光纤通道存储网络分区攻略

光纤通道（

FC）的内在安全机制比多数人通常所认为的还要多，但是它们经常得不到充分

利用，而且还被误解，因此

SAN（存储局域网）才被说成有安全问题。本期存储课堂所讲

的内容就是探索光纤通道分区：光纤通道交换机最容易和最经常被误设的功能。

 任何功能

完整的光纤通道交换机都可以设置分区。这里的分区同以太网虚拟局域网非常相似：将数据
传输隔开。但是光纤通道分区比起虚拟局域网要更有效，因为数据传输不会在分区之间

“漏

出

”.

从概念上讲，光纤通道分区比虚拟局域网更加符合分区的概念。第一眼看上去光纤通道分区
似 乎 更 加 复 杂 ， 但 是 隐 藏 在 复 杂 背 后 的 其 实 是 简 单 。 一 个 设 备 节 点 ， 或 全 局 名 称
（

WWN），可以同时存在于多个不同的分区。这种能力真的会被滥用！进行健全的、管理

性强的分区设置需要一定的架构

--可不是一分钟就能解决的。

这里有两种分区：软分区和硬分区。

软分区

软分区的含义是交换机将设备的全局名称放在一个分区中，而不管连接的是哪个端口。例如，
如果全局名称

Q 和全局名称 Z 在同一个分区中，那么它们可以互相对话。相同的，如果 Z

和

A 又在另一个分区，那么 Z 和 A 可以看到对方，但是 A 不能看到 Q.这是分区的复杂性部

分；这种特点在以太网交换机中并不常见。

软分区的概念不难理解。它只是简单的表明架构是基于节点的全局名称。使用这种软分区的
好处是，你可以连接到交换机的任何一个端口，而且如果你能看到其他节点，那么你也能
访问这些节点。

这样好吗？不，完全不好。从管理性的角度来看，软分区环境简直是一团糟。进行维护时，
你必须知道每个节点连接到哪里。如果使用软分区，在交换机上就没有关于端口的描述，因
为这些端口的信息很可能很快就过时。此外，软分区还有一定的安全风险。就每个人所相信
的而言，没有人曾经看到过一个黑客正在试图哄骗全局名称的过程，但是这种行为是可能
的。通过改变设备的全局名称来改变它的分区是非常困难的，因为黑客不知道哪些全局名称
可以访问他所想要进入的分区。你总不会把自己的交换机设置信息放在大庭广众之下吧？

硬分区

硬分区更类似以太网世界中的虚拟局域网。如果将一个端口放到一个分区，任何连接到这个
端口的流量都是来自这个分区，或所设置的数个分区。当然，如果有人可以移动光缆的话，
那么这种分区在面对物理攻击的时候就没那么安全了。但是，你需要担心这种情况吗？因此
对于

SAN 来说，最好的设置是：交换机硬分区，并且对可以访问阵列端（target）逻辑单