SAN网络存储技术保存在计算机中的数据正在受到越来越多的威胁。IPSAN存储技术提供了一种大容量、高可用性、高扩展性和高安全性的数据存储解决方案。引入了解网络存储的体系架构了解FC和FCSAN存储技术了解IPSAN存储技术及协议标准了解iSCSI技术了解IPSAN的数据安全保障技术课程目标学习完本课程,您应该能够:存储体系架构FCSAN和IPSAN技术IPSAN的数据安全保障技术目录存储体系架构分类服务器内置存储直接连接存储DAS(DirectAttachedStorage)网络存储网络附加存储-NAS(NetworkAttachedStorage)存储区域网络-SAN(StorageAreaNetwork)存储体系架构的发展Direct-AttachedStorage(DAS)Network-AttachedStorage(NAS)IntelligentIPStorage(IP-SAN)FCStorageAreaNetwork(FC-SAN)UFSEXT2Block/Cash/RAIDATA/SATAUFSEXT2NTFSBlock/Cash/RAIDSCSINFSNFSTCP/IPEthernetBlock/Cash/RAIDSCSIFCFC-4FC-3FC-1,2FC-0FC-0FC-1,2FC-3FC-4EXT2BlockSCSIRAIDiSCSITCP/IPEthernetFCRAIDiSCSITCP/IPATAiSCSITCP/IPEthernetStorageservicesEnginesUFSNTFSBlockTCP/IPEthernetiSCSIIPNetworkFiberChannelIPNetworkIPNetwork…EXT2NTF2UFSCIFSTCP/IPEthernetCIFSSCSIEthernetNTFSATA/SATADAS存储架构通过SAS、SCSI或FC接口与服务器直接相连以服务器为中心磁盘驱动器磁带库存储应用服务器LAN应用服务器UNIX和WindowsNT客户端DAS的特点优点:磁盘与服务器分离,便于统一管理缺点:每个服务器都需要独立的存储设备连接距离短,连接数量有限数据分散,共享、管理困难存储资源利用率低,单位成本高扩展性差NAS存储架构使用一个专用存储服务器与网络直接相连通过NFS或CIFS对外提供文件级访问服务以数据为中心存储WindowsNT服务器UNIX服务器NAS接入服务器NFSCIFSLANUNIX客户端WindowsNT客户端NAS的特点优点:不占用应用服务器资源广泛支持操作系统及应用扩展较容易即插即用,安装简单方便缺点:相比SAN架构,存取速度慢不适合存储量大的块级应用数据备份及恢复占用网络带宽SAN存储架构将存储系统、服务器和客户端都通过网络相互连接以网络为中心磁盘驱动器磁带库存储WindowsNTserverLAN应用服务器UNIX或Windows客户端SAN应用服务器SAN的特点优点:设备整合数据集中,易管理高扩展性和高可用性适用于存储量大的块级应用缺点:相比NAS成本较高安装和升级比NAS复杂多客户端共享资源需额外软件SAN提高存储设备的利用率直接连接存储(DAS)75%50%50%50%UNIXNTNTNTUNIXUNIXNTNTNT存储区域网络(SAN)存储数据块应用服务器NTNTNTUNIX应用服务器存储数据块NAS与SAN的比较SANNAS数据集中的实现好好数据共享的实现一般好对应用网络的影响极小大系统复杂程度高低系统性能好受网络环境影响系统配置复杂简单系统扩展性好一般应用限制无不适用于块级别数据传输数据保护能力好较好NAS与SAN的融合应用主机通过IPSAN访问存储资源应用主机通过CIFS或NFS访问NAS共享资源NAS和SAN资源共用同一存储池SAN访问NAS访问SAN网络LAN……服务器服务器存储……存储体系架构FCSAN和IPSAN技术IPSAN的数据安全保障技术目录光纤通道技术光纤通道又称FC(FiberChannel)光纤通道最初用来提高硬盘接口的传输带宽,现在已经成为存储的主流数据传输技术采用五层光纤协议封装SCSI协议报文,底层通常使用光纤作为传输介质光纤通道接口是为提高多硬盘存储系统的速度和灵活性而设计的高性能接口点对点(Point-to-Point)仲裁环(ArbitratedLoop)交换式(SwitchFabric)光纤通道拓扑结构光纤通道协议光纤通道从下到上分为5层:物理层传输协议层帧和信号协议层公共服务层FC-0FC-3FC-2FC-1FC-4铜,光连接8b/10b编码FC-AL、FC-AL-2光纤物理与信号接口(FC-PH、FC-PH2、FC-PH3)SCSI-3命令集映射FC链路封装FC-LEFC-ATMSCSI-3IPATMIPI-3命令集映射光纤介质类型和结构光纤介质单模光纤(Single-modeFiber)多模光纤(Multi-modeFiber)电信号(铜介质)光纤结构纤芯(core)包层(coating)保护套(jacket)IPSAN网络体系结构SCSI的应用(文件系统、数据库)SCSI块指令SCSI流指令其它SCSI指令SCSI指令、数据和状态并行SCSI传输FCP以FC传输SCSIiSCSI以TCP/IP传输SCSI光纤通道FCIPTCPIP以太网等光纤通道物理接口并行SCSI接口IP存储技术包含iSCSI、FCIP、iFCP等FCIP技术IETF与ANSI共同提出基于IP的光纤通道方案光纤通道数据帧被压缩为IP帧传输两个SAN之间通过IP网络建立点到点的隧道IP头TCP头FCIP头EOFFiberChannel帧SOFFCIP帧封装SOF(帧起始定界符)、EOF(帧终止符)iFCP技术FC与IP之间建立网关到网关的连接使FC帧可以路由到正确的目的地址为TCP/IP网络FC端设备提供FC网络服务实现端到端的IP连接IP头TCP头IFCP报头FiberChannel帧iFCP帧封装D_ID:01XXXXS_ID:02XXXXD_IP:01XXXXS_IP:02XXXXiSCSI技术IETF提出的基于IP协议的技术标准不包含任何FC的内容SCSI命令和数据帧压缩为IP帧传输工作于SCSI和TCP/IP之间IP头TCP头iSCSI报头SCSI命令iSCSI帧封装IP网络存储技术对比FCIPiFCPiSCSI包含的IP内容最少居中最多,无FC内容终端设备FiberChannelFiberChanneliSCSI/IP网络服务FiberChannelIPIP协议栈使用FiberChannel协议层次高层使用FC-4层底层使用iFCP代替FC-2层自己的串行SCSI实现是否支持与FCSAN的合并支持不支持--网络管理复杂,需要FC和IP两套网管简单,单一网管简单,单一网管安全性一般利用磁盘分区增强安全性对安全有专门定义服务质量使用IPQoS一般使用IPQoS技术实施复杂度简单复杂简单iSCSI概述SCSI传输协议的一种主要由RFC3720描述在TCP/IP上封装,并可靠的、面向连接的传输SCSI命令及数据iSCSI命名规范iSCSIQualifiedNameIEEEEUI-64iSCSINamePhysicalTargetInitiatoriSCSI协议栈SCSITCPiSCSIIPlinkSCSITCPiSCSIIPlink数据校验(若有)iSCSI报文格式以太网头(14)IP头(20)TCP头(20)iSCSI(TCP数据)FCS源端口目的端口序列号确认号首部长度保留UAPRSF窗口大小校验和紧急指针iSCSI的知名端口是:3260基本报头段(BHS,48字节)附加报头段(若有)头部校验(若有)数据段(若有)iSCSI状态机初始态安全认证态操作协商态完整功能态iSCSI会话Discovery会话用于发现Target,支持三种iSCSI报文-LOGINREQ/RSP-TEXTREQ/RSP-LOGOUTREQ/RSPNormal会话登录阶段完整功能阶段退出阶段DiscoverySessioniSCSI会话建立流程TCP建立流程:三次握手InitiatorTargetSYNSYN/ACKACKDiscovery会话建立流程:InitiatorTargetLOGINREQLOGINRSPLOGINREQLOGINRSPTEXTREQTEXTRSPParameterNegotiateSendTargetiSCSINormal会话Normal会话建立流程:InitiatorTargetLOGINREQLOGINRSPLOGINREQLOGINRSPSCSICOMMANDDATA-INFINALDATA-OUTSCSIRSPNormalSessionParameterNegotiateReportLUNs……iSCSI会话的拆除会话拆除流程:InitiatorTargetLOGOUTREQLOGOUTRSPTCP拆除流程:四次握手InitiatorTargetFINACKFINACKIPSAN基本组网SQLServerOracleIP存储IP存储……LAN…LAN……以太网交换机客户端客户端…以太网交换机以太网交换机以太网交换机IPSAN灾备组网SnapShotAgentLAN磁带库IV5100OracleIX1000TimeMark远程复制备用服务器IX1000IX5000备份中心数据中心以太网交换机广域网FCSAN存储体系架构光纤网络和FC协议兼容性差成本高昂扩展能力差异构化严重光纤存储光纤交换机…………存储网络客户端IPSAN存储体系架构以太网和iSCSI协议兼容性好,自适应低投资,可基于现有以太网弹性扩展协议发展成熟,升级效率高IP存储以太网交换机…………存储网络客户端FCSAN与IPSAN的融合IP连接光纤连接LAN以太网交换机光纤交换机光纤存储IP存储虚拟化存储客户端客户端远程IP网络存储体系架构FCSAN和IPSAN技术IPSAN的数据安全保障技术目录IPSAN的数据安全访问控制发现域技术VLAN身份验证CHAP传输安全IPSec/VPNACL管理安全IPSAN的其他安全保障技术硬盘RAID阵列镜像卷复制数据快照本地盘DiskSafe保护链路冗余DAS、NAS和SAN是存储架构发展的结果SAN分为FCSAN和IPSANFCIP、iFCP和iSCSI都属于IPSAN技术SCSI协议是iSCSI协议的基础IPSAN提供了很多数据安全保障技术,其中有发现域技术和VLAN等本章总结