | |
| CN114564530A (zh) | 一种数据库访问方法、装置、设备及存储介质 | |
| CN111221847B (zh) | 监控数据存储方法、装置及计算机可读存储介质 | |
| CN109472124B (zh) | 接口使用权限的匹配方法、装置、设备及介质 | |
| CN110247992B (zh) | 地址更新方法、装置、终端及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |