一种端口的安全策略合并方法、装置及交换设备与流程

本发明涉及网络通信
技术领域：
，尤其涉及一种端口的安全策略合并方法、装置及交换设备。
背景技术：
：存储区域网络(storageareanetwork，san)是用于提供服务器与存储设备之间进行数据传输的专用网络。san中的服务器和存储设备通过交换机连接。为了保障san网络安全，通常引入端口安全技术，以提供基于端口级别的安全控制。端口安全技术主要是指：在交换机上，建立端口与直连设备的绑定关系，该绑定关系亦称为端口的安全策略，以允许符合端口的安全策略的设备通过交换机登陆网络。在实际应用中，会有网络合并的情况。比如，将san1与san2合并。此时，需要对san1和san2中各个交换机的端口的安全策略进行合并，以达到合并后各交换机中端口的安全策略一致的效果，防止原本在san1中不允许通过交换机登录网络的设备，网络合并后通过san2中的交换机登录网络。目前，合并端口的安全策略的操作需要人工手动完成，合并效率不高，且容易出错。技术实现要素：本发明为了解决现有端口的安全策略合并效率不高的问题，提出一种端口的安全策略合并方法、装置及交换设备，用以提升端口的安全策略的合并效率。为实现上述发明目的，本发明提供了如下技术方案：第一方面，本发明提供一种端口的安全策略合并方法，应用于san中的第一交换设备，所述方法包括：若检测到第二交换设备接入所述san，向所述第二交换设备发送第一请求报文，所述第一请求报文用于获取所述第二交换设备中端口的安全策略；接收所述第二交换设备根据所述第一请求报文回应的第一响应报文，所述第一响应报文包括所述第二交换设备中端口的安全策略；将所述第二交换设备中端口的安全策略，添加到所述第一交换设备的端口安全策略表中。可选的，所述向所述第二交换设备发送第一请求报文之前，还包括：学习所述san中交换设备的路由；若存在新增的路由，获取所述路由包括的目的地址，所述路由包括的目的地址为交换设备的地址；将所述目的地址对应的交换设备确定为所述第二交换设备。可选的，所述方法还包括：接收所述第二交换设备发送的第二请求报文，所述第二请求报文用于获取所述第一交换设备中端口的安全策略；根据所述第二请求报文，获取所述第一交换设备中端口的安全策略；向所述第二交换设备发送第二响应报文，所述第二响应报文包括所述第一交换设备中端口的安全策略。可选的，所述请求报文和所述响应报文均为fc协议报文；其中，所述请求报文的命令码字段携带标识，所述标识用于表示所述请求报文为用于获取端口的安全策略的报文。第二方面，本发明提供一种端口的安全策略合并装置，应用于san中的第一交换设备，所述装置包括：发送单元，用于若检测到第二交换设备接入所述san，向所述第二交换设备发送第一请求报文，所述第一请求报文用于获取所述第二交换设备中端口的安全策略；接收单元，用于接收所述第二交换设备根据所述第一请求报文回应的第一响应报文，所述第一响应报文包括所述第二交换设备中端口的安全策略；添加单元，用于将所述第二交换设备中端口的安全策略，添加到所述第一交换设备的端口安全策略表中。可选的，所述装置还包括：学习单元，用于学习所述san中交换设备的路由；获取单元，用于若存在新增的路由，获取所述路由包括的目的地址，所述路由包括的目的地址为交换设备的地址；确定单元，用于将所述目的地址对应的交换设备确定为所述第二交换设备。可选的，所述接收单元，还用于接收所述第二交换设备发送的第二请求报文，所述第二请求报文用于获取所述第一交换设备中端口的安全策略；获取单元，用于根据所述第二请求报文，获取所述第一交换设备中端口的安全策略；所述发送单元，还用于向所述第二交换设备发送第二响应报文，所述第二响应报文包括所述第一交换设备中端口的安全策略。可选的，所述请求报文和所述响应报文均为fc协议报文；其中，所述请求报文的命令码字段携带标识，所述标识用于表示所述请求报文为用于获取端口的安全策略的报文。第三方面，本发明提供一种交换设备，所述设备包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述端口的安全策略合并方法。第四方面，本发明提供一种机器可读存储介质，所述机器可读存储介质内存储有机器可执行指令，所述机器可执行指令被处理器执行时实现上述端口的安全策略合并方法。由以上描述可以看出，第一交换设备在感知到第二交换设备接入san时，利用与第二交换设备之间的报文交互，获取第二交换设备中端口的安全策略，以实现端口的安全策略自动合并，提升端口的安全策略的合并效率。附图说明为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本发明实施例示出的一种端口的安全策略合并方法流程图；图2是本发明实施例示出的第一交换设备检测第二交换设备的实现流程；图3是本发明实施例示出的第一交换设备向第二交换设备提供端口的安全策略的实现流程；图4是本发明实施例示出的fc协议报文示例；图5a是本发明实施例示出的一个san的示意图；图5b是本发明实施例示出的另一个san的示意图；图5c是本发明实施例示出的图5a和图5b合并后的san网络的示意图；图6是本发明实施例示出的一种端口的安全策略合并装置的结构示意图；图7是本发明实施例示出的一种交换设备的硬件结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。在本发明实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明实施例。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本发明实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明实施例范围的情况下，协商信息也可以被称为第二信息，类似地，第二信息也可以被称为协商信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本发明实施例提供一种端口的安全策略合并方法。该方法中，第一交换设备在感知到第二交换设备时，利用与第二交换设备之间的报文交互，获取第二交换设备中端口的安全策略，以实现端口的安全策略自动合并，提升端口的安全策略的合并效率。为了使本发明实施例的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明实施例执行详细描述：参见图1，为本发明实施例提供的端口的安全策略合并方法流程图。该流程应用于san中的第一交换设备。如图1所示，该流程可包括以下步骤：步骤101，若检测到第二交换设备接入san，第一交换设备向第二交换设备发送第一请求报文。当第一交换设备检测到第二交换设备接入san时，第一交换设备需要获得第二交换设备中端口的安全策略，此时，第一交换设备生成第一请求报文。该第一请求报文用于获取第二交换设备中端口的安全策略。第一交换设备向第二交换设备发送第一请求报文。这里，第一交换设备、第二交换设备、第一请求报文只是为便于描述而进行的命名，并非用于限定。第一交换设备检测第二交换设备的过程在下文描述，这里暂不赘述。步骤102，第一交换设备接收第二交换设备根据第一请求报文回应的第一响应报文。在本发明实施例中，第二交换设备接收到步骤101中的第一请求报文后，对第一请求报文进行解析，确定第一交换设备需要自身端口的安全策略。第二交换设备获取端口的安全策略，并生成第一响应报文。可以理解的是，第一响应报文包括第二交换设备中端口的安全策略。第二交换设备向第一交换设备发送第一响应报文。这里，第一响应报文只是为便于描述而进行的命名，并非用于限定。作为示例而非限定，端口的安全策略可存储在第二交换设备中的端口安全策略表里。第二交换设备可直接从端口安全策略表中，获取第二交换设备的端口的安全策略。参见表1，为交换设备中的端口安全策略表示例。表1其中，每一条表项代表一个端口安全策略。比如，第一条表项表示的端口安全策略为：允许服务器1通过交换设备1的端口1接入网络。步骤103，第一交换设备将第二交换设备中端口的安全策略，添加到第一交换设备的端口安全策略表中。第一交换设备接收到第一响应报文后，解析并从中获取第二交换设备中端口的安全策略。第一交换设备将从第二交换设备获取的端口的安全策略，添加到本交换设备的端口安全策略表中，即完成对端口的安全策略的合并。第一交换设备根据合并后的端口的安全策略，确定网络设备是否可以通过第一交换设备登录网络。至此，完成图1所示流程。通过图1所示流程可以看出，在本发明实施例中，第一交换设备在感知到第二交换设备接入san时，利用与第二交换设备之间的报文交互，获取第二交换设备中端口的安全策略，以实现端口的安全策略的自动合并，提升端口的安全策略的合并效率。下面对第一交换设备检测第二交换设备的过程进行具体描述。参见图2，为本发明实施例示出的第一交换设备检测第二交换设备的实现流程，通过检测交换设备接入san的过程，可使第一交换设备快速发现新接入的交换设备，并获取到该交换设备的端口的安全策略。如图2所示，该流程可包括以下步骤：步骤201，第一交换设备学习san中交换设备的路由。当存在交换设备接入san时，san中的各个交换设备会重新收集网络拓扑，并基于收集到的网络拓扑重新计算路由。即交换设备的接入触发san中各交换设备重新学习路由。第一交换设备将本次学习到的路由与路由表中已存在的路由进行比较，若此次学习到的路由未记录在路由表中，说明该路由为新学习到的路由，即新增的路由，将该新增的路由添加到路由表中。路由包括的目的地址为交换设备的地址。步骤202，若存在新增的路由，第一交换设备获取该路由包括的目的地址。步骤203，第一交换设备将目的地址对应的交换设备确定为第二交换设备。如前所述，路由包括的目的地址为交换设备的地址，因此，第一交换设备可根据从新增路由中获取到的目的地址，确定该目的地址对应的交换设备为接入san的交换设备，即第二交换设备。至此，完成图2所示流程。通过图2所示流程，实现对第二交换设备的检测。参见图3，为本发明实施例示出的第一交换设备向第二交换设备提供端口的安全策略的实现流程。如图3所示，该流程可包括以下步骤：步骤301，第一交换设备接收第二交换设备发送的第二请求报文。该第二请求报文用于获取第一交换设备中端口的安全策略。需要说明的是，本发明实施例中，第二交换设备发送第二请求报文、第一交换设备接收第二请求报文的过程与前述实施例步骤101相同，在此不再复述。这里，第二请求报文只是为便于描述而进行的命名，并非用于限定。步骤302，根据第二请求报文，第一交换设备获取第一交换设备中端口的安全策略。需要说明的是，本发明实施例中，第一交换设备获取自身端口的安全策略的过程与前述实施例步骤102中第二交换设备获取自身端口的安全策略的过程相同，在此不再复述。步骤303，第一交换设备向第二交换设备发送第二响应报文。需要说明的是，本发明实施例中，第一交换设备向第二交换设备发送第二响应报文的过程与前述实施例步骤102中第二交换设备向第一交换设备发送第一响应报文的过程相同，在此不再复述。第二响应报文包括第一交换设备中端口的安全策略。这里，第二响应报文只是为便于描述而进行的命名，并非用于限定。至此，完成图3所示流程。通过图3所示流程，实现第一交换设备向第二交换设备提供第一交换设备中端口的安全策略。即第二交换设备获取到第一交换设备中端口的安全策略。可选的，作为一个实施例，第一交换设备和第二交换设备之间交互的请求报文和响应报文均为fc协议报文。参见图4，为fc协议报文示例。fc协议报文包括fc报文头和负载。在本发明实施例中该fc协议报文可具体为获取端口安全策略(getportsecuritypolicies，gpsp)报文。为了方便描述，下文以fc协议报文说明。gpsp报文为fc协议报文中的一种类型。fc报文头包括路由控制(r_ctl)字段、类型特殊控制(cs_ctl)字段、目的标识符(d_id)字段、源标识符(s_id)字段以及数据结构类型(type)字段。其中：r_ctl字段：请求报文中该字段的值为02h，响应报文中该字段的值为03h；cs_ctl字段：值为00h；d_id字段和s_id字段：分别为目的交换设备的地址和源交换设备的地址；type字段：值为22h。请求报文的负载，如表2所述，包括命令码(commandcode)字段，该commandcode字段携带标识，比如，标识为70000004h，用于表示当前请求报文为获取端口的安全策略的报文。以使接收到该请求报文的交换设备根据commandcode字段的标识，确定接收到的请求报文为用于获取端口的安全策略的报文，从而向发送该请求报文的交换设备提供端口的安全策略。负载内容字节数(bytes)70000004h4表2响应报文的负载，如表3所示。表3仅为示例性说明。负载内容字节数(bytes)端口安全策略表项的数量4端口安全策略表项120……20端口安全策略表项n20表3其中，端口安全策略表项1～端口安全策略表项n为交换设备中端口安全策略表的表项。本发明实施例通过对fc协议报文进行上述扩展，使交换设备之间可基于fc协议交互端口的安全策略。下面通过具体实施例对本发明实施例提供的方法进行描述：参见图5a，为本发明实施例示出的一个san的示意图。图5a中，交换设备521当前已有的端口的安全策略，如表4所示。表4其中，节点设备为与交换设备直连的服务器、存储设备或者其它交换设备；策略行为为允许，表示对应节点设备可以通过交换设备登录网络；策略行为为拒绝，表示对应节点设备不可以通过交换设备登录网络。比如，最后一条表项所代表的端口安全策略为：禁止服务器513通过任意端口接入网络。需要说明的是，在san中，端口标识或节点设备的标识通常利用全球名字(worldwidename，wwn)表示。本发明实施例中，为了更加直观的展现交换设备与节点设备的绑定关系(即端口的安全策略)，利用图5a～图5c中示出的设备名称或端口名称表示。参见图5b，为本发明实施例示出的另一个san的示意图。该组网中的交换设备522和交换设备523已通过自动合并或手动配置，具有相同的端口的安全策略，如表5和表6所示。表5表6其中，表5为交换设备522中当前已有的端口的安全策略；表6为交换设备523中当前已有的端口的安全策略。若将图5a与图5b所示san网络合并(合并后如图5c所示)，图5c中的各个交换设备重新收集网络拓扑，并基于网络拓扑重新计算到各个交换设备的路由，即完成路由学习。交换设备521学习到目的地址为交换设备522的地址的路由，以及目的地址为交换设备523的地址的路由；同理，交换设备522学习到目的地址为交换设备521的地址的路由，以及目的地址为交换设备523的地址的路由；交换设备523学习到目的地址为交换设备521的地址的路由，以及目的地址为交换设备522的地址的路由。交换设备521～交换设备523分别将本次学习到的路由与各自路由表中的已有路由进行比较。比如，交换设备521在网络合并之前，路由表中没有目的地址为交换设备522的地址的路由，也没有目的地址为交换设备523的地址的路由。因此，交换设备521可确定此次学习到的目的地址为交换设备522的地址的路由、目的地址为交换设备523的地址的路由均为新增路由。同理，交换设备522可确定此次学习到的目的地址为交换设备521的地址的路由为新增路由。交换设备523可确定此次学习到的目的地址为交换设备521的地址的路由为新增路由。如前所述，交换设备521中存在两条新增路由。交换设备521基于目的地址为交换设备522的地址的新增路由，向交换设备522发送获取交换设备522中端口的安全策略的请求报文(记为packet11)。该packet11的r_ctl字段为02h，cs_ctl字段为00h，d_id字段为交换设备522的地址，s_id字段为交换设备521的地址，type字段为22h，commandcode字段为70000004h。交换设备522接收到packet11后，基于r_ctl字段(02h)，确定packet11为请求报文。基于commandcode字段(70000004h)，确定packet11为用于获取端口安全策略的请求报文。即确定交换设备521是要获取本设备中的端口的安全策略。因此，交换设备522从自身维护的端口安全策略表(表5)中获取端口的安全策略。交换设备522向交换设备521发送响应报文(记为packet12)，该packet12的r_ctl字段为03h，cs_ctl字段为00h，d_id字段为交换设备521的地址，s_id字段为交换设备522的地址，type字段为22h，负载为从表4中获取的端口的安全策略。交换设备521接收到packet12后，基于r_ctl字段(03h)，确定packet12为响应报文，从该响应报文中获取到交换设备522中端口的安全策略，并添加到本地的端口安全策略表中，如表7所示。表7交换设备521基于目的地址为交换设备523的地址的新增路由，向交换设备523发送获取交换设备523中端口的安全策略的请求报文(记为packet21)。该packet21的r_ctl字段为02h，cs_ctl字段为00h，d_id字段为交换设备523的地址，s_id字段为交换设备521的地址，type字段为22h，commandcode字段为70000004h。交换设备523接收到packet21后，基于r_ctl字段(02h)，确定packet21为请求报文。基于commandcode字段(70000004h)，确定packet21为用于获取端口安全策略的请求报文。即确定交换设备521是要获取本设备中的端口的安全策略。因此，交换设备523从自身维护的端口安全策略表(表6)中获取端口的安全策略。交换设备523向交换设备521发送响应报文(记为packet22)，该packet22的r_ctl字段为03h，cs_ctl字段为00h，d_id字段为交换设备521的地址，s_id字段为交换设备523的地址，type字段为22h，负载为从表5中获取的端口的安全策略。交换设备521接收到packet22后，基于r_ctl字段(03h)，确定packet22为响应报文，从该响应报文中获取到交换设备523中端口的安全策略。由于交换设备523中端口的安全策略与交换设备522中端口的安全策略相同，因此，表6不需要更新。交换设备522基于目的地址为交换设备521的地址的新增路由，向交换设备521发送获取交换设备521中端口的安全策略的请求报文(记为packet31)。该packet31的r_ctl字段为02h，cs_ctl字段为00h，d_id字段为交换设备521的地址，s_id字段为交换设备522的地址，type字段为22h，commandcode字段为70000004h。交换设备521接收到packet31后，基于r_ctl字段(02h)，确定packet31为请求报文。基于commandcode字段(70000004h)，确定packet31为用于获取端口安全策略的请求报文。即确定交换设备522是要获取本设备中的端口的安全策略。因此，交换设备521从自身维护的端口安全策略表(表4)中获取端口的安全策略。交换设备521向交换设备522发送响应报文(记为packet32)，该packet32的r_ctl字段为03h，cs_ctl字段为00h，d_id字段为交换设备522的地址，s_id字段为交换设备521的地址，type字段为22h，负载为从表3中获取的端口的安全策略。交换设备522接收到packet32后，基于r_ctl字段(03h)，确定packet32为响应报文，从该响应报文中获取到交换设备521中端口的安全策略，并添加到本地的端口安全策略表中，如表8所示。表8交换设备523基于目的地址为交换设备521的地址的新增路由，向交换设备521发送获取交换设备521中端口的安全策略的请求报文(记为packet41)。该packet41的r_ctl字段为02h，cs_ctl字段为00h，d_id字段为交换设备521的地址，s_id字段为交换设备523的地址，type字段为22h，commandcode字段为70000004h。交换设备521接收到packet41后，基于r_ctl字段(02h)，确定packet41为请求报文。基于commandcode字段(70000004h)，确定packet41为用于获取端口安全策略的请求报文。即确定交换设备523是要获取本设备中的端口的安全策略。因此，交换设备521从自身维护的端口安全策略表(表4)中获取端口的安全策略。交换设备521向交换设备523发送响应报文(记为packet42)，该packet42的r_ctl字段为03h，cs_ctl字段为00h，d_id字段为交换设备523的地址，s_id字段为交换设备521的地址，type字段为22h，负载为从表3中获取的端口的安全策略。交换设备523接收到packet42后，基于r_ctl字段(03h)，确定packet42为响应报文，从该响应报文中获取到交换设备521中端口的安全策略，并添加到本地的端口安全策略表中，如表9所示。表9至此，完成图5c中所有交换设备中端口的安全策略的合并。合并后，服务器513通过交换设备521、交换设备522、交换设备523均无法登录网络。以上对本发明实施例提供的方法进行了描述，下面对本发明实施例提供的装置进行描述：参见图6，为本发明实施例提供的装置的结构示意图。该装置包括：发送单元601、接收单元602以及添加单元603，其中：发送单元601，用于若检测到第二交换设备接入所述san，向所述第二交换设备发送第一请求报文，所述第一请求报文用于获取所述第二交换设备中端口的安全策略；接收单元602，用于接收所述第二交换设备根据所述第一请求报文回应的第一响应报文，所述第一响应报文包括所述第二交换设备中端口的安全策略；添加单元603，用于将所述第二交换设备中端口的安全策略，添加到所述第一交换设备的端口安全策略表中。作为一个实施例，所述装置还包括：学习单元，用于学习所述san中交换设备的路由；获取单元，用于若存在新增的路由，获取所述路由包括的目的地址，所述路由包括的目的地址为交换设备的地址；确定单元，用于将所述目的地址对应的交换设备确定为所述第二交换设备。作为一个实施例，所述接收单元602，还用于接收所述第二交换设备发送的第二请求报文，所述第二请求报文用于获取所述第一交换设备中端口的安全策略；获取单元，用于根据所述第二请求报文，获取所述第一交换设备中端口的安全策略；所述发送单元601，还用于向所述第二交换设备发送第二响应报文，所述第二响应报文包括所述第一交换设备中端口的安全策略。作为一个实施例，所述请求报文和所述响应报文均为fc协议报文；其中，所述请求报文的命令码字段携带标识，所述标识用于表示所述请求报文为用于获取端口的安全策略的报文。至此，完成图6所示装置的描述。在本发明实施例中，第一交换设备在感知到第二交换设备接入san时，利用与第二交换设备之间的报文交互，获取第二交换设备中端口的安全策略，以实现端口的安全策略自动合并，提升端口的安全策略的合并效率。下面对本发明实施例提供的交换设备进行描述：参见图7，为本发明实施例提供的一种交换设备的硬件结构示意图。该交换设备可包括处理器701、存储有机器可执行指令的机器可读存储介质702。处理器701与机器可读存储介质702可经由系统总线703通信。并且，通过读取并执行机器可读存储介质702中与端口的安全策略合并逻辑对应的机器可执行指令，处理器701可执行上文描述的端口的安全策略合并方法。本文提到的机器可读存储介质702可以是任何电子、磁性、光学或其他物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，所述机器可读存储介质702可以包括如下至少一个种存储介质：易失存储器、非易失性存储器、其它类型存储介质。其中，易失性存储器可为ram(randomaccessmemory，随机存取存储器)，非易失性存储器可为闪存、存储驱动器(如硬盘驱动器)、固态硬盘、存储盘(如光盘、dvd等)。本发明实施例还提供一种包括机器可执行指令的机器可读存储介质，例如图7中的机器可读存储介质702，所述机器可执行指令可由交换设备中的处理器701执行，以实现以上描述的端口的安全策略合并方法。至此，完成图7所示设备的描述。以上所述仅为本发明实施例的较佳实施例而已，并不用以限制本发明，凡在本发明实施例的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。当前第1页12