[发明专利]区域访问控制表项维护方法及装置

说明书

技术领域

本发明涉及光纤通道（FC，Fiber Channel）技术领域，尤其涉及光纤通道网络架构（Fabric）网络中的区域（Zone）访问控制表项维护方法及装置。

背景技术

FC协议是存储网络中应用最广泛的一种协议，目的是提供比以太网和传输控制协议（TCP，Transmission Control Protocol）/因特网协议（IP，Internet Protocol）更高速、高效的大数据传输性能。

FC协议中，虚拟存储区域网络（VSAN，Virtual Storage Area Network）的划分实现了将一个物理连通的存储网络分割成多个逻辑上的虚拟存储网络。每个VSAN相互隔离，并独立提供服务，增强了网络的适应性、安全性，使其能够为用户提供更有效的服务。对VSAN内的N端口成员进一步划分区域（Zone），使不同Zone内的成员相互隔离，达到访问控制的目的。用户可以灵活的在VSAN内部任意建立Zone，并可以在Zone内根据不同目的添加任意N端口成员。一个设备可以同时属于多个Zone。在Zone中可以使用N端口的全球唯一名字（WWN，World Wide Name）、光纤通道标识（FCID，Fiber Channel Identification）等对成员进行标识。

图1为现有的Zone应用组网示意图，如图1所示，一个VSAN包括3台服务器（Server）和3个磁盘阵列（Disk），它们共同接入一个Fabric网络中，将该VSAN划分为3个Zone。其中：

Zone 1包括Server 1、Disk 1；

Zone 2包括Server 2、Disk 1、Disk 2、Disk 3；

Zone 3包括Server 3、Disk 3。

从配置上看：一个Zone可以包括多个N端口成员；而一个特定的N端口成员也可以属于多个Zone，如Disk 1、Disk 3；

从访问权限看：Server 2可以访问所有磁盘，而Server 1只能访问Disk 1，同样Server 3只能访问Disk 3。

按照协议规定，Zone数据库是按照Zone集合（Set）、Zone、Zone成员（member）三级基本对象进行组织的。Zone Set对象是Zone对象的集合；Zone member对象是指Zone内的N端口成员。图2给出了现有的Zone数据结构示意图，如图2所示，每个VSAN内可以配置多个Zone Set对象，每个Zone Set对象内可以包括多个Zone对象，同样每个Zone对象可以包括多个Zone member对象。为了配置方便，Zone成员配置还支持使用别名，即Zone Alias对象，别名相当于一个Zone member对象的集合，可以将其作为一个整体使用。

虽然每个VSAN内可以配置多个Zone Set，但只有一个可以激活，称为激活（Active）Zone Set，即最终N端口成员的访问控制都在Active Zone Set内进行匹配。Active Zone Set需要通过命令显式在本地设备上激活，再通过扩散报文向整个Fabric网络进行同步，使其在全网范围内保持一致。

Fabric网络中的交换机会针对当前已登录的N端口节点，生成硬件驱动访问控制表项；这样，后续对于Zone成员之间的交互报文不需要上CPU（Central Processing Unit，中央处理单元）进行软件转发的过滤处理，可以直接按硬件驱动访问控制表项匹配和转发，最大效率利用硬件资源。

目前实际组网应用中，有两种最典型的Zone配置：1、创建一个Zone并添加所有成员，再将Zone加入Zone Set并激活，称为多对多配置；2、以每两个成员为一组，创建一个Zone，再将所有Zone加入Zone Set并激活，称为一对一配置。两种典型配置最终都会生成N到N的节点硬件驱动访问控制表项（N为当前Zone成员规模）。图3为现有的Fabric网络中的访问控制示意图，如图3，每一条连线都对应正反两条需要下发硬件驱动的访问控制表项。