[发明专利]一种数据中心的网络报文控制方法和装置

权利要求书

1.一种数据中心的网络报文控制方法，其特征在于，包括执行以下步骤：

使每个用户节点的网卡在上电时从远端服务器接收管理数据包，并基于所述管理数据包生成并禁用访问控制列表；

在每个所述用户节点上执行安全检查，并响应于所述安全检查结束且确定所述用户节点安全而启用所述访问控制列表；

基于所述访问控制列表中记载的匹配规则使用所述网卡的硬件芯片来选择性地传输或丢弃发送到每个所述用户节点上的数据流报文。

2.根据权利要求1所述的方法，其特征在于，每个所述用户节点的所述网卡在上电时从所述远端服务器接收所述管理数据包，并基于所述管理数据包生成并禁用访问控制列表包括：

在接收所述管理数据包的同时还接收业务数据包，其中所述管理数据包和所述业务数据包在媒体接入控制层具有不同的虚拟局域网标识；

使所述网卡基于不同的所述虚拟局域网标识来区分所述管理数据包和所述业务数据包，并基于所述管理数据包生成所述访问控制列表。

3.根据权利要求1所述的方法，其特征在于，禁用所述访问控制列表包括：

由所述网卡将所述访问控制列表设置在旁路模式，使得所述访问控制列表不处理发送到每个所述用户节点上的所述数据流报文。

4.根据权利要求1所述的方法，其特征在于，所述匹配规则包括报文标识和与所述报文标识相对应的传输或丢弃标记；

基于所述访问控制列表中记载的匹配规则使用所述网卡的硬件芯片来选择性地传输或丢弃发送到每个所述用户节点上的数据流报文包括：响应于所述网卡根据所述数据流报文在所述匹配规则中匹配到所述报文标识，而根据与所述报文标识相对应的所述传输或丢弃标记来选择性地传输或丢弃所述数据流报文。

5.根据权利要求4所述的方法，其特征在于，所述匹配规则还包括与所述报文标识相对应的匹配项目标记；所述匹配项目标记包括以下至少之一：所述数据流报文的原始端口、目的端口、数据序号、确认序号、窗口字段、紧急指针；

所述网卡根据所述数据流报文在所述匹配规则中匹配到所述报文标识包括：根据所述数据流报文中的一种或多种匹配项目标记在所述匹配规则中匹配到所述报文标识。

6.一种数据中心的网络报文控制装置，其特征在于，包括：

生成模块，配置为使每个用户节点的网卡在上电时从远端服务器接收管理数据包，并基于所述管理数据包生成并禁用访问控制列表；

启用模块，配置为在每个所述用户节点上执行安全检查，并响应于所述安全检查结束且确定所述用户节点安全而启用所述访问控制列表；

过滤模块，配置为基于所述访问控制列表中记载的匹配规则使用所述网卡的硬件芯片来选择性地传输或丢弃发送到每个所述用户节点上的数据流报文。

7.根据权利要求6所述的装置，其特征在于，所述生成模块进一步配置为：在接收所述管理数据包的同时还接收业务数据包，其中所述管理数据包和所述业务数据包在媒体接入控制层具有不同的虚拟局域网标识；使所述网卡基于不同的所述虚拟局域网标识来区分所述管理数据包和所述业务数据包，并基于所述管理数据包生成所述访问控制列表。

8.根据权利要求6所述的装置，其特征在于，所述生成模块进一步配置为：由所述网卡将所述访问控制列表设置在旁路模式，使得所述访问控制列表不处理发送到每个所述用户节点上的所述数据流报文。

9.根据权利要求6所述的装置，其特征在于，所述匹配规则包括报文标识和与所述报文标识相对应的传输或丢弃标记；

所述过滤模块进一步配置为：响应于所述网卡根据所述数据流报文在所述匹配规则中匹配到所述报文标识，而根据与所述报文标识相对应的所述传输或丢弃标记来选择性地传输或丢弃所述数据流报文。

10.一种数据中心，其特征在于，包括：

多个用户节点，分别安装有网卡并通过所述网卡接收数据流报文；

远端服务器，通信连接到每个所述用户节点的所述网卡，用于生成访问控制列表并以所述管理数据包的形式将所述访问控制列表发送到每个所述用户节点，

其中，所述用户节点配置为：由每个用户节点的网卡在上电时从远端服务器接收管理数据包，并基于所述管理数据包生成并禁用访问控制列表；在每个所述用户节点上执行安全检查，并响应于所述安全检查结束且确定所述用户节点安全而启用所述访问控制列表；基于所述访问控制列表中记载的匹配规则使用所述网卡的硬件芯片来选择性地传输或丢弃发送到每个所述用户节点上的数据流报文。