FCoE トランジット スイッチ上で FIP スヌーピングをVN_PortするためのVN_Portについて
FCoE トランジット スイッチ上の VN_Port(VN2VN_Port)Fibre Channel over Ethernet(FCoE)初期化プロトコル(FIP)スヌーピング(FC-BB-6)に対する VN_Port VN_Portは、概念的に、FCoE トランジット スイッチ上のVF_Port(VN2VF_Port)FIP スヌーピング(FC-BB-5)に似ています。FCoE トランジット スイッチは、FIP スヌーピング機能を備えた DCB(データ センター ブリッジング)スイッチです。VN2VN_Port FIP スヌーピングは、フィルター形式でセキュリティを提供します。このフィルターは、イーサネット ネットワーク上の ENode を接続するブリッジでの不正アクセスとデータ送信を防止するのに役立ちます。
FIPスヌーピングVN2VN_PortとVN2VF_Port FIPスヌーピングの主な違いは、FCoEデバイスがイーサネットネットワークに存在する場合VN2VN_Port FIPスヌーピングを使用するため、FCoEデバイス間のトラフィックをFi fibre Channel(FC)ネットワークに転送する必要がなく、イーサネットネットワーク上のFCoEデバイスがFCネットワーク上のターゲットにアクセスする必要がある場合はVN2VF_Port FIPスヌーピングを使用します。 そのため、FCoE トラフィックは FC ネットワークに転送する必要があります。FIPス ヌーピングの詳細については、 FCoEトランジットスイッチでFIPスヌーピングをVF_Port するためのVN_PortについてVN2VF_Portを参照してください。
VN2VN トラフィックを転送する FCoE VLAN 上で、VN2VN_Port FIP スヌーピングを有効にします。トランジット スイッチは、VN2VN FIP スヌーピングを有効にする FCoE VLAN に関連するポートで、FIP スヌーピング フィルター VN2VN_Port適用します。
FIPスヌーピングVN2VN_Portの主なメリットは、FCoEイニシエーターとターゲットが、FCoEフォワーダ(FCF)やFCスイッチを介さずにスイッチを介して直接通信できるようにすることです。トランジット スイッチは、VN_Ports両方を FIP 仮想リンク エンド ポイントと見なしているため、トランジット スイッチはイニシエーターとターゲットを区別しません。ENode は信頼できるエンティティではないため、ダイレクト VN2VN_Port通信にはセキュア アクセス(FIP スヌーピング フィルター)が必要です。
このトピックでは、以下について説明します。
VN2VN_Port FIP スヌーピングおよび FIP スヌーピング仮想リンク
T11 FC-BB-5 仕様の FIP スヌーピングでは、FC スイッチまたは FCF が通信する際に、2 つのVN_Ports間のパスに含まれている必要があります。T11 FC-BB-6 仕様( http://www.t11.org/ftp/t11/pub/fc/bb-6/10-019v3.pdf を参照)で導入された VN2VN_Port FIP スヌーピングにより、ENode が FC ネットワークにログインしている場合に備え、FCoE トランジット スイッチは FC スイッチや FCF を経由することなく、2 つのVN_Portsを直接相互に接続できます。
FIP スヌーピングVN2VF_Port、ENode が FC ネットワークにログインすると、FCoE トランジット スイッチは ENode と FC スイッチ間の FIP 通信をスヌーピングします。FIP スヌーピング モードVN2VN_Port、トランジット スイッチはスイッチ アクセス ポートにフィルターを作成し、イーサネット ネットワーク上の他のVN_PortsへのアクセスVN_Port制御します。VN2VN_Port FIPスヌーピングフィルターにより、スイッチは、スイッチを介して2つのVN_Ports間のポイントツーポイント接続をエミュレートする専用の仮想リンクを確立できます。
仮想リンクはトランジット スイッチを透過的に通過します。VN_Portsはトランジット スイッチを検出せず、仮想リンクは直接ポイントツーポイント リンクのように見えます。
スイッチまたはQFabricシステムノードデバイスが、イーサネットネットワーク上のFCoEデバイスを相互に接続し、FCストレージエリアネットワーク(SAN)エッジのFCスイッチまたはゲートウェイに接続するFCoEトランジットスイッチである場合、FCoE VLAN上でVN2VN_Port FIPスヌーピングを明示的に有効にします。
FCoE VLAN は、FIP スヌーピングVN2VF_Portまたは FIP スヌーピングVN2VN_Portをサポートできますが、両方をサポートすることはできません。FIP スヌーピング トラフィックと FIP スヌーピング トラフィックを VN2VF_Port VN2VN_Portするために、個別の FCoE VLAN を設定します。FIPスヌーピングVLAN VN2VN_Port設定されたFCoE VLANでは、VF_PortトラフィックへのVN_Portが破棄されます。
FIP スヌーピングを有効にすると、システム スヌーピングはパケットをVN2VF_Portし、VN_Port上でのみ仮想リンクVF_Portセキュリティを適用します。VN2VN_PORT FIP スヌーピングを有効にすると、システム スヌーピングは FIP パケットをVN_PortするVN_Portし、VN_Portでのみ仮想リンクに対してのみセキュリティを適用VN_Portします。
トランジット スイッチは、FIP スヌーピングVN2VN_Port有効にする FCoE VLAN に関連するポートに FIP スヌーピング フィルター VN2VN_Port適用します。VN2VN_Port FIP スヌーピングは、FIP トランザクション中に FCoE デバイスに関して収集(スヌーピング)された情報に基づいてフィルターを作成することで、仮想リンクのセキュリティを提供します。
VN2VN_Port通信モード
トランジット スイッチは、2 つのVN2VN_Port通信モードをサポートします。
ポイントツーポイント モード
マルチポイント モード
ポイントツーポイント モードでは、2 つの ENode がネットワークに接続され、単一のVN_Portを形成して仮想リンクをVN_Portします。これは、FCイニシエーターとFCターゲット間のポイントツーポイントFCリンクと類似しています。
マルチポイント モードでは、複数の ENode がネットワークに接続され、複数の仮想リンクが形成されます。各仮想リンクは、1 組のVN_Ports間で作成されます。これは、従来のFCネットワークにおけるループモードと類似しています。
VN2VN_Port通信モードは設定されていません。ネットワークに接続された ENode の数によって決まります。
ネットワーク セキュリティ
従来の FC ネットワークでは、FC スイッチは通常、信頼できるエンティティであり、サーバー ENode は信頼できないエンティティです。ENode は FC スイッチ VF_Portsに直接接続します。ENode が FLOGI(ファブリック ログイン)プロセスを通じてネットワークにアクセスすると、FC スイッチはゾーン化設定を適用し、ENode が有効なアドレスを使用し、接続を監視し、その他のセキュリティ機能を実行して不正アクセスを防止します。
ただし、FCoE は FC フレームを、ネイティブ FC ネットワークと同じレベルのセキュリティを持たないイーサネット ネットワークに公開します。FIPスヌーピングフィルター VN2VN_Port、不正アクセスを防止し、ENode VN_Ports間の仮想リンクのセキュリティを確保することで、ネイティブFCネットワークセキュリティ機能をエミュレートします。トランジット スイッチは、FCoE VN_Port デバイスに接続されたポートで FIP スヌーピングVN2VN_Port実行します。
FIP スヌーピング機能のVN2VN_Port
FIP スヌーピングVN2VN_Port有効にすると、トランジット スイッチはフィルターを設定して適用し、デフォルトで VLAN 上のすべての FCoE トラフィックをブロックします。トランジット スイッチは、FIP ログイン、勧誘、および通過する広告を監視し、ENode アドレスに関する情報を収集します。トランジット スイッチは、この情報を使用して、ログインしている ENode へのアクセスのみを許可するフィルターを構築します。VLAN 上のその他のトラフィックはすべて拒否されます。
フィルターにより、FCoE フレームは、2 つのVN_Ports間に確立された仮想リンク上でのみトランジット スイッチを通過できます。フィルターにより、ENode が他の ENode と接続できるのは、互いに正常にログインしている場合のみであり、有効なパスに沿った有効な FCoE トラフィックのみが送信されるようにします。FIP スヌーピングVN2VN_Port、VN_Portを追跡してセッションをVN_Portすることで、フィルターを維持します。
スケーラビリティ
ENode は信頼されていないので、システムは信頼できない FIP スヌーピング インターフェイスにフィルターを適用する必要があるため、スイッチ当たりの FIP スヌーピング セッションの VN2VN_Port合計数は、信頼できないインターフェイスでの 376 セッション(ENode から ENode へのセッション)になります。信頼できるインターフェイスとして設定されたインターフェイスでは、FIPスヌーピングフィルターは適用されていません。
システムがサポートできるセッションの総数は、VN2VF_PortセッションとVN2VN_Portセッションの合計数です。VN2VF_Portセッションがアクティブな場合、使用可能なVN2VN_Portセッションの総数が減少します。
VN2VN_PORT FIP スヌーピングの実装
FCoEトラフィックを伝送するVLAN上で、VLANごとにVN2VN_Port FIPスヌーピングを有効にします。スイッチは、FIP スヌーピングで有効な FCoE VLAN に関連するポートで FIP フレームVN2VN_Portスヌーピングします。その後、スイッチは、結果として得られるフィルターを ENode に面したポートにインストールし、すべての FIP スヌーピングがスイッチ ネットワーク エッジで発生することを確認します。
FIP スヌーピング FCoE VLAN VN2VN_Portは、以下の基準を満たす必要があります。
FCoE VLAN は、FCoE トラフィック専用にする必要があります。
FCoE VLAN は、VN2VF_PORT FIP スヌーピング(FC-BB-5)と VN2VN_PORT FIP スヌーピング(FC-BB-6)の両方を同時にサポートできません。FIP スヌーピング トラフィックと FIP スヌーピング トラフィックのVN2VN_Portには、個別の FCoE VLAN を設定する必要があります。
メモ:FCoE VLAN を FIP スヌーピング モードVN2VF_Portから FIP スヌーピング モードVN2VN_Port変更すると、VLAN 上の既存の仮想リンクが終端します。トランジット スイッチは、既存の FIP スヌーピング フィルターを削除し、新しい FIP スヌーピング フィルターを作成して、FIP スヌーピング ポートに適用します。ソフトウェアをJunos OSリリース12.1以前にダウングレードすると、FIPスヌーピング用に設定されたVLAN VN2VN_Port、FIPスヌーピングVLAN VN2VF_Portに戻ります。
ELS(拡張レイヤー 2 ソフトウェア)を実行しないスイッチの場合、ベスト プラクティスとして、FCoE VLAN に属するすべてのアクセス ポート(FCoE デバイスのコンバージド ネットワーク アダプター [CNA] に接続されたポート)をポート モードで
tagged-access
設定する必要があります。ただし、アクセス ポート モードとトランク ポート モードもサポートされています。ELSを使用するスイッチでは、インターフェイスモードでFCoE VLANに属するアクセスポートをtrunk
設定します。アクセス ポートは、信頼できないポートとして設定する必要があります。
別のトランジット スイッチに接続されたすべてのポートは、ポート モードで
trunk
設定する必要があります。FIPトラフィックはネイティブVLANを使用します。
ネイティブVLANでVN2VN_Port FIPスヌーピングを有効にすることができます。
ENode に面したインターフェイス
FCoE VLANに属するインターフェイスがFCoEデバイスに直接接続している場合(FCoEデバイスとスイッチの間に他のトランジットスイッチはない)、すべてのFCoE VLANでVN2VN_Port FIPスヌーピングを有効にしてVN_Ports間の安全な接続を確保するか、ENodeをFCスイッチに接続するFCoE VLANのVN2VF_Port FIPスヌーピングを有効にすることをお勧めします。FIP スヌーピングは、アクセス エッジで常に有効にする必要があります。
拡張レイヤー 2 ソフトウェア(ELS)を実行するシステムは、ENode に面したインターフェイスで、ELS を実行しないシステムとは少し異なる設定をサポートしています。このセクションでは、以下について説明します。
- FCoE インターフェイスの非 ELS ポート モード
- FCoE インターフェイスの ELS インターフェイス モード
- 信頼できる FCoE インターフェイスと信頼できない FCoE インターフェイス
FCoE インターフェイスの非 ELS ポート モード
CNAがタグ付きVN2VNトラフィックをサポートしていない限り、FCoE VLANに属するインターフェイス(FCoEデバイスのCNAに接続するインターフェイス)は、ポートモードで tagged-access
設定する必要があります。FCoE VLAN で FIP スヌーピングVN2VN_Port有効にすると、トランジット スイッチは、ENode が別の ENode と共に有効なファブリック ログイン(FIP FLOGI)を実行するまで、その VLAN 上の任意の ENode から FCoE トラフィックを拒否します。
ポート モードは tagged-access
、Junos OS リリース 11.3 以前のリリースでは使用できませんでした。リリース11.3以前では、 trunk
FCoEアクセスデバイスに接続されたイーサネットインターフェイスにポートモードが使用されました。モードが利用できるようになったため tagged-access
、FCoE CTA に接続されたインターフェイスにモードを使用 trunk
することは推奨されません。
既存の設定がFCoE CTAに接続されたポートにモードを使用trunk
している場合、トラフィックを中断せずにポートモードを にtagged-access
変更できます。ベストプラクティスとしてこれらのポートのポートモードをtagged-access
変更trunk
することを推奨しますが、必須ではありません。新しい設定では、FCoE デバイスに接続するインターフェイスでモードを使用tagged-access
する必要があります。
FCoE インターフェイスの ELS インターフェイス モード
ELSをサポートするシステム上のFCoE VLAN(FCoEデバイスのCCAに接続するインターフェイス)に属するインターフェイスは、インターフェイスモードで trunk
設定する必要があります。FCoE VLAN で FIP スヌーピングVN2VF_Port有効にすると、トランジット スイッチは、ENode が FC スイッチで有効なファブリック ログインを実行するまで、その VLAN 上の任意の ENode から FCoE トラフィックを拒否します。
信頼できる FCoE インターフェイスと信頼できない FCoE インターフェイス
これらのインターフェイスで FIP スヌーピングが有効になっている VN2VF_Port場合、ENode に面したインターフェイスを FCoE 信頼できるインターフェイスとして設定しないでください。FCoE VLAN で FIP スヌーピングVN2VF_Port有効にし、FIP スヌーピング VLAN fcoe-trusted
のメンバーである ENode に面したインターフェイスを設定すると、FCoE デバイスが FC ネットワークにログインできなくなる可能性があります。
ポートを信頼されていないから信頼できるものに変更すると、FIP スヌーピング フィルターが既存のVN2VF_Portをポートから削除し、既存のセッションが終了します。ファブリック ポートを信頼済みから信頼できない状態に変更すると、これらのポート上のすべての FCoE セッションがログアウトされます。そのため、ENode とVN_Ports再びログインすると、スイッチは FIP スヌーピング フィルター VN2VF_Port適切なを構築できます。
ネットワークに面したインターフェイス(別のトランジット スイッチに接続)
(ENode ではなく)別のトランジット スイッチに接続されているインターフェイスを、FCoE 信頼できるインターフェイスとして、ポート モードで trunk
、10 ギガビット イーサネット インターフェイスとして設定します。
ネットワークに面したイーサネット インターフェイスには、以下の要件と動作があります。
FCoE トランジット スイッチ上のネットワークに面したトランク ポートを、FCoE 信頼できるインターフェイスとして明示的に設定する必要があります。
ネットワークに面したトランク ポートを信頼できるインターフェイスとして設定した後、FCoE トランジット スイッチは信頼できるインターフェイス上の送信元から送信されるため、接続されたスイッチからのフレームを常に処理します。
ベスト プラクティスとして、FCoE VLAN のポートをタグ付きアクセス ポートとして設定しますが、CNA がサポートするあらゆるタイプの VN2VN トラフィックに対応するために、アクセス およびトランク ポート モードもサポートされています。
ビーコン期間(VN2VN_Port FIP スヌーピング リンク メンテナンス)
トランジット スイッチは、VN_Ports間の仮想リンクを維持する必要があり、いつセッションが開始および終了し、FIP スヌーピング フィルターをいつインストールおよび削除する必要があるかを把握する必要があります。FIPスヌーピングは、FIPキープアライブアドバタイズメントを使用してこのタスクを達成します。FIP スヌーピングVN2VN_Port、FIP キープアライブ タイマー情報は交換しません。代わりに、キープアライブタイマーと同じ機能を実行する ビーコン期間を設定します。
ビーコン期間は、メッセージ間の時間間隔です。これは、接続がまだ有効であり、仮想リンクのもう一方の端にあるデバイスにはまだ到達可能であることを確認します。FIP スヌーピングを実行するために設定する各 FCoE VLAN に対して、ビーコン期間値VN2VN_Port設定します。
FIP スヌーピングを設定する場合、ビーコンの期間VN2VN_Port明示的に設定します。VN_Portsビーコンは自動的に送信されません。
ENode は、定期的なマルチキャスト N_Port_ID ビーコンを ALL-VN2VN-ENode-MAC アドレスに送信します。ネットワーク上のマルチキャスト トラフィックの同期バーストを回避するために、送信期間は 0 ミリ秒~100 ミリ秒のランダムな遅延によって異なります。
トランジット スイッチが設定したビーコン期間の 2.5 倍以内に ENode からビーコン メッセージを受信しなかった場合、トランジット スイッチはその仮想リンクをダウンしたとみなし、その ENode への仮想リンクを終端します。
QFabric システムにおけるVN2VN_Port FIP スヌーピング のトラフィック処理の違い
QFabric システムでの FIP スヌーピングVN2VN_Portの設定は、スタンドアロン スイッチ上VN2VN_Port FIP スヌーピングの設定と同じです。ただし、QFabric システムが FIP スヌーピング トラフィックVN2VN_Port処理する方法は、スタンドアロン スイッチが FIP スヌーピング トラフィックVN2VN_Port処理する方法と比べて、内部的に異なります。内部の違いは透過的です。QFabric システムまたはスタンドアロン スイッチで FIP スヌーピングVN2VN_Port設定する場合でも、適切な FIP スヌーピング フィルターと転送情報は各デバイスにインストールされます。
スタンドアロン スイッチでは、FIP スヌーピング トラフィックVN2VN_Portはファブリックを通過しません(Interconnect デバイス)。VN2VN_Portトラフィックは単一スイッチのポートに出入りするため、イングレスポートとエグレスポートは、同じ ローカル フォワーディングおよびFIPスヌーピングデータベースにアクセスできます。
ただし、QFabric システムでは、FIP スヌーピング トラフィックVN2VN_Port、1 台のノード デバイスのイングレス ポートに入り、Interconnect デバイス ファブリックを通過し、別の Node デバイスのエグレス ポートで終了することがあります。この場合、QFabric システムは、トラフィックが正しくフィルタリングおよび転送されるように、VN2VN_Port トラフィックの FIP スヌーピング データベースと転送情報が両方のノード デバイスに正しくインストールされていることを確認する必要があります。
たとえば、図 1 は、FCoE ホスト ENode E1 からのトラフィック VN2VN_Portがノード デバイス ND1 の QFabric システムに入り、相互接続デバイス ファブリックを通過した後、ノード デバイス ND2 から出て FCoE ホスト ENode E2 に到着することを示しています。同様に、FCoE ホストからのVN2VN_Portトラフィック ENode E2 は、ノード デバイス ND2 の QFabric システムに入り、相互接続デバイス ファブリックを通過した後、ノード デバイス ND1 から出た後、FCoE ホスト ENode E1 に到着します。
QFabricシステムがENode E1またはENode E2のいずれかからFLOGI ACCを受信すると、QFabricシステムは、両方のノードデバイスに正しいVN2VN_Port FIPスヌーピングフィルターを作成およびインストールし、それに応じて転送テーブルを更新します。
さらに、QFabric システムでは、FIP スヌーピング セッションのVN2VN_Port統計が正しくカウントされていることを確認する必要もあります。2台のノードデバイスのそれぞれでセッションが実行されていても、2台のノードデバイスが同じセッションに属しているため、QFabricシステムは完全なVN2VN_Port接続を1つのセッションとしてカウントします。これにより、Interconnectデバイスファブリックを通過するVN2VN_Portセッションは、2つの個別セッションとしてではなく、1つの一意セッションとしてカウントされます。