[发明专利]一种ACL下发的方法和设备

权利要求书

1.一种访问控制列表ACL下发的方法，该方法应用于包括接入设备、控制器和物理服务器的网络中，其中，所述物理服务器上配置有虚拟机VM，其特征在于，所述方法包括以下步骤：

所述接入设备获得上联端口上下发的每个用户类标识分别对应的ACL；所述上联端口为接入设备上的与聚合设备连接的端口；

所述接入设备接收来自物理服务器的VM对应的虚拟交换接口发现和配置协议VDP关联请求报文；所述VDP关联请求报文是物理服务器利用来自控制器的流表发送的，所述流表中记录了所述VM的标识和所述VM对应的用户类标识，所述VDP关联请求报文中携带了所述VM对应的用户类标识；

所述接入设备在接收到所述VM对应的VDP关联请求报文之后，为所述VM生成虚拟交换接口VSI虚接口，并在预先配置的信息关联表中记录所述VM对应的用户类标识与所述VM对应的VSI虚接口之间的对应关系；

所述接入设备从所述上联端口上下发的ACL中选择所述VM对应的用户类标识对应的ACL，并确定所述选择的ACL为所述VM对应的VSI虚接口对应的ACL。

2.如权利要求1所述的方法，其特征在于，所述VDP关联请求报文封装在链路层发现协议LLDP报文中，所述LLDP报文中还携带所述VM对应的介质访问控制MAC地址和/或虚拟局域网VLAN信息，且所述接入设备在所述信息关联表中记录所述VM对应的MAC地址和/或VLAN信息。

3.如权利要求1所述的方法，其特征在于，每个用户类标识对应一个或者多个ACL，且不同的用户类标识对应的ACL相同或者不同；每个VM被划分到一个或者多个用户类，且每个用户类对应一个用户类标识。

4.一种访问控制列表ACL下发的方法，该方法应用于包括接入设备、控制器和物理服务器的网络中，其中，所述物理服务器上配置有虚拟机VM，其特征在于，所述方法包括以下步骤：

所述控制器获得VM的标识与VM对应的用户类标识之间的对应关系；

所述控制器利用所述对应关系生成所述VM对应的流表；其中，所述流表中记录了所述VM的标识以及所述VM对应的用户类标识；

所述控制器将所述VM对应的流表下发给物理服务器，以使所述物理服务器利用所述流表向接入设备发送所述VM对应的虚拟交换接口发现和配置协议VDP关联请求报文，所述VDP关联请求报文中携带了所述VM对应的用户类标识，并使所述接入设备利用所述VM对应的用户类标识下发ACL。

5.如权利要求4所述的方法，其特征在于，所述VDP关联请求报文封装在链路层发现协议LLDP报文中，所述LLDP报文中还携带所述VM对应的介质访问控制MAC地址和/或虚拟局域网VLAN信息；每个用户类标识对应一个或者多个ACL，且不同的用户类标识对应的ACL相同或者不同；每个VM被划分到一个或者多个用户类，且每个用户类对应一个用户类标识。

6.一种接入设备，应用于包括接入设备、控制器和物理服务器的网络中，所述物理服务器上配置有虚拟机VM，其特征在于，所述接入设备具体包括：

获得模块，用于获得上联端口上下发的每个用户类标识分别对应的访问控制列表ACL；所述上联端口为接入设备上的与聚合设备连接的端口；

接收模块，用于接收来自物理服务器的VM对应的虚拟交换接口发现和配置协议VDP关联请求报文；所述VDP关联请求报文是物理服务器利用来自控制器的流表发送的，所述流表中记录了所述VM的标识和所述VM对应的用户类标识，所述VDP关联请求报文中携带了所述VM对应的用户类标识；

处理模块，用于在接收到所述VM对应的VDP关联请求报文之后，为所述VM生成虚拟交换接口VSI虚接口，并在预先配置的信息关联表中记录所述VM对应的用户类标识与所述VM对应的VSI虚接口之间的对应关系；

选择模块，用于从所述上联端口上下发的ACL中选择所述VM对应的用户类标识对应的ACL，并确定所述选择的ACL为所述VM对应的VSI虚接口对应的ACL。