合理分区确保光纤通道存储网络安全

      光纤通道（FC）的内在安全机制比多数人一般所认为的还要多，可是它们常常得不到充分利用，而且还被误解，因而SAN（存储局域网）才被说成有安全问题。本期存储讲堂所讲的内容即是探究光纤通道分区：光纤通道交流机最简略和最常常被误设的功用。 任何功用完整的光纤通道交流机都能够设置分区。这儿的分区同以太网虚拟局域网非常类似：将数据传输隔开。可是光纤通道分区比起虚拟局域网要更有用，由于数据传输不会在分区之间“漏出”.

      从概念上讲，光纤通道分区比虚拟局域网愈加契合分区的概念。第一眼看上去光纤通道分区好像愈加杂乱，可是隐藏在杂乱背面的其实是简略。一个设备节点，或大局称号（WWN），能够一起存在于多个不一样的分区。这种才能真的会被乱用！进行健全的、管理性强的分区设置需求必定的架构--可不是一分钟就能处理的。

这儿有两种分区：软分区和硬分区。

软分区

      软分区的含义是交流机将设备的大局称号放在一个分区中，而不论衔接的是哪个端口。例如，假如大局称号Q和大局称号Z在同一个分区中，那么它们能够相互对话。一样的，假如Z和A又在另一个分区，那么Z和A能够看到对方，可是A不能看到Q.这是分区的杂乱性有些；这种特点在以太网交流机中并不常见。

      软分区的概念不难理解。它仅仅简略的标明架构是根据节点的大局称号。运用这种软分区的优点是，你能够衔接到交流机的任何一个端口，而且假如你能看到其他节点，那么你也能拜访这些节点。

      这样好吗？不，彻底欠好。从管理性的视点来看，软分区环境简直是一团糟。进行保护时，你有必要晓得每个节点衔接到哪里。假如运用软分区，在交流机上就没有关于端口的描述，由于这些端口的信息很能够很快就过期。此外，软分区还有必定的安全危险。就每个人所信任的而言，没有人从前看到过一个黑客正在企图哄骗大局称号的进程，可是这种行动是能够的。经过改动设备的大局称号来改动它的分区是非常艰难的，由于黑客不晓得哪些大局称号能够拜访他所想要进入的分区。你总不会把自个的交流机设置信息放在公开场合之下吧？

硬分区

      硬分区更类似以太网国际中的虚拟局域网。假如将一个端口放到一个分区，任何衔接到这个端口的流量都是来自这个分区，或所设置的数个分区。当然，假如有人能够移动光缆的话，那么这种分区在面临物理攻击的时分就没那么安全了。可是，你需求忧虑这种状况吗？因而对于SAN来说，最好的设置是：交流机硬分区，而且对能够拜访阵列端（target）逻辑单元号（LUN）的大局称号进行约束。你的存储阵列还需求大局称号屏蔽，以便多个发起端（initiator）能够被分区设置成能够一起看到阵列端。

      一些人的分区架构主意很新鲜。将一样操作系统放在一个分区看起来是个好主义，但在实际上没有任何含义。曩昔大家总是很简略惧怕将Windows服务器和运用不一样操作系统的存储阵列放在同一个分区。当看到新的LUN时，Windows会弹出“你是不是需求初始化新卷？”对话窗口，而且假如Windows管理员顺手决议点击“是”的话，那么他就破坏了其他人的逻辑单元号。假如存储阵列有逻辑单元号屏蔽的话，那么这就不成问题。