本發明提供一種報文轉發控制方法及裝置，所述方法包括：當獲取到iSCSI客戶端的設備信息時，將所述iSCSI客戶端的設備信息同步給交換設備；當獲取到區域配置信息時，將所述區域配置信息同步給鄰居交換設備；當所述交換設備為本地存在iSCSI客戶端接入的邊緣交換設備時，根據本地保存的iSCSI客戶端的設備信息以及區域配置信息生成訪問控制列表ACL規則，并根據所述ACL規則對發起方iSCSI客戶端和目標方iSCSI客戶端之間的報文進行轉發控制。應用本發明可以實現iSCSI網絡中硬件級的訪問控制功能，提高存儲設備的安全性，并節省網絡和設備資源。

技術領域

本發明涉及網絡通信技術領域，尤其涉及一種報文轉發控制方法及裝置。

背景技術

iSCSI(Internet Small Computer System Interface，互聯網小型計算機系統接口)是由IETF(The Internet Engineering Task Force，國際互聯網工程任務組)開發的網絡存儲標準，目的是為了用IP(Internet Protocol，互聯網協議)協議將存儲設備連接在一起。由于IP網絡的廣泛應用，因此iSCSI能夠在LAN(Local Area Network，局域網)、WAN(Wide Area Network，廣域網)甚至Internet上進行數據傳送，使得數據的存儲不再受地域的限制。

iSCSI協議(RFC3720)定義了在TCP(Transmission Control Protocol傳輸控制協議)/IP網絡發送、接收block(數據塊)級的存儲數據的規則和方法。發送端將SCSI(SmallComputer System Interface，小型計算機系統接口)命令和數據封裝到TCP/IP包中再通過網絡轉發，接收端收到TCP/IP包之后，將其還原為SCSI命令和數據并執行相應處理，處理完成之后將返回的SCSI命令和數據封裝到TCP/IP包中傳送回發送端。

iSCSI采用Client(客戶端)/Server(服務器)工作模式。Client方作為Initiator(發起)設備發起iSCSI會話，對應于服務器。Server作為Target(目標)設備接收iSCSI會話請求，對應于存儲設備。

iSCSI可以在不改變現有IP網絡的情況下很方便地搭建SAN(Storage AreaNetwork，存儲區域網絡)，對設備和網絡要求低，搭建成本較傳統的FC(Fibre Channel，光纖通道)SAN有很大的優勢，逐漸成為中小企業的首選以及IP存儲區域網絡的主流技術。

然而實踐發現，與FC SAN相比，iSCSI技術在管理上相對薄弱，網絡本質上是iSCSI協議報文的傳輸介質，對iSCSI協議報文沒有感知。Initiator和Target設備之間沒有有效的訪問控制手段，存儲設備接入到網絡后，只要路由可達，任何設備都可以向存儲設備發起連接，這增加了存儲設備的安全風險；另外，存儲設備只能根據本地的策略來處理服務器的iSCSI請求，大量無效的iSCSI請求不僅會增加存儲設備的負擔，也占用了網絡的帶寬，對設備和網絡都造成資源的浪費。

發明內容

本發明提供一種報文轉發控制方法及裝置，以解決現有iSCSI網絡中存儲設備安全風險高，以及無效的iSCSI請求增加存儲設備的負擔，造成設備和網絡資源浪費的問題。

根據本發明實施例的第一方面，提供一種報文轉發控制方法，應用于iSCSI SAN網絡中的交換設備，所述iSCSI SAN網絡中各交換設備之間通過屬于同一網段的接口建立有鄰居關系，所述方法包括：

當獲取到iSCSI客戶端的設備信息時，將所述iSCSI客戶端的設備信息同步給鄰居交換設備；其中，所述iSCSI客戶端的設備信息包括設備類型以及設備標識，所述設備類型包括發起方或目標方；

當獲取到區域配置信息時，將所述區域配置信息同步給鄰居交換設備；其中，所述區域配置信息包括屬于同一區域的iSCSI客戶端的設備標識；