[发明专利]一种存储网络安全访问控制方法、装置及交换设备

说明书

技术领域

本发明涉及计算机通信技术领域，尤其涉及一种存储网络安全访问控制方法、装置及交换设备。

背景技术

存储区域网络(SAN，Storage Area Network)是一种高速网络或子网络，提供在服务器与存储设备之间的数据传输，存储设备是指一张或多张用以存储数据的磁盘设备。一个SAN网络由负责网络连接的通信结构、负责组织连接的管理层、存储部件以及计算机系统构成，从而保证数据传输的安全性。目前，主流的SAN支撑技术包括光纤通道(Fiber Channel)技术，FC定义了一套遵循OSI模型的协议栈，通过FC相关协议标准实现SAN网络服务器和存储设备的互访技术，FC相关协议通常运行于服务器和存储设备之间的交换设备上。如图1所示，为基于FC协议技术的存储网络(为了便于描述，以下简称为FC网络)的结构示意图，包括服务器101，交换设备102，存储设备103。

FC网络中，各设备为了实现通讯，当前使用了两类地址：

第一类地址：名称标识符(Name ID)，使用世界范围的名字(WWN，World Wide Port name)地址来标识，WWN为一个64位的全球唯一地址。顾名思义，该地址用于全球唯一标识FC网络中的一个对象，这个对象可以是一个交换设备、一个主机设备(服务器或者存储设备)或者一个端口。在一个FC网络中，每台交换设备需要一个WWN地址，用于标识该台设备，在FC网络中选举主交换设备使用。

第二类地址：FC ID地址，24位的本地地址，基于每个FC网络分配。该地址范围基于每个FC网络，虽然WWN地址具有全局唯一性，但在FC网络中，主机设备互访并不使用WWN地址，而是通过FC网络动态分配的FC ID地址标识每台设备，并通过该地址进行数据交互。如图2所示，FC ID地址构包含三个字段：

1、8位的Domain ID

Domain ID用来标识一个FC网络的交换设备，一个FC网络中的每台交换设备需要拥有一个唯一的Domain ID地址。在FC网络中，将选举出全网唯一的一台主交换设备，Domain ID地址由主交换设备分配产生，因此，Domain ID可以用来标识FC网络中的一台交换设备。

2、8位的Area ID

Area ID可以将交换设备的一个或者多个端口划分到同一个区域，通过对区域的划分，可以实现对设备互访的控制。

3、8位的Port ID

在FC网络中，当主机设备登录到交换设备上时，交换设备会结合本设备的Domain ID和Area ID，为主机设备分配一个Port ID，最终为主机设备分配一个FC ID地址，其中最低8位的Port ID必须要保证所分配的主机设备的唯一性。

为了对登录到交换设备上的主机设备进行管理，每台交换设备上需要实现名称服务器(Name Server)功能，Name Server是一个分布式管理模块，维护者整个FC网络中所有主机设备的信息，以及Name Server管理着注册在Name Server数据库中的主机设备的端口相关信息，主机设备的端口相关信息如图3所示，其中：

Port Identifier：主机设备的FC ID地址；

Port Type：主机设备的端口类型；

Plantform Name：设备的平台名称；

Port Name：主机设备端口的WWN；

Node Name：主机设备节点的WWN；

Class of Service：主机设备所支持的服务类型；

FC-4Protocols：当前主机设备的服务协议，例如是作为设备的发起端还是目标端，一般来说，在存储网络里面，服务器一般作为设备的发起端，存储设备一般作为设备的目标端。

Name Server知道Fabric中的所有设备(类型于IP网络中的DNS服务)，当一个主机设备登录到FC网络时，它会向Name Server登记信息，并向其查询在FC网络中的所有设备信息，具体行为为：1、主机(服务器或者磁盘)把信息注册到名称服务器的名称数据库中；2、主机(服务器或者磁盘)查询数据库获得其它端口的信息；3、主机(服务器或者磁盘)可以从名称数据库中撤销注册，当Name Server信息发生变化时，将选择性地向主机(服务器或者磁盘)进行通告。