Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de fiP Snooping

El espionaje del protocolo de inicialización de canal de fibra a través de Ethernet (FCoE) (FIP) es un mecanismo de seguridad diseñado para evitar el acceso no autorizado y la transmisión de datos a una red de canal de fibra (FC). Funciona filtrando el tráfico para permitir que solo los servidores que han iniciado sesión en la red FC accedan a la red. Habilita la fisonización FIP en vlan FCoE cuando el conmutador se utiliza como un conmutador de tránsito FCoE que conecta iniciadores FC (servidores) en la red Ethernet a reenviadores FCoE (FCF) en el borde de la red de área de almacenamiento (SAN) de FC.

Mediante el proceso FIP, los servidores que tienen un adaptador de red convergente (CNA) presentan un nodo FCoE (ENode) que puede iniciar sesión en la red FC. El proceso de inicio de sesión establece un vínculo virtual dedicado entre el ENode y la FCF para emular una conexión punto a punto que pasa de manera transparente a través del conmutador de tránsito FCoE.

El conmutador de tránsito FCoE aplica filtros de firewall de espionaje FIP en los puertos de acceso de borde asociados con las VLAN FCoE en las que habilita la fisonización FIP. La fisgonización FIP proporciona seguridad para los vínculos virtuales mediante la creación automática de filtros de firewall basados en la información recopilada (espiada) sobre los dispositivos FC durante las transacciones FIP.

En este tema se describe lo siguiente:

Seguridad de red FC

En las redes FC puras tradicionales, la FCF es una entidad de confianza y los ENodes de servidor se conectan directamente a la FCF. Después de que un ENode obtenga acceso a la red mediante el proceso de inicio de sesión de estructura (FLOGI), la FCF aplica configuraciones de zonificación, garantiza que ENode use direcciones válidas, monitoree la conexión y realice otras funciones de seguridad para evitar el acceso no autorizado.

Los filtros de firewall de espionaje FIP emulan estas funciones de seguridad evitando el acceso no autorizado a la FCF a través del conmutador de tránsito y garantizando la seguridad del vínculo virtual entre cada ENode y la FCF. La fisgonización FIP también previene ataques del hombre en el medio.

Funciones de fisgoneo FIP

Cuando habilita la supervisión FIP, el conmutador de tránsito FCoE monitorea los inicios de sesión, las solicitudes y los anuncios de FIP que pasan por ella y recopila información sobre la dirección ENode y la dirección de la FCF. El conmutador de tránsito utiliza la información para construir filtros de firewall que permiten el acceso solo a ENodes conectados. Se niega el resto del tráfico de la VLAN.

Por ejemplo, cuando un ENode en una VLAN FCoE realiza un inicio de sesión correcto, el conmutador de tránsito FCoE busca la información fiP, construye un filtro de firewall que permite el acceso para el ENode y agrega el filtro en todos los puertos de acceso del conmutador de tránsito asociados con la VLAN FCoE.

Los filtros de firewall permiten que las tramas FCoE pasen por el conmutador de tránsito solo entre el puerto FCoE ENode del servidor y el puerto FCoE fcf al que el servidor ENode ha iniciado sesión. Esto garantiza que los ENodes solo puedan conectarse a las FCF a las que han iniciado sesión correctamente y que solo se transmita el tráfico FCoE válido. La fisgonera FIP mantiene los filtros mediante el seguimiento de sesiones de FCoE.

Filtros de firewall de fiP Snooping

Los filtros de firewall de espionaje FIP niegan cualquier tráfico FCoE en la VLAN, excepto el tráfico que se origina en ENodes que ya han iniciado sesión en la FCF.

El fisgoneo FIP realiza estas acciones y comprobaciones para garantizar que el tráfico FCoE sea válido:

  • Deniega ENodes que utilizan la dirección MAC (control de acceso de medios FCF) como dirección de origen.

  • Niega todo el tráfico del ENode que no sea el tráfico dirigido a la FCF en la que el Enode ha iniciado sesión.

  • Restringe el ENode para enviar solo tráfico de protocolo FCoE en el vínculo virtual.

  • Permite que ENode transmita solo tramas FIP y FCoE a la dirección FCF.

  • Garantiza que la dirección de origen de FCoE que usa un ENode después de la detección fabica de inicio de sesión y estructura (FDISC) es la dirección que la FCF asigna a ese ENode.

  • Garantiza que la dirección de origen de FCoE que la FCF asigna o acepta solo se usa para el tráfico FCoE.

  • Garantiza que las tramas FCoE solo se dirijan a la FCF que acepta.

Implementación de fiP Snooping

Habilite la fisgonización FIP por VLAN. El conmutador de tránsito FCoE fisgonea las tramas FIP en los puertos de acceso asociados con las VLAN habilitadas para la fisonización FIP y, a continuación, instala los filtros de firewall resultantes en los puertos de acceso para asegurarse de que todo el espionaje se produce en el borde de la red del conmutador de tránsito FCoE.

Las VLAN FCoE pueden incluir puertos de acceso y puertos troncales. Los puertos de acceso se enfrentan a los hosts (servidores FCoE y otros iniciadores FCoE), y los puertos de troncalización se enfrentan a la FCF. Cuando se habilita el fisgoneo FIP, el conmutador de tránsito FCoE inspecciona las tramas FIP y FCoE.

La implementación de fip snooping incluye estas consideraciones:

Interfaces orientadas a ENode de servidor

Le recomendamos que habilite la fisgonera FIP en todos los puertos de acceso FCoE para garantizar conexiones seguras a FF. Después de habilitar la inspección FIP en una VLAN FCoE, el conmutador de tránsito niega el tráfico FCoE desde cualquier servidor en esa VLAN hasta que el servidor realice un inicio de sesión de estructura válido con una FCF.

Interfaces orientadas a FCF

Debe configurar la interfaz que usa para conectarse a una FCF como interfaz de confianza FCoE, y debe ser una interfaz de 10 Gigabit Ethernet.

Una interfaz de confianza FCoE recibe tráfico FCoE solo de una FCF. Las siguientes condiciones se aplican a las FCF y las interfaces orientadas a FCF:

  • De forma predeterminada, las FCF son entidades de confianza.

  • El conmutador de tránsito FCoE siempre procesa tramas FCF porque provienen de un origen de confianza.

Prefijo de dirección asignada FCoE

Cuando habilita la fisgonería FIP en una VLAN, opcionalmente puede especificar el valor del prefijo de dirección asignada FCoE (FC-MAP) para esa VLAN si la red utiliza el esquema de direccionamiento de dirección MAC (FPMA) proporcionado por la estructura. El valor FC-MAP es un valor de 24 bits que identifica la FCF. La FCF combina el valor FC-MAP con un valor único de ID de canal de fibra (FCID) de 24 bits para el servidor durante el proceso de inicio de sesión en la estructura, lo que crea un identificador único de 48 bits. La FCF asigna el valor de 48 bits al servidor ENode como su dirección MAC y su identificador único para la sesión. Cada sesión de servidor que ENode establece con la FCF recibe un FCID único, por lo que un servidor puede alojar varios vínculos virtuales a una FCF, cada uno con un identificador de dirección de 48 bits único.

El filtro de fisgoneo FIP compara el valor de FC-MAP configurado con el valor FC-MAP en el encabezado de tramas procedentes del servidor. Si los valores no coinciden, el conmutador de tránsito FCoE niega el acceso.

Especificación de fisgoneo FIP T11

Para obtener más detalles acerca de la fisgonear FIP, consulte el documento de la organización del Comité Técnico T11 : Aumento de la solidez de FCoE mediante el uso de fisgones FIP en http://www.t11.org/ftp/t11/pub/fc/bb-5/08-264v3.pdf.