专利名称:安全策略迁移的方法、装置和系统的制作方法
技术领域:
本发明涉及光网络领域,尤其涉及一种安全策略迁移的方法、装置和系统。
背景技术:
虚拟化数据中心由计算、存储、网络三种资源深度融合而成,因此主机虚拟化技术能够顺利实现必须由合适的网络安全策略与之匹配,否则一切都无从谈起。虚拟化数据中心出现较早,主要包括集群计算等技术,以提升计算性能为主;而主机虚拟化技术主要是近几年出现的在一台物理X86系统上的多操作系统同时并存的技术,以缩短业务部署时间, 提高资源使用效率为主要目的。虚拟化数据中心给网络安全带来了一些挑战,尤其是虚拟机的迁移,计算集群主机的加入与离开等都是传统数据中心所没有的。虚拟化数据中心的最大挑战就是网络安全策略要跟随虚拟机自动迁移。在创建虚拟机或虚拟机迁移时,虚拟机主机需要能够正常运行,除了服务器上的资源合理调度,其网络连接的合理调度也是必需的。数据中心网络一般都采用扁平化的组网方式,是大二层网络,和虚拟化相结合的二层网络安全技术也是虚拟化数据中心网络建设的重要关注点。在传统二层网络安全技术下,网络安全策略无法随虚拟机的迁移而自动迁移。 目前比较常见的基于网管或者虚拟机发现和配置协议(英文全称Virtual Station Interface Discovery and Configuration Protocol,简称:VDP)的虚拟机迁移方案中,网络安全策略的迁移相对于虚拟机的迁移存在一定的滞后性。
发明内容
本发明实施例提供了一种安全策略迁移的方法、装置和系统,可以实现安全策略配置随虚拟机迁移而迁移。一方面,本发明实施提供了一种安全策略迁移的方法,所述方法包括数据中心接入交换机接收迁入虚拟机的服务器发送的虚拟机发现和配置协议VDP 关联消息;根据所述VDP关联消息,将VDP关联状态设置为关联;获取所述虚拟机的配置信息,并根据所述配置信息生成安全策略;当所述虚拟机迁出所述服务器时,接收所述服务器发送的VDP解关联消息,并根据所述VDP解关联消息,将所述VDP关联状态设置为解关联;删除所述虚拟机的所述安全策略。另一方面,本发明实施例提供了一种安全策略迁移的装置,所述装置包括接收器,用于接收迁入虚拟机的服务器发送的虚拟机发现和配置协议VDP关联消息;关联单元,用于根据所述VDP关联消息,将VDP关联状态设置为关联;生成单元,用于获取所述虚拟机的配置信息,并根据所述配置信息生成安全策略;
4
解关联单元,用于当所述虚拟机迁出所述服务器时,接收所述服务器发送的VDP 解关联消息,并根据所述VDP解关联消息,将所述VDP关联状态设置为解关联;删除单元,用于删除所述虚拟机的所述安全策略。第三方面,本发明实施例提供了一种包括上述安全策略迁移的装置的系统。本发明上述实施例中,虚拟机迁入服务器时,虚拟机和与服务器直接相连的数据中心接入交换机VDP关联,数据中心接入交换机获取该虚拟机的配置信息,下发虚拟机的安全策略;所述虚拟机迁出时,虚拟机和与服务器直接相连的数据中心接入交换机VDP解关联,所述数据中心接入交换删除所述虚拟机的安全策略,实现了安全策略的下发和删除与VDP关联和解关联紧密相连,无需人工配置,而且解决了现有技术中安全策略的迁移相对虚拟机的迁移滞后的问题,节省了大量的时间成本和经济成本。
图1为本发明实施例提供的安全策略迁移的方法流程图;图2为本发明实施例中的服务器和数据中心接入交换机之间传输的VDP报文的报文格式;图3为本发明实施例中的服务器和数据中心接入交换机之间VDP关联的时序图;图4为本发明实施例提供的安全策略迁移的架构图;图5为本发明实施例提供的另一种安全策略迁移的方法流程图;图6为本发明实施例提供的安全策略迁移的装置示意图。
具体实施例方式本发明实施例提供了一种安全策略迁移的方法、装置和系统。其中,虚拟机迁入服务器时,虚拟机和与所述服务器直接相连的数据中心接入交换机VDP关联,数据中心接入交换机下发虚拟机的安全策略,所述虚拟机迁出服务器时,虚拟机和与所述服务器直接相连的数据中心接入交换机VDP解关联,所述数据中心接入交换机删除所述虚拟机的安全策略,实现了安全策略的下发和删除与VDP关联和解关联紧密相连,无需人工配置,而且解决了现有技术中安全策略的迁移相对虚拟机的迁移滞后的问题,节省了大时间成本和经济成本。下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。图1为本发明实施例提供的安全策略迁移的方法流程图。如图1所示,本实施例包括以下步骤步骤101,数据中心接入交换机(TOR设备)接收迁入虚拟机的服务器发送的VDP
关联消息。优选地,所述服务器包括第一 VSI状态机;所述数据中心接入交换机包括第二 VSI 状态机。可选地,VSI状态机是一个状态转移图,确切地说是一个有向图形,由一组节点和一组相应的转移函数组成,用于描述虚拟接口(Virtual Station hterface,VSI)状态。 例如,服务器中的第一 VSI状态机用于设置服务器和虚拟机的VDP关联状态及其变化,数据中心接入交换机中的第二 VSI状态机用于设置数据中心接入交换机与虚拟机的VDP关联状
5态及其变化。优选地,与服务器网卡直接连接的TOR设备接收该迁入虚拟机(VM)的服务器发送的VDP关联消息。步骤102,TOR设备根据所述VDP关联消息,将VDP关联状态设置为关联。优选地,所述根据所述VDP关联消息,将VDP关联状态设置为关联之前还包括接收所述服务器在所述第一 VSI状态机设置VDP关联状态为VDP预关联后发送的VDP预关联消息,将所述第一 VSI状态机的VDP关联状态设置为预关联。优选地,所述根据所述VDP关联消息,将VDP关联状态设置为关联具体为接收所述服务器在所述第一 VSI状态机设置VDP关联状态为关联后发送的VDP关联消息,将所述第二 VSI状态机的VDP关联状态设置为关联。可选地,TOR设备接收到迁入虚拟机的服务器发送的VDP关联消息后,通过设置第二 VSI状态机的VSI状态参数为关联,来实现将所述第二 VSI状态机的VDP关联状态设置为关联。其中,步骤101和102为进行VDP关联的过程。步骤103,TOR设备获取所述虚拟机的配置信息,并根据所述配置信息生成安全策略。可选地,TOR设备根据获取的所述虚拟机的配置信息,生成所述虚拟机的安全策略,并将所述安全策略下发到TOR设备自身的芯片中。对于所述服务器中迁入的所述虚拟机,TOR设备VDP关联成功后,TOR设备解析所述虚拟机发送的VDP报文,并从所述VDP报文中获取所述虚拟机的配置信息。根据所述配置信息,TOR设备下发安全策略,所述安全策略包括虚拟机的MAC信息、VLAN信息及虚拟机接入TOR设备的端口信息。步骤104,所述虚拟机迁出所述服务器时,TOR设备接收所述服务器发送的VDP解关联消息,并根据所述VDP解关联消息,将所述VDP关联状态设置为解关联。 优选地,根据所述VDP解关联消息,所述TOR设备中的所述第二 VSI状态机将VSI 状态参数设置为解关联。其中,步骤104为进行VDP解关联的过程。步骤105,TOR设备删除所述虚拟机的所述安全策略。优选地,所述虚拟机的配置信息包括所述虚拟机的MAC信息、VLAN信息和所述虚拟机接入所述TOR设备的端口信息;或者包括所述虚拟机的IP地址信息、MAC信息、VLAN信息和所述虚拟机接入所述TOR设备的端口信息。优选地,所述TOR设备代表一种数据中心接入交换机,支持VDP协议。本发明实施例中只是用TOR设备来代表数据中心接入交换机,所有支持VDP协议的设备都在本发明的保护范围内。图2为本发明实施例中的服务器和数据中心接入交换机之间传输的VDP报文的报文格式。如图2所示,VDP报文中各个参数的含义如下TLV type用来标识VSI TLV的类型。TLV information string length 用来标识 VSI TLV 信息字符串的长度。OUI 用来标识 EVB 系列协议(EVB,CDCP,ECP 和 VDP)。
Subtype用来标识VSI TLV的子类型。Subtype值为0x0002时,标识TLV类型为 VDP TLV0Mode用来标识TLV的模式。Mode包含两个字节第一个字节用来标识预关联、关联、去关联等状态,或拒绝或者确认某个状态的响应;第二个字节用于标识拒绝关联或者预关联状态的原因。Mode可以区分VSI TLV,从而控制控制服务器中的第一 VSI状态机和与服务器网卡相连的接入交换机中的状态机的状态参数的变化。VSI Mgr ID用来标识包含VSI类型或/和实例定义的VSI管理数据库。VSI Type ID用来标识VSI类型的ID信息。VSI Type ID Version用来标识VSI类型ID的预期的/要求的版本。VSI Instance ID用来标识连接实例的唯一的ID信息。该ID信息与IETFRFC 4122
保持一致。MAC/VLAN Format用来标识TLV中的MAC和VLAN信息的格式。VSI TLV支持多种 MAC/VLAN信息格式,该参数可以用来扩展VDP协议。扩展后,VSITLV中也可以包含虚拟机的IP地址信息。MAC/VLANs用来标识与VSI实例关联的MAC和VLAN信息。图3为本发明实施例中的服务器和数据中心接入交换机之间VDP关联的时序图。 如图3所示,进行VDP关联的过程如下步骤301,服务器向交换机发送VDP预关联消息TxTLV (PreASSOC)。服务器中第一 VSI状态机的初始化VSI状态参数为未关联。系统管理员在服务器中创建虚拟机或者从其他服务器迁入虚拟机时,服务器首先设置自身的第一 VSI状态机的VSI状态参数为预关联。服务器中第一 VSI状态机的VSI状态参数设置为预关联后,服务器向交换机发送 VDP 预关联消息 TxTLV(PreASSOC)。步骤302,交换机向服务器发送应答消息f^reAssotAOeRx。交换机中第二 VSI状态机的初始化VSI状态参数为未关联。交换机接收到VDP预关联消息后,第二 VSI状态机进行预关联处理,设置自身的 VSI状态参数为预关联,并向服务器发送应答消息ft~eASS0C_ACK_RX。步骤303,服务器向交换机发送VDP关联消息TxTLV (ASSOC)。服务器接收到交换机发送的第二 VSI状态机成功设置VDP预关联状态的应答消息后,设置自身的VDP关联状态为关联,并向交换机发送VDP关联消息TxTLV(ASSOC)。步骤304,交换机向服务器发送应答消息Ass0C_ACK_RX。交换机接收到VDP关联消息后,第二 VSI状态机进行关联处理,设置自身的VSI状态参数为关联,并向服务器发送应答消息ASS0C_ACK_Rx。第一 VSI状态机和第二 VSI状态机中都有超时机制,如果一段时间没有收到对方的消息,会自动进入解关联状态。从图3所示的时序图中可以看到,在关联成功后,服务器和交换机之间会不停地发送消息来保持关联状态。进一步地,进行VDP解关联的过程如下步骤305,服务器向交换机发送VDP解关联消息TxTLV (DeASSOC)。虚拟机从服务器中迁出后,服务器中的第一 VSI状态机设置本地的VDP关联状态为解关联,服务器向交换机发送VDP解关联消息TxTLV (DeASSOC)。步骤306,交换机向服务器发送应答消息DeASS0C_ACK_Rx。交换机接收到VDP解关联消息后,第二 VSI状态机进行解关联处理,设置自身的 VSI状态参数为解关联,并向服务器发送应答消息DeASS0C_ACK_Rx。服务器接收到交换机发送的解关联成功的应答消息后,退出该关联流程。服务器中的第一 VSI状态机和交换机中的第二 VSI状态机的VDP关联状态始终保持一致,两者状态保持一致是通过服务器和交换机的报文交互实现的。图4为本发明实施例提供的安全策略迁移的架构图。如图4所示,本实施例包括以下设备TORl设备401,设备401为一种数据中心接入交换机设备,支持VDP协议,与设备 403的网卡直接相连。优选地,设备401接收到迁入虚拟机VMl的设备403发送的VDP关联消息后,设置 VDP关联状态为关联。优选地,设置VDP关联后,设备401解析VDP报文,从VSI TLV(如图2所示)中获取VMl的MAC和VLAN信息,根据VDP协议报文的入端口,记录MAC和VLAN对应端口信息。 在设备401中保存MAC信息、VLAN信息和端口信息,然后根据MAC信息、VLAN信息和PORT 信息生成安全策略,并将其下发到设备401的芯片中。可选地,VSI TLV中的MAC/VLAN Format可以用来扩展VDP协议,扩展后的VDP协议报文中也可以包含虚拟机的IP地址信息,设备401解析扩展后的VDP协议报文,获取虚拟机的IP地址信息、MAC信息和VLAN信息,根据VDP协议报文的入端口,记录该虚拟机对应端口信息。在设备401中保存IP地址信息、MAC信息、VLAN信息和端口信息,根据IP地址信息、MAC信息、VLAN信息和端口信息,生成安全策略绑定表。优选地,虚拟机VMl从设备403中迁出时,设备401接收到设备403发送的VDP解关联消息,设置VDP关联状态为解关联,并且删除虚拟机VMl的安全策略。可选地,VDP解关联有两种情况一种是设备401长时间没有收到设备403中的 VMl发送的报文,这时会自动进入去关联状态;另一种就是服务器管理员的操作,删除VMl 或者让VMl迁走,这时设备403会主动发送VDP解关联消息,通过VSI TLV中的Mode字段控制报文的类型,设置VDP关联状态为解关联。T0R2设备402,设备402为一种数据中心接入交换机设备,支持VDP协议,与设备 404的网卡直接相连。设备402接收到迁入虚拟机VMl的设备404发送的VDP关联消息后,设置VDP关联状态为关联。设置VDP关联后,设备402解析VDP报文,获取虚拟机VMl的配置信息,所述配置信息包括虚拟机VMl的MAC信息、VLAN信息和接入端口信息。根据所述配置信息, 设备402生成迁入设备404的虚拟机VMl的安全策略,并将其下发到设备402的芯片中。当虚拟机VMl从设备404中迁出时,设备402接收到设备404发送的VDP解关联消息,设置VDP关联状态为解关联,并且删除虚拟机VMl的安全策略。其中,设备403为一个服务器,在设备403中创建一个虚拟机或者迁入一个虚拟机时,设备403会向与自身的网卡直接相连的设备401发送一个VDP关联消息。当虚拟机VMl从设备403迁移出时,设备403向设备401发送一个VDP解关联消息。
设备404为一个服务器,在设备404中创建一个虚拟机或者迁入一个虚拟机时,设备404会向与自身的网卡直接相连的设备402发送一个VDP关联消息。当虚拟机VMl从设备404迁移出时,设备404向设备402发送一个VDP解关联消息。
优选地,TOR设备代表一种数据中心接入交换机,支持VDP协议。本发明实施例中只是用TOR来代表数据中心接入交换机,所有支持VDP协议的设备都在本发明的保护范围内。图5为本发明实施例提供的另一种安全策略迁移的方法流程图。如图5所示,本实施例包括以下步骤步骤501,TOR设备接收迁入虚拟机的服务器发送的VDP预关联消息。优选地,所述服务器中迁入虚拟机后,所述服务器在第一 VSI状态机设置VDP关联状态为预关联后,向所述TOR设备发送VDP预关联消息。步骤502,所述TOR设备接收到所述VDP预关联消息后,设置第二 VSI状态机中的 VDP关联状态为预关联。所述TOR设备接收到所述VDP预关联消息后,根据消息报文中Mode参数中的第一个字节的值设置VDP的关联状态,预关联状态对应的值为0x00。所述TOR设备将VDP关联状态设置为预关联,并且向所述服务器中的所述第一 VSI状态机返回一个应答消息,如果消息报文中Mode参数中第二个字节的值为0x00,表示预关联状态设置成功,如果为其他值,则表明预关联状态设置不成功。步骤503,所述TOR设备接收到设置VDP关联状态为关联后的所述服务器发送的 VDP关联消息。所述服务器接收到所述TOR设备返回的VDP预关联状态设置成功的应答消息后, 设置本地的VDP关联状态为关联,并向所述TOR设备发送VDP关联消息。步骤504,接收到VDP关联消息后,所述TOR设备进行关联处理,并设置所述第二 VSI状态机的VDP关联状态为关联。所述TOR设备接收到该VDP关联消息后,根据报文中Mode参数中第一个字节的值设置VDP的关联状态,关联状态对应的值为0x02。所述TOR设备中的所述第二 VSI状态机将VDP关联状态设置为关联后,所述TOR设备向所述服务器返回一个应答消息,如果消息报文中Mode中第二个字节的值为0x00,表示关联状态设置成功,如果为其他值,则表明关联状态设置不成功。步骤505,VDP关联成功后,所述TOR设备解析接收到的VDP协议报文,从中获取虚拟机的配置信息。VDP关联成功后,所述TOR设备可以接收或向该虚拟机发送报文,所述TOR设备接收到所述虚拟机发送的VDP报文后,解析报文,从中获取所述虚拟机的配置信息。所述配置信息包括所述虚拟机对应的VSI实例的配置信息、所述虚拟机的MAC信息和VLAN信息。通过VDP协议报文的入端口,所述TOR设备还可以获取所述虚拟机的接入端口信息。VSI TLV报文包括一个MAC/VLAN Format参数,该参数用来标识TLV中的MAC和 VLAN信息的格式。VSI TLV支持多种格式,该参数可以用来扩展VDP协议。扩展后,VSI TLV报文中也可以包含虚拟机的IP地址信息。步骤506,所述TOR设备根据获取的所述虚拟机的配置信息,生成所述虚拟机的安
全策略。所述TOR设备根据获取的所述配置信息,生成安全策略,并将该安全策略下发到所述TOR设备的芯片中。根据所述虚拟机的MAC信息、VLAN信息和接入端口信息,下发安全MAC地址。根据所述虚拟机的IP地址信息、MAC信息、VLAN信息和接入端口信息,下发安全策略绑定表。步骤507,当所述虚拟机从所述服务器删除或者迁移出时,所述TOR设备接收到所述服务器发送的VDP解关联消息。当所述虚拟机从所述服务器删除或者迁移出时,所述第一 VSI状态机设置本地 VDP关联状态为解关联后,所述服务器向所述TOR设备发送VDP解关联消息。步骤508,接收到VDP解关联消息后,所述TOR设备进行解关联处理,并设置VDP关联状态为解关联。所述TOR设备接收到该VDP解关联后,根据消息报文中Mode参数中第一个字节的值设置VDP的关联状态,解关联状态对应的值为0x03。所述第二 VSI状态机将VDP关联状态设置为关联后,所述TOR设备向服务器返回一个应答消息,如果消息报文中Mode参数中第二个字节的值为0x00,表示解关联状态设置成功,如果为其他值,则表明解关联状态设置不成功。步骤509,VDP解关联后,所述TOR设备删除所述虚拟机的安全策略。所述TOR设备设置VDP解关联后,立即删除所述虚拟机的安全策略。优选地,所述TOR设备代表一种数据中心接入交换机,支持VDP协议。本发明实施例中只是用TOR设备来代表数据中心接入交换机,所有支持VDP协议的设备都在本发明的保护范围内。图6为本发明实施例提供的安全策略迁移的装置示意图。如图6所示,本实施例包括以下单元接收器601,用于接收迁入虚拟机的服务器发送的虚拟机发现和配置协议VDP关
联消息。优选地,所述服务器包括第一 VSI状态机;所述安全策略迁移的装置包括第二 VSI 状态机。优选地,与所述服务器的网卡直接连接的所述安全策略迁移的装置(TOR设备)接收迁移入虚拟机(VM)的所述服务器发送的VDP关联消息。关联单元602,用于根据所述VDP关联消息,将VDP关联状态设置为关联。优选地,关联单元602具体将接收所述服务器在所述第一 VSI状态机设置VDP关联状态为关联后发送的VDP关联消息,将所述第二 VSI状态机的VDP关联状态设置为关联。TOR设备接收到迁入虚拟机的服务器发送的VDP关联消息后,通过将第二 VSI状态机的VSI状态参数设置为关联,实现将第二 VSI状态机的VDP关联状态设置为关联。生成单元603,用于获取所述虚拟机的配置信息,并根据所述配置信息生成安全策略。优选地,所述虚拟机的配置信息包括所述虚拟机的MAC信息、VLAN信息和所述虚拟机接入所述TOR设备的端口信息;或者包括所述虚拟机的IP地址信息、MAC信息、VLAN信息和所述虚拟机接入所述TOR设备的端口信息。解关联单元604,用于所述虚拟机迁出所述服务器时,接收所述服务器发送的VDP 解关联消息,并根据所述VDP解关联消息,将所述VDP关联状态设置为解关联。所述虚拟机迁出所述服务器时,所述TOR设备将接收到所述服务器发送的VDP解关联消息。根据所述VDP解关联消息,所述TOR设备中的所述第二 VSI状态机将VSI状态参数设置为解关联。删除单元605,用于删除所述虚拟机的所述安全策略。优选地,所述装置还包括预关联单元606,用于接收所述服务器在所述第一 VSI 状态机VDP预关联后发送的VDP预关联消息,将所述第二 VSI状态机的VDP关联状态设置为预关联。优选地,所述TOR设备代表一种数据中心接入交换机,支持VDP协议。本发明实施例中只是用TOR来代表数据中心接入交换机,所有支持VDP协议的设备都在本发明的保护范围内。本发明实施例还提供了一种包括上述安全策略迁移的装置的系统,该系统包括本发明实施例中的安全策略迁移的装置以及服务器。本发明实施例所提供的系统在虚拟机迁入服务器时,下发虚拟机的安全策略,在虚拟机迁出服务器时,删除虚拟机的安全策略,由此实现了安全策略的部署和去部署与VDP关联和去关联紧密相连,无需人工配置,而且解决了现有技术中安全策略的迁移相对虚拟机的迁移滞后的问题,节省了大量的时间成本和经济成本。专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。 这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。 专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器 (ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。以上所述的具体实施方式
,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式
而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种安全策略迁移的方法,其特征在于,所述方法包括数据中心接入交换机接收迁入虚拟机的服务器发送的虚拟机发现和配置协议VDP关联消息;根据所述VDP关联消息,将VDP关联状态设置为关联; 获取所述虚拟机的配置信息,并根据所述配置信息生成安全策略; 当所述虚拟机迁出所述服务器时,接收所述服务器发送的VDP解关联消息,并根据所述VDP解关联消息,将所述VDP关联状态设置为解关联; 删除所述虚拟机的所述安全策略。
2.如权利要求1所述的安全策略迁移的方法,其特征在于,所述服务器包括第一VSI状态机;所述数据中心接入交换机包括第二 VSI状态机。
3.如权利要求2所述的安全策略迁移的方法,其特征在于,所述根据所述VDP关联消息,将VDP关联状态设置为关联之前还包括接收所述服务器在所述第一 VSI状态机设置 VDP关联状态为预关联后发送的VDP预关联消息,将所述第二 VSI状态机的VDP关联状态设置为预关联。
4.如权利要求2或3所述的安全策略迁移的方法,其特征在于,所述根据所述VDP关联消息,将VDP关联状态设置为关联具体为接收所述服务器在所述第一 VSI状态机设置VDP 关联状态为关联后发送的VDP关联消息,将所述第二 VSI状态机的VDP关联状态设置为关联。
5.如权利要求1-4中任意一项所述的安全策略迁移的方法,其特征在于,所述虚拟机的配置信息为所述虚拟机的MAC信息、VLAN信息和所述虚拟机接入所述数据中心接入交换机的端口信息;或者所述虚拟机的IP地址信息、MAC信息、VLAN信息和所述虚拟机接入所述数据中心接入交换机的端口信息。
6.一种安全策略迁移的装置,其特征在于,所述装置包括接收器,用于接收迁入虚拟机的服务器发送的虚拟机发现和配置协议VDP关联消息; 关联单元,用于根据所述VDP关联消息,将VDP关联状态设置为关联; 生成单元,用于获取所述虚拟机的配置信息,并根据所述配置信息生成安全策略; 解关联单元,用于当所述虚拟机迁出所述服务器时,接收所述服务器发送的VDP解关联消息,并根据所述VDP解关联消息,将所述VDP关联状态设置为解关联; 删除单元,用于删除所述虚拟机的所述安全策略。
7.如权利要求6所述的安全策略迁移的装置,其特征在于,所述服务器包括第一VSI状态机;所述安全策略迁移的装置包括第二 VSI状态机。
8.如权利要求7所述的安全策略迁移的装置,其特征在于,所述装置还包括预关联单元,用于接收所述服务器在所述第一 VSI状态机设置VDP关联状态为预关联后发送的VDP 预关联消息,将所述第二 VSI状态机的VDP关联状态设置为关联。
9.如权利要求7或8所述的安全策略迁移的装置,其特征在于,所述关联单元具体将 接收所述服务器在所述第一 VSI状态机设置VDP关联状态为关联后发送的VDP关联消息, 将所述第二 VSI状态机的VDP关联状态设置为关联。
10.如权利要求6-9中任意一项所述的安全策略迁移的装置,其特征在于,所述虚拟机的配置信息为所述虚拟机的MAC信息、VLAN信息和所述虚拟机接入所述数据中心接入交换机的端口信息;或者所述虚拟机的IP地址信息、MAC信息、VLAN信息和所述虚拟机接入所述数据中心接入交换机的端口信息。
11. 一种安全策略迁移的系统,其特征在于,包括如权利要求6-10任一项所述的安全策略迁移的装置以及服务器。
全文摘要
本发明涉及一种安全策略迁移的方法、装置和系统。数据中心接入交换机接收迁入虚拟机的服务器发送的VDP关联消息,根据该VDP关联消息,将VDP关联状态设置为关联;数据中心接入交换机获取虚拟机的配置信息,并根据该配置信息生成安全策略;在虚拟机迁出服务器时,数据中心接入交换机接收该服务器发送的VDP解关联消息,并根据该VDP解关联消息,将VDP关联状态设置为解关联;数据中心接入交换机删除虚拟机的安全策略。本发明解决了安全策略随虚拟机的迁移而相应迁移的问题。
文档编号H04L12/56GK102413041SQ20111035035
公开日2012年4月11日 申请日期2011年11月8日 优先权日2011年11月8日
发明者吴晓东 申请人:华为技术有限公司