4 Mise en réseau d'OKM

Présentation du réseau
Commutateurs gérés
Configuration de routage réseau
Exigences relatives aux pare-feu SDP

Présentation du réseau

OKM utilise un réseau TCP/IP (double pile IPv4 et IPv6^{Note de bas de page 1}) pour les connexions entre les KMA, les agents et les stations de travail. Chaque KMA dispose de connexions réseau pour :

Réseau de gestion
Réseau de service
Processeur de service

Figure 4-1 Connexions réseau OKM

Cette figure illustre les connexions réseau OKM.

Réseau de gestion

Le réseau de gestion connecte le KMA à l'interface GUI d'OKM et à d'autres KMA du cluster pour la réplication entre homologues. Le réseau de gestion peut être local, distant ou une combinaison des deux. Les clients doivent fournir le réseau de gestion. Utilisez une connexion Ethernet gigabit afin d'assurer une réplication et des performances optimales.

Pour plus de sécurité et afin d'isoler le trafic LAN, vous pouvez envisager d'utiliser des réseaux locaux virtuels (VLAN) pour la connexion au réseau de gestion.

Réseau de service

Le réseau de service connecte les KMA aux agents. Il isole les extractions de clés des autres trafics sur le réseau.

Les interfaces du réseau de service du KMA peuvent, si vous le souhaitez, être regroupées (voir Groupement de ports de service de KMA).

Processeur de service

La connexion au processeur de service permet d'accéder au gestionnaire ILOM (Integrated Lights Out Manager) sur les serveurs Netra SPARC T4-1 ou au gestionnaire ELOM (Embedded Lights Out Manager) sur les serveurs Sun Fire. Votre représentant du support technique Oracle accède aux gestionnaires ILOM/ELOM pour la configuration initiale des KMA.

Le protocole STP doit être arrêté ou désactivé sur le réseau du processeur de service (ELOM ou ILOM).

Commutateurs gérés

Oracle recommande l'utilisation d'un commutateur géré pour la connexion des KMA à des lecteurs de bande sur des réseaux de service privés. Un connecteur géré fournit la connectivité aux connecteurs de lecteurs de bande non gérés et aux routeurs de réseaux étendus.

Les commutateurs gérés améliorent la facilité de maintenance grâce aux diagnostics améliorés des commutateurs et au dépannage du réseau de service, et ils peuvent réduire les points de défaillance sur ce dernier grâce à l'utilisation de connexions redondantes et du protocole STP.

Modèles de commutateurs gérés pris en charge

Oracle fournit des conseils, teste et recommande les configurations pour ce qui suit :

Commutateur 3COM 4500G 24 ports (3CR17761-91)
Extreme Networks Summit X150-24t
Brocade ICX 6430

Groupement de ports de service de KMA

Vous pouvez regrouper les interfaces Ethernet physiques en une seule interface virtuelle. Le regroupement de ces ports renforce la disponibilité ; ainsi, si une défaillance se produit au niveau d'un port, l'autre maintient la connectivité.

Vérifiez que la configuration des ports de commutateurs Ethernet est correcte. Les ports de commutateurs doivent être définis de manière à négocier automatiquement la vitesse gigabit et le mode duplex intégral.

Pour obtenir les instructions de configuration de l'agrégation des ports de service, votre représentant du support technique Oracle peut consulter le Manuel d'installation et d'entretien d'OKM (réservé un usage interne).

Mise en miroir de ports

Vous pouvez mettre en miroir des ports pour utiliser un analyseur de réseau sur le réseau de service. Les ports peuvent être mis en miroir sur les commutateurs Brocade ICX 6430. Pour obtenir les instructions de configuration, votre représentant du support technique Oracle peut consulter le Manuel d'installation et d'entretien d'OKM (réservé à un usage interne).

Exemple de configuration de commutateur géré

Dans Figure 4-2 :

Si un KMA ou un commutateur géré est défaillant, les lecteurs disposent toujours d'un chemin de communication avec l'autre KMA.
Les commutateurs gérés sont connectés à des commutateurs non gérés contenant des chemins redondants nécessitant une configuration STP. (Les commutateurs gérés doivent être activés pour le protocole STP lorsque le câblage comprend la fonction de redondance.)
Les interfaces du réseau de service sont regroupées dans une interface virtuelle unique (voir Groupement de ports de service de KMA).

Figure 4-2 Configuration de commutateur géré

Cette figure illustre une configuration de commutateur géré.

Configuration de routage réseau

La configuration de routage d'un KMA a des conséquences sur les réponses aux demandes de détection de lecteurs de bande. Des erreurs dans la configuration du routage peuvent entraîner la fourniture d'informations incorrectes concernant les clusters aux lecteurs de bande. Les lecteurs peuvent, par exemple, tenter de communiquer avec des KMA auxquels ils ne peuvent pas accéder sur le réseau.

Lors de la planification du réseau OKM, observez les consignes suivantes :

Utilisez l'option de menu du réseau de la console KMA pour configurer un itinéraire entre des sites. Ne configurez pas un itinéraire par défaut.

Remarque:
Oracle ne recommande pas de commencer avec une topologie de réseau de service multi-site.
Lors de la planification d'un réseau de service multi-site, déterminez le schéma d'adressage du sous-réseau des lecteurs et des ports de service KMA. Vous devez éviter les adresses réseau en double et l'utilisation de réseaux 172.18.18.x (convention commune).
L'utilisation de paramètres de passerelle par défaut peut affecter les performances de basculement. Consultez un ingénieur réseau pour planifier la fonction de basculement.

Exigences relatives aux pare-feu SDP

La plate-forme SDP (Service Delivery Platform) consiste en une appliance intelligente et un réseau dédié. Elle contrôle les bibliothèques de bande Oracle et les lecteurs T-series. SDP fournit un diagnostic à distance en recueillant les événements relatifs aux périphériques et en avertissant le service d'assistance technique Oracle en cas de problème.

Il doit y avoir un pare-feu entre les périphériques connectés à un KMA et SDP. Le pare-feu partitionne le réseau de service en deux : le réseau de service contrôlé par Oracle et le réseau de service contrôlé par le client. Le pare-feu du client permet à SDP de n'accéder qu'aux périphériques qu'il peut contrôler.

Important:

Configurez le pare-feu de sorte que SDP puisse contrôler les lecteurs de bande dans la partie du réseau de service contrôlée par le client.

Dans Figure 4-3 :

Le pare-feu du client est connecté au Port 2 de l'appliance SDP.

L'interface du réseau du client désigne la connexion entre les périphériques de stockage SDP et Oracle connectés au réseau local de votre centre opérationnel, qui est associé à votre réseau. Ces périphériques comprennent les lecteurs de bande et les commutateurs connectés aux KMA.
L'interface du réseau de service Oracle est connectée au Port 1 de l'appliance SDP.

L'interface du réseau de service Oracle désigne la connexion entre l'unité de site SDP et les périphériques de stockage.
La zone démilitarisée (DMZ) désigne l'architecture de réseau sécurisée de SDP qui sécurise le trafic réseau entre l'unité de site SDP et le réseau Oracle (Port 0).

Remarque:

Le personnel de maintenance Oracle doit assurer le fonctionnement de l'équipement dans les deux partitions du réseau de service et s'accorder avec les ingénieurs SDP pour la planification et la configuration.

Pour plus informations, reportez-vous au Livre blanc de la sécurité pour Service Delivery Platform.

Figure 4-3 Exemple de connectivité SDP

Cette figure illustre un exemple de connectivité SDP.

Légende de note de bas de page

Note de bas de page 1: Toutes les applications n'utilisent pas Ipv6 (par exemple, DNS). En conséquence, IPv4 est toujours requis.