数据传输方法以及相关设备与流程

本技术涉及通信领域，尤其涉及数据传输方法以及相关设备。

背景技术：

1、裸机表示在物理硬件上直接运行单个操作系统并运行程序，资源独享。能够满足极致性能场景下，例如客户的应用要求工作负载能够急速地访问硬件资源并独占。基于交换机实现的增强型裸机，能够实现裸机与虚拟机、裸机与裸机之间的业务流量互通，有着更广泛的应用前景。

2、由于交换机的访问控制列表(access control list，acl)规格能力有限，无法满足当前云平台的安全组或者防火墙的策略数量规格，导致目前增强型裸机方案存在能力缺失，也即无法提供云上传统的安全组或者防火墙能力。

技术实现思路

1、本技术提供了数据传输方法以及相关设备，数据传输方法应用于增强型裸机场景的交换机，交换机中的代理(agent)模块根据目标数据包携带的目标裸机标识，能够确定目标裸机对应的安全策略信息，也即确定目标数据包对应的安全策略信息。结合目标数据包携带的通信标识和目标数据包对应的安全策略信息，为目标数据包对应的业务流量设置acl规则。也就是说，本技术在获取目标数据包之后，动态生成指示包括了目标数据包的业务流量的处理方式的acl规则，解决了交换机的acl规格能力有限的问题，也在增强型路裸机的场景下实现了安全策略能力。

2、本技术第一方面提供了一种数据传输方法，该方法应用于增强型裸机场景中的交换机，该交换机包括了agent模块。在交换机处理业务的过程中，agent模块会获取目标数据包，目标数据包携带目标裸机标识和通信标识。目标裸机标识用于指示向交换机发送目标数据包的目标裸机，通信标识用于指示目标数据包对应的通信信息(例如端口信息、地址信息、传输协议等)。根据目标裸机标识，agent模块可以确定目标裸机对应的安全策略信息。其中，目标裸机与交换机具有绑定关系，换句话说，也就是交换机能够处理目标裸机发送的数据包。安全策略信息包括了防火墙信息和/或安全组信息，用于指示数据包的处理方式。确定目标裸机对应的安全策略信息之后，agent模块会根据目标裸机对应的安全策略信息和目标数据包携带的通信标识，确定包含目标数据包的业务流量对应的acl规则。acl规则用于指示对包含目标数据包的业务流量的处理方式。具体来说，目标裸机对应的安全策略信息中，会包括至少一条安全策略，其中的每条安全策略对应一个通信标识。因此，agent模块会根据目标数据包的通信标识，从目标裸机对应的安全策略信息中，确定该通信标识对应的安全策略信息。再根据该通信标识对应的安全策略信息，确定包含目标数据包的业务流量对应的acl规则。

3、从以上技术方案可以看出，本技术具有以下优点：在获取目标数据包之后，动态生成指示包括了目标数据包的业务流量的处理方式的acl规则，解决了交换机的acl规格能力有限的问题，也在增强型路裸机的场景下实现了安全策略能力。

4、在第一方面的一种可能的实现方式中，在agent模块根据目标裸机标识，确定目标裸机对应的安全策略信息之前，agent模块会缓存安全策略信息。具体来说，agent模块可以通过调用应用程序接口(application interface，api)获取来自于控制器的至少一组安全策略信息。这至少一组安全策略信息与交换机绑定的至少一个裸机一一对应，并且这至少一组安全策略信息用于配置至少一个裸机发送的数据包对应的acl规则。

5、在第一方面的一种可能的实现方式中，在agent模块缓存了安全策略信息的情况下，agent模块根据目标裸机标识，确定目标裸机对应的安全策略信息的具体过程，可以是agent模块根据目标裸机标识，从缓存的至少一组安全策略信息中确定目标裸机对应的安全策略信息。

6、本技术中，agent模块可以预先缓存安全策略信息，这样在获取目标数据包之后，就可以直接从缓存的安全策略信息中确定所需要的目标数据包对应的安全策略信息。并不需要再向控制器申请，简化了确定目标数据包对应的安全策略信息的步骤，降低了处理时间，也提升了处理效率。

7、在第一方面的一种可能的实现方式中，agent模块也可以不缓存安全策略信息。在这种情况下，agent模块根据目标裸机标识，确定目标裸机对应的安全策略信息的过程可以是：agent模块通过api向控制器发送安全策略请求，安全策略请求中携带目标裸机标识，安全策略请求用于请求获取目标裸机标识指示的目标裸机对应的安全策略信息。控制器收到安全策略请求后，向agent模块发送安全策略响应，该安全策略响应包括目标裸机对应的安全策略信息。也就是说，agent模块可以通过api接收来自于控制器的安全策略响应。

8、本技术中，在agent模块缓存能力有限或者其他agent模块不缓存安全策略信息的情况下，能够通过与控制器的交互获取目标裸机对应的安全策略信息。总的来说，不论agent模块是否缓存安全策略信息，都有对应的方式确定目标裸机对应的安全策略信息，丰富了本技术技术方案的实现方式和应用场景，提升了技术方案的实用性。

9、在第一方面的一种可能的实现方式中，agent模块还可以获取目标数据包之外的数据包。与目标数据包类似，该数据包会携带对应的裸机标识，以指示发送该数据包的裸机。如果agent模块确定该数据包对应的裸机(也即发送该数据包的裸机)与交换机没有绑定关系，那么agent模块可以确定丢弃该数据包。

10、在第一方面的一种可能的实现方式中，通信标识指示目标数据包对应的三元组信息或者五元组信息。三元组信息包括目标数据包的源互联网协议地址(internet protocoladdress，ip)、目的ip地址和通信协议。五元组信息在三元组信息基础上，还包括了目标数据包的源端口和目的端口。其中，源ip地址指示发送目标数据包的目标裸机的ip地址；目的ip地址指示接收目标数据包的设备的ip地址；源端口指示发送目标数据包的端口；目的端口指示接收目标数据包的设备的端口；通信协议指示传输目标数据包所使用的协议。三元组信息或者五元组信息均能用于标识会话，或者说是标识业务流量。不同的会话所使用的三元组信息或者五元组信息不同。agent模块根据目标裸机对应的安全策略信息和通信标识，确定包含目标数据包的业务流量对应的acl规则。具体来说，是根据三元组信息或者五元组信息，从目标裸机对应的安全策略信息中确定目标数据包对应的目标安全策略信息。再根据目标安全策略信息确定acl规则。具体包括：如果目标安全策略信息指示转发目标数据包，那么agent模块确定acl规则为转发业务流量对应的数据包。如果目标安全策略信息指示拒绝目标数据包，那么agent模块确定acl规则为拒绝业务流量对应的数据包。如果目标安全策略信息指示驳回目标数据包，那么agent模块确定acl规则为驳回业务流量对应的数据包。

11、本技术中，由于同一条业务流量所包括的数据包所携带的通信标识是一致的，因此，根据业务流量包括的目标数据包携带的通信标识和目标裸机对应的安全策略信息，确定的acl规则可以适用于包含了目标数据包的业务流量。也就是说，agent模块在确定业务流量对应的acl规则时，只根据目标数据包进行相关处理即可，并不需要对业务流量包括的其他数据包进行重复处理，减少了计算量，节约了运算资源的同时也提高了效率。

12、在第一方面的一种可能的实现方式中，交换机还包括了转发芯片。转发芯片收到目标数据包之后发送给agent模块，由agent模块确定包含目标数据包的业务流量对应acl规则。之后，agent模块向转发芯片发送该acl规则，该acl规则指示业务流量了的处理方式。转发芯片接收acl规则，并根据该acl规则，处理业务流量包括的数据包。

13、在第一方面的一种可能的实现方式中，如果业务流量传输完毕，那么转发芯片可以删除acl规则。其中，业务流量传输完毕，是指转发芯片对业务流量包括的最后一个数据包处理完毕。

14、本技术中，转发芯片在业务流量传输完毕之后，会删除该业务流量对应的acl规则，减少了转发芯片在数据面的转发规则数量，释放了转发芯片的资源，也提高资源利用率。

15、在第一方面的一种可能的实现方式中，在转发芯片的数据面资源空闲较多的情况下，业务流量传输完毕之后，可以暂不删除该业务流量对应的acl规则。其中，转发芯片的数据面资源空闲较多是指转发面的空闲资源大于或等于资源阈值，资源阈值可以是具体的数值，例如500mb；也可以是空闲资源在数据面资源占据的比例，例如80％，具体此处不做限定。资源阈值的具体大小，可以根据业务需求和转发芯片的性能确定，具体此处不做限定。一般情况下，转发芯片性能越好，且业务需求的资源越低，资源阈值越低。当转发芯片的数据面资源空闲小于资源阈值，则需要对转发芯片缓存的acl规则进行删除，以释放资源。在对acl规则进行删除时，可以根据规则的使用频率或者使用时间删除。具体来说，可以按照使用频率从低到高的顺序删除，直至转发面的空闲资源大于或等于资源阈值。或者，按照缓存的acl规则最近一次使用时间距离当前时刻的时长从长到短的顺序删除，直至转发面的空闲资源大于或等于资源阈值。需要注意的是，在进行acl规则删除时，如果转发芯片当前时刻正在处理某条业务流量对应的数据包，应该将该业务流量对应的acl规则排除在删除的acl规则之外，避免影响转发芯片的正常工作。

16、在第一方面的一种可能的实现方式中，与裸机绑定的安全策略信息可能会发生改变，相应的，agent模块确定的acl规则也会更新。在这种情况下，agent模块会将更新后的acl规则下发给转发芯片。转发芯片接收更新后的acl规则会进一步进行处理：如果更新前的acl规则已经被删除，转发芯片就基于更新后的acl规则处理对应的业务流量。如果更新前的acl规则还没有被删除，转发芯片会对该更新前的acl规则进行更新，并基于更新后的acl规则处理对应的业务流量。

17、本技术第二方面提供了一种数据传输方法，该方法应用于增强型裸机场景中的交换机，该交换机包括了agent模块。agent模块通过api获取来自于控制器的至少一组安全策略信息，至少一组安全信息与交换机绑定的至少一个裸机一一对应，至少一组安全策略信息用于配置至少一个裸机发送的数据包对应的acl规则。agent模块获取目标数据包，目标数据包携带目标裸机标识和通信标识。并根据目标裸机标识，从至少一组安全策略信息中确定目标裸机对应的安全策略信息，目标裸机与交换机绑定。再根据目标裸机对应的安全策略信息和通信标识，确定包含目标数据包的业务流量对应的acl规则。

18、在第二方面的一种可能的实现方式中，目标数据包携带的通信标识指示目标数据包对应的三元组信息或者五元组信息。agent模块根据通信标识和目标裸机对应的安全策略信息，确定包含目标数据包的业务流量对应的acl规则的过程包括：根据三元组信息或者五元组信息，从目标裸机对应的安全策略信息中确定目标数据包对应的目标安全策略信息。如果目标安全策略信息指示转发目标数据包，那么agent模块确定acl规则为转发业务流量对应的数据包。如果目标安全策略信息指示拒绝目标数据包，那么agent模块确定acl规则为拒绝业务流量对应的数据包。如果目标安全策略信息指示驳回目标数据包，那么agent模块确定acl规则为驳回业务流量对应的数据包。

19、在第二方面的一种可能的实现方式中，交换机还包括转发芯片。agent模块在确定包含目标数据包的业务流量对应acl规则之后，会向转发芯片发送acl规则，该acl规则指示业务流量的处理方式。转发芯片根据acl规则，处理业务流量包括的数据包。

20、在第二方面的一种可能的实现方式中，如果业务流量传输完毕，那么转发芯片删除acl规则。

21、本技术中，第二方面以及第二方面任一种可能的实现方式，所示的有益效果与第一方面以及第一方面任一种可能的实现方式类似，此处不再赘述。

22、本技术第三方面提供了一种数据传输方法，该方法应用于增强型裸机场景中的交换机，该交换机包括了agent模块。agent模块获取目标数据包，目标数据包携带目标裸机标识和通信标识，目标裸机标识用于指示与交换机绑定的目标裸机。agent模块通过api向控制器发送安全策略请求，安全策略请求中携带目标裸机标识，安全策略请求用于请求获取目标裸机对应的安全策略信息。agent模块通过api接收来自于控制器的安全策略响应，安全策略响应包括目标裸机对应的安全策略信息。之后，agent模块根据目标裸机对应的安全策略信息和通信标识，确定包含目标数据包的业务流量对应的acl规则。

23、在第三方面的一种可能的实现方式中，目标数据包携带的通信标识指示目标数据包对应的三元组信息或者五元组信息。agent模块根据通信标识和目标裸机对应的安全策略信息，确定包含目标数据包的业务流量对应的acl规则的过程包括：根据三元组信息或者五元组信息，从目标裸机对应的安全策略信息中确定目标数据包对应的目标安全策略信息。如果目标安全策略信息指示转发目标数据包，那么agent模块确定acl规则为转发业务流量对应的数据包。如果目标安全策略信息指示拒绝目标数据包，那么agent模块确定acl规则为拒绝业务流量对应的数据包。如果目标安全策略信息指示驳回目标数据包，那么agent模块确定acl规则为驳回业务流量对应的数据包。

24、在第三方面的一种可能的实现方式中，交换机还包括转发芯片。agent模块在确定包含目标数据包的业务流量对应acl规则之后，会向转发芯片发送acl规则，该acl规则指示业务流量的处理方式。转发芯片根据acl规则，处理业务流量包括的数据包。

25、在第三方面的一种可能的实现方式中，如果业务流量传输完毕，那么转发芯片删除acl规则。

26、本技术中，第三方面以及第三方面任一种可能的实现方式，所示的有益效果与第一方面以及第一方面任一种可能的实现方式类似，此处不再赘述。

27、本技术第四方面提供了一种数据传输方法，该方法应用于增强型裸机场景中的控制器，控制器与交换机相连。控制器获取来自于用户的至少一个裸机信息，以及与至少一个裸机绑定的至少一组安全策略信息。其中，裸机信息包括目标裸机的信息，目标裸机与交换机绑定。安全策略信息包括安全组信息和/或防火墙信息，用于指示数据包的处理方式。控制器向交换机发送目标裸机对应的安全策略信息，以使交换机根据目标裸机对应的安全策略信息，确定包含目标数据包的业务流量的acl规则。其中，目标数据包携带了目标裸机标识。

28、本技术中，控制器获取用户配置的裸机信息以及与裸机绑定的安全策略信息之后，会将目标裸机对应的安全策略信息发送给交换机，为交换机实现安全策略能力提供了实现基础，提升了本技术技术方案的可实现性。

29、在第四方面的一种可能的实现方式中，控制器会向交换机发送至少一个裸机信息，以及与至少一个裸机绑定的至少一组安全策略信息，这至少一组安全策略信息与交换机绑定的至少一个裸机一一对应。交换机会缓存这些信息，目标裸机对应的安全策略信息也包含于这至少一组安全策略信息中，使得交换机根据目标数据包携带的目标裸机标识，从这至少一组安全策略信息中确定目标裸机对应的安全策略信息。

30、在第四方面的一种可能的实现方式中，控制器向交换机发送目标裸机对应的安全策略信息之前，会接收到来自于交换机的安全策略请求。该安全策略请求中携带指示目标裸机的目标裸机标识，安全策略请求用于请求获取目标裸机对应的安全策略信息。控制器响应该安全策略请求，向交换机发送安全策略响应，该安全策略响应中包括目标裸机对应的安全策略信息。

31、本技术中，控制器向交换机发送目标裸机对应的安全策略信息的方式有多种：既可以发送包括了目标裸机对应的安全策略信息的至少一组安全策略信息，也可以基于交换机的请求发送目标裸机对应的安全策略信息，丰富了本技术技术方案的实现方式，能够根据实际应用的需要，灵活选择，也提升了本技术技术方案的灵活性。

32、在第四方面的一种可能的实现方式中，控制器向交换机发送安全策略信息，可以通过交换机驱动(drive)模块发送。在发送的时候，还会将安全策略信息转换成交换机的api所能兼容的格式。

33、本技术第五方面提供了一种交换机，该交换机应用于增强型裸机场景，交换机包括代理agent模块，用于：获取目标数据包，目标数据包携带目标裸机标识和通信标识；根据目标裸机标识，确定目标裸机对应的安全策略信息，目标裸机与交换机绑定；根据安全策略信息和通信标识，确定包含目标数据包的业务流量对应的访问控制列表acl规则。交换机用于实现前述第一方面以及第一方面的任一种可能的实现方式所示的方法。

34、本技术第六方面提供了一种交换机，该交换机应用于增强型裸机场景，交换机包括代理agent模块，用于：通过应用程序接口api获取来自于控制器的至少一组安全策略信息，至少一组安全信息与交换机绑定的至少一个裸机一一对应，至少一组安全策略信息用于配置至少一个裸机发送的数据包对应的acl规则。获取目标数据包，目标数据包携带目标裸机标识和通信标识。根据目标裸机标识，从至少一组安全策略信息中确定目标裸机对应的安全策略信息，目标裸机与交换机绑定。根据安全策略信息和通信标识，确定包含目标数据包的业务流量对应的访问控制列表acl规则。交换机用于实现前述第二方面以及第二方面的任一种可能的实现方式所示的方法。

35、本技术第七方面提供了一种交换机，该交换机应用于增强型裸机场景，交换机包括代理agent模块，用于：获取目标数据包，目标数据包携带目标裸机标识和通信标识。通过应用程序接口api向控制器发送安全策略请求，安全策略请求中携带目标裸机标识，目标裸机标识用于指示与交换机绑定的目标裸机。通过api接收来自于控制器的安全策略响应，安全策略响应包括目标裸机对应的安全策略信息。根据目标裸机对应的安全策略信息和通信标识，确定包含目标数据包的业务流量对应的访问控制列表acl规则。

36、交换机用于实现前述第三方面以及第三方面的任一种可能的实现方式所示的方法。

37、本技术第八方面提供了一种控制器，该控制器应用于增强型裸机场景，控制器包括接收单元，用于获取来自于用户的至少一个裸机信息，以及与至少一个裸机绑定的至少一组安全策略信息。其中，裸机信息包括目标裸机的信息，目标裸机与交换机绑定。安全策略信息包括安全组信息和/或防火墙信息，用于指示数据包的处理方式。

38、发送单元，用于向交换机发送目标裸机对应的安全策略信息，以使交换机根据目标裸机对应的安全策略信息，确定包含目标数据包的业务流量的acl规则。其中，目标数据包携带了目标裸机标识。

39、控制器用于实现前述第四方面以及第四方面的任一种可能的实现方式所示的方法。

40、本技术第九方面提供了一种交换机，包括处理器和存储器，处理器存储指令，当存储在存储器上的指令在处理器上运行时，实现前述第一方面以及第一方面的任一种可能的实现方式所示的方法、或者前述第二方面以及第二方面的任一种可能的实现方式所示的方法、或者前述第三方面以及第三方面的任一种可能的实现方式所示的方法。

41、本技术第十方面提供了一种控制器，包括处理器和存储器，处理器存储指令，当存储在存储器上的指令在处理器上运行时，实现前述第四方面以及第四方面的任一种可能的实现方式所示的方法。

42、本技术第十一方面提供了一种计算机可读存储介质，计算机可读存储介质中保存有指令，当指令在处理器上运行时，实现第一方面以及第一方面的任一种可能的实现方式所示的方法、或者前述第二方面以及第二方面的任一种可能的实现方式所示的方法、或者前述第三方面以及第三方面的任一种可能的实现方式所示的方法、或者前述第四方面以及第四方面的任一种可能的实现方式所示的方法。

43、本技术第十二方面提供了一种计算机程序产品，当计算机程序产品在处理器上执行时，实现第一方面以及第一方面的任一种可能的实现方式所示的方法、或者前述第二方面以及第二方面的任一种可能的实现方式所示的方法、或者前述第三方面以及第三方面的任一种可能的实现方式所示的方法、或者前述第四方面以及第四方面的任一种可能的实现方式所示的方法。

44、第九方面至第十二方面中任一方面所示的有益效果与前述第一方面以及第一方面的任一种可能的实现方式至前述、或者前述第四方面以及第四方面的任一种可能的实现方式类似，此处不再赘述。