iSCSI和FC安全对比:更强大的安全功能
二者在实施过程中最大的不同点就涉及到了安全问题。与通常观点相左的是,光纤通道SAN历来就比iSCSI安全性差。专家发现光纤通道的认证协议很少被使用。与此相反的是,大部分储存组织依靠光纤通道结构的固有差异和逻辑单元号分区和遮罩的复杂之处来保证SAN数据安全。
事实上iSCSI有比FC更强大的安全性功能。从认证到加密,你会发现iSCSI有更多的选择,而且这些功能都很简单易用。但是,目前而言这些功能就像摆设一样,并没有人真正去用到它们。
而在一个光纤通道SAN中,你必须建立逻辑关系(区)来连接到服务器和存储设备上,然后阻止(遮罩)所有磁盘上没有认证的卷。对比而言,iSCSI不使用分区,这也通常成为一个安全问题。这也就意味着一个光纤通道SAN可以在任何特定的磁盘上发现多个逻辑单元号,但是iSCSI只能处理磁盘。
因此,iSCSI认证非常重要,而且iSCSI使用高级认证方法来建立安全机制,比如挑战握手认证协议(CHAP)。使用CHAP是一种更安全的方式,而且安装真的非常简单,因为人们在IP网络中使用CHAP已经有10年了。而且,光纤通道不支持本地加密,但是iSCSI可以利用IPSec加密来保护数据。
通过阻止外界的SAN网络安全性已经大大提高了。这曾经是光纤通道的一个正常要素,但是却给基于以太网的SAN提出了挑战——你不希望iSCSI SAN通过用户局域网将数据“泄露”出去。可以建立一个不同的局域网,然后用它作为一个专门的SAN,当iSCSI的性能必须优化的时候,这可能是最佳的策略。不过,使用虚拟局域网(VLAN)来构建一个iSCSI SAN更加普遍,VLAN就是把物理局域网分割成一个专门被SAN使用的逻辑部分,这就让管理员能够严格地管理和监控VLAN上传输的数据。
如何将iSCSI和FC结合在一起?
对很多企业来说,他们的选择既不是FC,也不是iSCSI,而是二者的结合。一个结合的SAN架构越来越受到人们的追捧,因为它保留了现有FC架构的同时也支持iSCSI的引入和扩展。
能说明这个趋势的例子就是“SAN融合”,可能由于过于昂贵而无法部署在光纤通道SAN的次要的应用程序和服务器如今可以连接到一个iSCSI SAN上。企业系统管理员可能说:我们以前购买一台Unix服务器要花5万美元,而现在花5千美金就能买一台Linux服务器,那我们何不在这个低成本的环境中使用iSCSI呢?
SAN也可以通过使用iSCSI网关,可支持iSCSI的光纤通道交换机,智能存储交换机和网关以及多协议存储阵列进行互联。iSCSI网关很简单,既不显山也不露水,虽然可能价格不菲,网关完成iSCSI和FC之间所有的转换。iSCSI网关产品包括Brocade Communications Systems公司的iSCSI Gateway,Cisco Systems公司的MDS 9216i, Emulex公司的725/735 iSCSI Storage Routers以及QLogic公司的SANbox 6140 Intelligent Storage Router。
在光纤通道交换机上加入对iSCSI的支持,可以很容易地添加智能功能,比如虚拟路由器冗余协议(VRRP)或者iSCSI服务器负载均衡(iSLB)。这种整合还提供了智能交换机冗余与性能的单一管理控制台。
Brocade给自己公司的SilkWorm48000 Director提供了SilkWorm FC4-16IP iSCSI刀片。Cisco给公司 MDS 9200 Series Multilayer Fabric Switches和MDS 9500 Series Multilayer Directors提供了IP存储服务模块和多协议服务模块。智能存储交换机和网关增加了更先进的存储服务,比如虚拟化,快照,复制和镜像。
Network Appliance (NetApp)的V-Series网关和Sanrad iSCSI V-Switch是两款没有存储附加的最受欢迎的智能存储控制器产品,可以在一个存储池内让iSCSI,FC和NAS互联。多协议阵列也可以提供同样的功能,不过存储包含在同一个阵列中。代表产品有EMC支持混合协议的Clariion CX3-20和CX-3-40阵列,以及HP支持iSCSI的StorageWorks XP和EVA阵列。
不管你是以什么样的方法把FC和iSCSI结合在一起,都不应该对任何一方的性能有所影响。但是,专家强调其实并没有对性能的保证,特别是在iSCSI的部署过程中。比如,iSCSI目标驱动器可以在实施过程中有很大区别,所以可能需要做优化。IT人员就可以帮助分析和优化iSCSI的网络性能。
上一页 [1] [2] [3] [4] 下一页
【责编:Chuan】
