新聞中心

解析光纖通道存儲(chǔ)網(wǎng)絡(luò)的分區(qū)問題

時(shí)間:2014-09-30 15:32:37 來源：

光纖通道(FC)的內(nèi)在安全機(jī)制比多數(shù)人通常所認(rèn)為的還要多，但是它們經(jīng)常得不到充分利用，而且還被誤解，因此SAN(存儲(chǔ)局域網(wǎng))才被說成有安全問題。本期存儲(chǔ)課堂所講的內(nèi)容就是探索光纖通道分區(qū)：光纖通道交換機(jī)最容易和最經(jīng)常被誤設(shè)的功能。OPGW光纜

任何功能完整的光纖通道交換機(jī)都可以設(shè)置分區(qū)。這里的分區(qū)同以太網(wǎng)虛擬局域網(wǎng)非常相似：將數(shù)據(jù)傳輸隔開。但是光纖通道分區(qū)比起虛擬局域網(wǎng)要更有效，因?yàn)閿?shù)據(jù)傳輸不會(huì)在分區(qū)之間"漏出"。

從概念上講，光纖通道分區(qū)比虛擬局域網(wǎng)更加符合分區(qū)的概念。第一眼看上去光纖通道分區(qū)似乎更加復(fù)雜，但是隱藏在復(fù)雜背后的其實(shí)是簡(jiǎn)單。一個(gè)設(shè)備節(jié)點(diǎn)，或全局名稱(WWN)，可以同時(shí)存在于多個(gè)不同的分區(qū)。這種能力真的會(huì)被濫用!進(jìn)行健全的、管理性強(qiáng)的分區(qū)設(shè)置需要一定的架構(gòu)--可不是一分鐘就能解決的。

這里有兩種分區(qū)：軟分區(qū)和硬分區(qū)。

軟分區(qū)

軟分區(qū)的含義是交換機(jī)將設(shè)備的全局名稱放在一個(gè)分區(qū)中，而不管連接的是哪個(gè)端口。例如，如果全局名稱Q和全局名稱Z在同一個(gè)分區(qū)中，那么它們可以互相對(duì)話。相同的，如果Z和A又在另一個(gè)分區(qū)，那么Z和A可以看到對(duì)方，但是A不能看到Q。這是分區(qū)的復(fù)雜性部分;這種特點(diǎn)在以太網(wǎng)交換機(jī)中并不常見。

軟分區(qū)的概念不難理解。它只是簡(jiǎn)單的表明架構(gòu)是基于節(jié)點(diǎn)的全局名稱。使用這種軟分區(qū)的好處是，你可以連接到交換機(jī)的任何一個(gè)端口，而且如果你能看到其他節(jié)點(diǎn)，那么你也能訪問這些節(jié)點(diǎn)。

這樣好嗎？不，完全不好。從管理性的角度來看，軟分區(qū)環(huán)境簡(jiǎn)直是一團(tuán)糟。進(jìn)行維護(hù)時(shí)，你必須知道每個(gè)節(jié)點(diǎn)連接到哪里。如果使用軟分區(qū)，在交換機(jī)上就沒有關(guān)于端口的描述，因?yàn)檫@些端口的信息很可能很快就過時(shí)。此外，軟分區(qū)還有一定的安全風(fēng)險(xiǎn)。就每個(gè)人所相信的而言，沒有人曾經(jīng)看到過一個(gè)黑客正在試圖哄騙全局名稱的過程，但是這種行為是可能的。通過改變?cè)O(shè)備的全局名稱來改變它的分區(qū)是非常困難的，因?yàn)楹诳筒恢滥男┤置Q可以訪問他所想要進(jìn)入的分區(qū)。你總不會(huì)把自己的交換機(jī)設(shè)置信息放在大庭廣眾之下吧？

硬分區(qū)

硬分區(qū)更類似以太網(wǎng)世界中的虛擬局域網(wǎng)。如果將一個(gè)端口放到一個(gè)分區(qū)，任何連接到這個(gè)端口的流量都是來自這個(gè)分區(qū)，或所設(shè)置的數(shù)個(gè)分區(qū)。當(dāng)然，如果有人可以移動(dòng)光纜的話，那么這種分區(qū)在面對(duì)物理攻擊的時(shí)候就沒那么安全了。但是，你需要擔(dān)心這種情況嗎？因此對(duì)于SAN來說，最好的設(shè)置是：交換機(jī)硬分區(qū)，并且對(duì)可以訪問陣列端(target)邏輯單元號(hào)(LUN)的全局名稱進(jìn)行限制。你的存儲(chǔ)陣列還需要全局名稱屏蔽，以便多個(gè)發(fā)起端(initiator)可以被分區(qū)設(shè)置成可以同時(shí)看到陣列端。

一些人的分區(qū)架構(gòu)想法很奇怪。將相同操作系統(tǒng)放在一個(gè)分區(qū)看起來是個(gè)好主義，但在實(shí)際上沒有任何意義。過去人們總是很容易害怕將Windows服務(wù)器和使用不同操作系統(tǒng)的存儲(chǔ)陣列放在同一個(gè)分區(qū)。當(dāng)看到新的LUN時(shí)，Windows會(huì)彈出"你是否需要初始化新卷？"對(duì)話窗口，而且如果Windows管理員順手決定點(diǎn)擊"是"的話，那么他就破壞了其他人的邏輯單元號(hào)。如果存儲(chǔ)陣列有邏輯單元號(hào)屏蔽的話，那么這就不成問題。

最佳分區(qū)參考

許多機(jī)構(gòu)提供分區(qū)建議。大部分都同意軟分區(qū)非常糟糕。確實(shí)是這樣。我們?cè)谶@里討論硬分區(qū)。記住，每個(gè)節(jié)點(diǎn)需要有兩個(gè)主機(jī)總線適配器，但是每個(gè)主機(jī)總線適配器都通過不同的交換機(jī)處于不同的光纖通道網(wǎng)絡(luò)。每個(gè)交換機(jī)都有相同的分區(qū)設(shè)置。

"單一發(fā)起端分區(qū)"陣營(yíng)認(rèn)為你需要基于發(fā)起端來建立分區(qū)。這意味著每個(gè)分區(qū)都只有一個(gè)主機(jī)，或發(fā)起端。在不違反單一發(fā)起端規(guī)則的條件下，可以將多個(gè)存儲(chǔ)陣列端口添加到這個(gè)分區(qū)--陣列就是目標(biāo)端。這種方法很合理，因?yàn)槟憧梢院芸斓膹哪愕脑O(shè)置中看到主機(jī)可以訪問哪些陣列。

其他人傾向于基于陣列端進(jìn)行分區(qū)。畢竟，每個(gè)陣列端都可以讓多個(gè)主機(jī)進(jìn)行訪問，因此我們可以將那些具有相同目的的發(fā)起端整合在一起，建立一個(gè)迷你網(wǎng)絡(luò)。一些存儲(chǔ)管理者對(duì)這種多個(gè)發(fā)起端可以互相看到對(duì)方的想法感到緊張，但是在一定的情況下，這種方式還是很好的。當(dāng)一個(gè)服務(wù)器重啟，其他相同分區(qū)的服務(wù)器在系統(tǒng)日志中就會(huì)報(bào)告"節(jié)點(diǎn)X從網(wǎng)絡(luò)中消失"。這種基于陣列端的分區(qū)的好處時(shí)你可以快速的瀏覽哪些主機(jī)可以訪問特定的陣列端。

記住，每個(gè)"分區(qū)"實(shí)際上只是一個(gè)節(jié)點(diǎn)間的雙向(或更多)通訊映像。存儲(chǔ)陣列的一個(gè)端口可以置于多個(gè)不同的分區(qū)(在單發(fā)起端模式的分區(qū)下)，每個(gè)分區(qū)都包括主機(jī)，也叫發(fā)起端。

一些人喜歡跳過分區(qū)設(shè)置。僅從穩(wěn)定性角度來考慮，不提倡這種做法。一次光纖通道網(wǎng)絡(luò)復(fù)位就能在同一時(shí)間讓所有人都必須重新登錄，還要給每個(gè)人發(fā)送光纖通道網(wǎng)絡(luò)更新信息。安全問題也存在，但是實(shí)際上都是些你肯定會(huì)注意的而且只有新手才會(huì)犯的問題。

你的分區(qū)設(shè)置決定非常重要，因此需要花一點(diǎn)時(shí)間來決定哪種硬分區(qū)模式能夠更好適應(yīng)你的環(huán)境。

總結(jié)

分區(qū)就和虛擬局域網(wǎng)類似。端口或全局名稱可以同時(shí)置于多個(gè)分區(qū);

軟分區(qū)是基于全局名稱進(jìn)行分區(qū)，如果光纖移到新的端口，那么這種分區(qū)很難管理; 48芯光纜

硬分區(qū)是基于端口的：你可以跟蹤哪些節(jié)點(diǎn)連接到哪里。一些奇特的交換機(jī)有復(fù)合分區(qū)："全局名稱C必須在這個(gè)端口。"

如果您有需要了解我們的產(chǎn)品ADSS光纜、OPGW光纜或ADSS光纜價(jià)格，請(qǐng)聯(lián)系我們：
業(yè)務(wù)手機(jī)：13122325273
電話：021-31601303
公司傳真：021-59530750
公司地址：上海市嘉定區(qū)城中路39號(hào)
公司名稱：長(zhǎng)光通信科技（上海）有限公司

返回首頁

解析光纖通道存儲(chǔ)網(wǎng)絡(luò)的分區(qū)問題

時(shí)間:2014-09-30 15:32:37 來源：

推薦產(chǎn)品