光纖通道存儲網(wǎng)絡分區(qū)攻略

光纖通道(FC)的內(nèi)在安全機制比多數(shù)人通常所認為的還要多，但是它們經(jīng)常得不到充分利用，而且還被誤解，因此SAN(存儲局域網(wǎng))才被說成有安全問題。本期存儲課堂所講的內(nèi)容就是探索光纖通道分區(qū)：光纖通道交換機最容易和最經(jīng)常被誤設的功能。 任何功能完整的光纖通道交換機都可以設置分區(qū)。這里的分區(qū)同以太網(wǎng)虛擬局域網(wǎng)非常相似：將數(shù)據(jù)傳輸隔開。但是光纖通道分區(qū)比起虛擬局域網(wǎng)要更有效，因為數(shù)據(jù)傳輸不會在分區(qū)之間“漏出”.

從概念上講，光纖通道分區(qū)比虛擬局域網(wǎng)更加符合分區(qū)的概念。第一眼看上去光纖通道分區(qū)似乎更加復雜，但是隱藏在復雜背后的其實是簡單。一個設備節(jié)點，或全局名稱(WWN)，可以同時存在于多個不同的分區(qū)。這種能力真的會被濫用!進行健全的、管理性強的分區(qū)設置需要一定的架構--可不是一分鐘就能解決的。

這里有兩種分區(qū)：軟分區(qū)和硬分區(qū)。

軟分區(qū)

軟分區(qū)的含義是交換機將設備的全局名稱放在一個分區(qū)中，而不管連接的是哪個端口。例如，如果全局名稱Q和全局名稱Z在同一個分區(qū)中，那么它們可以互相對話。相同的，如果Z和A又在另一個分區(qū)，那么Z和A可以看到對方，但是A不能看到Q.這是分區(qū)的復雜性部分;這種特點在以太網(wǎng)交換機中并不常見。

軟分區(qū)的概念不難理解。它只是簡單的表明架構是基于節(jié)點的全局名稱。使用這種軟分區(qū)的好處是，你可以連接到交換機的任何一個端口，而且如果你能看到其他節(jié)點，那么你也能訪問這些節(jié)點。

這樣好嗎?不，完全不好。從管理性的角度來看，軟分區(qū)環(huán)境簡直是一團糟。進行維護時，你必須知道每個節(jié)點連接到哪里。如果使用軟分區(qū)，在交換機上就沒有關于端口的描述，因為這些端口的信息很可能很快就過時。此外，軟分區(qū)還有一定的安全風險。就每個人所相信的而言，沒有人曾經(jīng)看到過一個黑客正在試圖哄騙全局名稱的過程，但是這種行為是可能的。通過改變設備的全局名稱來改變它的分區(qū)是非常困難的，因為黑客不知道哪些全局名稱可以訪問他所想要進入的分區(qū)。你總不會把自己的交換機設置信息放在大庭廣眾之下吧?

硬分區(qū)

硬分區(qū)更類似以太網(wǎng)世界中的虛擬局域網(wǎng)。如果將一個端口放到一個分區(qū)，任何連接到這個端口的流量都是來自這個分區(qū)，或所設置的數(shù)個分區(qū)。當然，如果有人可以移動光纜的話，那么這種分區(qū)在面對物理攻擊的時候就沒那么安全了。但是，你需要擔心這種情況嗎?因此對于SAN來說，最好的設置是：交換機硬分區(qū)，并且對可以訪問陣列端(target)邏輯單元號(LUN)的全局名稱進行限制。你的存儲陣列還需要全局名稱屏蔽，以便多個發(fā)起端(initiator)可以被分區(qū)設置成可以同時看到陣列端。

一些人的分區(qū)架構想法很奇怪。將相同操作系統(tǒng)放在一個分區(qū)看起來是個好主義，但在實際上沒有任何意義。過去人們總是很容易害怕將Windows服務器和使用不同操作系統(tǒng)的存儲陣列放在同一個分區(qū)。當看到新的LUN時，Windows會彈出“你是否需要初始化新卷?”對話窗口，而且如果Windows管理員順手決定點擊“是”的話，那么他就破壞了其他人的邏輯單元號。如果存儲陣列有邏輯單元號屏蔽的話，那么這就不成問題。