Brocade SAN Switch Zoneing Yapılandırması

Günümüzde veri merkezlerinin temellerinden birini oluşturan SAN (Storage Area Network) mimarileri yüksek performans, ölçeklenebilirlik ve sürekli erişilebilirlik gereksinimlerini karşılamalıdır.

Bu hedeflere ulaşmanın kritik bileşenlerinden biri ise zoningdir.

Zoning sayesinde hangi sunucuların hangi depolama aygıtlarına erişebileceği netleşir gereksiz trafik engellenir, güvenlik sağlanır ve sorun giderme kolaylaşır.

Bu makalemde Brocade Fibre Channel SAN switch’lerinde zoning işlemlerini örnek senaryonla birlikte detaylandıracağım ayrıca alandan edinilmiş en iyi uygulamaları, terminolojide dikkat edilmesi gereken hassas noktaları ve olası tuzakları paylaşacağım.

Kavram	Tanımı
Switch Fabric (Fabrika)	SAN anahtarlarının ve bağlantılarının oluşturduğu toplu yapı. İki veya daha fazla switch’in ISL (Inter‐Switch Link) ile bağlanmasıyla oluşur.
WWPN / WWNN	WWPN (World Wide Port Name): bir portun benzersiz kimliği. WWNN (World Wide Node Name): cihaz seviyesindeki kimlik. Zoning genellikle WWPN üzerinden yapılır.
Alias	Uzun ve karmaşık WWPN değerlerini daha okunabilir isimlerle temsil etmek için kullanılır. Alias’lar hem host HBA portları hem de storage portları için tanımlanır.
Zone	Alias’ların birleştirilerek oluşturduğu mantıksal bölüm. Bir zone içindeki üyeler birbirlerini görebilir (host → storage, fakat genellikle hostlar arası iletişim olmaz).
Zone Configuration / ZoneSet / Config	Bir veya birden fazla zone’un tek bir yapı altında gruplanması. Bu yapı aktif hale getirildikten sonra switch fabric üzerinde erişim kontrolü uygulanır.
Hard (Hardware) vs Soft (Name Service) Zoning	Soft zoning sadece isim servisinde (Name Server) görünürlüğü sınırlarken; Hard zoning gerçek trafik filtresi uygular. Hard zoning daha güvenlidir.

WWPN ve WWNN Nedir?

WWN (World Wide Name): Fibre Channel dünyasında benzersiz kimliktir (64-bit). İki türü vardır:

• WWNN (World Wide Node Name) → Cihazın (node’un) kimliği. Genelde bir node başına 1 tane olur. (Örn. bir HBA kartı veya bir storage denetleyicisi)
• WWPN (World Wide Port Name) → Portun kimliği. Her fiziksel FC portunun ayrı WWPN’i vardır. (Örn. HBA0/Port0 ve HBA0/Port1 iki farklı WWPN)

Kısacasi Node (WWNN) → Port(lar) (WWPN). Zoning ve LUN erişimi port bazlı kontrol edildiğinden pratikte çoğunlukla WWPN kullanılır.

Biçim (format) ve benzersizlik

WWN’ler 64-bit’lik değerlerdir genelde xx:xx:xx:xx:xx:xx:xx:xx şeklinde 16 hex karakter (8 çift) olarak gösterilir.

• İlk heksadaki birkaç bit NAA (Network Address Authority) tipini taşır:
• Güncel donanımlarda en sık NAA 5 ve NAA 6 (IEEE Registered/Extended) formatları görülür.
• Adresin ortasında üreticiyi tanımlayan OUI (organizasyon benzersiz tanımlayıcısı) yer alır. Bu sayede dünyada benzersiz olurlar.

Aynı cihazda:

• Tek bir WWNN
• Birden çok WWPN (cihazın sahip olduğu her FC portu için 1 adet) bulunur.

Bazı arayüzler iki farklı gösterim kullanır (noktalı/noktasız, büyük/küçük harf). Zoning komutlarında genellikle noktalama ve harf duyarsızdır yine de tüm ortamda tek tip gösterim benimsemek hata riskini düşürür.

WWPN vs WWNN – Ne zaman hangisi Kullanilir

Zoning/LUN Masking: Her zaman WWPN kullanılır (port bazlı erişim kontrolü).

Envanter/Dokümantasyon/Topoloji: WWNN cihazı (node) temsil ettiği için faydalıdır. Örneğin bir storage denetleyicisinin tüm portlarını node seviyesinde izlemek.

Değişim etkisi:

• HBA kartı veya storage portu değişirse → WWPN değişir (zoning ve LUN izinlerini güncellemeniz gerekir).
• Aynı node üzerindeki farklı porta geçiş → WWPN değişir, WWNN aynen kalır.
• SFP değişimi → WWPN/WWNN değişmez (kimlik port/cihaz yazılımında yanar).

FC adresi (FCID) ile karıştırmayın

• SAN Switch cihaza login olduğunda (FLOGI) dinamik bir FC adresi (24-bit FCID) atar. Bu, IP adresine benzer şekilde değişkendir.
• Zoning FCID ile yapılmaz; WWPN kalıcı olduğundan daima WWPN kullanılır.

Örnek Senaryo

• Sunucular: 4 adet ESXi sunucusu (ESXi1, ESXi2, ESXi3, ESXi4)
• Storage: Alltra
• Switchler: 2 Brocade SAN switch (yedekli yapı için)
• Her sunucu 2 HBA portu olabilir; storage çoklu port ile bağlı olabilir.

Amaç: Her sunucunun storage’a erişimi olsun sunucular arası doğrudan erişim olmasın yapı güvenli, yönetilebilir, ölçeklenebilir olsun.

Adım Adım Zoning İşlemleri

Aşağıda hedefe ulaşmak için izlenecek adımlar gibi bir yol haritası ve örnek komutlar yer alıyor.

1. Planlama ve Bilgi Toplama
2. Hangi sunucunun hangi HBA portlarının olduğunu bunların hangi switch’e bağlı olduğunu tespit et.
3. Storage controller’larının portları, kapasitesi, yedekliliği.
4. Fabric OS sürümü ve switch’in desteklediği zoning tipleri (peer zone, hedef bazlı zone, single initiator zone vb.).
5. Zoning için kullanılacak adlandırma standartlarını belirle (alias ve zone isimlendirme).

2. Alias Oluşturma

Alias’lar WWPN’leri okunabilir hale getirir hata yapma riskini azaltır.

alicreate "ESXI_ESXI1_HBA0", "11:11:22:11:11:11:11:11"
alicreate "ESXI_ESXI2_HBA0", "11:11:22:11:11:11:11:12"
alicreate "ESXI_ESXI3_HBA0", "11:11:22:11:11:11:11:13"
alicreate "ESXI_ESXI4_HBA0", "11:11:22:11:11:11:11:14"

alicreate "Alletra_CON0", "11:11:22:11:11:11:11:15"

• Eğer storage’ın controller portları birden fazlaysa, her port için ayrı alias oluştur.
• Alias isimlerinde standart kullan (“Host_Adı_HBA_Port”, “Storage_Adı_PortX” gibi).

3. Zone’ların Oluşturulması

İdeal yöntem: Single Initiator – Single Target Zone

• Her host HBA portu için storage’ın her controller portuna ayrı zone.
• Yedekli bağlantılar varsa her bir switch üzerinden bağlantı sağlanmalı.

Örnek:

zonecreate "ESXI1_HBA0_AlltraSTRG", "ESXI_ESXI1_HBA0; Alltra_STRG"
zonecreate "ESXI2_HBA0_AlltraSTRG", "ESXI_ESXI2_HBA0; Alltra_STRG"
zonecreate "ESXI3_HBA0_AlltraSTRG", "ESXI_ESXI3_HBA0; Alltra_STRG"
zonecreate "ESXI4_HBA0_AlltraSTRG", "ESXI_ESXI4_HBA0; Alltra_STRG"

• Eğer sunucuya iki HBA portu varsa (HBA0, HBA1), her biri için ayrı zone’lar olmalı.
• Switch’ler arası bağlantı (Inter‐Switch Link / ISL) varsa, bu zone’ların her iki switch’te de aktif olması gerekir.
• Config / ZoneSet Oluşturma ve Uygulama

Tüm zone’ları tek bir yapı altında topla; bu yapı aktifleştirildiğinde tüm zone’lar geçerli olur.

cfgcreate "EXP_SAN1", "ESXI1_HBA0_AlltraSTRG; ESXI2_HBA0_AlltraSTRG; ESXI3_HBA0_AlltraSTRG; ESXI4_HBA0_AlltraSTRG"

cfgsave

cfgenable "EXP_SAN1"

• cfgsave ile yapılan değişiklikleri kalıcı hale getir.
• cfgenable ile yapı etkinleşir. Yedekli fabric senaryosunda her iki switch’te de bu işlemler yapılmalı ya da central yönetimden senkronize edilmeli.

5. Doğrulama ve İzleme

Yapının doğruluğundan emin olmak için:

• zoneshow — zone’ların içeriğini kontrol et (hangi alias’lar yer alıyor).
• cfgshow — aktif config ve zone’lar görünecek.
• switchshow — portların hangi WWN ile bağlantılı olduğu, port durumları (up/down), ISL bağlantıları.
• Brocade SAN Health zone -validate komutu ile zoning yapılandırmasını analiz et.

Best Practices

İnternetten edindiğim kaynaklara ve endüstri standartlarına göre aşağıdaki uygulamaları göz önünde bulundur.

Single Initiator – Single Target Zoning	Her host portunun her storage portu ile ayrı zone’larda tanımlı olması host-host iletişimini engeller, RSCN (Registered State Change Notification) trafiğini düşük tutar.
Peer Zones	Peer zoning, bir “principal” aygıt ile diğer “non-principal” aygıtları birleştirir; non-principal aygıtlar sadece principal’la iletişim kurar, birbirleriyle konuşmaz. Zone sayısı azalır, yönetim daha kolay olur; ancak kullanım senaryosuna göre dikkatli seçilmeli.
Alias ve Zone İsimlendirmede Standart	Örneğin: <SunucuAdı>_HBA<PortNumarası>, <StorageAdı>_Port<Numara>.   Bu daha sonra audit, troubleshooting vs. süreçlerinde büyük kolaylık sağlar.
Tüm kullanılmayan portların kapatılması	Güvenlik için, kullanılmayan portlar persistent olarak disable edilmeli.   Ayrıca yanlış donanım bağlantılarının ya da siber tehditlerin riskini azaltır.
Hard zoning (frame filtering) kullanımı	Trafiği gerçekten sınırlandırır, güvenliği artırır. Yazılım / isim hizmeti tabanlı (soft) zoning yeterli değildir çoğu vaka için.
Yedekli Fabrika / Dual Switch Yapısı	Tek switch’in arızası durumunda SAN erişiminin kesilmemesi için en az iki switch kullanılmalı; ISL’ler, path ve beklenmeyen hatalara karşı toleranslı yapı kurulmalı.
Versiyon / Firmware Uyumluluğu	Fabric OS sürümü, switchlerin güncelliği, hangi zoning özelliklerini desteklediği (peer zone, smart zoning vs.) önemli. Yeni özellikler hata düzeltmeleriyle birlikte gelmiş olabilir.
Değişikliklerde planlı bakım ve test	Zoning değişiklikleri SAN trafiğini etkileyebilir. Özellikle büyük fabrikalarda test ortamlarında denenip, maintenance window’da uygulanmalı.
Dokümantasyon ve Otomasyon	Zoning değişiklikleri, alias’lar, hangi host hangi zone’da, hangi storage’a erişiyor gibi bilgiler güncel tutulmalı; mümkünse izleme ve raporlama araçları ile otomatik kontrol yapılmalı.
Single Initiator – Single Target Zoning	Her host portunun her storage portu ile ayrı zone’larda tanımlı olması; host-host iletişimini engeller, RSCN (Registered State Change Notification) trafiğini düşük tutar. VMFocus+1
Peer Zones	Peer zoning, bir “principal” aygıt ile diğer “non-principal” aygıtları birleştirir; non-principal aygıtlar sadece principal’la iletişim kurar, birbirleriyle konuşmaz. Zone sayısı azalır, yönetim daha kolay olur; ancak kullanım senaryosuna göre dikkatli seçilmeli. Dell+1
Alias ve Zone İsimlendirmede Standart	Örneğin: <SunucuAdı>_HBA<PortNumarası>, <StorageAdı>_Port<Numara>. Bu, daha sonra audit, troubleshooting vs. süreçlerinde büyük kolaylık sağlar.
Tüm kullanılmayan portların kapatılması	Güvenlik için, kullanılmayan portlar persistent olarak disable edilmeli. Ayrıca yanlış donanım bağlantılarının ya da siber tehditlerin riskini azaltır.
Hard zoning (frame filtering) kullanımı	Trafiği gerçekten sınırlandırır, güvenliği artırır. Yazılım / isim hizmeti tabanlı (soft) zoning yeterli değildir çoğu vaka için.
Yedekli Fabrika / Dual Switch Yapısı	Tek switch’in arızası durumunda SAN erişiminin kesilmemesi için en az iki switch kullanılmalı; ISL’ler, path ve beklenmeyen hatalara karşı toleranslı yapı kurulmalı.
Versiyon / Firmware Uyumluluğu	Fabric OS sürümü, switchlerin güncelliği, hangi zoning özelliklerini desteklediği (peer zone, smart zoning vs.) önemli. Yeni özellikler hata düzeltmeleriyle birlikte gelmiş olabilir.
Değişikliklerde planlı bakım ve test	Zoning değişiklikleri SAN trafiğini etkileyebilir. Özellikle büyük fabrikalarda test ortamlarında denenip, maintenance window’da uygulanmalı.
Dokümantasyon ve Otomasyon	Zoning değişiklikleri, alias’lar, hangi host hangi zone’da, hangi storage’a erişiyor gibi bilgiler güncel tutulmalı; mümkünse izleme ve raporlama araçları ile otomatik kontrol yapılmalı.
Single Initiator – Single Target Zoning	Her host portunun her storage portu ile ayrı zone’larda tanımlı olması; host-host iletişimini engeller, RSCN (Registered State Change Notification) trafiğini düşük tutar.
Peer Zones	Peer zoning, bir “principal” aygıt ile diğer “non-principal” aygıtları birleştirir; non-principal aygıtlar sadece principal’la iletişim kurar, birbirleriyle konuşmaz. Zone sayısı azalır, yönetim daha kolay olur; ancak kullanım senaryosuna göre dikkatli seçilmeli.
Alias ve Zone İsimlendirmede Standart	Örneğin: <SunucuAdı>_HBA<PortNumarası>, <StorageAdı>_Port<Numara>. Bu, daha sonra audit, troubleshooting vs. süreçlerinde büyük kolaylık sağlar.

Zoning Yapilandirmasindaki Riskler / Dikkat Edilmesi Gereken Noktalar

• Zoning yapılandırma hatası → yanlış host’un storage’a erişmesi ya da erişememesi
• Zone adlarının karışıklığı → yanlış zone’u etkinleştirme, yanlış alias kullanımı
• Zone sayısının çok fazla olması → switch’in zoning tabanlı donanım sınırlamalarını zorlayabilir
• Firmware sürüm farklılıkları → bazı zoning özelliklerinin switchler arasında farklı çalışması
• ISL link arızaları veya path sorunları → akses yolları yedekli değilse kesinti yaşanabilir

Zoning vs Diğer Güvenlik Katmanları

• LUN Masking: Storage seviyesinde hangi LUN’ların hangi host’lar tarafından görülebileceğini belirler. Zoning ile birlikte kullanılır, zoning erişim sınırını ağda kontrol ederken, LUN masking disk seviyesinde kontrol sağlar.
• VSAN (Virtual SAN): Bazı vendor’larda fiziksel fabric’i mantıksal alt bölümlere ayırma; her VSAN kendi ad sunucularına, kontrol mekanizmalarına sahip olabilir. VSAN + zoning kombinasyonu güçlüdür.

Gelişmiş Kavramlar / Yeni Özellikler

• Smart Zoning / Peer Zones: Zoning’leri daha az sayıya indirmek için; özellikle storage portlarının çok olduğu yapılarda fayda sağlar.
• Frame‐based enforcement: Zoneların yazılım değil, donanım seviyesinde enforce edilmesi. Performans ve güvenlik için önemli.
• Zone validate: Mevcut zoning yapısının kurallara uygunluğunu kontrol eden komutlar / araçlar; potansiyel hataları, yaygın konfigürasyon sorunlarını yakalamak için kullanılır.