端口安全策略扩散方法及装置与流程

本申请涉及网络通信
技术领域：
，特别涉及一种端口安全策略扩散方法及装置。
背景技术：
：san(storageareanetwork，存储区域网络)是一种提供服务器与存储设备之间数据传输的专用网络。fc(fiberchannel，光纤通道)协议是san的一种常用的实现协议，san中的服务器与存储设备通过fc交换机组成的网络相连，来实现数据通信。技术实现要素：有鉴于此，本申请提供一种端口安全策略扩散方法及装置。具体地，本申请是通过如下技术方案实现的：一方面，提供了一种端口安全策略扩散方法，该方法应用于san中的交换机，该方法包括：检测本地的策略数据库中的端口安全策略是否发生了变化；若发生了变化，则将变化后策略数据库中的端口安全策略携带在spsp报文中，发送给san中除本设备以外的其它交换机，以使其它交换机暂存该spsp报文中携带的端口安全策略；在策略数据库中的所有端口安全策略均发送完毕后，向其它交换机发送upsp报文，以使其它交换机将策略数据库中的端口安全策略更新为暂存的端口安全策略。另一方面，还提供了一种端口安全策略扩散装置，该装置应用于san中的交换机中，该装置包括：检测单元，用于检测本地的策略数据库中的端口安全策略是否发生了变化；发送单元，用于若检测单元检测出本地的策略数据库中的端口安全策略发生了变化，则将变化后策略数据库中的端口安全策略携带在spsp报文中，发送给san中除本设备以外的其它交换机，以使其它交换机暂存该spsp报文中携带的端口安全策略；还用于在策略数据库中的所有端口安全策略均发送完毕后，向其它交换机发送upsp报文，以使其它交换机将策略数据库中的端口安全策略更新为暂存的端口安全策略。通过本申请的以上技术方案，san中的任一交换机在检测到策略数据库中的端口安全策略发生了变化时，会自动将变化后策略数据库中的所有端口安全策略扩散给其它交换机，以便更新其它交换机上的策略数据库中的端口安全策略，从而实现了端口安全策略的自动扩散，无需通过配置命令来触发端口安全策略的扩散，减轻了配置工作量。附图说明图1是本申请实施例的端口安全策略扩散方法的流程图；图2是本申请实施例的san的网络示意图；图3是在图2所示的san中加入了一个服务器的网络示意图；图4是一种实施例的图2中的交换机1_1的策略数据库中的端口安全策略发生了变化时的端口安全策略扩散方法的报文交互图；图5是另一种实施例的图2中的交换机1_1的策略数据库中的端口安全策略发生了变化时的端口安全策略扩散方法的报文交互图；图6是又一种实施例的图2中的交换机1_1的策略数据库中的端口安全策略发生了变化时的端口安全策略扩散方法的报文交互图；图7是本申请实施例的端口安全策略扩散装置所在交换机的硬件结构示意图；图8是本申请实施例的端口安全策略扩散装置的一种结构示意图；图9是本申请实施例的端口安全策略扩散装置的另一种结构示意图；图10是本申请实施例的端口安全策略扩散装置的又一种结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。端口安全(portsecurity)技术可以通过在fc交换机上配置端口安全策略，实现将交换机端口与直连的服务器、存储设备或fc交换机一一绑定。端口安全策略中包括：交换机端口wwn(worldwidename，全球唯一名字)、设备端口wwn、以及action(执行动作)。其中，交换机端口wwn用于标识fc交换机上的端口；设备端口wwn用于标识与该交换机端口直连的接入设备上的端口，该接入设备可以是服务器、存储设备或fc交换机等；action具体为permit(接受)或deny(拒绝)，permit表示允许该设备端口连接该交换机端口，即允许该接入设备通过该交换机端口加入san，而deny表示拒绝该设备端口连接该交换机端口，即拒绝该接入设备通过该交换机端口加入san。通过在fc交换机上配置针对某一交换机端口的端口安全策略，能够实现只有该端口安全策略允许的接入设备才能通过该交换机端口加入san，与san中的其它设备通信，从而确保了san的网络安全。为了避免不同fc交换机上的端口安全策略不一致，导致某一fc交换机允许某一接入设备加入san，而另一fc交换机却拒绝该接入设备加入san等问题的出现，fc交换机需要将本地的端口安全策略扩散给其它fc交换机，从而实现san中所有fc交换机上的端口安全策略的一致性。目前，通常采用手动静态配置的方式，在fc交换机上配置命令，从而使得该fc交换机将本地的端口安全策略扩散给其它fc交换机。这种扩散方法由于需要在fc交换机上配置命令来触发端口安全策略的扩散，增加了配置工作量。为了解决上述问题，本申请以下实施例中提供了一种端口安全策略扩散方法，以及一种可以应用该方法的装置。本申请实施例的端口安全策略扩散方法可以由san中的任一交换机来执行，如图1所示，该方法包括以下步骤：步骤s101，检测本地的策略数据库中的端口安全策略是否发生了变化，若发生了变化，则执行步骤s102，否则，返回步骤s101；在实际实施过程中，交换机上的端口安全策略保存在策略数据库中。当与该交换机直连的接入设备发生了新增或减少时，策略数据库中的端口安全策略会随之发生变化，或者，当采用手动静态配置的方式添加或删除端口安全策略时，策略数据库中的端口安全策略也会发生变化。交换机会实时检测本地的策略数据库的变化情况。步骤s102，将变化后策略数据库中的端口安全策略携带在spsp(stageportsecuritypolicy，筹集端口安全策略)报文中，发送给san中除本设备以外的其它交换机，以使其它交换机暂存该spsp报文中携带的端口安全策略；步骤s103，在本地的策略数据库中的所有端口安全策略均发送完毕后，向其它交换机发送upsp(updateportsecuritypolicy，更新端口安全策略)报文，以使其它交换机将策略数据库中的端口安全策略更新为暂存的端口安全策略。本申请上述实施例的方法中，san中的任一交换机在检测到策略数据库中的端口安全策略发生了变化时，会自动将变化后策略数据库中的所有端口安全策略扩散给其它交换机，以便更新其它交换机上的策略数据库中的端口安全策略，从而实现了端口安全策略的自动扩散，无需通过配置命令来触发端口安全策略的扩散，减轻了配置工作量。为了实现端口安全策略的扩散，本申请实施例中定义了四种报文：alps(acquirelockforportsecurity，端口安全策略加锁)报文、rlps(releaselockforportsecurity，端口安全策略解锁)报文、spsp报文、以及upsp报文，分别对这四种报文介绍如下：alps报文alps报文用于指示交换机将策略数据库锁定。交换机上的策略数据库被锁定后，当与该交换机直连的接入设备发生了变化，例如，新增或减少时，不允许更新该策略数据库中的端口安全策略，另外，也不允许采用手动静态配置的方式更新该策略数据库中的端口安全策略。alps报文的结构如表1-1或表1-2所示：表1-1字段名称字段长度(字节)commandcode4由表1-1可以看出，alps报文中主要包括：报文类型(commandcode)字段，该字段用于标识该报文的类型，例如，当该字段的值置为70000000h时，用于标识该报文的类型为alps报文。表1-2由表1-2可以看出，alps报文中除了包括报文类型(commandcode)字段以外，还包括以下字段：域id列表长度(domain_idlistlength)用于指示该alps报文携带的域id列表中的域id数量；在san中，一台交换机以及与该交换机直连的服务器和/或存储设备形成一个域，通过域id唯一标识；每台交换机上均保存一个域id列表，其中存储有该交换机学习到的域id。域标识(domain_id)用于携带域id列表中的一个域id。在实际实施过程中，根据实际需求，alps报文的结构可以如表1-1所示，即，alps报文中仅包括commandcode字段，而不包括domain_idlistlength字段和domain_id字段；或者，alps报文的结构也可以如表1-2所示，即，alps报文中不仅包括commandcode字段，还包括domain_idlistlength字段和domain_id字段；本申请实施例对此不做限定。当需要扩散端口安全策略时，发起扩散的交换机可以先向其它交换机发送alps报文，以使其它交换机将策略数据库锁定，然后，再将需要扩散的端口安全策略携带在spsp报文中发送给其它交换机。其中，在不需要考虑当前san是否稳定的应用场景中，发起扩散的交换机发送的alps报文中仅包括commandcode字段，其它交换机接收到该alps报文后，直接将策略数据库锁定。另一种应用场景中，在需要考虑当前san是否稳定时，发起扩散的交换机发送的alps报文中不仅包括commandcode字段，还包括domain_idlistlength字段和domain_id字段，即，发起扩散的交换机会通过alps报文将本设备学习的域id列表发送给其它交换机，其它交换机接收到该alps报文后，将该alps报文中携带的域id列表与本地保存的域id列表进行比较，在比较结果为相同时，才将策略数据库锁定。若确定所有其它交换机都将策略数据库锁定，说明当前san是一个稳定的网络，则发起扩散的交换机才将需要扩散的端口安全策略携带在spsp报文中发送给其它交换机，从而确保在一个稳定的san中扩散端口安全策略。rlps报文rlps报文用于指示交换机解除对策略数据库的锁定。rlps报文的结构如表2所示：表2字段名称字段长度(字节)commandcode4由表2可以看出，rlps报文中只需包括用于标识该报文的类型的报文类型(commandcode)字段即可，例如，当该字段的值置为70000001h时，用于标识该报文的类型为rlps报文。spsp报文spsp报文用于携带需要扩散的端口安全策略。spsp报文的结构如表3所示：表3由表3可以看出，spsp报文中主要包括以下字段：报文类型(commandcode)用于标识该报文的类型，例如，当该字段的值置为70000002h时，用于标识该报文的类型为spsp报文；端口安全策略项数(portsecuritypolicyentrynumber)用于指示该spsp报文中携带的端口安全策略的数量；端口安全策略项(portsecuritypolicyentry)用于携带一条端口安全策略，其中，该端口安全策略中的交换机端口wwn和设备端口wwn可以各占用8字节，action可以占用4字节。upsp报文upsp报文用于指示交换机将策略数据库中的端口安全策略更新为接收到的spsp报文中携带的端口安全策略，从而使得通过spsp报文扩散来的端口安全策略生效。upsp报文的结构如表2所示，由表2可以看出，upsp报文中只需包括用于标识该报文的类型的报文类型(commandcode)字段即可，例如，当该字段的值置为70000003h时，用于标识该报文的类型为upsp报文。以如图2所示的san为例，详细说明本申请实施例的端口安全策略扩散方法。如图2所示，san网络中包括：交换机1_1、交换机1_2、交换机1_3、交换机1_4、服务器2_1、存储设备3_1、以及存储设备3_2。交换机1_1、交换机1_2、交换机1_3、交换机1_4上的策略数据库中均保存了全网所有的端口安全策略，如表5所示：表5交换机端口wwn设备端口wwnactionp1_1_ap2_1_apermitp1_1_cp1_2_apermitp1_1_dp1_3_apermitp1_2_ap1_1_cpermitp1_2_bp3_2_apermitp1_3_ap1_1_dpermitp1_3_bp1_4_apermitp1_4_ap1_3_bpermitp1_4_bp3_1_apermit如图3所示，当服务器2_2通过交换机1_1上的端口p1_1_b加入了san中时，交换机1_1的策略数据库中会新增对应的端口安全策略，交换机1_1上的策略数据库更新为如表6所示，新增的端口安全策略参见表6第3行。表6交换机端口wwn设备端口wwnactionp1_1_ap2_1_apermitp1_1_bp2_2_apermitp1_1_cp1_2_apermitp1_1_dp1_3_apermitp1_2_ap1_1_cpermitp1_2_bp3_2_apermitp1_3_ap1_1_dpermitp1_3_bp1_4_apermitp1_4_ap1_3_bpermitp1_4_bp3_1_apermit一种实施例中，本申请实施例的端口安全策略扩散方法如图4所示，包括以下步骤：步骤s201，交换机1_1检测到本地的策略数据库中新增了端口安全策略时，将变化后策略数据库中的端口安全策略携带在spsp报文中发送给交换机1_2、交换机1_3、交换机1_4；从而，交换机1_1将如表6所示的策略数据库中的端口安全策略携带在如表3所示的spsp报文中发送给其它交换机，其中，spsp报文中的每一个portsecuritypolicyentry字段中携带一个端口安全策略。步骤s202，交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的spsp报文后，暂存该spsp报文中携带的端口安全策略；具体的，可以将该spsp报文中携带的端口安全策略暂存到缓存等存储介质中。另外，在暂存完毕后，还可以回应用于指示暂存完成的spspacc(接受)报文给交换机1_1。步骤s203，在本地的策略数据库中的所有端口安全策略均发送完毕后，交换机1_1发送upsp报文给交换机1_2、交换机1_3、交换机1_4；具体的，在步骤s203中，交换机1_1可以在本地的策略数据库中的所有端口安全策略均发送完毕，且接收到交换机1_2、交换机1_3、交换机1_4中的所有交换机回应的spspacc报文后，向交换机1_2、交换机1_3、交换机1_4发送upsp报文，从而保证这些交换机上的端口安全策略的统一更新。步骤s204，交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的upsp报文后，将本地的策略数据库中的端口安全策略更新为暂存的端口安全策略。从而，交换机1_2、交换机1_3、交换机1_4上的策略数据库更新为了如表6所示。另外，交换机1_2、交换机1_3、交换机1_4中的每一个交换机在完成了对策略数据库中的端口安全策略的更新后，还可以回应用于指示更新完成的upspacc报文给交换机1_1。通过上述步骤s201至步骤s204，交换机1_1上的策略数据库中的端口安全策略发生了变化时，可以将变化后的策略数据库中的所有端口安全策略扩散给其它交换机，从而实现了san中的交换机上的端口安全策略的一致性。另一种实施例中，本申请实施例的端口安全策略扩散方法如图5所示，包括以下步骤：步骤s301，交换机1_1检测到本地的策略数据库中新增了端口安全策略时，向交换机1_2、交换机1_3、交换机1_4发送alps报文，其中，该alps报文中仅包含commandcode字段；步骤s302，交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的alps报文后，将本地的策略数据库锁定，策略数据库被锁定后，不允许更新该策略数据库中的端口安全策略；另外，交换机1_2、交换机1_3、交换机1_4中的每一个交换机在将策略数据库锁定时，还会回应用于指示接受锁定的alpsacc报文。步骤s303，交换机1_1接收到交换机1_2、交换机1_3、交换机1_4中的所有交换机回应的alpsacc报文后，将变化后策略数据库中的端口安全策略携带在spsp报文中发送给交换机1_2、交换机1_3、交换机1_4；从而，交换机1_1将如表6所示的策略数据库中的端口安全策略携带在如表3所示的spsp报文中发送给其它交换机，其中，spsp报文中的每一个portsecuritypolicyentry字段中携带一个端口安全策略。步骤s304，交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的spsp报文后，暂存该spsp报文中携带的端口安全策略；具体的，可以将该spsp报文中携带的端口安全策略暂存到缓存等存储介质中。另外，在暂存完毕后，还可以回应用于指示暂存完成的spspacc报文给交换机1_1。步骤s305，在本地的策略数据库中的所有端口安全策略均发送完毕后，交换机1_1发送upsp报文给交换机1_2、交换机1_3、交换机1_4；具体的，在步骤s305中，交换机1_1可以在本地的策略数据库中的所有端口安全策略均发送完毕，且接收到交换机1_2、交换机1_3、交换机1_4中的所有交换机回应的spspacc报文后，向交换机1_2、交换机1_3、交换机1_4发送upsp报文，从而保证这些交换机上的端口安全策略的统一更新。步骤s306，交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的upsp报文后，将本地的策略数据库中的端口安全策略更新为暂存的端口安全策略。从而，交换机1_2、交换机1_3、交换机1_4上的策略数据库更新为了如表6所示。另外，交换机1_2、交换机1_3、交换机1_4中的每一个交换机在完成了对策略数据库中的端口安全策略的更新后，还可以回应用于指示更新完成的upspacc报文给交换机1_1。步骤s307，交换机1_1在接收到交换机1_2、交换机1_3、交换机1_4中所有交换机发来的upspacc报文后，向这些交换机发送rlps报文；步骤s308，交换机1_2、交换机1_3、交换机1_4中每一个交换机接收到交换机1_1发来的rlps报文后，解除对本地的策略数据库的锁定，解除锁定后，允许更新该策略数据库中的端口安全策略。另外，交换机1_2、交换机1_3、交换机1_4中每一个交换机在解除对策略数据库的锁定时，还可以回应用于指示接受解锁的rlpsacc报文给交换机1_1。通过上述步骤s301至步骤s308，交换机1_1上的策略数据库中的端口安全策略发生了变化时，可以将变化后的策略数据库中的所有端口安全策略扩散给其它交换机，从而实现了san中的交换机上的端口安全策略的一致性。另外，在扩散前，交换机1_1先向其它交换机发送alps报文，使得其它交换机将策略数据库锁定，然后再扩散端口安全策略，扩散完成后，再向其它交换机发送rlps报文，使得其它交换机解锁策略数据库，这样，可以避免其它交换机上策略数据库中的端口安全策略在扩散过程中发生变化，导致多个交换机同时进行端口安全策略扩散的混乱情况。又一种实施例中，交换机1_1所属域的域id为domain1、交换机1_2所属域的域id为domain2、交换机1_3所属域的域id为domain3、交换机1_4所属域的域id为domain4。本申请实施例的端口安全策略扩散方法如图6所示，包括以下步骤：步骤s401，交换机1_1在检测到本地的策略数据库中新增了端口安全策略时，向交换机1_2、交换机1_3、交换机1_4发送alps报文，其中，该alps报文中包含commandcode字段，并且，携带有交换机1_1上保存的域id列表，该列表中包括：domain1、domain2、domain3、domain4；步骤s402，交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的alps报文后，将该alps报文中携带的域id列表与本地保存的域id列表进行比较，若相同，则回应用于指示接受锁定的alpsacc报文，并将本地的策略数据库锁定；反之，若不相同，则回应用于指示拒绝锁定的alpsrjt(拒绝)报文；步骤s403，交换机1_1在接收到交换机1_2、交换机1_3、交换机1_4中的所有交换机回应的alpsacc报文后，将变化后策略数据库中的端口安全策略携带在spsp报文中发送给交换机1_2、交换机1_3、交换机1_4；从而，交换机1_1将如表6所示的策略数据库中的端口安全策略携带在如表3所示的spsp报文中发送给其它交换机，其中，spsp报文中的每一个portsecuritypolicyentry字段中携带一个端口安全策略。另外，若接收到了交换机1_2、交换机1_3、交换机1_4中任一交换机回应的alpsrjt报文，假设，交换机1_2回应了alpsrjt报文，而交换机1_3、交换机1_4回应了alpsacc报文，则端口安全策略扩散发起失败，交换机1_1会向回应alpsacc报文的交换机1_3、交换机1_4发送rlps报文，以使交换机1_3、交换机1_4解除对本地的策略数据库的锁定。后续，交换机1_1可以再次执行步骤s401，以发起端口安全策略扩散。步骤s404，交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的spsp报文后，暂存该spsp报文中携带的端口安全策略；具体的，可以将该spsp报文中携带的端口安全策略暂存到缓存等存储介质中。另外，在暂存完毕后，还可以回应用于指示暂存完成的spspacc报文给交换机1_1。步骤s405，在本地的策略数据库中的所有端口安全策略均发送完毕后，交换机1_1发送upsp报文给交换机1_2、交换机1_3、交换机1_4；具体的，在步骤s405中，交换机1_1可以在本地的策略数据库中的所有端口安全策略均发送完毕，且接收到交换机1_2、交换机1_3、交换机1_4中的所有交换机回应的spspacc报文后，向交换机1_2、交换机1_3、交换机1_4发送upsp报文，从而保证这些交换机上的端口安全策略的统一更新。步骤s406，交换机1_2、交换机1_3、交换机1_4中的每一个交换机在接收到交换机1_1发来的upsp报文后，将本地的策略数据库中的端口安全策略更新为暂存的端口安全策略。从而，交换机1_2、交换机1_3、交换机1_4上的策略数据库更新为了如表6所示。另外，交换机1_2、交换机1_3、交换机1_4中的每一个交换机在完成了对策略数据库中的端口安全策略的更新后，还可以回应用于指示更新完成的upspacc报文给交换机1_1。步骤s407，交换机1_1在接收到交换机1_2、交换机1_3、交换机1_4中所有交换机发来的upspacc报文后，向这些交换机发送rlps报文；步骤s408，交换机1_2、交换机1_3、交换机1_4中每一个交换机接收到交换机1_1发来的rlps报文后，解除对本地的策略数据库的锁定，后续，允许更新该策略数据库中的端口安全策略。另外，交换机1_2、交换机1_3、交换机1_4中每一个交换机在解除对策略数据库的锁定时，还可以回应用于指示接受解锁的rlpsacc报文给交换机1_1。通过上述步骤s401至步骤s408，交换机1_1上的策略数据库中的端口安全策略发生了变化时，可以将变化后的策略数据库中的所有端口安全策略扩散给其它交换机，从而实现了san中的交换机上的端口安全策略的一致性。另外，在扩散前，交换机1_1先向其它交换机发送alps报文，使得其它交换机将策略数据库锁定，然后再扩散端口安全策略，扩散完成后，再向其它交换机发送rlps报文，使得其它交换机解锁策略数据库，这样，可以避免其它交换机上策略数据库中的端口安全策略在扩散过程中发生变化，导致多个交换机同时进行端口安全策略扩散的混乱情况。而且，交换机1_1在alps报文中携带域id列表发送给其它交换机，其它交换机将该alps报文中携带的域id列表与本地保存的域id列表进行比较，若比较结果为相同，则将策略数据库锁定并回应alpsacc报文，否则，回应alpsrjt报文，若交换机1_1接收到了所有其它交换机发来的alpsacc报文，则确定san中所有交换机上的域id列表均相同，说明当前san是一个稳定的网络，确保在一个稳定的san中扩散端口安全策略。与前述端口安全策略扩散方法的实施例相对应，本申请还提供了端口安全策略扩散装置的实施例。本申请端口安全策略扩散装置60的实施例可以应用在san中的交换机上。从硬件层面而言，如图7所示，本申请端口安全策略扩散装置60所在交换机的中包括：处理器10、内部总线20、网络接口30、内存40、以及非易失性存储器50，此外，根据该交换机的实际功能，还可以包括其他硬件，对此不再赘述。本申请端口安全策略扩散装置60的实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，本申请端口安全策略扩散装置60可以作为一个逻辑意义上的装置来实现。具体的，交换机中的处理器10(可以为cpu)将非易失性存储器50中的计算机程序指令读取到内存40中运行，从而形成了用于实现上述端口安全策略扩散方法中的步骤功能的端口安全策略扩散装置60，即，端口安全策略扩散装置60可以执行上述端口安全策略扩散方法中的操作步骤。请参考图8，本申请实施例中的端口安全策略扩散装置60中包括以下单元：检测单元601和发送单元602，其中：检测单元601，用于检测本地的策略数据库中的端口安全策略是否发生了变化；发送单元602，用于若检测单元601检测出本地的策略数据库中的端口安全策略发生了变化，则将变化后策略数据库中的端口安全策略携带在spsp报文中，发送给san中除本设备以外的其它交换机，以使其它交换机暂存该spsp报文中携带的端口安全策略；还用于在策略数据库中的所有端口安全策略均发送完毕后，向其它交换机发送upsp报文，以使其它交换机将策略数据库中的端口安全策略更新为暂存的端口安全策略。如图9所示，本申请实施例中的端口安全策略扩散装置60中还包括：第一接收单元603、暂存单元604和更新单元605，其中：第一接收单元603，用于接收spsp报文和upsp报文；暂存单元604，用于暂存第一接收单元603接收到的spsp报文中携带的端口安全策略；更新单元605，用于在第一接收单元603接收到upsp报文后，将本地的策略数据库中的端口安全策略更新为暂存单元604暂存的端口安全策略。如图10所示，本申请实施例中的端口安全策略扩散装置60中还包括：第二接收单元606和锁定单元607，其中：发送单元602，还用于在将变化后策略数据库中的端口安全策略携带在spsp报文中，发送给san中除本设备以外的其它交换机之前，向其它交换机发送alps报文，以使其它交换机将策略数据库锁定；第二接收单元606，用于接收alps报文；锁定单元607，用于在第二接收单元606接收到alps报文后，将本地的策略数据库锁定。其中，alps报文中携带发出该alps报文的交换机上保存的域id列表；锁定单元607具体用于通过以下方式将策略数据库锁定：将第二接收单元606接收到的alps报文中携带的域id列表与本地保存的域id列表进行比较，若相同，则将策略数据库锁定，并回应用于指示接受锁定的alpsacc报文；发送单元602具体用于通过以下方式将变化后策略数据库中的端口安全策略携带在spsp报文中发送给其它交换机：若接收到了所有其它交换机回应的alpsacc报文，则将变化后策略数据库中的端口安全策略携带在spsp报文中发送给每个其它交换机。其中，发送单元602，还用于在确定其它交换机完成了对策略数据库中的端口安全策略的更新时，向其它交换机发送rlps报文，以使其它交换机解除策略数据库的锁定；第二接收单元606，还用于接收rlps报文；锁定单元607，还用于在第二接收单元606接收到rlps报文后，解除本地的策略数据库的锁定。在实际实施过程中，第一接收单元603和第二接收单元606可以为两个独立的单元，也可以集成到一个单元中来实现，本申请实施例对此不做限定。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。当前第1页12