光纖通道存儲網(wǎng)絡(luò )分區攻略

光纖通道(FC)的內在安全機制比多數人通常所認為的還要多，但是它們經(jīng)常得不到充分利用，而且還被誤解，因此SAN(存儲局域網(wǎng))才被說(shuō)成有安全問(wèn)題。本期存儲課堂所講的內容就是探索光纖通道分區：光纖通道交換機最容易和最經(jīng)常被誤設的功能。 任何功能完整的光纖通道交換機都可以設置分區。這里的分區同以太網(wǎng)虛擬局域網(wǎng)非常相似：將數據傳輸隔開(kāi)。但是光纖通道分區比起虛擬局域網(wǎng)要更有效，因為數據傳輸不會(huì )在分區之間“漏出”.

從概念上講，光纖通道分區比虛擬局域網(wǎng)更加符合分區的概念。第一眼看上去光纖通道分區似乎更加復雜，但是隱藏在復雜背后的其實(shí)是簡(jiǎn)單。一個(gè)設備節點(diǎn)，或全局名稱(chēng)(WWN)，可以同時(shí)存在于多個(gè)不同的分區。這種能力真的會(huì )被濫用!進(jìn)行健全的、管理性強的分區設置需要一定的架構--可不是一分鐘就能解決的。

這里有兩種分區：軟分區和硬分區。

軟分區

軟分區的含義是交換機將設備的全局名稱(chēng)放在一個(gè)分區中，而不管連接的是哪個(gè)端口。例如，如果全局名稱(chēng)Q和全局名稱(chēng)Z在同一個(gè)分區中，那么它們可以互相對話(huà)。相同的，如果Z和A又在另一個(gè)分區，那么Z和A可以看到對方，但是A不能看到Q.這是分區的復雜性部分;這種特點(diǎn)在以太網(wǎng)交換機中并不常見(jiàn)。

軟分區的概念不難理解。它只是簡(jiǎn)單的表明架構是基于節點(diǎn)的全局名稱(chēng)。使用這種軟分區的好處是，你可以連接到交換機的任何一個(gè)端口，而且如果你能看到其他節點(diǎn)，那么你也能訪(fǎng)問(wèn)這些節點(diǎn)。

這樣好嗎?不，完全不好。從管理性的角度來(lái)看，軟分區環(huán)境簡(jiǎn)直是一團糟。進(jìn)行維護時(shí)，你必須知道每個(gè)節點(diǎn)連接到哪里。如果使用軟分區，在交換機上就沒(méi)有關(guān)于端口的描述，因為這些端口的信息很可能很快就過(guò)時(shí)。此外，軟分區還有一定的安全風(fēng)險。就每個(gè)人所相信的而言，沒(méi)有人曾經(jīng)看到過(guò)一個(gè)黑客正在試圖哄騙全局名稱(chēng)的過(guò)程，但是這種行為是可能的。通過(guò)改變設備的全局名稱(chēng)來(lái)改變它的分區是非常困難的，因為黑客不知道哪些全局名稱(chēng)可以訪(fǎng)問(wèn)他所想要進(jìn)入的分區。你總不會(huì )把自己的交換機設置信息放在大庭廣眾之下吧?

硬分區

硬分區更類(lèi)似以太網(wǎng)世界中的虛擬局域網(wǎng)。如果將一個(gè)端口放到一個(gè)分區，任何連接到這個(gè)端口的流量都是來(lái)自這個(gè)分區，或所設置的數個(gè)分區。當然，如果有人可以移動(dòng)光纜的話(huà)，那么這種分區在面對物理攻擊的時(shí)候就沒(méi)那么安全了。但是，你需要擔心這種情況嗎?因此對于SAN來(lái)說(shuō)，最好的設置是：交換機硬分區，并且對可以訪(fǎng)問(wèn)陣列端(target)邏輯單元號(LUN)的全局名稱(chēng)進(jìn)行限制。你的存儲陣列還需要全局名稱(chēng)屏蔽，以便多個(gè)發(fā)起端(initiator)可以被分區設置成可以同時(shí)看到陣列端。

一些人的分區架構想法很奇怪。將相同操作系統放在一個(gè)分區看起來(lái)是個(gè)好主義，但在實(shí)際上沒(méi)有任何意義。過(guò)去人們總是很容易害怕將Windows服務(wù)器和使用不同操作系統的存儲陣列放在同一個(gè)分區。當看到新的LUN時(shí)，Windows會(huì )彈出“你是否需要初始化新卷?”對話(huà)窗口，而且如果Windows管理員順手決定點(diǎn)擊“是”的話(huà)，那么他就破壞了其他人的邏輯單元號。如果存儲陣列有邏輯單元號屏蔽的話(huà)，那么這就不成問(wèn)題。