Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

了解在 FCoE 传输交换机上VF_Port FIP 侦听VN_Port

以太网光纤通道 (FCoE) 初始化协议 (FIP) 侦听是一种安全机制,旨在防止未经授权的访问和数据传输到光纤通道 (FC) 网络。它的工作原理是过滤流量,仅允许已登录到 FC 网络的服务器访问该网络。

如果交换机是接入边缘的 FCoE 中转交换机,用于将以太网网络上的 FCoE 设备连接到 FC 存储区域网络 (SAN) 边缘的 FC 交换机或网关,则可以显式启用 VN_Port 在 FCoE VLAN 上VF_Port (VN2VF_Port) FIP 侦听 (FC-BB-5)。中转交换机会在与启用 FIP 侦听的 FCoE VLAN 关联的端口上应用 FIP 侦听过滤器VN2VF_Port这些端口。FCoE 中继交换机是具有 FIP 侦听功能的数据中心桥接 (DCB) 交换机。

具有聚合网络适配器 (CNA) 的 FCoE 设备使用 FIP 进程以 FCoE 节点 (ENode) 的身份登录到 FC 网络。登录过程在 ENode 上的虚拟N_Port (VN_Port) 和 FC 交换机上的虚拟F_Port (VF_Port) 之间建立专用虚拟链路。此专用虚拟链路模拟点对点连接。模拟连接称为虚拟链路。

虚拟链路以透明方式通过中转交换机。ENode VN_Port和 FC 交换机VF_Port检测不到传输交换机,虚拟链路似乎是直接的点对点链路。

交换机会在与启用 FIP 侦听的 FCoE VLAN 关联的面向 FCoE 网络的端口上应用 VN2VF_Port FIP 侦听防火墙过滤器VN2VF_Port。FIP 侦听根据在 FIP 事务期间收集(侦听)的有关 FC 设备的信息创建防火墙过滤器,从而为虚拟链路提供安全性。

该交换机还支持VN_Port到VN_Port (VN2VN_Port) FIP 侦听 (FC-BB-6),以允许 FCoE 发起方和目标直接通过交换机进行通信,而无需通过 FCoE 转发器 (FCF) 或 FC 交换机,如 了解如何在 FCoE 中转交换机上VN_Port FIP 侦听VN_Port中所述。

注意:

FCoE VLAN 可以支持 VN2VF_Port FIP 侦听 (FC-BB-5) 或 VN2VN_Port FIP 侦听 (FC-BB-6),但不能同时支持两者。同一交换机可以配置多个 FCoE VLAN,一些用于VN2VF_Port FIP 侦听流量,另一些用于VN2VN_Port FIP 侦听流量。在配置为VN2VN_Port侦听 VLAN 的 FCoE VLAN 上,VN2VF_Port FIP 侦听流量将被丢弃。

在 FCoE VLAN 上启用VN2VF_Port FIP 侦听时,系统会VN_Port侦听以VF_Port数据包,并仅在VN2VF_Port虚拟链路上实施安全性。

在 FCoE VLAN 上启用VN2VN_Port FIP 侦听时,系统会VN_Port侦听以VN_Port数据包,并仅在VN2VN_Port虚拟链路上实施安全性。

本主题介绍:

FC 网络安全

在传统的 FC 网络中,FC 交换机通常是可信实体,服务器 ENodes 直接连接到其VF_Ports。在 ENode 通过交换矩阵登录 (FLOGI) 过程获得对网络的访问权限后,FC 交换机将实施分区配置,确保 ENode 使用有效地址、监控连接并执行其他安全功能以防止未经授权的访问。

但是,FCoE 会向以太网网络公开 FC 帧,这些网络不具有与本机 FC 网络相同的安全级别。VN2VF_Port FIP 侦听防火墙过滤器可防止通过中转交换机对 FC 交换机进行未经授权的访问,并确保每个 ENode 与 FC 交换机之间的虚拟链路安全,从而模拟本机 FC 网络安全功能,如图 1 所示。VN2VF_Port FIP 侦听还可以防止中间人攻击。

图 1:FCoE 传输交换机执行 VN2VF_Port FIP 侦听 FCoE Transit Switch Performs VN2VF_Port FIP Snooping

传输交换机在连接到 FCoE 设备的端口上执行VN2VF_Port FIP 侦听。在 SAN 边缘,FC 交换机必须能够将 FCoE 流量转换为本机 FC 流量。

VN2VF_Port FIP 侦听功能

启用VN2VF_Port FIP 侦听后,默认情况下,中继交换机会设置并应用过滤器以阻止所有 FCoE 流量。中转交换机监控通过它的 FIP 登录、请求和播发,并收集有关 ENode 地址和 FC 交换机上端口地址的信息。中转交换机使用该信息来构建防火墙过滤器,仅允许访问已登录的 ENodes。VLAN 上的所有其他流量都将被拒绝。

例如,当 FCoE VLAN 上的 ENode 成功登录到 FC 交换机端口时,中转交换机会侦听 FIP 信息并构造 防火墙过滤器 ,以便为 ENode 提供对 FC 交换机上该端口的访问。

防火墙过滤器仅允许 FCoE 帧在 FCoE 设备ENode VN_Port与其登录的 FC 交换机VF_Port之间建立的虚拟链路上通过中转交换机。防火墙过滤器确保 ENodes 只能连接到它们已成功登录的 FC 交换机,并且仅传输沿有效路径的有效 FCoE 流量。VN2VF_Port FIP 侦听通过跟踪 FCoE 会话(ENode 到 FCF 会话)来维护筛选器。

FIP 侦听防火墙过滤器

防火墙过滤器的作用是保护 FCoE 端口。VN2VF_Port FIP 侦听执行以下操作并检查以确保 FCoE 流量有效:

  • 拒绝使用 FC 交换机媒体访问控制 (MAC) 地址作为源地址的 ENodes。

  • 使 ENodes 能够将 FIP 和 FCoE 帧传输到 FC 交换机地址。

  • 确保 FC 交换机分配或接受的 FCoE 源地址仅用于 FCoE 流量。

  • 确保 FCoE 帧仅寻址到接受的 FC 交换机。

FIP 侦听会话可扩展性

默认情况下,增强型 FIP 侦听会话扩展处于启用状态,最多可支持 2,500 个会话。在 QFabric 系统上,如果要禁用增强型 FIP 侦听扩展(这会将支持的会话数减少到 376 个会话),可以按照 禁用增强型 FIP 侦听扩展中所述执行此操作。

默认情况下,一个接口、FCoE-FC 网关结构(仅在配置为独立交换机或 QFabric 系统节点设备的QFX3500交换机上受支持)、交换机、QFabric 节点设备或 QFabric 节点组总共支持 2500 个 FIP 侦听会话。例如,您可以:

  • 将所有 2500 个会话放在一个 FCoE 接口上。

  • 在一个 FCoE VLAN 上的多个 FCoE 接口之间拆分 2500 个会话。

  • 在多个 FCoE VLAN 上的多个 FCoE 接口之间拆分 2500 个会话。

  • 在交换机上多个网关 FC 交换矩阵上的 FCoE 接口之间拆分 2500 个会话。

  • 在 QFabric 节点组中多个节点设备上的多个网关 FC 结构上的 FCoE 接口之间拆分 2500 个会话。

无论您如何在交换机或 QFabric 系统节点设备或节点组上的接口和本地 FC 结构之间分配会话,组合 FIP 会话限制最多为 2500 个会话。

注意:

系统可以支持的会话总数是 VN2VF_Port 个会话和VN2VN_Port会话的总和。如果VN2VN_Port会话处于活动状态,则可用VN2VF_Port会话的总数将减少。

VN2VF_Port FIP 侦听实施

您可以在承载 FCoE 流量的 VLAN 上按 VLAN 启用VN2VF_Port FIP 侦听。交换机在与启用了 FIP 侦听的 FCoE VLAN 关联的端口上侦听 FIP 帧VN2VF_Port。然后,交换机会在端口上安装生成的防火墙过滤器,以确保所有 FIP 侦听都发生在交换机网络边缘VN2VF_Port。

VN2VF_Port FIP 侦听 FCoE VLAN 必须满足以下条件:

  • FCoE VLAN 应仅专用于 FCoE 流量。

  • FCoE VLAN 不能同时支持 VN2VF_Port FIP 侦听和VN2VN_Port FIP 侦听。您必须为VN2VF_Port FIP 侦听流量和VN2VN_Port FIP 侦听流量配置单独的 FCoE VLAN。

    注意:

    将 FCoE VLAN 从VN2VF_Port FIP 侦听模式更改为VN2VN_Port侦听模式会终止 VLAN 上的现有虚拟链路。传输交换机会删除现有的 FIP 侦听筛选器,创建新的 FIP 侦听筛选器,并将其应用于 FIP 侦听端口。如果将软件降级到 Junos OS 12.1 或更低版本,则为VN2VN_Port FIP 侦听配置的 VLAN 将恢复为VN2VF_Port FIP 侦听 VLAN。

  • 对于使用不支持增强型第 2 层软件 (ELS) CLI 的软件的系统,请在端口模式下配置属于 FCoE VLAN 的所有接入端口(连接到 FCoE 设备中的聚合网络适配器 [CNA] 的端口)。 tagged-access 尽管支持中继端口配置,但不应将与 FCoE VLAN 关联的接入端口配置为这些平台上的接入端口或中继端口。

    但是,在使用 ELS CLI 的交换机上,配置接口模式下属于 trunk FCoE VLAN 的接入端口。

  • 连接到 FC 交换机(或 FCoE 转发器)的所有端口都必须配置为 trunk 端口模式。连接到 FC 交换机的端口必须配置为可信端口。

  • FIP 流量使用本机 VLAN(FIP VLAN 发现和通知帧作为未标记数据包交换)。

  • 所有 FCoE VLAN 流量都必须经过标记,并且不能属于本机 VLAN。

  • FCoE VLAN 流量不能取消标记或优先级标记。

启用VN2VF_Port FIP 侦听时,交换机将检查 FIP 帧。

VN2VF_Port FIP 侦听实现包括以下注意事项,将在以下各节中介绍:

  • 面向 ENode 的接口

  • 面向网络的接口

  • FCoE 映射地址前缀 (FC-MAP) 值

面向网络的接口

当属于 FCoE VLAN 的接口直接连接到 FCoE 设备(FCoE 设备和交换机之间没有其他传输交换机)时,我们建议您在将VN_Ports连接到VF_Ports的所有 FCoE VLAN 上启用VN2VF_Port FIP 侦听。启用 FIP 侦听可确保服务器 ENodes 和 FC 交换机之间的安全连接。(启用VN2VN_Port FIP 侦听可确保VN_Ports连接到其他VN_Ports的 FCoE VLAN 上的安全连接)。应始终在接入边缘启用 FIP 侦听。

运行增强型第 2 层软件 (ELS) 的系统在面向 ENode 的接口上支持的配置与不运行 ELS 的系统略有不同。本节介绍:

FCoE 接口的非 ELS 端口模式

在不支持 ELS 的系统上属于 FCoE VLAN(连接到 FCoE 设备中的 CNA 的接口)的接口应配置为 tagged-access 端口模式。在 FCoE VLAN 上启用 VN2VF_Port FIP 侦听后,中继交换机将拒绝来自该 VLAN 上任何 ENode 的 FCoE 流量,直到该 ENode 使用 FC 交换机执行有效的结构登录。

tagged-access端口模式在 Junos OS 11.3 版及更早版本中不可用。在 11.3 版及更早版本中,trunk端口模式用于连接到 FCoE 接入设备的以太网接口。由于模式现已可用,因此tagged-access不建议对连接到 FCoE CNA 的接口使用trunk模式。

如果现有配置对连接到 FCoE CNA 的端口使用 trunk 模式,您可以将端口模式 tagged-access 更改为不中断流量。尽管我们建议将这些端口的端口 trunk 模式从更改为 作为 tagged-access 最佳实践,但这不是强制性的。新配置应将模式用于 tagged-access 连接到 FCoE 设备的接口。

FCoE 接口的 ELS 接口模式

在支持 ELS 的系统上属于 FCoE VLAN(连接到 FCoE 设备中的 CNA 的接口)的接口应在接口模式下进行配置 trunk 。在 FCoE VLAN 上启用 VN2VF_Port FIP 侦听后,中继交换机将拒绝来自该 VLAN 上任何 ENode 的 FCoE 流量,直到该 ENode 使用 FC 交换机执行有效的结构登录。

可信和不受信任的 FCoE 接口

如果在面向 ENoE 的接口上启用了 FIP 侦听VN2VF_Port请勿将这些接口配置为 FCoE 可信接口。如果在 FCoE VLAN 上启用VN2VF_Port FIP 侦听,并将作为 FIP 侦听 VLAN fcoe-trusted成员的面向网络的接口配置为 ,则 FCoE 设备可能无法登录到 FC 网络。

将端口从不受信任更改为受信任会从端口中删除任何现有的 VN2VF_Port FIP 侦听筛选器,并终止现有会话。将结构端口从受信任更改为不受信任会强制注销这些端口上的所有 FCoE 会话,以便在 ENodes 和 VN_Ports 再次登录时,交换机可以构建适当的 VN2VF_Port FIP 侦听过滤器。

面向网络的接口

当交换机充当 FCoE 中继交换机时,您必须将连接到交换机的任何接口配置为端口模式下的 trunk FCoE 可信接口和 10 千兆以太网接口。

面向交换机的以太网接口具有以下要求和行为:

  • 您必须将 FCoE 中继交换机上面向交换机的中继端口显式配置为 FCoE 可信接口。

  • 将面向 FC 交换机的中继端口配置为可信接口后,FCoE 中继交换机将始终处理 FC 交换机帧,因为它们来自可信接口上的源。

  • FCoE VLAN 中的所有端口都必须配置为标记接入端口或中继端口。

FCoE 映射地址前缀值 (FC-MAP)

当交换机充当 FCoE 中转交换机并在 FCoE VLAN 上启用VN2VF_Port FIP 侦听时,您可以选择指定 24 位 FCoE 映射地址前缀 (FC-MAP) 值。在给定 VLAN 上,中继交换机仅学习具有匹配 FC-MAP 值的 FC 交换机。如果中转交换机 FCoE VLAN FC-MAP 值与 FC 交换机 FC-MAP 值不匹配,则中转交换机不会发现该 VLAN 上的 FC 交换机,并且该 VLAN 上的 ENodes 无法访问该 FC 交换机。一个 FCoE VLAN 可以有一个且只能有一个 FC-MAP 值。

FC-MAP 值是 FC SAN 交换矩阵中 FC 交换机独有的 MAC 地址前缀,FC 交换机使用该前缀标识给定 FC 交换矩阵的 FCoE 流量(特定 FCoE VLAN 上的流量)。在登录过程中,FC 交换机将 FC-MAP 值与 ENode VN_Port的唯一 24 位 FCID 值相结合。这将创建一个对结构唯一的 48 位标识符。FC 交换机将此 48 位值分配给 ENode VN_Port,作为其 MAC 地址和会话的唯一标识符。ENode 与 FC 交换机建立的每个VN_Port会话都会从 FC 交换机接收一个唯一的 FCID,因此 FCoE 设备可以托管到 FC 交换机的多个虚拟链路(每个VN_Port一个),每个链路都有一个对交换矩阵唯一的 48 位 MAC 地址。

VN2VF_Port FIP 侦听筛选器将配置的 FC-MAP 值与来自 ENode VN_Port的帧标头中的 FC-MAP 值进行比较。如果值不匹配,传输交换机将拒绝访问。

注意:

更改 FC-MAP 值会导致丢弃所有登录名,并强制 ENodes 重新登录。
注意:

请勿使用 FC-MAP 值作为前缀(MAC 地址的前 24 位)配置静态 MAC 地址。如果配置的静态 MAC 地址以 FC-MAP 值为前缀,则在您启用 FIP 侦听后,系统会自动删除该静态 MAC 地址。即使以后禁用 FIP 侦听,静态 MAC 地址配置也不会还原。(系统会将 FC-MAP 值作为前缀的静态 MAC 地址视为配置错误。)当交换机充当中转交换机时,请勿将带有 FC-MAP 值的 MAC 地址用作除 FIP 侦听流量以外的任何流量的前缀。

T11 VN2VF_Port FIP 侦听规范

有关VN2VF_Port FIP 侦听的更多详细信息,请参阅技术委员会 T11 组织文档的 http://www.t11.org/ftp/t11/pub/fc/bb-5/08-264v3.pdf 使用 FIP 侦听提高 FCoE 稳健性

相关文档