V- ANALYSE DE LA QUALITE DE SERVICE DANS UN RESEAU
SAN.
V-1 LA SÉCURITÉ DES ÉCHANGES SUR
UN SAN
Pour optimiser la protection des données, les
transmissions sont soumises au protocole CHAP (Challenge-Handshake
Authentication Protocol) lequel authentifie les éléments
homologues d'une connexion.
Il repose sur l'utilisation d'une clé de
sécurité similaire à un mot de passe. L'initiateur combine
cette clé secrète avec d'autres informations, puis il utilise
l'algorithme Message Digest 5 (MD5) pour calculer une valeur de hachage
partagée entre les acteurs d'une session de communication. Les autres
informations de sécurité incluent notamment une valeur
d'identification qui est incrémentée à chaque dialogue
CHAP afin de fournir une protection contre les attaques par intersection.
Nous pouvons activer et désactiver les fonctions de
sécurité selon nos besoins. En effet, le Gestionnaire de stockage
pour réseaux SAN permet de configurer une authentification CHAP mutuelle
ou unidirectionnelle entre les initiateurs et les cibles.
V-1.1 Authentification CHAP unidirectionnelle
Avec l'authentification CHAP unidirectionnelle, seule la cible
authentifie l'initiateur. La clé secrète est définie
uniquement pour la cible, et seuls les initiateurs utilisant la même
clé secrète sont autorisés à se connecter à
la cible.
V-1.2 Authentification CHAP mutuelle
Si nous utilisons l'authentification CHAP mutuelle, la cible et
l'initiateur s'identifient réciproquement. Une clé secrète
distincte est définie pour chaque cible et chaque initiateur du Storage
Area Network.
Nous pouvons en outre activer le cryptage des
données à l'aide du protocole IPsec (Internet Protocol
security). En effet, l'IPSec (IP Security) est un protocole offrant des
services d'authentification et de cryptage des données au niveau d'un
réseau IP. Ainsi, lorsque l'IPSec est activé, tous les paquets IP
envoyés lors des transferts de données sont cryptés et
authentifiés ce qui permet d'ajouter un niveau de protection
supplémentaire dans les transmissions. Par ailleurs, le protocole CHAP
généralement considéré comme étant plus
sûr que le protocole d'authentification par mot de passe PAP, est
recommandé lorsque le trafic passe par le réseau public.
V-2 STRATÉGIES D'ÉQUILIBRAGE DE CHARGE
SUR UN SAN
Il possible de configurer un réseau SAN de façon
à associer plusieurs connexions à une même unité de
stockage, en utilisant des adresses IP différentes : on parle de
connexion MPIO ou multi acheminement. Cette opération a
pour avantage immédiat d'optimiser l'efficacité des E/S au niveau
des blocs et d'autoriser le basculement des liaisons. A cet effet, plusieurs
options de MPIO sont définies dans un réseau SAN, avec chacune
une caractéristique particulière:
V-2.1 Fail Over Policy (Stratégie de
basculement)
Le fail over policy utilise un chemin d'accès actif et
désigne tous les autres chemins d'accès comme étant en
attente. En cas de défaillance du chemin d'accès actif, tous les
chemins d'accès en attente sont essayés à tour de
rôle jusqu'à ce que l'un d'eux soit disponible.
V-2.2 Round Robin (Stratégie de
répartition alternée) :
Le round robin policy tente de répartir
uniformément les demandes entrantes à tous les chemins
d'accès de traitement.
V-2.3 Round Robin With Subset (Stratégie
d'alternance avec sous-ensemble)
Cette configuration exécute la stratégie
d'alternance uniquement sur les chemins d'accès désignés
comme étant actifs. En cas de défaillance de tous les chemins
d'accès actifs, les chemins d'accès en attente sont
essayés à tour de rôle.
| 
