[发明专利]用于多租户环境中支持访问控制列表的方法和装置

权利要求书

1.一种用于多租户环境中支持访问控制列表的方法，包括：

标识网络中的多个租户间的公共访问控制列表(ACL)参数和可变ACL参数；

生成将所述可变ACL参数的参数值映射到所述租户的映射；

生成所述多个租户的多租户访问控制列表，所述多租户访问控制列表包括所述公共ACL参数和所述可变ACL参数；

将所述多租户访问控制列表和所述映射存储于网络设备处；以及

利用所存储的映射将所述多租户访问控制列表应用到所述网络设备处的端口。

2.如权利要求1所述的方法，其中所述网络设备包括与虚拟机通信的虚拟交换机，所述端口包括虚拟端口。

3.如权利要求1所述的方法，其中所述多个租户中的每个租户与一个或多个虚拟网络或虚拟网络区段相关联。

4.如权利要求1所述的方法，还包括：在包括所述映射的表中执行查找。

5.如权利要求1所述的方法，还包括：将所述映射编程到端口条目中。

6.如权利要求1所述的方法，其中所述参数值包括互联网协议(IP)地址范围。

7.如权利要求1所述的方法，其中所述参数值包括虚拟机属性。

8.如权利要求7所述的方法，其中所述虚拟机属性包括虚拟机的地址。

9.如权利要求1所述的方法，其中所述端口包括在虚拟交换机内定义的端口配置文件。

10.如权利要求1所述的方法，其中所述参数值包括在网络上学习到的值。

11.如权利要求1所述的方法，其中所述参数值包括用户定义的值。

12.如权利要求1所述的方法，其中将参数值映射到所述租户包括将所述参数值映射到与所述租户相关联的虚拟机或网络。

13.一种用于多租户环境中支持访问控制列表的装置，包括：

处理器，所述处理器用于标识网络中的多个租户间的公共访问控制列表(ACL)参数和可变ACL参数，生成将所述可变ACL参数的参数值映射到所述租户的映射，以及生成所述多个租户的多租户访问控制列表，所述多租户访问控制列表包括所述公共ACL参数和所述可变ACL参数；以及

存储器，所述存储器用于存储所述多租户访问控制列表和所述映射；

其中所述多租户访问控制列表被配置用于在虚拟交换机处用于利用所述映射来执行访问控制。

14.如权利要求13所述的装置，其中所述多个租户中的每个租户与一个或多个虚拟网络或虚拟网络区段相关联。

15.如权利要求13所述的装置，其中所述处理器还被配置为在包括所述映射的表中执行查找。

16.如权利要求13所述的装置，其中所述映射被编程到端口条目中。

17.如权利要求13所述的装置，其中所述参数值包括互联网协议(IP)地址范围。

18.如权利要求13所述的装置，其中所述参数值包括虚拟机属性。

19.如权利要求13所述的装置，其中将所述参数值映射到所述租户包括将所述参数值映射到与所述租户相关联的虚拟机或网络。

20.一种用于多租户环境中支持访问控制列表的装置，包括：

标识网络中的多个租户间的公共访问控制列表(ACL)参数和可变ACL参数；

用于生成将所述可变ACL参数的参数值映射到所述租户的映射的装置；

用于生成所述多个租户的多租户访问控制列表的装置，所述多租户访问控制列表包括所述公共ACL参数和所述可变ACL参数；

用于存储所述多租户访问控制列表和所述映射的装置；以及

用于利用所存储的映射将所述多租户访问控制列表应用到所述网络设备处的端口的装置。