Ethernet のセキュリティ

スイッチファブリックの Ethernet 部分では、論理サーバーファームはポートベースの仮想ローカルエリアネットワーク (VLAN) を使用して実装されます。 セキュリティの観点から見た場合、メディアアクセス制御 (MAC) または IP アドレスによって定義される VLAN 実装と比較して、ポートベースのアドレス指定は優れた実装を提供します。 この強化されたセキュリティは、論理アドレスによってではなく、スイッチを介して物理的に接続されているデバイスによります。 ネットワーク仮想化層を実装することで、VLAN ホッピングや IP スプーフィングの可能性、あるいは Control Center の外部から VLAN メンバーシップを制御する可能性が排除されます。

IP スプーフィングの発生を防止するには、VLAN の着信 IP パケットが、それが到着する論理インタフェースと同じ VLAN タグと MAC アドレスを持っていなければなりません。 Control Center は、適切なポートおよびネットワーク用に VLAN タグを設定します。

Control Center を I-Fabric 内部からの不正アクセスから確実に保護するためには、Control Center ソフトウェアが稼動するコントロールプレーンサーバーを独自のポートベースの専用 VLAN 内に存在させるようにします。 このアーキテクチャーは、I-Fabric 内部からの Control Center への不正アクセスの可能性を排除します。 論理サーバーファームのユーザーは、自身あるいはほかの論理サーバーファームの VLAN 構成を操作することはできません。

I-Fabric 内のサーバーブレードは、どのような場合でも、単一の一意な論理サーバーファームのみに専用です。 論理サーバーファームのライフサイクルの間、サーバーは特定の論理サーバーファームに追加されたり取り除かれたりしますが、単一の物理サーバーブレードが 2 つ以上の論理サーバーファームによって同時に使用されることはありません。 したがって、サーバーは VLAN および Control Center セキュリティ対策 (前の節で説明) によって侵入から保護されます。

ファームは VLAN を使用して I-Fabric で実装されます。VLAN は、物理スイッチポートに基づき、Control Center によって構成されます。 スイッチ構成は、管理パスワードではなく VLAN によって保護されます。 VLAN 構成は、適用可能なスイッチ上でパスワードで保護されます。

ファームからの Control Center 上のサービスへのアクセスは、IP フィルタリングによって制限されます。 コントロールプレーンサーバーによる IP ルーティングは行えません。 また、ファームから Farm Manager および Segment Manager にアクセスすることもできません。

Control Center のみが、仮想配線および仮想ファームのセキュリティ境界に対する変更が許可されます。