本发明专利技术公开了一种数据中心的网络报文控制方法和装置,方法包括:使每个用户节点的网卡在上电时从远端服务器接收管理数据包,并基于管理数据包生成并禁用访问控制列表;在每个用户节点上执行安全检查,并响应于安全检查结束且确定用户节点安全而启用访问控制列表;基于访问控制列表中记载的匹配规则使用网卡的硬件芯片来选择性地传输或丢弃发送到每个用户节点上的数据流报文、本发明专利技术能够提高访问控制列表的处理速度和网络带宽,并释放处理器的计算资源已对用户提供更多的计算能力。
A network message control method and device for data center
【技术实现步骤摘要】
一种数据中心的网络报文控制方法和装置
本专利技术涉及计算机领域,更具体地,特别是指一种数据中心的网络报文控制方法和装置。
技术介绍
在数据中心,为了对用户的网络报文进行控制,通常都在软件层运行访问控制列表(ACL)。现有技术中通过软件运行访问控制列表(ACL)对用户的网络报文进行控制,从而达到流量控制目的。由于访问控制列表规则复杂,且软件的串行执行特点,导致网络带宽利用率低,且占用处理器等计算资源,无法将计算资源完全提供给客户。针对现有技术中访问控制列表占用计算资源的问题,目前尚无有效的解决方案。
技术实现思路
有鉴于此,本专利技术实施例的目的在于提出一种数据中心的网络报文控制方法和装置,能够提高访问控制列表的处理速度和网络带宽,并释放处理器的计算资源已对用户提供更多的计算能力。基于上述目的,本专利技术实施例的第一方面提供了一种数据中心的网络报文控制方法,包括执行以下步骤:使每个用户节点的网卡在上电时从远端服务器接收管理数据包,并基于管理数据包生成并禁用访问控制列表;在每个用户节点上执行安全检查,并响应于安全检查结束且确定用户节点安全而启用访问控制列表;基于访问控制列表中记载的匹配规则使用网卡的硬件芯片来选择性地传输或丢弃发送到每个用户节点上的数据流报文。在一些实施方式中,每个用户节点的网卡在上电时从远端服务器接收管理数据包,并基于管理数据包生成并禁用访问控制列表包括:在接收管理数据包的同时还接收业务数据包,其中管理数据包和业务数据包在媒体接入控制层具有不同的虚拟局域网标识;使网卡基于不同的虚拟局域网标识来区分管理数据包和业务数据包,并基于管理数据包生成访问控制列表。在一些实施方式中,禁用访问控制列表包括:由网卡将访问控制列表设置在旁路模式,使得访问控制列表不处理发送到每个用户节点上的数据流报文。在一些实施方式中,匹配规则包括报文标识和与报文标识相对应的传输或丢弃标记;基于所述访问控制列表中记载的匹配规则使用所述网卡的硬件芯片来选择性地传输或丢弃发送到每个所述用户节点上的数据流报文包括:响应于网卡根据数据流报文在匹配规则中匹配到报文标识,而根据与报文标识相对应的传输或丢弃标记来选择性地传输或丢弃数据流报文。在一些实施方式中,匹配规则还包括与报文标识相对应的匹配项目标记;匹配项目标记包括以下至少之一:数据流报文的原始端口、目的端口、数据序号、确认序号、窗口字段、紧急指针;网卡根据数据流报文在匹配规则中匹配到报文标识包括:根据数据流报文中的一种或多种匹配项目标记在匹配规则中匹配到报文标识。本专利技术实施例的第二方面提供了一种数据中心的网络报文控制装置,包括:生成模块,配置为使每个用户节点的网卡在上电时从远端服务器接收管理数据包,并基于管理数据包生成并禁用访问控制列表;启用模块,配置为在每个用户节点上执行安全检查,并响应于安全检查结束且确定用户节点安全而启用访问控制列表;过滤模块,配置为基于访问控制列表中记载的匹配规则使用网卡的硬件芯片来选择性地传输或丢弃发送到每个用户节点上的数据流报文。在一些实施方式中,生成模块进一步配置为:在接收管理数据包的同时还接收业务数据包,其中管理数据包和业务数据包在媒体接入控制层具有不同的虚拟局域网标识;使网卡基于不同的虚拟局域网标识来区分管理数据包和业务数据包,并基于管理数据包生成访问控制列表。在一些实施方式中,生成模块进一步配置为:由网卡将访问控制列表设置在旁路模式,使得访问控制列表不处理发送到每个用户节点上的数据流报文。在一些实施方式中,匹配规则包括报文标识和与报文标识相对应的传输或丢弃标记;过滤模块进一步配置为:响应于网卡根据数据流报文在匹配规则中匹配到报文标识,而根据与报文标识相对应的传输或丢弃标记来选择性地传输或丢弃数据流报文。本专利技术实施例的第三方面提供了一种数据中心,包括:多个用户节点,分别安装有网卡并通过网卡接收数据流报文;远端服务器,通信连接到每个用户节点的网卡,用于生成访问控制列表并以管理数据包的形式将访问控制列表发送到每个用户节点,其中,用户节点配置为:由每个用户节点的网卡在上电时从远端服务器接收管理数据包,并基于管理数据包生成并禁用访问控制列表;在每个用户节点上执行安全检查,并响应于安全检查结束且确定用户节点安全而启用所述访问控制列表;基于访问控制列表中记载的匹配规则使用网卡的硬件芯片来选择性地传输或丢弃发送到每个用户节点上的数据流报文。本专利技术具有以下有益技术效果:本专利技术实施例提供的数据中心的网络报文控制方法和装置,通过使每个用户节点的网卡在上电时从远端服务器接收管理数据包,并基于管理数据包生成并禁用访问控制列表;在每个用户节点上执行安全检查,并响应于安全检查结束且确定用户节点安全而启用访问控制列表;基于访问控制列表中记载的匹配规则使用网卡的硬件芯片来选择性地传输或丢弃发送到每个用户节点上的数据流报文的技术方案,能够提高访问控制列表的处理速度和网络带宽,并释放处理器的计算资源已对用户提供更多的计算能力。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的数据中心的网络报文控制方法的流程示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本专利技术实施例进一步详细说明。需要说明的是,本专利技术实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本专利技术实施例的限定,后续实施例对此不再一一说明。基于上述目的,本专利技术实施例的第一个方面,提出了一种能够提高访问控制列表的处理速度和网络带宽的数据中心的网络报文控制方法的一个实施例。图1示出的是本专利技术提供的数据中心的网络报文控制方法的流程示意图。所述数据中心的网络报文控制方法,如图1所示,包括执行以下步骤:步骤S101:使每个用户节点的网卡在上电时从远端服务器接收管理数据包,并基于管理数据包生成并禁用访问控制列表;步骤S103:在每个用户节点上执行安全检查,并响应于安全检查结束且确定用户节点安全而启用访问控制列表;步骤S105:基于访问控制列表中记载的匹配规则使用网卡的硬件芯片来选择性地传输或丢弃发送到每个用户节点上的数据流报文。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储本文档来自技高网...
【技术保护点】
1.一种数据中心的网络报文控制方法,其特征在于,包括执行以下步骤:/n使每个用户节点的网卡在上电时从远端服务器接收管理数据包,并基于所述管理数据包生成并禁用访问控制列表;/n在每个所述用户节点上执行安全检查,并响应于所述安全检查结束且确定所述用户节点安全而启用所述访问控制列表;/n基于所述访问控制列表中记载的匹配规则使用所述网卡的硬件芯片来选择性地传输或丢弃发送到每个所述用户节点上的数据流报文。/n
【技术特征摘要】
1.一种数据中心的网络报文控制方法,其特征在于,包括执行以下步骤:
使每个用户节点的网卡在上电时从远端服务器接收管理数据包,并基于所述管理数据包生成并禁用访问控制列表;
在每个所述用户节点上执行安全检查,并响应于所述安全检查结束且确定所述用户节点安全而启用所述访问控制列表;
基于所述访问控制列表中记载的匹配规则使用所述网卡的硬件芯片来选择性地传输或丢弃发送到每个所述用户节点上的数据流报文。
2.根据权利要求1所述的方法,其特征在于,每个所述用户节点的所述网卡在上电时从所述远端服务器接收所述管理数据包,并基于所述管理数据包生成并禁用访问控制列表包括:
在接收所述管理数据包的同时还接收业务数据包,其中所述管理数据包和所述业务数据包在媒体接入控制层具有不同的虚拟局域网标识;
使所述网卡基于不同的所述虚拟局域网标识来区分所述管理数据包和所述业务数据包,并基于所述管理数据包生成所述访问控制列表。
3.根据权利要求1所述的方法,其特征在于,禁用所述访问控制列表包括:
由所述网卡将所述访问控制列表设置在旁路模式,使得所述访问控制列表不处理发送到每个所述用户节点上的所述数据流报文。
4.根据权利要求1所述的方法,其特征在于,所述匹配规则包括报文标识和与所述报文标识相对应的传输或丢弃标记;
基于所述访问控制列表中记载的匹配规则使用所述网卡的硬件芯片来选择性地传输或丢弃发送到每个所述用户节点上的数据流报文包括:响应于所述网卡根据所述数据流报文在所述匹配规则中匹配到所述报文标识,而根据与所述报文标识相对应的所述传输或丢弃标记来选择性地传输或丢弃所述数据流报文。
5.根据权利要求4所述的方法,其特征在于,所述匹配规则还包括与所述报文标识相对应的匹配项目标记;所述匹配项目标记包括以下至少之一:所述数据流报文的原始端口、目的端口、数据序号、确认序号、窗口字段、紧急指针;
所述网卡根据所述数据流报文在所述匹配规则中匹配到所述报文标识包括:根据所述数据流报文中的一种或多种匹配项目标记在所述匹配规则中匹配到所述报文标识。
6.一种数据中心的网络...
【专利技术属性】
技术研发人员:刘刚,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。