ファブリック認証の概要
Fibre Channel Security Protocol(FC-SP)機能は、スイッチ間およびホストとスイッチ間で認証を実行して、企業全体のファブリックに関するセキュリティ問題を解決します。Diffie-Hellman(DH)Challenge Handshake Authentication Protocol(DHCHAP)は、Cisco MDS 9000 ファミリ スイッチとその他のデバイス間で認証を行う FC-SP プロトコルです。DHCHAP は、CHAP プロトコルと Diffie-Hellman 交換を組み合わせて構成されています。
Note |
Cisco NX-OS リリース 6.2(1) は Cisco MDS 9710 のみでファイバ チャネル セキュリティ プロトコル(FC-SP)機能をサポートしていません。Cisco MDS 9710 での FC-SP のサポートは、Cisco NX-OS リリース 6.2(9) 以降です。 |
VFC ポートを介して認証するには、FC-SP が通信にポート VSAN を使用する必要があります。したがって、認証メッセージを送受信するには、両方のピアでポート VSAN が同じで、かつアクティブになっている必要があります。
Cisco MDS 9000 ファミリのスイッチはすべて、スイッチ間またはスイッチとホスト間の認証をファブリック全体で実行できます。これらのスイッチおよびホスト認証は、各ファブリックでローカルまたはリモートで実行できます。ストレージ アイランドを企業全体のファブリックに統合して、移行すると、新しいセキュリティ問題が発生します。ストレージ アイランドを保護する方法が、企業全体のファブリックで必ずしも保証されなくなります。
たとえば、スイッチが地理的に分散しているキャンパス環境では、他のユーザーが故意に、またはユーザー自身が偶然に、互換性のないスイッチに故意に相互接続することにより、スイッチ間リンク(ISL)分離やリンク切断が発生することがあります。Cisco MDS 9000 ファミリ スイッチでは、物理セキュリティに対するこのようなニーズに対応しています(スイッチおよびホストの認証 を参照)。
Note |
ホスト スイッチ認証には、適切なファームウェアおよびドライバを備えたファイバ チャネル(FC)Host Bus Adapter(HBA)が必要です。 |