Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Entendendo o FIP Snooping

O fibre channel over Ethernet (FCoE) Initialization Protocol (FIP) é um mecanismo de segurança projetado para impedir o acesso não autorizado e a transmissão de dados para uma rede fibre channel (FC). Ele funciona filtrando o tráfego para permitir que apenas servidores que fizeram login na rede FC acessem a rede. Você habilita o FIP a utilizar VLANs FCoE quando o switch está sendo usado como um switch de trânsito FCoE que conecta iniciadores FC (servidores) na rede Ethernet aos forwarders FCoE (FCFs) na borda da rede de área de armazenamento FC (SAN).

Por meio do processo FIP, servidores que possuem um adaptador de rede convergente (CNA) apresentam um nó FCoE (ENode) que pode fazer login na rede FC. O processo de login estabelece um link virtual dedicado entre o ENode e o FCF para emular uma conexão ponto a ponto que passa de forma transparente pelo switch de trânsito FCoE.

O switch de trânsito FCoE aplica filtros de firewall de espionagem FIP nas portas de acesso de borda associadas às VLANs FCoE nas quais você habilita a espionagem FIP. A espionagem FIP oferece segurança para links virtuais, criando automaticamente filtros de firewall com base em informações coletadas (bisbilhotadas) sobre dispositivos FC durante transações FIP.

Este tópico descreve:

Segurança de rede FC

Nas redes fc puras tradicionais, a FCF é uma entidade confiável e ENodes de servidor que se conectam diretamente à FCF. Depois que um ENode obtém acesso à rede por meio do processo de login de malha (FLOGI), o FCF aplica configurações de zoneamento, garante que o ENode use endereços válidos, monitore a conexão e execute outras funções de segurança para impedir o acesso não autorizado.

Os filtros de firewall de espionagem FIP emulam essas funções de segurança impedindo o acesso não autorizado à FCF através do switch de trânsito e garantindo a segurança do enlace virtual entre cada ENode e o FCF. A espionagem FIP também evita ataques de homem no meio.

Funções de bisbilhoteiro FIP

Quando você habilita o uso do FIP, o switch de trânsito FCoE monitora logins, solicitações e anúncios FIP que passam por ele e coleta informações sobre o endereço ENode e o endereço da FCF. O switch de trânsito usa as informações para construir filtros de firewall que permitem o acesso apenas a ENodes logados. Todo o tráfego na VLAN é negado.

Por exemplo, quando um ENode em um VLAN FCoE realiza um login bem-sucedido, o switch de trânsito FCoE bisbilhota as informações fip, constrói um filtro de firewall que permite o acesso ao ENode e adiciona o filtro em todas as portas de acesso de switches de trânsito associadas ao FCoE VLAN.

Os filtros de firewall permitem que os quadros FCoE passem pelo switch de trânsito apenas entre a porta ENode FCoE do servidor e a porta FCoE FCF à qual o ENode do servidor foi logado. Isso garante que os ENodes só possam se conectar às FCFs às quais se conectaram com sucesso e que apenas o tráfego FCoE válido seja transmitido. A espionagem FIP mantém os filtros rastreando sessões de FCoE.

Filtros de firewall de espionagem FIP

Os filtros de firewall FIP negam qualquer tráfego FCoE no VLAN, exceto o tráfego originário de ENodes que já fizeram login na FCF.

A fiscalização fip realiza essas ações e verificações para garantir que o tráfego FCoE seja válido:

  • Nega eNodes que usam o endereço de controle de acesso de mídia (MAC) FCF como endereço de origem.

  • Nega todo o tráfego do ENode além do tráfego endereçado à FCF em que o Enode se conectou.

  • Restringe o ENode a enviar apenas tráfego de protocolo FCoE no link virtual.

  • Permite que o ENode transmita apenas quadros FIP e FCoE para o endereço FCF.

  • Garante que o endereço de origem do FCoE que um ENode usa após a descoberta de login e malha de Fabic (FDISC) é o endereço que a FCF atribuiu a esse ENode.

  • Garante que o endereço de origem do FCoE que o FCF atribui ou aceita seja usado apenas para tráfego FCoE.

  • Garante que os quadros FCoE sejam endereçados apenas à FCF aceitadora.

Implementação do FIP Snooping

Você permite o bisbilhotamento FIP por VLAN. O switch de trânsito FCoE usa as estruturas FIP nas portas de acesso associadas às VLANs habilitadas para bisbilhotamento FIP e instala os filtros de firewall resultantes nas portas de acesso para garantir que toda a espionagem ocorra na borda da rede do switch de trânsito FCoE.

As VLANs FCoE podem incluir portas de acesso e portas de tronco. As portas de acesso enfrentam os hosts (servidores FCoE e outros iniciadores FCoE), e as portas de tronco enfrentam a FCF. Quando o sistema fip está habilitado, o switch de trânsito FCoE inspeciona os quadros FIP e os quadros FCoE.

A implementação de espionagem FIP inclui essas considerações:

Interfaces voltadas para eNode de servidor

Recomendamos que você habilite o uso de FIP em todas as portas de acesso FCoE para garantir conexões seguras com FCFs. Depois de habilitar o FIP a utilizar um VLAN FCoE, o switch de trânsito nega o tráfego FCoE de qualquer servidor nesse VLAN até que o servidor realize um login de malha válido com uma FCF.

Interfaces voltadas para FCF

Você deve configurar a interface que está usando para se conectar a uma FCF como interface confiável de FCoE, e deve ser uma interface Ethernet de 10 Gigabits.

Uma interface confiável do FCoE recebe tráfego FCoE apenas de uma FCF. As seguintes condições aplicam-se a FCFs e interfaces voltadas para FCF:

  • Por padrão, as FCFs são entidades confiáveis.

  • O switch de trânsito FCoE sempre processa os quadros FCF porque eles vêm de uma fonte confiável.

Prefixo de endereço mapeado FCoE

Ao ativar o uso de FIP em um VLAN, opcionalmente, você pode especificar o valor do FCoE Mapped Address Prefix (FC-MAP) para esse VLAN se a rede usar o esquema de endereçamento MAC (FPMA) fornecido por malha. O valor DO FC-MAP é um valor de 24 bits que identifica a FCF. O FCF combina o valor FC-MAP com um valor exclusivo de Fibre Channel ID (FCID) de 24 bits para o servidor durante o processo de login da malha, criando um identificador exclusivo de 48 bits. O FCF atribui o valor de 48 bits ao ENode do servidor como seu endereço MAC e identificador exclusivo para a sessão. Cada sessão de servidor que o ENode estabelece com o FCF recebe uma FCID única, de modo que um servidor possa hospedar vários links virtuais para um FCF, cada um com um identificador de endereço exclusivo de 48 bits.

O filtro de espionagem FIP compara o valor configurado do FC-MAP com o valor FC-MAP no cabeçalho dos quadros vindos do servidor. Se os valores não corresponderem, o switch de trânsito FCoE nega acesso.

Especificação do T11 FIP Snooping

Para obter mais detalhes sobre o uso da FIP, consulte o documento da organização T11 do Comitê Técnico , aumentando a robustez do FCoE usando o FIP Snooping em http://www.t11.org/ftp/t11/pub/fc/bb-5/08-264v3.pdf.

Documentação relacionada