IPSAN的使用说明书_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
IPSAN的使用说明书
上传于||文档简介
&&介​绍​网​络​存​储​设​备​的​基​本​使​用​方​法
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩9页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢11214人阅读
数据存储（5）
&&&&&& ※ 今天有空整理了下关于SAN，NAS，DAS相关的东西，和大家一起共享学习下，如有不正，还望多多包涵，多多指正。
&&&&&&& 在网络存储中，有着各种网络存储解决方案，例如：SAN，NAS，DAS存储网络，它们各自有着各自的特点，其运用场景也有所不同。下面就说说各自的特点。
&&&&&&&& SAN（Storage Area Network）存储区域网络，是一种高速的、专门用于存储操作的网络，通常独立于计算机局域网（LAN）。SAN将主机（管理server，业务server等）和存储设备连接在一起，能够为其上的任意一台主机和任意一台存储设备提供专用的通信通道。SAN将存储设备从服务器中独立出来，实现了服务器层次上的存储资源共享。SAN将通道技术和网络技术引入存储环境中，提供了一种新型的网络存储解决方案，能够同时满足吞吐率、可用性、可靠性、可扩展性和可管理性等方面的要求。
&&&&&&& 通常SAN由磁盘阵列（RAID）连接光纤通道（Fibre Channel）组成（为了区别于IP SAN，通常SAN也称为FC-SAN）。SAN和服务器和客户机的数据通信通过SCSI命令而非TCP/IP，数据处理是“块级”（block level）。SAN也可以定义为是以数据存储为中心，它采用可伸缩的网络拓扑结构，通过具有高传输速率的光通道的直接连接方式，提供SAN内部任意节点之间的多路可选择的数据交换，并且将数据存储管理集中在相对独立的存储区域网内。SAN最终将实现在多种操作系统下，最大限度的数据共享和数据优化管理，以及系统的无缝扩充。
&&&&&&&& 其中，SAN网络又被细分为FC-SAN网络和IP-SAN网络。
&&&&& FC-SAN顾名思义就是直接通过FC通道来连接磁盘阵列，数据通过发送SCSI命令来直接与硬件进行通信，从而提高了整体的速率。
&&&&& FC-SAN的构成：
&&&&&& 在FC-SAN中，有一些专用的硬件和软件。硬件包括FC卡、FC HUB、FC交换机、存储系统等，软件主要是FC控制卡针对各种操作系统的驱动程序和存储管理软件。
&&&&&& ①FC卡：主要用于主机与FC设备之间的连接。
&&&&&& ②FC HUB：内部运行仲裁环拓扑，连接到HUB的节点共享100MB/S带宽（或更高）。
&&&&&& ③FC交换机：内部运行Fabric拓扑，每端口独占100MB/S带宽（或更高）。
&&&&&& ④FC存储设备：采用FC连接方式，光纤接口可以有一到多个。FC存储设备通常采用光纤的硬盘，也有Fibre to SCSI（Fibre to ATA）的解决方案，使用SCSI（或ATA）的硬盘，在整个配置上较便宜。
&&&&&& ⑤存储网络管理软件：存储管理软件主要的功能是自动发现网络拓扑及映射，当在存储网络中增加或减少时自动发现及组态。
&&&&&& ⑥高性能的光纤通道交换机和光纤通道网络协议是FC-SAN的关键。把以光纤通道交换机为骨干的网络拓扑结构称为“SAN Fabric”。而光纤通道协议是FC-SAN的另一个本质特征。FC-SAN正是利用光纤通道协议上加载SCSI协议来达到可靠的块级数据传输。
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &&&&
&&&& FC-SAN的应用场景：
&&&& 由于FC-SAN是为在服务器和存储设备之间传输大块数据而进行优化的，因此对于以下应用来说是理想的选择：
&&&& ①关键任务数据库应用，其中可预计的响应时间、可用性和可扩展性是基本要素。
&&&& ②集中的存储备份，其中性能、数据一致性和可靠性可以确保企业关键数据的安全。
&&&& ③高可用性和故障切换环境可以确保更低的成本、更高的应用水平。
&&&& ④可扩展的存储虚拟化，可使存储与直接主机连接相分离，并确保动态存储分区。
&&&& ⑤改进的灾难容错特性，在主机服务器及其连接设备之间提供光纤通道高性能和扩展的距离。
&&&& FC-SAN的优点：
&&&& 面对迅速增长的数据存储需求，企业和服务提供商渐渐开始选择FC-SAN作为网络基础设施，因为SAN具有出色的可扩展性。事实上，SAN比传统的存储架构具有更多显著的优势。例如，传统的服务器连接存储通常难于更新或集中管理。每台服务器必须关闭才能增加和配置新的存储。相比较而言，FC-SAN不必宕机和中断与服务器的连接即可增加存储。FC-SAN还可以集中管理数据，从而降低了总体拥有成本。
&&&& 利用光纤通道技术，FC-SAN可以有效地传输数据块。通过支持在存储和服务器之间传输海量数据块，SAN提供了数据备份的有效方式。因此，传统上用于数据备份的网络带宽可以节约下来用于其他应用。
&&&& 开放的、业界标准的光纤通道技术还使得FC-SAN非常灵活。FC-SAN克服了传统上与SCSI相连的线缆限制，极大地拓展了服务器和存储之间的距离，从而增加了更多连接的可能性。改进的扩展性还简化了服务器的部署和升级，保护了原有硬件设备的投资。
&&&&& 此外，FC-SAN可以更好地控制存储网络环境，适合那些基于交易的系统在性能和可用性方面的需求。SAN利用高可靠和高性能的光纤通道协议来满足这种需要。
&&&& FC-SAN的另一个长处是传送数据块到企业级数据密集型应用的能力。在数据传送过程中，FC-SAN在通信结点（尤其是服务器）上的处理费用开销更少，因为数据在传送时被分成更小的数据块。因此，光纤通道FC-SAN在传送大数据块时非常有效，这使得光纤通道协议非常适用于存储密集型环境。
&&&&& 简单来讲，IP-SAN（IP存储）的通信通道是使用IP通道，而不是光纤通道，把服务器与存储设备连接起来的技术，除了标准已获通过的iSCSI，还有FCIP、iFCP等正在制定的标准。而iSCSI发展最快，已经成了IP存储一个有力的代表。
&&&&& 像光纤通道一样，IP存储是可交换的，但是与光纤通道不一样的是，IP网络是成熟的，不存在互操作性问题，而光纤通道SAN最令人头痛的就是这个问题。IP已经被IT业界广泛认可，有非常多的网络管理软件和服务产品可供使用。
&&&&&& NAS（Network Attached Storage）网络附加存储。在NAS存储结构中，存储系统不再通过I/O总线附属于某个服务器或客户机，而直接通过网络接口与网络直接相连，由用户通过网络访问。
&&&& & NAS实际上是一个带有瘦服务器的存储设备，其作用类似于一个专用的文件服务器。这种专用存储服务器去掉了通用服务器原有的不适用的大多数计算功能，而仅仅提供文件系统功能。与传统以服务器为中心的存储系统相比，数据不再通过服务器内存转发，直接在客户机和存储设备间传送，服务器仅起控制管理的作用。
&&&&&& NAS的特点：
&&&&&& NAS使用了传统以太网协议，当进行文件共享时，则利用了NFS和CIFS以沟通NT和Unix系统。由于NFS和CIFS都是基于操作系统的文件共享协议，所以NAS的性能特点是进行小文件级的共享存取。
&&&&&& NAS设备是直接连接到以太网的存储器，并以标准网络文件系统如NFS、SMB/CIFS over TCP/IP接口向客户端提供文件服务。NAS设备向客户端提供文件级的服务。但内部依然是以数据块的层面与它的存储设备通讯。文件系统是在这个NAS 存储器里。
&&&&& NAS的优点：
&&&&&& NAS适用于那些需要通过网络将文件数据传送到多台客户机上的用户。NAS设备在数据必须长距离传送的环境中可以很好地发挥作用。
&&&&&& NAS设备非常易于部署。可以使NAS主机、客户机和其他设备广泛分布在整个企业的网络环境中。NAS可以提供可靠的文件级数据整合，因为文件锁定是由设备自身来处理的。
&&&&&& NAS应用于高效的文件共享任务中，例如UNIX中的NFS和Windows NT中的CIFS，其中基于网络的文件级锁定提供了高级并发访问保护的功能。
&&&&&& DAS（Direct Attached Storage）直接附加存储，直接附加存储是指将存储设备通过总线（SCSI、PCI、IDE等）接口直接连接到一台服务器上使用。DAS购置成本低，配置简单，因此对于小型企业很有吸引力。
&&&&&& DAS存在问题：
&&&&& ①服务器本身容易成为系统瓶颈。
&&&&& ②服务器发生故障，数据不可访问。
&&&&& ③对于存在多个服务器的系统来说，设备分散，不便管理。同时多台服务器使用DAS时，存储空间不能在服务器之间动态分配，可能造成相当的资源浪费。
&&&&& ④数据备份操作复杂。
FC-SAN，IP-SAN，NAS，DAS区别
数据传输速度
服务器访问存储方式
直接访问存储数据块
以文件方式访问
直接访问存储数据块
直接访问存储数据块
服务器系统性能开销
是否集中管理存储
网络传输协议
Fibre Channel
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：124049次
积分：1828
积分：1828
排名：第15763名
原创：49篇
转载：13篇
评论：46条
(1)(1)(1)(1)(1)(2)(2)(2)(2)(1)(2)(1)(1)(2)(1)(5)(7)(3)(6)(16)(1)(1)(1)(1)相关资源：
San值的上升；上采花+5点楼下补图找猪人把肉给他吃他会跟着你然后紧紧靠近他，San值狂升3秒一点不过他会跑。你需要一个围墙，草做的，木头做的，石头做的 都可以建议少再生，石头是不可再生资源。省着点吧然后，把猪人赶到墙角。这时，他就走不了了。San值 狂升2.能提升San值的 戴具(上)花帽：采12多花就能得到。10几秒恢复一点。只能在夏季的白天有效，冬季、黄昏、晚上&无力雪帽：在冬季，当花帽用。有保暖功效雨伞：下雨时不降San值，戴上帽，San值依旧上升。Ps关于花帽：点花帽，移动到任务面前会出现→RMB EAT【渣翻译】鼠标右键 吃！吃了也可以+San值。不要的话，把它给猪吧。San值过低的利＆害（下）要知道San值过低的利＆害，那么必须要将San值降下来才能知道1促进San值下降的方法（下）疯狂穿越虫洞，一次10几（欢迎补图恶魔花：一般出现在有牛的草原，像是沙漠中的绿洲。你靠近啊！靠得很近后San值狂减如图靠近会掉怪物肉的怪物也会哦！用最原始的方法打巨鹿也会的哦！
《饥荒 22版》相关文章
(阅读:2751)
(阅读:1015)
(阅读:1499)
(阅读:1817)
(阅读:1050)
(阅读:177)
(阅读:133)
(阅读:182)
昨晚20:30江苏卫视《蒙面唱将猜猜猜》再度归来，完美开播，相比第一季《蒙面歌王》，全新升级的《蒙面唱将猜猜猜》看点十足。不仅有武装到牙齿的精美面具，使猜测难度升级更撩人，更有全新升级的赛制，一言不合就揭面，更好玩，更刺激。
看到那么多妹子的美腿细腰丰臀，真是羡慕的不得了啊，她们到底是怎么才能练成的呢？看来有独家秘方，咱还是安安静静的玩女主播的欧派吧！
扫描二维码S10500系列交换机产品是H3C面向下一代园区网核心和城域网汇聚而专门设计开发的核心交换产品。
按业务需求：
按行业分类：
新一代互联网（NGIP）解决方案——互联网革命的中坚力量
按产品总称或者关键字检索：
致力于为客户提供最具"温暖感、专业化"的服务。
H3C合作伙伴帮助您针对贵公司的业务寻找最佳解决方案
为贵公司提升价值、巩固经验，拓展机会。
H3C合作伙伴登录
对IP SAN和FC SAN安全性讨论
H3C 存储产品部
在iSCSI出现以后，用以IP技术搭建的存储区域网络---IP SAN应运而生。这时候SAN就不能再作为光纤存储网络-FC SAN的代名词了。iSCSI 是一种在IP协议的网络上，特别是以太网上进行数据块传输的协议。它是由Cisco 和IBM共同研发，并且得到业界广泛认可，目前已经成为新一代存储技术的标准协议。简单地说，iSCSI可以实现在IP网络上运行SCSI协议，它能够在INTERNET上执行SAN存储。　　一直以来存储设备提供商致力于将SAN中使用的光纤通道设定为一种实用标准，但是由于各主流厂商囿于固有利益，相互之间难以协调，标准化一直没有取得明显进展，同时光纤通道是一种高速串行互联，它缺乏实现路由选择和节点容错的内置功能，只能提供最原始的地址管理和安全功能；例如，光纤通道链路间难以象以太网那样通过TRUNK技术实现多链路负载均衡。在光纤通道 SAN中，所有这些功能都必须由操作员进行配置，由主机进行管理。这样，就会带来一个既昂贵又复杂的环境。而iSCSI是一套完全遵从IP协议标准的技术规范，它能够充分利用标准的IP网络的功能以及以太网的普及性。这样，就会得到简单、标准通用、低成本的SAN，而FC SAN高昂的建设成本和非标特性，限制了SAN技术的广泛普及。　　iSCSI是将SCSI协议封装在IP协议中从而可以直接运行在互联网络上，而安全性是互联网永恒的话题。对于用户来讲，存储设备保存的是用户最为关键的数据，这些数据也往往是私密性的，一旦把这些数据放置在IP网络上，安全问题将变得非常突出。&IETF和SNIA的IP存储工作组在制定iSCSI 标准时就充分考虑了安全问题，例如IETF的Internet工程指导小组(IESG)要求在三种IP存储协议中使用IPSec：iSCSI、FCIP和iFCP。但这样做显然会影响性能，而通常在平衡性能和安全性的要求时候，大多数人总是倾向于更好的性能。&那么，相对于FC 存储技术，IP存储是否就是不安全存储的代名词？事实显然是否定的，我们先来看看FC SAN是如何处理安全性问题的&从技术角度上讲，光纤通道并没有人们想象中的安全，按网络七层模型分析光纤通道协议是工作在第二层的协议，原本并没有建立安全机制，而且该协议和IP协议完全不同，不能直接运行在IP网络上。也就是说首先FC协议不能直接在互联网上运行，因而不存在在广域网上被窃听的机会，其次一旦连接存储设备的服务器被攻破，没有任何安全认证机制的FC SAN存储设备自然就完全暴露在入侵者面前。第三，FC协议在发起端和目标端通过唯一的WWPN号来建立对应关系，而黑客可以简单地采用SPOOFING方式伪装成合法的发起端，从而取得对未经授权的目标端存储空间的访问。&光纤通道环境给人感觉具有比较高的安全性，原因在于它们是服务器后端的专用局域网络，从本质上来说光纤通道结构是一个独立的子网，专门处理在数据中心内的主机与目标设备之间的数据通讯问题。iSCSI给人感觉安全性较低，原因在于它是基于以太网和IP协议的网络。不过，通过部署专用于存储的IP网络，并和前端数据通信网络相对隔离，我们就可以实现和光纤通道技术相同级别的网络存储安全性。&其实，iSCSI提供了非常丰富的安全功能。iSCSI协议提供了initiator与目标端两方面的身份验证（使用CHAP、SRP、Kerberos和SPKM），能够阻止未经授权的访问，只允许那些可信赖的节点进行访问。另外，IPsec Digests（IPsec摘要）和Anti-Reply（防回复）功能阻止了插入、修改和删除操作，而IPsec Encryption（IPsec加密）或SSL 加密功能防止被偷听，确保了私密性&具体维护操作过程中可以通过以下几个步骤对应用iSCSI技术的IP SAN的安全性和所存放的数据的安全性进行管理&1、访问控制管理。 完善IT部门日常工作管理机制，定时检查区域网络连线状况以保障基础网络线路的正确性，经常检查存储系统的访问记录，确认存储系统访问者都经过授权许可；限制管理区域网络存储系统的终端与内外网的互访，并将SAN存储系统内的重要数据划分不同的区块并进行屏蔽，将不同区块与对应部门相关授权人员不同级别的访问权限对应，不定时更换访问密码以避免黑客的授权欺骗攻击；　　通过设置访问控制列表，对设备的身份合法性进行控制，限制非法设备接入IP SAN网络中访问资源。作为SAN存储系统的组成部分，华三公司提供的IP SAN交换机（如H3CS/S5500等）可以提供支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口的ACL,对访问存储系统资源的设备进行精细的安全访问权限过滤，防止非法设备接入网络中获取资源。目前市面上主流的IP SAN存储系统都可支持基于IP地址的访问控制列表，不过，稍微厉害一点的黑客就能够轻松地破解这道安全防线。另一个办法就是使用iSCSI客户机的起始端名字（initiator name）。与光纤系统的全球名字（WORLD WIDE NAME，简称WWN，全球统一的64位无符号的名称标识符）、以太网的MAC地址一样，起始端名字指的是为每台iSCSI主机总线适配器（HBA）或软件起始端（software initiator）分配到的全球唯一的名称标识。不过，它的缺点也与WWN、MAC地址一样，很容易被制服。这与光纤系统的逻辑单元屏蔽（LUN masking）技术一样，其首要任务只是为了隔离客户端（Targetor）的存储资源，而非构筑有效的安全防范屏障。 　　2、使用用户身份验证机制。 　　除了控制设备的合法性外，还可以通过AAA认证安全策略，对访问系统资源的用户进行认证。华三公司的IP SAN系列交换机支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持DUD（Disconnect Unauthorised Device）认证，通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能。诸如问询-握手身份验证协议（Challenge-Handshake Authentication Protocol，CHAP）之类的身份验证协议，将会通过匹配用户名和登陆密码，来识别用户的身份。由于密码不以纯文本的形式在网络中传输，从而避免了掉包和被拦截的情况发生，所以，该协议赢得了许多网络管理员的信任。远程身份验证拨入用户服务（Remote Authentication Dial-In User Service，RADIUS）协议能够将密码从iSCSI目标设备上转移到中央授权服务器上，对终端进行认证、授权和统计。这2种协议在低端IP存储设备上也已经得到使用，例如EX1000。即使如此，网络黑客仍然可以通过伪设置的办法，侵入客户端。因此，华三公司建议通过EAD（端点准入防御）功能实现动态的用户合法验证，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。&3、保护好存储设备管理界面。 　　通过分析近年来企业级光纤系统遭受攻击的案例，会得到一个重要的结论：保护好存储设备的管理界面是极其必要的。网络黑客只要能使用存储设备管理程序，就能够重新分配存储器的赋值，更改、偷窃甚至摧毁数据文件。因此，用户应该将管理界面隔离在安全的局域网内，如利用H3C的防火墙软件和VPN、IPS、SecCenter、UDM等更高级别的安全和管理软件，并设置复杂的登录密码甚至采用生物识别技术来保护管理员帐户。　　4、对通过网络传输的数据包进行加密。 　　IP security（IPsec）是一种用于加密和验证IP信息包的标准协议。IPSec提供了两种加密通讯手段：一是IPSec Tunnel：整个IP封装在IPSec报文，提供IPSec-gateway之间的通讯；二是IPSec Transport：对IP包内的数据进行加密，使用原来的源地址和目的地址。Transport模式只能加密每个信息包的数据部分（即：有效载荷），对文件头不作任何处理；Tunnel模式会将信息包的数据部分和文件头一并进行加密，在不要求修改已配备好的设备和应用的前提下，让网络黑客无法看到实际的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道。因此，绝大多数用户均选择使用Tunnel模式。用户需要在接收端设置一台支持IPsec协议的解密设备，对封装的信息包进行解密。记住，如果接收端与发送端并非共用一个密钥的话，IPsec协议将无法发挥作用。为了确保网络的安全，存储供应货和咨询顾问们都建议用户使用IPsec协议来加密iSCSI系统中所有传输的数据。不过，值得注意的是，IPsec虽然是一种强大的安全保护技术，却会严重地降低网络系统的性能。有鉴于此，如非必要的话，尽量少用IPsec。另外，IPsec 比较适合“点对点接入”。由于客户端使用不方便，对访问请求缺乏细粒度的权限管理，IPsec 技术在“远程接入”方面不太适合。&而SSL加密传输技术却是在广域网条件下一个更好的选择。在H3C的磁盘阵列上已经内置了这个功能。用户可以利用这一技术手段，在广域网上实现安全的SAN存储，即WSAN　　5、加密磁盘数据。 　　加密磁盘上存放的数据，也是非常必要的。加密任务可以在在客户端（如：加密的文件系统,）、网络（如：PKI加密解决方案），或者在存储系统上完成。多数用户都趋向于客户端加密方案。大多数企业级操作系统（包括Windows和Linux在内），都可以嵌入基于文件系统的加密技术，在数据被传送到网络之前实施加密，可以确保它在网上传输时都处于加密状态。当然，你可以考虑将加密过程放到网络中或是交由基于磁盘阵列的加密措施来处理。&目前，华三公司在政府统一灾备项目中已经使用了这种技术。&6、及时备份值得一提的是H3C存储产品具有的多种数据备份功能，作为最后的补救措施，可以在你的各种安全机制失效的情况下，保证您还有至少一份可靠的数据备份。&今天企业遇到的安全挑战是全方位的，安全保护已从传统的边界安全向全方位深度防御转移。为实现全方位深度防御，企业需要将多种安全措施嵌入到网络的各个层次，并集成到所有IT设备中。每个安全组件都能为异常流量检测、威胁反应和分析提供分立的事件日志和警报特性。显然，继续寄希望于FC 协议的二层访问控制机制来保证SAN存储的数据安全，已经是一种过时的鸵鸟政策。
杭州华三通信技术有限公司。保留一切权利。}