【IT168 专稿】本文分为上下篇，上篇系统的从技术、性能、实施、安全性等几个方面对比iSCSI SAN，下篇将提到如何将iSCSI与FC结合在一起，以及企业选择iSCSI与FC的实例。内容包括：

    iSCSI渐行渐近
    iSCSI与FC的技术比较：复杂昂贵的FC
    iSCSI与FC的技术比较：无孔不入的以太网
    iSCSI和FC性能比较：iSCSI堪当重任
    iSCSI和FC实施对比：简单即美
    iSCSI和FC安全对比：更强大的安全功能
    如何将iSCSI和FC结合在一起？
    企业选择iSCSI还是FC的实例
    突破行业的界限
    后记：虚拟化将改变格局

    本文是下篇，开始探讨iSCSI和FC的安全对比。

iSCSI和FC安全对比：更强大的安全功能

    二者在实施过程中最大的不同点就涉及到了安全问题。与通常观点相左的是，光纤通道SAN历来就比iSCSI安全性差。专家发现光纤通道的认证协议很少被使用。与此相反的是,大部分储存组织依靠光纤通道结构的固有差异和逻辑单元号分区和遮罩的复杂之处来保证SAN数据安全。

    事实上iSCSI有比FC更强大的安全性功能。从认证到加密，你会发现iSCSI有更多的选择，而且这些功能都很简单易用。但是，目前而言这些功能就像摆设一样，并没有人真正去用到它们。

    而在一个光纤通道SAN中，你必须建立逻辑关系（区）来连接到服务器和存储设备上，然后阻止（遮罩）所有磁盘上没有认证的卷。对比而言，iSCSI不使用分区，这也通常成为一个安全问题。这也就意味着一个光纤通道SAN可以在任何特定的磁盘上发现多个逻辑单元号，但是iSCSI只能处理磁盘。

    因此，iSCSI认证非常重要，而且iSCSI使用高级认证方法来建立安全机制，比如挑战握手认证协议（CHAP）。使用CHAP是一种更安全的方式，而且安装真的非常简单，因为人们在IP网络中使用CHAP已经有10年了。而且，光纤通道不支持本地加密，但是iSCSI可以利用IPSec加密来保护数据。

    通过阻止外界的SAN网络安全性已经大大提高了。这曾经是光纤通道的一个正常要素，但是却给基于以太网的SAN提出了挑战——你不希望iSCSI SAN通过用户局域网将数据“泄露”出去。可以建立一个不同的局域网，然后用它作为一个专门的SAN，当iSCSI的性能必须优化的时候，这可能是非常好的的策略。不过，使用虚拟局域网（VLAN）来构建一个iSCSI SAN更加普遍，VLAN就是把物理局域网分割成一个专门被SAN使用的逻辑部分，这就让管理员能够严格地管理和监控VLAN上传输的数据。