Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページ
 

FIP スヌーピングについて

FCoE(Fibre Channel over Ethernet)初期設定プロトコル(FIP)スヌーピングは、ファイバー チャネル(FC)ネットワークへの不正アクセスとデータ転送を防止するように設計されたセキュリティ メカニズムです。トラフィックをフィルタリングすることで機能し、FCネットワークにログインしたサーバーのみがネットワークにアクセスすることを許可します。スイッチが FCoE トランジット スイッチとして使用されている場合、FCoE VLAN で FIP スヌーピングを有効にすると、イーサネット ネットワーク上の FC イニシエータ(サーバー)を FC ストレージ エリア ネットワーク(SAN)エッジの FCoE フォワーダー(FCF)に接続できます。

FIP プロセスを通じて、CNA(統合型ネットワーク アダプター)を持つサーバーには、FC ネットワークにログインできる FCoE Node(ENode)が表示されます。ログイン プロセスでは、ENode と FCF の間に専用の仮想リンクが確立され、FCoE トランジット スイッチを透過的に通過するポイントツーポイント接続をエミュレートします。

FCoE トランジット スイッチは、FIP スヌーピングを有効にする FCoE VLAN に関連付けられたエッジ アクセス ポートに FIP スヌーピング ファイアウォール フィルターを適用します。FIP スヌーピングは、FIP トランザクション中に FC デバイスに関して収集(スヌーピング)された情報に基づいてファイアウォール フィルターを自動的に作成することで、仮想リンクのセキュリティを提供します。

このトピックでは、以下について説明します。

FCネットワークセキュリティ

従来のピュアFCネットワークでは、FCFは信頼できるエンティティであり、サーバーENodeはFCFに直接接続します。ENode がファブリック ログイン(FLOGI)プロセスを通じてネットワークにアクセスした後、FCF はゾーン化設定を適用し、ENode が有効なアドレスを使用し、接続を監視し、その他のセキュリティ機能を実行して不正アクセスを防止できるようにします。

FIP スヌーピング ファイアウォール フィルターは、トランジット スイッチを介した FCF への不正アクセスを防止し、各 ENode と FCF 間の仮想リンクのセキュリティを確保することで、これらのセキュリティ機能をエミュレートします。FIP スヌーピングは中間者攻撃も防ぎます。

FIP スヌーピング機能

FIP スヌーピングを有効にすると、FCoE トランジット スイッチは FIP ログイン、送信請求、および通過するアドバタイズメントを監視し、ENode アドレスと FCF のアドレスに関する情報を収集します。トランジット スイッチは、この情報を使用して、ログに記録された ENode へのアクセスのみを許可するファイアウォール フィルターを構築します。VLAN 上の他のトラフィックはすべて拒否されます。

たとえば、FCoE VLAN 上の ENode が正常なログインを実行すると、FCoE トランジット スイッチは FIP 情報をスヌーピングし、ENode へのアクセスを許可する ファイアウォール フィルター を構築し、FCoE VLAN に関連付けられているすべてのトランジット スイッチ アクセス ポートにフィルターを追加します。

ファイアウォール フィルターにより、FCoE フレームは、サーバー ENode FCoE ポートと、サーバー ENode がログインした FCF FCoE ポート間でのみトランジット スイッチを通過できます。これにより、ENode は、正常にログインした FCF にのみ接続でき、有効な FCoE トラフィックのみが送信されます。FIP スヌーピングは、FCoE セッションを追跡することでフィルターを維持します。

FIP スヌーピング ファイアウォール フィルター

FIP スヌーピング ファイアウォール フィルターは、FCF にすでにログインしている ENode からのトラフィックを除き、VLAN 上の FCoE トラフィックを拒否します。

FIP スヌーピングは、以下のアクションを実行し、FCoE トラフィックが有効であることを確認します。

  • FCF MAC(メディア アクセス 制御)アドレスを送信元アドレスとして使用する ENode を拒否します。

  • Enode がログインした FCF 宛てのトラフィック以外の ENode からのすべてのトラフィックを拒否します。

  • ENode が仮想リンク上で FCoE プロトコル トラフィックのみを送信するように制限します。

  • ENode が FIP および FCoE フレームのみを FCF アドレスに送信できるようにします。

  • Fabic ログインおよびファブリック検出(FDISC)の後に ENode が使用する FCoE 送信元アドレスが、その ENode に割り当てられた FCF アドレスであることを確認します。

  • FCF が割り当てたまたは受け入れる FCoE 送信元アドレスが、FCoE トラフィックにのみ使用されるようにします。

  • FCoE フレームが受け入れる FCF にのみ対応していることを確認します。

FIP スヌーピングの実装

FIP スヌーピングは VLAN 単位で有効にします。FCoE トランジット スイッチは、FIP スヌーピング対応 VLAN に関連付けられているアクセス ポートで FIP フレームをスヌーピングし、結果として生じるファイアウォール フィルターをアクセス ポートにインストールして、すべてのスヌーピングが FCoE トランジット スイッチ ネットワーク エッジで確実に実行されるようにします。

FCoE VLAN には、アクセス ポートとトランク ポートの両方を含めることができます。アクセス ポートはホスト(FCoE サーバーやその他の FCoE イニシエーター)に面し、トランク ポートは FCF に面しています。FIP スヌーピングが有効になっている場合、FCoE トランジット スイッチは FIP フレームと FCoE フレームの両方を検査します。

FIP スヌーピングの実装には、以下の考慮事項が含まれます。

サーバー ENode に面したインターフェイス

すべての FCoE アクセス ポートで FIP スヌーピングを有効にして、FCF へのセキュアな接続を確保することをお勧めします。FCoE VLAN で FIP スヌーピングを有効にした後、トランジット スイッチは、サーバーが FCF で有効なファブリック ログインを実行するまで、その VLAN 上の任意のサーバーから FCoE トラフィックを拒否します。

FCF に面したインターフェイス

FCF への接続に使用するインターフェイスを FCoE 信頼できるインターフェイスとして設定し、10 ギガビット イーサネット インターフェイスにする必要があります。

FCoE 信頼できるインターフェイスは、FCF からのみ FCoE トラフィックを受信します。FCF および FCF 側のインターフェイスには、次の条件が適用されます。

  • デフォルトでは、FCF は信頼できるエンティティです。

  • FCoE トランジット スイッチは、信頼できるソースから来た FCF フレームを常に処理します。

FCoE マップド アドレス プレフィックス

VLAN で FIP スヌーピングを有効にする場合、ネットワークがファブリック提供の MAC アドレス(FPMA)アドレス 方式を使用している場合は、必要に応じてその VLAN の FCoE マップド アドレス プレフィックス(FC-MAP)値を指定できます。FC-MAP 値は、FCF を識別する 24 ビット値です。FCF は、ファブリック ログイン プロセス中に FC-MAP 値と一意の 24 ビット FCID(Fibre Channel ID)値を組み合わせて、一意の 48 ビット識別子を作成します。FCF は、48 ビット値を、セッションの MAC アドレスおよび固有識別子としてサーバー ENode に割り当てます。ENode が FCF で確立する各サーバー セッションは、一意の FCID を受信するため、サーバーは FCF への複数の仮想リンクをホストでき、それぞれが固有の 48 ビット アドレス識別子を持ちます。

FIP スヌーピング フィルタは、設定された FC-MAP 値を、サーバーから送信されるフレームのヘッダーにある FC-MAP 値と比較します。値が一致しない場合、FCoE トランジット スイッチはアクセスを拒否します。

T11 FIP スヌーピング仕様

FIP スヌーピングの詳細については、技術委員会 T11 組織ドキュメント『HTTP://WWW.T11.ORG/FTP/T11/PUB/FC/BB-5/08-264V3.PDF での FIP スヌーピングを使用した FCoE 堅牢性の向上』を参照してください。

関連ドキュメント