光纖通道（FC）的內(nèi)在安全機(jī)制比多數(shù)人通常所認(rèn)為的還要多，但是它們經(jīng)常得不到充分利用，而且還被誤解，因此SAN（存儲(chǔ)局域網(wǎng)）才被說(shuō)成有安全問(wèn)題。本期存儲(chǔ)課堂所講的內(nèi)容就是探索光纖通道分區(qū)：光纖通道交換機(jī)最容易和最經(jīng)常被誤設(shè)的功能。  
   任何功能完整的光纖通道交換機(jī)都可以設(shè)置分區(qū)。這里的分區(qū)同以太網(wǎng)虛擬局域網(wǎng)非常相似：將數(shù)據(jù)傳輸隔開(kāi)。但是光纖通道分區(qū)比起虛擬局域網(wǎng)要更有效，因?yàn)閿?shù)據(jù)傳輸不會(huì)在分區(qū)之間"漏出"。  
從概念上講，光纖通道分區(qū)比虛擬局域網(wǎng)更加符合分區(qū)的概念。第一眼看上去光纖通道分區(qū)似乎更加復(fù)雜，但是隱藏在復(fù)雜背后的其實(shí)是簡(jiǎn)單。一個(gè)設(shè)備節(jié)點(diǎn)，或全局名稱(chēng)（WWN），可以同時(shí)存在于多個(gè)不同的分區(qū)。這種能力真的會(huì)被濫用！進(jìn)行健全的、管理性強(qiáng)的分區(qū)設(shè)置需要一定的架構(gòu)--可不是一分鐘就能解決的。  
這里有兩種分區(qū)：軟分區(qū)和硬分區(qū)。  
軟分區(qū)  
軟分區(qū)的含義是交換機(jī)將設(shè)備的全局名稱(chēng)放在一個(gè)分區(qū)中，而不管連接的是哪個(gè)端口。例如，如果全局名稱(chēng)Q和全局名稱(chēng)Z在同一個(gè)分區(qū)中，那么它們可以互相對(duì)話(huà)。相同的，如果Z和A又在另一個(gè)分區(qū)，那么Z和A可以看到對(duì)方，但是A不能看到Q。這是分區(qū)的復(fù)雜性部分；這種特點(diǎn)在以太網(wǎng)交換機(jī)中并不常見(jiàn)。  
軟分區(qū)的概念不難理解。它只是簡(jiǎn)單的表明架構(gòu)是基于節(jié)點(diǎn)的全局名稱(chēng)。使用這種軟分區(qū)的好處是，你可以連接到交換機(jī)的任何一個(gè)端口，而且如果你能看到其他節(jié)點(diǎn)，那么你也能訪(fǎng)問(wèn)這些節(jié)點(diǎn)。   
這樣好嗎？不，完全不好。從管理性的角度來(lái)看，軟分區(qū)環(huán)境簡(jiǎn)直是一團(tuán)糟。進(jìn)行維護(hù)時(shí)，你必須知道每個(gè)節(jié)點(diǎn)連接到哪里。如果使用軟分區(qū)，在交換機(jī)上就沒(méi)有關(guān)于端口的描述，因?yàn)檫@些端口的信息很可能很快就過(guò)時(shí)。此外，軟分區(qū)還有一定的安全風(fēng)險(xiǎn)。就每個(gè)人所相信的而言，沒(méi)有人曾經(jīng)看到過(guò)一個(gè)黑客正在試圖哄騙全局名稱(chēng)的過(guò)程，但是這種行為是可能的。通過(guò)改變?cè)O(shè)備的全局名稱(chēng)來(lái)改變它的分區(qū)是非常困難的，因?yàn)楹诳筒恢�道哪些全局名稱(chēng)可以訪(fǎng)問(wèn)他所想要進(jìn)入的分區(qū)。你總不會(huì)把自己的交換機(jī)設(shè)置信息放在大庭廣眾之下吧？  
硬分區(qū)  
硬分區(qū)更類(lèi)似以太網(wǎng)世界中的虛擬局域網(wǎng)。如果將一個(gè)端口放到一個(gè)分區(qū)，任何連接到這個(gè)端口的流量都是來(lái)自這個(gè)分區(qū)，或所設(shè)置的數(shù)個(gè)分區(qū)。當(dāng)然，如果有人可以移動(dòng)光纜的話(huà)，那么這種分區(qū)在面對(duì)物理攻擊的時(shí)候就沒(méi)那么安全了。但是，你需要擔(dān)心這種情況嗎？因此對(duì)于SAN來(lái)說(shuō)，最好的設(shè)置是：交換機(jī)硬分區(qū)，并且對(duì)可以訪(fǎng)問(wèn)陣列端（target）邏輯單元號(hào)(LUN)的全局名稱(chēng)進(jìn)行限制。你的存儲(chǔ)陣列還需要全局名稱(chēng)屏蔽，以便多個(gè)發(fā)起端（initiator）可以被分區(qū)設(shè)置成可以同時(shí)看到陣列端。