Die Unterschiede zwischen Hard-Zoning, Soft-Zoning, Port-Zoning und Co.

Hard-Zoning oder Soft-Zoning: Unter Sicherheitsaspekten gewährleistet Hard-Zoning in einem Fibre-Channel-SAN einen besseren Schutz als Soft-Zoning.

Dieser Artikel behandelt

FC-SAN

Mittels Zoning werden in einem Fibre Channel SAN (Storage Area Network) die Geräte, zum Beispiel Server, die sich gegenseitig sehen sollen, in jeweils einer Zone, also einem Subnetz, zusammengefasst. Eine Zone bildet dabei das Äquivalent eines Ordners oder eines Verzeichnisses. 

Es gibt verschiedene Ansätze beim Zoning und eine Reihe von Begriffen, die oft missverständlich verwendet werden. Im Folgenden werden die Begriffe Hard-Zoning und Soft-Zoning definiert. Dabei ist Hard-Zoning nicht gleichzusetzen mit Port-Zoning und Soft-Zoning nicht mit WWN-Zoning (World Wide Names).

Es gibt verschiedene Ansätze beim Zoning und eine Reihe von Begriffen, die oft missverständlich verwendet werden.

Bei der Konfiguration einer Zone im Fibre-Channel-Netz lassen viele Storage Area Networks (SANs) es zu, dass die Teilnehmer, d.h. die Endgeräte wie Server, in dieser Zone durch die Verwendung der Port-ID oder 24-Bit-Adresse aufgelistet werden. Genau genommen handelt es sich dabei um eine X-Y-Syntax, wobei durch die X-Achse die Domain-ID eines Switches dargestellt wird und durch die Y-Achse die Portnummer auf dem Switch. Das ist eine einfache und leichtverständliche Methode. 

Ähnlich verhält es sich, wenn man ein Kabel sieht, das vom Server 1 kommt und beim Switch 5 in den Port 3 gesteckt ist. Wird die Topologie des SAN verändert, müssen alle Zonen neu konfiguriert werden.

Bei einem weiteren Konfigurationsansatz werden die Geräte in einem Subnetz unter Verwendung ihrer World Wide Names aufgelistet, ob WWN-Port oder WWN-Node. Der Vorteil: Wird die Domain-ID eines Switches, die Topologie des SAN oder der Bereich, in dem die Geräte angeschlossen sind, geändert, lässt sich eine solche Zone weiterhin nutzen. 

Möglicherweise muss dabei ein Host-Bus-Adapter (HBA) ausgetauscht werden und die WWN-Zonen sind dann entsprechend anzupassen, da sie in der Regel an den HBA gekoppelt sind. Aber diese Aufgabe kann relativ einfach bewältigt werden.

Was ist Hard-Zoning und Soft-Zoning?

Soft-Zoning beschränkt sich – unter dem Sicherheitsaspekt betrachtet – auf die Auskunft des Name-Servers: Stellt beispielsweise ein Endgerät eine Anfrage an den Name-Server, welche anderen Endgeräte es noch im Fibre-Channel-Netz gibt, werden dem Device die weiteren Geräte mitgeteilt, mit denen es in mindestens einer gemeinsamen Zone liegt. 

Das heißt, beim Soft-Zoning werden nur die Informationen weitergegeben, die tatsächlich benötigt werden. Vergleicht man dies mit einem Anruf, so kann ich auch, auch wenn ich die richtige Nummer nicht weiß, diese erraten oder aus Versehen wählen. Das Telefon klingelt dann, obwohl ich nur eingeschränkte Informationen habe.

Tritt bei einem Server ein Defekt auf, der mit zwei verschiedenen VSANs verbunden ist, besteht die Gefahr, dass beide VSANs lahmgelegt werden.

Besseren Schutz gewährleistet das Hard-Zoning. Dabei können nur die Endgeräte miteinander kommunizieren, die mindestens eine gemeinsame Zone haben. Das heißt, es findet kein Datenverkehr zwischen Ports unterschiedlicher Zonen statt. Diese Zone wird quasi abgeschottet. Im Vergleich mit dem Telefonat hieße dass, dass das Telefon nicht klingelt, selbst wenn die richtige Nummer gewählt bzw. erraten wird. Nur wer sich unterhalten darf und einer Zone angehört kann miteinander kommunizieren.

Allerdings ist Vorsicht geboten, denn Hard-Zoning wird nicht von allen Fibre-Channel-Switches unterstützt. Einige Switches unterstützen zwar Hard-Zoning, doch es fehlt an der notwendigen Granularität (etwa im Hinblick auf individuelle Ports) und ist daher mit Restriktionen verbunden. 

Bestimmte Switches unterstützen Hard-Zoning nur, wenn in sämtlichen Zonen die Port-ID-Syntax genutzt wird, in der Annahme Port-Zoning sei identisch mit Hard-Zoning. Bei einigen Switches lässt sich Hard-Zoning durchführen, wenn die Zonen entweder eine Port-ID- oder eine WWN-Syntax nutzen.

Der Unterschied zwischen Zonen und virtuellen SANs (VSAN)

Der Unterschied zwischen einem VSAN und einer Zone kann so verstanden werden: Es wird allgemein empfohlen, zwei verschiedene SAN-Fabrics zu betreiben und jedes Gerät jeweils mit beiden Fabrics zu verbinden. Dafür gibt es eine Reihe von Gründen. 

Einer ist, dass Services wie der Name-Server in einer Fabric als einziger verteilter Dienst laufen. Es besteht daher die Möglichkeit, wenngleich diese sehr gering ist, dass durch ein fehlerhaft arbeitendes Gerät die Arbeit des Name-Service in einem Ausmaß gestört und beeinträchtigt wird, die sich auch auf alle anderen in einer Fabric verbundenen Geräte auswirkt.

Hinter einem virtuellen Speichernetzwerk steckt, wie es scheint, die Idee, auf einer höheren Ebene eine Name-Server-Datenbank aufzubauen, die vollkommen eigenständig arbeitet. Sie könnte außerdem als völlig eigener Service innerhalb eines Port-Switches laufen, wodurch sich das Risiko einer Kreuzkontamination von Geräten verringern ließe und Geräteprobleme auf einer höheren Ebene lokalisiert werden könnten.

Trotzdem lassen sich Störungen nicht vollständig ausschließen. Tritt zum Beispiel bei einem Server ein Defekt auf, der mit zwei verschiedenen VSANs verbunden ist, besteht die Gefahr, dass beide VSANs lahmgelegt werden. Ebenso kann es vorkommen, dass ein auf Standards basierendes Management-System die Unzoned Name Server-Anfragen in einem Fibre-Channel-Netz nutzt, um sämtliche Geräte in einer SAN-Fabric zu identifizieren.

Folgen Sie SearchStorage.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im November 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Fibre-Channel-SAN

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close