FIP 스누핑 이해하기
Fibre Channel over Ethernet(FCoE) 초기화 프로토콜(FIP) 스누핑은 무단 액세스 및 파이버 채널(FC) 네트워크로의 데이터 전송을 방지하기 위해 설계된 보안 메커니즘입니다. 트래픽을 필터링하여 FC 네트워크에 로그인한 서버만 네트워크에 액세스할 수 있도록 합니다. 스위치가 이더넷 네트워크의 FC 개시자(서버)를 SAN(Storage Area Network) 에지의 FCoE 포워더(FCF)에 연결하는 FCoE 전송 스위치로 사용될 때 FCoE VLAN에서 FIP 스누핑을 활성화합니다.
FIP 프로세스를 통해 컨버지드 네트워크 어댑터(CNA)가 있는 서버는 FC 네트워크에 로그인할 수 있는 FCoE 노드(ENode)를 제공합니다. 로그인 프로세스는 ENode와 FCF 사이에 전용 가상 링크를 설정하여 FCoE 전송 스위치를 통해 투명하게 통과하는 포인트 투 포인트 연결을 에뮬레이트합니다.
FCoE 전송 스위치는 FIP 스누핑을 활성화하는 FCoE VLAN과 연결된 에지 액세스 포트에 FIP 스누핑 방화벽 필터를 적용합니다. FIP 스누핑은 FIP 트랜잭션 중 FC 디바이스에 대해 수집(스누핑)된 정보를 기반으로 방화벽 필터를 자동으로 생성하여 가상 링크에 대한 보안을 제공합니다.
이 주제는 다음을 설명합니다.
FC 네트워크 보안
기존 pure FC 네트워크에서 FCF는 신뢰할 수 있는 엔터티이며 서버 ENodes는 FCF에 직접 연결됩니다. ENode가 FLOGI(패브릭 로그인) 프로세스를 통해 네트워크에 대한 액세스를 확보한 후 FCF는 구역화 구성을 적용하고, ENode가 유효한 주소를 사용하고, 연결을 모니터링하며, 다른 보안 기능을 수행하여 무단 액세스를 방지합니다.
FIP 스누핑 방화벽 필터는 전송 스위치를 통해 FCF에 대한 무단 액세스를 방지하고 각 ENode와 FCF 간의 가상 링크의 보안을 보장함으로써 이러한 보안 기능을 에뮬레이트합니다. FIP 스누핑은 또한 중간자 공격을 방지합니다.
FIP 스누핑 기능
FIP 스누핑을 활성화하면 FCoE 전송 스위치는 FIP 로그인, 유도 및 광고를 모니터링하여 이를 통과하고 ENode 주소와 FCF 주소에 대한 정보를 수집합니다. 전송 스위치는 정보를 사용하여 로그인한 ENodes에만 액세스를 허용하는 방화벽 필터를 구성합니다. VLAN의 다른 모든 트래픽은 거부됩니다.
예를 들어, FCoE VLAN의 ENode가 성공적으로 로그인하면 FCoE 전송 스위치가 FIP 정보를 스누핑하고, ENode에 대한 액세스를 허용하는 방화벽 필터 를 구성하고, FCoE VLAN과 연결된 모든 전송 스위치 액세스 포트에 필터를 추가합니다.
방화벽 필터를 사용하면 FCoE 프레임이 서버 ENode FCoE 포트와 서버 ENode가 로그인한 FCF FCoE 포트 간에만 전송 스위치를 통과할 수 있습니다. 이를 통해 ENodes가 성공적으로 로그인한 FCF에만 연결할 수 있고 유효한 FCoE 트래픽만 전송되도록 합니다. FIP 스누핑은 FCoE 세션을 추적하여 필터를 유지합니다.
FIP 스누핑 방화벽 필터
FIP 스누핑 방화벽 필터는 FCF에 이미 로그인한 ENodes에서 발생하는 트래픽을 제외하고 VLAN의 모든 FCoE 트래픽을 거부합니다.
FIP 스누핑은 이러한 작업을 수행하고 FCoE 트래픽이 유효한지 확인합니다.
FCF MAC(Media Access Control) 주소를 소스 주소로 사용하는 ENodes를 거부합니다.
Enode가 로그인한 FCF로 전달된 트래픽 이외의 ENode에서 모든 트래픽을 거부합니다.
ENode가 가상 링크에서 FCoE 프로토콜 트래픽만 전송하도록 제한합니다.
ENode가 FIP 및 FCoE 프레임만 FCF 주소로 전송하도록 허용합니다.
fabic 로그인 및 패브릭 디스커버리(FDISC) 이후 ENode가 사용하는 FCoE 소스 주소가 해당 ENode에 할당된 FCF 주소인지 확인합니다.
FCF가 할당하거나 수락하는 FCoE 소스 주소가 FCoE 트래픽에만 사용되도록 합니다.
FCoE 프레임이 수용 FCF에만 전달되도록 합니다.
FIP 스누핑 구현
VLAN별로 FIP 스누핑을 활성화합니다. FCoE 전송 스위치는 FIP 스누핑 지원 VLAN과 관련된 액세스 포트에서 FIP 프레임을 스누핑한 다음, 액세스 포트에 결과 방화벽 필터를 설치하여 모든 스누핑이 FCoE 전송 스위치 네트워크 에지에서 발생하도록 합니다.
FCoE VLAN에는 액세스 포트와 트렁크 포트가 모두 포함될 수 있습니다. 액세스 포트는 호스트(FCoE 서버 및 기타 FCoE 개시자)를 마주하고 트렁크 포트는 FCF에 직면합니다. FIP 스누핑이 활성화된 경우, FCoE 전송 스위치는 FIP 프레임과 FCoE 프레임을 모두 검사합니다.
FIP 스누핑 구현에는 다음과 같은 고려 사항이 포함됩니다.
서버 ENode 대면 인터페이스
모든 FCoE 액세스 포트에서 FIP 스누핑을 활성화하여 FCF에 대한 안전한 연결을 보장하는 것이 좋습니다. FCoE VLAN에서 FIP 스누핑을 활성화한 후 전송 스위치는 서버가 FCF로 유효한 패브릭 로그인을 수행할 때까지 해당 VLAN의 모든 서버에서 FCoE 트래픽을 거부합니다.
FCF 대면 인터페이스
FCF에 연결하는 데 사용하는 인터페이스를 FCoE 신뢰할 수 있는 인터페이스 구성해야 하며 10기가비트 이더넷 인터페이스여야 합니다.
FCoE 신뢰할 수 있는 인터페이스 FCF에서만 FCoE 트래픽을 수신합니다. FCF 및 FCF 대면 인터페이스에는 다음 조건이 적용됩니다.
기본적으로 FCF는 신뢰할 수 있는 엔터티입니다.
FCoE 전송 스위치는 신뢰할 수 있는 소스에서 나오기 때문에 항상 FCF 프레임을 처리합니다.
FCoE 매핑 주소 접두사
VLAN에서 FIP 스누핑을 활성화할 때, 선택적으로 네트워크가 패브릭 제공 MAC 주소(FPMA) 주소 지정 체계를 사용하는 경우 해당 VLAN에 대한 FCoE 매핑 주소 접두사(FC-MAP) 값을 지정할 수 있습니다. FC-MAP 값은 FCF를 식별하는 24비트 값입니다. FCF는 패브릭 로그인 프로세스 중에 서버에 대한 고유한 24비트 파이버 채널 ID(FCID) 값과 FC-MAP 값을 결합하여 고유한 48비트 식별자를 생성합니다. FCF는 서버 ENode에 48비트 값을 세션의 MAC 주소 고유 식별자로 할당합니다. ENode가 FCF와 함께 설정하는 각 서버 세션은 고유한 FCID를 수신하므로 서버는 FCF에 대한 여러 가상 링크를 호스팅할 수 있으며 각각은 고유한 48비트 주소 식별자를 가지고 있습니다.
FIP 스누핑 필터는 구성된 FC-MAP 값을 서버에서 오는 프레임 헤더의 FC-MAP 값과 비교합니다. 값이 일치하지 않으면 FCoE 전송 스위치는 액세스를 거부합니다.
T11 FIP 스누핑 사양
FIP 스누핑에 대한 자세한 내용은 기술위원회 T11 조직 문서 http://www.t11.org/ftp/t11/pub/fc/bb-5/08-264v3.pdf FIP 스누핑을 사용하여 FCoE 견고성 증대를 참조하십시오.