Configuración SAN SWITCH - Proyecto - SAN (Storage Area Network)

Configuración "Switch Fabric" - Proyecto - SAN (Storage Area Network)

Storage Area Networks (SAN) es una tecnología consolidad de un coste de implementación muy inferior si comparamos con algunos años atrás.

En la actualidad es empleada en Startup's como unidad centralizada de datos. Unidades lógicas ofrecidas directamente sin formato previo sobre FC o ethernet. A diferencia de las NAS que previamente se tenían que presentar como NFS o CIFS. Además en estas útimas de pedía un fichero y ahora se puede pedir un bloque (disco entero).

En el artículo anterior habíamos configurado un ejemplo de unidad presentado utilizado la red mediante el protocolo iSCSI encapsulado dentro de IP.

Como información adicional el protocolo iSCSI se puede implementar como medida de seguridad para evitar ataques MitM utilizado IPSEC. Hablaremos más tarde en otro artículo para implementar este tipo de configuración.

Regresando a la topología que teníamos vamos a realizar otra modificación y esta vez añadiremos un switch de fibra. Más adelante configurareos una Fabria de switch para añadir alta disponibilidad en la arquitectura.

 

El swith de fibra utilizado es de la marca: HP modelo: StorageWorks 4/8 SAN switch. En este escenario la configuración es muy simple. Se configura una zona con los intervinientes. Los únicos actores en esta configuración es un servidor (SRV-ANUBIS) Ubuntu 14.04.2 LTS como cliente y un servidor SAN.

swd77:root> aliCreate HBA_SRV_SAN, 21:01:00:1b:32:ad:0c:f3 swd77:root> aliCreate HBA_SRV_ANUBIS, 21:01:00:1b:32:29:bd:74 swd77:root> zoneCreate "SAN", "HBA_SRV_SAN; HBA_SRV_ANUBIS" swd77:root> swd77:root> swd77:root> cfgDisable No effective configuration found. swd77:root> cfgshow Defined configuration:  zone:    SAN    HBA_SRV_SAN; HBA_SRV_ANUBIS  alias:    HBA_SRV_ANUBIS            21:01:00:1b:32:29:bd:74  alias:    HBA_SRV_SAN            21:01:00:1b:32:ad:0c:f3 Effective configuration:  no configuration in effect    swd77:root> cfgcreate SAN_CFG, "SAN" swd77:root> cfgenable SAN_CFG You are about to enable a new zoning configuration. This action will replace the old zoning configuration with the current configuration selected. Do you want to enable 'SAN_CFG' configuration  (yes, y, no, n): [no] y zone config "SAN_CFG" is in effect Updating flash ... swd77:root>

Teníamos previamente creado en el backstore un objeto que utilizaremos:

/backstores/iblock/ create name=SRV-OSIRIS dev=/dev/sda3

Entramos en targetcli y realizamos esta configuración:

/qla2xxx create 21:01:00:1b:32:ad:0c:f3 /qla2xxx/21:00:00:1b:32:8d:0c:f3/acls/ create 21:01:00:1b:32:29:bd:74 luns/ create /backstores/iblock/SRV-OSIRIS

En esta configuración creamos en el segunto puerto de fibra una LUN con un ACL.

Configuración global:

 Una vez realizada la configuración en targetcli la LUN es presentada al servidor automáticamente, los cables del servidor al switch y del SAN al switch tienen son cruzados.

En este tipo de arquitectura la seguridad es importante y  hay que controlar los accesos, para esto se utilizan los WWN (World Wide Name). Los dos tipos de WWN son WWPN (World Wide Port Name) y WWNN (World Wide Node Name).
Para identificar un nodo lo ideal es usar ambos (WWNN y WWPN). En los puertos de switch identificamos el WWN conectado y aplicamos una restricción de acceso y bloqueo para evitar cambios.

En este documento de la NSA se puede encontrar información sobre mecanismos de autenticación.
https://www.nsa.gov/ia/_files/factsheets/securing_fibre_brochure.pdf