第四章 技术及其安全性

技术是一种基于 IP Storage 理论的新型存储技术，该技术是将存储行业广泛应 用的 SCSI（small computer system interface）接口技术与 IP 网络技术结合，使得我们 可以在 IP 网络上构建 存储区域网。推动 协议发展最主要的动力是–希望能够在 IP 网络上使用业已部署的大量 DAS 存储设备。通过 协议，这些存储设备可以为更多 的用户和应用使用，同时可以让这些简单 DAS 存储设备支持只有高级存储设备才能够支持的 备份、镜像、灾难恢复等高级存储应用。其次是为了让尽可能多的用户和应用利用已有的 FC 光纤通道 存储区域网， 协议还可以通过基于 IP 的网络传输对光纤通道 存 储区域网进行访问。

经过 SNIA 多家厂商的测试和实践，证明 可以非常迅速地建立起 IP 存储区域 网环境，用户可以即刻享受到即插即用式地 的好处。目前， 的标准已经在 IETF 通过，Microsoft 也已发布支持 的 的驱动程序。同时在 Windows Storage Server 2003 中内置支持 ，包括 和 target。

在可预期的未来， 必然成为光纤通道 FC 的主要竞争对手，成为 存储区域网的 主要应用技术。同时由于 内置的支持路由，可以让 访问 Internet 上任何一台存储设备，使得存储共享的概念无限扩大，存储连接的距离无限扩展。这一技术 对于一边要面对信息高速增长，另一边却身处”数据孤岛”的众多企业无疑具有巨大的吸引 力。

1、 标准

2003 年 2 月 11 日，IETF（Internet Engineering Task Force，互联网工程任务组） 通过了 （Internet SCSI）标准，这项由 IBM、思科共同发起的技术标准，经过三年

20 个版本的不断完善，终于得到 IETF 的认可。 技术的重要贡献在于其对传统技术的 继承和发展：其一，与 SCSI（Small Computer System Interface，小型计算机系统接口） 技术的接轨；其二，沿用 TCP/IP 协议。这两点为 的无限扩展提供了坚实的基础。

1.1 的概念

（互联网小型计算机系统接口）是一种在 Internet 协议网络上，特别是以太网上 进行数据块传输的标准。它是由 Cisco 和 IBM 两家发起的，并且得到了 IP 存储技术拥护者 的大力支持。是一个供硬件设备使用的可以在 IP 协议上层运行的 SCSI 指令集。简单地说， 可以实现在 IP 网络上运行 SCSI 协议，使其能够在诸如高速千兆以太网上进行路由选 择。

SCSI（小型计算机系统接口）是以一种广泛使用的连接硬盘和计算机的技术标准， 这种技术则是将该技术应用到网络连接上，对于企业的存储网络而言， 技术的性价比 要高于基于光纤的产品。 是基于 IP 协议的技术标准，是允许网络在 TCP/IP 协议上传 输 SCSI 命令的新协议，实现了 SCSI 和 TCP/IP 协议的连接，该技术允许用户通过 TCP/IP 网络来构建存储区域网（）。而在 技术出现之前，构建存储区域网的唯一技术是 利用光纤通道（Fiber Channel），但是其架构需要高昂的建设成本，远非一般企业所能够

承受。 技术的出现对于以局域网为网络环境的用户来说，它只需要不多的投资，就可 以方便、快捷地对信息和数据进行交互式传输和管理。相对于以往的网络接入存储， 的出现解决了开放性、容量、传输速度、兼容性、安全性等问题，其优越的性能使其自发布 之日始便受到市场的关注与青睐。

1.2 的工作流程

协议就是一个在网络上封包和解包的过程，在网络的一端，数据包被封装成包括 TCP/IP 头、 识别包和 SCSI 数据三部分内容，传输到网络另一端时，这三部分内容分 别被顺序地解开。 的工作流程如图一所示：

系统由一块 SCSI 卡发出一个 SCSI 命令，命令被封装到第四层的信息包中并发送。 接收方从信息包中抽取 SCSI 命令并执行，然后把返回的 SCSI 命令和数据封装到 IP 信息包 中，并将它们发回到发送方。系统抽取数据或命令，并把它们传回 SCSI 子系统。所有这一 切的完成都无需用户干预，而且对终端用户是完全透明的。

为了保证安全， 有自己的上网登录操作顺序。在它们首次运行的时候，启动器

（）设备将登录到目标设备中。任何一个接收到没有执行登录过程的启动器的 PDU（ Protocol Data Units， 协议数据单元）目标设备都将生成一个协 议错误，而且目标设备也会关闭连接。在关闭会话之前，目标设备可能发送回一个被驳回的 PDU。这种安全性是基本的，因为它只保护了通信的启动，却没有在每个信息包的基 础上提供安全性。还有其他的安全方法，包括利用 IPsec。在控制和数据两种信息包中，IPsec 可以提供整体性，实施再次（replay）保护和确认证明，它也为各个信息包提供加密。

2、iSCSI 的发展阶段

IP 存储解决方案及其技术的应用经历了三个发展阶段：

• 阶段一： 扩展器
• 阶段二：有限区域 IP 存储
• 阶段三：IP

阶段一： 扩展器。随着 技术在全球的开发，越来越需要长距离的 连接技术。 IP 存储技术定位于将多种设备紧密连接，就像一个大企业多个站点间的数据共享，以及远 程数据镜像。这种技术是利用 FC 到 IP 的桥接或路由器，将两个远程的 通过 IP 架构互 联。虽然 设备可以实现以上技术，但 FCIP 和 iFCP 对于此类应用更为适合，因为它们 采用的是光纤通道协议(FCP)。

阶段二：有限区域 IP 存储。 在第二个阶段的 IP 存储的开发主要集中在小型的低成本 的产品，目前还没有真正意义的全球 环境，随之而来的技术是有限区域的、基于 IP 的 连接技术。类似于可安装到 NAS 设备中的 卡，这种技术和需求可使 TOE 设备弥补 NAS 技术的解决方案。在这种配置中，一个单一的多功能设备可提供对块级或文件级数据的 访问，这种结合了块级和文件级 NAS 设备可使以前的直接连接的存储环境轻松地传输到网络 存储环境。

第二个阶段也会引入一些工作组级的、基于 IP 的 小型商业系统的解决方案，使得 那些小型企业也可以享受到网络存储的益处。 协议是最适合这种环境的应用的，但基 于 的 技术是不会取代 FC 的，同时它可以使用户即享受网络存储带来的益处, 也不会开销太大。

阶段三：IP 。完全的端到端的、基于 IP 的全球 存储将会随之出现，而 协议则是最为适合的。基于 的 IP 将由 构成，它可释放出大量的 TCP 负载，保证本地 存储设备在 IP 架构上可自由通讯。一些 IP 的先进功能，如带宽集合、 质量服务保证等都可能应用到 环境中。

3、 的安全性

正是由于其采用广泛应用的 IP 网络和 Internet 网络为数据传输的通道，与传统的采用 光纤通道 FC 相比， 的安全性就凸现出来。因为传统的 FC 在实际应用中，底 层采用光纤通道 FC 的传输技术，上层采用 Fibre Channel Protocol（FCP）传输 SCSI 协议， 与广泛应用的 IP 网络不兼容，往往会形成一个与通信网络隔离开来的独立存储网络，其安 全性容易得到保障。而 采用 IP 网络技术作为底层传输技术，完全可以在现有的通信 网络中，甚至 Internet 上传输 SCSI 协议，这使得 不得不面临 IP 网络常见的安全性 问题。

要了解 的安全问题，首先让我们看看 是如何工作的：

是如何工作的呢？如前所述， 定义了 TCP/IP 网络上传输块存储应用的规则 和过程。在物理层， 支持以太网卡（100、1000M），这样支持 的系统可以通过 以太网卡直接接入以太网交换机或路由器。 协议介于物理和数据链路层与操作系统的 标准 SCSI 命令集之间，将 SCSI-3 命令封装在 TCP/IP 包内，由 IP 网络负责其传输的可靠性。

SCSI 命令和数据封装在 TCP 包中，穿过毫无防范的 Internet 网络，必然会引起安全问 题。总之 面临的安全风险主要有：

主动型的攻击，如：身份伪装、伪造信息插入、数据删除/修改等

被动型的攻击，如：窃听、数据分析等 针对各种各样的安全风险， 主要采用两种安全措施： 认证：在 target 和 之间做身份认证。 加密：对传输的 TCP/IP 数据包进行保护。

认证主要是在 连接层，通过交换 的登录 PDU（Protocol data unit），实 现带内的身份认证。 通过这种安全措施提供了端到端的信任关系。 支持多种认 证，但要强调的是采用哪种认证都要求不得明文传输密码字符。此外对于不同的算法，要求 采用抗攻击能力较强的选项。比如在采用 CHAP 认证时，为了防止离线的字典攻击，要求随 机 CHAP 密文 secret 大于 128 位。

加密主要是通过 IPSEC 协议实现，在 IP 层通过对 IP 包的加密，实现数据的完整性保护、 数据加密和身份认证。 通过这种安全措施提供了数据通信的安全通道。

实现 IPSEC 加密通信有两种方式：

一是通过主机间建立 IPSEC 加密通道。主机间建立 IPSEC 通信，过去常用软件的实现方 式，这对于传输少量的数据可以接受，对于 这种大量存储数据的传输，则显得力不从 心。所以，建议采用支持 IPSEC 协议的 卡实现，提高加密解密的效率。

二是通过防火墙、VPN 网关或带 VPN 功能的路由器，在需要实现 通信的两个子网 间建立一条加密隧道，将两个子网与承载 通信的 IP 网络从逻辑上隔离开来。随着 的应用越来越广泛，利用 可以获得更好的网络扩展性。

当然，还可以采用其他技术来加强 的安全性，如 的分区、LUN masking 等 等。

4、关键性的技术

存储是一个新兴的技术，其之所以广泛应用到存储环境中有几个关键技术点。

4.1 TCP 负载空闲

由于 IP 无法确保提交到对方，而将 TCP 作为底层传输的三种 IP 存储协议则需要在拥挤 的、远距离的 IP 空间中确保传输的可靠性。由于 IP 包可以打乱次序传送，因此，TCP 层需 要重新修正次序，以提交到上一层的协议中（如 SCSI）。TCP 完成这一任务的典型操作是使 用重调顺序缓冲器，将数据包的顺序完全整理为正确方式，完成这一操作后，TCP 层将数据 发送到下一层。这些处理都需要消耗主机的 CPU 资源，同时增加事务处理的延时，事实上， 与典型的 FC 或 SCSI 块传输相比，需要更多的 I/O 处理，一种称之为 TCP 负载空闲引擎 TCP Off-loading Engine (TOE)的设备可将主机的处理器负载降低，TOE 解决了这一关键问题。

4.2 性能

工作组和一些分析人士把相当多的注意力放在了确保 IP 存储协议可以非常快的运行上， 因为目前硬盘驱动器的运行速度已经很快，所以 IP 存储产品将以高速运行。然而，也有一 些分析人员认为，IP 存储令人心往的最大优势是 IP 的灵活性，而高速性能则排在第二位。 如果对性能较为看重的话，不推荐使用标准的以太网卡。增强的 iHBA 已达到光纤通道的技 术水平。

4.3 安全性

当存储设备通过 IP 架构进行远距离连接时，安全性变得愈加重要。生产厂家必须明确 产品的安全级别，并确保其安全性。当标准得到批准时，明确要求 IP 存储协议的所有实施 都必须包括可靠的安全性(实现加密数据完整性和保密性)。如果用户不愿使用这些安全措施 的话，他们不必使用，但是产品中必须具有启动安全技术的功能，只有这样厂商才能说他们 的产品符合标准的要求。相当多的技术人员认为这些协议的主要用武之地是在数据中心或其 他一些受防火墙保护的领域。但是，一旦人们将应用放在 IP 上，这个应用是没有什么办法 确定自己的使用环境的，例如在防火墙后使用。这是 的一个重要特性。

4.4 互联性

基于 IP 的协议标准已被 IETF 公布，为了保证这些产品能够相互配合得更好，必须保证 厂家之间采用相同的协议，使各厂家产品具有良好的互联性。

第五章 iSCSI 与各类型存储方案的综合评比

与 Fiber Channel（以下简称 FC）一样， 也属于 大家庭中的一员，它的问世 显然是冲着 FC 的缺点而来的。长久以来，FC 几乎成了 的代名词，但由于相关软硬 件的建置成本偏高、管理技术及门坎也较高，所以几乎只有大型企业才有能力做这方面的建 置与规划，一些企业限于自身规模，也只有望洋兴叹的份。无传输距离限制、建置管理成本 低是 的最大特点。

最重要的就是能在成本上提出大幅改善的方案，也因此打破了 为大型企业禁 脔的藩篱，让中小企业也能享受到 所带来的好处及便利。到底是哪些优良特质，让 成为目前存储业界最热门的话题呢？以下即为读者做一番简单的归纳及分析：

建置成本低廉：不论是适配卡、交换机或缆线的建置， 都比 FC 便宜许多。 管理门坎及维护成本更低：一般来说，FC 多半需要特定的工具软件来操作管理， 所以需要对人员进行一定时间的培训，而且费用不低。但由于 是通过 IP 网络来传输

数据及分配存储资源，所以只要使用网络现有的管理功能即可，比较起来，可以省下大笔管 理费用及培训成本。

节省存储资源、做好集中管理：由于 与 FC 同样支持区块协议（Block Protocol） 的数据存取模式，所以比采用文件协议（File Protocol）的 NAS，更能通过集中管理的方 式，有效的避免存储资源的浪费，进而节省不必要的支出。

没有距离的限制：由于 是通过 IP 网络来传输数据，所以理论上，传输距离可以 达到无限远，这对于异地数据的传输及备援等应用相当有帮助。

传输速度快：千兆网 的速度可达 1Gb，效能上已超越 NAS。如果用 10Gb 以太网络 的时候， 就可以达到 10Gb 的高速，比 FC 的下一代版本－4Gb 还要快。

人才多：随着因特网的日益兴盛，造就了取之不尽、用之不竭的 TCP/IP 网络人才，比 起门坎较高的 FC 来说，这对于专走 IP 网络 Base 的 而言，可说是一大优势。

、 及 NAS 的比较

一般来说，企业在面临 存储解决方案时，多半喜欢拿 FC 及 NAS 与其做 一番比较。在此先就 FC 与 做一比较，基本两者同属于走 Block 协议的 架构，只 不过前者通过光纤，后者由 IP 传输数据罢了，而两者在管理及应用上也大同小异。

至于 与 NAS 的差异， 与 NAS 是完全不同架构的存储方案，前者支持 Block 协议， 后者则支持 File 协议，所以拿两个完全不同协议及架构的标准相比，是不太适宜的。如果 硬要从中做个区别的话，那就是 的精髓在于分享存储配备（Sharing Storages）；NAS 则在于分享数据（Sharing Data）。

为了让读者进一步了解 、FC 及 NAS 的差异，在此还是做一番归纳整理，以供读者 参考：

接口技术： 和 NAS 一样通过 IP 网络来传输数据，FC 则不一样，数据是通过光纤 通道（Fibre Channel）来传递。

数据传输方式：同为 的 及 FC 都采用 Block 协议方式，而 NAS 则采用 File

协议。

传输速度：就目前的传输速度而言是 （10Gb）最快、FC（2Gb）次之，NAS 居末。 基本上，FC 及 的 Block Protocol 会比 NAS 的 File Protocol 快，这是因为在操作系 统的管理上，前者是一个“本地磁盘”，后者则会以“网络磁盘”的名义显示。所以在大量 数据的传输上， 绝对会比 NAS 快得多。

资源共享： 和 NAS 共享的是存储资源，NAS 共享的是数据。

管理门坎： 和 NAS 都采用 IP 网络的现有成熟架构，所以可延用既有成熟的网络 管理机制，不论是建设、管理或维护上，都非常方便及容易。而 FC 则完全独立于一般网络 系统架构，所以需由 FC 厂商提供专属管理工具软件。

管理架构：通过网络交换机， 可有效集中控管多台主机对存储资源的存取及利用， 善用资源的调配及分享，同时速度上也快于网络磁盘的 NAS。

成本：比起 FC 而言，以太网络是个十分成熟的架构，所以同样采用 IP 网络架构的 及 NAS，建设成本低廉、管理容易而且维护方便。至于与 FC 在建设成本上的进一步比较， 可见表 1。

传输距离：原则上，三者都支持长距离的数据传输。FC 的理论值可达 100 公里。通过 IP 网络的 NAS 及 ，理论上都没有距离上的限制，但 NAS 适合长距小档案的传输， 则可以进行长距大量资料的传递。

系统支持：比较起来， 由于技术新较少。FC 主要是由适配卡供货商提供驱动程序 和简单的管理程序。

第四章 技术及其安全性

技术是一种基于 IP Storage 理论的新型存储技术，该技术是将存储行业广泛应 用的 SCSI（small computer system interface）接口技术与 IP 网络技术结合，使得我们 可以在 IP 网络上构建 存储区域网。推动 协议发展最主要的动力是–希望能够在 IP 网络上使用业已部署的大量 DAS 存储设备。通过 协议，这些存储设备可以为更多 的用户和应用使用，同时可以让这些简单 DAS 存储设备支持只有高级存储设备才能够支持的 备份、镜像、灾难恢复等高级存储应用。其次是为了让尽可能多的用户和应用利用已有的 FC 光纤通道 存储区域网， 协议还可以通过基于 IP 的网络传输对光纤通道 存 储区域网进行访问。

经过 SNIA 多家厂商的测试和实践，证明 可以非常迅速地建立起 IP 存储区域 网环境，用户可以即刻享受到即插即用式地 的好处。目前， 的标准已经在 IETF 通过，Microsoft 也已发布支持 的 的驱动程序。同时在 Windows Storage Server 2003 中内置支持 ，包括 和 target。

在可预期的未来， 必然成为光纤通道 FC 的主要竞争对手，成为 存储区域网的 主要应用技术。同时由于 内置的支持路由，可以让 访问 Internet 上任何一台存储设备，使得存储共享的概念无限扩大，存储连接的距离无限扩展。这一技术 对于一边要面对信息高速增长，另一边却身处”数据孤岛”的众多企业无疑具有巨大的吸引 力。

1、 标准

2003 年 2 月 11 日，IETF（Internet Engineering Task Force，互联网工程任务组） 通过了 （Internet SCSI）标准，这项由 IBM、思科共同发起的技术标准，经过三年

20 个版本的不断完善，终于得到 IETF 的认可。 技术的重要贡献在于其对传统技术的 继承和发展：其一，与 SCSI（Small Computer System Interface，小型计算机系统接口） 技术的接轨；其二，沿用 TCP/IP 协议。这两点为 的无限扩展提供了坚实的基础。

1.1 的概念

（互联网小型计算机系统接口）是一种在 Internet 协议网络上，特别是以太网上 进行数据块传输的标准。它是由 Cisco 和 IBM 两家发起的，并且得到了 IP 存储技术拥护者 的大力支持。是一个供硬件设备使用的可以在 IP 协议上层运行的 SCSI 指令集。简单地说， 可以实现在 IP 网络上运行 SCSI 协议，使其能够在诸如高速千兆以太网上进行路由选 择。

SCSI（小型计算机系统接口）是以一种广泛使用的连接硬盘和计算机的技术标准， 这种技术则是将该技术应用到网络连接上，对于企业的存储网络而言， 技术的性价比 要高于基于光纤的产品。 是基于 IP 协议的技术标准，是允许网络在 TCP/IP 协议上传 输 SCSI 命令的新协议，实现了 SCSI 和 TCP/IP 协议的连接，该技术允许用户通过 TCP/IP 网络来构建存储区域网（）。而在 技术出现之前，构建存储区域网的唯一技术是 利用光纤通道（Fiber Channel），但是其架构需要高昂的建设成本，远非一般企业所能够

承受。 技术的出现对于以局域网为网络环境的用户来说，它只需要不多的投资，就可 以方便、快捷地对信息和数据进行交互式传输和管理。相对于以往的网络接入存储， 的出现解决了开放性、容量、传输速度、兼容性、安全性等问题，其优越的性能使其自发布 之日始便受到市场的关注与青睐。

1.2 的工作流程

协议就是一个在网络上封包和解包的过程，在网络的一端，数据包被封装成包括 TCP/IP 头、 识别包和 SCSI 数据三部分内容，传输到网络另一端时，这三部分内容分 别被顺序地解开。 的工作流程如图一所示：

系统由一块 SCSI 卡发出一个 SCSI 命令，命令被封装到第四层的信息包中并发送。 接收方从信息包中抽取 SCSI 命令并执行，然后把返回的 SCSI 命令和数据封装到 IP 信息包 中，并将它们发回到发送方。系统抽取数据或命令，并把它们传回 SCSI 子系统。所有这一 切的完成都无需用户干预，而且对终端用户是完全透明的。

为了保证安全， 有自己的上网登录操作顺序。在它们首次运行的时候，启动器

（）设备将登录到目标设备中。任何一个接收到没有执行登录过程的启动器的 PDU（ Protocol Data Units， 协议数据单元）目标设备都将生成一个协 议错误，而且目标设备也会关闭连接。在关闭会话之前，目标设备可能发送回一个被驳回的 PDU。这种安全性是基本的，因为它只保护了通信的启动，却没有在每个信息包的基 础上提供安全性。还有其他的安全方法，包括利用 IPsec。在控制和数据两种信息包中，IPsec 可以提供整体性，实施再次（replay）保护和确认证明，它也为各个信息包提供加密。

2、iSCSI 的发展阶段

IP 存储解决方案及其技术的应用经历了三个发展阶段：

· 阶段一： 扩展器

· 阶段二：有限区域 IP 存储

· 阶段三：IP

阶段一： 扩展器。随着 技术在全球的开发，越来越需要长距离的 连接技术。 IP 存储技术定位于将多种设备紧密连接，就像一个大企业多个站点间的数据共享，以及远 程数据镜像。这种技术是利用 FC 到 IP 的桥接或路由器，将两个远程的 通过 IP 架构互 联。虽然 设备可以实现以上技术，但 FCIP 和 iFCP 对于此类应用更为适合，因为它们 采用的是光纤通道协议(FCP)。

阶段二：有限区域 IP 存储。 在第二个阶段的 IP 存储的开发主要集中在小型的低成本 的产品，目前还没有真正意义的全球 环境，随之而来的技术是有限区域的、基于 IP 的 连接技术。类似于可安装到 NAS 设备中的 卡，这种技术和需求可使 TOE 设备弥补 NAS 技术的解决方案。在这种配置中，一个单一的多功能设备可提供对块级或文件级数据的 访问，这种结合了块级和文件级 NAS 设备可使以前的直接连接的存储环境轻松地传输到网络 存储环境。

第二个阶段也会引入一些工作组级的、基于 IP 的 小型商业系统的解决方案，使得 那些小型企业也可以享受到网络存储的益处。 协议是最适合这种环境的应用的，但基 于 的 技术是不会取代 FC 的，同时它可以使用户即享受网络存储带来的益处, 也不会开销太大。

阶段三：IP 。完全的端到端的、基于 IP 的全球 存储将会随之出现，而 协议则是最为适合的。基于 的 IP 将由 构成，它可释放出大量的 TCP 负载，保证本地 存储设备在 IP 架构上可自由通讯。一些 IP 的先进功能，如带宽集合、 质量服务保证等都可能应用到 环境中。

3、 的安全性

正是由于其采用广泛应用的 IP 网络和 Internet 网络为数据传输的通道，与传统的采用 光纤通道 FC 相比， 的安全性就凸现出来。因为传统的 FC 在实际应用中，底 层采用光纤通道 FC 的传输技术，上层采用 Fibre Channel Protocol（FCP）传输 SCSI 协议， 与广泛应用的 IP 网络不兼容，往往会形成一个与通信网络隔离开来的独立存储网络，其安 全性容易得到保障。而 采用 IP 网络技术作为底层传输技术，完全可以在现有的通信 网络中，甚至 Internet 上传输 SCSI 协议，这使得 不得不面临 IP 网络常见的安全性 问题。

要了解 的安全问题，首先让我们看看 是如何工作的：

是如何工作的呢？如前所述， 定义了 TCP/IP 网络上传输块存储应用的规则 和过程。在物理层， 支持以太网卡（100、1000M），这样支持 的系统可以通过 以太网卡直接接入以太网交换机或路由器。 协议介于物理和数据链路层与操作系统的 标准 SCSI 命令集之间，将 SCSI-3 命令封装在 TCP/IP 包内，由 IP 网络负责其传输的可靠性。

SCSI 命令和数据封装在 TCP 包中，穿过毫无防范的 Internet 网络，必然会引起安全问 题。总之 面临的安全风险主要有：

主动型的攻击，如：身份伪装、伪造信息插入、数据删除/修改等

被动型的攻击，如：窃听、数据分析等 针对各种各样的安全风险， 主要采用两种安全措施： 认证：在 target 和 之间做身份认证。 加密：对传输的 TCP/IP 数据包进行保护。

认证主要是在 连接层，通过交换 的登录 PDU（Protocol data unit），实 现带内的身份认证。 通过这种安全措施提供了端到端的信任关系。 支持多种认 证，但要强调的是采用哪种认证都要求不得明文传输密码字符。此外对于不同的算法，要求 采用抗攻击能力较强的选项。比如在采用 CHAP 认证时，为了防止离线的字典攻击，要求随 机 CHAP 密文 secret 大于 128 位。

加密主要是通过 IPSEC 协议实现，在 IP 层通过对 IP 包的加密，实现数据的完整性保护、 数据加密和身份认证。 通过这种安全措施提供了数据通信的安全通道。

实现 IPSEC 加密通信有两种方式：

一是通过主机间建立 IPSEC 加密通道。主机间建立 IPSEC 通信，过去常用软件的实现方 式，这对于传输少量的数据可以接受，对于 这种大量存储数据的传输，则显得力不从 心。所以，建议采用支持 IPSEC 协议的 卡实现，提高加密解密的效率。

二是通过防火墙、VPN 网关或带 VPN 功能的路由器，在需要实现 通信的两个子网 间建立一条加密隧道，将两个子网与承载 通信的 IP 网络从逻辑上隔离开来。随着 的应用越来越广泛，利用 可以获得更好的网络扩展性。

当然，还可以采用其他技术来加强 的安全性，如 的分区、LUN masking 等 等。

4、关键性的技术

存储是一个新兴的技术，其之所以广泛应用到存储环境中有几个关键技术点。

4.1 TCP 负载空闲

由于 IP 无法确保提交到对方，而将 TCP 作为底层传输的三种 IP 存储协议则需要在拥挤 的、远距离的 IP 空间中确保传输的可靠性。由于 IP 包可以打乱次序传送，因此，TCP 层需 要重新修正次序，以提交到上一层的协议中（如 SCSI）。TCP 完成这一任务的典型操作是使 用重调顺序缓冲器，将数据包的顺序完全整理为正确方式，完成这一操作后，TCP 层将数据 发送到下一层。这些处理都需要消耗主机的 CPU 资源，同时增加事务处理的延时，事实上， 与典型的 FC 或 SCSI 块传输相比，需要更多的 I/O 处理，一种称之为 TCP 负载空闲引擎 TCP Off-loading Engine (TOE)的设备可将主机的处理器负载降低，TOE 解决了这一关键问题。

4.2 性能

工作组和一些分析人士把相当多的注意力放在了确保 IP 存储协议可以非常快的运行上， 因为目前硬盘驱动器的运行速度已经很快，所以 IP 存储产品将以高速运行。然而，也有一 些分析人员认为，IP 存储令人心往的最大优势是 IP 的灵活性，而高速性能则排在第二位。 如果对性能较为看重的话，不推荐使用标准的以太网卡。增强的 iHBA 已达到光纤通道的技 术水平。

4.3 安全性

当存储设备通过 IP 架构进行远距离连接时，安全性变得愈加重要。生产厂家必须明确 产品的安全级别，并确保其安全性。当标准得到批准时，明确要求 IP 存储协议的所有实施 都必须包括可靠的安全性(实现加密数据完整性和保密性)。如果用户不愿使用这些安全措施 的话，他们不必使用，但是产品中必须具有启动安全技术的功能，只有这样厂商才能说他们 的产品符合标准的要求。相当多的技术人员认为这些协议的主要用武之地是在数据中心或其 他一些受防火墙保护的领域。但是，一旦人们将应用放在 IP 上，这个应用是没有什么办法 确定自己的使用环境的，例如在防火墙后使用。这是 的一个重要特性。

4.4 互联性

基于 IP 的协议标准已被 IETF 公布，为了保证这些产品能够相互配合得更好，必须保证 厂家之间采用相同的协议，使各厂家产品具有良好的互联性。

第五章 iSCSI 与各类型存储方案的综合评比

与 Fiber Channel（以下简称 FC）一样， 也属于 大家庭中的一员，它的问世 显然是冲着 FC 的缺点而来的。长久以来，FC 几乎成了 的代名词，但由于相关软硬 件的建置成本偏高、管理技术及门坎也较高，所以几乎只有大型企业才有能力做这方面的建 置与规划，一些企业限于自身规模，也只有望洋兴叹的份。无传输距离限制、建置管理成本 低是 的最大特点。

最重要的就是能在成本上提出大幅改善的方案，也因此打破了 为大型企业禁 脔的藩篱，让中小企业也能享受到 所带来的好处及便利。到底是哪些优良特质，让 成为目前存储业界最热门的话题呢？以下即为读者做一番简单的归纳及分析：

建置成本低廉：不论是适配卡、交换机或缆线的建置， 都比 FC 便宜许多。 管理门坎及维护成本更低：一般来说，FC 多半需要特定的工具软件来操作管理， 所以需要对人员进行一定时间的培训，而且费用不低。但由于 是通过 IP 网络来传输

数据及分配存储资源，所以只要使用网络现有的管理功能即可，比较起来，可以省下大笔管 理费用及培训成本。

节省存储资源、做好集中管理：由于 与 FC 同样支持区块协议（Block Protocol） 的数据存取模式，所以比采用文件协议（File Protocol）的 NAS，更能通过集中管理的方 式，有效的避免存储资源的浪费，进而节省不必要的支出。

没有距离的限制：由于 是通过 IP 网络来传输数据，所以理论上，传输距离可以 达到无限远，这对于异地数据的传输及备援等应用相当有帮助。

传输速度快：千兆网 的速度可达 1Gb，效能上已超越 NAS。如果用 10Gb 以太网络 的时候， 就可以达到 10Gb 的高速，比 FC 的下一代版本－4Gb 还要快。

人才多：随着因特网的日益兴盛，造就了取之不尽、用之不竭的 TCP/IP 网络人才，比 起门坎较高的 FC 来说，这对于专走 IP 网络 Base 的 而言，可说是一大优势。

、 及 NAS 的比较

一般来说，企业在面临 存储解决方案时，多半喜欢拿 FC 及 NAS 与其做 一番比较。在此先就 FC 与 做一比较，基本两者同属于走 Block 协议的 架构，只 不过前者通过光纤，后者由 IP 传输数据罢了，而两者在管理及应用上也大同小异。

至于 与 NAS 的差异， 与 NAS 是完全不同架构的存储方案，前者支持 Block 协议， 后者则支持 File 协议，所以拿两个完全不同协议及架构的标准相比，是不太适宜的。如果 硬要从中做个区别的话，那就是 的精髓在于分享存储配备（Sharing Storages）；NAS 则在于分享数据（Sharing Data）。

为了让读者进一步了解 、FC 及 NAS 的差异，在此还是做一番归纳整理，以供读者 参考：

接口技术： 和 NAS 一样通过 IP 网络来传输数据，FC 则不一样，数据是通过光纤 通道（Fibre Channel）来传递。

数据传输方式：同为 的 及 FC 都采用 Block 协议方式，而 NAS 则采用 File

协议。

传输速度：就目前的传输速度而言是 （10Gb）最快、FC（2Gb）次之，NAS 居末。 基本上，FC 及 的 Block Protocol 会比 NAS 的 File Protocol 快，这是因为在操作系 统的管理上，前者是一个“本地磁盘”，后者则会以“网络磁盘”的名义显示。所以在大量 数据的传输上， 绝对会比 NAS 快得多。

资源共享： 和 NAS 共享的是存储资源，NAS 共享的是数据。

管理门坎： 和 NAS 都采用 IP 网络的现有成熟架构，所以可延用既有成熟的网络 管理机制，不论是建设、管理或维护上，都非常方便及容易。而 FC 则完全独立于一般网络 系统架构，所以需由 FC 厂商提供专属管理工具软件。

管理架构：通过网络交换机， 可有效集中控管多台主机对存储资源的存取及利用， 善用资源的调配及分享，同时速度上也快于网络磁盘的 NAS。

成本：比起 FC 而言，以太网络是个十分成熟的架构，所以同样采用 IP 网络架构的 及 NAS，建设成本低廉、管理容易而且维护方便。至于与 FC 在建设成本上的进一步比较， 可见表 1。

传输距离：原则上，三者都支持长距离的数据传输。FC 的理论值可达 100 公里。通过 IP 网络的 NAS 及 ，理论上都没有距离上的限制，但 NAS 适合长距小档案的传输， 则可以进行长距大量资料的传递。

系统支持：比较起来， 由于技术新较少。FC 主要是由适配卡供货商提供驱动程序 和简单的管理程序。