《Brocade(博科)SAN交换机的Zoning功能》由会员分享,可在线阅读,更多相关《Brocade(博科)SAN交换机的Zoning功能(4页珍藏版)》请在金锄头文库上搜索。
1、Brocade(博科)SAN 交换机的 Zoning 功能Zoning 是 Brocade 交换机上的标准功能,通过在 SAN 网络中交换机上进行 Zoning 的配置,可以将连接在 SAN 网络中的设备,逻辑上划分为不同的区域,使各区域的设备相互间不能访问,是网络中的主机和设备间相互隔离。对于设备来说是透明的。这里的区域划分都是在 Brocade 交换机上完成的,划分区域的工作对于主机和存储设备来说都是透明的,在他们上面不需要进行任何配置。他们会以为SAN 网络中只有 Zone 中的几台设备,根本没有其他的设备存在。要实现这种 SAN 网络中区域的划分,思路有两种:在名字服务器中隔离和在数据
2、转发时过滤数据包,用这两种方法实现的 Zone 分别被称作 Software Zone 和 Hardware Zone。Software ZoningSoftware Zone 是完全基于 Name Server 实现的。当一个主机登录到 Fabric 网络时,他会向 Name Server 登记,并向他查询在 Fabric 中的所有设备。 Name Server 知道Fabric 中的所有设备,但不会都告诉查询着。而是把主机所属于的 zone 内的设备作为查询结果返回,其他的不在 zone 内的设备会被 Name Server 隐藏起来,主机不知道设备的存在。如果主机是一个好公民(Good
3、Citizen) ,也就不会去试图访问他 Name Server 没有告诉他的设备,实现了网络的隔离。采用这种方式划分 Zone 后,交换机并不根据地址或端口过滤数据包,没有严格的安全性的保证。如果 SAN 中的主机不是好公民,他会试图扫描网络中的所有存储设备,并试图访问他。Software Zoning 不能阻止这种非法访问。正是由于这个原因,在进行 Zoning的设计时应该尽量避免使用 Software Zoning,而是采用 Hardware Zoning 的方式完成 Zoning 的功能。Hardware ZoningHardware Zoning 的实现方式和 Software Zo
4、ning 完全不同,他并不基于 Name Server 实现 Zoning 的划分,而是真正在设备上根据 Zoning 的定义进行数据包的过滤,真正的把网络从物理上隔离开。无论主机是否是好公民,他都能严格的保证 Zoning 的划分,实现良好的安全性。Session Enforced ZoningSession Enforced Zoning 是软件 Zoning,但是在 PLOGI/ADISC/PDISC 时,ASIC对设备进行认证,只有在 zone 内的合法设备才能完成上述过程。都不影响性能Brocade 交换机上 Zoning 的功能是在 ASIC 硬件上实现的,无论是 Software
5、 Zone 还是 Hardware Zone 多不会影响交换机的数据转发性能。S oftware Zone 和 Hardware Zone 不是人为指定的,而是由交换机根据 Zone 内的成员类型自己去判断的。Zone 的类型的判别标准如下:当 Zone 的同时有 WWN 名和 Domain,Port 作为成员时Software Zone。当 Zone 的只有 WWN 或只有 Domain,Port 作为成员时Hardware Zone。请思考现实生活中的例子说明类似 Software Zone 和 Hardware Zone 区别的情况?比如我们到开架式图书馆中借书:开架式图书馆SAN 网络
6、。图书存储设备(Target) 。借书人主机(Initiator) 。图书目录Name Server图书馆想阻止某人对某些图书的访问可以有下面两种方法:一是不给借书人看图书库的完整名册;二是划分阅览区,不让借书人接触到不该访问的图书。不给借书人看完整图书名册的方法就是 Software Zoning 的方法。如果借书人听话,查询图书目录后,只会访问名册上已有的图书(Good Citizen) ,这种方法可以隔离了他对目录上没有的图书的访问。但如果借书人比较多事,不光查阅书目的目录,还到所有的书架上去察看所陈列的所有书籍(Bad Citizen) ,则这种方法无法阻止他对目录上没有列出图书的访问
7、。但如果在图书馆中设立不同的阅览区,在个区域的入口处设有保安,控制借书人进入阅览区,这就是 Hardware Zone 的方法。不管借书人是否是好公民,这种方法从物理上个隔开了借书人和图书,一定可以阻止借书人对某些特殊图书的访问。非常可靠。从上面的例子中可以清楚地看到 Software Zone 和 Hardware Zone 的区别。正是由于Hardware Zoning 的这些特点,他是在 Zoning 划分时是首选的方案。Software Zoning 是应该被避免的一种情况,在有可能的情况下,应该尽量采用 Hardware Zoning 划分区域。配置 Zone 需要涉及到三个对象的配
8、置 Alias,Zone,Configuration。Alias可以把设备的 WWN 或 Domain,Port 声明为 Alias,用于更好更直观的标示设备。使用 Alias 的主要目的是方便用户的使用,想象一下记住一个人的身份证号和名字的区别就可以明白其中的道理,使用 Alias 就想给设备启名字一样。声明 Alias 的另外一个益处是便于 Zone 中成员的更换。当 Zone 中的某个成员更换时,如果定义了 Alias,只要修改 Alias 的定义就可以调整 Zone 中的成员,而不用修改 Zone 的配置。Zone区域,Zone 内的设备可以相互访问,但不能访问其他 Zone 的设备。
9、Zone 的成员可以有三种:“Domain,Port”;”WWN”;”Alias” 。Zone 对成员的数量没有限制,可以同时有多个类型的多个设备同时存在于一个 Zone 中。当一个 wwn 被定义在 zone 中后,他的所有端口都会被包括在 zone 中。 Configuration在交换机上的一套关于 Zone 的配置,或者说一系列 Zone 的集合。它可以包含一个或多个 Zone 作为它的成员。在一个 SAN 网络中一般需要有多个 Zone 同时存在,这一套同时存在的 Zone 被存放在一个 Configuration 中。为了解决在交换机上,在不同的时间有不同的 Zone 的配置的问题
10、,在交换机上允许同时有多个 Zone 的 Configuration 存在方便 Zone 配置的切换。所有的 Configuration 配置中只有一个 Configuration 是生效的配置,被称作 Active Configuration。其他的都是待选方案,只有在他们成为 Active Configuration 后,他们的 Zoning 配置才会生效。Zoning 分区在发送 RSCN 时产生的影响只要名称服务器有改变,比如一个设备增加或者以移出 fabric 网络,一个状态更改通知(RSCN)就会产生。如果没有 zoning 的话,RSCN 会发到 fabric 网络上的所有设备上
11、,这样每个设备都要去咨询名称服务器以确定 fabric 更改后的成员关系怎样。虽然有时该设备的改变没有影响到有的设备,但这个信息照样会送给它。如果是一个大的 fabric 网络的话会产生非常多的信息流,尽管只是非常短的时间。举个例子:一个新的服务器(访问发起者)加入到了 fabric 网络,这条信息其实是不用通知到其他的服务器(同样也是访问发起者) 。因为服务器之间基本上是不会有什么交流的。在被访问者(如存储系统、磁带库等)之间也有同样的情况,这些设备之间也是很少有交流的,所以目标设备在光纤网络里的状态改变也是不用通知到其它的目标设备的。如果 zoning 功能打开了的话,那么只有在改变设备所
12、在的 zone 的有关设备才会收到RSCN。如果设备已经知道它们 zone 里的成员的话,那么它们不会收到 RSCN。只有与状态改变有关的设备才会收到 RSCN。所有的设备都假设是不影响正常应用的情况下处理RSCN 的,实际的经验显示其实并不都是这样的。因此,实施了 zone 的 fabric 网络可以提高更高的可用性和稳定性。Telnet 下 Zoning 的配置命令在交换机上配置 Zoning 的主要途径有两种:Telnet 和 WEB TOOLS。Zoning 的配置可以动态的进行,当使用 cfgEnable 指定某个配置成为生效的配置后,Zoning 的配置会立即在 SAN 网络中生效
13、,隔离 Zone 间的相互访问。在交换机上新创建 Zoing 的配置一般会按如下的方式进行:aliCreate在创建 Zoning 的配置时,应该首先创建 Alias,把需要划分 Zone 的所有设备都创建为别名。一个 Alias 中可以同时有多个设备作为它的成员。zoneCreate然后创建 Zone,并使用 Alias 作为 Zone 的成员,创建 Zone 应该遵循每个 Zone 中只有一个 Initiator 的原则;cfgCreate所有的 Zone 都创建完成后,需要创建 Configuration,把需要同时存在的 Zone 放在一个 Configuration 中,根据需要可以
14、创建多个 Configuration 存储不同场景下 Zone 的配置方案cfgEnable在创建了一个或多个 Configuration 后,这些配置都还没有生效,要真正完成区域的划分,还需要指定那个 Configuration 配置是生效配置,这个工作可以用 cfgEnable 命令完成。cfgSave上面做的所有 Zone 的配置都是存储在内存中的,在交换机重新启动后,配置会丢失。使用 cfgSave 命令后会把 RAM 中 Zone 的配置(包括那个 Configuration 生效)保存到Flash 中,长久保留。注意:关于 Zoning 的配置中使用到的名字,都是大小写敏感的,比如
15、“zone1”和”Zone1”;”cfg1”和”CFG1” 都是不同的名字,在配置时应该注意这点。Zoning 的配置示例 创建 Members aliCreate “EngHost1”,”1,2” aliCreate “EngStor”,”s1wwn;s2wwn” aliCreate “Mkt”, “1,4;s5wwn;s4wwn” 创建 Zones zoneCreate “ZoneEng”,”EngHost1;EngStor” zoneCreate “ZoneMkt”,”Mkt” 创建 Configurations cfgCreate “cfgEngMkt”,”ZoneEng;ZoneMkt” 选用配置、存储配置 cfgEnable “cfgEngMkt” cfgSave修改 zone 成员 增加 s3 到 zoneMkt aliAdd “mkt”, “s3wwn” ZoneAdd “ZoneMkt”, “s3wwn” cfgEnable “cfgEngMkt” cfgSave在进行 Zone 的配置时,应该注意下面的问题:1. Zone 的配置可以动态完成,当某个 Configuration 被激活了后,它的Zone 的配置马上会在 SAN 网络中生效。2. 没有却省的 Zone。在交换机上启用了 zone 的功能后,所有不在 Zone 中的设备都
