【IT168 专稿】本文分为上下篇，上篇系统的从技术、性能、实施、安全性等几个方面对比iSCSI SAN，下篇将提到如何将iSCSI与FC结合在一起，以及企业选择iSCSI与FC的实例。内容包括：

    iSCSI渐行渐近
    iSCSI与FC的技术比较：复杂昂贵的FC
    iSCSI与FC的技术比较：无孔不入的以太网
    iSCSI和FC性能比较：iSCSI堪当重任
    iSCSI和FC实施对比：简单即美
    iSCSI和FC安全对比：更强大的安全功能
    如何将iSCSI和FC结合在一起？
    企业选择iSCSI还是FC的实例
    突破行业的界限
    后记：虚拟化将改变格局

    本文是下篇，开始探讨iSCSI和FC的安全对比。

iSCSI和FC安全对比：更强大的安全功能

    二者在实施过程中最大的不同点就涉及到了安全问题。与通常观点相左的是，光纤通道SAN历来就比iSCSI安全性差。专家发现光纤通道的认证协议很少被使用。与此相反的是,大部分储存组织依靠光纤通道结构的固有差异和逻辑单元号分区和遮罩的复杂之处来保证SAN数据安全。

    事实上iSCSI有比FC更强大的安全性功能。从认证到加密，你会发现iSCSI有更多的选择，而且这些功能都很简单易用。但是，目前而言这些功能就像摆设一样，并没有人真正去用到它们。

    而在一个光纤通道SAN中，你必须建立逻辑关系（区）来连接到服务器和存储设备上，然后阻止（遮罩）所有磁盘上没有认证的卷。对比而言，iSCSI不使用分区，这也通常成为一个安全问题。这也就意味着一个光纤通道SAN可以在任何特定的磁盘上发现多个逻辑单元号，但是iSCSI只能处理磁盘。

    因此，iSCSI认证非常重要，而且iSCSI使用高级认证方法来建立安全机制，比如挑战握手认证协议（CHAP）。使用CHAP是一种更安全的方式，而且安装真的非常简单，因为人们在IP网络中使用CHAP已经有10年了。而且，光纤通道不支持本地加密，但是iSCSI可以利用IPSec加密来保护数据。

    通过阻止外界的SAN网络安全性已经大大提高了。这曾经是光纤通道的一个正常要素，但是却给基于以太网的SAN提出了挑战——你不希望iSCSI SAN通过用户局域网将数据“泄露”出去。可以建立一个不同的局域网，然后用它作为一个专门的SAN，当iSCSI的性能必须优化的时候，这可能是非常好的的策略。不过，使用虚拟局域网（VLAN）来构建一个iSCSI SAN更加普遍，VLAN就是把物理局域网分割成一个专门被SAN使用的逻辑部分，这就让管理员能够严格地管理和监控VLAN上传输的数据。

如何将iSCSI和FC结合在一起？

    对很多企业来说，他们的选择既不是FC，也不是iSCSI，而是二者的结合。一个结合的SAN架构越来越受到人们的追捧，因为它保留了现有FC架构的同时也支持iSCSI的引入和扩展。

    能说明这个趋势的例子就是“SAN融合”，可能由于过于昂贵而无法部署在光纤通道SAN的次要的应用程序和服务器如今可以连接到一个iSCSI SAN上。企业系统管理员可能说：我们以前购买一台Unix服务器要花5万美元，而现在花5千美金就能买一台Linux服务器，那我们何不在这个低成本的环境中使用iSCSI呢？

    SAN也可以通过使用iSCSI网关，可支持iSCSI的光纤通道交换机，智能存储交换机和网关以及多协议存储阵列进行互联。iSCSI网关很简单，既不显山也不露水，虽然可能价格不菲，网关完成iSCSI和FC之间所有的转换。iSCSI网关产品包括Brocade Communications Systems公司的iSCSI Gateway，Cisco Systems公司的MDS 9216i, Emulex公司的725/735 iSCSI Storage Routers以及QLogic公司的SANbox 6140 Intelligent Storage Router。

    在光纤通道交换机上加入对iSCSI的支持，可以很容易地添加智能功能，比如虚拟路由器冗余协议（VRRP）或者iSCSI服务器负载均衡（iSLB）。这种整合还提供了智能交换机冗余与性能的单一管理控制台。

    Brocade给自己公司的SilkWorm48000 Director提供了SilkWorm FC4-16IP iSCSI刀片。Cisco给公司 MDS 9200 Series Multilayer Fabric Switches和MDS 9500 Series Multilayer Directors提供了IP存储服务模块和多协议服务模块。智能存储交换机和网关增加了更先进的存储服务，比如虚拟化，快照，复制和镜像。

    Network Appliance (NetApp)的V-Series网关和Sanrad iSCSI V-Switch是两款没有存储附加的最受欢迎的智能存储控制器产品，可以在一个存储池内让iSCSI，FC和NAS互联。多协议阵列也可以提供同样的功能，不过存储包含在同一个阵列中。代表产品有EMC支持混合协议的Clariion CX3-20和CX-3-40阵列，以及HP支持iSCSI的StorageWorks XP和EVA阵列。

    不管你是以什么样的方法把FC和iSCSI结合在一起，都不应该对任何一方的性能有所影响。但是，专家强调其实并没有对性能的保证，特别是在iSCSI的部署过程中。比如，iSCSI目标驱动器可以在实施过程中有很大区别，所以可能需要做优化。IT人员就可以帮助分析和优化iSCSI的网络性能。

企业选择iSCSI还是FC的实例

    以金融机构为例，在解决螺旋式上升的存储需求时面临着双重挑战，特别是为了满足保存那些文件影像以及法规遵从的需要。一家金融机构的核心业务运行在一台IBM P系列数据库和应用服务器上，使用的是Unix系统，有大量的内部存储数据。但是还有其他的存储数据需要应付。比如支持电子邮件的Microsoft Exchange以及做文件管理的EMC Legato软件，整个的存储量可能会达到2.5TB。

    而且他们的系统管理员认为他们的存储需求在未来的几年内还将大幅度增长。如今，那些应用部署在运行Linux的标准组件NAS/iSCSI存储设备上。

    虽然选择iSCSI考虑了很多要素，最终他们的系统管理员认为，兼容性和性能是最重要的两个标准。以太网铜轴电缆已经搭建好了，大大简化了对一系列基于以太网存储系统的安装和支持。选择iSCSI还意味着网络管理人员要负起更多的责任，而不仅仅是存储专家。更重要的是，iSCSI可以提供足够的性能来保证数据库和其他程序的运行。

    iSCSI有着和任何NAS一样的实用性。这也是他们最终选择iSCSI的原因之一。他们还希望iSCSI能够承担很多文件级别的网络存储。

    在任何新技术的实施过程中总是会有不确定因素存在。测试资源有限，这家金融机构考察了FC、iSCSI和二者结合的架构来决定适合其估计的吞吐量的网络。最后，他们觉得主数据库系统放到iSCSI SAN上已经非常安全，他们甚至可能放弃FC。因为磁盘存储已经连接到P系列服务器上了，有足够的处理输入/输出的能力。iSCSI也足够满足他们对性能的要求了。

    金融、政府机构已经大量的使用iSCSI SAN，以前对于iSCSI使用寿命的担心也随着行业对iSCSI的持续支持而消失了。iSCSI成为了除FC之外的又一个选择。在过去的几年中，TCP/IP的技术发展明显要领先于FC，10Gb以太网的出现，则给iSCSI的应用加上一枚重重的砝码。”

突破行业的界限

    除了Exchange服务器和其他日常应用之外，工程公司也面临着数据库文件数据丰富，存储量大的挑战，但仍然要能保证用户的使用。例如，一个典型的AutoCad项目可能会使用到上百兆大小的文件，这就需要处理快速、性价比高的存储。例如一家工程和环境设计公司，选择使用EMC的Clariion CX3-20，建立了一个混合的环境，可以支持FC和iSCSI SAN上3TB的混合存储。

    iSCSI的引入，给整个环境带来了相当大的灵活性，而且维护费用也不算高。另外一个iSCSI用户认为：iSCSI让他们效率更高，因为没有FC主机总线适配器的成本，只有一个网络接口卡。

    而且整个配置过程快速而灵活，他们只需要在SAN后端创立一个逻辑单元号，然后通过iSCSI连接。我们甚至可以通过iSCSI提供冗余。这种水平的灵活性让企业可以随着客户需求的改变而改变。

    为了最终确定选择，这家公司的IT团队着重于速度、冗余和备份对iSCSI进行了测试。测试结果则表明：我们不能在同一台主机上使用FC和iSCSI。但整个测试过程使用了两个单独的网络环境，混合存储架构的实施最终获得了每一个人的首肯。

    FC的部署并没有想象那么困难，但是要保证正确的防火墙、硬件驱动器、主机总线适配器仿真程序版本和其他细节可能使主机总线适配器的安装变得更加复杂。FC主机总线适配器还需要断线进行安装和配置。

    比较而言，iSCSI的部署要更加容易些。只要安装Microsoft指示器工具，通过你的网络接口卡设置一些IP，创建逻辑单元号，就可以了。至于未来，我们还期待iSCSI存储能够支持10Gb以太网。新的网络接口卡和交换机的出现应该就在眼前，只要EMC给CX3-20提供10Gb iSCSI模块就行了，这是目前大家的期待。

后记：虚拟化将改变格局

    毫无疑问，iSCSI已经成为中型企业建造SAN的首选。就算是大企业，也在部署工作组或远程办公室时尝试使用iSCSI，用以降低成本。越来越多的IT人员可能会抛弃FC而选择iSCSI。不过，FC的末日并没有到来。几乎不可能有企业会愿意舍弃他们在现有FC架构上的投资和经验。但是变化现在已经开始出现，并且还将在未来继续。

    目前而言，可能更多的是二者共存的景象，我们期待着iSCSI在不久的将来能成为主要的SAN协议，但是可能还要再等上三五年时间。

    在不久的将来，使用虚拟化服务器将成为大中型企业普遍建立iSCSI存储网络的重要催化剂。类似VMware这类虚拟化产品的使用，可以让大型服务器整合在一起，使用几台物理服务器来运行更多的虚拟服务器。一旦我们做了虚拟化的工作，我就要把所有的VMware映像，程序和数据放到一个存储网络上。虚拟化服务器系统和存储之间是用iSCSI通信的。

    虽然两种技术都在发展，专家们认为10Gb以太网的出现对iSCSI并没有什么直接的影响。有些FC设备已经是10Gb的传输速度了，所以现在使用1G的iSCSI的用户可能不会更倾向于使用iSCSI。暂时看来，这两种技术似乎是势均力敌的，他们还将并驾齐驱，共同发展下去。