FCoE 전송 스위치에서 FIP 스누핑을 VN_Port VN_Port 이해
FCoE 전송 스위치의 VN2VN_Port(VN_Port to VN_Port) FCoE(Fibre Channel over Ethernet) FIP(Initialization Protocol) 스누핑(FC-BB-6)은 FCoE 전송 스위치의 VN_Port to VF_Port(VN2VF_Port) FIP 스누핑(FC-BB-5)과 개념적으로 유사합니다. FCoE 전송 스위치는 FIP 스누핑 기능이 있는 DCB(Data Center Bridging) 스위치입니다. VN2VN_Port FIP 스누핑은 필터 형태로 보안을 제공합니다. 필터는 이더넷 네트워크에서 ENode를 연결하는 브리지에서 무단 액세스 및 데이터 전송을 방지하는 데 도움이 됩니다.
VN2VN_Port FIP 스누핑과 VN2VF_Port FIP 스누핑의 주요 차이점은 FCoE 디바이스가 이더넷 네트워크에 상주할 때 VN2VN_Port FIP 스누핑을 사용하므로 FCoE 디바이스 간의 트래픽을 FC(파이버 채널) 네트워크로 전달할 필요가 없으며 이더넷 네트워크의 FCoE 디바이스가 FC 네트워크의 대상에 액세스해야 할 때 FIP 스누핑VN2VF_Port 사용한다는 것입니다. 따라서 FCoE 트래픽은 FC 네트워크로 전달되어야 합니다. FIP 스누핑 VN2VF_Port 대한 자세한 내용은 FCoE 전송 스위치에서 FIP 스누핑을 VF_Port VN_Port 이해를 참조하십시오.
VN2VN 트래픽을 전송하는 FCoE VLAN에서 VN2VN_Port FIP 스누핑을 활성화합니다. 전송 스위치는 VN2VN FIP 스누핑VN2VN_Port 사용하도록 설정한 FCoE VLAN과 연결된 포트에서 FIP 스누핑 필터를 적용합니다.
FIP 스누핑VN2VN_Port 주요 이점은 FCoE 개시자와 대상이 FCF(FCoE 포워더) 또는 FC 스위치를 거치지 않고 스위치를 통해 직접 통신할 수 있다는 것입니다. 전송 스위치는 두 VN_Ports 모두 FIP 가상 링크 엔드포인트로 간주하기 때문에 전송 스위치는 개시자와 대상을 구분하지 않습니다. 직접 VN2VN_Port 통신에는 ENode가 신뢰할 수 있는 엔터티가 아니기 때문에 보안 액세스(FIP 스누핑 필터)가 필요합니다.
이 주제는 다음에 대해 설명합니다.
VN2VN_Port FIP 스누핑 및 FIP 스누핑 가상 링크
T11 FC-BB-5 사양에 따른 FIP 스누핑은 FC 스위치 또는 FCF가 통신할 때 두 VN_Ports 사이의 경로에 있어야 합니다. T11 FC-BB-6 사양( http://www.t11.org/ftp/t11/pub/fc/bb-6/10-019v3.pdf 참조)에 도입된 VN2VN_Port FIP 스누핑을 사용하면 ENode가 FC 네트워크에 로그인한 경우 FCoE 전송 스위치가 FC 스위치 또는 FCF를 거치지 않고 두 개의 VN_Ports 서로 직접 연결할 수 있습니다.
FIP 스누핑VN2VF_Port ENode가 FC 네트워크에 로그인하면 FCoE 전송 스위치가 ENode와 FC 스위치 간의 FIP 통신을 스누핑합니다. FIP 스누핑 모드에서 전송 스위치는 스위치 액세스 포트에 필터를 생성하여 이더넷 네트워크의 다른 VN_Ports 대한 VN_Port 액세스를 제어합니다.VN2VN_Port VN2VN_Port FIP 스누핑 필터를 사용하면 스위치가 스위치를 통해 두 VN_Ports 간의 포인트 투 포인트 연결을 에뮬레이트하는 전용 가상 링크를 설정할 수 있습니다.
가상 링크는 전송 스위치를 통해 투명하게 전달됩니다. VN_Ports는 전송 스위치를 감지하지 못하며, 가상 링크는 직접 포인트 투 포인트 링크로 나타납니다.
스위치 또는 QFabric 시스템 노드 디바이스가 이더넷 네트워크의 FCoE 디바이스를 서로 연결하고 FC SAN(Storage Area Network) 에지의 FC 스위치 또는 게이트웨이에 연결하는 FCoE 전송 스위치인 경우 FCoE VLAN에 대한 VN2VN_Port FIP 스누핑을 명시적으로 활성화합니다.
FCoE VLAN은 VN2VF_Port FIP 스누핑 또는 VN2VN_Port FIP 스누핑 중 하나를 지원할 수 있지만 둘 다 지원할 수는 없습니다. VN2VF_Port FIP 스누핑 트래픽과 VN2VN_Port FIP 스누핑 트래픽에 대해 별도의 FCoE VLAN을 구성합니다. VN2VN_Port FIP 스누핑 VLAN으로 구성된 FCoE VLAN에서는 VN_Port 투 VF_Port 트래픽이 삭제됩니다.
FIP 스누핑을 활성화하면 시스템은 패킷을 VN2VF_Port 스누핑하고 VF_Port 가상 링크에 대한 VN_Port에만 보안을 적용합니다. FIP 스누핑VN2VN_Port 활성화하면 시스템 스누핑은 VN_Port FIP 패킷을 VN_Port하고 가상 링크를 VN_Port VN_Port에만 보안을 적용합니다.
전송 스위치는 VN2VN_Port FIP 스누핑VN2VN_Port 사용하도록 설정한 FCoE VLAN과 연결된 포트에서 FIP 스누핑 필터를 적용합니다. VN2VN_Port FIP 스누핑은 FIP 트랜잭션 중에 FCoE 디바이스에 대해 수집(스누핑)된 정보를 기반으로 필터를 생성하여 가상 링크에 대한 보안을 제공합니다.
VN2VN_Port 통신 모드
전송 스위치는 두 가지 VN2VN_Port 통신 모드를 지원합니다.
포인트 투 포인트 모드
멀티포인트 모드
포인트 투 포인트 모드에서는 두 개의 ENode가 네트워크에 연결되어 가상 링크에 대한 단일 VN_Port 형성VN_Port. 이는 FC 개시자와 FC 대상 간의 포인트 투 포인트 FC 링크와 유사합니다.
멀티포인트 모드에서는 여러 ENode가 네트워크에 연결되어 여러 가상 링크를 형성합니다. 각 가상 링크는 한 쌍의 VN_Ports 사이에 생성됩니다. 이는 기존 FC 네트워크의 루프 모드와 유사합니다.
VN2VN_Port 통신 모드가 구성되지 않았습니다. 네트워크에 연결된 ENode의 수에 따라 결정됩니다.
네트워크 보안
기존 FC 네트워크에서 FC 스위치는 일반적으로 신뢰할 수 있는 엔티티이고 서버 엔ode는 신뢰할 수 없는 엔티티입니다. ENodes는 FC 스위치 VF_Ports에 직접 연결됩니다. ENode가 패브릭 로그인(FLOGI) 프로세스를 통해 네트워크에 대한 액세스 권한을 얻은 후 FC 스위치는 구역 지정 구성을 적용하고, ENode가 유효한 주소를 사용하는지 확인하고, 연결을 모니터링하고, 무단 액세스를 방지하기 위한 기타 보안 기능을 수행합니다.
그러나 FCoE는 네이티브 FC 네트워크와 동일한 수준의 보안을 갖지 않는 이더넷 네트워크에 FC 프레임을 노출합니다. VN2VN_Port FIP 스누핑 필터는 무단 액세스를 방지하고 ENode VN_Ports 간의 가상 링크 보안을 보장하여 네이티브 FC 네트워크 보안 기능을 에뮬레이션합니다. 전송 스위치는 FCoE VN_Port 디바이스에 연결된 포트에서 VN2VN_Port FIP 스누핑을 수행합니다.
VN2VN_Port FIP 스누핑 기능
FIP 스누핑VN2VN_Port 활성화하면 전송 스위치가 필터를 설정하고 적용하여 기본적으로 VLAN의 모든 FCoE 트래픽을 차단합니다. 전송 스위치는 이를 통과하는 FIP 로그인, 요청 및 광고를 모니터링하고 ENode 주소에 대한 정보를 수집합니다. 전송 스위치는 이 정보를 사용하여 로그인한 ENode에 대한 액세스만 허용하는 필터를 구성합니다. VLAN의 다른 모든 트래픽은 거부됩니다.
필터를 사용하면 FCoE 프레임이 두 VN_Ports 사이에 설정된 가상 링크에서만 전송 스위치를 통과할 수 있습니다. 필터는 ENode가 서로 성공적으로 로그인한 경우에만 다른 ENode에 연결할 수 있고 유효한 경로를 따라 유효한 FCoE 트래픽만 전송되도록 합니다. FIP 스누핑VN2VN_Port VN_Port 세션에 대한 VN_Port 추적하여 필터를 유지합니다.
확장성
ENode는 신뢰할 수 없고 시스템은 신뢰할 수 없는 FIP 스누핑 인터페이스에 필터를 적용해야 하므로 스위치당 결합된 VN2VN_Port FIP 스누핑 세션의 총 수는 신뢰할 수 없는 인터페이스에서 376개 세션(ENode to ENode 세션)입니다. 신뢰할 수 있는 인터페이스로 구성된 인터페이스에서는 FIP 스누핑 필터가 적용되지 않습니다.
시스템이 지원할 수 있는 총 세션 수는 VN2VF_Port 세션과 VN2VN_Port 세션을 합한 수입니다. VN2VF_Port 세션이 활성화되면 사용 가능한 VN2VN_Port 세션의 총 수가 줄어듭니다.
VN2VN_Port FIP 스누핑 구현
FCoE 트래픽을 전송하는 VLAN에서 VLAN별로 VN2VN_Port FIP 스누핑을 활성화할 수 있습니다. 스위치는 VN2VN_Port FIP 스누핑을 위해 활성화된 FCoE VLAN과 연결된 포트에서 FIP 프레임을 스누핑합니다. 그런 다음 스위치는 ENode 연결 포트에 결과 필터를 설치하여 모든 FIP 스누핑이 스위치 네트워크 에지에서 발생하도록 합니다.
FIP 스누핑 FCoE VLAN VN2VN_Port 다음 기준을 충족해야 합니다.
FCoE VLAN은 FCoE 트래픽 전용이어야 합니다.
FCoE VLAN은 VN2VF_Port FIP 스누핑(FC-BB-5)과 VN2VN_Port FIP 스누핑(FC-BB-6)을 동시에 지원할 수 없습니다. FIP 스누핑 트래픽과 FIP 스누핑 트래픽에 대해 별도의 FCoE VLAN VN2VN_Port 구성해야 합니다.
참고:FCoE VLAN VN2VF_Port FIP 스누핑 모드에서 VN2VN_Port FIP 스누핑 모드로 변경하면 VLAN의 기존 가상 링크가 종료됩니다. 전송 스위치는 기존 FIP 스누핑 필터를 제거하고 새 FIP 스누핑 필터를 생성하여 FIP 스누핑 포트에 적용합니다. 소프트웨어를 Junos OS 릴리스 12.1 이하로 다운그레이드하면 FIP 스누핑VN2VN_Port 위해 구성된 VLAN이 VN2VF_Port FIP 스누핑 VLAN으로 되돌아갑니다.
ELS(Enhanced Layer 2 Software)를 실행하지 않는 스위치의 경우 FCoE VLAN에 속하는 모든 액세스 포트(FCoE 디바이스의 CNA[Converged Network Adapter]에 연결된 포트)
tagged-access를 포트 모드로 구성하는 것이 가장 좋습니다. 그러나 액세스 및 트렁크 포트 모드도 지원됩니다. ELS를 사용하는 스위치의 경우 인터페이스 모드에서 FCoE VLANtrunk에 속하는 액세스 포트를 구성합니다.액세스 포트는 신뢰할 수 없는 포트로 구성해야 합니다.
다른 전송 스위치에
trunk연결된 모든 포트는 포트 모드로 구성해야 합니다.FIP 트래픽은 네이티브 VLAN을 사용합니다.
네이티브 VLAN에서 VN2VN_Port FIP 스누핑을 활성화할 수 있습니다.
ENode 대면 인터페이스
FCoE VLAN에 속하는 인터페이스가 FCoE 디바이스에 직접 연결되는 경우(FCoE 디바이스와 스위치 간에 다른 전송 스위치가 없음) 모든 FCoE VLAN에서 VN2VN_Port FIP 스누핑을 활성화하여 VN_Ports 간의 보안 연결을 보장하거나 ENode VN2VF_Port FC 스위치에 연결하는 FCoE VLAN에서 FIP 스누핑을 활성화하는 것이 좋습니다. FIP 스누핑은 항상 액세스 에지에서 활성화되어야 합니다.
ELS(Enhanced Layer 2 Software)를 실행하는 시스템은 ELS를 실행하지 않는 시스템과 ENode 대면 인터페이스에서 약간 다른 구성을 지원합니다. 이 섹션에서는 다음에 대해 설명합니다.
FCoE 인터페이스를 위한 비-ELS 포트 모드
CNA가 태그가 지정된 VN2VN 트래픽을 지원하지 않는 한 FCoE VLAN(FCoE 디바이스의 CNA에 연결하는 인터페이스)에 속하는 인터페이스는 포트 모드에서 구성해야 tagged-access 합니다. FCoE VLAN VN2VN_Port FIP 스누핑을 활성화하면 ENode가 다른 ENode와 유효한 패브릭 로그인(FIP FLOGI)을 수행할 때까지 전송 스위치는 해당 VLAN의 모든 ENode에서 FCoE 트래픽을 거부합니다.
tagged-access Junos OS 릴리스 11.3 및 이전 릴리스에서는 포트 모드를 사용할 수 없었습니다. 릴리스 11.3 및 이전 버전에서는 trunk FCoE 액세스 디바이스에 연결된 이더넷 인터페이스에 포트 모드가 사용되었습니다. 이제 모드를 사용할 수 있으므로 tagged-access FCoE CNA에 연결된 인터페이스에 모드를 사용하지 trunk 않는 것이 좋습니다.
기존 구성이 FCoE CNA에 연결된 포트에 모드를 사용하는 trunk 경우 트래픽을 중단하지 않고 포트 모드를 로 tagged-access 변경할 수 있습니다. 이러한 포트 trunk 의 포트 모드를 에서 로 tagged-access 변경하는 것이 가장 좋지만 필수는 아닙니다. 새 구성은 FCoE 디바이스에 연결하는 인터페이스에 모드를 사용해야 tagged-access 합니다.
FCoE 인터페이스를 위한 ELS 인터페이스 모드
ELS를 지원하는 시스템에서 FCoE VLAN(FCoE 디바이스의 CNA에 연결하는 인터페이스)에 속하는 인터페이스는 인터페이스 모드에서 구성해야 trunk 합니다. FCoE VLAN VN2VF_Port FIP 스누핑을 활성화하면 ENode가 FC 스위치로 유효한 패브릭 로그인을 수행할 때까지 전송 스위치는 해당 VLAN의 모든 ENode에서 FCoE 트래픽을 거부합니다.
신뢰할 수 있는 FCoE 인터페이스와 신뢰할 수 없는 FCoE 인터페이스
해당 인터페이스에서 VN2VF_Port FIP 스누핑이 활성화된 경우 ENode 대면 인터페이스를 FCoE 신뢰할 수 있는 인터페이스로 구성하지 마십시오. FCoE VLAN VN2VF_Port FIP 스누핑을 활성화하고 FIP 스누핑 VLAN의 멤버인 ENode 대면 인터페이스를 로 fcoe-trusted구성하는 경우 FCoE 디바이스가 FC 네트워크에 로그인하지 못할 수 있습니다.
포트를 신뢰할 수 없음에서 신뢰할 수 있는 포트로 변경하면 포트에서 기존 VN2VF_Port FIP 스누핑 필터가 제거되고 기존 세션이 종료됩니다. 패브릭 포트를 신뢰할 수 있는 포트에서 신뢰할 수 없는 포트로 변경하면 해당 포트의 모든 FCoE 세션이 강제로 로그아웃되므로 ENodes 및 VN_Ports 다시 로그인할 때 스위치가 적절한 VN2VF_Port FIP 스누핑 필터를 구축할 수 있습니다.
네트워크 연결 인터페이스(다른 전송 스위치에 연결)
다른 전송 스위치(ENode가 아님)에 연결된 모든 인터페이스를 FCoE 신뢰할 수 있는 인터페이스, trunk 포트 모드 및 10기가비트 이더넷 인터페이스로 구성합니다.
네트워크 대면 이더넷 인터페이스에는 다음과 같은 요구 사항 및 동작이 있습니다.
FCoE 전송 스위치의 네트워크 대면 트렁크 포트를 FCoE 신뢰할 수 있는 인터페이스로 명시적으로 구성해야 합니다.
네트워크 연결 트렁크 포트를 신뢰할 수 있는 인터페이스로 구성한 후 FCoE 전송 스위치는 연결된 스위치의 프레임이 신뢰할 수 있는 인터페이스의 소스에서 제공되기 때문에 항상 연결된 스위치의 프레임을 처리합니다.
가장 좋은 방법은 FCoE VLAN의 포트를 태그가 지정된 액세스 포트로 구성하지만, 액세스 및 트렁크 포트 모드도 지원되어 CNA가 지원하는 모든 유형의 VN2VN 트래픽을 수용할 수 있습니다.
비콘 기간(VN2VN_Port FIP 스누핑 링크 유지 관리)
전송 스위치는 VN_Ports 간의 가상 링크를 유지해야 하며, 세션이 언제 시작되고 끝나는지, FIP 스누핑 필터를 언제 설치 및 제거해야 하는지 알아야 합니다. FIP 스누핑은 FIP keepalive 광고를 사용하여 이 작업을 수행합니다. VN2VN_Port FIP 스누핑은 FIP keepalive 타이머 정보를 교환하지 않습니다. 대신 keepalive 타이머와 동일한 기능을 수행하는 비콘 기간을 구성합니다.
비콘 기간은 연결이 여전히 유효한지, 그리고 가상 링크의 다른 쪽 끝에 있는 디바이스에 여전히 연결할 수 있는지 확인하는 메시지 간의 시간 간격입니다. FIP 스누핑을 수행하기 위해 구성하는 각 FCoE VLAN VN2VN_Port 대한 비콘 기간 값을 설정합니다.
FIP 스누핑VN2VN_Port 구성할 때 비콘 기간을 명시적으로 설정합니다. VN_Ports 자동으로 비콘을 보내지 않습니다.
ENode는 주기적인 멀티캐스트 N_Port_ID 비콘을 ALL-VN2VN-ENode-MACs 주소로 전송합니다. 전송 주기는 네트워크에서 멀티캐스트 트래픽의 동기화된 버스트를 방지하기 위해 0ms에서 100ms 사이의 임의 지연에 따라 달라집니다.
전송 스위치가 구성된 비콘 기간의 2.5배 이내에 ENode에서 비콘 메시지를 수신하지 않으면 전송 스위치는 가상 링크가 다운된 것으로 간주하고 해당 ENode에 대한 가상 링크를 종료합니다.
VN2VN_Port FIP 스누핑 트래픽 처리의 QFabric 시스템 차이점
QFabric 시스템에서 VN2VN_Port FIP 스누핑을 구성하는 것은 독립형 스위치에서 VN2VN_Port FIP 스누핑을 구성하는 것과 동일합니다. 그러나 독립형 스위치가 FIP 스누핑 트래픽을 처리하는 방식과 비교하여 QFabric 시스템이 VN2VN_Port FIP 스누핑 트래픽을 처리하는 방식에는 내부적으로 차이가 VN2VN_Port. 내부 차이는 투명합니다. QFabric 시스템 또는 독립형 스위치에서 VN2VN_Port FIP 스누핑을 구성하는지 여부에 관계없이 적절한 FIP 스누핑 필터와 포워딩 정보가 각 디바이스에 설치됩니다.
독립형 스위치에서 VN2VN_Port FIP 스누핑 트래픽은 패브릭(인터커넥트 디바이스)을 교차하지 않습니다. VN2VN_Port 트래픽은 단일 스위치에서 포트를 드나들기 때문에 수신 포트와 송신 포트는 동일한 로컬 포워딩 및 FIP 스누핑 데이터베이스에 액세스할 수 있습니다.
그러나 QFabric 시스템에서 FIP 스누핑 트래픽VN2VN_Port 한 노드 디바이스의 수신 포트로 들어가 인터커넥트 디바이스 패브릭을 통과하고 다른 노드 디바이스의 송신 포트에서 나갈 수 있습니다. 이 경우 QFabric 시스템은 트래픽이 올바르게 필터링되고 전달되도록 VN2VN_Port 트래픽에 대한 FIP 스누핑 데이터베이스 및 포워딩 정보가 두 노드 디바이스 모두에 올바르게 설치되었는지 확인해야 합니다.
예를 들어, 그림 1 은 FCoE 호스트 ENode E1의 VN2VN_Port 트래픽이 노드 디바이스 ND1에서 QFabric 시스템으로 들어가 인터커넥트 디바이스 패브릭을 통과한 다음 FCoE 호스트 ENode E2에 도착하기 전에 노드 디바이스 ND2에서 나가는 것을 보여줍니다. 마찬가지로, FCoE 호스트 ENode E2의 VN2VN_Port 트래픽은 노드 디바이스 ND2에서 QFabric 시스템으로 들어가 인터커넥트 디바이스 패브릭을 트래버스한 다음 FCoE 호스트 ENode E1에 도착하기 전에 노드 디바이스 ND1에서 종료됩니다.
전반의 트래픽 VN2VN_Port
QFabric 시스템이 ENode E1 또는 ENode E2에서 FLOGI ACC를 수신하면 QFabric 시스템은 두 노드 디바이스에 올바른 VN2VN_Port FIP 스누핑 필터를 생성하여 설치하고 그에 따라 포워딩 테이블을 업데이트합니다.
또한 QFabric 시스템은 VN2VN_Port FIP 스누핑 세션 통계가 올바르게 계산되도록 해야 합니다. 세션이 두 노드 디바이스 각각에서 실행되더라도 QFabric 시스템은 두 노드 디바이스가 동일한 세션에 속하기 때문에 전체 VN2VN_Port 연결을 하나의 세션으로 계산합니다. 이렇게 하면 Interconnect 디바이스 패브릭을 통과하는 VN2VN_Port 세션이 두 개의 개별 세션이 아닌 하나의 고유한 세션으로 계산됩니다.