[发明专利]一种网络策略获取方法及数据中心交换机

说明书

技术领域

本发明涉及数据通信领域，尤其涉及一种网络策略获取方法及数据中心交换机。

背景技术

数据中心交换机作为将虚拟机(VM，Virtual Machine)接入到网络中的设备，必须能够识别出VM的流量，并将相关网络策略，如服务质量(QoS，Quality of Service)、访问控制列表(ACL，Access Control List)等运用在VM流量上，从而实现对VM的流量监管控制等功能。

美国电气和电子工程师协会制订了一套解决方案，可以让数据中心交换机配合VM工作。每个VM都有一个虚拟接口(VSI，Virtual Station Interface)，数据中心服务器中的虚拟层软件通过VSI发现与配置协议(VDP，VSI Discovery and configuration Protocol)向数据中心交换机发送VDP请求报文；数据中心交换机根据VDP请求报文向网管服务器请求对应的网络策略信息，并运用到数据中心交换机与VSI相连的端口上，实现对VM的流量监管控制。

在实际应用中，网管服务器有可能位于公共网络之中，数据中心交换机向网管服务器请求对应的网络策略信息时，网络策略有可能被黑客截取并篡改，如此，数据中心交换机存在极大的安全隐患。

发明内容

有鉴于此，本发明的主要目的在于提供一种网络策略获取方法及数据中心交换机，能够保证网络策略的安全性。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种网络策略获取方法，该方法包括：

在接收到数据中心服务器发送的VDP请求报文时，根据所述VDP请求报文携带的自定义可变格式TLV，解析出用户名、密码、以及共享密钥；生成随机认证字，并根据所述密码、共享密钥、随机认证字获取加密密码；发送携带有所述用户名、加密密码、以及随机认证字的访问请求数据包至网管服务器；

在网管服务器对访问请求数据包认证成功后，接收网管服务器发送的携有网络策略的访问接收数据包，并执行所述访问接收数据包中的网络策略。

上述方案中，所述根据密码、共享密钥、随机认证字获取加密密码为：将随机认证字与共享密钥进行MD5计算，并将计算结果和密码进行异或运算，得到加密密码。

上述方案中，所述网管服务器对访问请求数据包认证成功为：

网管服务器根据访问请求数据包中的随机认证字和本地存储的共享密钥进行MD5计算，将计算结果和访问请求数据包中的加密密码进行异或的反向运算，得到密码；当所述密码、及其对应的用户名与网管服务器存储的密码、及其对应的用户名一致时，网管服务器对访问请求数据包认证成功；

或者，网管服务器将访问请求数据包中的随机认证字和本地存储的共享密钥进行MD5计算，将计算结果和本地存储的密码进行异或运算，得到加密密码；当所述加密密码、及其对应的用户名与访问请求数据包中的加密密码、及其对应的用户名一致时，网管服务器对访问请求数据包认证成功。

上述方案中，该方法还包括：在网管服务器对访问请求数据包认证失败后，接收网管服务器发送的访问拒绝数据包。

上述方案中，所述执行访问接收数据包中的网络策略为：将所述网络策略运行在数据中心交换机的端口上，所述端口连接虚拟机中的虚拟端口。

上述方案中，所述VDP请求报文携带的自定义可变格式TLV包括：类型、长度、值。

上述方案中，所述可变格式TLV中的值包括：组织唯一标识符、组织自定义信息；其中，

所述组织唯一标识符由三个字节组成，表示厂商的标识；

所述组织自定义信息包括：密码长度、密码、用户名长度、用户名、共享密钥长度、共享密钥。

本发明提供了一种数据中心交换机，该数据中心交换机包括：第一接收单元、发送单元、第二接收单元、执行单元；其中，

所述第一接收单元，用于接收到数据中心服务器发送的VDP请求报文时，根据所述VDP请求报文携带的自定义可变格式TLV，解析出用户名、密码、以及共享密钥，并将所述用户名、密码、以及共享密钥发送至发送单元；

所述发送单元，用于接收第一接收单元发送的用户名、密码、以及共享密钥，并生成随机认证字；根据所述密码、共享密钥、随机认证字获取加密密码；发送携带有所述用户名、加密密码、以及随机认证字的访问请求数据包至网管服务器进行认证；