Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

FCoE 전송 스위치에서 FIP 스누핑을 VF_Port VN_Port 이해

FCoE(Fibre Channel over Ethernet) FIP(Initialization Protocol) 스누핑은 FC(Fibre Channel) 네트워크에 대한 무단 액세스 및 데이터 전송을 방지하도록 설계된 보안 메커니즘입니다. FC 네트워크에 로그인한 서버만 해당 네트워크에 액세스할 수 있도록 트래픽을 필터링하여 작동합니다.

스위치가 이더넷 네트워크의 FCoE 디바이스를 FC SAN(Storage Area Network) 에지의 FC 스위치 또는 게이트웨이에 연결하는 액세스 에지의 FCoE 전송 스위치인 경우 FCoE VLAN에서 VN_Port VF_Port(VN2VF_Port) FIP 스누핑(FC-BB-5)을 명시적으로 사용하도록 설정합니다. 전송 스위치는 VN2VF_Port FIP 스누핑을 사용하도록 설정한 FCoE VLAN과 연결된 포트에 FIP 스누핑 필터를 적용합니다. FCoE 전송 스위치는 FIP 스누핑 기능이 있는 DCB(Data Center Bridging) 스위치입니다.

CNA(수렴형 네트워크 어댑터)가 있는 FCoE 디바이스는 FIP 프로세스를 사용하여 FC 네트워크에 FCoE 노드(ENode)로 로그인합니다. 로그인 프로세스는 ENode의 가상 N_Port(VN_Port)와 FC 스위치의 가상 F_Port(VF_Port) 간에 전용 가상 링크를 설정합니다. 이 전용 가상 링크는 포인트 투 포인트 연결을 에뮬레이션합니다. 에뮬레이트된 연결을 가상 링크라고 합니다.

가상 링크는 전송 스위치를 통해 투명하게 전달됩니다. ENode VN_Port 및 FC 스위치 VF_Port 전송 스위치를 감지하지 못하며 가상 링크는 직접 포인트 투 포인트 링크로 나타납니다.

스위치는 FIP 스누핑VN2VF_Port VN2VF_Port사용하도록 설정한 FCoE VLAN과 연결된 FCoE 네트워크 연결 포트에 FIP 스누핑 방화벽 필터를 적용합니다. FIP 스누핑은 FIP 트랜잭션 중에 FC 디바이스에 대해 수집(스누핑)된 정보를 기반으로 방화벽 필터를 생성하여 가상 링크에 대한 보안을 제공합니다.

또한 스위치는 VN2VN_Port(VN_Port to VN_Port) FIP 스누핑(FC-BB-6)을 지원하여 FCoE 전송 스위치에서 FIP 스누핑을 VN_Port VN_Port 이해에 설명된 대로 FCoE 개시자 및 대상이 FCoE 포워더(FCF) 또는 FC 스위치를 거치지 않고 스위치를 통해 직접 통신할 수 있도록 합니다.

참고:

FCoE VLAN은 VN2VF_Port FIP 스누핑(FC-BB-5) 또는 VN2VN_Port FIP 스누핑(FC-BB-6) 중 하나를 지원할 수 있지만 둘 다 지원할 수는 없습니다. 동일한 스위치에 여러 FCoE VLAN을 구성할 수 있으며, 일부는 VN2VF_Port FIP 스누핑 트래픽용이고 다른 일부는 VN2VN_Port FIP 스누핑 트래픽용입니다. VN2VN_Port 스누핑 VLAN으로 구성된 FCoE VLAN에서는 VN2VF_Port FIP 스누핑 트래픽이 삭제됩니다.

FCoE VLAN에서 FIP 스누핑VN2VF_Port 활성화하면 시스템 스누핑은 패킷을 VF_Port하기 위해 VN_Port VN2VF_Port 가상 링크에만 보안을 적용합니다.

FCoE VLAN VN2VN_Port FIP 스누핑을 활성화하면 시스템 스누핑은 패킷을 VN_Port하기 위해 VN_Port하고 VN2VN_Port 가상 링크에만 보안을 적용합니다.

이 주제는 다음에 대해 설명합니다.

FC 네트워크 보안

기존 FC 네트워크에서 FC 스위치는 일반적으로 신뢰할 수 있는 엔티티이며 서버 네트워크는 해당 스위치에 직접 연결됩니다VF_Ports. ENode가 패브릭 로그인(FLOGI) 프로세스를 통해 네트워크에 대한 액세스 권한을 얻은 후 FC 스위치는 구역 지정 구성을 적용하고, ENode가 유효한 주소를 사용하는지 확인하고, 연결을 모니터링하고, 무단 액세스를 방지하기 위한 기타 보안 기능을 수행합니다.

그러나 FCoE는 네이티브 FC 네트워크와 동일한 수준의 보안을 갖지 않는 이더넷 네트워크에 FC 프레임을 노출합니다. VN2VF_Port FIP 스누핑 방화벽 필터는 그림 1과 같이 전송 스위치를 통해 FC 스위치에 대한 무단 액세스를 방지하고 각 ENode와 FC 스위치 간의 가상 링크 보안을 보장함으로써 네이티브 FC 네트워크 보안 기능을 에뮬레이션합니다. VN2VF_Port FIP 스누핑은 메시지 가로채기(man-in-the-middle) 공격도 방지합니다.

그림 1: FIP 스누핑 FCoE Transit Switch Performs VN2VF_Port FIP Snooping VN2VF_Port 수행하는 FCoE 전송 스위치

전송 스위치는 FCoE 디바이스에 연결된 포트에서 VN2VF_Port FIP 스누핑을 수행합니다. SAN 에지에서 FC 스위치는 FCoE 트래픽을 네이티브 FC 트래픽으로 변환할 수 있어야 합니다.

VN2VF_Port FIP 스누핑 기능

VN2VF_Port FIP 스누핑이 활성화되면 전송 스위치는 기본적으로 모든 FCoE 트래픽을 차단하도록 필터를 설정하고 적용합니다. 전송 스위치는 이를 통과하는 FIP 로그인, 요청 및 광고를 모니터링하고 FC 스위치의 ENode 주소 및 포트 주소에 대한 정보를 수집합니다. 전송 스위치는 이 정보를 사용하여 로그인한 네트워크에 대한 액세스만 허용하는 방화벽 필터를 구성합니다. VLAN의 다른 모든 트래픽은 거부됩니다.

예를 들어, FCoE VLAN의 ENode가 FC 스위치 포트에 성공적으로 로그인하면 전송 스위치는 FIP 정보를 스누핑하고 FC 스위치의 해당 포트에 대한 ENode에 대한 액세스를 제공하는 방화벽 필터를 구성합니다.

방화벽 필터를 사용하면 FCoE 디바이스 ENode VN_Port와 로그인한 FC 스위치 VF_Port 간에 설정된 가상 링크에서만 FCoE 프레임이 전송 스위치를 통과할 수 있습니다. 방화벽 필터는 ENodes가 성공적으로 로그인한 FC 스위치에만 연결할 수 있고 유효한 경로를 따라 유효한 FCoE 트래픽만 전송되도록 합니다. VN2VF_Port FIP 스누핑은 FCoE 세션(FCF 세션에 대한 ENode)을 추적하여 필터를 유지합니다.

FIP 스누핑 방화벽 필터

방화벽 필터의 효과는 FCoE 포트를 보호하는 것입니다. VN2VF_Port FIP 스누핑은 다음 작업을 수행하고 FCoE 트래픽이 유효한지 확인합니다.

  • FC 스위치 MAC(미디어 액세스 제어) 주소를 소스 주소로 사용하는 ENode를 거부합니다.

  • ENodes가 FIP 및 FCoE 프레임을 FC 스위치 주소로 전송할 수 있도록 합니다.

  • FC 스위치가 할당하거나 수락하는 FCoE 소스 주소가 FCoE 트래픽에만 사용되도록 합니다.

  • FCoE 프레임이 수락하는 FC 스위치로만 전달되도록 합니다.

FIP 스누핑 세션 확장성

최대 2,500개의 세션을 지원하는 향상된 FIP 스누핑 세션 스케일링이 기본적으로 활성화됩니다. QFabric 시스템에서 향상된 FIP 스누핑 스케일링을 비활성화하려면(지원되는 세션 수를 376개 세션으로 줄임) Enhanced FIP Snooping Scaling 비활성화에 설명된 대로 할 수 있습니다.

기본적으로 인터페이스, FCoE-FC 게이트웨이 패브릭(독립형 스위치 또는 QFabric 시스템 노드 디바이스로 구성된 QFX3500 스위치에서만 지원됨), 스위치, QFabric 노드 디바이스 또는 QFabric 노드 그룹에서 최대 총 2500개의 FIP 스누핑 세션이 지원됩니다. 예를 들어 다음을 수행할 수 있습니다.

  • 2,500개의 세션을 모두 하나의 FCoE 인터페이스에 배치합니다.

  • 하나의 FCoE VLAN에서 여러 FCoE 인터페이스 간에 2500개의 세션을 분할합니다.

  • 여러 FCoE VLAN의 여러 FCoE 인터페이스 간에 2500개의 세션을 분할합니다.

  • 스위치의 여러 게이트웨이 FC 패브릭에 있는 FCoE 인터페이스 간에 2500개의 세션을 분할합니다.

  • QFabric 노드 그룹의 여러 노드 디바이스에 있는 여러 게이트웨이 FC 패브릭의 FCoE 인터페이스 간에 2500개의 세션을 분할합니다.

스위치 또는 QFabric 시스템 노드 디바이스 또는 노드 그룹의 인터페이스와 로컬 FC 패브릭 간에 세션을 할당하는 방법에 관계없이 결합된 FIP 세션 제한은 최대 2500개 세션입니다.

참고:

시스템이 지원할 수 있는 총 세션 수는 VN2VF_Port 세션과 VN2VN_Port 세션을 합한 수입니다. VN2VN_Port 세션이 활성화되면 사용 가능한 VN2VF_Port 세션의 총 수가 줄어듭니다.

VN2VF_Port FIP 스누핑 구현

FCoE 트래픽을 전송하는 VLAN에서 VLAN별로 VN2VF_Port FIP 스누핑을 활성화할 수 있습니다. 스위치는 VN2VF_Port FIP 스누핑을 위해 활성화된 FCoE VLAN과 연결된 포트에서 FIP 프레임을 스누핑합니다. 그런 다음 스위치는 결과 방화벽 필터를 포트에 설치하여 모든 VN2VF_Port FIP 스누핑이 스위치 네트워크 에지에서 발생하도록 합니다.

FIP 스누핑 FCoE VLAN VN2VF_Port 다음 기준을 충족해야 합니다.

  • FCoE VLAN은 FCoE 트래픽 전용이어야 합니다.

  • FCoE VLAN은 VN2VF_Port FIP 스누핑과 VN2VN_Port FIP 스누핑을 동시에 지원할 수 없습니다. VN2VF_Port FIP 스누핑 트래픽과 VN2VN_Port FIP 스누핑 트래픽에 대해 별도의 FCoE VLAN을 구성해야 합니다.

    참고:

    FCoE VLAN VN2VF_Port FIP 스누핑 모드에서 VN2VN_Port 스누핑 모드로 변경하면 VLAN의 기존 가상 링크가 종료됩니다. 전송 스위치는 기존 FIP 스누핑 필터를 제거하고 새 FIP 스누핑 필터를 생성하여 FIP 스누핑 포트에 적용합니다. 소프트웨어를 Junos OS 릴리스 12.1 이하로 다운그레이드하면 FIP 스누핑VN2VN_Port 위해 구성된 VLAN이 VN2VF_Port FIP 스누핑 VLAN으로 되돌아갑니다.

  • ELS(Enhanced Layer 2 Software) CLI를 지원하지 않는 소프트웨어를 사용하는 시스템의 경우 포트 모드에서 FCoE VLAN에 속하는 모든 액세스 포트(FCoE 디바이스의 CNA[Converged Network Adapter]에 연결된 포트) tagged-access 를 구성합니다. 트렁크 포트 구성이 지원되더라도 FCoE VLAN과 연결된 액세스 포트는 이러한 플랫폼에서 액세스 포트 또는 트렁크 포트로 구성해서는 안 됩니다.

    그러나 ELS CLI를 사용하는 스위치에서는 인터페이스 모드에서 FCoE VLAN trunk 에 속하는 액세스 포트를 구성합니다.

  • FC 스위치(또는 FCoE 포워더)에 연결된 모든 포트는 포트 모드로 구성해야 trunk 합니다. FC 스위치에 연결된 포트는 신뢰할 수 있는 포트로 구성해야 합니다.

  • FIP 트래픽은 네이티브 VLAN을 사용합니다(FIPS VLAN 검색 및 알림 프레임은 태그 없는 패킷으로 교환됨).

  • 모든 FCoE VLAN 트래픽은 태그가 지정되어야 하며 네이티브 VLAN에 속할 수 없습니다.

  • FCoE VLAN 트래픽은 태그 해제 또는 우선순위 태그 지정이 불가능합니다.

FIP 스누핑VN2VF_Port 활성화하면 스위치가 FIP 프레임을 검사합니다.

VN2VF_Port FIP 스누핑 구현에는 다음 섹션에서 설명하는 다음 고려 사항이 포함됩니다.

  • Eode 대면 인터페이스

  • 네트워크 대면 인터페이스

  • FC-MAP(FCoE Mapped Address Prefix) 값

ENode 대면 인터페이스

FCoE VLAN에 속하는 인터페이스가 FCoE 디바이스에 직접 연결되는 경우(FCoE 디바이스와 스위치 사이에 다른 전송 스위치가 없음) VN_Ports VF_Ports에 연결하는 모든 FCoE VLAN에서 VN2VF_Port FIP 스누핑을 활성화하는 것이 좋습니다. FIP 스누핑을 활성화하면 서버 ENode와 FC 스위치 간의 보안 연결이 보장됩니다. (FIP 스누핑VN2VN_Port 활성화하면 VN_Ports 다른 VN_Ports 연결하는 FCoE VLAN에서 보안 연결이 보장됩니다. FIP 스누핑은 항상 액세스 에지에서 활성화되어야 합니다.

ELS(Enhanced Layer 2 Software)를 실행하는 시스템은 ELS를 실행하지 않는 시스템과 ENode 대면 인터페이스에서 약간 다른 구성을 지원합니다. 이 섹션에서는 다음에 대해 설명합니다.

FCoE 인터페이스를 위한 비-ELS 포트 모드

ELS를 지원하지 않는 시스템에서 FCoE VLAN(FCoE 디바이스의 CNA에 연결하는 인터페이스)에 속하는 인터페이스는 포트 모드에서 구성해야 tagged-access 합니다. FCoE VLAN VN2VF_Port FIP 스누핑을 활성화하면 ENode가 FC 스위치로 유효한 패브릭 로그인을 수행할 때까지 전송 스위치는 해당 VLAN의 모든 ENode에서 FCoE 트래픽을 거부합니다.

tagged-access Junos OS 릴리스 11.3 및 이전 릴리스에서는 포트 모드를 사용할 수 없었습니다. 릴리스 11.3 및 이전 버전에서는 trunk FCoE 액세스 디바이스에 연결된 이더넷 인터페이스에 포트 모드가 사용되었습니다. 이제 모드를 사용할 수 있으므로 tagged-access FCoE CNA에 연결된 인터페이스에 모드를 사용하지 trunk 않는 것이 좋습니다.

기존 구성이 FCoE CNA에 연결된 포트에 모드를 사용하는 trunk 경우 트래픽을 중단하지 않고 포트 모드를 로 tagged-access 변경할 수 있습니다. 이러한 포트의 포트 trunk 모드를 에서 로 tagged-access 변경하는 것이 가장 좋지만 필수는 아닙니다. 새 구성은 FCoE 디바이스에 연결하는 인터페이스에 모드를 사용해야 tagged-access 합니다.

FCoE 인터페이스를 위한 ELS 인터페이스 모드

ELS를 지원하는 시스템에서 FCoE VLAN(FCoE 디바이스의 CNA에 연결하는 인터페이스)에 속하는 인터페이스는 인터페이스 모드에서 구성해야 trunk 합니다. FCoE VLAN VN2VF_Port FIP 스누핑을 활성화하면 ENode가 FC 스위치로 유효한 패브릭 로그인을 수행할 때까지 전송 스위치는 해당 VLAN의 모든 ENode에서 FCoE 트래픽을 거부합니다.

신뢰할 수 있는 FCoE 인터페이스와 신뢰할 수 없는 FCoE 인터페이스

해당 인터페이스에서 VN2VF_Port FIP 스누핑이 활성화된 경우 ENode 대면 인터페이스를 FCoE 신뢰할 수 있는 인터페이스로 구성하지 마십시오. FCoE VLAN VN2VF_Port FIP 스누핑을 활성화하고 FIP 스누핑 VLAN의 멤버인 ENode 대면 인터페이스를 로 fcoe-trusted구성하는 경우 FCoE 디바이스가 FC 네트워크에 로그인하지 못할 수 있습니다.

포트를 신뢰할 수 없음에서 신뢰할 수 있는 포트로 변경하면 포트에서 기존 VN2VF_Port FIP 스누핑 필터가 제거되고 기존 세션이 종료됩니다. 패브릭 포트를 신뢰할 수 있는 포트에서 신뢰할 수 없는 포트로 변경하면 해당 포트의 모든 FCoE 세션이 강제로 로그아웃되므로 ENodes 및 VN_Ports 다시 로그인할 때 스위치가 적절한 VN2VF_Port FIP 스누핑 필터를 구축할 수 있습니다.

네트워크 대면 인터페이스

스위치가 FCoE 전송 스위치 역할을 하는 경우, 스위치에 연결된 모든 인터페이스를 포트 모드의 trunk FCoE 신뢰할 수 있는 인터페이스와 10기가비트 이더넷 인터페이스로 구성해야 합니다.

스위치 대면 이더넷 인터페이스에는 다음과 같은 요구 사항 및 동작이 있습니다.

  • FCoE 전송 스위치의 스위치 방향 트렁크 포트를 FCoE 신뢰할 수 있는 인터페이스로 명시적으로 구성해야 합니다.

  • FC 스위치 대면 트렁크 포트를 신뢰할 수 있는 인터페이스로 구성한 후, FCoE 전송 스위치는 FC 스위치 프레임이 신뢰할 수 있는 인터페이스의 소스에서 제공되기 때문에 항상 FC 스위치 프레임을 처리합니다.

  • FCoE VLAN의 모든 포트는 태그가 지정된 액세스 또는 트렁크 포트로 구성되어야 합니다.

FCoE 매핑 주소 접두사 값(FC-MAP)

스위치가 FCoE 전송 스위치 역할을 하고 FCoE VLAN에서 FIP 스누핑VN2VF_Port 활성화하면 선택적으로 24비트 FCoE 매핑 주소 접두사(FC-MAP) 값을 지정할 수 있습니다. 지정된 VLAN에서 전송 스위치는 일치하는 FC-MAP 값을 가진 FC 스위치만 학습합니다. 전송 스위치 FCoE VLAN FC-MAP 값이 FC 스위치 FC-MAP 값과 일치하지 않으면 전송 스위치는 해당 VLAN에서 FC 스위치를 검색하지 못하며 해당 VLAN의 ENodes는 FC 스위치에 액세스할 수 없습니다. FCoE VLAN은 하나의 FC-MAP 값만 가질 수 있습니다.

FC-MAP 값은 FC 스위치가 지정된 FC 패브릭에 대한 FCoE 트래픽(특정 FCoE VLAN의 트래픽)을 식별하는 데 사용하는 FC SAN 패브릭의 FC 스위치에 고유한 MAC 주소 접두사입니다. FC 스위치는 로그인 프로세스 중에 FC-MAP 값을 ENode VN_Port에 대한 고유한 24비트 FCID 값과 결합합니다. 이렇게 하면 패브릭에 고유한 48비트 식별자가 생성됩니다. FC 스위치는 이 48비트 값을 세션의 MAC 주소 및 고유 식별자로 ENode VN_Port에 할당합니다. ENode가 FC 스위치와 함께 설정하는 각 VN_Port 세션은 FC 스위치에서 고유한 FCID를 수신하므로 FCoE 디바이스는 각각 패브릭에 고유한 48비트 MAC 주소를 가진 FC 스위치에 대한 여러 가상 링크(각 VN_Port에 대해 하나씩)를 호스팅할 수 있습니다.

VN2VF_Port FIP 스누핑 필터는 구성된 FC-MAP 값을 ENode VN_Port에서 오는 프레임 헤더의 FC-MAP 값과 비교합니다. 값이 일치하지 않으면 전송 스위치가 액세스를 거부합니다.

참고:

FC-MAP 값을 변경하면 모든 로그인이 삭제되고 ENodes가 강제로 다시 로그인됩니다.
참고:

FC-MAP 값을 접두사(MAC 주소의 처음 24비트)로 사용하여 정적 MAC 주소를 구성하지 마십시오. FC-MAP 값을 접두사로 사용하는 정적 MAC 주소를 구성하는 경우, FIP 스누핑을 활성화한 후 시스템은 정적 MAC 주소를 자동으로 삭제합니다. 나중에 FIP 스누핑을 비활성화하더라도 정적 MAC 주소 구성은 복원되지 않습니다. (시스템은 FC-MAP 값이 접두사로 있는 정적 MAC 주소를 잘못된 구성으로 간주합니다.) 스위치가 전송 스위치 역할을 할 때 FIP 스누핑 트래픽 이외의 트래픽에 대해 FC-MAP 값이 있는 MAC 주소를 접두사로 사용하지 마십시오.

T11 VN2VF_Port FIP 스누핑 사양

VN2VF_Port FIP 스누핑에 대한 자세한 내용은 기술 위원회 T11 조직 문서 FIP 스누핑을 사용하여 FCoE 견고성 향상에 대한 http://www.t11.org/ftp/t11/pub/fc/bb-5/08-264v3.pdf 를 참조하세요.

관련 문서