專利名稱:安全策略遷移的方法、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及光網(wǎng)絡(luò)領(lǐng)域,尤其涉及一種安全策略遷移的方法、裝置和系統(tǒng)。
背景技術(shù):
虛擬化數(shù)據(jù)中心由計算、存儲、網(wǎng)絡(luò)三種資源深度融合而成,因此主機(jī)虛擬化技術(shù)能夠順利實現(xiàn)必須由合適的網(wǎng)絡(luò)安全策略與之匹配,否則一切都無從談起。虛擬化數(shù)據(jù)中心出現(xiàn)較早,主要包括集群計算等技術(shù),以提升計算性能為主;而主機(jī)虛擬化技術(shù)主要是近幾年出現(xiàn)的在一臺物理X86系統(tǒng)上的多操作系統(tǒng)同時并存的技術(shù),以縮短業(yè)務(wù)部署時間, 提高資源使用效率為主要目的。虛擬化數(shù)據(jù)中心給網(wǎng)絡(luò)安全帶來了一些挑戰(zhàn),尤其是虛擬機(jī)的遷移,計算集群主機(jī)的加入與離開等都是傳統(tǒng)數(shù)據(jù)中心所沒有的。虛擬化數(shù)據(jù)中心的最大挑戰(zhàn)就是網(wǎng)絡(luò)安全策略要跟隨虛擬機(jī)自動遷移。在創(chuàng)建虛擬機(jī)或虛擬機(jī)遷移時,虛擬機(jī)主機(jī)需要能夠正常運行,除了服務(wù)器上的資源合理調(diào)度,其網(wǎng)絡(luò)連接的合理調(diào)度也是必需的。數(shù)據(jù)中心網(wǎng)絡(luò)一般都采用扁平化的組網(wǎng)方式,是大二層網(wǎng)絡(luò),和虛擬化相結(jié)合的二層網(wǎng)絡(luò)安全技術(shù)也是虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)的重要關(guān)注點。在傳統(tǒng)二層網(wǎng)絡(luò)安全技術(shù)下,網(wǎng)絡(luò)安全策略無法隨虛擬機(jī)的遷移而自動遷移。 目前比較常見的基于網(wǎng)管或者虛擬機(jī)發(fā)現(xiàn)和配置協(xié)議(英文全稱Virtual Station Interface Discovery and Configuration Protocol,簡稱:VDP)的虛擬機(jī)遷移方案中,網(wǎng)絡(luò)安全策略的遷移相對于虛擬機(jī)的遷移存在一定的滯后性。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種安全策略遷移的方法、裝置和系統(tǒng),可以實現(xiàn)安全策略配置隨虛擬機(jī)遷移而遷移。一方面,本發(fā)明實施提供了一種安全策略遷移的方法,所述方法包括數(shù)據(jù)中心接入交換機(jī)接收遷入虛擬機(jī)的服務(wù)器發(fā)送的虛擬機(jī)發(fā)現(xiàn)和配置協(xié)議VDP 關(guān)聯(lián)消息;根據(jù)所述VDP關(guān)聯(lián)消息,將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián);獲取所述虛擬機(jī)的配置信息,并根據(jù)所述配置信息生成安全策略;當(dāng)所述虛擬機(jī)遷出所述服務(wù)器時,接收所述服務(wù)器發(fā)送的VDP解關(guān)聯(lián)消息,并根據(jù)所述VDP解關(guān)聯(lián)消息,將所述VDP關(guān)聯(lián)狀態(tài)設(shè)置為解關(guān)聯(lián);刪除所述虛擬機(jī)的所述安全策略。另一方面,本發(fā)明實施例提供了一種安全策略遷移的裝置,所述裝置包括接收器,用于接收遷入虛擬機(jī)的服務(wù)器發(fā)送的虛擬機(jī)發(fā)現(xiàn)和配置協(xié)議VDP關(guān)聯(lián)消息;關(guān)聯(lián)單元,用于根據(jù)所述VDP關(guān)聯(lián)消息,將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián);生成單元,用于獲取所述虛擬機(jī)的配置信息,并根據(jù)所述配置信息生成安全策略;
4
解關(guān)聯(lián)單元,用于當(dāng)所述虛擬機(jī)遷出所述服務(wù)器時,接收所述服務(wù)器發(fā)送的VDP 解關(guān)聯(lián)消息,并根據(jù)所述VDP解關(guān)聯(lián)消息,將所述VDP關(guān)聯(lián)狀態(tài)設(shè)置為解關(guān)聯(lián);刪除單元,用于刪除所述虛擬機(jī)的所述安全策略。第三方面,本發(fā)明實施例提供了一種包括上述安全策略遷移的裝置的系統(tǒng)。本發(fā)明上述實施例中,虛擬機(jī)遷入服務(wù)器時,虛擬機(jī)和與服務(wù)器直接相連的數(shù)據(jù)中心接入交換機(jī)VDP關(guān)聯(lián),數(shù)據(jù)中心接入交換機(jī)獲取該虛擬機(jī)的配置信息,下發(fā)虛擬機(jī)的安全策略;所述虛擬機(jī)遷出時,虛擬機(jī)和與服務(wù)器直接相連的數(shù)據(jù)中心接入交換機(jī)VDP解關(guān)聯(lián),所述數(shù)據(jù)中心接入交換刪除所述虛擬機(jī)的安全策略,實現(xiàn)了安全策略的下發(fā)和刪除與VDP關(guān)聯(lián)和解關(guān)聯(lián)緊密相連,無需人工配置,而且解決了現(xiàn)有技術(shù)中安全策略的遷移相對虛擬機(jī)的遷移滯后的問題,節(jié)省了大量的時間成本和經(jīng)濟(jì)成本。
圖1為本發(fā)明實施例提供的安全策略遷移的方法流程圖;圖2為本發(fā)明實施例中的服務(wù)器和數(shù)據(jù)中心接入交換機(jī)之間傳輸?shù)腣DP報文的報文格式;圖3為本發(fā)明實施例中的服務(wù)器和數(shù)據(jù)中心接入交換機(jī)之間VDP關(guān)聯(lián)的時序圖;圖4為本發(fā)明實施例提供的安全策略遷移的架構(gòu)圖;圖5為本發(fā)明實施例提供的另一種安全策略遷移的方法流程圖;圖6為本發(fā)明實施例提供的安全策略遷移的裝置示意圖。
具體實施例方式本發(fā)明實施例提供了一種安全策略遷移的方法、裝置和系統(tǒng)。其中,虛擬機(jī)遷入服務(wù)器時,虛擬機(jī)和與所述服務(wù)器直接相連的數(shù)據(jù)中心接入交換機(jī)VDP關(guān)聯(lián),數(shù)據(jù)中心接入交換機(jī)下發(fā)虛擬機(jī)的安全策略,所述虛擬機(jī)遷出服務(wù)器時,虛擬機(jī)和與所述服務(wù)器直接相連的數(shù)據(jù)中心接入交換機(jī)VDP解關(guān)聯(lián),所述數(shù)據(jù)中心接入交換機(jī)刪除所述虛擬機(jī)的安全策略,實現(xiàn)了安全策略的下發(fā)和刪除與VDP關(guān)聯(lián)和解關(guān)聯(lián)緊密相連,無需人工配置,而且解決了現(xiàn)有技術(shù)中安全策略的遷移相對虛擬機(jī)的遷移滯后的問題,節(jié)省了大時間成本和經(jīng)濟(jì)成本。下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。圖1為本發(fā)明實施例提供的安全策略遷移的方法流程圖。如圖1所示,本實施例包括以下步驟步驟101,數(shù)據(jù)中心接入交換機(jī)(TOR設(shè)備)接收遷入虛擬機(jī)的服務(wù)器發(fā)送的VDP
關(guān)聯(lián)消息。優(yōu)選地,所述服務(wù)器包括第一 VSI狀態(tài)機(jī);所述數(shù)據(jù)中心接入交換機(jī)包括第二 VSI 狀態(tài)機(jī)??蛇x地,VSI狀態(tài)機(jī)是一個狀態(tài)轉(zhuǎn)移圖,確切地說是一個有向圖形,由一組節(jié)點和一組相應(yīng)的轉(zhuǎn)移函數(shù)組成,用于描述虛擬接口(Virtual Station hterface,VSI)狀態(tài)。 例如,服務(wù)器中的第一 VSI狀態(tài)機(jī)用于設(shè)置服務(wù)器和虛擬機(jī)的VDP關(guān)聯(lián)狀態(tài)及其變化,數(shù)據(jù)中心接入交換機(jī)中的第二 VSI狀態(tài)機(jī)用于設(shè)置數(shù)據(jù)中心接入交換機(jī)與虛擬機(jī)的VDP關(guān)聯(lián)狀
5態(tài)及其變化。優(yōu)選地,與服務(wù)器網(wǎng)卡直接連接的TOR設(shè)備接收該遷入虛擬機(jī)(VM)的服務(wù)器發(fā)送的VDP關(guān)聯(lián)消息。步驟102,TOR設(shè)備根據(jù)所述VDP關(guān)聯(lián)消息,將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)。優(yōu)選地,所述根據(jù)所述VDP關(guān)聯(lián)消息,將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)之前還包括接收所述服務(wù)器在所述第一 VSI狀態(tài)機(jī)設(shè)置VDP關(guān)聯(lián)狀態(tài)為VDP預(yù)關(guān)聯(lián)后發(fā)送的VDP預(yù)關(guān)聯(lián)消息,將所述第一 VSI狀態(tài)機(jī)的VDP關(guān)聯(lián)狀態(tài)設(shè)置為預(yù)關(guān)聯(lián)。優(yōu)選地,所述根據(jù)所述VDP關(guān)聯(lián)消息,將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)具體為接收所述服務(wù)器在所述第一 VSI狀態(tài)機(jī)設(shè)置VDP關(guān)聯(lián)狀態(tài)為關(guān)聯(lián)后發(fā)送的VDP關(guān)聯(lián)消息,將所述第二 VSI狀態(tài)機(jī)的VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)。可選地,TOR設(shè)備接收到遷入虛擬機(jī)的服務(wù)器發(fā)送的VDP關(guān)聯(lián)消息后,通過設(shè)置第二 VSI狀態(tài)機(jī)的VSI狀態(tài)參數(shù)為關(guān)聯(lián),來實現(xiàn)將所述第二 VSI狀態(tài)機(jī)的VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)。其中,步驟101和102為進(jìn)行VDP關(guān)聯(lián)的過程。步驟103,TOR設(shè)備獲取所述虛擬機(jī)的配置信息,并根據(jù)所述配置信息生成安全策略??蛇x地,TOR設(shè)備根據(jù)獲取的所述虛擬機(jī)的配置信息,生成所述虛擬機(jī)的安全策略,并將所述安全策略下發(fā)到TOR設(shè)備自身的芯片中。對于所述服務(wù)器中遷入的所述虛擬機(jī),TOR設(shè)備VDP關(guān)聯(lián)成功后,TOR設(shè)備解析所述虛擬機(jī)發(fā)送的VDP報文,并從所述VDP報文中獲取所述虛擬機(jī)的配置信息。根據(jù)所述配置信息,TOR設(shè)備下發(fā)安全策略,所述安全策略包括虛擬機(jī)的MAC信息、VLAN信息及虛擬機(jī)接入TOR設(shè)備的端口信息。步驟104,所述虛擬機(jī)遷出所述服務(wù)器時,TOR設(shè)備接收所述服務(wù)器發(fā)送的VDP解關(guān)聯(lián)消息,并根據(jù)所述VDP解關(guān)聯(lián)消息,將所述VDP關(guān)聯(lián)狀態(tài)設(shè)置為解關(guān)聯(lián)。 優(yōu)選地,根據(jù)所述VDP解關(guān)聯(lián)消息,所述TOR設(shè)備中的所述第二 VSI狀態(tài)機(jī)將VSI 狀態(tài)參數(shù)設(shè)置為解關(guān)聯(lián)。其中,步驟104為進(jìn)行VDP解關(guān)聯(lián)的過程。步驟105,TOR設(shè)備刪除所述虛擬機(jī)的所述安全策略。優(yōu)選地,所述虛擬機(jī)的配置信息包括所述虛擬機(jī)的MAC信息、VLAN信息和所述虛擬機(jī)接入所述TOR設(shè)備的端口信息;或者包括所述虛擬機(jī)的IP地址信息、MAC信息、VLAN信息和所述虛擬機(jī)接入所述TOR設(shè)備的端口信息。優(yōu)選地,所述TOR設(shè)備代表一種數(shù)據(jù)中心接入交換機(jī),支持VDP協(xié)議。本發(fā)明實施例中只是用TOR設(shè)備來代表數(shù)據(jù)中心接入交換機(jī),所有支持VDP協(xié)議的設(shè)備都在本發(fā)明的保護(hù)范圍內(nèi)。圖2為本發(fā)明實施例中的服務(wù)器和數(shù)據(jù)中心接入交換機(jī)之間傳輸?shù)腣DP報文的報文格式。如圖2所示,VDP報文中各個參數(shù)的含義如下TLV type用來標(biāo)識VSI TLV的類型。TLV information string length 用來標(biāo)識 VSI TLV 信息字符串的長度。OUI 用來標(biāo)識 EVB 系列協(xié)議(EVB,CDCP,ECP 和 VDP)。
Subtype用來標(biāo)識VSI TLV的子類型。Subtype值為0x0002時,標(biāo)識TLV類型為 VDP TLV0Mode用來標(biāo)識TLV的模式。Mode包含兩個字節(jié)第一個字節(jié)用來標(biāo)識預(yù)關(guān)聯(lián)、關(guān)聯(lián)、去關(guān)聯(lián)等狀態(tài),或拒絕或者確認(rèn)某個狀態(tài)的響應(yīng);第二個字節(jié)用于標(biāo)識拒絕關(guān)聯(lián)或者預(yù)關(guān)聯(lián)狀態(tài)的原因。Mode可以區(qū)分VSI TLV,從而控制控制服務(wù)器中的第一 VSI狀態(tài)機(jī)和與服務(wù)器網(wǎng)卡相連的接入交換機(jī)中的狀態(tài)機(jī)的狀態(tài)參數(shù)的變化。VSI Mgr ID用來標(biāo)識包含VSI類型或/和實例定義的VSI管理數(shù)據(jù)庫。VSI Type ID用來標(biāo)識VSI類型的ID信息。VSI Type ID Version用來標(biāo)識VSI類型ID的預(yù)期的/要求的版本。VSI Instance ID用來標(biāo)識連接實例的唯一的ID信息。該ID信息與IETFRFC 4122
保持一致。MAC/VLAN Format用來標(biāo)識TLV中的MAC和VLAN信息的格式。VSI TLV支持多種 MAC/VLAN信息格式,該參數(shù)可以用來擴(kuò)展VDP協(xié)議。擴(kuò)展后,VSITLV中也可以包含虛擬機(jī)的IP地址信息。MAC/VLANs用來標(biāo)識與VSI實例關(guān)聯(lián)的MAC和VLAN信息。圖3為本發(fā)明實施例中的服務(wù)器和數(shù)據(jù)中心接入交換機(jī)之間VDP關(guān)聯(lián)的時序圖。 如圖3所示,進(jìn)行VDP關(guān)聯(lián)的過程如下步驟301,服務(wù)器向交換機(jī)發(fā)送VDP預(yù)關(guān)聯(lián)消息TxTLV (PreASSOC)。服務(wù)器中第一 VSI狀態(tài)機(jī)的初始化VSI狀態(tài)參數(shù)為未關(guān)聯(lián)。系統(tǒng)管理員在服務(wù)器中創(chuàng)建虛擬機(jī)或者從其他服務(wù)器遷入虛擬機(jī)時,服務(wù)器首先設(shè)置自身的第一 VSI狀態(tài)機(jī)的VSI狀態(tài)參數(shù)為預(yù)關(guān)聯(lián)。服務(wù)器中第一 VSI狀態(tài)機(jī)的VSI狀態(tài)參數(shù)設(shè)置為預(yù)關(guān)聯(lián)后,服務(wù)器向交換機(jī)發(fā)送 VDP 預(yù)關(guān)聯(lián)消息 TxTLV(PreASSOC)。步驟302,交換機(jī)向服務(wù)器發(fā)送應(yīng)答消息f^reAssotAOeRx。交換機(jī)中第二 VSI狀態(tài)機(jī)的初始化VSI狀態(tài)參數(shù)為未關(guān)聯(lián)。交換機(jī)接收到VDP預(yù)關(guān)聯(lián)消息后,第二 VSI狀態(tài)機(jī)進(jìn)行預(yù)關(guān)聯(lián)處理,設(shè)置自身的 VSI狀態(tài)參數(shù)為預(yù)關(guān)聯(lián),并向服務(wù)器發(fā)送應(yīng)答消息ft~eASS0C_ACK_RX。步驟303,服務(wù)器向交換機(jī)發(fā)送VDP關(guān)聯(lián)消息TxTLV (ASSOC)。服務(wù)器接收到交換機(jī)發(fā)送的第二 VSI狀態(tài)機(jī)成功設(shè)置VDP預(yù)關(guān)聯(lián)狀態(tài)的應(yīng)答消息后,設(shè)置自身的VDP關(guān)聯(lián)狀態(tài)為關(guān)聯(lián),并向交換機(jī)發(fā)送VDP關(guān)聯(lián)消息TxTLV(ASSOC)。步驟304,交換機(jī)向服務(wù)器發(fā)送應(yīng)答消息Ass0C_ACK_RX。交換機(jī)接收到VDP關(guān)聯(lián)消息后,第二 VSI狀態(tài)機(jī)進(jìn)行關(guān)聯(lián)處理,設(shè)置自身的VSI狀態(tài)參數(shù)為關(guān)聯(lián),并向服務(wù)器發(fā)送應(yīng)答消息ASS0C_ACK_Rx。第一 VSI狀態(tài)機(jī)和第二 VSI狀態(tài)機(jī)中都有超時機(jī)制,如果一段時間沒有收到對方的消息,會自動進(jìn)入解關(guān)聯(lián)狀態(tài)。從圖3所示的時序圖中可以看到,在關(guān)聯(lián)成功后,服務(wù)器和交換機(jī)之間會不停地發(fā)送消息來保持關(guān)聯(lián)狀態(tài)。進(jìn)一步地,進(jìn)行VDP解關(guān)聯(lián)的過程如下步驟305,服務(wù)器向交換機(jī)發(fā)送VDP解關(guān)聯(lián)消息TxTLV (DeASSOC)。虛擬機(jī)從服務(wù)器中遷出后,服務(wù)器中的第一 VSI狀態(tài)機(jī)設(shè)置本地的VDP關(guān)聯(lián)狀態(tài)為解關(guān)聯(lián),服務(wù)器向交換機(jī)發(fā)送VDP解關(guān)聯(lián)消息TxTLV (DeASSOC)。步驟306,交換機(jī)向服務(wù)器發(fā)送應(yīng)答消息DeASS0C_ACK_Rx。交換機(jī)接收到VDP解關(guān)聯(lián)消息后,第二 VSI狀態(tài)機(jī)進(jìn)行解關(guān)聯(lián)處理,設(shè)置自身的 VSI狀態(tài)參數(shù)為解關(guān)聯(lián),并向服務(wù)器發(fā)送應(yīng)答消息DeASS0C_ACK_Rx。服務(wù)器接收到交換機(jī)發(fā)送的解關(guān)聯(lián)成功的應(yīng)答消息后,退出該關(guān)聯(lián)流程。服務(wù)器中的第一 VSI狀態(tài)機(jī)和交換機(jī)中的第二 VSI狀態(tài)機(jī)的VDP關(guān)聯(lián)狀態(tài)始終保持一致,兩者狀態(tài)保持一致是通過服務(wù)器和交換機(jī)的報文交互實現(xiàn)的。圖4為本發(fā)明實施例提供的安全策略遷移的架構(gòu)圖。如圖4所示,本實施例包括以下設(shè)備TORl設(shè)備401,設(shè)備401為一種數(shù)據(jù)中心接入交換機(jī)設(shè)備,支持VDP協(xié)議,與設(shè)備 403的網(wǎng)卡直接相連。優(yōu)選地,設(shè)備401接收到遷入虛擬機(jī)VMl的設(shè)備403發(fā)送的VDP關(guān)聯(lián)消息后,設(shè)置 VDP關(guān)聯(lián)狀態(tài)為關(guān)聯(lián)。優(yōu)選地,設(shè)置VDP關(guān)聯(lián)后,設(shè)備401解析VDP報文,從VSI TLV(如圖2所示)中獲取VMl的MAC和VLAN信息,根據(jù)VDP協(xié)議報文的入端口,記錄MAC和VLAN對應(yīng)端口信息。 在設(shè)備401中保存MAC信息、VLAN信息和端口信息,然后根據(jù)MAC信息、VLAN信息和PORT 信息生成安全策略,并將其下發(fā)到設(shè)備401的芯片中??蛇x地,VSI TLV中的MAC/VLAN Format可以用來擴(kuò)展VDP協(xié)議,擴(kuò)展后的VDP協(xié)議報文中也可以包含虛擬機(jī)的IP地址信息,設(shè)備401解析擴(kuò)展后的VDP協(xié)議報文,獲取虛擬機(jī)的IP地址信息、MAC信息和VLAN信息,根據(jù)VDP協(xié)議報文的入端口,記錄該虛擬機(jī)對應(yīng)端口信息。在設(shè)備401中保存IP地址信息、MAC信息、VLAN信息和端口信息,根據(jù)IP地址信息、MAC信息、VLAN信息和端口信息,生成安全策略綁定表。優(yōu)選地,虛擬機(jī)VMl從設(shè)備403中遷出時,設(shè)備401接收到設(shè)備403發(fā)送的VDP解關(guān)聯(lián)消息,設(shè)置VDP關(guān)聯(lián)狀態(tài)為解關(guān)聯(lián),并且刪除虛擬機(jī)VMl的安全策略??蛇x地,VDP解關(guān)聯(lián)有兩種情況一種是設(shè)備401長時間沒有收到設(shè)備403中的 VMl發(fā)送的報文,這時會自動進(jìn)入去關(guān)聯(lián)狀態(tài);另一種就是服務(wù)器管理員的操作,刪除VMl 或者讓VMl遷走,這時設(shè)備403會主動發(fā)送VDP解關(guān)聯(lián)消息,通過VSI TLV中的Mode字段控制報文的類型,設(shè)置VDP關(guān)聯(lián)狀態(tài)為解關(guān)聯(lián)。T0R2設(shè)備402,設(shè)備402為一種數(shù)據(jù)中心接入交換機(jī)設(shè)備,支持VDP協(xié)議,與設(shè)備 404的網(wǎng)卡直接相連。設(shè)備402接收到遷入虛擬機(jī)VMl的設(shè)備404發(fā)送的VDP關(guān)聯(lián)消息后,設(shè)置VDP關(guān)聯(lián)狀態(tài)為關(guān)聯(lián)。設(shè)置VDP關(guān)聯(lián)后,設(shè)備402解析VDP報文,獲取虛擬機(jī)VMl的配置信息,所述配置信息包括虛擬機(jī)VMl的MAC信息、VLAN信息和接入端口信息。根據(jù)所述配置信息, 設(shè)備402生成遷入設(shè)備404的虛擬機(jī)VMl的安全策略,并將其下發(fā)到設(shè)備402的芯片中。當(dāng)虛擬機(jī)VMl從設(shè)備404中遷出時,設(shè)備402接收到設(shè)備404發(fā)送的VDP解關(guān)聯(lián)消息,設(shè)置VDP關(guān)聯(lián)狀態(tài)為解關(guān)聯(lián),并且刪除虛擬機(jī)VMl的安全策略。其中,設(shè)備403為一個服務(wù)器,在設(shè)備403中創(chuàng)建一個虛擬機(jī)或者遷入一個虛擬機(jī)時,設(shè)備403會向與自身的網(wǎng)卡直接相連的設(shè)備401發(fā)送一個VDP關(guān)聯(lián)消息。當(dāng)虛擬機(jī)VMl從設(shè)備403遷移出時,設(shè)備403向設(shè)備401發(fā)送一個VDP解關(guān)聯(lián)消息。
設(shè)備404為一個服務(wù)器,在設(shè)備404中創(chuàng)建一個虛擬機(jī)或者遷入一個虛擬機(jī)時,設(shè)備404會向與自身的網(wǎng)卡直接相連的設(shè)備402發(fā)送一個VDP關(guān)聯(lián)消息。當(dāng)虛擬機(jī)VMl從設(shè)備404遷移出時,設(shè)備404向設(shè)備402發(fā)送一個VDP解關(guān)聯(lián)消息。
優(yōu)選地,TOR設(shè)備代表一種數(shù)據(jù)中心接入交換機(jī),支持VDP協(xié)議。本發(fā)明實施例中只是用TOR來代表數(shù)據(jù)中心接入交換機(jī),所有支持VDP協(xié)議的設(shè)備都在本發(fā)明的保護(hù)范圍內(nèi)。圖5為本發(fā)明實施例提供的另一種安全策略遷移的方法流程圖。如圖5所示,本實施例包括以下步驟步驟501,TOR設(shè)備接收遷入虛擬機(jī)的服務(wù)器發(fā)送的VDP預(yù)關(guān)聯(lián)消息。優(yōu)選地,所述服務(wù)器中遷入虛擬機(jī)后,所述服務(wù)器在第一 VSI狀態(tài)機(jī)設(shè)置VDP關(guān)聯(lián)狀態(tài)為預(yù)關(guān)聯(lián)后,向所述TOR設(shè)備發(fā)送VDP預(yù)關(guān)聯(lián)消息。步驟502,所述TOR設(shè)備接收到所述VDP預(yù)關(guān)聯(lián)消息后,設(shè)置第二 VSI狀態(tài)機(jī)中的 VDP關(guān)聯(lián)狀態(tài)為預(yù)關(guān)聯(lián)。所述TOR設(shè)備接收到所述VDP預(yù)關(guān)聯(lián)消息后,根據(jù)消息報文中Mode參數(shù)中的第一個字節(jié)的值設(shè)置VDP的關(guān)聯(lián)狀態(tài),預(yù)關(guān)聯(lián)狀態(tài)對應(yīng)的值為0x00。所述TOR設(shè)備將VDP關(guān)聯(lián)狀態(tài)設(shè)置為預(yù)關(guān)聯(lián),并且向所述服務(wù)器中的所述第一 VSI狀態(tài)機(jī)返回一個應(yīng)答消息,如果消息報文中Mode參數(shù)中第二個字節(jié)的值為0x00,表示預(yù)關(guān)聯(lián)狀態(tài)設(shè)置成功,如果為其他值,則表明預(yù)關(guān)聯(lián)狀態(tài)設(shè)置不成功。步驟503,所述TOR設(shè)備接收到設(shè)置VDP關(guān)聯(lián)狀態(tài)為關(guān)聯(lián)后的所述服務(wù)器發(fā)送的 VDP關(guān)聯(lián)消息。所述服務(wù)器接收到所述TOR設(shè)備返回的VDP預(yù)關(guān)聯(lián)狀態(tài)設(shè)置成功的應(yīng)答消息后, 設(shè)置本地的VDP關(guān)聯(lián)狀態(tài)為關(guān)聯(lián),并向所述TOR設(shè)備發(fā)送VDP關(guān)聯(lián)消息。步驟504,接收到VDP關(guān)聯(lián)消息后,所述TOR設(shè)備進(jìn)行關(guān)聯(lián)處理,并設(shè)置所述第二 VSI狀態(tài)機(jī)的VDP關(guān)聯(lián)狀態(tài)為關(guān)聯(lián)。所述TOR設(shè)備接收到該VDP關(guān)聯(lián)消息后,根據(jù)報文中Mode參數(shù)中第一個字節(jié)的值設(shè)置VDP的關(guān)聯(lián)狀態(tài),關(guān)聯(lián)狀態(tài)對應(yīng)的值為0x02。所述TOR設(shè)備中的所述第二 VSI狀態(tài)機(jī)將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)后,所述TOR設(shè)備向所述服務(wù)器返回一個應(yīng)答消息,如果消息報文中Mode中第二個字節(jié)的值為0x00,表示關(guān)聯(lián)狀態(tài)設(shè)置成功,如果為其他值,則表明關(guān)聯(lián)狀態(tài)設(shè)置不成功。步驟505,VDP關(guān)聯(lián)成功后,所述TOR設(shè)備解析接收到的VDP協(xié)議報文,從中獲取虛擬機(jī)的配置信息。VDP關(guān)聯(lián)成功后,所述TOR設(shè)備可以接收或向該虛擬機(jī)發(fā)送報文,所述TOR設(shè)備接收到所述虛擬機(jī)發(fā)送的VDP報文后,解析報文,從中獲取所述虛擬機(jī)的配置信息。所述配置信息包括所述虛擬機(jī)對應(yīng)的VSI實例的配置信息、所述虛擬機(jī)的MAC信息和VLAN信息。通過VDP協(xié)議報文的入端口,所述TOR設(shè)備還可以獲取所述虛擬機(jī)的接入端口信息。VSI TLV報文包括一個MAC/VLAN Format參數(shù),該參數(shù)用來標(biāo)識TLV中的MAC和 VLAN信息的格式。VSI TLV支持多種格式,該參數(shù)可以用來擴(kuò)展VDP協(xié)議。擴(kuò)展后,VSI TLV報文中也可以包含虛擬機(jī)的IP地址信息。步驟506,所述TOR設(shè)備根據(jù)獲取的所述虛擬機(jī)的配置信息,生成所述虛擬機(jī)的安
全策略。所述TOR設(shè)備根據(jù)獲取的所述配置信息,生成安全策略,并將該安全策略下發(fā)到所述TOR設(shè)備的芯片中。根據(jù)所述虛擬機(jī)的MAC信息、VLAN信息和接入端口信息,下發(fā)安全MAC地址。根據(jù)所述虛擬機(jī)的IP地址信息、MAC信息、VLAN信息和接入端口信息,下發(fā)安全策略綁定表。步驟507,當(dāng)所述虛擬機(jī)從所述服務(wù)器刪除或者遷移出時,所述TOR設(shè)備接收到所述服務(wù)器發(fā)送的VDP解關(guān)聯(lián)消息。當(dāng)所述虛擬機(jī)從所述服務(wù)器刪除或者遷移出時,所述第一 VSI狀態(tài)機(jī)設(shè)置本地 VDP關(guān)聯(lián)狀態(tài)為解關(guān)聯(lián)后,所述服務(wù)器向所述TOR設(shè)備發(fā)送VDP解關(guān)聯(lián)消息。步驟508,接收到VDP解關(guān)聯(lián)消息后,所述TOR設(shè)備進(jìn)行解關(guān)聯(lián)處理,并設(shè)置VDP關(guān)聯(lián)狀態(tài)為解關(guān)聯(lián)。所述TOR設(shè)備接收到該VDP解關(guān)聯(lián)后,根據(jù)消息報文中Mode參數(shù)中第一個字節(jié)的值設(shè)置VDP的關(guān)聯(lián)狀態(tài),解關(guān)聯(lián)狀態(tài)對應(yīng)的值為0x03。所述第二 VSI狀態(tài)機(jī)將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)后,所述TOR設(shè)備向服務(wù)器返回一個應(yīng)答消息,如果消息報文中Mode參數(shù)中第二個字節(jié)的值為0x00,表示解關(guān)聯(lián)狀態(tài)設(shè)置成功,如果為其他值,則表明解關(guān)聯(lián)狀態(tài)設(shè)置不成功。步驟509,VDP解關(guān)聯(lián)后,所述TOR設(shè)備刪除所述虛擬機(jī)的安全策略。所述TOR設(shè)備設(shè)置VDP解關(guān)聯(lián)后,立即刪除所述虛擬機(jī)的安全策略。優(yōu)選地,所述TOR設(shè)備代表一種數(shù)據(jù)中心接入交換機(jī),支持VDP協(xié)議。本發(fā)明實施例中只是用TOR設(shè)備來代表數(shù)據(jù)中心接入交換機(jī),所有支持VDP協(xié)議的設(shè)備都在本發(fā)明的保護(hù)范圍內(nèi)。圖6為本發(fā)明實施例提供的安全策略遷移的裝置示意圖。如圖6所示,本實施例包括以下單元接收器601,用于接收遷入虛擬機(jī)的服務(wù)器發(fā)送的虛擬機(jī)發(fā)現(xiàn)和配置協(xié)議VDP關(guān)
聯(lián)消息。優(yōu)選地,所述服務(wù)器包括第一 VSI狀態(tài)機(jī);所述安全策略遷移的裝置包括第二 VSI 狀態(tài)機(jī)。優(yōu)選地,與所述服務(wù)器的網(wǎng)卡直接連接的所述安全策略遷移的裝置(TOR設(shè)備)接收遷移入虛擬機(jī)(VM)的所述服務(wù)器發(fā)送的VDP關(guān)聯(lián)消息。關(guān)聯(lián)單元602,用于根據(jù)所述VDP關(guān)聯(lián)消息,將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)。優(yōu)選地,關(guān)聯(lián)單元602具體將接收所述服務(wù)器在所述第一 VSI狀態(tài)機(jī)設(shè)置VDP關(guān)聯(lián)狀態(tài)為關(guān)聯(lián)后發(fā)送的VDP關(guān)聯(lián)消息,將所述第二 VSI狀態(tài)機(jī)的VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)。TOR設(shè)備接收到遷入虛擬機(jī)的服務(wù)器發(fā)送的VDP關(guān)聯(lián)消息后,通過將第二 VSI狀態(tài)機(jī)的VSI狀態(tài)參數(shù)設(shè)置為關(guān)聯(lián),實現(xiàn)將第二 VSI狀態(tài)機(jī)的VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)。生成單元603,用于獲取所述虛擬機(jī)的配置信息,并根據(jù)所述配置信息生成安全策略。優(yōu)選地,所述虛擬機(jī)的配置信息包括所述虛擬機(jī)的MAC信息、VLAN信息和所述虛擬機(jī)接入所述TOR設(shè)備的端口信息;或者包括所述虛擬機(jī)的IP地址信息、MAC信息、VLAN信息和所述虛擬機(jī)接入所述TOR設(shè)備的端口信息。解關(guān)聯(lián)單元604,用于所述虛擬機(jī)遷出所述服務(wù)器時,接收所述服務(wù)器發(fā)送的VDP 解關(guān)聯(lián)消息,并根據(jù)所述VDP解關(guān)聯(lián)消息,將所述VDP關(guān)聯(lián)狀態(tài)設(shè)置為解關(guān)聯(lián)。所述虛擬機(jī)遷出所述服務(wù)器時,所述TOR設(shè)備將接收到所述服務(wù)器發(fā)送的VDP解關(guān)聯(lián)消息。根據(jù)所述VDP解關(guān)聯(lián)消息,所述TOR設(shè)備中的所述第二 VSI狀態(tài)機(jī)將VSI狀態(tài)參數(shù)設(shè)置為解關(guān)聯(lián)。刪除單元605,用于刪除所述虛擬機(jī)的所述安全策略。優(yōu)選地,所述裝置還包括預(yù)關(guān)聯(lián)單元606,用于接收所述服務(wù)器在所述第一 VSI 狀態(tài)機(jī)VDP預(yù)關(guān)聯(lián)后發(fā)送的VDP預(yù)關(guān)聯(lián)消息,將所述第二 VSI狀態(tài)機(jī)的VDP關(guān)聯(lián)狀態(tài)設(shè)置為預(yù)關(guān)聯(lián)。優(yōu)選地,所述TOR設(shè)備代表一種數(shù)據(jù)中心接入交換機(jī),支持VDP協(xié)議。本發(fā)明實施例中只是用TOR來代表數(shù)據(jù)中心接入交換機(jī),所有支持VDP協(xié)議的設(shè)備都在本發(fā)明的保護(hù)范圍內(nèi)。本發(fā)明實施例還提供了一種包括上述安全策略遷移的裝置的系統(tǒng),該系統(tǒng)包括本發(fā)明實施例中的安全策略遷移的裝置以及服務(wù)器。本發(fā)明實施例所提供的系統(tǒng)在虛擬機(jī)遷入服務(wù)器時,下發(fā)虛擬機(jī)的安全策略,在虛擬機(jī)遷出服務(wù)器時,刪除虛擬機(jī)的安全策略,由此實現(xiàn)了安全策略的部署和去部署與VDP關(guān)聯(lián)和去關(guān)聯(lián)緊密相連,無需人工配置,而且解決了現(xiàn)有技術(shù)中安全策略的遷移相對虛擬機(jī)的遷移滯后的問題,節(jié)省了大量的時間成本和經(jīng)濟(jì)成本。專業(yè)人員應(yīng)該還可以進(jìn)一步意識到,結(jié)合本文中所公開的實施例描述的各示例的單元及算法步驟,能夠以電子硬件、計算機(jī)軟件或者二者的結(jié)合來實現(xiàn),為了清楚地說明硬件和軟件的可互換性,在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。 這些功能究竟以硬件還是軟件方式來執(zhí)行,取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件。 專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實現(xiàn)所描述的功能,但是這種實現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。結(jié)合本文中所公開的實施例描述的方法或算法的步驟可以用硬件、處理器執(zhí)行的軟件模塊,或者二者的結(jié)合來實施。軟件模塊可以置于隨機(jī)存儲器(RAM)、內(nèi)存、只讀存儲器 (ROM)、電可編程ROM、電可擦除可編程ROM、寄存器、硬盤、可移動磁盤、CD-ROM、或技術(shù)領(lǐng)域內(nèi)所公知的任意其它形式的存儲介質(zhì)中。以上所述的具體實施方式
,對本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說明,所應(yīng)理解的是,以上所述僅為本發(fā)明的具體實施方式
而已,并不用于限定本發(fā)明的保護(hù)范圍,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種安全策略遷移的方法,其特征在于,所述方法包括數(shù)據(jù)中心接入交換機(jī)接收遷入虛擬機(jī)的服務(wù)器發(fā)送的虛擬機(jī)發(fā)現(xiàn)和配置協(xié)議VDP關(guān)聯(lián)消息;根據(jù)所述VDP關(guān)聯(lián)消息,將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián); 獲取所述虛擬機(jī)的配置信息,并根據(jù)所述配置信息生成安全策略; 當(dāng)所述虛擬機(jī)遷出所述服務(wù)器時,接收所述服務(wù)器發(fā)送的VDP解關(guān)聯(lián)消息,并根據(jù)所述VDP解關(guān)聯(lián)消息,將所述VDP關(guān)聯(lián)狀態(tài)設(shè)置為解關(guān)聯(lián); 刪除所述虛擬機(jī)的所述安全策略。
2.如權(quán)利要求1所述的安全策略遷移的方法,其特征在于,所述服務(wù)器包括第一VSI狀態(tài)機(jī);所述數(shù)據(jù)中心接入交換機(jī)包括第二 VSI狀態(tài)機(jī)。
3.如權(quán)利要求2所述的安全策略遷移的方法,其特征在于,所述根據(jù)所述VDP關(guān)聯(lián)消息,將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)之前還包括接收所述服務(wù)器在所述第一 VSI狀態(tài)機(jī)設(shè)置 VDP關(guān)聯(lián)狀態(tài)為預(yù)關(guān)聯(lián)后發(fā)送的VDP預(yù)關(guān)聯(lián)消息,將所述第二 VSI狀態(tài)機(jī)的VDP關(guān)聯(lián)狀態(tài)設(shè)置為預(yù)關(guān)聯(lián)。
4.如權(quán)利要求2或3所述的安全策略遷移的方法,其特征在于,所述根據(jù)所述VDP關(guān)聯(lián)消息,將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)具體為接收所述服務(wù)器在所述第一 VSI狀態(tài)機(jī)設(shè)置VDP 關(guān)聯(lián)狀態(tài)為關(guān)聯(lián)后發(fā)送的VDP關(guān)聯(lián)消息,將所述第二 VSI狀態(tài)機(jī)的VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)。
5.如權(quán)利要求1-4中任意一項所述的安全策略遷移的方法,其特征在于,所述虛擬機(jī)的配置信息為所述虛擬機(jī)的MAC信息、VLAN信息和所述虛擬機(jī)接入所述數(shù)據(jù)中心接入交換機(jī)的端口信息;或者所述虛擬機(jī)的IP地址信息、MAC信息、VLAN信息和所述虛擬機(jī)接入所述數(shù)據(jù)中心接入交換機(jī)的端口信息。
6.一種安全策略遷移的裝置,其特征在于,所述裝置包括接收器,用于接收遷入虛擬機(jī)的服務(wù)器發(fā)送的虛擬機(jī)發(fā)現(xiàn)和配置協(xié)議VDP關(guān)聯(lián)消息; 關(guān)聯(lián)單元,用于根據(jù)所述VDP關(guān)聯(lián)消息,將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián); 生成單元,用于獲取所述虛擬機(jī)的配置信息,并根據(jù)所述配置信息生成安全策略; 解關(guān)聯(lián)單元,用于當(dāng)所述虛擬機(jī)遷出所述服務(wù)器時,接收所述服務(wù)器發(fā)送的VDP解關(guān)聯(lián)消息,并根據(jù)所述VDP解關(guān)聯(lián)消息,將所述VDP關(guān)聯(lián)狀態(tài)設(shè)置為解關(guān)聯(lián); 刪除單元,用于刪除所述虛擬機(jī)的所述安全策略。
7.如權(quán)利要求6所述的安全策略遷移的裝置,其特征在于,所述服務(wù)器包括第一VSI狀態(tài)機(jī);所述安全策略遷移的裝置包括第二 VSI狀態(tài)機(jī)。
8.如權(quán)利要求7所述的安全策略遷移的裝置,其特征在于,所述裝置還包括預(yù)關(guān)聯(lián)單元,用于接收所述服務(wù)器在所述第一 VSI狀態(tài)機(jī)設(shè)置VDP關(guān)聯(lián)狀態(tài)為預(yù)關(guān)聯(lián)后發(fā)送的VDP 預(yù)關(guān)聯(lián)消息,將所述第二 VSI狀態(tài)機(jī)的VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)。
9.如權(quán)利要求7或8所述的安全策略遷移的裝置,其特征在于,所述關(guān)聯(lián)單元具體將 接收所述服務(wù)器在所述第一 VSI狀態(tài)機(jī)設(shè)置VDP關(guān)聯(lián)狀態(tài)為關(guān)聯(lián)后發(fā)送的VDP關(guān)聯(lián)消息, 將所述第二 VSI狀態(tài)機(jī)的VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián)。
10.如權(quán)利要求6-9中任意一項所述的安全策略遷移的裝置,其特征在于,所述虛擬機(jī)的配置信息為所述虛擬機(jī)的MAC信息、VLAN信息和所述虛擬機(jī)接入所述數(shù)據(jù)中心接入交換機(jī)的端口信息;或者所述虛擬機(jī)的IP地址信息、MAC信息、VLAN信息和所述虛擬機(jī)接入所述數(shù)據(jù)中心接入交換機(jī)的端口信息。
11. 一種安全策略遷移的系統(tǒng),其特征在于,包括如權(quán)利要求6-10任一項所述的安全策略遷移的裝置以及服務(wù)器。
全文摘要
本發(fā)明涉及一種安全策略遷移的方法、裝置和系統(tǒng)。數(shù)據(jù)中心接入交換機(jī)接收遷入虛擬機(jī)的服務(wù)器發(fā)送的VDP關(guān)聯(lián)消息,根據(jù)該VDP關(guān)聯(lián)消息,將VDP關(guān)聯(lián)狀態(tài)設(shè)置為關(guān)聯(lián);數(shù)據(jù)中心接入交換機(jī)獲取虛擬機(jī)的配置信息,并根據(jù)該配置信息生成安全策略;在虛擬機(jī)遷出服務(wù)器時,數(shù)據(jù)中心接入交換機(jī)接收該服務(wù)器發(fā)送的VDP解關(guān)聯(lián)消息,并根據(jù)該VDP解關(guān)聯(lián)消息,將VDP關(guān)聯(lián)狀態(tài)設(shè)置為解關(guān)聯(lián);數(shù)據(jù)中心接入交換機(jī)刪除虛擬機(jī)的安全策略。本發(fā)明解決了安全策略隨虛擬機(jī)的遷移而相應(yīng)遷移的問題。
文檔編號H04L12/56GK102413041SQ20111035035
公開日2012年4月11日 申請日期2011年11月8日 優(yōu)先權(quán)日2011年11月8日
發(fā)明者吳曉東 申請人:華為技術(shù)有限公司