光纖通道（FC）的內(nèi)在安全機制比多數(shù)人通常所認為的還要多，但是它們經(jīng)常得不到充分利用，而且還被誤解，因此SAN（存儲局域網(wǎng)）才被說成有安全問題。本期存儲課堂所講的內(nèi)容就是探索光纖通道分區(qū)：光纖通道交換機容易和經(jīng)常被誤設(shè)的功能。

　　任何功能完整的光纖通道交換機都可以設(shè)置分區(qū)。這里的分區(qū)同以太網(wǎng)虛擬局域網(wǎng)非常相似：將數(shù)據(jù)傳輸隔開。但是光纖通道分區(qū)比起虛擬局域網(wǎng)要更有效，因為數(shù)據(jù)傳輸不會在分區(qū)之間"漏出"。

　　從概念上講，光纖通道分區(qū)比虛擬局域網(wǎng)更加符合分區(qū)的概念。眼看上去光纖通道分區(qū)似乎更加復(fù)雜，但是隱藏在復(fù)雜背后的其實是簡單。一個設(shè)備節(jié)點，或全局名稱（WWN），可以同時存在于多個不同的分區(qū)。這種能力真的會被濫用！進行健全的、管理性強的分區(qū)設(shè)置需要一定的架構(gòu)--可不是一分鐘就能解決的。

　　這里有兩種分區(qū)：軟分區(qū)和硬分區(qū)。

　　軟分區(qū)

　　軟分區(qū)的含義是交換機將設(shè)備的全局名稱放在一個分區(qū)中，而不管連接的是哪個端口。例如，如果全局名稱Q和全局名稱Z在同一個分區(qū)中，那么它們可以互相對話。相同的，如果Z和A又在另一個分區(qū)，那么Z和A可以看到對方，但是A不能看到Q。這是分區(qū)的復(fù)雜性部分；這種特點在以太網(wǎng)交換機中并不常見。

　　軟分區(qū)的概念不難理解。它只是簡單的表明架構(gòu)是基于節(jié)點的全局名稱。使用這種軟分區(qū)的好處是，你可以連接到交換機的任何一個端口，而且如果你能看到其他節(jié)點，那么你也能訪問這些節(jié)點。

　　這樣好嗎？不，完全不好。從管理性的角度來看，軟分區(qū)環(huán)境簡直是一團糟。進行維護時，你必須知道每個節(jié)點連接到哪里。如果使用軟分區(qū)，在交換機上就沒有關(guān)于端口的描述，因為這些端口的信息很可能很快就過時。此外，軟分區(qū)還有一定的安全風險。就每個人所相信的而言，沒有人曾經(jīng)看到過一個黑客正在試圖哄騙全局名稱的過程，但是這種行為是可能的。通過改變設(shè)備的全局名稱來改變它的分區(qū)是非常困難的，因為黑客不知道哪些全局名稱可以訪問他所想要進入的分區(qū)。你總不會把自己的交換機設(shè)置信息放在大庭廣眾之下吧？

　　硬分區(qū)

　　硬分區(qū)更類似以太網(wǎng)世界中的虛擬局域網(wǎng)。如果將一個端口放到一個分區(qū)，任何連接到這個端口的流量都是來自這個分區(qū)，或所設(shè)置的數(shù)個分區(qū)。當然，如果有人可以移動光纜的話，那么這種分區(qū)在面對物理攻擊的時候就沒那么安全了。但是，你需要擔心這種情況嗎？因此對于SAN來說，的設(shè)置是：交換機硬分區(qū)，并且對可以訪問陣列端（target）邏輯單元號(LUN)的全局名稱進行限制。你的存儲陣列還需要全局名稱屏蔽，以便多個發(fā)起端（initiator）可以被分區(qū)設(shè)置成可以同時看到陣列端。

　　一些人的分區(qū)架構(gòu)想法很奇怪。將相同操作系統(tǒng)放在一個分區(qū)看起來是個好主義，但在實際上沒有任何意義。過去人們總是很容易害怕將Windows服務(wù)器和使用不同操作系統(tǒng)的存儲陣列放在同一個分區(qū)。當看到新的LUN時，Windows會彈出"你是否需要初始化新卷？"對話窗口，而且如果Windows管理員順手決定點擊"是"的話，那么他就破壞了其他人的邏輯單元號。如果存儲陣列有邏輯單元號屏蔽的話，那么這就不成問題。

　　分區(qū)參考

　　許多機構(gòu)提供分區(qū)建議。大部分都同意軟分區(qū)非常糟糕。確實是這樣。我們在這里討論硬分區(qū)。記住，每個節(jié)點需要有兩個主機總線適配器，但是每個主機總線適配器都通過不同的交換機處于不同的光纖通道網(wǎng)絡(luò)。每個交換機都有相同的分區(qū)設(shè)置。

　　"單一發(fā)起端分區(qū)"陣營認為你需要基于發(fā)起端來建立分區(qū)。這意味著每個分區(qū)都只有一個主機，或發(fā)起端。在不違反單一發(fā)起端規(guī)則的條件下，可以將多個存儲陣列端口添加到這個分區(qū)--陣列就是目標端。這種方法很合理，因為你可以很快的從你的設(shè)置中看到主機可以訪問哪些陣列。

　　其他人傾向于基于陣列端進行分區(qū)。畢竟，每個陣列端都可以讓多個主機進行訪問，因此我們可以將那些具有相同目的的發(fā)起端整合在一起，建立一個迷你網(wǎng)絡(luò)。一些存儲管理者對這種多個發(fā)起端可以互相看到對方的想法感到緊張，但是在一定的情況下，這種方式還是很好的。當一個服務(wù)器重啟，其他相同分區(qū)的服務(wù)器在系統(tǒng)日志中就會"節(jié)點X從網(wǎng)絡(luò)中消失"。這種基于陣列端的分區(qū)的好處時你可以快速的瀏覽哪些主機可以訪問特定的陣列端。

　　記住，每個"分區(qū)"實際上只是一個節(jié)點間的雙向（或更多）通訊映像。存儲陣列的一個端口可以置于多個不同的分區(qū)（在單發(fā)起端模式的分區(qū)下），每個分區(qū)都包括主機，也叫發(fā)起端。

　　一些人喜歡跳過分區(qū)設(shè)置。僅從穩(wěn)定性角度來考慮，不提倡這種做法。光纖通道網(wǎng)絡(luò)復(fù)位就能在同一時間讓所有人都必須重新登錄，還要給每個人發(fā)送光纖通道網(wǎng)絡(luò)更新信息。安全問題也存在，但是實際上都是些你肯定會注意的而且只有新手才會犯的問題。

　　你的分區(qū)設(shè)置決定非常重要，因此需要花一點時間來決定哪種硬分區(qū)模式能夠更好適應(yīng)你的環(huán)境。

　　總結(jié)

　　分區(qū)就和虛擬局域網(wǎng)類似。端口或全局名稱可以同時置于多個分區(qū)；

　　軟分區(qū)是基于全局名稱進行分區(qū)，如果光纖移到新的端口，那么這種分區(qū)很難管理；

　　硬分區(qū)是基于端口的：你可以跟蹤哪些節(jié)點連接到哪里。一些奇特的交換機有復(fù)合分區(qū)："全局名稱C必須在這個端口。"