- 论坛徽章:
- 0
|
请教zone
See BCFP Training Slides Chapter 4:
===============================================
要实现这种SAN网络中区域的划分,思路有两种:在名字服务器中隔离和在数据转发时过滤数据包,用这两种方法实现的Zone分别被称作Software Zone和Hardware Zone。
Software Zoning
Software Zone是完全基于Name Server实现的。当一个主机登录到Fabric网络时,他会向Name Server登记,并向他查询在Fabric中的所有设备。Name Server知道Fabric中的所有设备,但不会都告诉查询着。而是把主机所属于的zone内的设备作为查询结果返回,其他的不在zone内的设备会被Name Server隐藏起来,主机不知道设备的存在。如果主机是一个好公民(Good Citizen),也就不会去试图访问他Name Server没有告诉他的设备,实现了网络的隔离。
采用这种方式划分Zone后,交换机并不根据地址或端口过滤数据包,没有严格的安全性的保证。如果SAN中的主机不是好公民,他会试图扫描网络中的所有存储设备,并试图访问他。Software Zoning不能阻止这种非法访问。正是由于这个原因,在进行Zoning的设计时应该尽量避免使用Software Zoning,而是采用Hardware Zoning的方式完成Zoning的功能。
Hardware Zoning
Hardware Zoning的实现方式和Software Zoning完全不同,他并不基于Name Server实现Zoning的划分,而是真正在设备上根据Zoning的定义进行数据包的过滤,真正的把网络从物理上隔离开。无论主机是否是好公民,他都能严格的保证Zoning的划分,实现良好的安全性。
这样的Zone是Hardware Zone
zone: HardZone1
1,2
2,3
zone: HardZone2
50:06:01:68:08:08:60:6e
10:00:00:00:c9:2a:de:46
50:06:01:60:08:08:60:6e
这样的Zone是Software Zone
zone: SoftZone
50:06:01:68:08:08:60:6e
1,2
10:00:00:00:c9:2a:de:46 |
|