IBM FlashCopy
IBM FlashCopy专为提供逻辑驱动器的时间点拷贝而设计。通过使用一个基于指针的资料库系统，IBM FlashCopy最多可以管理逻辑驱动器的4份拷贝。

更多内容请点击下载IBM DS4000中文版白皮书

我(个人介绍)在大学里学的是水利水电工程建筑，是一个非计算机类的传统型专业。从毕业后在长江三峡水电站的两年混凝土施工工作开始，到现在存储厂商售前技术工程师，在这十年的时间里，我曾经正式工作过的单位有5个，分别属于水电、网站、校园网、广电、和存储等5个行业。

接触存储和SAN网络始于2002年。那时候刚到sobey上班，感谢公司给我了将近4个月的培训和实习机会，让我有机会和有时间深入地学习DDN S2A6000（我看过的第一台存储设备）。跟着老员工一起接受S2A6000的技术培训和安装配置操作，并有大量的时间可以让我自己动手。跟着老员工一起搭建非编制作网（一个40多台主机的SAN网络），调试Vixel FC交换、安装FC HBA卡驱动，安装SANergy软件（SAN网络存储系统管理软件）。我们在同一个网络上做了四次测试，所以我有机会将所有的操作重复了4遍以上。那个时候我虽然可以很快的完成工作，但我心里还是不懂为什么要这样做，不明白SAN网络和IP网络（但是对IP网络也不是很明白）为什么有区别，WWN地址和IP地址的工作什么到底有什么不同。只是很积极的争取动手的机会，有把握的独立完成，没把握的事，就在同事的注视下自己操刀干，这样一旦有错误他会马上提示。

后来我在北京有三个月的时间一个人负责3个非编制作网（5-10台主机的SAN网络）的维护。感谢老天，当时那3个网络不是有问题就是需要升级系统平台，让我让机会将这3个网络格式化重装了5遍，呵呵，有两遍我做错了。总部的同事也能给我非常及时和认真细致的电话支持。即使是在这个过程中，我仍然对SAN网络很迷糊，知其然，不知道其所以然。等到这些工作完后的快两周时间里，当我反复回想近半年的工作时，有一天忽然一下子明白了什么是SAN，为什么要用到FC 交换机。呵呵，有点像佛学里讲的顿悟，又像武侠小说里主人公的功力突然进入了一个很久不能到达的层次。

一个月后，国内第一个大型媒体资产管理在CCTV开始实施。我全程参与了整个系统的30台应用服务器和200台工作站、两套存储系统和数据流磁带库、以及其它很多系统的安装过程。这些系统在当时不是最新的、就是最大的。感谢老天，在系统建成后半年里，因各种原因迟迟没有开始使用，同时也没有人关注，所以我有时间和有机会，反复去熟悉系统。有点过分的是，除了几台一点都不懂的服务器没有动过之外，其它所有的服务器、存储设备都被我格式化重新安装过，幸好都能按原样调试好。在这段时间，我也充分利用该系统做了很多实验和测试，以验证自己的疑问和想法。

那段时间虽然没有人管我是否上班，是否迟到早退，但我差不多每天都是早早到机房，直到晚上十点才离开。那是我这辈子学习最认真，最努力的半年多时间。学的东西最多，记忆的最清楚，现在我还记得30多台服务器和200台工作站的位置（分布在3幢办公楼里），S2A和DFT现在都还是我最熟悉的存储设备。

后来直到加入UIT之间的很长一段时间，我工作的中心一直都在视频编辑方面，即使是做了一年非编系统售前技术，存储占工作的比重也不是很多。但这段时间对我学习存储来讲仍然是一个很重要的过程，它是一个进一步消化、沉淀和酝酿的过程。多次对新同事和客户的培训也让我有机会去梳理以前的所学，使之更加条理化，也就是在那个时候我逐渐有了想写点东西的想法。

2005年10月份我来到UIT。说实话，别看我现在整天给客户忽悠ISCSI，当时还真的不知道什么是ISCSI。是工作需要逼迫我必须尽快熟悉公司的产品和其它厂家的产品，我这才开始比较全面翻看和查阅与存储有关的技术资料和文档。

通过这么多年接触存储，我总结自己学习存储的经历如下：

1、动手操作。动手是人学习一项技能时最有效、最快速的方法，同时也是记忆一件事情时最有效、最快速、记忆时间最长的方法。我一直以来都体行动手第一的思想，有机会一定要自己动手操作。以前项目实施时，有把握的自己做。没把握的，让同事在旁边看着自己做，遇到问题他可以随时提醒。更早之前，当我开始学电脑时，卖的书也都是插图比较图、操作步骤化的书，这样只需要按书上的提示操作两遍就可以理解和记住。因此我建议大家有就会接触存储时，一定想办法亲自动手操作。

2、认真地重复操作。不要认为重复做一件事就只是简单地重复，重复地次数多了，量变就会发生质变。当你认真地做了，就会发现每一次重复中都能获得新的东西或发现新的问题。正是因为当初反复重装多次网络才出现了”顿悟”。对S2A重复做RAID，发现了原来S2A双控制器的工作方式与其它存储是不一样的，选择不同扩张柜中的磁盘存储设备的带宽也有可能发生变话，因此知道了该如何去优化存储设备的带宽和IOPS性能。重复做性能测试，发现设置不同的BLOCKSIZE，测试的结果也是不一样，因而知道了不同类型的业务系统，blocksize的大小应该是不同的。通过一遍一遍安装SANergy软件，知道了SAN存储共享系统中管理软件的工作原理，以及正确维护共享系统的方法和措施。一遍一遍查看数据迁移系统的日志记录，才发现系统设计的存储策略和迁移策略有问题，提出优化方案后，将数据流磁带机的损坏率由原来的每年12台，减少到不到1台。这些都是从一遍遍的重复操作中得来的。

其实不管是做售前还是售后，工作很多时候都是重复，只是面对的人有区别，业务系统略有不同罢了。如果你认为重复不是积累，只是简单地重复，你可能什么都得不到。

3、只专一类技术。虽然存储技术只是整个IT技术中很小的一个分类，但存储技术内仍然有很多分类。作为我们这样的普通人，不可能对存储技术的每一类都非常清楚，在每一个技术方向都能有建树。当然那些牛人例外。那么何不只专某一个分类呢？找一个自己熟悉、有一定基础的认真地深入下去，只要努力一段时间很快就会出成绩。实际上我们平时看到的牛人差不多也只是在某一两个技术方面很牛，其它方面一般罢了。只要你能在一个方面做的很深，那你也是牛人。

另外很多厂商的产品只是在技术参数、指标、名称上有区别，很多功能都是相通或者差不多的，所以当你从外到内，由浅到深地了解了一个产品后，再去了解别的产品就非常容易了。我只是个一般人，所以我选择了自己熟悉的视频应用类存储系统，平时看的资料也主要是与视频存储的技术。实际上我调试过的存储设备只有两款，但因为对这两款设备所有模块的功能都比较熟悉，再遇到别的设备时就很容易去理解了，剩下的区别就是命令行不同罢了。

4、重视基础知识。现在很多开始学习存储人可能有一个浮躁的毛病，喜欢学习最流行的技术，看知名厂商的白皮书，听新产品的报告，和人聊最新的话题，好像不这样就不是搞存储的。我觉得大家关注的这些实际上都厂商用来市场宣传的噱头，很新很实际的东西太少，了解一下就可以了，没有必要太执着。所谓”信息生命周期管理”就是通过应用系统、结合预先设定的存储策略和迁移策略使数据在不同的时期存储在不同的存储设备上。所谓”统一存储”说白了就是在一台高性能服务器上安装NAS软件、FC target和ISCSI taiget软件，使之可以对外提供IP、FC和ISCSI访问协议。所谓”存储虚拟化”其实就是对存储设备上的逻辑卷再进行一次逻辑化。

这些概念和噱头最核心的内容其实还都是建立在SCSI、IP、fable channal、文件系统以及操作系统等很多基础内容之上的。想要深入了解存储技术，第一步就是深入了解操作系统和文件系统。对主机来讲，NAS只是相当于一个网络共享磁盘，DAS、FC存储、ISCSI存储相当于本地磁盘。存储系统设计的核心就是操作系统对磁盘和文件系统的管理和业务流程的设计和优化了，剩下的就是简单地按照说明书对存储设备本身进行安装调试了。这就是为什么很多做数据库存储的都要求对solaris和oracle都必须了解的原因。

我想我现在的技术能力很大程度上与我买第一台电脑有关。记得那是买了一个硬盘容量只有1GB的旧电脑，装了WIN98、office97和auto-CAD后，基本上就没有空间了，想玩个帝国时代或者星际游戏还得先把office或者auto-CAD先下载了才有空间来安装。那时候在电脑上干的最多的事情就是想办法优化系统，删除系统里自己认为不需要的东西，为的就是想办法节约空间。当然了因为操作不当经常重装系统，就是现在一想到重装WIN98我都想吐。不过在那一年多的时间里，我基本上对windows操作系统的各部分，特别是对文件系统和磁盘管理有了比较深入的了解。使得我在以后的学习中很容易就可以理解存储设备的应用。

5、多分析多比较。子曰：学而不思则罔，思而不学则殆。学习存储也一样，经过一段时间的学习之后，一定要化时间自己去分析和比较各个知道点之间的不同。比如，SAN和NAS有什么不同，能否在系统里同时应用？NAS、ISCSI和FC存储之间能否演变？能否通过技术指标分析出存储是基于控制器架构还是PC架构的，两种架构各有什么优缺点？ 主机对存储系统的数据访问类型可分为几种，数据库访问和文件访问对存储各有什么样的要求？快照、卷镜像等有几种技术，是如何实现的？

各厂家，类似的很多问题一旦能想通，且能有一个很清晰的脉络，那可能你离牛人就不远了。

6、实用主义。学习存储是为了用才学，不是为了学而学。我一直的做法都是只学习工作中能用到的或者当时非常感兴趣的，至于其它的，等我以后遇到的时候再说。可以学习的技术太多了，厂商的产品和白皮书太多了，我不是过目不忘的高人，所以我只学自己能学懂的，只做熟悉范围内的专家。我看过的存储技术书籍只有两本，一本是2004年版的BROCADE BCFP培训教材，另一本是”使用brocade交换机组建SAN存储区域网络“。其它的资料基本上都是用的时候才去网上找，幸好现在的网络上你想要什么都可以到。

这些只我个在学习存储技术过程中的一些感想，不一定适用于其他人，希望大家可以参考。

写到这里，再次想起了当时帮我入门的几位高人，他们是sobey的杨琛、陈晓涛和汪大庆，在此我向他们几位表示感谢和敬意。

在 Internet 协议（IP）统治着局域网和广域网的今天，数据存储的需要也在日益增长。 Internet 小型机系统接口（iSCSI）协议整合了存储和 IP 网络，使通过 IP 网络完成存储数据 块的传输成为现实。它建立在两个已被广泛应用的技术之上，为存储而建立的 SCSI 命令和 为网络化而建立的 IP 协议。

iSCSI 是一种端到端的协议，用于在 IP 网络中传输存储 I/O 数据块。该协议被使用于服 务器（initiator）、存储设备（target）和协议传输网关设备。ISCSI 使用标准的以太网交换机 和路由器，将数据从服务器转移到存储设备。它还使得 IP 和以太网基础设施可以被用于对 SAN 存储系统的扩展访问，跨过任意距离完成对 SAN 的扩展接入。

迄今为止，不断增长的存储需要和网络化存储为用户带来的好处都在推动着 iSCSI 的部 署。这些好处包括：通过整合存储资源提高存储利用率，获得对更大存储容量的管理能力， 快速部署新的存储系统、获得更高的可用性，更快地完成备份及重建操作等等。

随着近年来对 iSCSI 协议和对基于硅晶体的 TCP/IP 卸载引擎的开发，建立在 IP 网络上 的 SAN 已成为现实。IP 网络的基础设施包括千兆万兆网络、复杂的带宽分配和网络管理工 具，以及 IP 和以太网无处不在的延伸。以上因素与 iSCSI 协议结合在一起，构成了全新的 IP 存储解决方案。

图 1：实现 IP 存储的要素 最大程度地利用存储和网络的特性

iSCSI 建立在来自存储和网络领域的两个应用最广泛的协议之上。在存储领域，iSCSI

使用 SCSI 命令集，即所有存储配置使用的核心存储命令。

在网络方面，iSCSI 使用 IP 和以太网。这是大多数企业网络的基础，并被越来越多地应 用于城域网和广域网。IP 网络已经具备了最高的可管理性、互操作性和经济有效性。

图 2 显示出 SCSI 如何通过 iSCSI 层映射到 TCP/IP，使 SCSI 脱离其并行总线结构。

图 2 利用 SCSI 和 IP 实现网络化存储 图 3： iSCSI 协议堆栈 图 3 显示了一个包含 iSCSI 的简单协议堆栈。

标准 SCSI 命令集的使用促进了现有操作系统与它上面的应用之间的互操作性。而标准

TCP/IP 网络的使用则提供了通向全球 IP 设施的途径。

IP 存储的优势 熟悉的网络技术和管理 减少培训和员工成本 已经验证的传输设施 提高了可靠性

以太网从 1G 向 10G 及更高速过渡 通过简单的性能升级保护投资 跨长距离扩展能力 实现远程数据复制和灾难恢复 将以太网的经济性引入存储 降低用户总成本

IP 存储网络的构成

IP 存储网络是指通过 IP 连接计算机系统和存储部件，同时也指利用 IP 基础设施在各个 目标之间进行存储数据的传输。图 4 所示为 IP 存储网络的各种构成。

第一个构成部分是设备输入/输出，指具有本地 IP 接口的计算机系统和存储资源，包括 带 iSCSI 适配器或 iSCSI 控制器的服务器、磁盘阵列或磁带库。这些设备都采用典型的以太 网接口，但加入了协议处理功能，如 TCP/IP 卸载引擎，以减少主机设备的处理负担。

iSCSI 存储局域网的第二个构成部分是其交换机结构。一个基于 IP 的结构所拥有的先进 特点是用户可以使用标准以太网交换机和路由器来创建 SAN 并通过 SAN 传输数据。这个结 构还可以包含 iSCSI 接口或其它存储接口，如 SCSI 接口或光纤通道接口的存储路由器和交 换机。存储交换机和路由器提供了其它常规 IP 和以太交换机所不具备的多协议接入能力。 它们还为存储提供诸如点对点拷贝命令这样的特殊功能。

IP 存储网络的第三个构成部分是 SAN 间的互联。因为 iSCSI 是一个基于本地 IP 的协议， 实现 SAN 互联不需要与存储相关的特殊功能，可使用一个共享或专用的 IP 以太网络来完成。

图 4：存储网络的分段 了解终端系统

假设一个 iSCSI 环境可以利用现有的 IP 网络，整个解决方案中的一个重要部分当属 iSCSI 终端系统。图 5 概要表示了传统 IP 网络接口卡，传统存储适配器和新型 IP 存储适配 器的重要功能。

网络接口卡（NIC）

传统 NIC（即服务器和 PC 机上的以太网适配器）用于在 PC 机、服务器和存储设备之间传 输文件级别的数据包，比如 NAS 应用。但 NIC 传统上不能传输块状数据，这类数据只能通 过象光纤通道这样的存储主机总线适配器或并行 SCSI 来处理。为了使 NIC 可以处理块状数 据，数据在通过 IP 网络传送出去之前需要先置入 TCP/IP 包。通过主机或服务器上的 iSCSI 驱动程序驱动，NIC 可以在 IP 网络上传输块状数据包。在使用 NIC 时，服务器必须完成块 状数据包的创建和所有 TCP/IP 的处理，这就在很大程度上占用了 CPU 资源并因此降低了服 务器性能。完成 TCP/IP 处理所产生的瓶颈促使人们在适配卡上开发出 TCP/IP 卸载引擎

（TOE）。TOE 将 TCP/IP 处理卸离主机 CPU，转而在主机总线适配器上完成 TCP/IP 处理和 数据包创建。因此，一个带有 TCP/IP 卸载功能的存储 NIC 更象是一个存储主机总线适配器， 而不是一个标准的 NIC。

存储主机总线适配器（HBA）

与 NIC 不同，存储 HBA 被设计用来在存储应用之间传输块状数据。整个数据块的一个参照 数从应用端传送到适配器，省却了将数据块细分成更小帧的需要。然而正因为如此，HBA 必须处理将数据块分化为细小帧的任务。这些任务通过一系列特殊芯片来完成，使 HBA 将 计算机的 CPU 资源从这一处理进程中解脱出来。处理任务完成后，HBA 对外传送帧信息。

iSCSI 适配器

iSCSI 适配器结合了 NIC 和存储 HBA 的功能。这种适配器以块方式取得数据，利用 TCP/IP 处理引擎在适配卡上完成数据分化和处理，然后通过 IP 网络送出 IP 数据包。这些功能的完 成使用户可以在不降低服务器性能的基础上创建一个基于 IP 的 SAN。在推出 iSCSI 适配器 之前，一些厂商开发过这种适配器的软件版本。这些软件实现的适配器从应用中接收块状数 据，但仍需要使用 CPU 周期来完成 TCP/IP 处理。这种适配器的优点在于它能够工作在现有

的以太网 NIC 上，而主要缺点则是需要 CPU 来承接 TCP/IP 处理的繁重负担。

图 5：网络接口卡和主机总线适配卡 iSCSI 部署细节 建立数据中心的途径

对于向网络化存储过渡感兴趣的用户，建立一个 iSCSI SAN 是其完美的选择。iSCSI 与直接 连接存储一样，使用处理数据块的 SCSI 命令集，因此能够与文件系统、数据库和网站服务 等用户应用兼容。同样，由于 iSCSI 运行在无所不在的、熟悉的 IP 网络上，人们不必掌握 一种新的网络结构来获得 SAN 的好处。为了在数据中心构筑一个 iSCSI 存储网络，iSCSI 主机总线适配器可以用在服务器上，和 iSCSI 存储设备以及 IP 和以太交换机的组合一起工 作。如有需要，也可以使用 IP 存储交换机和路由器。图 6 显示了在一个基本的数据中心建 立的与远程站点相连的 iSCSI 存储网络。

将 iSCSI 存储网络扩展到城际网与广域网

IP 数据在 Internet 上得到的迅速采用与蔓延证明了在跨长距离的广域网中使用 IP 的生存能 力。虽然我们刚开始期望通过私网部署 iSCSI 存储，但通过 IP 安全设施（例如 IPSec 和 SSL 提供的认证和加密）的利用也使我们可以在公网上部署广域的 iSCSI 存储。

图 6：数据中心建立的 iSCSI 存储网络提供了 MAN/WAN 访问的无缝路径 本地 iSCSI 存储网络的应用

利用一个本地 iSCSI 存储网络，用户可以通过以下建立在数据中心的应用获得收益： 服务器和存储资源的整合

利用一个网络化的存储结构，用户能够将多个存储设备连接到多台服务器，实现更好的资源 利用和轻松的存储管理，并简化存储结构扩展的过程。

加速备份操作

先前局限于传统 IP 局域网的文件形式的备份操作现在可以在 IP 存储网络中以数据块的操作 方式完成。这种转变实现了更快速度的备份，为用户使用共享或专用的 IP 网络完成存储操 作提供了灵活性。

无缝的远程站点访问和外包存储

利用基于 IP 的存储网络，用户可以跨过城际网或广域网轻易地实现对辅助网点的远程访问。 远程网点可被用于离线备份，建立集群或镜像/复制。此外，用户还能选择存储服务供应商 提供的即需即用的外包存储服务。

用 iSCSI 链接多个 SAN

因为采用了 TCP/IP 完成传输，iSCSI 协议成为跨城际网和广域网连接多个 SAN 的最佳 选择。这种连接包括跨过广域网扩展的本地 iSCSI SAN 和光纤通道 SAN。多个 iSCSI SAN 能够跨过广域网以标准的以太网设备相连。当与一个光纤通道 SAN 进行连接时，需要一台 IP 存储交换机来将 FC 协议转变为 iSCSI 协议。

IP 存储路由器能够桥接 FC 和 iSCSI，而 IP 存储交换机不仅能桥接 FC 和 iSCSI，还能 提供额外的交换机功能。这种 IP 存储交换机提供的交换功能可以用于完成 FC-FC 交换、 FC-iSCSI 交换、FC-千兆以太网交换和千兆网-千兆网交换。IP 存储路由器和交换机均能用 于实现 FC SAN 的扩展，并将 FC SAN 与 iSCSI SAN 连接在一起。图 7 显示了一个基于 IP 存储路由器和交换机的简单配置。

图 7：链接 iSCSI SAN 和光纤通道 SAN

IP 访问存储/存储整合

通过在服务器中使用 iSCSI 适配器，用户现在可以跨过一个 IP 网络访问光纤通道存储资源。 这极大地扩展了存储访问的灵活性，使用户可以不受服务器访问的限制而整合 FC 存储资源。 例如，可以直接跨过 IP 网络访问服务器获得数据库信息。

企业级用户的远程备份

企业用户可以结合 iSCSI 和 IP 存储路由器或交换机，利用 IP 网络实现远程备份。远程站点 虽然独立运行，但仍能通过企业存储资源获得好处，实现 iSCSI 服务器到 FC 存储的备份和 恢复。这种应用使数据中心管理员能集中企业数据资源于一地，并为多个远程用户在不同的 站点上提供各中复杂的企业存储管理。

iSCSI 以先进的网络化存储为 IT 管理人员提供了直接连接存储的替代解决方案。IP 存 储网络利用 IT 部门现成的 IP 网络知识和 LAN、MAN 及 WAN 网络管理工具。IP 技术发展 的浪潮和 10G 万兆以太网的引入，iSCSI 为企业和服务商提供了一个从逻辑上整合基础设施 的发展途径。

第七章 问与答

问：什么是 iSCSI？ 答：iSCSI（互联网小型计算机系统接口）是由互联网工程任务组(Internet Engineering Task Force)开发的基于互联网协议(IP)的存储网络协议。

问：iSCSI 的工作方式是什么？

答：服务器通常使用专用 SCSI 连接以及块级接口实现与本地连接的存储系统的通信。iSCSI 将 SCSI 块存储命令封装到以太网数据包中，以便通过 IP 网络进行传输。这样服务器就能够 使用标准的 SCSI 存储命令通过标准的 IP 基础设施与共享的存储设备进行通信。

问：iSCSI 是否是一个标准？

答：是的。iSCSI 协议规范已经于 2003 年 2 月被批准为 IETF 的提案标准。 问：iSCSI 有哪些优点？

答：与直连式存储不同，IP SAN(iSCSI 存储解决方案允许企业跨服务器共享存储资源和非 常方便地扩展存储容量。因为以太网在整个世界得到了广泛应用，iSCSI 便于企业享受网络 存储在数据管理和灵活性方面的优势，又不会使企业遇到采用传统光纤通道 SAN 时通常会遇 到的成本与复杂性高等问题。有了 iSCSI，企业能够利用自己现有的网络投资和专业知识， 经济有效地为自己的分布式环境部署具备完善管理功能的数据中心存储系统。

问：iSCSI 能够为客户解决哪些方面的问题？

答：许多企业都迫切需要低成本的 SAN 解决方案，以便整合他们不断扩展的 Windows®服务 器环境中的数据，并为他们的 Linux®服务器群、标准的 UNIX®服务器以及 Novell 环境提供 集中的数据管理功能。目前在很多情况下，运行在这些服务器上的应用程序（电子邮件、小 型数据库、CRM 以及分析）已被视为业务关键性应用程序，所以这一需求更加强烈。现在 iSCSI 为这些客户提供了卓越的解决方案对于简便性、灵活性以及性价比在 IT 决策中具有关键意 义的环境（尤其是根植于低成本服务器的环境），iSCSI 提供了价格合理的存储整合解决方 案。另外，iSCSI 还能够提供真正价格合理的灾难恢复、备份以及近线存储解决方案。目前 已在多种行业和 IT 环境中部署了 iSCSI。

问：iSCSI 会带来哪些影响？

答：iSCSI 协议可以解决 SAN 部署通常所遇到的成本和复杂性高等难题，并在光纤通道 SAN 无法提供较高的经济有效性的场所部署可行的 SAN 存储解决方案，可望加速从直连式存储向 网络存储的转变。

问：这一新技术已经能够进行实际部署了吗？

答：将 IP 基础设施用于存储系统并非新生事物。Global2000 中的大量公司都在自己的企业 应用数据中心中使用网络存储解决方案，它们通常使用千兆以太网实现存储互联。再进一步 说，基于数据块的 IP 存储解决方案也不是新生事物。举例来说，Network Appliance 去年 一直在实施基于专有协议(VLD)的前 iSCSI 解决方案。这些解决方案已经非常成功地成为 Windows 服务器应用中的存储整合解决方案。最后一点，主要的操作系统供应商都支持 iSCSI，这一点与各个厂商的“合格解决方案”计划相结合，最大限度地减少了通常在采用 新技术的过程中存在的风险。

问：iSCSI 解决方案包含几个部分？

答：iSCSI 解决方案由以下三部分组成：iSCSI“目标端”（iSCSI 存储设备）通过标准的以 太网基础设施（交换机和线缆）连接到主机系统中的 iSCSI“initiators”。iSCSI initiator 既可以是随主机操作系统而来、使用标准以太网卡(NIC)实现物理网络连接的软件驱动程序， 也可以是提供网络连接并从主机 CPU 将 iSCSI 和 TCP/IP 处理过程转移到自身的 iSCSI 主机

总线适配卡。

问：我是应该使用硬件 initiator 还是软件 initiator？

答：iSCSI initiator 是使用硬件还是软件要取决于多种因素，包括预算、性能要求以及服 务器工作负荷。软件 iSCSI initiator 能够实现成本最低的 iSCSI 解决方案。纯软件 iSCSI initiator 使用标准以太网卡，并依靠主机 CPU 来处理 iSCSI 命令和 TCP/IP 栈。大部分客 户工作负荷在 iSCSI 协议处理方面会引发明显的性能开销。如果服务器的负荷较重，则可能 更适合采用硬件 iSCSI initiator。硬件 iSCSI initiator 会将 iSCSI 和 TCP/IP 处理工作 转移到 iSCSI HBA 中。其结果就是能够大幅度降低 CPU 的性能开销，这点堪与光纤通道 HBA 相比。硬件 initiator 还能提供软件解决方案所不具备的功能，例如支持高可用性环境的硬 件多通道功能，支持密集服务器环境中的远程引导功能。 问：由网络小组来接管存储系统会有培训等方面的问题吗？ 答：基于以太网的网络存储，也就是网络附加存储，已经在很多企业中得到了很好的实施，

“由谁来管理存储系统”根本不是问题。这里真正的问题是与懂光纤通道的操作人员相比， 懂 TCP/IP 网络的合格操作人员要多得多。也就是说，我们很容易能够找到和培训这些操作 人员，而且留住他们的成本也较低。

问：iSCSI 与 iFCP 等 IP 存储协议有什么关系？

答：iSCSI 是一套纯 IP 存储协议。相比而言，iFCP（Internet Fibre Channel Protocol， 互联网光纤通道协议）是一个通过网关在 TCP/IP 网络上运行光纤通道业务的 IETF 协议。 还能使用 iFCP 将 iSCSI 主机连接到现有的光纤通道 SAN，这一点在某些环境中能够作为向 纯 IP 存储过渡的相应步骤，因此它可以作为 iSCSI 的补充。

问：FCIP 如何？

答：FCIP 是通过 IP 网络（通常是广域网）发送 FCP（光纤通道协议）数据的点对点隧道协 议。它的主要目的是连接物理上分离的 FCP 环境（例如，位于分离数据中心中的两个 FC SAN 孤岛）。它也是对 iSCSI 的补充。

问：光纤通道已经能够在交换网络结构中发送 SCSI 命令，为什么还要用 iSCSI 呢？ 答：在大型数据中心环境中，光纤通道 SAN 解决方案已经成为高性能的任务关键性应用程序 事实上的存储网络技术标准。不过，在部署和支持这两方面，光纤通道都堪称是非常复杂和 成本高昂的一种环境，很难部署在分布式的部门级和工作组环境中。而通过以太网连接的 IP SAN 能够为这些环境提供更为简单、价格也更为合理的解决方案。

问：iSCSI 与光纤通道有何区别？ 答：光纤通道是一种高速串行互联，而不是网络。光纤通道技术曾经非常昂贵，而且它缺乏 实现路由选择和节点容错的内置功能，只能提供最原始的地址管理和安全功能。在光纤通道 SAN 中，所有这些功能都必须由操作员进行配置，由主机进行管理。这样，就会带来一个既 昂贵又复杂的环境。而 iSCSI 是一套纯 IP SCSI 协议，它能够充分利用标准网络的功能以及 以太网的普及性。这样，就会得到更为简单、成本更低的 SAN。

问：iSCSI 是要取代光纤通道吗？ 答：光纤通道是一套经过实践验证的、已经确立并且得到广泛部署的技术，它尤其适合高性 能的任务关键性数据中心环境。业内许多人都认为光纤通道和 iSCSI 是会在可预见的未来并 存和相互补充的两项技术。iSCSI 为分布式的部门级和工作组级数据中心的直连式存储系统 提供了很有吸引力的替代方案，可望加速实现向网络存储的转换。另外，它还可以对企业数 据中心的运作起到补充和扩展作用。 问：我何时应该部署 iSCSI，何时应该部署光纤通道 SAN？ 答：对于包含多个中型服务器的环境来说，IP SAN(iSCSI)解决方案通常能够提供最适当的 性价比。iSCSI 能够提供与 FCP 相当的性能，大多数最终用户可能不会发现其中的区别。对

于由高端服务器组成需要进行大量 I/O 操作的环境或 CPU 资源有限的环境，光纤通道 SAN 解决方案可能是更好的选择。成本、管理开销以及应用程序工作负荷都是必须考虑的因素。 问：2Gb 光纤通道是否比千兆以太网快得多？

答：实际上不是。很少有应用程序能够用到 1Gb 光纤通道连接的全部带宽，更别提 2Gb 连接 了。

问：iSCSI 是否加大了 CPU 的性能开销？

答：CPU 性能开销取决于 iSCSI initiator 的实施方式。纯软件 iSCSI initiator 使用标准 以太网卡，并依靠主机 CPU 来处理 iSCSI 命令和 TCP/IP 栈。1Gb 的以太网最多可能会消耗

500MHz 的 CPU。很明显，这一问题通过硬件 iSCSI initiator 会将 iSCSI 和 TCP/IP 处理工 作转移到 iSCSI HBA 中。其结果就是能够大幅度降低 CPU 的性能开销，这点堪与光纤通道 HBA 相比。

问：在安全性方面 iSCSI 能否与光纤通道相比？ 答：光纤通道环境给人感觉具有比较高的安全性，原因在于它们是受控的专有网络。iSCSI 给人感觉安全性较低，原因在于它是基于以太网的网络。不过从本质上来说，光纤通道是没 有安全功能的，而 iSCSI 提供了非常丰富的安全功能。iSCSI 规范提供了 initiator 与目标 端两方面的身份验证（使用 CHAP、SRP、Kerberos 和 SPKM），能够阻止未经授权的访问，只 允许那些可信赖的节点进行访问。另外，IPsec Digests（IPsec 摘要）和 Anti-Reply（防 回复）功能阻止了插入、修改和删除操作，而 IPsec Encryption（IPsec 加密）功能防止被 偷听，确保了私密性。

问：目前我可以部署安全的 iSCSI 解决方案吗？

答：可以。目前通过专有 IP 存储网络实施的 iSCSI 提供了与光纤通道类似的安全功能。为 了在范围更广的局域网拓扑中部署 iSCSI，已经定义了多层可选的安全增强功能。与这些安 全增强功能层相关的标准可望在未来几个月内定稿。随着时间的推移，将为 iSCSI 提供非常 全面的安全功能，以满足包括广域网在内的大范围环境的要求。 问：供应商会采取哪些措施确保 iSCSI 解决方案的互操作性？ 答： 操作系 统和应 用程 序供应 商一 般都提 供合 格硬件 解决 方案的 目录 。例如， Microsoft®Windows®Catalog 就列出了合格的 iSCSI 硬件设备。在 2003 年下半年，Microsoft 宣布，包括 Network Appliance 在内的 14 家领先存储供应商的 iSCSI 硬件产品已经具备了 参与 iSCSI Designed for Windows 徽标计划的资格。包括邦诺公司在内的众多 iSCSI 硬件 和软件供应商都采用了由 Finisar 分公司 Medusa Labs 这一富有经验的第三方测试机构推出 的 iSCSI 兼容性测试计划。由此确保了 iSCSI 目标端和 initiator 供应商的产品能够成为受 合作伙伴支持的合格解决方案。

问：iSCSI 的互操作性与早期光纤通道的互操作性相比，哪个更高？ 答：光纤通道的互操作性问题基本上归属于两个方面：第一，服务器供应商是采用不同的方 式实施 SCSI3 命令集。不过，在过去的六年中，供应商已经解决了与这一方面相关的一些问 题。第二个方面是光纤通道缺乏内置的网络功能，这明显提高了复杂性。iSCSI 环境是建立 在得到广泛认知的标准以太网网络功能上，从本质上讲就要比光纤通道环境简单。因为这些 原因，互操作性问题应该不会像在光纤通道中那样成为一个主要问题。

iSCSI 技术是一种基于 IP Storage 理论的新型存储技术，该技术是将存储行业广泛应 用的 SCSI（small computer system interface）接口技术与 IP 网络技术结合，使得我们 可以在 IP 网络上构建 SAN 存储区域网。推动 iSCSI 协议发展最主要的动力是–希望能够在 IP 网络上使用业已部署的大量 DAS 存储设备。通过 iSCSI 协议，这些存储设备可以为更多 的用户和应用使用，同时可以让这些简单 DAS 存储设备支持只有高级存储设备才能够支持的 备份、镜像、灾难恢复等高级存储应用。其次是为了让尽可能多的用户和应用利用已有的 FC 光纤通道 SAN 存储区域网，iSCSI 协议还可以通过基于 IP 的网络传输对光纤通道 SAN 存 储区域网进行访问。

经过 SNIA 多家厂商的测试和实践，证明 iSCSI 可以非常迅速地建立起 IP SAN 存储区域 网环境，用户可以即刻享受到即插即用式地 iSCSI 的好处。目前，iSCSI 的标准已经在 IETF 通过，Microsoft 也已发布支持 iSCSI 的 Initiator 的驱动程序。同时在 Windows Storage Server 2003 中内置支持 iSCSI，包括 initiator 和 target。

在可预期的未来，iSCSI 必然成为光纤通道 FC 的主要竞争对手，成为 SAN 存储区域网的 主要应用技术。同时由于 iSCSI 内置的支持路由，可以让 iSCSI initiator 访问 Internet 上任何一台存储设备，使得存储共享的概念无限扩大，存储连接的距离无限扩展。这一技术 对于一边要面对信息高速增长，另一边却身处”数据孤岛”的众多企业无疑具有巨大的吸引 力。

1、iSCSI 标准

2003 年 2 月 11 日，IETF（Internet Engineering Task Force，互联网工程任务组） 通过了 iSCSI（Internet SCSI）标准，这项由 IBM、思科共同发起的技术标准，经过三年

20 个版本的不断完善，终于得到 IETF 的认可。iSCSI 技术的重要贡献在于其对传统技术的 继承和发展：其一，与 SCSI（Small Computer System Interface，小型计算机系统接口） 技术的接轨；其二，沿用 TCP/IP 协议。这两点为 iSCSI 的无限扩展提供了坚实的基础。

1.1 iSCSI 的概念

iSCSI（互联网小型计算机系统接口）是一种在 Internet 协议网络上，特别是以太网上 进行数据块传输的标准。它是由 Cisco 和 IBM 两家发起的，并且得到了 IP 存储技术拥护者 的大力支持。是一个供硬件设备使用的可以在 IP 协议上层运行的 SCSI 指令集。简单地说， iSCSI 可以实现在 IP 网络上运行 SCSI 协议，使其能够在诸如高速千兆以太网上进行路由选 择。

SCSI（小型计算机系统接口）是以一种广泛使用的连接硬盘和计算机的技术标准，iSCSI 这种技术则是将该技术应用到网络连接上，对于企业的存储网络而言，iSCSI 技术的性价比 要高于基于光纤的产品。iSCSI 是基于 IP 协议的技术标准，是允许网络在 TCP/IP 协议上传 输 SCSI 命令的新协议，实现了 SCSI 和 TCP/IP 协议的连接，该技术允许用户通过 TCP/IP 网络来构建存储区域网（SAN）。而在 iSCSI 技术出现之前，构建存储区域网的唯一技术是 利用光纤通道（Fiber Channel），但是其架构需要高昂的建设成本，远非一般企业所能够

承受。iSCSI 技术的出现对于以局域网为网络环境的用户来说，它只需要不多的投资，就可 以方便、快捷地对信息和数据进行交互式传输和管理。相对于以往的网络接入存储，iSCSI 的出现解决了开放性、容量、传输速度、兼容性、安全性等问题，其优越的性能使其自发布 之日始便受到市场的关注与青睐。

1.2 iSCSI 的工作流程

iSCSI 协议就是一个在网络上封包和解包的过程，在网络的一端，数据包被封装成包括 TCP/IP 头、iSCSI 识别包和 SCSI 数据三部分内容，传输到网络另一端时，这三部分内容分 别被顺序地解开。iSCSI 的工作流程如图一所示：

iSCSI 系统由一块 SCSI 卡发出一个 SCSI 命令，命令被封装到第四层的信息包中并发送。 接收方从信息包中抽取 SCSI 命令并执行，然后把返回的 SCSI 命令和数据封装到 IP 信息包 中，并将它们发回到发送方。系统抽取数据或命令，并把它们传回 SCSI 子系统。所有这一 切的完成都无需用户干预，而且对终端用户是完全透明的。

为了保证安全，iSCSI 有自己的上网登录操作顺序。在它们首次运行的时候，启动器

（initiator）设备将登录到目标设备中。任何一个接收到没有执行登录过程的启动器的 iSCSI PDU（iSCSI Protocol Data Units，iSCSI 协议数据单元）目标设备都将生成一个协 议错误，而且目标设备也会关闭连接。在关闭会话之前，目标设备可能发送回一个被驳回的 iSCSI PDU。这种安全性是基本的，因为它只保护了通信的启动，却没有在每个信息包的基 础上提供安全性。还有其他的安全方法，包括利用 IPsec。在控制和数据两种信息包中，IPsec 可以提供整体性，实施再次（replay）保护和确认证明，它也为各个信息包提供加密。

2、iSCSI 的发展阶段

IP 存储解决方案及其技术的应用经历了三个发展阶段：

• 阶段一：SAN 扩展器
• 阶段二：有限区域 IP 存储
• 阶段三：IP SAN

阶段一：SAN 扩展器。随着 SAN 技术在全球的开发，越来越需要长距离的 SAN 连接技术。 IP 存储技术定位于将多种设备紧密连接，就像一个大企业多个站点间的数据共享，以及远 程数据镜像。这种技术是利用 FC 到 IP 的桥接或路由器，将两个远程的 SAN 通过 IP 架构互 联。虽然 iSCSI 设备可以实现以上技术，但 FCIP 和 iFCP 对于此类应用更为适合，因为它们 采用的是光纤通道协议(FCP)。

阶段二：有限区域 IP 存储。 在第二个阶段的 IP 存储的开发主要集中在小型的低成本 的产品，目前还没有真正意义的全球 SAN 环境，随之而来的技术是有限区域的、基于 IP 的 SAN 连接技术。类似于可安装到 NAS 设备中的 iSCSI 卡，这种技术和需求可使 TOE 设备弥补 NAS 技术的解决方案。在这种配置中，一个单一的多功能设备可提供对块级或文件级数据的 访问，这种结合了块级和文件级 NAS 设备可使以前的直接连接的存储环境轻松地传输到网络 存储环境。

第二个阶段也会引入一些工作组级的、基于 IP 的 SAN 小型商业系统的解决方案，使得 那些小型企业也可以享受到网络存储的益处。ISCSI 协议是最适合这种环境的应用的，但基 于 iSCSI 的 SAN 技术是不会取代 FC SAN 的，同时它可以使用户即享受网络存储带来的益处, 也不会开销太大。

阶段三：IP SAN。完全的端到端的、基于 IP 的全球 SAN 存储将会随之出现，而 iSCSI 协议则是最为适合的。基于 iSCSI 的 IP SAN 将由 iSCSI HBA 构成，它可释放出大量的 TCP 负载，保证本地 iSCSI 存储设备在 IP 架构上可自由通讯。一些 IP 的先进功能，如带宽集合、 质量服务保证等都可能应用到 SAN 环境中。

3、iSCSI 的安全性

正是由于其采用广泛应用的 IP 网络和 Internet 网络为数据传输的通道，与传统的采用 光纤通道 FC SAN 相比，iSCSI 的安全性就凸现出来。因为传统的 FC SAN 在实际应用中，底 层采用光纤通道 FC 的传输技术，上层采用 Fibre Channel Protocol（FCP）传输 SCSI 协议， 与广泛应用的 IP 网络不兼容，往往会形成一个与通信网络隔离开来的独立存储网络，其安 全性容易得到保障。而 iSCSI 采用 IP 网络技术作为底层传输技术，完全可以在现有的通信 网络中，甚至 Internet 上传输 SCSI 协议，这使得 iSCSI 不得不面临 IP 网络常见的安全性 问题。

要了解 iSCSI 的安全问题，首先让我们看看 iSCSI 是如何工作的：

iSCSI 是如何工作的呢？如前所述，iSCSI 定义了 TCP/IP 网络上传输块存储应用的规则 和过程。在物理层，iSCSI 支持以太网卡（100、1000M），这样支持 iSCSI 的系统可以通过 以太网卡直接接入以太网交换机或路由器。iSCSI 协议介于物理和数据链路层与操作系统的 标准 SCSI 命令集之间，将 SCSI-3 命令封装在 TCP/IP 包内，由 IP 网络负责其传输的可靠性。

SCSI 命令和数据封装在 TCP 包中，穿过毫无防范的 Internet 网络，必然会引起安全问 题。总之 iSCSI 面临的安全风险主要有：

主动型的攻击，如：身份伪装、伪造信息插入、数据删除/修改等

被动型的攻击，如：窃听、数据分析等 针对各种各样的安全风险，iSCSI 主要采用两种安全措施： 认证：在 target 和 initiator 之间做身份认证。 加密：对传输的 TCP/IP 数据包进行保护。

认证主要是在 iSCSI 连接层，通过交换 iSCSI 的登录 PDU（Protocol data unit），实 现带内的身份认证。iSCSI 通过这种安全措施提供了端到端的信任关系。iSCSI 支持多种认 证，但要强调的是采用哪种认证都要求不得明文传输密码字符。此外对于不同的算法，要求 采用抗攻击能力较强的选项。比如在采用 CHAP 认证时，为了防止离线的字典攻击，要求随 机 CHAP 密文 secret 大于 128 位。

加密主要是通过 IPSEC 协议实现，在 IP 层通过对 IP 包的加密，实现数据的完整性保护、 数据加密和身份认证。iSCSI 通过这种安全措施提供了数据通信的安全通道。

实现 IPSEC 加密通信有两种方式：

一是通过主机间建立 IPSEC 加密通道。主机间建立 IPSEC 通信，过去常用软件的实现方 式，这对于传输少量的数据可以接受，对于 iSCSI 这种大量存储数据的传输，则显得力不从 心。所以，建议采用支持 IPSEC 协议的 iSCSI HBA 卡实现，提高加密解密的效率。

二是通过防火墙、VPN 网关或带 VPN 功能的路由器，在需要实现 iSCSI 通信的两个子网 间建立一条加密隧道，将两个子网与承载 iSCSI 通信的 IP 网络从逻辑上隔离开来。随着 iSCSI HBA 的应用越来越广泛，利用 iSCSI HBA 可以获得更好的网络扩展性。

当然，还可以采用其他技术来加强 iSCSI 的安全性，如 iSCSI 的分区、LUN masking 等 等。

4、关键性的技术

iSCSI 存储是一个新兴的技术，其之所以广泛应用到存储环境中有几个关键技术点。

4.1 TCP 负载空闲

由于 IP 无法确保提交到对方，而将 TCP 作为底层传输的三种 IP 存储协议则需要在拥挤 的、远距离的 IP 空间中确保传输的可靠性。由于 IP 包可以打乱次序传送，因此，TCP 层需 要重新修正次序，以提交到上一层的协议中（如 SCSI）。TCP 完成这一任务的典型操作是使 用重调顺序缓冲器，将数据包的顺序完全整理为正确方式，完成这一操作后，TCP 层将数据 发送到下一层。这些处理都需要消耗主机的 CPU 资源，同时增加事务处理的延时，事实上， 与典型的 FC 或 SCSI 块传输相比，需要更多的 I/O 处理，一种称之为 TCP 负载空闲引擎 TCP Off-loading Engine (TOE)的设备可将主机的处理器负载降低，TOE 解决了这一关键问题。

4.2 性能

工作组和一些分析人士把相当多的注意力放在了确保 IP 存储协议可以非常快的运行上， 因为目前硬盘驱动器的运行速度已经很快，所以 IP 存储产品将以高速运行。然而，也有一 些分析人员认为，IP 存储令人心往的最大优势是 IP 的灵活性，而高速性能则排在第二位。 如果对性能较为看重的话，不推荐使用标准的以太网卡。增强的 iHBA 已达到光纤通道的技 术水平。

4.3 安全性

当存储设备通过 IP 架构进行远距离连接时，安全性变得愈加重要。生产厂家必须明确 产品的安全级别，并确保其安全性。当标准得到批准时，明确要求 IP 存储协议的所有实施 都必须包括可靠的安全性(实现加密数据完整性和保密性)。如果用户不愿使用这些安全措施 的话，他们不必使用，但是产品中必须具有启动安全技术的功能，只有这样厂商才能说他们 的产品符合标准的要求。相当多的技术人员认为这些协议的主要用武之地是在数据中心或其 他一些受防火墙保护的领域。但是，一旦人们将应用放在 IP 上，这个应用是没有什么办法 确定自己的使用环境的，例如在防火墙后使用。这是 ISCSI 的一个重要特性。

4.4 互联性

基于 IP 的协议标准已被 IETF 公布，为了保证这些产品能够相互配合得更好，必须保证 厂家之间采用相同的协议，使各厂家产品具有良好的互联性。

第五章 iSCSI 与各类型存储方案的综合评比

与 Fiber Channel（以下简称 FC）一样，iSCSI 也属于 SAN 大家庭中的一员，它的问世 显然是冲着 FC SAN 的缺点而来的。长久以来，FC 几乎成了 SAN 的代名词，但由于相关软硬 件的建置成本偏高、管理技术及门坎也较高，所以几乎只有大型企业才有能力做这方面的建 置与规划，一些企业限于自身规模，也只有望洋兴叹的份。无传输距离限制、建置管理成本 低是 iSCSI 的最大特点。

iSCSI 最重要的就是能在成本上提出大幅改善的方案，也因此打破了 SAN 为大型企业禁 脔的藩篱，让中小企业也能享受到 SAN 所带来的好处及便利。到底是哪些优良特质，让 iSCSI 成为目前存储业界最热门的话题呢？以下即为读者做一番简单的归纳及分析：

建置成本低廉：不论是适配卡、交换机或缆线的建置，iSCSI 都比 FC 便宜许多。 管理门坎及维护成本更低：一般来说，FC SAN 多半需要特定的工具软件来操作管理， 所以需要对人员进行一定时间的培训，而且费用不低。但由于 iSCSI 是通过 IP 网络来传输

数据及分配存储资源，所以只要使用网络现有的管理功能即可，比较起来，可以省下大笔管 理费用及培训成本。

节省存储资源、做好集中管理：由于 iSCSI 与 FC 同样支持区块协议（Block Protocol） 的数据存取模式，所以比采用文件协议（File Protocol）的 NAS，更能通过集中管理的方 式，有效的避免存储资源的浪费，进而节省不必要的支出。

没有距离的限制：由于 iSCSI 是通过 IP 网络来传输数据，所以理论上，传输距离可以 达到无限远，这对于异地数据的传输及备援等应用相当有帮助。

传输速度快：千兆网 iSCSI 的速度可达 1Gb，效能上已超越 NAS。如果用 10Gb 以太网络 的时候，iSCSI 就可以达到 10Gb 的高速，比 FC SAN 的下一代版本－4Gb 还要快。

人才多：随着因特网的日益兴盛，造就了取之不尽、用之不竭的 TCP/IP 网络人才，比 起门坎较高的 FC SAN 来说，这对于专走 IP 网络 Base 的 iSCSI 而言，可说是一大优势。

iSCSI、SAN 及 NAS 的比较

一般来说，企业在面临 iSCSI SAN 存储解决方案时，多半喜欢拿 FC SAN 及 NAS 与其做 一番比较。在此先就 FC 与 iSCSI 做一比较，基本两者同属于走 Block 协议的 SAN 架构，只 不过前者通过光纤，后者由 IP 传输数据罢了，而两者在管理及应用上也大同小异。

至于 SAN 与 NAS 的差异，SAN 与 NAS 是完全不同架构的存储方案，前者支持 Block 协议， 后者则支持 File 协议，所以拿两个完全不同协议及架构的标准相比，是不太适宜的。如果 硬要从中做个区别的话，那就是 SAN 的精髓在于分享存储配备（Sharing Storages）；NAS 则在于分享数据（Sharing Data）。

为了让读者进一步了解 iSCSI、FC 及 NAS 的差异，在此还是做一番归纳整理，以供读者 参考：

接口技术：iSCSI 和 NAS 一样通过 IP 网络来传输数据，FC 则不一样，数据是通过光纤 通道（Fibre Channel）来传递。

数据传输方式：同为 SAN 的 iSCSI 及 FC 都采用 Block 协议方式，而 NAS 则采用 File

协议。

传输速度：就目前的传输速度而言是 iSCSI（10Gb）最快、FC（2Gb）次之，NAS 居末。 基本上，FC 及 iSCSI 的 Block Protocol 会比 NAS 的 File Protocol 快，这是因为在操作系 统的管理上，前者是一个“本地磁盘”，后者则会以“网络磁盘”的名义显示。所以在大量 数据的传输上，iSCSI 绝对会比 NAS 快得多。

资源共享：iSCSI 和 NAS 共享的是存储资源，NAS 共享的是数据。

管理门坎：iSCSI 和 NAS 都采用 IP 网络的现有成熟架构，所以可延用既有成熟的网络 管理机制，不论是建设、管理或维护上，都非常方便及容易。而 FC 则完全独立于一般网络 系统架构，所以需由 FC 厂商提供专属管理工具软件。

管理架构：通过网络交换机，iSCSI 可有效集中控管多台主机对存储资源的存取及利用， 善用资源的调配及分享，同时速度上也快于网络磁盘的 NAS。

成本：比起 FC 而言，以太网络是个十分成熟的架构，所以同样采用 IP 网络架构的 iSCSI 及 NAS，建设成本低廉、管理容易而且维护方便。至于与 FC 在建设成本上的进一步比较， 可见表 1。

传输距离：原则上，三者都支持长距离的数据传输。FC 的理论值可达 100 公里。通过 IP 网络的 NAS 及 iSCSI，理论上都没有距离上的限制，但 NAS 适合长距小档案的传输，iSCSI 则可以进行长距大量资料的传递。

系统支持：比较起来，iSCSI 由于技术新较少。FC 主要是由适配卡供货商提供驱动程序 和简单的管理程序。

第四章 iSCSI 技术及其安全性

iSCSI 技术是一种基于 IP Storage 理论的新型存储技术，该技术是将存储行业广泛应 用的 SCSI（small computer system interface）接口技术与 IP 网络技术结合，使得我们 可以在 IP 网络上构建 SAN 存储区域网。推动 iSCSI 协议发展最主要的动力是–希望能够在 IP 网络上使用业已部署的大量 DAS 存储设备。通过 iSCSI 协议，这些存储设备可以为更多 的用户和应用使用，同时可以让这些简单 DAS 存储设备支持只有高级存储设备才能够支持的 备份、镜像、灾难恢复等高级存储应用。其次是为了让尽可能多的用户和应用利用已有的 FC 光纤通道 SAN 存储区域网，iSCSI 协议还可以通过基于 IP 的网络传输对光纤通道 SAN 存 储区域网进行访问。

经过 SNIA 多家厂商的测试和实践，证明 iSCSI 可以非常迅速地建立起 IP SAN 存储区域 网环境，用户可以即刻享受到即插即用式地 iSCSI 的好处。目前，iSCSI 的标准已经在 IETF 通过，Microsoft 也已发布支持 iSCSI 的 Initiator 的驱动程序。同时在 Windows Storage Server 2003 中内置支持 iSCSI，包括 initiator 和 target。

在可预期的未来，iSCSI 必然成为光纤通道 FC 的主要竞争对手，成为 SAN 存储区域网的 主要应用技术。同时由于 iSCSI 内置的支持路由，可以让 iSCSI initiator 访问 Internet 上任何一台存储设备，使得存储共享的概念无限扩大，存储连接的距离无限扩展。这一技术 对于一边要面对信息高速增长，另一边却身处”数据孤岛”的众多企业无疑具有巨大的吸引 力。

1、iSCSI 标准

2003 年 2 月 11 日，IETF（Internet Engineering Task Force，互联网工程任务组） 通过了 iSCSI（Internet SCSI）标准，这项由 IBM、思科共同发起的技术标准，经过三年

20 个版本的不断完善，终于得到 IETF 的认可。iSCSI 技术的重要贡献在于其对传统技术的 继承和发展：其一，与 SCSI（Small Computer System Interface，小型计算机系统接口） 技术的接轨；其二，沿用 TCP/IP 协议。这两点为 iSCSI 的无限扩展提供了坚实的基础。

1.1 iSCSI 的概念

iSCSI（互联网小型计算机系统接口）是一种在 Internet 协议网络上，特别是以太网上 进行数据块传输的标准。它是由 Cisco 和 IBM 两家发起的，并且得到了 IP 存储技术拥护者 的大力支持。是一个供硬件设备使用的可以在 IP 协议上层运行的 SCSI 指令集。简单地说， iSCSI 可以实现在 IP 网络上运行 SCSI 协议，使其能够在诸如高速千兆以太网上进行路由选 择。

SCSI（小型计算机系统接口）是以一种广泛使用的连接硬盘和计算机的技术标准，iSCSI 这种技术则是将该技术应用到网络连接上，对于企业的存储网络而言，iSCSI 技术的性价比 要高于基于光纤的产品。iSCSI 是基于 IP 协议的技术标准，是允许网络在 TCP/IP 协议上传 输 SCSI 命令的新协议，实现了 SCSI 和 TCP/IP 协议的连接，该技术允许用户通过 TCP/IP 网络来构建存储区域网（SAN）。而在 iSCSI 技术出现之前，构建存储区域网的唯一技术是 利用光纤通道（Fiber Channel），但是其架构需要高昂的建设成本，远非一般企业所能够

承受。iSCSI 技术的出现对于以局域网为网络环境的用户来说，它只需要不多的投资，就可 以方便、快捷地对信息和数据进行交互式传输和管理。相对于以往的网络接入存储，iSCSI 的出现解决了开放性、容量、传输速度、兼容性、安全性等问题，其优越的性能使其自发布 之日始便受到市场的关注与青睐。

1.2 iSCSI 的工作流程

iSCSI 协议就是一个在网络上封包和解包的过程，在网络的一端，数据包被封装成包括 TCP/IP 头、iSCSI 识别包和 SCSI 数据三部分内容，传输到网络另一端时，这三部分内容分 别被顺序地解开。iSCSI 的工作流程如图一所示：

iSCSI 系统由一块 SCSI 卡发出一个 SCSI 命令，命令被封装到第四层的信息包中并发送。 接收方从信息包中抽取 SCSI 命令并执行，然后把返回的 SCSI 命令和数据封装到 IP 信息包 中，并将它们发回到发送方。系统抽取数据或命令，并把它们传回 SCSI 子系统。所有这一 切的完成都无需用户干预，而且对终端用户是完全透明的。

为了保证安全，iSCSI 有自己的上网登录操作顺序。在它们首次运行的时候，启动器

（initiator）设备将登录到目标设备中。任何一个接收到没有执行登录过程的启动器的 iSCSI PDU（iSCSI Protocol Data Units，iSCSI 协议数据单元）目标设备都将生成一个协 议错误，而且目标设备也会关闭连接。在关闭会话之前，目标设备可能发送回一个被驳回的 iSCSI PDU。这种安全性是基本的，因为它只保护了通信的启动，却没有在每个信息包的基 础上提供安全性。还有其他的安全方法，包括利用 IPsec。在控制和数据两种信息包中，IPsec 可以提供整体性，实施再次（replay）保护和确认证明，它也为各个信息包提供加密。

2、iSCSI 的发展阶段

IP 存储解决方案及其技术的应用经历了三个发展阶段：

· 阶段一：SAN 扩展器

· 阶段二：有限区域 IP 存储

· 阶段三：IP SAN

阶段一：SAN 扩展器。随着 SAN 技术在全球的开发，越来越需要长距离的 SAN 连接技术。 IP 存储技术定位于将多种设备紧密连接，就像一个大企业多个站点间的数据共享，以及远 程数据镜像。这种技术是利用 FC 到 IP 的桥接或路由器，将两个远程的 SAN 通过 IP 架构互 联。虽然 iSCSI 设备可以实现以上技术，但 FCIP 和 iFCP 对于此类应用更为适合，因为它们 采用的是光纤通道协议(FCP)。

阶段二：有限区域 IP 存储。 在第二个阶段的 IP 存储的开发主要集中在小型的低成本 的产品，目前还没有真正意义的全球 SAN 环境，随之而来的技术是有限区域的、基于 IP 的 SAN 连接技术。类似于可安装到 NAS 设备中的 iSCSI 卡，这种技术和需求可使 TOE 设备弥补 NAS 技术的解决方案。在这种配置中，一个单一的多功能设备可提供对块级或文件级数据的 访问，这种结合了块级和文件级 NAS 设备可使以前的直接连接的存储环境轻松地传输到网络 存储环境。

第二个阶段也会引入一些工作组级的、基于 IP 的 SAN 小型商业系统的解决方案，使得 那些小型企业也可以享受到网络存储的益处。ISCSI 协议是最适合这种环境的应用的，但基 于 iSCSI 的 SAN 技术是不会取代 FC SAN 的，同时它可以使用户即享受网络存储带来的益处, 也不会开销太大。

阶段三：IP SAN。完全的端到端的、基于 IP 的全球 SAN 存储将会随之出现，而 iSCSI 协议则是最为适合的。基于 iSCSI 的 IP SAN 将由 iSCSI HBA 构成，它可释放出大量的 TCP 负载，保证本地 iSCSI 存储设备在 IP 架构上可自由通讯。一些 IP 的先进功能，如带宽集合、 质量服务保证等都可能应用到 SAN 环境中。

3、iSCSI 的安全性

正是由于其采用广泛应用的 IP 网络和 Internet 网络为数据传输的通道，与传统的采用 光纤通道 FC SAN 相比，iSCSI 的安全性就凸现出来。因为传统的 FC SAN 在实际应用中，底 层采用光纤通道 FC 的传输技术，上层采用 Fibre Channel Protocol（FCP）传输 SCSI 协议， 与广泛应用的 IP 网络不兼容，往往会形成一个与通信网络隔离开来的独立存储网络，其安 全性容易得到保障。而 iSCSI 采用 IP 网络技术作为底层传输技术，完全可以在现有的通信 网络中，甚至 Internet 上传输 SCSI 协议，这使得 iSCSI 不得不面临 IP 网络常见的安全性 问题。

要了解 iSCSI 的安全问题，首先让我们看看 iSCSI 是如何工作的：

iSCSI 是如何工作的呢？如前所述，iSCSI 定义了 TCP/IP 网络上传输块存储应用的规则 和过程。在物理层，iSCSI 支持以太网卡（100、1000M），这样支持 iSCSI 的系统可以通过 以太网卡直接接入以太网交换机或路由器。iSCSI 协议介于物理和数据链路层与操作系统的 标准 SCSI 命令集之间，将 SCSI-3 命令封装在 TCP/IP 包内，由 IP 网络负责其传输的可靠性。

SCSI 命令和数据封装在 TCP 包中，穿过毫无防范的 Internet 网络，必然会引起安全问 题。总之 iSCSI 面临的安全风险主要有：

主动型的攻击，如：身份伪装、伪造信息插入、数据删除/修改等

被动型的攻击，如：窃听、数据分析等 针对各种各样的安全风险，iSCSI 主要采用两种安全措施： 认证：在 target 和 initiator 之间做身份认证。 加密：对传输的 TCP/IP 数据包进行保护。

认证主要是在 iSCSI 连接层，通过交换 iSCSI 的登录 PDU（Protocol data unit），实 现带内的身份认证。iSCSI 通过这种安全措施提供了端到端的信任关系。iSCSI 支持多种认 证，但要强调的是采用哪种认证都要求不得明文传输密码字符。此外对于不同的算法，要求 采用抗攻击能力较强的选项。比如在采用 CHAP 认证时，为了防止离线的字典攻击，要求随 机 CHAP 密文 secret 大于 128 位。

加密主要是通过 IPSEC 协议实现，在 IP 层通过对 IP 包的加密，实现数据的完整性保护、 数据加密和身份认证。iSCSI 通过这种安全措施提供了数据通信的安全通道。

实现 IPSEC 加密通信有两种方式：

一是通过主机间建立 IPSEC 加密通道。主机间建立 IPSEC 通信，过去常用软件的实现方 式，这对于传输少量的数据可以接受，对于 iSCSI 这种大量存储数据的传输，则显得力不从 心。所以，建议采用支持 IPSEC 协议的 iSCSI HBA 卡实现，提高加密解密的效率。

二是通过防火墙、VPN 网关或带 VPN 功能的路由器，在需要实现 iSCSI 通信的两个子网 间建立一条加密隧道，将两个子网与承载 iSCSI 通信的 IP 网络从逻辑上隔离开来。随着 iSCSI HBA 的应用越来越广泛，利用 iSCSI HBA 可以获得更好的网络扩展性。

当然，还可以采用其他技术来加强 iSCSI 的安全性，如 iSCSI 的分区、LUN masking 等 等。

4、关键性的技术

iSCSI 存储是一个新兴的技术，其之所以广泛应用到存储环境中有几个关键技术点。

4.1 TCP 负载空闲

由于 IP 无法确保提交到对方，而将 TCP 作为底层传输的三种 IP 存储协议则需要在拥挤 的、远距离的 IP 空间中确保传输的可靠性。由于 IP 包可以打乱次序传送，因此，TCP 层需 要重新修正次序，以提交到上一层的协议中（如 SCSI）。TCP 完成这一任务的典型操作是使 用重调顺序缓冲器，将数据包的顺序完全整理为正确方式，完成这一操作后，TCP 层将数据 发送到下一层。这些处理都需要消耗主机的 CPU 资源，同时增加事务处理的延时，事实上， 与典型的 FC 或 SCSI 块传输相比，需要更多的 I/O 处理，一种称之为 TCP 负载空闲引擎 TCP Off-loading Engine (TOE)的设备可将主机的处理器负载降低，TOE 解决了这一关键问题。

4.2 性能

工作组和一些分析人士把相当多的注意力放在了确保 IP 存储协议可以非常快的运行上， 因为目前硬盘驱动器的运行速度已经很快，所以 IP 存储产品将以高速运行。然而，也有一 些分析人员认为，IP 存储令人心往的最大优势是 IP 的灵活性，而高速性能则排在第二位。 如果对性能较为看重的话，不推荐使用标准的以太网卡。增强的 iHBA 已达到光纤通道的技 术水平。

4.3 安全性

当存储设备通过 IP 架构进行远距离连接时，安全性变得愈加重要。生产厂家必须明确 产品的安全级别，并确保其安全性。当标准得到批准时，明确要求 IP 存储协议的所有实施 都必须包括可靠的安全性(实现加密数据完整性和保密性)。如果用户不愿使用这些安全措施 的话，他们不必使用，但是产品中必须具有启动安全技术的功能，只有这样厂商才能说他们 的产品符合标准的要求。相当多的技术人员认为这些协议的主要用武之地是在数据中心或其 他一些受防火墙保护的领域。但是，一旦人们将应用放在 IP 上，这个应用是没有什么办法 确定自己的使用环境的，例如在防火墙后使用。这是 ISCSI 的一个重要特性。

4.4 互联性

基于 IP 的协议标准已被 IETF 公布，为了保证这些产品能够相互配合得更好，必须保证 厂家之间采用相同的协议，使各厂家产品具有良好的互联性。

第五章 iSCSI 与各类型存储方案的综合评比

与 Fiber Channel（以下简称 FC）一样，iSCSI 也属于 SAN 大家庭中的一员，它的问世 显然是冲着 FC SAN 的缺点而来的。长久以来，FC 几乎成了 SAN 的代名词，但由于相关软硬 件的建置成本偏高、管理技术及门坎也较高，所以几乎只有大型企业才有能力做这方面的建 置与规划，一些企业限于自身规模，也只有望洋兴叹的份。无传输距离限制、建置管理成本 低是 iSCSI 的最大特点。

iSCSI 最重要的就是能在成本上提出大幅改善的方案，也因此打破了 SAN 为大型企业禁 脔的藩篱，让中小企业也能享受到 SAN 所带来的好处及便利。到底是哪些优良特质，让 iSCSI 成为目前存储业界最热门的话题呢？以下即为读者做一番简单的归纳及分析：

建置成本低廉：不论是适配卡、交换机或缆线的建置，iSCSI 都比 FC 便宜许多。 管理门坎及维护成本更低：一般来说，FC SAN 多半需要特定的工具软件来操作管理， 所以需要对人员进行一定时间的培训，而且费用不低。但由于 iSCSI 是通过 IP 网络来传输

数据及分配存储资源，所以只要使用网络现有的管理功能即可，比较起来，可以省下大笔管 理费用及培训成本。

节省存储资源、做好集中管理：由于 iSCSI 与 FC 同样支持区块协议（Block Protocol） 的数据存取模式，所以比采用文件协议（File Protocol）的 NAS，更能通过集中管理的方 式，有效的避免存储资源的浪费，进而节省不必要的支出。

没有距离的限制：由于 iSCSI 是通过 IP 网络来传输数据，所以理论上，传输距离可以 达到无限远，这对于异地数据的传输及备援等应用相当有帮助。

传输速度快：千兆网 iSCSI 的速度可达 1Gb，效能上已超越 NAS。如果用 10Gb 以太网络 的时候，iSCSI 就可以达到 10Gb 的高速，比 FC SAN 的下一代版本－4Gb 还要快。

人才多：随着因特网的日益兴盛，造就了取之不尽、用之不竭的 TCP/IP 网络人才，比 起门坎较高的 FC SAN 来说，这对于专走 IP 网络 Base 的 iSCSI 而言，可说是一大优势。

iSCSI、SAN 及 NAS 的比较

一般来说，企业在面临 iSCSI SAN 存储解决方案时，多半喜欢拿 FC SAN 及 NAS 与其做 一番比较。在此先就 FC 与 iSCSI 做一比较，基本两者同属于走 Block 协议的 SAN 架构，只 不过前者通过光纤，后者由 IP 传输数据罢了，而两者在管理及应用上也大同小异。

至于 SAN 与 NAS 的差异，SAN 与 NAS 是完全不同架构的存储方案，前者支持 Block 协议， 后者则支持 File 协议，所以拿两个完全不同协议及架构的标准相比，是不太适宜的。如果 硬要从中做个区别的话，那就是 SAN 的精髓在于分享存储配备（Sharing Storages）；NAS 则在于分享数据（Sharing Data）。

为了让读者进一步了解 iSCSI、FC 及 NAS 的差异，在此还是做一番归纳整理，以供读者 参考：

接口技术：iSCSI 和 NAS 一样通过 IP 网络来传输数据，FC 则不一样，数据是通过光纤 通道（Fibre Channel）来传递。

数据传输方式：同为 SAN 的 iSCSI 及 FC 都采用 Block 协议方式，而 NAS 则采用 File

协议。

传输速度：就目前的传输速度而言是 iSCSI（10Gb）最快、FC（2Gb）次之，NAS 居末。 基本上，FC 及 iSCSI 的 Block Protocol 会比 NAS 的 File Protocol 快，这是因为在操作系 统的管理上，前者是一个“本地磁盘”，后者则会以“网络磁盘”的名义显示。所以在大量 数据的传输上，iSCSI 绝对会比 NAS 快得多。

资源共享：iSCSI 和 NAS 共享的是存储资源，NAS 共享的是数据。

管理门坎：iSCSI 和 NAS 都采用 IP 网络的现有成熟架构，所以可延用既有成熟的网络 管理机制，不论是建设、管理或维护上，都非常方便及容易。而 FC 则完全独立于一般网络 系统架构，所以需由 FC 厂商提供专属管理工具软件。

管理架构：通过网络交换机，iSCSI 可有效集中控管多台主机对存储资源的存取及利用， 善用资源的调配及分享，同时速度上也快于网络磁盘的 NAS。

成本：比起 FC 而言，以太网络是个十分成熟的架构，所以同样采用 IP 网络架构的 iSCSI 及 NAS，建设成本低廉、管理容易而且维护方便。至于与 FC 在建设成本上的进一步比较， 可见表 1。

传输距离：原则上，三者都支持长距离的数据传输。FC 的理论值可达 100 公里。通过 IP 网络的 NAS 及 iSCSI，理论上都没有距离上的限制，但 NAS 适合长距小档案的传输，iSCSI 则可以进行长距大量资料的传递。

系统支持：比较起来，iSCSI 由于技术新较少。FC 主要是由适配卡供货商提供驱动程序 和简单的管理程序。

企业存储技术发展日新月异，早期大型服务器的 DAS 技术（Direct Attached Storage， 直接附加存储，又称直连存储），后来为了提高存储空间的利用及管理安装上的效率，因而 有了 SAN（Storage Area Network，存储局域网络）技术的诞生，SAN 可说是 DAS 网络化发 展趋势下的产物。早先的 SAN 采用的是光纤通道（FC，Fiber Channel）技术，所以在 iSCSI 出现以前，SAN 多半单指 FC 而言。一直到 iSCSI 问世，为了方便区别，业界才分别以 FC-SAN 及 iSCSI-SAN 的称呼加以分辨。

紧接着，为了能在多用户网络环境中，做好档案集中化分享管理的工作，采用全然不同 于以往的文件协议（File Protocol）数据存取方式的 NAS（Network Attached Storage；网络附 加存储）方案也应运而生。它的出现，为以太网络的成熟及重要，做了最佳脚注。

日益发展及成熟的因特网，更进一步成为了 IP 存储方案成长壮大的最佳腹地及平台， 现成的架构、协议、标准、基础设施及管理工具，莫不吸引着寻求最佳存储方案者的目光。 此背景，加上 FC-SAN 高不可攀的成本及管理门坎的障碍，另一存储成员 iSCSI（Internet SCSI）也来报到了。iSCSI 的出现，标志着低价化 SAN 方案的问世。

从 IP SAN 到 iSCSI SAN

所谓 iSCSI 亦即通过 IP 网络，将 SCSI 区块数据转换成网络封包的一种传输标准，它和 NAS 一样通过 IP 网络来传输数据，但在数据存取方式上，则采用与 NAS 不同的，而与 FC-SAN 相同的 Block Protocol 协议。iSCSI 最早是由 IBM 和 Cisco 于 2001 年制定的。 事实上，为了解决 FC-SAN 在价格及管理上的诸多门坎，各家早有不同协议的 IP SAN 的研究开发。这些 IP SAN 的架构，其实与 iSCSI 大同小异，只不过并非走标准化的协议（事 实上，在 iSCSI 标准化之前，也没有什么标准不标准的问题），而是各家自行研发的协议，

所以基本上各家 IP SAN 是不兼容的。 两大推波助澜的关键促因

在 iSCSI 尚未标准化之前，只有少数厂商投入 IP SAN 的开发，因为每一家厂商皆开发 专属封闭协议的解决方案，所以这些方案之间无法完全兼容。在当时的市场上，由于发展 iSCSI 的厂商很少，所以支持的平台及软硬件等基础设施相当贫乏，这可说是 iSCSI 发展之 初的最大阻碍及瓶颈。

但接下来的两大事件，却被视为促进 iSCSI 发展与成熟的关键因素，那就是 iSCSI 标准 的正式通过，以及微软的正式支持。

SNIA（存储网络产业协会；The Storage Networking Industry Associate）于 2003 年 2 月 正式制定通过了 iSCSI 标准。业界莫将此标准化视为 iSCSI 发展历程中的最关键因素，自此 开始，有愈来愈多的厂商开始进一步开发合乎业界标准的相关产品。

在 iSCSI 的发展过程中，除了正式标准化具有重大意义外，微软紧接着在 2003 年 5 月 宣布在 WinServer 2003 中，正式支持 iSCSI 技术，并提供 iSCSI Initiator 驱动程序的下载。 微软这项作法，带动了整个 iSCSI 业界的发展。

iSCSI 之所以被看好，首先它根植于 IP 网络上，所以可以采用现有已经非常成熟的管理 工具及基础建设，可为企业节省大笔建设、管理的成本。更重要的是，IP 的人才资源非常 充沛。此外，iSCSI 在数据传输距离上，几乎没有限制的优点，更吸引无数企业的目光。

10G 以太网会是 iSCSI 技术成长的基石

对于 iSCSI 的未来发展，诸多厂商都认为 SAN 与 NAS 的整合会是一大趋势。此外随着

10G Ethernet 的到来，iSCSI 的理论带宽将会攀升到 10Gb 的极速，那么即使未来 FC 提升到

4Gb，速度上也仍然不是 iSCSI 的对手。

第一章 iSCSI 技术背景介绍

2003 年 2 月 11 日，IETF（Internet Engineering Task Force，互联网工程任务组）通过了 iSCSI（Internet SCSI）标准，这项由 IBM、Cisco 共同发起的技术标准，经过三年 20 个版本 的不断完善，终于得到了 IETF 认可。这吸引了很多的厂商参与到相关产品的开发中来，也 推动了更多的用户采用 iSCSI 的解决方案。作为早已被广泛传播的网络存储技术，很多读者 都对这项技术耳熟能详。而 iSCSI 技术最重要的贡献在于其对传统技术的继承和发展上：其 一，SCSI（Small Computer Systems Interface，小型计算机系统接口）技术是被磁盘、磁带 等设备广泛采用的存储标准，从 1986 年诞生起到现在仍然保持着良好的发展势头；其二， 沿用 TCP/IP 协议，TCP/IP 在网络方面是最通用、最成熟的协议，且 IP 网络的基础建设非 常完善。这两点为 iSCSI 的无限扩展提供了夯实的基础。

iSCSI 协议定义了在 TCP/IP 网络发送、接收 block（数据块）级的存储数据的规则和方 法。发送端将 SCSI 命令和数据封装到 TCP/IP 包中再通过网络转发，接收端收到 TCP/IP 包 之后，将其还原为 SCSI 命令和数据并执行，完成之后将返回的 SCSI 命令和数据再封装到 TCP/IP 包中再传送回发送端。而整个过程在用户看来，使用远端的存储设备就象访问本地 的 SCSI 设备一样简单。支持 iSCSI 技术的服务器和存储设备能够直接连接到现有的 IP 交换 机和路由器上，因此 iSCSI 技术具有易于安装、成本低廉、不受地理限制、良好的互操作性、 管理方便等优势。早在 2001 年上半年，IBM 就推出了 IP Storage 200i，是市场上公认的第 一款基于 iSCSI 协议的产品，这款产品的出现，对于身处信息爆炸时代却无法承担光纤通道 SAN 环境高成本的中小型用户来说，具有巨大的吸引力；2001 年 10 月，Cisco 也推出了 SN5420 存储路由器，基于 IP 标准和 SAN（Storage Area Network，存储区域网络）标准， 可以提供与现有 LAN（Local Area Network，局域网）、WAN（Wide Area Network，广域网）、 光纤和 SAN 设备之间的互操作，率先建立了 IP 网络与 SAN 之间的桥梁。现在，有更多的 厂商参与到 iSCSI 产品的开发中，如 Intel 已经推出了存储网卡 IP Storage iSCSI PRO/1000 T， 将协议转化也就是封装、还原 TCP/IP 包的步骤转移到网卡上来执行，大大降低了服务器处 理器的占用率。同时，还有芯片、板卡制造商加入到 iSCSI 产品的开发中，如 Adaptec、Qlogic 等等。

第二章 ISCSI 技术的应用

ISCSI 在 IP SAN 和 FC 领域的应用

很多用户对 iSCSI 的技术和优势比较了解，但是如何将 iSCSI 技术应用到实际中来，大 多数还不是很清楚，因此本白皮书将在下面的文章中着重阐述 iSCSI 技术的应用，希望能够 促进读者对 iSCSI 的理解，并能够帮助用户在面对 IP 与 FC（Fibre Channel，光纤通道） 的选择时，更多一份把握。

在这里，我们先介绍一个概念，即 IP Storage（IP 存储）。在 iSCSI 技术不断完善的过 程中，这个概念也早已被推向市场。简单的说，IP 存储就是基于 IP 网络来实现数据块级存 储的方式。由于 iSCSI 技术的固有优势，IP 存储更是让很多用户翘首以待，希望能够出现 一种大而统的方式，真正将存储规范化。

A 基于 iSCSI 技术的 IP SAN 应用：

图一 基于 iSCSI 技术的 IP SAN

图一为比较简单的 IP SAN 结构图。例子中使用千兆以太网交换机搭建网络环境，由 iSCSI initiator 如文件服务器、iSCSI target 如磁盘阵列及磁带库组成。在这里引入两个概念： initiator 和 target。Initiator 即典型的主机系统，发出读、写数据请求；target 即磁盘 阵列之类的存储资源，响应客户端的请求。这两个概念也就是上文提到的发送端及接受端。 图中使用 iSCSI HBA（Host Bus Adapter，主机总线适配卡）连接服务器和交换机，iSCSI HBA 包括网卡的功能，还需要支持 OSI 网络协议堆栈以实现协议转换的功能。在 IP SAN 中还可 以将基于 iSCSI 技术的磁带库直接连接到交换机上，通过存储管理软件实现简单、快速的数 据备份。

由图一可以看出，基于 iSCSI 技术，利用现有的 IP 网络搭建 IP SAN 是极其简单的，且 无须对管理人员进行深入培训即可掌握存储网络的管理。基于 1Gb 的 IP 网络搭建 IP SAN， 单通道数据传输速率可以达到 160MB/s 左右，因此 iSCSI 技术为用户提供了更高的性价比。

B 基于 iSCSI 路由器整合 FC 和 IP 应用：

如图二，为基于 iSCSI 路由器整合光纤通道网络和 IP 网络的结构图，将光纤通道存储网 络和 iSCSI 网络整合，提供现有局域网（LAN）、广域网（WAN）、FC SAN 设备之间的互操作 性，特点如下：

通过 iSCSI、光纤两种方式都可以访问 IP 网络中通用的存储设备； 通过 IP 网络访问 FC SAN 中的存储设备； 改善存储资源的可管理性及可用性；

这种简单的配置可以在保证成本的前提下，满足用户的高可用性及高性能需求。在服务 器、存储端，都可以通过高可用集群的方式实现高可用性，同时可以体现出光纤通道在处理 关键数据时的高性能。在数据安全性方面，此类路由器如 CISCO 的 SN 542X 系列，提供在光 纤通道交换机中普遍使用的逻辑单元号（LUN）映射功能，可以控制对特殊 LUN 的 target 的访问，因此，可以定位 target 中的重要数据，保证具有特殊权限的用户访问。如果用户 对扩展性及高可用性有需要，存储路由器还可以通过堆叠的方式连接几台路由器，以满足用 户要求。

图二 基于 iSCSI 路由器整合 IP 及 FC

iSCSI 技术在 IP SAN 远程备份中的应用

如图三所示，基于 iSCSI 技术实现 IP SAN，同时通过 IP 广域网络实现远程备份。由于 传统光纤通道 SAN 的操作距离在 10-20km 之间，因此要实现真正的远程备份、异地容灾还是 具备一定的地理局限性。在这个例子中使用通用的 IP 网络合并、扩展 SAN，具备极高的性 价比配置，可以实现远程备份、数据容灾和镜像等功能，同时还可以对远程存储进行实时操 作并能够通过 IP 网络访问其他 IP 存储。

图三 基于 iSCSI 的 IP SAN 的远程备份 此配置的特点为：

IP SAN 通过 IP 广域网实现与远程存储设备的连接；

iSCSI 服务器（initiators）和存储（targets）通过高性能 iSCSI HBA 连接到 IP 网络；

IP 交换机互联 iSCSI 系统；

图四 整合 IP、FC SAN 的远程备份

如图四所示，通过 IP 存储交换机互联光纤、iSCSI 设备，构建完全整合的高性能存储网

络。相比于图三中的配置，此类 SAN 配置的整合度更高。设备中使用光纤或 iSCSI HBA 连接 到交换机，存储交换机通过堆叠的方式以连接更多的设备。通过 IP 广域网，SAN 能够访问 远程数据中心中所有的服务器和存储设备，这就实现了远程备份及灾难恢复。此类 SAN 的典 型特征如下：

基于 IP 网 ，IP络 存储交换机堆叠构建 SAN 组织的核心；

服务器和存储设备可以使用 iSCSI 或光纤，具有极高的可扩展性；

可以使用现有的光纤存储设备，以保护用户的前期投资；

基于 IP 网络，提供各种途径下的无缝整合，如果需要，可以转化成如图三中完全基于的

iSCSI 的 IP 存储网络；

在这两个例子中，用户可能会关心到 QoS（Quality of Service，服务质量）甚至安全 方面的问题，通过公用网络传输极其重要的数据资源可能会出现问题。这个问题也是客观存 在的，iSCSI 协议中通过多种安全方式将这方面的隐患减到最低。第一，TCP/IP 网络连接本 身提供的高级服务及安全特性可以直接应用到 iSCSI 事物处理过程中，就 QoS 来说，IP 网 络提供了广泛的解决方案如事物处理优先级、DiffServ（服务区分）、MPLS（Multi-Protocol Label Switching，多协议分类转换）、RSVP（Resource Reservation Protocol，资源预约 协议）等，就安全性而言，IP 协议提供 ACLs（Access Control Lists）、VLANs（Virtual LANs）、 IPSec 及高级数据编码规则等方案。第二，iSCSI 协议本身也提供了 QoS 及安全特性，首先 就是登录操作顺序，可以限制 initiator 仅向 target 列表中的目标发登录请求，再由 target 确认并返回响应，之后才允许通信；其次就是通过 IPSec 将数据包加密之后传输，包括数据 完整性、确定性及机密性检测等。第三，也是极为特殊的方式，即用户可以使用专有的网络 以保证与其他事物处理分开，通过物理方式将数据传输完全隔离于公用网络之外，且可以保 证不会引起网络阻塞导致性能瓶颈。

iSCSI 技术的综合应用

如图五所示，主要数据中心通过 IP 存储交换机将独立的 iSCSI 存储网络、光纤存储网络、 NAS 设备和 IP 网络系统都整合到通用的 IP 网络平台中的大型应用，成为高度集成的 IP 数 据 SAN。IP 存储交换机可以使用冗余或堆叠方式，通过 IP 网络提供 iSCSI SAN 和 FC SAN 的高可用性及高扩展性的互联。IP 存储交换机同时提供主要数据中心对 IP 广域网络中其他 的远程存储的实时访问，如将数据远程镜像到如图所示的远程数据中心中以达到备份数据的 目的。

图五 主要数据中心、部门级 SAN 应用及远程数据中心 主要数据中心的典型特征如下：

数据中心可以使用 FC SAN、iSCSI SAN、NAS、服务器和 DAS 等各种存储方式作为存 储资源；

IP 存储交换机成为 iSCSI、光纤通道、IP 服务器、NAS 设备互相连接的枢纽，实现了高 端的存储整合，扩展了通用 IP 网络技术的应用。

NAS 设备直接连接到 IP 存储交换机，为存储设备的扩展提供多种选择； 如图五所示，有两个部门级 SAN 应用，实际上可以基于 IP 网络扩展更多的部门级应用。

而此类 SAN 首要就是具备灵活的架构，能够满足部门级的应用即可。将日常工作产生的数 据通过 IP 广域网备份到远程数据中心，最终实现与主要数据中心、远程数据中心和 IP 系统 的整合。

部门级 SAN 的典型特征如下：

IP SAN 通过 IP 广域网实现与主要数据中心的连接，并通过 IP 存储交换机、路由器访问 数据中心的 IP、光纤通道和 iSCSI 存储资源；

iSCSI 服务器（initiators）和存储（targets）通过 iSCSI HBA 连接到 IP 网络；

IP 交换机互联 iSCSI 系统；

这个例子可以应用到数据块级存储要求的存储池构建、iSCSI 和光纤通道等系统的备份， IP SAN 扩展、镜像，最重要的应用就是提供了存储的数据容灾功能，且可以将不同配置的 应用实现统一的多级备份。

图五的例子即存储的企业级应用，多数用户的应用环境都包含或类似于其中的环境，从 概念上达到了存储相对统一的目的。

iSCSI 技术的应用，将本身协议完全不同的 IP SAN 和 FC SAN 加以整合，促进了存储资

源利用率的增长，并具有创新意义。随着 iSCSI 技术的完善，数据块级的存储应用将变得更 为普遍，存储资源的通用性、数据共享能力都将大大增强，并且更加易于管理。随着万兆以 太网络的成熟，IP 存储必然会以其性价比、通用性、无地理限制等优势飞速发展，iSCSI 技术将联合 SCSI、TCP/IP，共同开创网络存储的新局面！

虽然目前 iSCSI 技术只是在存储设备的主机连接方面进入了应用阶段，但是这一应用已 经为存储系统的架构及工作模式带来了许多新的变化。iSCSI 技术在未来将来把传统的 NAS 架构和 SAN 架构完全融和。我们可以把 iSCSI 技术看作这样一个结构：具有 NAS 一样的前端 管理部分，同时象 SAN 一样提供裸设备给主机使用。这样的结构使 iSCSI 技术比 NAS 技术具 有更广泛的适用范围，比 SAN 具有更丰富的管理功能。千万不要小看 iSCSI 的前端管理部分 的作用。由于这样的一个功能部分，iSCSI 技术比传统的 NAS 或者 SAN 技术都更具有吸收其 他先进技术的能力。对虚拟存储技术的迅速吸收和整合就很好的说明了这一点。

目前很多 iSCSI 产品的供应商，都在其产品中集成了或多或少的虚拟存储技术，这其中 尤以 iSCSI 磁盘阵列厂商和 iSCSI 交换设备厂商为代表。例如，可以提供“不同容量磁盘混 用”和“跨阵列划分 LUN”等几种典型的虚拟存储功能。其实现机制也并不复杂，就是将提 供该项功能的软件写入 iSCSI 阵列的管理部分。

第三章 ISCSI 产品的组成

iSCSI 产品从功能上可以分为三个类别：起始端产品、连接件产品和目标端产品。 起始端产品就是指主机中的总线适配器和协议转换软件，这些产品的作用就是提供主机 端的 iSCSI 连接功能。一般情况下，iSCSI 技术可以通过安装协议转换软件，在主机端实现。 即在主机上安装普通的以太网络适配器，并安装驱动程序，然后再安装协议转换软件，这样 这片普通的以太网络适配器就可以支持 iSCSI 协议了。目前比较流行的此类协议转换软件主 要来自 IBM 公司和 Cisco 公司。当然，纯软件的 iSCSI 协议转换效率比较低，而且占用了 主机的 CPU 资源。所以在一些性能要求比较高的环境中，可以选择带有 iSCSI 协处理功能 的专用 iSCSI 适配器。几乎所有的传统 FC 适配器厂商，都可以提供这种类型的 iSCSI 适配 器。此外，一些传统以太网络适配器的厂商也在进入这个产品领域，Intel 公司就已经推出

了自己的 IP 存储专用适配器，其性能与 FC 适配器厂商的产品已经不相上下了。 连接件产品就是指连接主机到存储设备的设备。这类产品又分做两种：提供 iSCSI 到 iSCSI 连接的设备，以及提供 iSCSI 到 SCSI 或者 FC 的连接设备。目前 iSCSI 到 iSCSI 的连 接设备相对较少，这是因为，毕竟 iSCSI 技术刚刚正式问世，其产品的覆盖范围有限，而且 就基本技术原理而言，iSCSI 到 iSCSI 的连接，在通常情况下都可以通过普通的以太网络交 换机实现。真正需要专业化的 iSCSI 到 iSCSI 连接设备的，恐怕只有性能和安全性要求非常

高的超大型数据中心了。

iSCSI 到 SCSI 或 FC 的连接设备其意义则完全不同，这种设备提供了新老技术的互通。 一个已经购买了 SCSI 或 FC 存储设备的用户，如果希望能够搭建基于 iSCSI 的 IP-SAN，而 又不浪费现有设备，那么 iSCSI 到 SCSI 或 FC 的连接设备就是其最好的选择。需要留意的 是，连接类产品正处在更新换代的过程中，其更新的内容主要是内嵌的虚拟存储功能。所以 用户在选择这类产品的时候，应该适当注意其中的虚拟存储功能的强弱。

目标端产品是指磁盘阵列、磁带库等存储数据的设备，这部分是存储系统中的核心所在， 通常也是整个存储系统的投资重点。

存储技术的进步并不仅仅只体现在一个 iSCSI 概念上，传统 ATA 技术的发展产生了 SATA，传统 SCSI 技术的发展产生了 SAS，存储管理技术的发展产生了虚拟存储和内容存 储技术。即便是 IP 存储领域本身，也还包括 FCIP、iFCP 和 iSNS 等几个方向，iSCSI 技术 只是其中较早成熟的一个罢了。iSCSI 最大的特点就是在于其对成熟的以太网络的借用，这 种借用体现在实施成本和管理维护的难度方面。

我计算机和网络方面的知识都是工作中自学的，从来没有去专门去读思科的书。听过三天brocade的课，考试还没过（呵呵，惭愧），但现在照样的做存储，自我感觉还行。

如果你想进存储行业，考几个证来做为敲门砖是可以的，但如果你已经在存储行业里了，想要加深自己的水平，我劝你不要把这样证书看得太真，因为证书和大学文凭一样，只表示你曾经学过，并不表示你的水平就一定很高。拿了大学文凭却什么专业知识都不知道的人多的是，至少我毕业时就不是很清楚水电站到底应该怎么建（我学水利水电工程）。

你也别太在意那些名牌厂商的白皮书或红皮书之类的东西，更别把它当毛老人家语录一样地学习，即使你很清楚很多产品的型号、技术参数，也有可能屁用不项，因为做存储并不是光能出说几个产品的技术参数就可以的。虽然我是售前，但仍然记不清公司很多产品的技术参数。

学存储技术最快最有效的办法就是找一台存储设备自己上机操作，重复该设备的各种操作和功能，仔细学习和分析它的说明书，分析存储的结构，分析主机端口、控制器、磁盘通道、扩展柜和磁盘之间工作方式和数据数据传输路由，双控制器和缓存之间调用方式，分析RAID组、缓存、Block size等对存储带宽和IOPS的影响。一旦你深入了解了一台存储设备，那么很快你就可以了解所有存储产品的基本理论，以后当你再接触到别的产品时就很容易理解和使用。

记着一点，学习存储是为了以后用好存储存储，所以知识一定要来自于实践，并从很多的实践中总结理论来。学存储技术和学计算机技术是一样的，光看书不上机操作，那么对电脑永远都是一知半解。但如果光是会安装，不总结分析那么水平永远都不会提高。

如果只会安装调试，无法上升到理论层面，那么你只能勉强当一个售后，整天都得到用户那里安装调试设备。
如果会安装调试，能总结一点理论性的东西，那么你可以勉强当一个售前。
如果还懂一点市场宣传，知道同类型产品之间的差异，那么你可以勉强当一个产品经理。
如果你只懂一点理论，那么你只能勉强当一个销售，不过因为你自己都不清楚自己的产品到底是什么样的，用户可能也不会很相信你。

但如果上面提到的你都懂，而且能用清晰和条理的文字写出一二三来，我想说你很快要成为一个存储专家了。