本申请提供一种SAN的访问控制方法,应用在SAN的边缘网络设备上,所述方法包括:获取SAN的Zone配置信息,所述Zone配置信息包括默认Zone策略和Zone成员;根据默认Zone策略生成Zone规则;获取Zone规则所涉及的Zone成员的角色属性,在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项。通过本申请的技术方案,减少了访问控制表项的数目,节约了网络设备的访问控制资源。
【技术实现步骤摘要】
本申请设及网络通信
,尤其设及一种SAN(storageAreaNetwork,存储 区域网络)的访问控制方法和装置。
技术介绍
SAN网络的出现解决了日益增长的数据的存储和管理问题。通过将硬件存储技术 和网络技术相结合,SAN网络能够在主机和存储设备之间高速传输存储数据,实现了数据的 集中存储。SAN网络广泛的应用于数据中屯、。对将企业信息或私人信息存储在数据中屯、的 用户而言,数据的安全性是需要慎重考虑的问题。在SAN网络中,可W通过VSAN(Virtual StorageAreaNetwork,虚拟存储区域网络)、Zone(区域)等多种技术来实现网络的逻辑 隔离和访问控制,W增强存储网络的适应性和安全性。而实施该些技术需要耗费SAN网络 的资源,随着数据中屯、的规模不断增大,所需的资源也急剧增加。
技术实现思路
有鉴于此,本申请提供一种SAN的访问控制方法,应用在SAN的边缘网络设备上, 所述方法包括: 获取SAN的区域Zone配置信息,所述Zone配置信息包括默认Zone策略和Zone 成员; 根据默认Zone策略生成Zone规则; 获取Zone规则所设及的Zone成员的角色属性,在角色属性不同的Zone成员之间 根据Zone规则生成并下发访问控制表项。[000引本申请还提供了一种SAN的访问控制装置,应用在SAN的边缘网络设备上,所述装 置包括: 配置信息获取单元,用于获取SAN的区域Zone配置信息,所述Zone配置信息包括 默认Zone策略和Zone成员; 规则生成单元,用于根据默认Zone策略生成Zone规则; 表项生成下发单元,用于获取Zone规则所设及的Zone成员的角色属性,在角色属 性不同的Zone成员之间根据Zone规则生成并下发访问控制表项。 由W上技术方案可见,本申请的实施例中根据Zone规则,只生成并下发用于角色 属性不同的Zone成员之间的访问控制表项,而对不会实际发生的角色属性相同的Zone成 员之间的流量,则不再用访问控制表项进行控制,减少了访问控制表项的数目,节约了网络 设备的访问控制资源。【附图说明】 图1是一个例子中一种SAN的访问控制方法的流程图; 图2是一个例子中边缘网络设备上根据1类规则生成并下发A化的流程图; 图3是一个例子中一种SAN的访问控制装置的逻辑结构图; 图4是一个例子中一种SAN的访问控制装置所在设备的硬件架构示意图。【具体实施方式】 在SAN网络中,服务器、磁盘阵列等节点通过SAN的边缘网络设备接入SAN,被接 入的节点通常称为N节点,被接入的节点连接边缘网络设备的端口通常称为N端口(Node Port,节点端口)。为了控制N节点之间的访问权限,可W将N节点按照应用环境的需要 划分到一个到多个Zone中,该一个到多个Zone形成一个Zone集合狂oneSet)。每个 Zone中包括一个至多个Zone成员,Zone成员可通过FC(Fibre化annel,光纤通道)地址、 PWWN(PortWorldWideName,端口全球名字,即N端口的WWN)或FWWN(F油ricpoi~tWorld WideName,光纤端口全球名字,即网络设备上用于接入N端口的F端口的WWN)等方式来标 识,每个Zone成员都代表了至少一个N节点。[001引对同一个SAN或VSAN中的所有N节点,如果划分Zone的策略不同,将会形成多个Zone集合,该些按照不同策略划分出来的各个ZoneW及Zone集合组成了Zone数据库。虽 然在Zone数据库中可W保存多个Zone集合,但只有一个Zone集合能够被激活来作为生效 的Zone集合,该个激活Zone集合中的Zone也称为激活Zone。 当一个Zone集合被激活后,不属于任何激活Zone的N节点组成的集合称为默认 Zone;也就是说,接入SAN网络的N节点,如果没有被配置为任何一个激活Zone的成员,将 自动被划归为默认Zone的成员。 对N节点间访问权限的控制可W通过默认Zone策略来设置。例如,将默认Zone策 略设置为允许访问,则在该Zone集合中,属于同一个激活Zone的成员可W相互访问,属于 不同激活Zone的成员不能相互访问,默认Zone成员之间可W相互访问,但默认Zone的成 员与激活Zone的成员不能相互访问;如果将默认Zone策略设置为拒绝访问,则在该Zone 集合中,只有属于同一个激活Zone的成员可W相互访问。在网络设备上,可W根据网络管 理员配置的默认Zone策略自动生成Zone规则。 目前Zone共有W下四类规则:[002引1类(Class1)规则;同一激活Zone中点到点的允许访问规则; 2类(Class2)规则;激活Zone中的点到其他点的拒绝访问规则; 3类(Class扣规则;8位域标识(DomainID)到激活Zone中点的拒绝访问规则; 4类(Class4)规则;8位域标识到其他点的默认规则(根据默认Zone策略,分别 为允许访问或拒绝访问)。 其中,域标识为N节点登录到边缘网络设备上完成注册后获得的FC地址的8位前 缀,接入同一个边缘网络设备的N节点具有相同的域标识。W上四类规则按照从1类到4 类的优先级顺序生效。当默认Zone策略为拒绝访问时,所生成的Zone规则为1类规则和 4类规则(拒绝访问);当默认Zone策略为允许访问时,所述生成的Zone规则为1类规则、 2类规则、3类规则和4类规则(允许访问)。 在SAN网络中,N节点(如服务器与存储设备)之间通过交互FC报文来进行磁盘 读写操作,FC报文经由网络设备传输。通过在边缘网络设备上下发A化(AccessControl List,访问控制列表)表项来允许和限制某些FC报文的转发,即可控制N节点之间的访问 权限。其中,网络设备包括FC设备和FCoE(FibreQianneloverEthernet,基于W太网的 光纤协议)设备。对Zone规则而言,在SAN的边缘网络设备上根据所设置的Zone规则生 成并下发对应的访问控制表项,即可实现Zone规则所指定的访问权限。[002引一条Zone规则可能对应于数量众多的A化表项。W使用最为普遍的1类规则为 例,如果一个激活Zone内的N节点数目为m(m为自然数),允许该个激活Zone内所有N节 点相互访问的A化表项将有条。对包括3个服务器和3个磁盘阵列的激活Zone, 根据1类规则在边缘网络设备上下发的A化为30条。 网络设备中的A化资源是有限的。随着SAN网络中服务器和存储设备的数量不断 增多,边缘交换机支持登录的N节点数目不断扩大,仅1类规则产生的A化条数就已经近乎 N节点数目的平方该一数量级,加剧了A化资源的紧张程度。 在本申请的一个例子中,应用在边缘网络设备上的SAN网络访问控制方法能够有 效减少实现Zone规则所占用的资源,其运行流程如图1所当前第1页1 2 本文档来自技高网...
【技术保护点】
一种存储区域网络SAN的访问控制方法,应用在SAN的边缘网络设备上,其特征在于,所述方法包括:获取SAN的区域Zone配置信息,所述Zone配置信息包括默认Zone策略和Zone成员;根据默认Zone策略生成Zone规则;获取Zone规则所涉及的Zone成员的角色属性,在角色属性不同的Zone成员之间根据Zone规则生成并下发访问控制表项。
【技术特征摘要】
【专利技术属性】
技术研发人员:韩通,乔兴华,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。