在iSCSI协议出现以后，基于IP协议和以太网技术的存储区域网络---IP SAN应运而生。从此SAN就不能再作为光纤存储网络-FC SAN的代名词了。iSCSI 是一种在IP协议的网络上，主要是以太网上进行块数据传输的协议。它是由Cisco 和IBM共同研发，并且得到业界广泛认可， 目前已经成为新一代存储技术的标准协议。简单地说，iSCSI可以实现在IP网络上运行SCSI协议，它能够在以太网、INTERNET上执行SAN存储。

　　一直以来存储设备提供商致力于将SAN中使用的光纤通道设定为一种实用标准，但是由于各主流厂商囿于固有利益，相互之间难以协调，标准化一直没有取得明显进展， 同时光纤通道是一种高速串行互联，缺乏实现路由选择和节点容错的内置功能，只能提供最原始的地址管理和访问隔离功能；例如，光纤通道链路间虽然可以实现多路径冗余，却难以象以太网那样通过TRUNK技术实现多链路负载均衡。

　　在光纤通道 SAN中，所有功能都必须由操作员进行手工配置，由主机进行管理。这样，就会要求操作人员掌握不同厂商FC SAN相关设备的配置、使用、维护技术。而iSCSI是一套完全遵从IP协议标准的技术规范，它能够充分利用标准的IP网络的功能以及以太网的普及性，从而降低人员培训的要求和今后使用、维护的困难。

　　在SAN存储应用走出数据中心走向跨广域的备份、容灾应用的今天，简单、标准通用、低成本的IP SAN日益普及；而FC SAN高昂的建设成本和非标特性，限制了FC SAN技术的进一步发展。

　　iSCSI是将SCSI协议封装在IP协议中从而可以直接运行在互联网络上，而安全性是互联网永恒的话题。对于用户来讲，存储设备保存的是用户最为关键的数据，这些数据也往往是私密性的，一旦把这些数据放置在网络上，安全问题将变得非常突出。

　　IETF和SNIA的IP存储工作组在制定iSCSI 标准时就充分考虑了安全问题，例如IETF的Internet工程指导小组(IESG)要求在三种IP存储协议中使用IPSec：iSCSI、FCIP和iFCP。但这样做显然会影响性能，而通常在平衡性能和安全性的要求时候，大多数人总是倾向于更好的性能。

　　前几年，万兆网络存储尚未出现，IP存储设备的端口性能一直停留在千兆速率，相对于FC的4Gbps，端口性能差距十分明显。因而IP存储设备往往被定位在对性能要求较低的非关键应用的环境中使用，这些非关键应用本身对数据安全性的要求也较低。

　　那么，相对于FC 存储技术，IP存储是否就是不安全存储的代名词？ 事实显然是否定的，我们先来看看FC SAN是如何处理安全性问题的

　　从技术角度上讲，光纤通道并没有人们想象中的安全，按网络七层模型分析光纤通道协议是工作在第二层的协议，原本并没有建立安全机制，而且该协议和IP协议完全不同， 不能直接运行在IP网络上。也就是说首先FC协议不能直接在互联网上运行，因而不存在在广域网上被窃听的机会，其次一旦连接存储设备的服务器被攻破，没有任何安全认证机制的FC SAN存储设备自然就完全暴露在入侵者面前。第三，FC协议在发起端和目标端通过唯一的WWPN号来建立对应关系，而黑客可以简单地采用SPOOFING方式伪装成合法的发起端， 从而取得对未经授权的目标端存储空间的访问。

　　光纤通道环境给人感觉具有比较高的安全性，原因在于它们是服务器后端的专用局域网络，从本质上来说光纤通道结构是一个独立的子网，专门处理在数据中心内的主机与存储设备之间的数据通讯问题。iSCSI给人感觉安全性较低，原因在于它可以通过基于以太网和IP协议和服务器直接连接。不过，通过部署专用于存储的IP网络，并和前端数据通信网络相对隔离，我们就可以实现和光纤通道技术相同级别的网络存储安全性。

　　实际上，IP存储技术提供了非常丰富的安全功能。iSCSI协议提供了initiator与目标端两方面的身份验证（使用CHAP、SRP、Kerberos和SPKM），能够阻止未经授权的访问，只允许那些可信赖的节点进行访问。另外，IPsec Digests（IPsec摘要）和Anti-Reply（防回复）功能阻止了插入、修改和删除操作，而IPsec Encryption（IPsec加密）或SSL 加密功能防止被偷听，确保了私密性。另外，IP存储设备还可以和基于IP技术的网络安全设备实现联动，进一步提高了存储系统的安全性和对抗各种威胁的能力。

[1] [2] [3] [4] 下一页

【责编:Chuan】