[发明专利]避免状态机被攻击的方法及服务器、交换机

说明书

技术领域

本发明涉及数据中心技术领域，具体涉及避免状态机被攻击的方法及服务器、交换机。

背景技术

随着数据中心业务日益增加，用户需求不断提高，数据中心的规模和功能日趋复杂，管理难度也越来越高。在这一背景下，整合数据中心、降低数据中心的管理成本，充分挖掘现有资源能力以适应更高的业务需求，成为企业数据中心的重要任务。对数据中心资源进行虚拟化，成为目前数据中心整合的重要趋势。

虚拟化技术通过对物理资源和提供的服务进行抽象化，让资源使用者和系统管理者不关心对象的物理特征和服务边界的细节，从而降低资源使用和管理的复杂度，提高使用效率。因而，对数据中心的虚拟化能够提高数据中心的资源利用率，如中央处理单元（CPU，Central Processing Unit）利用率、存储容量等，降低系统的能耗，并减少系统的设计、运行、管理、维护成本，从而实现整合的目标。

数据中心的虚拟化技术主要包括3方面内容：网络虚拟化、存储虚拟化和服务器虚拟化，最主要的是服务器虚拟化。通过专用的虚拟化软件（如VMware）管理，一台物理服务器能虚拟出多台虚拟机（VM，Virtual Machine）。图1为现有的服务器虚拟化示意图，如图1所示，每台VM独立运行，互不影响，都有自己的操作系统和应用程序及虚拟的硬件环境，包括虚拟CPU、内存、存储设备、输入输出（IO）设备、虚拟交换机等。

VM内部的交换机主要用于完成VM与外部网络、VM与VM间的流量交换，这种交换机称为虚拟以太网交换机。虚拟以太网交换机（vSwitch）既可以通过软件实现，也可以通过硬件方式实现，如借助网卡硬件。但无论是软件实现还是硬件实现，由于成本和资源消耗等因素限制，虚拟以太网交换机实现不可避免存在如下一些较大的局限：

1）缺乏流量监管能力，如报文统计、流镜像功能、Net Stream等。

2）难以实施网络控制策略，例如端口安全特性、服务质量（QoS，Quality of Service）、访问控制列表（ACL，Access Control List）。

3）管理困难，尤其是需要将服务器内部网络与外部交换网统一考虑部署时。

为此，电气和电子工程师协会（IEEE，Institute of Electrical and Electronics Engineers）802.1工作组着手拟定一个新的标准协议来解决上述问题，主要思路是将VM内的流量交换和处理（包括同一物理服务器上的虚拟机之间的流量交换）都交给服务器的边缘交换机完成，从而使流量的管理和监管成为可能，也使服务器内部的交换网络的部署和管理能统一处理。该标准称为802.1Qbg，即边缘虚拟桥接（EVB，Edge Virtual Bridging）技术。EVB的功能由服务器和边缘交换机协同完成。

EVB技术分为交换机（Bridge）EVB技术和服务器（Station）EVB技术，两部分配合完成EVB功能。

EVB服务器和EVB交换机之间通过S通道发现和配置协议（CDCP，S-Channel Discovery and Configuration Protocol）类型长度值（TLV，Type Length Value）完成S通道创建的协商；通过EVB-TLV完成EVB功能参数的协商；且在服务器创建、迁移和删除时，通过虚拟服务器接口发现协议（VDP，Virtual Station Interface Discovery Protocol）/边缘控制协议（ECP，Edge Control Protocol）通知边缘交换机进行相应处理。

CDCP用于服务器与边缘交换机协商创建或者删除S通道。该协议报文承载于链路层发现协议（LLDP，Link Layer Discovery Protocol）报文，即服务器和交换机之间通过LLDP报文交换CDCP TLV信息。如果服务器支持S通道，那么将根据自身虚拟交换机的配置情况，向边缘交换机发送CDCP TLV，申请创建S通道。边缘交换机根据当前能力，为其创建对应的S通道和S通道对应的接口。

图2给出了现有的CDCP TLV的格式示意图，如图2所示，各字段的格式如下：

Type：CDCP TLV与LLDP中其它dot1q的TLV一样，type取值为127，subtype取值为0x0E；

角色（Role）：取值1时，表示本设备为服务器（station）；取值0时，表示本设备为交换机（bridge）；

保留位（Resv）：暂不使用，以0填充；