Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解 FIP 侦听

以太网光纤通道 (FCoE) 初始化协议 (FIP) 侦听是一种安全机制,旨在防止未经授权的访问和数据传输到光纤通道 (FC) 网络。它通过过滤流量来仅允许已登录 FC 网络的服务器访问网络。当交换机用作 FCoE 中继交换机时,可将以太网网络上的 FC 发起方(服务器)连接到 FC 存储区域网络 (SAN) 边缘的 FCoE 转发器 (FCF),即可在 FCoE VLAN 上启用 FIP 侦听。

通过 FIP 进程,具有融合网络适配器 (CNA) 的服务器会呈现一个可以登录到 FC 网络的 FCoE 节点 (ENode)。登录过程在 ENode 和 FCF 之间建立专用虚拟链路,以模拟通过 FCoE 中继交换机透明传递的点对点连接。

FCoE 中继交换机在与启用 FIP 侦听的 FCoE VLAN 关联的边缘接入端口上应用 FIP 侦听防火墙过滤器。FIP 侦听通过根据在 FIP 事务期间收集(侦听)有关 FC 设备的信息自动创建防火墙过滤器,为虚拟链路提供安全性。

本主题将介绍:

FC 网络安全

在传统的纯 FC 网络中,FCF 是可信实体,服务器 ENode 直接连接到 FCF。在 ENode 通过交换矩阵登录 (FLOGI) 流程访问网络后,FCF 会实施分区配置,确保 ENode 使用有效地址,监控连接,并执行其他安全功能以防止未经授权的访问。

FIP 侦听防火墙过滤器可以模拟这些安全功能,防止通过中继交换机对 FCF 进行未经授权的访问,并确保每个 ENode 与 FCF 之间的虚拟链路的安全性。FIP 侦听还可以阻止中间人攻击。

FIP 侦听功能

启用 FIP 侦听后,FCoE 中继交换机将监控通过 FIP 的登录、请求和通告,并收集有关 ENode 地址和 FCF 地址的信息。中继交换机使用这些信息来构建仅允许访问已登录 ENode 的防火墙过滤器。VLAN 上的所有其他流量均被拒绝。

例如,当 FCoE VLAN 上的 ENode 执行成功登录时,FCoE 中继交换机会侦听 FIP 信息,构建允许 ENode 访问的 防火墙过滤器 ,并在与 FCoE VLAN 关联的所有中继交换机接入端口上添加过滤器。

防火墙过滤器允许 FCoE 帧仅在服务器 ENode FCoE 端口和服务器 ENode 登录到的 FCF FCoE 端口之间通过中继交换机。这可以确保 ENode 只能连接到成功登录的 FF,并且仅传输有效的 FCoE 流量。FIP 侦听通过跟踪 FCoE 会话来维护过滤器。

FIP 侦听防火墙过滤器

FIP 侦听防火墙过滤器会拒绝 VLAN 上的任何 FCoE 流量,但来自已登录到 FCF 的 ENode 的流量除外。

FIP 侦听会执行以下操作并检查以确保 FCoE 流量有效:

  • 拒绝使用 FCF 媒体访问控制 (MAC) 地址作为源地址的 ENode。

  • 拒绝来自 ENode 的所有流量,除寻址到 FCF 的流量外,该 Enode 已登录。

  • 限制 ENode 仅在虚拟链路上发送 FCoE 协议流量。

  • 允许 ENode 仅将 FIP 和 FCoE 帧传输到 FCF 地址。

  • 确保 ENode 在 fabic 登录和交换矩阵发现 (FDISC) 之后使用的 FCoE 源地址是 FCF 分配给该 ENode 的地址。

  • 确保 FCF 分配或接受的 FCoE 源地址仅用于 FCoE 流量。

  • 确保 FCoE 帧仅发送至接受的 FCF。

FIP 侦听实施

您可以基于每个 VLAN 启用 FIP 侦听。FCoE 中继交换机侦听与支持 FIP 侦听的 VLAN 关联的接入端口处侦听 FIP 帧,然后在接入端口上安装由此产生的防火墙过滤器,以确保所有侦听都发生在 FCoE 中继交换机网络边缘上。

FCoE VLAN 可以包括接入端口和中继端口。接入端口面向主机(FCoE 服务器和其他 FCoE 发起方),中继端口面向 FCF。启用 FIP 侦听后,FCoE 中继交换机会同时检测 FIP 帧和 FCoE 帧。

FIP 侦听实施包括以下注意事项:

面向服务器 ENode 的接口

建议在所有 FCoE 接入端口上启用 FIP 侦听,以确保与 FFC 的安全连接。在 FCoE VLAN 上启用 FIP 侦听后,中继交换机会拒绝来自该 VLAN 上任何服务器的 FCoE 流量,直到服务器使用 FCF 执行有效的交换矩阵登录。

面向 FCF 的接口

您必须将用于连接到 FCF 的接口配置为 FCoE 可信接口,并且该接口必须是 10 千兆以太网接口。

FCoE 可信接口仅从 FCF 接收 FCoE 流量。以下条件适用于 FCF 和面向 FCF 的接口:

  • 默认情况下,FNF 是可信实体。

  • FCoE 中继交换机始终处理 FCF 帧,因为它们来自可信来源。

FCoE 映射地址前缀

在 VLAN 上启用 FIP 侦听时,如果网络使用交换矩阵提供的 MAC 地址 (FPMA) 寻址方案,您可以选择为该 VLAN 指定 FCoE 映射地址前缀 (FC-MAP) 值。FC-MAP 值是标识 FCF 的 24 位值。FCF 在交换矩阵登录过程中将 FC-MAP 值与服务器的唯一 24 位光纤通道 ID (FCID) 值组合在一起,从而创建唯一的 48 位标识符。FCF 将 48 位值作为其 MAC 地址和会话的唯一标识符分配给服务器 ENode。ENode 与 FCF 建立的每个服务器会话都会收到一个唯一的 FCID,因此服务器可以托管到 FCF 的多个虚拟链路,每个链路都有一个唯一的 48 位地址标识符。

FIP 侦听过滤器将配置的 FC-MAP 值与来自服务器的帧标头中的 FC-MAP 值进行比较。如果值不匹配,FCoE 中继交换机将拒绝访问。

T11 FIP 侦听规范

有关 FIP 侦听的详细信息,请参阅技术委员会 T11 组织文档,在 http://www.t11.org/ftp/t11/pub/fc/bb-5/08-264v3.pdf 使用 FIP 侦听提高 FCoE 稳健性