IP网络安全存储

IP网络安全存储（共7篇）

IP网络安全存储 篇1

1 直连式存储DAS

直连式存储DAS(Direct Attached Storage)就是服务器与存储使用SCSI直接连接,服务器独自占有与之直连得存储。SCSI是连接存储设备与服务器的最通用的方法,产生于1979年,是支持一到两个磁盘的8-bit的并行总线接口。这一协议不断发展,直至成为其他存储相关技术的基础。DAS结构由于信息孤岛、访问受限、存储资源利用率低等缺点不适应网络应用对存储和信息获取的需求

2 NAS与SAN

网络存储技术的发展产生了两种主要的、同时又相互竞争的技术,以网络为中心、采用局域网或广域网的网络连接存储NAS(Network Attached Storage)和以数据为中心的、采用专用的存储网络的存储区域网SAN(Storage Area Networks)。

网络连接存储NAS是一种基于文件级别的存储,存储设备直接连接到局域网上。它可以为完全不同类型的计算机提供文件存取能力。NAS包括一个特殊的文件服务器和存储,因此,NAS是一个设备,而不是一个网络设施,NAS利用TCP/IP协议,在网络上收发数据。存储区域网SAN是一种通过光纤集线器、光纤路由器、光纤交换机等不同的连接设备构成光纤通道网络,将存储与服务器连接起来的高速专用子网。一个存储区域网是一个用在服务器和存储资源之间的,专用的,高性能的网络体系。它为了实现大量原始数据的传输而进行了专门的优化。因此,可以把SAN看成是对SCSI协议在长距离应用上的扩展。SAN与NAS都是网络存储,它们所采用的协议不同,彼此的技术也完全不同。SAN通常采用FC技术进行互联,而NAS使用IP技术。SAN与NAS相比,最明显的优点是SAN与LAN分离,SAN的传输速度比LAN快得多,另外,SAN将LAN从繁重的数据备份工作中解脱出来,从而优化了LAN的性能。

3 IP SAN

SAN以光纤通道为基础实现存储设备的共享,其高昂的建设成本为企业架设了很高的门槛;与之相比,NAS技术虽然成本低廉,但是受到带宽消耗的限制,无法完成大容量存储的应用,且难以满足开放性的要求。面对SAN的巨大投资和NAS对网络的要求,稳定的IP网络技术和飞速发展的IP网络,催生了IP SAN,IPSAN逐渐发展成熟,为企业信息访问和数据存储增添了新的方案。

IP SAN可以利用无所不在的IP网络,在一定程度上保护了现有投资;使用相同的网络维护人员能力,降低了维护成本;IP SAN超越了地理距离的限制,这一特点十分适合对现存关键数据的远程备份。同时,由于IP网络技术十分成熟,因此相应地减少了IP SAN在配置、维护和管理等方面的复杂度。

IP SAN是指基于以太网的块存储,目前主要包括三个基本协议:i SCSI、i FCP和FCIP,目前i SCSI技术应用较多。

3.1 i SCSI。

2003年2月11日,IETF(Internet Engineering Task Force,互联网工程任务组)通过了i SCSI(Internet SCSI)标准,这项由IBM、Cisco共同发起的技术标准,经过三年20个版本的不断完善,终于得到IETF认可。i SCSI协议定义了在TCP/IP网络发送、接收block(数据块)级的存储数据的规则和方法。SCSI指令被压缩到i SCSI协议数据单元(PDU)中,IETF定义了i SCSI协议的传输需要TCP作为其底层协议,一旦加上了TCP/IP包头后,压缩的SCSI指令就被封装成象其他IP包一样的数据包。这样SCSI指令就可以在IP架构中根据IP地址路由到其目的地址。目的地址的设备接收到数据包后,在依次去掉各层的包头,最后还原为原来的SCSI指令,发送到SCSI设备层,这样源和目的地址的设备就像是在本地一样,可以相互通讯。而整个过程在用户看来,使用远端的存储设备就象访问本地的SCSI设备一样简单。

图1显示出SCSI如何通过i SCSI层映射到TCP/IP,使SCSI脱离其并行总线结构。

图2显示了一个包含i SCSI的简单协议堆栈,由图示,i SCSI协议定义在ISO七层协议的应用层。标准SCSI命令集的使用促进了现有操作系统与它上面的应用之间的互操作性。而标准TCP/IP网络的使用则提供了通向全球IP设施的途径。

i SCSI技术最重要的贡献在于其对传统技术的继承和发展上:其一,SCSI技术是被磁盘、磁带等设备广泛采用的存储标准,从1986年诞生起到现在仍然保持着良好的发展势头;其二,沿用TCP/IP协议,TCP/IP在网络方面是最通用、最成熟的协议,且IP网络的基础建设非常完善。这两点为i SCSI的无限扩展提供了夯实的基础。

3.2 FCIP。

FCIP是Fiber Channel over IP的标准协议,是一个将FC的数据帧完整地包装以便其通过TCP/IP网络的简单的隧道协议。Fiber Channel命令和数据封装在TCP/IP数据包内,从而在IP网络上传输Fiber Channel命令和数据。

FCIP协议利用FCP FC-4实现了FC帧的TCP封装。在FCIP网关中,当接收到本地FC终端设备的FC数据帧时,FCIP保留从FC-0到FC-2的信息,然后将FC-4中与上层协议的映射信息,改为FCP与IP协议的映射信息,再封装上目标的TCP/IP信息,并通过IP网络向目标发送。同样,在目标网络中的FCIP网关接收到来自IP网络的源数据帧时,去掉TCP/IP的封装信息,然后将FCP与IP协议的映射信息,改为上层协议的映射信息,并封装到FC-4层中向FC交换网络发送。FCIP中也包含部分最小限度的IP内容,用以描述FC的扩展及固有的策略信息。

3.3 i FCP。

Internet光纤信道协议(Internet Fibre Channel Protocol,i FCP)是基于TCP/IP网络运行光纤信道(Fibre Channel)通信的标准,2002年3月正式推出,它使用UDP替代TCP用于底层传输。i FCP的工作原理为:将Fibre Channel数据以IP包形式封装,并将IP地址映射到分离Fibre Channel设备。由于在IP网中每类Fibre Channel设备都有其独特标识,因而能够与位于IP网其它节点的设备单独进行存储数据收发。Fibre Channel信号在i FCP网关处终止,信号转换后存储通信在IP网中进行,这样i FCP就打破了传统Fibre Channel网的距离(约为10公里)限制。

i FCP有别于FCIP(Fibre Channel over IP,即基于IP的光纤信道标准)。FCIP为一类简单的隧道协议,它能将两个Fibre Channel网连接起来,形成更大的光纤交换网。FCIP类似于用于扩展第2层网络的桥接解决方案,它本身不具备i FCP特有的故障隔离功能。

通过运用内建的TCP拥塞控制、错误检测以及故障修复机制,i FCP同样能在Fibre Channel网中进行完整的错误控制。所有情况下的错误控制都在会话层进行,因而不会对其它设备间潜在的存储通信产生任何影响。

4 结论

飞速发展的网络技术和存储技术为企业的IT系统提供了自有、广阔的选择,由DAS到NAS和SAN,网络存储发展到IP SAN,还会有新的方向、新的技术不断推出。每个企业都有自己的实际情况和需求,NAS、SAN、IP SAN等技术以及相应的解决方案就如大海中的珍珠等待我们去采摘。

摘要：市场全球化,向每一个企业提出了如何让它们的业务数据在任何时候都能够在遍布全球的IP网络上可用的挑战,基于因特网的商业模式的爆炸性增长给信息的获取和存储技术带来了新的挑战;同时,完善的系统容灾需要高速、长距离的存储访问。因此,传统的直连式存储(DAS)已经逐渐被网络访问技术所替代,并向着IP SAN演进。阐述了目前已经日趋成熟的网络存储技术NAS和SAN,并针对SAN的高建设成本,引入了开放网络存储IP SAN,重点介绍了实现IP SAN的存储网络的新技术-ISCSI、FCIP、IFCP。正逐步扩大着在网络存储市场的应用和不断发展的存储网络技术,为企业IT系统描绘了信息整合和系统容灾的美好前景。

关键词：IP SAN

IP存储:爆发增长渐入主流 篇2

产业3星

从本世纪初面世开始，IP存储就一直被业界关注，并早早地从行业人士处得到了取代FC（光纤通道）技术的预期。IP存储可以利用无所不在的IP网络，超越地理距离的限制。

IP能延伸到多远、存储就能延伸到多远的优势，一度让众多厂商和用户心动。它也成为存储厂商展现技术实力、争夺未来市场的工具和标志。

2007年，对于IP存储而言最大的推动在于万兆存储的出现。尽管IP存储的架构能够充分承载越来越多的存储需求，万兆网络带宽的普及也为IP 存储的发展打破了传输速度的藩篱，但IP 存储设备本身的速度却一直没有跨越千兆级。2007年9月，H3C发布的万兆存储，可谓是IP存储领域发展的一个里程碑，为IP存储的突破提供了一场及时雨。

而在另一方面，面对存储速度的提升压力，FC技术却显得有些“心有余而力不足”。由于FC协议主要针对局域网环境，随着存储应用的快速增长，更暴露出可管理性差、成本高昂、通用性和互操作性差、难以在广域部署、易形成信息孤岛等众多缺陷。而最令人沮丧的是，很多大型厂商对FC协议都抱观望态度，上游芯片厂商也纷纷停止了对FC芯片的研发，FC协议发展缓慢，FC 8Gb标准目前已处于难产阶段。依托FC 存储技术的进步推动存储速度的变革，似乎已成为“不可完成的任务”。

很多厂商已经加入到IP存储市场中来。EMC曾经高傲地拒绝与IP 存储为伍，而如今，他们不仅拥有自已主打的IP 存储产品，更参与到这一领域标准的制定中来。这至少表明了EMC已经承认了IP存储在未来的主导地位。或许是这些厂商已经预见到了在不久的将来，FC也将与曾经的令牌环一样，湮灭于历史的大潮中。

前景4星

2008年，预计各大厂商将发布8 Gbps FC和10 GigE产品并将推出FCoE。“FCoE充分证明FC正在向iSCSI屈服，FC厂商提出这个新标准，就意味着他们基本上承认了以太网必然会居统治地位。这是一次战略性的撤退，目的是为了尽可能长时间地保留他们在FC架构上的投资。”H3C IP存储产品线总裁李治曾这样表示。

另外一个不断被讨论的领域就是iSCSI SAN（iSCSI存储局域网）的持续发展。作为IP存储最受关注的技术，ISCSI可以替代基于FC的存储局域网，并提供低成本、合理性能的解决方案。

虽然基于iSCSI的存储局域网的进展比较慢，但其趋势非常稳定。由于iSCSI和FC这两种技术已经如此接近，因此选择iSCSI还是FC可以根据非技术的标准。虽然iSCSI的性能还是弱于FC，但是它长远的竞争力并不容否认，这从戴尔宣布将要收购iSCSI存储厂商EqualLogic就可以看出来。“FC用于关键任务的应用程序，而iSCSI用于不那么重要的应用程序”的想法将不再适用。在2008年，iSCSI将展现出同以太网光纤通道（FCoE）竞争的优势。

博科为IP存储重新定义网络 篇3

为Brocade VDX 6740交换机引 入Fabric Vision技术 ,以简化网 络的管理 、监测和报 警等功能 ;

为Brocade 7840扩展交换 机引入先 进的IP存储灾备 功能 ,在保障强 大的加密 功能前提 下 ,可以在异 地长距离 上提供与本 地复制相 当的性能 ;

为Brocade Fabric Vision引入统一 的存储管 理 ,为IP和光纤通 道存储网 络提供了 前所未有 的可视性 和洞察力

EMC将为其Connectrix IP存储网络 产品线持 续集成博 科新技术 。

博科近期为数据中心和灾难恢复应用推出业界首个专用存储连接产品组合,帮助IT团队管理增长并降低风险和成本,为IP存储系统重新定义了网络。EMC将持续把博科全新IP存储技术功集成到EMCConnectrix系列网络交换机和管理软件中。

IDC存储研究 总监Ashish Nadkarni表示 :“传统以 太网并非 为处理IP存储的需求而设计。IP存储和关键业务负载的增长需要一种新的存储架构。对于保持可预测且可靠的应用性能来说,数据中心内部及其之间的专用存储网络是必要的。”

博科存储 网络副总 裁Jack Rondoni表示:“博科提供了业界首个专为IP存储而优化的完整的产品组合,正在帮助确保我们的共同客户能够轻松地部署、运行和横向扩展高性能矩阵。这些矩阵为关键业务的应用和灾难恢复计划提供所需的可预测的性能和无与伦比的灵活性。近二十年以来,博科一直是名副其实的存储网络标准。无论是IP还是光纤通道,我们的存储优势融入到我们销售的每一矩阵交换机的基因中。”

二月份加 入EMC Connectrix系列的Brocade VDX 6740交换机通过卓越的自动化和简洁性而重新定义了网络的可视性和敏捷性。基于博科近二十年的经验以及轻击鼠标即可体会最佳的实践 ,Fabric Vision TM技术的引 入实现了基于策略的高级监测和告警。IT工作人员将能够通过零接触、自我形成的矩阵快速地部署高弹性和高性能的存储网络。此外,他们能够以最小的干预自动地提供网络容量,无需学习过程。

Brocade 7840通道延伸 交换机已得到进一步增强,支持IP以及光纤通道,为数据中心之间的IP存储提供快速安全的连接,使企业能够更好地满足其灾难恢复目标。为了满足灾难恢复的要求,它能够在确保强大加密功能的前提下,在长距离上实现了与本地复制相当的性能。

Brocade 7840最显著的 特点是其安全性和更有效地利用数据中心之间的高速连接的能力。通过256位IPsec加密来迁移多达50倍的数据,这为分散在各地的数据中心之间的复制提供了一个高性能、安全的基础架构。新的协议优化技术使企业能够最大限度地提高广域网链路的利用率,从而大幅降低数据中心之间的通信成本。通过检测可能影响复制流量的广域网异常现象,广域网连接的主动监测最大限度地减少了停机时间。

博科存储管理软件套件的新版本已得到增强,以期无缝地支持博科的IP存储产品 组合。Brocade NetworkAdvisor将跨越包 括IP和光纤通 道在内的所有存储网络,提供前所未有的网络可视性和洞察力。此外,与FabricVision监测和报警的集成将实现对矩阵的健康和性能的实时分析。

EMC公司核心技术部市场营销副总裁Jonathan Siegal表示 :“EMC客户现正在为广泛的 中高端NAS和i SCSI存储平台部 署Connectrix VDX-6740B。它们正被安装在专用网络和灾难恢复中,实现了与我们的光纤通道产品相同的性能、可靠性和操作简洁性。”

产品和技 术详情

1、Brocade VDX 6740交换机

通过2倍的芯片缓存和获得专利的负载均衡和多路径功能而优化存储性能;

集成到EMC的Connectrix Manager融合网络版和EMC Storage Analytics;

通过横向扩展、即插即用和逻辑机箱管理而简化学习过程并降低运营成本;

部署原 生的矩阵 自动化和 基于标准的API,用于配置 和运行状 态监控。

2、Brocade Fabric Vision技术

利用预定义的策略、规则和动作来简化监测;

通过早期检测错误和恢复来提高可用性;

通过更快地诊断故障和自动化操作来节省运营成本;

3、Brocade 7840 IP扩展交换 机

提高性能和可扩展性,每个平台拥有超过30 Gbps的应用吞吐量;

通过256位IPsec加密来保护远距离传输的数据,且不会损害性能;

利用Extension Trunking、AdaptiveRate Limiting和Fabric Vision技术来提高负载均衡和网络弹性;

在数据 中心之间 实施主动 监测,以自动检测广域网异常并避免意外停机;

4 、 Brocade Network Advisor

创建一个显示最相关和最重要的存储网络指标的控制面板;

查看实时和历史事件数据,并快速分析事件的根本原因;

即时查看数据流的异常、拥塞以及延时;

IP网络安全存储 篇4

关键词：存储架构,媒体信息,装备信息

随着军队信息化建设的快速发展, 各类信息数据不断增加, 数据信息已成为一种无形的战略资产, 对数据进行网络存储共享已成为一种趋势。我们经过系统调研论证, 建成了基于存储区域网络 (Storage Area Network, SAN) 架构的综合媒体信息系统, 实现了装备信息系统与媒体信息系统集成整合, 充分发挥了媒体信息资源在军队信息化管理中的作用, 建立了适合部队信息化建设的系统模式, 并为部队可视化信息管理奠定了一定基础。

一 系统功能设计

为实现装备媒体信息与装备基本信息集成整合, 实现装备可视化管理, 我们建立了以采集、存储、管理和发布功能于一体的综合媒体信息系统。系统设计由媒体信息系统与装备信息系统两部分组成。

系统总体设计要求实现统一的数据检索功能, 即以“装备信息系统”检索界面为主要检索方式, 在检索数据的同时实现流媒体文件的查询, 检索结果全部显示在装备信息系统检索界面上, 数据流程如图1。

在整个系统数据迁移过程中, 装备信息系统和媒体信息系统的数据迁移相对独立, 涉及到两个子系统交互的动作有两个, 一是从媒体信息系统向装备信息系统元数据信息的同步, 二是在装备信息系统中浏览低码率节目时, 从媒体信息系统向装备信息系统进行流媒体传输。

1 系统结构关系图

1.“装备信息系统”数据流程设计

●用现有的录入方式, 通过录入工作站将数据信息录入到系统中, 录入的实体文件存储在系统的中心存储体, 描述数据等元数据信息存储在数据库当中;

●当用户需要检索装备信息系统的数据时, 通过Web应用服务器检索数据库数据;

●检索完成后将检索结果通过Web界面返回给用户, 由于装备信息系统的数据库中同时存储媒体信息系统的元数据信息, 因此检索结果中也会包含了媒体信息系统数据的检索结果;

●检索用户需要浏览低码率节目时, 通过Web界面直接链接到媒体信息系统的流媒体数据, 通过媒体信息系统的流媒体服务器将流媒体数据推送到管理系统的Web界面。

2. 媒体信息系统数据流程设计

媒体信息系统数据迁移流程采用传统媒资信息系统标准的数据迁移流程, 并增加向装备信息系统元数据信息同步的设计, 具体流程如下:

●节目上载, 该系统支持磁带、DVD和文件导入等多种形式的节目上载, 节目上载后将视音频文件数据存储在媒体信息系统的中心存储体中, 元数据信息存储在媒体信息系统的数据库中;

●节目上载完成后, 对节目进行编目。节目的编目数据存储在媒体信息系统的数据库当中;

●编目完成后, 媒体信息系统将节目的高码率数据归档迁移到近线数据流磁带库当中;将媒体信息系统的元数据信息自动同步到装备信息系统中, 为统一检索做准备。

内部人员检索媒体信息系统素材时, 通过媒体信息系统原有检索界面进行检索, 检索结果通过Web界面的形式返回给用户。

二 系统网络架构设计

1. 设计需求

根据我们编辑站点数量较少, 且分布较为集中, 素材来源广泛等实际情况, 在网络设计上要求通过集中收录, 统一存储, 所有非编站点之间共享协同工作, 实施素材级节目共享;存储网络结构带宽具有一定的实时稳定性, 网络带宽抖动区间较小, 结构简单, 易于管理与维护, 系统初期建设成本低。

2. 网络架构的设计

随着数据量的不断增加, 存储系统在中高端计算机系统中所占的比例不断升高, 数据存储和远程传输的及时性、安全性、数据共享和可管理性等成为了热点问题。为解决存储瓶颈问题, 出现了两种新的网络存储技术NAS (Network Attached Storage) 和SAN (Storage Area Network) 。NAS的模型源于网络文件服务器, 属于文件级存储, 它的处理方式要求占用大量的CPU资源, 对文件操作的延迟相当大。与NAS不同, SAN是一种新型的网络连接拓扑结构, 它的目标是将存储系统与计算机系统相隔离, 从而提高存储系统的性能。基于光纤通道的SAN因为与IP网络难以兼容, 而且价格昂贵, 管理复杂, 互操作性差, 在使用上有很大的局限性。因此我们选择易管理、技术成熟和互操作性好等优点的基于以太网和IP技术的IP-SAN网络架构, 以磁盘阵列 (RAID) 为底层存储设备设计了远程存储管理系统, 并对其关键技术做了具体实现。

3. 系统设计特点

●IP网络技术相当成熟, IP-SAN减少了配置、维护、管理的复杂度。现有的网络管理人员就可以完成日常的管理与维护工作;

●因为是基于IP网络的存储系统, 基本没有距离限制, 可以和现有网络基础结构融合, 支持跨平台数据共享;

●可随时添加存储设备, 没有容量限制;

●基于IP网络的存储系统, 以传统以太网的价格实现同等于光纤网络的性能, 实现真正的即插即用 (Plug&Play) , 无需客户端软硬件升级、零维护成本、使用人员无需技术培训, 降低企业的拥有成本与维护成本, 而且升级扩容简单方便。

三 系统功能的实现

媒体信息系统与装备信息系统交互设计共涉及到三个部分:媒体信息系统、装备信息系统、装备信息与媒体信息交互模块, 具体关系如图2所示。

2 系统结构关系图

3 系统工作流程图

交互模块主要是把装备信息系统中的信息记录 (如计划、研制、装备等内容) 与媒体信息系统中的信息记录 (如视频、音频、图片等内容) 进行一对多、多对多关联。建立关联关系后, 可以直接查看与该记录相关的视频、音频和图片等内容。

IP网络安全存储 篇5

今天,随着信息技术的突飞猛进,商业运转和学术研究中产生了越来越多的海量数据。为了解决海量数据存储过程中的带宽、容量和管理问题,存储区域网(SAN)应运而生[1]。现今SAN主要包括FC SAN和IP SAN两种。FCSAN的特点是高效、稳定。但是价格高昂,IPSAN基于成熟的IP网络,其管理和维护简单,并且成本低廉。

由于FCSAN和IPSAN使用了两种不同的通信协议,FCSAN中的启动器(Initiator)FC HBA卡是无法直接访问IPSAN中的磁盘阵列的。以太网卡的iSCSI启动(initiator)也无法直接访问FCSAN中的磁盘阵列。为了让这两种SAN网络可以相互访问存储资源,需要对这两种网络中使用的通信协议iSCSI和FCP协议进行做转换。

二、F大CSAN和IPSAN及其使用的协议栈

FCSAN使用光纤通道协议栈进行数据的通信,光纤通道协议栈共有5层、包括FC-0、FC-1、FC-2、FC-3和FC-4层。其中,FC-0层描述物理接口,它包括传送介质、发射机和接收机及其接口。FC-0层规定了各种介质和与之相关的能以各种速率运行的驱动器和接收机。FC-1层描述了8B/10B传送码,定义了数据包的传送。FC-3层提供的一系列服务,是光纤通路节点的多个N端口所公有的。由于必要性限制,故对这层尚未给出明确定义,但是它所提供的功能使用于整个体系结构未来的发展。FC-4层定义了不同的上层协议,例如IP,SCSI等映射到光纤通道的方式[2]。

IPSAN主要使用TCP/IP协议栈进行数据的通信,iSCSI是一项标准协议,它将SCSI命令和块状数据封装到TCP/IP包中来发送、接收。iSCSI作为SCSI的传输层协议,其基本出发点是最好利用现在的IP网络技术来实现和延伸SAN。它可以说是两个传统精华技术的结合和发展:其一,TCP/IP协议,TCP/IP在网络方面是最通用、最成熟的协议;其二,SCSI技术,是被磁盘、磁带等设备广泛采用的存储标准[3]。

三、i SCSI-FCP协议转换的总体实现

在本设计中使用一台装有Linux操作系统的服务器作为开发平台,一块Xilinx FPGA开发板,开发板上有一个SFP光模块。一个千兆位的以太网卡。FPGA开发和以太网卡都通过PCIE接口与服务器主机进行数据通信。设计的目标是在开发平台上完成一个协议转换模块。使一台装有iSCSI Initiator的主机可以顺利访问FC磁盘阵列。此处的Initiator启动器使用微软的iSCSI Initiator。FC磁盘阵列使用IBM公司的磁盘阵列。

FPGA开发板负责FC协议栈中的FC-0、FC-1层协议。协议转换模块完成FC-2、FC-4(FCP)层协议。协议转换模块通过驱动程序控制FPGA开发板对FC数据帧接收和发送。

协议转换模块包含三个实体:虚拟iSCSI Target实体、协议转换处理实体和虚拟FC Initiator实体。

虚拟iSCSI Target实体使用iSCSI协议与iSCSI Initiator进行数据的交互。iSCSI数据的接收和发送使用以太网卡完成。虚拟FC Initiator实体使用FC协议与FC磁盘阵列进行数据的交互。FC数据的接收和发送使用FPGA完成。

协议转换模块具体的工作原理是将虚拟iSCSI Target实体收到的iSCSI数据帧通过协议转换处理实体转换为一个FC数据帧。并由虚拟FC Initiator实体发送给FC磁盘阵列。将虚拟FC Initiator实体接收到的FC数据帧通过协议转换处理实体转换为iSCSI数据帧,并由虚拟iSCSI Target实体发送给装有iSCSI Initiator的主机。

3.1虚拟iSCSI Target实体设计与实现

虚拟iSCSI Target实体工作在IP网络,使用TCP作为传输层传输iSCSI数据帧,对iSCSI Initiator的每一个iSCSI请求进行响应。

iSCSI协议规定数据交互时候分为三个阶段、安全参数协商阶段、操作参数协商阶段和全功能阶段[4]。只有在全功能阶段,iSCSI启动器才可以发送包含SCSI请求或者数据的iSCSI帧。虚拟iSCSI Target实体在安全参数协商阶段和操作参数协商阶段时候对iSCSI Initiator的所有的iSCSI请求直接进行应答。在全功能状态,所有的iSCSI请求或者数据将交予协议转换处理实体。

虚拟iSCSI Target实体需要直接进行应答的iSCSI帧种类包括:iSCSI Login Request、iSCSI Text Request、iSCSI Nop Out和iSCSI Logout Request。相应的回复为iSCSI Login Response、iSCSI Text Response、iSCSI Nop In和iSCSI Logout Response。

虚拟iSCSI Target实体在接收到包含SCSI数据的iSCSI帧时,由于所有的iSCSI请求或者数据都是针对SCSI设备的,因此作为虚拟的iSCSI Target实体是无法直接进行应答。而需要将收到的iSCSI请求交给协议转换实体来处理,并转换为一个FC请求或者数据,并由FC Initiator发送给FC磁盘阵列来处理。

无法直接应答需要交给协议转换处理实体的数据帧帧类型包括:iSCSI Command和iSCSI DataOut。

3.2虚拟FC Initiator实体的设计与实现

虚拟FC Initiator实体工作在光纤通道网络,使用光纤通道协议传输FC数据帧,对FC磁盘阵列发送的FC数据或者回复帧进行响应。

虚拟FC Initiator实体在与FC磁盘阵列进行数据交互时,首先要进行N端口的登录,发送的FC数据帧包括PLOIG和PRLI[5]。之后虚拟FC Initiator实体所有发送的数据帧都来自于协议转换处理实体。这些包括FC Response、FC DataIn和FC XFER_RDY。

虚拟FC Initiator在接收到FC磁盘阵列发送的FC数据或者回复帧后,全部交予协议转换实体来处理,并最终组装为一个iSCSI数据帧,由虚拟iSCSI Initiator实体发送给iSCSI Initiator。

3.3 ISCSI-FCP协议转换处理实体的实现

虚拟iSCSI Target实体和虚拟FC Initiator实体在接收到需要进行协议转换的数据帧时,将数据帧交给协议转换处理实体来完成数据帧的转换。并由另一虚拟实体发送转换后数据帧。

需要转换的iSCSI帧转换包括:iSCSI Command转换为FC Command。iSCSI DataOut转换为FC DATA。

需要转换的FC帧转换包括:FC Response转换为iSCSI Response。FC DATA转换为iSCSI DATA IN。FC XFER_RDY转换为iSCSI RDY2TRANSFER。

在FCSAN中允许发送的最大的FC帧长为2112个字节[6],因此一个FC DATA帧的Payload最大为2048字节。iSCSI使用TCP作为传输层,因此允许发送的iSCSI的最大帧长远远大于FC的帧长。在实际的转换过程中一个iSCSI DATA并不能直接对应一个FC DATA帧,本次设计中实现的具体方法是将i SCSI DATA的Payload拆分为多个FC数据帧。

具体的实现以一个Payload为512K字节的iSCSI DATA OUT数据帧为例。将iSCSI数据帧的Payload按照2048字节拆分为256个FC数据帧。这些FC数据帧在FC的帧头中SEQ_ID字段保持一致,使FC磁盘阵列将其作为一个数据帧进行处理,并且将SEQ_COUNT字段依次加一。这样FC磁盘阵列在收到这256个FC数据帧之后,会将其作为一个完整的FC数据帧来看待。

3.4 ISCSI-FCP协议转换模块交换流程

本设计在运行过程中需要首先进行虚拟FC Initiator实体的N端口登录,之后FC Initiator虚拟实体处于阻塞状态。虚拟iSCSI Target实体开始工作,监听TCP的3260端口等待iSCSI Initiator的连接。详细的流程交互图如图2所示:

四、结束语

在ISCSI-FC协议转换模块代码部分完成后,我们将其按照图1所示的方式进行连接。并在安装了iSCSI Initaitor的主机端进行操作,装有iSCSI Initaitor的主机成功的发现了IBM磁盘阵列上的逻辑卷。随后我们对该逻辑卷进行了格式化、文件读取、文件写入操作。所有的操作都可以正常的完成。随后我们使用安捷伦的光纤通道测试仪在光纤通道端抓取了FC数据帧,并使用Wireshark以太网抓包软件在以太网端抓取了iSCSI帧,所有的帧序列都与设计的相符合。

I S C S I-F C P协议转换的可以成功的使IPSAN中的主机访问FCSAN中的存储设备,在随后的研究中可以对FCSAN中的主机访问IPSAN中的存储设备进行研究。

参考文献

[1]Tom Clark.存储区域网络设计——实现光纤通道和IP SAN的实用指南[M].电子工业出版社,2005.

[2]Alan F.Benner.存储区域网络光纤通路技术.人民邮电出版社,2003,23-56

[3]ANSI INCITS402.SCSI Architecture Model-3(SAM-3).2005.220-234

[4]RFC3720.Satran J,Meth K,Sapuntzakis C,et al.internet Small Computer Systems Interface(iSCSI)[S].2004.121-150

[5]ANSI INCITS350.Fibre Channel Protocol-2(FCP-2).2003.78-97

IP网络安全存储 篇6

一、SAN概述

SAN (Storage Area Network, 存储区域网络) , 是一种将存储设备、连接设备和接口集成在一个高速网络中的技术。

IP-SAN是应用i SCSI技术的SAN网络, 传输介质为IP网。IP-SAN是基于TCP/IP数据传输技术构建的存储区域网络, 可将SCSI指令通过TCP通信协议传送到远方, 以达到控制远程存储设备的目的。由于传送的封包内含有传输目标的IP位置, 因此, IP-SAN是一种效率较高的点对点传输方式。i SCSI的最大好处是能提供快速的网络环境, 虽然目前其性能和带宽跟光纤网络还有一些差距, 但能节省企业约30%~40%的成本。i SCSI技术优点和成本优势的主要体现包括以下几个方面:

硬件成本低。构建i SCSI存储网络, 除了存储设备外, 交换机、线缆、接口卡都是标准的以太网配件, 价格相对来说比较低廉。同时, i SCSI还可以在现有的网络上直接安装, 并不需要更改企业的网络体系, 这样可以最大程度地节约投入。

操作简单, 维护方便。对i SCSI存储网络的管理, 实际上就是对以太网设备的管理, 只需花费少量的资金去培训i SCSI存储网络管理员。当i SCSI存储网络出现故障时, 问题定位及解决也会因为以太网的普及而变得容易。

扩充性强。对于已经构建的i SCSI存储网络来说, 增加i SCSI存储设备和服务器都将变得简单且无需改变网络的体系结构。

带宽和性。i SCSI存储网络的访问带宽依赖以太网带宽。随着千兆以太网的普及和万兆以太网的应用, i SCSI存储网络会达到甚至超过FC (Fiber Channel, 光纤通道) 存储网络的带宽和性能。

突破距离限制。i SCSI存储网络使用的是以太网, 因而在服务器和存储设备的空间布局上的限制就会少了很多, 甚至可以跨越地区和国家。

二、集中存储备份系统方案

(一) 系统总体架构

经过对现状进行分析, 做出以下存储备份规划:

1. 采用IP-SAN存储架构, IP-SAN与以太网完全

兼容, 可以大大简化日常管理需求, 为今后科学的存储管理打下良好基础。再新增一台备份服务器, 对各应用系统数据进行科学化、自动化的备份管理。

2. 前端的服务器通过以太网卡和千兆交换机与后端的主存储设备相连, 服务器的数据保留在主存储设备上。

3. 主存储设备一方面提供NAS文件共享功能, 供前端业务进行文件共享;

另一方面提供本地的数据保护, 当由于人为误删除或病毒攻击造成数据丢失时, 能快速有效地恢复。

(二) 方案详细配置

1. 配置一台IP-SAN设备作为集中存储设备, 主存

储需要支持目前业界领先的SAS接口技术, 支持SAS与SATA磁盘混插, 适合关键业务的在线存储。所有需要连接存储的服务器, 只要安装千兆网卡, 并安装软件的i SCSI Initiator就可以, 从而不需要购置价格昂贵的HBA卡。主流系统AIXSolarisLinuxWindows都支持这种千兆网卡加软件的i SCSI Initiator实现方式。

2. 近线存储采用H3C的EX1500作为核心存储设备。

通过COMMVAULT备份软件, 实现将业务数据备份到EX1500中。

3. 虚拟磁带库:

采用磁盘模拟成磁带库 (或磁带机) , 作为备份存储介质。备份管理服务器Comm Server:负责管理整个备份系统。

4. 介质代理服务器模块Media Agent:

管理备份介质、管理所有的备份数据索引。

5. 备份客户代理i DA:

负责将生产主机上的数据传送到介质服务器软件模块上。

(三) 系统结构说明

在各个计算机上安装下列主要软件模块。

1. 备份服务器模块:

管理灾备系统的工作、配置;管理所有的自动备份和恢复策略;管理界面的GUI和Web服务。

2. Media服务器模块:

管理所有的备份介质;实现集中备份的方式;管理所有的元数据索引。

3. 备份客户代理:

负责将生产主机上的数据传送到介质服务器上。

在上述系统架构上, 主要提供LAN备份模式, 在该模式下, 在生产机内只需要安装i DA模块。在备份操作时, i DA模块把需要备份的数据从生产数据存储设备中读入生产机, 并通过LAN把备份数据传给专用MA服务器, MA服务器将把数据通过SAN写到备份设备上;在恢复操作时, MA服务器将通过SAN网从备份设备上读入恢复数据, 并通过LAN把数据传给i DA, i DA把数据写入生产系统。在LAN模式下, 备份/恢复操作的数据需要经过LAN网转送。

(四) 数据备份实现的典型业务功能

1. 数据校验 (Data Verification) :

数据校验工具可以被设置为在所有备份、所有全备份后运行, 或在备份中刚出现或完成某个数据时开始运行。

2. 数据“断点续传”, 确保备份/恢复可靠性:

备份、恢复、辅助拷贝、合成全备份等一切数据传输的操作都具有检测点, 从而能保证操作中断后的重启。这一功能对WAN上备份、恢复十分重要, 也确保了备份、恢复的成功率。从而保证在网络带宽不是很充足的情况下, 确保备份/恢复任务的顺利完成。

3. 带宽限制管理, 确保网络传输可靠性:

提供带宽限制功能, 让管理员能明确地定义多少有效带宽能用于复制。另外, 带宽的分配能按管理员制订的计划来自动调整。例如, 在典型的办公环境里, 可在每个工作日的晚上和周末选90%的带宽来复制, 在上班时选40%的带宽来复制。

三、结束语

从20世纪末期开始我们的社会已经进入信息化的时代。作为信息基础的数据, 其价值被越来越多的企业所认识。数据支持着许多企业每日的交易及决策, 数据也支持着许多工厂生产线的正常运行, 为了实现存储数据在服务器和存储设备之间的高速传输, 高效地确保调度数据的安全性和可用性。本文提出采用IP-SAN技术基于高速以太网SAN架构, 通过i SCSI协议来实现。

参考文献

[1]吴廷照, 李兴国, 李秉严.数字图书馆存储系统解决方案[J].四川图书馆学报, 2004 (2) .

IP网络安全存储 篇7

1 系统需求分析及设计目标

1.1 系统需求分析

保护数据存储领域, 有不同的方法, 包括数据备份和宽容。数据备份方法, 有许多手动、自动备份备份备份、局域网局域网 (LAN) 免费备份服务器-免费备份等, 这些都属于当地的备份策略, 不具备宽容的能力。资料灾难宽容是远程复制到不同的数据, 通过相关的技术和战略的局部的数据和不同的数据一致性、对灾难性事件时, 当地的局部的数据在不同的地方, 它也将保持一份相同的数据。不同的备份方法, 其效果是不同的, 主要表现在对现有的和自动化系统的性能的影响程度、管理、可扩展性和宽容的能力, 等等。

1.2 系统设计目标

按照国际标准的定义, 灾难恢复解决SHARE78根据以下方面的学位分为7个。即由低到高的有7个不同层次的灾难恢复方案在选择时, 可以考虑企业的具体情况, 按照需要的重要性以及企业数据恢复的速度和程度的设计和实现自己选择的灾难恢复计划。企业在灾难恢复计划, 需要考虑的因素包括：1) 备份/恢复范围;2) 灾难恢复计划;3) 数据中心和灾难预防数据中心之间的距离;4主数据中心和灾难预防数据中心的网络连接形式;5) 之间传输的数据中心;6) 多少数据丢失;7) 如何确保数据更新在灾难预防中心也被更新;8) 备份中心可以开始备份工作的能力。

2 基于IP-SAN的容灾系统模型构建

基于IP-SAN远程数据的容灾系统模型显示在图1。局部应用系统的运行在本地应用服务器, 为用户提供服务, 不同的容灾系统运行在远程服务器应用程序。本地和远程应用服务器连接的IP-SAN开关连接到本地和远程IP-SAN存储设备。当地的数据中心和不同的灾难预防中心通过IP网络连接、应用程序服务器通过“心”的网络, 为对方服务条件的感觉。

在正常情况下，由本地数据中心的业务系统对外提供服务。如果采用异步的数据复制方式，本地业务系统通过IP-SAN交换机对本地IP-SAN存储设备进行I/O操作，在到达一个同步周期的时刻，IP-SAN交换机会将该同步周期内的I/O操作队列和数据传送到异地容灾系统，经过I/O重做，使得异地容灾系统和本地业务系统的数据保持一致。

当本地数据中心的业务系统硬件或软件故障, 或甚至是局部节点发生地震灾害, 如火灾、水灾、遇到的局部节点, 不能提供正常的服务, 他们需要的灾难。本地和远程的容灾系统之间的“心”监测技术会察觉到本地集群系统、服务系统软件会立刻开始灾难结束在不同的应用程序中, 程序的容灾系统启动, 将不同的容灾系统数据和当地的业务系统的数据可能会丢失 (部分几乎一致的数据传输和同步数据) 、外的网上用户可以周期几乎感觉不到中断, 确保可持续发展业务。

灾难发生后, 当地的数据中心将恢复正常工作的, 数据向后移动。要宽容的节点在灾难发生在远程数据传输到改变本地节点。当数据搬回去工作完成之后, 当地的节点将恢复正常运作, 不断为客户提供服务, 并恢复异步不同的容灾系统的远程数据复制。

在以IP-SAN为架构进行远程数据复制时，一种常用的方法是以IP-SAN交换机作为复制工作的起点，进行基于逻辑卷的远程数据的复制。在以IP-SAN交换机为起点时，本地和异地的IP-SAN交换机首先分别将两处的存储设备和自身相连并形成本地和异地的逻辑卷，这种形成的逻辑卷对于应用主机是透明的。IP-SAN交换机对这两个逻辑卷进行管理，使用本地逻辑卷向本地应用系统提供IP-SAN目标器服务，将异地逻辑卷作为镜像卷和本地逻辑卷配合使用。这时需要在IP-SAN交换机上定义本地存储逻辑卷和异地存储逻辑卷之间的镜像关系，并使用IP-SAN交换机上的卷管理软件进行远程数据复制。

当应用程序在主机业务推出的I/O操作的IP-SAN开关、IP-SAN交换机转发给当地的目标记忆的I/O操作在当地的逻辑卷和不同的逻辑卷的数据复制的关系, 这部分被称为“远程图像功能”, 在具体实施剂、过程分为两个步骤:

当地方 (左) 和应用系统的I/O请求到当地的逻辑卷, 当地的逻辑卷和I/O请求, 并通过IP--SAN当地协议IP-目标操作、存储设备, 并返回结果给当地的应用系统。

当本地应用系统I/O请求到当地的逻辑卷、远程图像的经纪人将审判I/O请求类型:如果这是读操作、远程图像的代理人将忽略这操作, 因为阅读是不需要远程操作的镜子, 如果是写操作, 远程图像的经纪人会写操作要求和写操作数据复制到不同的图像的逻辑卷。

当一个地方的逻辑卷的完整的局部应用系统的I/O请求, 将I/O结果返回给当地的应用系统中, 如果异步复制模式、局部应用系统接收当地的逻辑的I/O操作完成后将会发送一个消息, 所以I/O操作。所以在同步周期都拍运行和数据 (是) 必为缓冲排好队, 等着被送往偏远的IP-SAN的目标是在存储设备的缓存机制, 通过远程镜子, 镜子在偏远的代理人访问缓存的I/O操作必须完全队列, 以确保日志机制的I/O操作严格按照顺序, 从而确保了局部应用系统和不同的灾难预防系统的数据一致性。

3 级联远程数据容灾方案设计

级联远程复制系统 (Caseading Remote Copy System) 是一种功能强大的三地数据容灾方案。它将本地同步复制子系统和异地异步复制子系统“级联”起来，既拥有同步方式备份站数据零损失的优点，又拥有异步方式适合长距离异地复制的优点。应用系统工作在本地主存储站上，本地主存储站和本地备份存储站之间建立同步远程复制，本地备份存储站和异地备份存储站之间建立异步远程复制。级联远程复制系统拥有同一份数据的三份拷贝，增强了数据容灾功能。

如图2所示，是本研究论文所设计的级联远程复制系统容灾方案的体系结构框架图。

如图2所示的数据灾难预防系统级, 房东存储站和备份存储站保持相同的实时数据的版本, 当房东图像存储失败, 在发生损失时, 数据将被应用到零的本地伺服器开关运行备份存储地点。当房东存储站是正常的和当地的备份存储站, 前者可以跳过故障发生在你们的地上、建立直接的备份存储站远程复制、异步直到解决问题、重组、恢复原来的配置。当一个地方遇到了毁灭性的灾难, 可以使用数据的远程数据备份存储站恢复生产。除了本地宽容, 跳过备份存储站对不同贮存房东储存, 也可以连接完成数据的传递函数。

为实现系统可用于大、封闭式z/操作应用服务器、高端存储服务器ESS为本地和远程服务器、存储和地主存储服务器和存储备份资料副本, 同步技术同步, 当地的备份存储服务器与不同的备份存储服务器之间用其-XD技术实现异步复制。主持人和存储服务器之间的FICON/遵循IBM的专有ESCON协议副本的高端存储服务器传输协议的基础上, 利用FCP-SCSI光纤传输介质。

摘要：论文对基于IP-SAN的远程灾备系统总体方案进行了设计, 根据所要实现的异地容灾系统的建设目标, 在构建了容灾系统模型的基础上, 确定了整个系统的容灾方案并制定了容灾系统基本体系结构, 设计了整个系统的功能模块, 并且设计确定了远程镜像备份子系统备份策略。

关键词：IP存储,容灾系统,远程管理,数据灾备

参考文献

[1]刘卫平, 蔡皖东.基于IPSec的分级安全iSCSI技术研究[J].计算机工程, 2007 (9) .

[2]韩德志, 余顺争, 谢长生.融合NAS和SAN的存储网络设计与实现[J].电子学报, 2006 (11) .

[3]李红艳.基于FC SAN的大学图书馆存储系统建设[J].合肥工业大学学报:社会科学版, 2008 (2) .