Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Понимание fiP-шпионажа

Оптоволоконный канал через Ethernet (FCoE) Протокол инициализации (FIP) — это механизм безопасности, который предназначен для предотвращения несанкционированного доступа и передачи данных в сеть Fiber Channel (FC). Он работает путем фильтрации трафика, чтобы только серверы, которые вошли в сеть FC для доступа к сети. При использовании коммутатора в качестве транзитного коммутатора FCoE, соединяющего инициаторов (серверы) FC (серверы) в сети Ethernet с переадресаторами FCoE (FCFs) на границе зоны хранения данных FC (SAN), можно использовать ficoE VLAN.

Благодаря процессу FIP серверы с конвергентным сетевым адаптером (CNA) представляют узел FCoE (ENode), который может войти в сеть FC. Процесс входа в систему устанавливает выделенное виртуальное соединение между ENode и FCF для эмуляции соединения от точки до точки, которое прозрачно проходит через транзитный коммутатор FCoE.

Транзитный коммутатор FCoE применяет фильтры межсетевых экранов FIP в пограничных портах доступа, связанных с VLAN FCoE, на которых вы обеспечиваете отслеживание FIP. Отслеживание FIP обеспечивает безопасность виртуальных каналов, автоматически создавая фильтры межсетевых экранов на основе собранной (шпионской) информации об устройствах FC во время транзакций FIP.

В этой теме описывается:

Безопасность сети FC

В традиционных чистых fc-сетях FCF — это доверенное юридическое лицо, а сервер ENodes подключается непосредственно к FCF. После того как ENode получает доступ к сети благодаря процессу входа в IP-фабрику (WANGI), FCF применяет конфигурации зонирования, гарантирует, что ENode использует действительные адреса, отслеживает соединение и выполняет другие функции безопасности для предотвращения несанкционированного доступа.

Фильтры межсетевых экранов FIP подражают этим функциям безопасности, предотвращая несанкционированный доступ к FCF через транзитный коммутатор, а также обеспечивая безопасность виртуального канала между каждым ENode и FCF. Отслеживание FIP также предотвращает атаки «человек-в-середине».

Функции шпионажа FIP

При развертывании FIP транзитный коммутатор FCoE отслеживает логины FIP, запросы и рекламные объявления, которые проходят через него, и собирает информацию о адресе ENode и адресе FCF. Транзитный коммутатор использует информацию для создания фильтров межсетевых экранов, которые позволяют получить доступ только к встроенным ENodes. Во всем другом трафике VLAN отказано.

Например, когда ENode на VLAN FCoE выполняет успешный вход, транзитный коммутатор FCoE перехватывает информацию FIP, создает фильтр межсетевого экрана , который позволяет получить доступ к ENode, и добавляет фильтр во всех портах доступа транзитного коммутатора, связанных с FCoE VLAN.

Фильтры межсетевого экрана позволяют кадрам FCoE проходить через транзитный коммутатор только между сервером порта ENode FCoE и портом FCF FCoE, к которому входил сервер ENode. Это гарантирует, что ENodes может подключаться только к FCF,к которым они успешно вошли, и что передается только действительный трафик FCoE. FiP-подключение поддерживает фильтры, отслеживая сеансы FCoE.

Фильтры межсетевых экранов FIP

Фильтры межсетевых экранов FIP отказывают в трафике FCoE на VLAN, за исключением трафика, исходяющего от ENodes, которые уже вошли в FCF.

FiP-отслеживание выполняет эти действия и проверяет, является ли трафик FCoE действительным:

  • Отрицает ENodes, которые используют адрес контроля доступа к сми FCF (MAC) в качестве исходного адреса.

  • Отказывает в трафике ENode, кроме трафика, адресованного FCF, в который вошла Enode.

  • Ограничение ENode для отправки только трафика протокола FCoE по виртуальной ссылке.

  • Позволяет ENode передавать только кадры FIP и FCoE по адресу FCF.

  • Гарантирует, что адрес источника FCoE, который использует ENode после обнаружения фабиического входа и IP-фабрики (FDISC), является адресом FCF, назначенным этому ENode.

  • Гарантирует, что адрес источника FCoE, который FCF назначает или принимает, используется только для трафика FCoE.

  • Гарантирует, что кадры FCoE адресуются только приему FCF.

Внедрение fiP-шпионов

Вы обеспечиваете отслеживание FIP на основе VLAN. Транзитный коммутатор FCoE шпионит за кадрами FIP в портах доступа, связанных с VLAN с поддержкой FIP, а затем устанавливает полученные фильтры межсетевого экрана на порты доступа, чтобы убедиться, что все отслеживание происходит на границе сети транзитного коммутатора FCoE.

VLAN FCoE могут включать в себя как порты доступа, так и магистральные порты. Порты доступа сталкиваются с хостами (серверами FCoE и другими инициаторами FCoE), а магистральные порты сталкиваются с FCF. При переходе на FIP транзитный коммутатор FCoE проверяет как кадры FIP, так и кадры FCoE.

Реализация fiP-шпионов включает в себя следующие аспекты:

Интерфейсы, ориентированные на сервер ENode

Мы рекомендуем fiP использовать все порты доступа FCoE для обеспечения безопасных подключений к FCF. После того как FIP будет шпионить за VLAN FCoE, транзитный коммутатор отказывает в трафике FCoE с любого сервера VLAN до тех пор, пока сервер не выполнит действительный вход IP-фабрики с FCF.

Интерфейсы, ориентированные на FCF,

Вы должны настроить интерфейс, который вы используете для подключения к FCF в качестве доверенного интерфейса FCoE, и это должен быть интерфейс 10 гигабитных Ethernet.

Доверенный интерфейс FCoE получает трафик FCoE только от FCF. К FCF и интерфейсам FCF применяются следующие условия:

  • По умолчанию FCF являются доверенными сущностями.

  • Транзитный коммутатор FCoE всегда обрабатывает кадры FCF, потому что они исходят из доверенного источника.

Предварительная карта адресов FCoE

При переходе fiP на VLAN по желанию вы можете указать значение префикса адресов FCoE (FC-MAP) для VLAN, если сеть использует схему адресации MAC (FPMA) с ip-фабрикой. Значение FC-MAP — это 24-битное значение, которое определяет FCF. FCF сочетает в себе ценность FC-MAP с уникальным 24-разрядным идентификатором Fiber Channel ID (FCID) для сервера во время процесса входа в IP-фабрику, создавая уникальный 48-разрядный идентификатор. FCF присваивает 48-битную ценность серверу ENode в качестве MAC-адреса и уникального идентификатора для сеанса. Каждый сеанс сервера, который устанавливает ENode с FCF, получает уникальный FCID, поэтому сервер может размещать несколько виртуальных каналов к FCF, каждый из которых имеет уникальный идентификатор адресов 48 бит.

Фильтр FIP для отслеживания шпионства сравнивает настроенные значения FC-MAP с значением FC-MAP в заголовке кадров, поступающих от сервера. Если значения не совпадают, транзитный коммутатор FCoE отказывает в доступе.

Технические характеристики T11 FIP Для шпионажа

Более подробную информацию о шпионаже в FIP см. в документе организации T11 Технического комитета по повышению надежности FCoE с помощью FIP,который используетСя компанией «Кренинг» в http://www.t11.org/ftp/t11/pub/fc/bb-5/08-264v3.pdf.