IBM TechXchange Japan Storage User Community

 View Only

ポート・ゾーニングとWWPNゾーニング

By NORIMASA KOBAYASHI posted Wed June 24, 2020 12:40 AM

  
SANスイッチを導入する際の質問としてよくあるのが、ゾーニング方式をポート・ゾーニングにするかWWPNゾーニングにするかどちらが推奨ですか?というものです。
結論からいうと、どちらでも構わないという身も蓋もない回答になりますが、それでは話が終わってしまうので詳細に説明します。
まずそれぞれのゾーニング方式についてのおさらいです。
【ポート・ゾーニング】
Domain IDとポートIDでノードを定義します。設定はシンプルですが、保守や構成変更で接続を間違えると、意図しないデバイスをアクセスしてしまうリスクがあるため、物理的結線には注意が必要です。
容易な初期構成が求められ、構成変更が少ない環境に向いています。
なお、SANスイッチの移行やカスケード接続のためにDomain IDやポートIDが変わると、ゾーンの変更が必要です。
【WWNゾーニング】
サーバーHBAやストレージ装置のFCポートにユニークに割り当てられた、16進数8バイトのWWN(World Wide Name)を用い、ノードを定義します。
WWNにはWWPN(World Wide Port Name)とWWNN(World Wide Node Name)の2つがありますが、一般にはポート固有のWWPNに付与したエイリアスでゾーンを定義します。
設定工数は若干増えますが、SANスイッチの接続ポートが変わってもアクセスさせたいノードのペアは変わりません。そのため、構成変更が多い、または大規模な環境に向いています。
また、仮想化環境でNPIV接続を利用する場合は、1つの物理ポートに仮想の複数ノードを割り当てるため、WWNゾーニングにします。
それぞれにメリットとデメリットがありますので、導入予定のシステム環境の状況(管理方針や運用形態)に応じてどちらかを選択すべき、というのがより正しい回答になります。
ゾーニング方式
ポート・ゾーニング
WWPNゾーニング
メリット
ポート間でゾーンを組むため、デバイスの交換などによりWWPNが変わったとしても接続するポートが変わらなければ、ゾーン変更の必要が無い
SAN接続の変更が発生した場合にもゾーンを変更する必要が無い
デメリット
接続ポートの変更が頻繁にある場合は、ゾーンの変更が必要となる。SAN Switchの変更、カスケードでDomain、Port IDが変わってもゾーン全体の変更が必要となる場合がある。接続ポートの管理が必要
デバイスの交換などでWWPNが変わった場合は必ずゾーンを変更する必要がある
よって、構成変更が頻繁に発生する大規模構成であればWWPNゾーニング、小規模なシステムで変更が発生する可能性が低い構成ならポート・ゾーニングと使い分けするなどが考えられます。
また、どちらのゾーニングでも原則可能であるとここまで書いてきましたが、唯一の例外としては、仮想化環境でNPIVを使用する場合はWWPNゾーンが必須となっています。
次に、よくある質問として、ポート・ゾーニングとWWPNゾーニングを混在しても構いませんか?というものがあります。
これは、技術的には可能ですが、推奨しておりません。
理由について説明します。
まず、Brocade スイッチはASICによるHardware Enforcedでの実装方式を採用しています。
Hardware Enforcedでのゾーニングについて以下の2つの実装方法が存在します。
●Frame based hardware Enforcement
・ポート・ゾーニング or WWNゾーニング(ポート・ゾーニングとWWNゾーニングが重なっていない状態)
・ASICが送信先ポートをチェックし、ゾーン定義されていない場合はフレームを破棄
●Session based hardware Enforcement
・Mixedゾーニング(ポート・ゾーニングとWWNゾーニングが重なっている状態)
・PLOGI (+ADISC/PDISC)セッションによる実装
・Name Serverの情報を元にPLOGIセッションでアクセス制御
つまり、ゾーニング方式を混在させるとSession based hardware Enforcementになり、どちらか一方で統一させるとFrame based hardware Enforcementになります。
前者のFrame based hardware Enforcementは、全てのフレームに対して、どこのデバイスに送るのかをASICによって都度チェックしますが、後者のSession based hardware EnforcementはPort login(PLOGI)など初回のセッションを開いた時のみチェックします。結果として、後者のほうが誤ったフレームが意図しないデバイスに送信される可能性が高まるため、セキュリティー面で劣るというデメリットがあります。
したがってセキュリティーの観点で、ポート・ゾーニングかWWPNゾーニングがどちらかに統一することを推奨しています。
0 comments
28 views

Permalink