本发明专利技术提供了一种优化FC端口安全的方法和装置,技术方案为:在F-Port端口接收到设备的登录请求时,在该F-Port端口上创建一针对该设备的虚接口,并在该虚接口上检查设备是否合法,如果合法,则先通过该虚接口与该设备进行登录信息交互以使该设备完成登录,再通过所述F-Port端口与该设备进行数据报文交互,否则,先通过该虚接口向该设备回应拒绝登录报文并保持所述F-Port端口状态不变,再关闭shutdown该虚接口。本发明专利技术能够在非法设备登录时保证已登录设备的正常通信。
【技术实现步骤摘要】
本专利技术涉及通信
,特别涉及一种优化FC端口安全的方法和装置。
技术介绍
光纤通道(FibreChannel,FC)协议是 SAN(Storage Area Networks,存储区域网络)中使用的一种数据传输协议。FCoE(Fibre Channel over Ethernet,基于以太网的光纤通道)是将FC协议承载在以太网上的一种协议。FC端口安全(FC Port Security)通过配置授权登录的设备允许在本地设备的哪些接口登录来显式指定安全规则,提供基于端口级别的安全控制。FC端口安全(FC PortSecurity)可以防止未授权的设备登录到交换机,保证网络的安全,是FC安全体系不可缺少的一部分。通常情况下,任意设备(包括节点设备和交换机)都可以登录交换机。开启某VSAN(Virtual Storage Area Network,虚拟存储区域网络)的端口安全功能后,当设备请求登录交换机时,交换机将基于策略数据库对登录设备进行权限检查,如果登录设备符合授权登录条件,则允许其登录;否则,拒绝其登录。当交换机拒绝某设备登录后,交换机上与该设备相连的F_Port将被关闭,导致所有已经在?_?0代上登陆的设备都会被强制下线,影响正常通信。而且,在此之后,即使用户修改了安全策略,也不会影响该?_?0代的状态,如果用户希望已被拒绝登录的设备重新登录,需要先配置允许该设备登录的安全策略,再依次执行关闭(shutdown)/撤销关闭(undoshutdown)该 F_Port。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种优化FC端口安全的方法和装置,能够在非法设备登录时保证已登录设备的正常通信。为了达到上述目的,本专利技术提供了如下技术方案:—种优化FC端口安全的方法,应用于存储区域网络Fabric网络中的FCF交换机,该方法包括:在F-Port端口接收到设备的登录请求时,在所述F-Port端口上创建一针对该设备的虚接口,该虚接口具有所述F-Port端口的权限检查和协议报文交互属性;在该虚接口上对所述登录请求进行权限检查;如果检测确定该设备符合授权登录条件,则先通过该虚接口与该设备进行登录信息交互以使该设备完成登录,再通过所述F-Port端口与该设备进行数据报文交互;如果检测确定该设备不符合授权登录条件,则先通过该虚接口向该设备回应拒绝登录报文并保持所述F-Port端口状态不变,再关闭shutdown该虚接口。—种优化FC端口安全的装置,应用于存储区域网络Fabric网络中的FCF交换机,该装置包括:接收单元、创建单元、检测单元、处理单元;所述接收单元,用于在所述FCF交换机的F-Port端口接收设备的登录请求;所述创建单元,用于接收单元在所述FCF交换机的F-Port端口接收到设备的登录请求时,在所述F-Port端口上创建一针对该设备的虚接口,该虚接口具有所述F-Port端口的权限检查和协议报文交互属性;所述检测单元,用于在该虚接口上对所述登录请求进行权限检查,确定该设备是否符合授权登录条件;所述处理单元,用于如果检测单元检测确定该设备符合授权登录条件,则先通过该虚接口与该设备进行登录信息交互以使该设备完成登录,再通过所述F-Port端口与该设备进行数据报文交互;如果检测单元检测确定该设备不符合授权登录条件,则先通过该虚接口向该设备回应拒绝登录报文并保持所述F-Port端口状态不变,再关闭shutdown该虚接口。由上面的技术方案可知,本专利技术中,针对每个登录的设备创建一用于协议通信的虚接口,在该虚接口对登录设备进行权限检查,通过权限检测的设备,通过该虚接口完成登录,且FCF交换机通过接收该设备的登录请求的F-Port端口与设备进行数据通信;未通过权限检测的设备,关闭该虚接口并保持接收登录请求的F-Port端口状态不变。由于非法设备登录时,只会关闭针对非法设备创建的虚接口,对应的F-Port端口状态保持不变,因此不会影响其它已登录设备的正常通信。【附图说明】图1是本专利技术实施例优化FC端口安全的方法流程图;图2是本专利技术实施例优化FC端口安全的装置的结构示意图。【具体实施方式】为了使本专利技术的目的、技术方案及优点更加清楚明白,下面结合附图并据实施例,对本专利技术的技术方案进行详细说明。本专利技术中,新增一种虚接口,继承F-Port端口属性,具有对设备发送来的各种FIP协议报文进行代答的能力,FCF交换机通过该虚接口与设备进行登录相关协议报文的交换以完成设备的登录流程。当FCF交换机在F-Port端口接收到设备的登录请求时,针对该设备创建一虚接口,并在该虚接口对设备进行权限检查,如果确定设备合法,则FCF交换机通过该虚接口与该设备进行登录等相关协议报文的通信,设备成功登录,FCF交换机仍使用F-Port端口与设备进行数据通信;如果设备非法,则FCF交换机shutdown(关闭)该虚接口,但仍保持F-Port端口状态不变,从而不影响其它未登录设备的登录以及已登录设备的正常通信。下面结合图1进行说明。参见图1,图1是本专利技术实施例优化FC端口安全的方法流程图,该方法应用于存储区域网络(Fabric)中的FCF交换机,具体包括以下步骤:步骤101、FCF交换机在自身的F-Port端口接收设备的登录请求。本实施例既适用于FC网络,也适用于FCoE网络。其中,在FC网络中,所述F-Port端口是指fc接口。在FCoE网络中,F-Port端口是指vfc接口。步骤102、FCF交换机在该F-Port端口上创建一针对该设备的虚接口。针对该设备创建的虚接口继承了或配置有F-Port端口的属性,例如,所述F-Port端口的权限检查和协议报文交互等属性,具有对设备发送的登录请求的权限检查功能,以及对设备发送来的各种FIP协议报文进行代答的能力,因此,FCF交换机可以通过该虚接口与该设备进行后续的与登录相关的协议报文交互。其中,在FC网络中,FCF交换机在fc接口上针对某一设备创建的虚接口可称为fc-va接口,在FCoE网络中,FCF交换机在vfc接口上针对某一设备创建的虚接口可称为vfc-va接口。初始创建虚接口后,可以将该虚接口的状态设置为断开(down),并在之后立刻切换为UP,以便于FCF交换机在该虚接口上对设备进行权限检查,并执行后续的登录或拒绝登录流程。需要说明的是,针对设备创建的虚接口仅用于FCF交换机和该设备之间的协议通信,FCF交换机和该设备之间的数据通信仍使用F-Port端口。步骤103、FCF交换机在该虚接口上对所述登录请求进行权限检查以确定该设备是否符合授权登录条件,如果是,则执行步骤104,否则,执行步骤105。FCF交换机对登录请求进行权限检查以确定该设备是否符合授权登录条件的方法采用现有技术。步骤104、FCF交换机先通过该虚接口与该设备进行登录信息交互以使该设备完成登录,再通过所述F-Port端口与该设备进行数据报文交互。经过权限检查确定设备符合授权登录条件,确定设备为合法设备,因此允许设备登录,后续执行设备登录流程,即:FCF交换机通过创建的虚接口与设备之间进行与登录相关的协议通信。本实施例中,FCF交换机通过针对设备建立的虚接口完成与设备之间的协议通信,通过F-Port端口完成与设备本文档来自技高网...
【技术保护点】
一种优化光纤通道FC端口安全的方法,应用于存储区域网络Fabric网络中的FCF交换机,其特征在于,该方法包括:在F‑Port端口接收到设备的登录请求时,在所述F‑Port端口上创建一针对该设备的虚接口,该虚接口具有所述F‑Port端口的权限检查和协议报文交互属性;在该虚接口上对所述登录请求进行权限检查;如果检测确定该设备符合授权登录条件,则先通过该虚接口与该设备进行登录信息交互以使该设备完成登录,再通过所述F‑Port端口与该设备进行数据报文交互;如果检测确定该设备不符合授权登录条件,则先通过该虚接口向该设备回应拒绝登录报文并保持所述F‑Port端口状态不变,再关闭shutdown该虚接口。
【技术特征摘要】
【专利技术属性】
技术研发人员:周天弋,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。