存儲基礎知識1


---------------------------------------------------------------------------------------------------

1.網絡存儲主要技術

2.主要協議和相關技術

3.文件系統

4.RAID技術

5.數據復制與容災

6.備份技術

7.windows相關

8.linux相關

9.存儲網絡知識

10.存儲I/O

11.雲存儲

12.其他存儲

13.資料

--------------------------------------------------------------------------------------------------------------------------------

1.網絡存儲主要技術

1.1 NAS

NAS簡介

在20世紀80年代初,英國紐卡斯爾大學布賴恩.蘭德爾教授 ( Brian Randell)和同事通過“紐卡斯爾連接”成功示范和開發了在整套UNIX機器上的遠程文件訪問。繼“紐卡斯爾連接”之后, 1984 年Sun公司發布了NFS協議,允許網絡服務器與網絡客戶分享他們的存儲空間。90年代初Auspex工程師創建了集成的NetApp文件管理器,它支持windows CIFS和UNIX NFS協議,並有卓越的可擴展性和易於部署,從此市場有了專用NAS設備。在短短幾年中,NAS憑借簡便高效應用的中心思想,逐漸成為網絡數據存儲方案的主打設備之一。目前EMC公司 Celerra產品擁有優異的性能及多功能性,在全球NAS市場處於領導地位。

 

NAS概念

NAS(Network-Attached Storage,網絡附加存儲)是指連接到計算機網絡的文件級別計算機數據存儲,可以為不同客戶端提供數據存取。

NAS被定義為一種特殊的專用數據存儲服務器,包括存儲器件(一個或多個硬盤驅動器的網絡設備,這些硬盤驅動器通常安排為邏輯的、冗余的存儲容器或者RAID陣列)和內嵌系統軟件,可提供跨平台文件共享功能。NAS通常在一個LAN上占有自己的節點,無需應用服務器的干預,允許用戶在網絡上存取數據,在這種配置中,NAS集中管理和處理網絡上的所有數據,將負載從應用或企業服務器上卸載下來,有效降低總擁有成本,保護用戶投資。

q12.png

 

NAS本身能夠支持多種協議(如NFS、CIFS、FTP、HTTP等),而且能夠支持各種操作系統。NAS是真正即插即用的產品,並且物理位置靈活,可放置在工作組內,也可放在混合環境中,如混合了Unix/Windows局域網的環境中,而無需對網絡環境進行任何的修改。NAS產品直接通過網絡接口連接到網絡上,只需簡單地配置一下IP地址,就可以被網絡上的用戶所共享。

 

NAS特點

與采用存儲區域網絡(SAN-Storage Area Network)的方案比較,采用網絡附加存儲(NAS-Network-Attached Storage)結構的方案具有以下特點:

1). 以網絡為中心,開放的標准協議支持

區別於存儲區域網絡(SAN)的設計方案,網絡接入存儲(NAS)的模式以網絡為中心。該方案利用現有的以太網網絡資源來接入專用的網絡存儲設備,而不是另外再部署昂貴的光纖交換機網絡來連接傳統的存儲設備,這樣保護了用戶對以太網的投資。

近年來,千兆以太網的傳輸帶寬(1000Mbps,為125MB/s)已經得到普及,並且有望朝萬兆以太網發展。屆時,以太網的傳輸帶寬將會是10倍於SAN賴以生存的各種SCSI和 Fiber Channel協議的傳輸帶寬。EMC公司Celerra產品支持目前最流行的TCP/IP網絡協議,而使用的NFS和CIFS文件服務協議也是業界標准協議,充分做到設備的兼容性。

2). 獨立的操作系統

Celerra的DART操作系統具備自主知識產權,專注於文件系統的傳輸。該操作系統功能強大,性能優越,保證了文件系統高速可靠的傳輸。 Celerra后端通過SAN網絡連接后端存儲設備,擁有多條鏈路冗余,避免單點故障,保障了數據安全性。用戶的數據只要保存一個拷貝,即可被前端的各種類型的主機所使用,因此,具備主機無關性。Celerra的DART操作系統對於不同操作系統Unix和Windows同樣保證了數據共享,並且各自的訪問權限亦可得到相應的保證。

3). 安裝及管理簡便

NAS無需服務器直接上網,而是采用面向用戶設計的、專門用於數據存儲的簡化操作系統,內置了與網絡連接所需的協議,整個系統的管理和設置較為簡單。Celerra只要現有的網絡具有空閑的網口,在無需關機的情況下,即可提供給前端不同類型主機進行訪問,無需在主機上安裝任何的軟硬件。

4). NAS底層協議

NAS采用了NFS(Sun)溝通Unix陣營和CIFS溝通NT陣營,這也反映了NAS是基於操作系統的“文件級”讀寫操作,訪問請求是根據“文件句柄+偏移量”得出。

 

1.2 SAN

SAN(Storage Area Network的簡稱)直譯過來就是存儲區域網絡,它采用光纖通道(Fibre Channel)技術,通過光纖通道交換機連接存儲陣列和服務器主機,建立專用於數據存儲的區域網絡。SAN網絡存儲是一種高速網絡或子網絡,SAN存儲系統提供在計算機與存儲系統之間的數據傳輸。一個SAN網絡由負責網絡連接的通信結構、負責組織連接的管理層、存儲部件以及計算機系統構成,從而使SAN技術保證數據傳輸的安全性和力度。SAN具有以下幾點優勢:

1.SAN的可擴展性意味着你有少數的磁盤不受連接到系統上的限制。SAN可以增長到數百個磁盤,但是普通物理服務器的極限只有十幾個。

2.SAN的性能不會受到以太網流量或本地磁盤訪問量的制約。數據通過SAN從自己的私有網絡傳送,隔開用戶流量、備份流量和其他SAN流量。 

3.在正確的配置環境下,SAN數據被區域划分。用戶保存數據的分區和其他人處在同樣的SAN.SAN區域隔離就如同將UNIX服務器和Windows服務器連接到相同的SAN上,但這兩種服務器上的數據訪問是不同的,事實上,Windows系統不能“看到”UNIX的數據,反之亦然。

4.SAN系統不需要重新啟動就能添加新的磁盤,更換磁盤或配置RAID組。數據流完全避開服務器系統,SAN同樣增加了數據備份和恢復性能。

5.分區也可以在SAN上將你的工作負載分離。不僅是將你的數據分離保護,而且對那些影響應用程序性能的不相關的工作負載采取屏蔽。在適當的區域應用SAN共享從性能上講不是問題。

6.SAN有個無可比擬的優勢,就是存儲連接距離為10公里距離(約6英里)。不是說你一定會用到這個優勢,但當你需要的時候,它就能顯現出來。具有距離優勢,可以將數據存儲到一個獨立的位置,從系統服務中脫離出來。

7.在如SAN這樣的存儲網絡上的自動精簡配置的空間利用效率,要比本地存儲的來得高。當一個系統需要更多的存儲資源時,SAN將動態分配資源。這意味着物理系統可以享受自動精簡配置,就像虛擬化那樣。

 

1.3 SAN和NAS的區別

目前磁盤存儲市場上,存儲分類根據服務器類型分為:封閉系統的存儲和開放系統的存儲.

1) 封閉系統主要指大型機,AS400等服務器,開放系統指基於包括Windows、UNIX、Linux等操作系統的服務器;

2) 開放系統的存儲分為:內置存儲和外掛存儲;

      開放系統的外掛存儲根據連接的方式分為:直連式存儲(Direct-Attached Storage,簡稱DAS)網絡化存儲(Fabric-Attached Storage,簡稱FAS)

        開放系統的網絡化存儲根據傳輸協議又分為:網絡接入存儲(Network-Attached Storage,簡稱NAS)和存儲區域網絡(Storage Area Network,簡稱SAN)

由於目前絕大部分用戶采用的是開放系統,其外掛存儲占有目前磁盤存儲市場的70%以上, 因此本文主要針對開放系統的外掛存儲進行論述說明。 

 

今天的存儲解決方案主要為:直連式存儲(DAS)、存儲區域網絡(SAN)、網絡接入存儲(NAS)。(SAN和NAS的 FS反了。。) 

 

 

DAS

開放系統的直連式存儲(Direct-Attached Storage,簡稱DAS)已經有近四十年的使用歷史,隨着用戶數據的不斷增長,尤其是數百GB以上時,其在備份、恢復、擴展、災備等方面的問題變得日益困擾系統管理員。

1)直連式存儲 依賴服務器主機操作系統進行數據的IO讀寫和存儲維護管理,數據備份和恢復要求占用服務器主機資源(包括CPU、系統IO等),數據流需要回流主機再到服務器連接着的磁帶機(庫),數據備份通常占用服務器主機資源20-30%,因此許多企業用戶的日常數據備份常常在深夜或業務系統不繁忙時進行,以免影響正常業務系統的運行。直連式存儲的數據量越大,備份和恢復的時間就越長,對服務器硬件的依賴性和影響就越大。 

2)直連式存儲與服務器主機之間的連接通道通常采用SCSI連接,帶寬為10MB/s、20MB/s、40MB/s、80MB/s等,隨着服務器CPU的處理能力越來越強,存儲硬盤空間越來越大,陣列的硬盤數量越來越多,SCSI通道將會成為IO瓶頸;服務器主機SCSI ID資源有限,能夠建立的SCSI通道連接有限。 

3)無論直連式存儲還是服務器主機的擴展,從一台服務器擴展為多台服務器組成的群集(Cluster),或存儲陣列容量的擴展,都會造成業務系統的停機,從而給企業帶來經濟損失,對於銀行、電信、傳媒等行業7×24小時服務的關鍵業務系統,這是不可接受的。並且直連式存儲或服務器主機的升級擴展,只能由原設備廠商提供,往往受原設備廠商限制。

  SAN

存儲區域網絡(Storage Area Network,簡稱SAN)采用光纖通道(Fibre Channel)技術,通過光纖通道交換機連接存儲陣列和服務器主機,建立專用於數據存儲的區域網絡。SAN經過十多年歷史的發展,已經相當成熟,成為業界的事實標准(但各個廠商的光纖交換技術不完全相同,其服務器和SAN存儲有兼容性的要求)。SAN存儲采用的帶寬從100MB/s、200MB/s,發展到目前的1Gbps、2Gbps。

 NAS

網絡接入存儲(Network-Attached Storage,簡稱NAS)采用網絡(TCP/IP、ATM、FDDI)技術,通過網絡交換機連接存儲系統和服務器主機,建立專用於數據存儲的存儲私網。隨着IP網絡技術的發展,網絡接入存儲(NAS)技術發生質的飛躍。早期80年代末到90年代初的10Mbps帶寬,網絡接入存儲作為文件服務器存儲,性能受帶寬影響;后來快速以太網(100Mbps)、VLAN虛網、Trunk(Ethernet Channel) 以太網通道的出現,網絡接入存儲的讀寫性能得到改善;1998年千兆以太網(1000Mbps)的出現和投入商用,為網絡接入存儲(NAS)帶來質的變化和市場廣泛認可。

由於網絡接入存儲采用TCP/IP網絡進行數據交換,TCP/IP是IT業界的標准協議,不同廠商的產品(服務器、交換機、NAS存儲)只要滿足協議標准就能夠實現互連互通,無兼容性的要求;並且2002年萬兆以太網(10000Mbps)的出現和投入商用,存儲網絡帶寬將大大提高NAS存儲的性能。NAS需求旺盛已經成為事實。首先NAS幾乎繼承了磁盤列陣的所有優點,可以將設備通過標准的網絡拓撲結構連接,擺脫了服務器和異構化構架的桎梏。

其次,在企業數據量飛速膨脹中,SAN、大型磁帶庫、磁盤櫃等產品雖然都是很好的存儲解決方案,但他們那高貴的身份和復雜的操作是資金和技術實力有限的中小企業無論如何也不能接受的。NAS正是滿足這種需求的產品,在解決足夠的存儲和擴展空間的同時,還提供極高的性價比。因此,無論是從適用性還是TCO的角度來說,NAS自然成為多數企業,尤其是大中小企業的最佳選擇。

NAS與SAN的分析與比較 

     針對I/O是整個網絡系統效率低下的瓶頸問題,專家們提出了許多種解決辦法。

     其中抓住症結並經過實踐檢驗為最有效的辦法是:將數據從通用的應用服務器中分離出來以簡化存儲管理。

由圖可知原來存在的問題:每個新的應用服務器都要有它自己的存儲器。這樣造成數據處理復雜,隨着應用服務器的不斷增加,網絡系統效率會急劇下降。解決方案:

從圖可看出:將存儲器從應用服務器中分離出來,進行集中管理。這就是所說的存儲網絡(Storage Networks)。 

使用存儲網絡的好處

  統一性:形散神不散,在邏輯上是完全一體的。 

  實現數據集中管理,因為它們才是企業真正的命脈。 

  容易擴充,即收縮性很強。 

  具有容錯功能,整個網絡無單點故障。 

專家們針對這一辦法又采取了兩種不同的實現手段,即NAS(Network Attached Storage)網絡接入存儲SAN(Storage Area Networks)存儲區域網絡

  NAS:用戶通過TCP/IP協議訪問數據,采用業界標准文件共享協議如:NFS、HTTP、CIFS實現共享。 

  SAN:通過專用光纖通道交換機訪問數據,采用SCSI、FC-AL接口。

 NAS和SAN最本質的不同就是文件管理系統在哪里

SAN結構中,文件管理系統(FS)還是分別在每一個應用服務器上;而NAS則是每個應用服務器通過網絡共享協議(如:NFS、CIFS)使用同一個文件管理系統。

換句話說:NAS和SAN存儲系統的區別是NAS有自己的文件系統管理。

  NAS是將目光集中在應用、用戶和文件以及它們共享的數據上。

  SAN是將目光集中在磁盤、磁帶以及聯接它們的可靠的基礎結構。

將來從桌面系統到數據集中管理到存儲設備的全面解決方案將是NAS加SAN

 

為什么寫NAS就不得不提到SAN呢?原因之一是它們的名字有69關系,容易混淆;之二是NAS和SAN既競爭又合作,很多高端NAS的后端存儲就是SAN。NAS和SAN的整合也是存儲設備的發展趨勢,比如EMC的新產品VNX系列。右圖展示了一台NAS的邏輯結構:雙虛線框表示一台NAS。它通過Fibre Channel從后端SAN獲得存儲空間,創建文件系統后,再通過以太網共享給服務器。SAN提供的存儲單位是LUN,屬於block級別的。經過NAS創建成文件系統后,就變成文件級別的了

如果上邊的邏輯圖還不夠清楚,可以看看下面的物理連接。NAS通過FC Switch連到SAN上,應用服務器再通過Ethernet Switch連到NAS上。同時SAN也直接提供block級別的存儲給應用服務器。

  關於NAS和SAN的區別,可以列出很多來。比如帶寬大小,距離長短,共享優劣等等。幾乎所有區別都是由兩個因素衍生出來的。一個是FC與Ethernet,另一個是block與file system。簡而言之,如果用戶需要通過FC訪問block,就用SAN;如果需要通過Ethernet訪問file system,就用NAS

 

1.4 NAS實現類型對比:統一式、網關式和橫向擴展式(Scale-out)

NAS主要有三種類型的實現:統一式、網關式和橫向擴展式(Scale-out)。統一NAS使用統一的存儲平台將基於NAS和基於SAN的數據訪問合並,提供了可以同時管理二種環境的統一管理界面。網關NAS使用外部存儲來存取數據,網關NAS和存儲的管理操作是分開的。橫向擴展式(Scale-out)NAS可組合多個節點,形成一個集群NAS系統。本文將對比三種不同NAS實現類型。

統一NAS

統一NAS提供文件服務,同時負責存儲文件數據,並提供塊數據訪問支持用於文件訪問的CIFS(Common Internet File System,通用Internet文件系統)和NFS(Network File System,網絡文件系統)協議,以及用於塊級訪問的SCSI(Small Computer System Interface,小型計算機系統接口)和FC(Fibre Channel )協議。因為基於NAS和基於SAN的訪問合並到同一個存儲平台,統一NAS降低了企業的基礎設施成本和管理成本。

統一NAS的一個系統中包括了一個或多個NAS頭及存儲。NAS頭與存儲控制器連接,提供到存儲的訪問。存儲控制器提供了與iSCSI和FC主機的連接。存儲可使用不同的磁盤類型(例如SAS、ATA、FC和閃存盤),以滿足不同的負載需求。下圖顯示的是一個統一NAS連接的例子。

網關式NAS

網關式NAS設備包含一個或多個NAS頭,使用外部存儲或者獨立管理的存儲。與統一NAS相似,存儲是與其他使用塊級I/O的應用共享的。這種解決方案的管理功能比統一存儲復雜,因為NAS頭和存儲器的管理任務是分開的。網關式解決方案可以利用FC基礎設施,例如:交換機等,訪問SAN存儲陣列或直連式存儲陣列。

網關式NAS的擴展性比統一NAS好,因為NAS頭和存儲陣列可以獨立地根據需求進行擴展升級。例如:可以通過增加NAS頭的方式提升NAS設備的性能。當存儲容量達到上限時,網關NAS設備可以獨立於NAS頭對SAN進行擴展,增加存儲容量。網關式NAS通過在SAN環境中進行存儲共享,提高了存儲資源的利用率。下圖是一個網關式NAS連接的例子。

 

橫向擴展式(Scale-out)NAS

統一NAS和網關NAS實現都提供了一定的擴展性能,可以在數據增長和性能需求提高時對資源進行擴展。對NAS設備進行擴展主要涉及增加CPU、內存和存儲容量。擴展性受制於NAS設備對后續增加NAS頭和存儲容量的支持能力。 

橫向擴展式(Scale-out)NAS可組合多個節點,形成一個集群NAS系統。只需要向集群NAS架構中添加節點即可實現資源的擴展。整個集群可看作是一個NAS設備,資源是集中管理的。在需要擴大容量或提高性能的時候,可向集群中添加節點,這不會造成停機下線的情況。橫向擴展NAS可以集合許多性能和可用性中等的節點,形成集群系統擁有更好的總體性能和可用性。它還有易使用、成本低以及理論上可無限擴展的優勢。

橫向擴展式(Scale-out)NAS在集群中的所有節點上創建了一個單一文件系統。節點的所有信息都可以彼此共享,因此連接到任何節點的客戶端都可以訪問整個文件系統。集群NAS將數據在所有節點間分條,同時使用鏡像或效驗方式進行數據保護。數據從客戶端發送到集群時,數據被分割,並行分配給不同節點。當客戶端發送文件讀取請求時,集群NAS從多個節點獲取相應的塊,將他們組合成文件,然后將文件發給客戶端。隨着節點的增加,文件系統實現動態擴展,數據在節點之間均衡分布。每個增加的節點都增加了整個集群的存儲、內存、CPU和網絡能力。因此,整個集群的性能都得到提升。

橫向擴展式(Scale-out)NAS適合解決企業和客戶當前面臨的大數據問題。它統一管理和存儲高速增長的數據,同時又十分靈活,能滿足各種性能需求。下圖顯示的是一個橫向擴展式(Scale-out)NAS連接的例子。

 

 --------------------------------------------------------------------------------------------------------------------------------------------------------------

2. 主要協議和技術

2.1 SCSI訪問控制原理介紹

SCSI-2 Reserve(預留)/Release(釋放)/Reset(重置)

SCSI-2協議中客戶端訪問lun過程如下:

1、客戶端向lun發起預留操作

2、預留操作成功后,客戶端獲得lun操作權限;預留失敗,提示預留沖突,會繼續嘗試,直到預留成功。

3、客戶端操作完畢后,執行釋放操作,其他客戶端可以預留。

SCSI-2訪問控制主要缺點有:

1、預留操作基於路徑。預留和釋放必須由相同的客戶端完成,一台主機不能釋放另外一台主機的預留,同一主機HBA卡不能取消相同主機另外一塊HBA的預留。

2、預留無法長久保留。主機重啟將會丟失預留信息。

3、如果lun已經被預留,其他主機無法再預留。如果其他主機要想獲得lun操作權限,必須對lun進行重置,重置操作可能會導致數據丟失。重置后釋放掉lun現有的預留,重置操作由lun主動發起,原來預留主機並不知曉。

 

SCSI-3 Persistent Reserve (PR)/ PREEMPT(搶占)

SCSI-3協議引入PGR(persistent group reservation)功能。在訪問lun之前,客戶端首先向lun注冊(registration)一個預留密鑰(reservation key),注冊成功后客戶端可以嘗試進行永久預留(reserve),永久預留成功后就可以獲得lun操作權限。預留密鑰是一串16進制的ASCII碼,最長8個字節。永久預留一共6種類型,由1、3、5、6、7、8數字表示。包括兩種操作類型和三種客戶類型,操作類型包括寫排它和所有訪問排他,客戶類型包括所有客戶端、已注冊客戶端和所屬客戶端。數字與永久預留類型對應關系如下:

1-> write exclusive

3-> exclusive access

5-> write exclusive - registrants only

6-> exclusive access - registrants only

7-> write exclusive - all registrants

8-> exclusive access - all registrants.

不同注冊類型對應不同訪問權限。與SCSI-2不同,SCSI-3釋放操作根據預留密鑰。不同客戶端可以使用相同密鑰或是不同密鑰進行預留,具體可以結合永久預留類型決定。客戶端可以通過搶占來獲取已被永久預留的lun訪問權限。SCSI-3搶占和SCSI-2重置不一樣,搶占不會造成數據丟失。

SCSI-3關於PGR相關操作命令分為兩大類:分別是PRIN和PROUT。PRIN主要用於查詢,PROUT用於修改。SCSI命令執行過程中,需要明確該命令是哪種類型。

常見使用場景

1、 集群I/O Fencing

為了防止集群故障發生“腦裂”現象,2-節點集群可以通過SCSI-2 Reseve/Release觸發I/O fencing來保證整個集群正常運行,是SCSI-2不適用於多-節點集群,多-節點集群可以使用SCSI-3 PGR。主流廠商集群套件都已經支持SCSI-3 PGR,比如:VCS、HACAMP、RHCS等。

2、 集群文件系統

集群文件系統需要保證多節點同時訪問存儲時的數據一致性,SCSI-2/SCSI-3都可以滿足,當一個節點嘗試訪問一個已經被預留的存儲就會產生訪問權限沖突。SCSI-3 PGR相比SCSI-2 Reserve/Release更能夠減少訪問權限沖突。

小結:

SCSI-2具體基本訪問控制能力,但是無法滿足Active/Active多路徑環境和集群多節點訪問存儲的需求。SCSI-3通過引入客戶端注冊和操作權限分類概念,強化並行訪問權限控制,彌補SCSI-2的不足。

 

2.2 FCIP

IP光纖通道(FCIP,也被稱為光纖通道隧道連接或存儲隧道連接)是基於IP的存儲網絡協議。作為IP網絡上存儲數據傳輸的兩個主要方法之一,FCIP通過提高存儲數據傳輸的功能和性能,成為實現SAN市場快速開發的關鍵技術。Fibre Channel over IP protocol(FCIP)是一種隧道協議。將多個物理獨立分步的光纖SAN環境,通過IP LAN/MAN/WAN連接起

FCIP使用IP層作為網絡,TCP作為傳輸層,TCP頭部的DF位設置為1. 

FCIP基本概念:

FCIP功能支持可以通過Cisco IPS(ip storage)模塊或者MPS (multiprotocol service) 模塊獲得,FCIP基本概念如下。

FCIP和VE_Port

下圖結合Fibre Channel ISL和Cisco EISL描述FCIP內部模型。

FCIP virtual E(VE) Ports在邏輯上於標准Fbire Channel E Ports一樣,只是使用FCIP協議封裝而不是Fibre Channel。

FCIP協議要求鏈路兩端都是VE Ports。

虛擬ISL鏈路通過FCIP鏈路建立,並在之上傳輸Fibre Channel數據幀。虛擬ISL鏈路和Fibre Channel ISL一樣,兩端是E Port或者TE Port。

 

 FCIP鏈路

FCIP鏈路由兩個FCIP終端之間的一個或者多個TCP連接組成。每個鏈路攜帶FCIP協議封裝過的光纖幀。當FCIP鏈路啟動,FCIP鏈路兩端的VE端口會創建一個virtual (E)ISL鏈路,並且初始化E端口協議拉起(E)ISL鏈路。默認情況下,Cisco MDS 9000系列交換機會為每個FCIP鏈路創建兩個TCP連接。

  1. 一個連接用於數據幀傳輸
  2. 另外一個連接用戶Fibre Channel控制幀(所有F類型幀)。專門一個連接用於傳輸Fibre Channel控制幀是為了保證控制幀低延遲。

在IPS或者MPS模塊上使用FCIP功能之前,首先需要配置FCIP interface和FCIP profile。

FCIP鏈路再兩個節點之間建立成功只是,VE Port初始化過程與E Port一樣。初始化過程與FCIP或者Fibre Channel無關,而是基於E Port發現過程(ELP,ESC)。在Fibre Channel層,E Port和VE Port是一樣的。

FCIP Profile

FCIP profile包含本地IP地址和TCP端口燈參數配置信息。FCIP profile的本地IP地址具體FCIP鏈路使用哪個Gigabit以太網口。

FCIP Profile與FCIP鏈路關系圖如下:

 

 FCIP接口

FCIP接口是指FCIP鏈路本地以太網接口和VE Port接口。所有FCIP和E Port配置都是正對FCIP接口。

FCIP參數包含以下:

  1. Gigabit以太網口和TCP連接參數
  2. 對端信息
  3. FCIP鏈路TCP連接數量
  4. E Port參數(trunking模式和trunk  allowed VSAN列表)

 

2.3 iSCSI, FC和FCoE的比較和適用場景

FC是部署最多的SAN協議了,大家都很熟悉。iSCSI和FCoE都運行在以太網上,因此可以幫助企業節省IT架構的投入成本和復雜度。特別是iSCSI,可以直接沿用企業現有的IT架構,對很多中小型企業這是不可忽視的優勢。這三種協議工作在不同的網絡層。FCoE起步就是10Gb以太網;而iSCSI可以工作在1Gb或10Gb以太網;FC則有2GB、4Gb或8GB。另外iSCSI支持software initiator,普通台式機也可以接入存儲。

iSCSI

The Internet Small Computer Systems Interface (iSCSI) protocol 

iSCSI是將SCSI命令在封裝在TCP/IP包里面,並使用一個iSCSI幀頭;封裝SCSI數據包成為iSCSI需要大量消耗處理器資源。然而,iSCSI的基於TCP/IP的操作也同樣有一個巨大優勢,易於路由,不必特殊硬件即可實現,這也是FCoE一直應用於數據中心的一個重要原因。

FCIP

Fibre Channel over TCP/IP (FCIP) 

FCIP是在IP tunnel的基礎上傳送FC包,FC里面再封裝SCSI命令;為一類簡單的隧道協議,它能將兩個Fibre Channel網連接起來,形成更大的光纖交換網。用於擴展第2層網絡的橋接解決方案,

FCIP的特性在於:首先,FCIP只能在FCIP設備之間建立點到點連接,即FCIP設備一端(IP端)和另外一個FCIP設備的IP端進行連接,FCIP設備的另外一端(FC端)和FC光纖通道交換機進行連接,FCIP設備無法在兩個獨立存儲設備之間提供本地IP連接;其次,由於FCIP是一種不透明的傳輸協議,即一個SAN向另一個SAN發送的信息在FC層沒有錯誤檢測,容易將一個SAN上的錯誤蔓延到各個SAN;再次是FC和IP網絡之間線速的不匹配,或者FCIP引擎的低效實現,都有可能使得FCIP設備成為一個瓶頸。如果FCIP通道崩潰,兩個遠程FC交換機之間的連接也不會自動恢復,這對商業應用來說顯然是難以接受的。

基於FCIP的設備現在有Brocade多協議路由器等。

FCIP ( Fibre Channel over IP ,基於 IP 的光纖信道協議) 描述了一種機制,能夠通過 IP 網絡將各個孤立的光纖信道存儲區域網絡連接起來, 從而形成一個統一的存儲區域網絡 。 FCIP 為一類簡單的隧道協議, 它能將兩個 Fibre Channel 網連接起來,形成更大的光纖交換網。 FCIP 類似於用於擴展第 2 層網絡的橋接解決方案, 它本身不具備 iFCP 特有的故障隔離功能。 數據格式如下:

iFCP

The Internet Fibre Channel Protocol (iFCP) supports Fibre Channel Layer 4 FCP over TCP/IP. It is a gateway-to-gateway protocol where TCP/IP switching and routing components complement and enhance, or replace, the Fibre Channel fabric.

iFCP的工作原理是:將Fibre Channel數據以IP包形式封裝,並將IP地址映射到分離Fibre Channel設備。

由於在IP網中每類Fibre Channel設備都有其獨特標識,因而能夠與位於IP網其它節點的設備單獨進行存儲數據收發。(因為FChdr跟IPhdr有映射)

在同一本地存儲局域網(san)或者通過傳輸控制協議/互聯網絡協議(TCP/IP協議)在因特網上,Internet光纖信道協議(iFCP)將可以實現光纖信道設備間的存儲數據流暢收發。通過運用內建的TCP擁塞控制、錯誤檢測以及故障修復機制,iFCP同樣能在Fibre Channel網中進行完整的錯誤控制。Internet光纖信道協議(iFCP)兼容目前的小型計算機系統接口(SCSI)和網絡運行光纖信道(Fibre Channel)通信標准。它不但可以和當前的基於IP的光纖信道標准FCIP(Fibre Channel over IP)草案互聯,也可以取代這個標准。 Internet光纖信道協議(iFCP)具有一些基於IP的光纖信道標准(FCIP)不具備的特點。比如說,FCIP為一類簡單的隧道協議,它能將兩個Fibre Channel網連接起來,形成更大的光纖交換網。FCIP類似於用於擴展第2層網絡的橋接解決方案,它本身不具備iFCP特有的故障隔離功能。由於iFCP能夠取代和兼容FCIP,因此iFCP具有更強的靈活性。iFCP的典型應用是用於SAN對SAN互連。這時Fibre Channel網連接到iFCP網關,通信依次透過城域網(MAN)或WAN進行。

iFCP(Internet Fibre Channel, Internet 光纖信道協議)是一種網關到網關的協議,為 TCP/IP 網絡上的光纖設備提供光纖信道通信服務。 iFCP 的工作原理是:將 Fibre Channel 數據以 IP 包形式封裝,並將 IP 地址映射到分離 Fibre Channel 設備。 由於在 IP 網中每類 Fibre Channel 設備都有其獨特標識,因而能夠與位於 IP 網其它節點的設備單獨進行存儲數據收發。數據格式如下:

FCoE

Fibre Channel over Ethernet (FCoE) is an encapsulation of Fibre Channel frames over Ethernet networks. 

FCoE,適合10Gb以太網。融合存儲網和以太網的一種協議。FCoE被定位在企業級應用,而iSCSI則定位在小型商務應用級別。FCoE 連接方式FCoE 連接方式

因為FCoE機制必須支持存儲數據的讀寫,所以所有網絡存儲路徑下的終端設備和以太網交換機必須支持雙向IEEE 802.3x流控制。盡管這樣的效果可能不如Buffer-to-buffer Credits機制那么理想,但是IEEE 802.3x暫停幀可以提供對應的功能性,來調節存儲流量並防止阻塞和緩沖區溢出引起的丟幀。

FCoE也必須解決以太網和光纖通道各自所傳輸的幀之間的差異。通常一個以太網的幀最大為1518字節。而一個典型的光纖通道幀最大為大約2112字節。因此在以太網上打包光纖幀時需要進行分段發送,然后在接收方進行重組。這會導致更多的處理開銷,阻礙FCoE端到端傳輸的流暢性。

因此需要一個更大的以太網幀來平衡光纖通道和以太網幀大小上的差異。有一個稱為"巨型幀"的實質標准,盡管不是正式的IEEE標准,但它允許以太網幀在長度上達到9k字節。在使用"巨型幀"時需要注意,所有以太網交換機和終端設備必須支持一個公共的"巨型幀"格式。

最大的巨型幀(9K字節)可以實現在一個以太網幀下封裝四個光纖通道幀。但是這會使光纖通道連接層恢復以及應用802.3x暫停指令的緩沖流量控制變得更加復雜。如圖2所示,FCoE向一個巨型以太網幀內封裝一個完整的光纖幀(不使用循環冗余校驗)。因為以太網已經提供了幀檢驗序列(FCS)來檢驗傳輸數據的完整性,所以不需要光纖幀的循環冗余校驗(CRC)。這進一步降低了傳輸層所需的處理開銷,同時提高通道的性能。由於光纖幀可能包括拓展的、可選擇的信頭或虛擬光纖標記信息,所以以太網"巨型幀"的大小就不合適,並且會隨着封裝光纖幀的需要而發生變化。FCoE

應用環境:

  • iSCSI:SCSI與TCP/IP結合,把SCSI命令和數據用IP包封裝起來,事實上ISCSI作為傳輸層的東西。
  • FCIP:是一個隧道協議,講FC的數據包封裝成IP數據包,成為一個IP隧道,注意的是IP數據包里面的數據是FC的數據包,這個是協議封裝協議的思想。
  • iFCP:是一個轉換協議,講FC協議和TCP/IP協議進行轉換,是在網關上執行的。也就是說將FC的數據包轉化為IP數據包。注意的是IP數據包里面的數據就是數據。
  • 一般iSCSI和FCOE是用於SAN也就是本地連接部分居多,而FCIP和IFCP是多用於兩個SAN之間的連接使用的。

iFCP,FCIP,iSCSI,FCoE區別iFCP,FCIP,iSCSI,FCoE區別iFCP,FCIP,iSCSI,FCoE區別

 

 

 

2.4 網絡虛擬化

• 網絡虛擬化(一):簡介

• 網絡虛擬化(二):虛擬交換機

• 網絡虛擬化(三):VXLAN虛擬可擴展局域網(上)

• 網絡虛擬化(四):VXLAN虛擬可擴展局域網(下)

• 網絡虛擬化(五):通過划Zone來提高虛擬網絡的安全性

2.4.1 簡介

  目前,軟件定義的數據中心是一大熱門技術,VMware作為全球最大的虛擬化廠商實現了通過軟件可以定義應用及其所需的所有資源,包括服務器、存儲、網絡和安全功能都會實現虛擬化,然后組合所有元素以創建一個軟件定義的數據中心。通過虛擬化可以減少服務器部署的時間和成本,可以實現靈活性和資源利用率的最大化,可以在調配虛擬機時對環境進行自定義,在軟件定義的數據中心里虛擬機可以跨越物理子網邊界。

  傳統的網絡在第2層利用VLAN來實現廣播隔離,在以太網數據幀中使用12位的VLAN ID將第二層網絡划分成多個廣播域,VLAN數量需少於4094個。但隨着虛擬化的普及,4094個的數值上限面臨着巨大壓力。此外,由於生成樹協議(STP)的限制,極大的限制了可以使用的VLAN 數量。基於VXLAN的網絡虛擬化解決了傳統物理網絡面臨的諸多難題。

  網絡虛擬化可將網絡抽象化為一個廣義的網絡容量池。因此便可以將統一網絡容量池以最佳的方式分割成多個邏輯網絡。您可以創建跨越物理邊界的邏輯網絡,從而實現跨集群和單位的計算資源優化。不同於傳統體系架構,邏輯網絡無需重新配置底層物理硬件即可實現擴展。VMware網絡虛擬化是通過虛擬可擴展局域網(VXLAN)技術,創建疊加在物理網絡基礎架構之上的邏輯網絡。

  VMware網絡虛擬化解決方案滿足了數據中心的以下幾大需求:

• 提高計算利用率

• 實現集群的擴展

• 跨數據中心內多個機架利用容量

• 解決IP尋址難題

• 避免大型環境中VLAN數量劇增問題

• 實現大規模多租戶

  通過采用網絡虛擬化,可以有效的解決這些問題並實現業務優勢:

• 加快網絡和服務的調配速度,實現業務敏捷性。

• 將邏輯網絡與物理網絡分離,提供充分的靈活性。

• 大規模隔離網絡流量並將其分段。

• 自動執行可重復的網絡和服務調配工作流。

 

 2.4.2 虛擬交換機

  虛擬交換機在許多方面都與物理以太網交換機相似。每個虛擬交換機都是互相隔離的,擁有自己的轉發表,因此交換機查找的每個目的地只能與發出幀的同一虛擬交換機上的端口匹配。它可以在數據鏈路層轉發數據幀,然后通過以太網適配器出口連接到外部網絡。虛擬交換機能夠將多個以太網適配器綁定在一起,類似於傳統服務器上的網卡綁定,從而為使用虛擬交換機提供更高的可用性和帶寬。它還支持端口級別的VLAN分段,因此可以將每個端口配置為訪問端口或中繼端口,從而提供對單個或多個VLAN的訪問。

  但是與物理交換機不同,虛擬交換機不需要生成樹協議,因為它強制使用單層網絡連接拓撲。多個虛擬交換機無法進行互連,在同一台主機內,網絡通信流量無法在虛擬交換機之間直連流動。虛擬交換機通過一個交換機提供用戶需要的所有端口。虛擬交換機無需進行串聯,因為它們不共享物理以太網適配器。

虛擬交換機可提供二種與主機和虛擬機相連接的類型

  • 將虛擬機連接到物理網絡。

  • 將VMkernel服務連接到物理網絡。VMkernel服務包括訪問IP存儲(如:NFS或iSCSI)、執行vMotion遷移以及訪問管理網絡。

設計網絡連接環境時,您可以通過VMware vSphere將所有網絡都置於一個虛擬交換機中。或者,您也可以選擇多個虛擬交換機,每個虛擬交換機具有一個單獨的網絡。具體作何選擇在某種程度上取決於物理網絡的布局。例如:您可能沒有足夠的網絡適配器,無法為每個網絡創建一個單獨的虛擬交換機。因此,您可能會將這些網絡適配器綁定在一個虛擬交換機上,然后使用VLAN來隔離這些網絡。

虛擬網絡支持二種類型的虛擬交換機

• 虛擬網絡標准交換機:主機級別的虛擬交換機配置。 

標准交換機可以將多個虛擬機連接起來,並使它們彼此可以進行通信。每個標准交換機最多有4088個虛擬交換機端口,而每台主機最多有4096個虛擬交換機端口。下圖顯示了幾個標准交換機的不同用途。這些交換機從左到右依次為:

1.     配置綁定網卡的標准交換機。綁定的網卡可自動分發數據包以及執行故障切換。

2.     僅限內部使用的標准交換機,允許單個ESXi主機內的虛擬機直接與其他連接到同一標准交換機的虛擬機進行通信。VM1和VM2可使用此交換機互相通信。

3.     配置一個出站適配器的標准交換機。該交換機提供VM3使用。

4.     VMkernel用來實現遠程管理功能的標准交換機。

•   虛擬網絡分布式交換機:虛擬網絡分布式交換機是一款數據中心級交換機。標准交換機基於主機工作,交換機配置保存在ESXi主機上面。而數據中心交換機能夠獨立於物理結構實現統一虛擬化管理。虛擬網絡分布式交換機配置通過vCenterServer管理,並且所有虛擬網絡配置的詳細信息都存儲在vCenter Server數據庫中。VXLAN網絡可在一個或多個vSphereDistributed Switch上進行配置。

  另外,vNetwork分布式交換機具有以下特征:

1. 獨立於物理結構的統一網絡虛擬化管理。

2. 針對整個數據中心管理一台交換機與針對每台主機管理若干標准虛擬交換機。

3. 支持VMware vSpherevMotion,因此統計數據和策略可隨虛擬機一同轉移。

4. 獨立的管理界面。

5. 高級流量管理功能。

6. 監控和故障排除功能,如NetFlow和端口鏡像。

7. 主機級別的數據包捕獲工具(tcpdump)。

 

 2.4.3 VXLAN虛擬可擴展局域網(上)

在2011年的VMworld大會上,VMware提出了VXLAN(virtual Extensible LAN虛擬可擴展局域網)技術。VXLAN技術是VMware、CISCO、Arista、Broadcom、Citrix和Redhat等廠商共同開發用於虛擬網絡的技術,與之抗衡的有Microsoft聯合Intel、HP和Dell開發的NVGRE標准(Network Virtualization using Generic Routing Encapsulation)。本文將重點介紹VXLAN的優勢、VMware的VXLAN組件和應用案例分析。

VXLAN邏輯網絡有以下幾項優於傳統物理網絡的明顯優勢:

1、突破了傳統VLAN的數量限制。

物理網絡使用VLAN來限制和隔離第2層廣播域,VLAN的數量上限為4094個。隨着主機虛擬化技術的興起,4094個VLAN數已經遠不能滿足雲數據中心的需求。不同於VLAN的4094限制,VXLAN網絡可以支持多達1600萬個VLAN標識符。

2、突破了傳統的物理界限,滿足多租戶環境和規模擴展的需求。

VXLAN網絡是一個創建疊加在物理網絡基礎架構之上的邏輯網絡,實現了在底層硬件上的獨立配置。VXLAN網絡大大減少了數據中心網絡管理和配置所花費的時間,它提供的多層次網絡拓撲結構和企業級安全服務,可將部署、調配時間從幾周減少到數小時。同時,在VXLAN網絡部署的虛擬機可以實現跨物理機遷移,例如:北京數據中心的虛擬機可以和上海的數據中心的虛擬機在二層網絡上進行通信,打破了傳統的二層網絡的界限。

3、解決STP(生成樹協議)高負荷

VXLAN 中使用了新技術替代STP(生成樹協議), 因此解決了匯聚層交換機由於STP高負荷導致的壓力過大問題。 

vSphere 5.5版本中,VXLAN實現組件包括:

•  vShield Manager

  vShield Manager是vShield的集中式網絡管理組件,可作為虛擬設備安裝在vCenter Server 環境中的任意ESX主機上。vShieldManager可在與安裝vShield代理不同的ESX主機上運行。使用 vShield Manager用戶界面或vSphere Client插件,管理員可以安裝、配置和維護vShield組件。vShield Manager可以定義並管理VXLAN網絡,包括:定義VXLAN網絡的延展范圍、配置vSphere承載VXLAN網絡的VDS和配置VTEP等。

•  vSphere分布式交換機

  在VXLAN網絡中vSphere分布式交換機用於連接主機和互連。

•  vSphere主機

  在VXLAN網絡中每台vSphere主機上需要配置虛擬安全加密鏈路端點(VETP)模塊,每個主機VEP會分配到一個唯一的IP地址,在vmknic虛擬適配器上進行配置,用於建立主機之間的通信安全加密鏈路並承載VXLAN流量。VTEP由以下三個模塊組成:

  1). vmkernel模塊

  此模塊負責VXLAN數據路徑處理,其中包括轉發表的維護以及數據包的封裝和拆封。

  2)、vmknic虛擬適配器

  此模塊用於承載VXLAN控制流量,其中包括對多播接入、DHCP和ARP請求的響應。

  3)、VXLAN端口組

  此端口組包括物理網卡、VLAN信息、綁定策略等。端口組參數規定了VXLAN流量如何通過物理網卡進出主機VTEP。

創建VXLAN虛擬網絡案例演示

此方案的情形如下:在數據中心的兩個群集上有多個 ESX 主機。工程部門和財務部門都在Cluster1 上。市場部門在Cluster2 上。兩個群集都由單個vCenter Server 5.5進行 管理。

 

Cluster1 上的計算空間不足,而 Cluster2 未充分利用。老板要求IT管理員將工程部門的虛擬機擴展到 Cluster2上,實現工程部門的虛擬機位於兩個群集中,並且能夠彼此通信。如果 IT管理員使用傳統方法解決此問題,他需要以特殊方式連接單獨的 VLAN 以便使兩個群集處於同一二層域中。這可能需要購買新的物理設備以分離流量,並可能導致諸如 VLAN 散亂、網絡循環以及系統和管理開銷等問題。

通過 VXLAN技術,IT管理員可以通過跨dvSwitch1 和 dvSwitch2 構建VXLAN 虛擬網絡,在不添加物理設備的情況下達到要求。

 

 

 2.4.4 VXLAN虛擬可擴展局域網(下)

VXLAN傳輸數據包

VXLAN虛擬可擴展局域網是一種overlay的網絡技術,使用MAC in UDP的方法進行封裝,在封裝包中間添加了一層共50字節的VXLAN Header,然后以IP數據包的形式通過3層網絡進行傳輸。位於VXLAN安全加密鏈路任何一端的虛擬機不知道這個封裝包。同時,物理網絡中的設備也不知道虛擬機的源或目的MAC或IP地址。VXLAN的封裝結構如下圖所示:

1. VXLAN Header:

  共計8個字節,目前被使用的是Flags中的一個標識位和24bit的VXLAN Network Identifier,其余的部分沒有定義,但是在使用的時候必須設置為0×0000。

2. 外層的UDP報頭:

  目的端口使用4789,但是可以根據需要進行修改。同時UDP的校驗和必須設置成全0。

3. IP報文頭:

  目的IP地址可以是單播地址,也可以是多播地址。

  單播情況下,目的IP地址是VXLAN Tunnel End Point(VTEP)的IP地址。

  在多播情況下引入VXLAN管理層,利用VNI和IP多播組的映射來確定VTEPs。

從封裝的結構上來看,VXLAN提供了將二層網絡overlay在三層網絡上的能力,VXLAN Header中的VNI有24個bit,數量遠遠大於4096,並且UDP的封裝可以穿越三層網絡,因此比的VLAN更好的可擴展性。

 

VXLAN協議網絡工作原理

(1)、網絡初始化

在VXLAN協議工作前需要進行網絡初始化配置。網絡初始化就是讓虛擬網絡中的主機加入到該VXLAN網絡所關聯的多播組。例如:VM1和VM2連接到VXLAN網絡,那么二台VXLAN主機(ESXi1和ESXi2)就需要先加入IP多播組239.119.1.1。VXLAN的網絡標識符(VNI)就是網絡ID。

(2)、ARP查詢

下圖描述了VXLAN協議中二個連接到邏輯2層網絡的虛擬機(VM1和VM2)ARP查詢流程。

1.     VM1以廣播形式發送ARP請求;

2.     VTEP1封裝報文。本例中,VXLAN 100關聯在IP多播組239.119.1.1中,VNI為100;

3.     VTEP1通過多播組將數據包發送給VTEP2;

4.     VTEP2接收到多播包。VTEP2將驗證VXLAN網段ID,拆封數據包,然后將通過2層廣播包的形式其轉發到虛擬機VM2;

5.     VM2收到廣播包后發送ARP響應。

注意:VTEP1只會在VTEP轉發表中沒有虛擬機MAC與該MAC地址的VTEP IP之間的映射時,才會生成多播包。在廣播數據包時,如果MAC轉發表中沒有與幀目的MAC地址相匹配的條目,2層交換機會執行ARP查詢操作。在發現虛擬機MAC地址與VTEP IP地址的映射條目並將其更新到轉發表中后,任何與該特定虛擬機通信的請求都將通過點到點安全加密鏈路傳輸。

 

(3)、ARP應答

ARP應答處理流程類似於ARP請求,不同之處在於VM2將通過單播包進行ARP響應。因為VTEP2已經獲得了VM1的MAC地址、IP地址以及VTEP1的信息。VTEP2將建立一個轉發條目,以后交換數據包操作會使用該轉發條目。

(4)、VXLAN網關

如果需要VXLAN網絡和非VXLAN網絡連接,必須使用VXLAN網關才能把VXLAN網絡和外部網絡進行連接。下圖描述了VXLAN網關的工作原理:

1.     VM2通過網關MAC地址向網關發送數據包;

2.     VTEP2封裝數據包,通過多播(第一次)發送給VTEP1;

3.     VTEP1拆封數據包,並發送到網關;

4.     網關將IP數據包路由到Internet。

 

案例(一)

當二台虛擬機在同一邏輯2層網絡中時,如果二個虛擬機都在同一台vSphere主機上,那么數據包無需封裝。如果二個虛擬機在不同vSphere主機上,一台vSphere主機上的源VTEP將虛擬機數據包封裝到一個新UDP標頭中,並通過外部IP網絡將其發送到另一台vSphere主機上的目標VTEP。

案例(二)

圖中顯示了二個虛擬網絡VXLAN-A和VXLAN-B。二個網絡分別屬於192.168.1.0/24網段和192.168.2.0/24網段,二個網絡通過VXLAN網關進行連接。以下是可能情況:

(1)、當所有虛擬機和VXLAN網關位於同一vSphere主機上時。虛擬機將流量導向各自邏輯網絡子網的網關IP地址,VXLAN會根據防火牆規則在二個不同接口之間進行路由。

(2)、當所有虛擬機不在同一台vSphere主機上,而VXLAN網關部署在其中一台vSphere主機時。虛擬機的流量將被封裝到數據包,然后進過物理網絡傳送到VXLAN網關,之后將由網關將數據包路由到正確的目標。

(3)、當所有虛擬機和VXLAN網關不在同一台vSphere時。數據包傳輸將類似於情況2。

 

 

 2.4.5  通過划Zone來提高虛擬網絡的安全性

  虛擬環境面臨的最常見威脅是不安全的接口和網絡、過高的權限、錯誤配置或不當管理,以及未打補丁的組件。由於虛擬機是直接安裝在服務器硬件上的,因此許多常規安全漏洞並不存在太大的安全威脅。在vSphere環境中,必須保護好以下基本組件:

•       物理網絡和虛擬網絡

•       基於IP的存儲和光纖通道

•       物理和虛擬應用服務器以及應用客戶端

•       托管虛擬機的所有ESXi系統

•       數據中心內的所有虛擬機

•       虛擬機上運行的應用程序

划Zone是保護物理網絡和虛擬網絡的一種有效方法。Zone定義了一個網段,在網段中的數據流入和流出都將受到嚴格的控制。在虛擬網絡中,常見的划Zone方式有以下三種:

1)、通過物理設備實現分離

在這種配置中,每個區域都采用單獨的ESXi物理主機或集群,區域隔離是通過服務器的物理隔離和物理網絡安全設定來實現的。這種配置方法較為簡單,復雜度較低,不需要對物理環境進行調整,是一種將虛擬技術引入網絡的好辦法。但是,這種配置方法會制約虛擬化提供的優勢,資源整合率和利用率較低,使用成本較高。

2)、通過虛擬技術實現分離

在這種配置中,通過使用虛擬交換機可以將虛擬服務器連接到相應的區域,在同一台ESXi主機上設置不同信任級別的虛擬服務器,這種區域是在虛擬化層中實施的。雖然這種方法可以實現在物理機和虛擬領域實施不同的安全設定,但是仍然需要通過物理硬件來確保區域之間的網絡安全。雖然在每個區域中都顯示了不同的虛擬交換機,但是用戶仍然可以使用VLAN以及單個虛擬交換機上不同的端口組實現相同的目的。

這種方法較好的整合了物理資源,能較好地利用虛擬化優勢,成本較低。然而,與采用物理設備實現分離相比,這種配置較為復雜,必須明確配置人員,需要定期審核配置。

 

3)、完全合並再分離

這是一種建立在完全虛擬前提下的隔離。用戶可以將不同安全級別的虛擬機置於不同物理服務器上,並將網絡安全設備引入虛擬基礎架構。通過虛擬網絡設備實現管理和保護虛擬信任域之間的通行。例如:通過VMware的vShield組件,可以為不同區域建立通信,同時監控通信。

這種配置中,所有的服務器和安全設備都進行了虛擬化,用戶可以隔離虛擬服務器和網絡,使用虛擬安全設備管理不同區域之間的通信。這是配置能夠充分利用資源,減低成本,通過單個管理工作站管理整個網絡,但是配置和管理最為復雜,出錯幾率較高。

 

 

2.5 iSCSI存儲系統基礎知識

2.5.1 第一部分

背景:

  相比直連存儲,網絡存儲解決方案能夠更加有效地共享,整合和管理資源。從服務器為中心的存儲轉向網絡存儲,依賴於數據傳輸技術的發展,速度要求與直連存儲相當,甚至更高,同時需要克服並行SCSI固有的局限性。所有數據在沒有文件系統格式化的情況下,都以塊的形式存儲於磁盤之上。並行SCSI將數據以塊的形式傳送至存儲,但是,對於網絡它的用處相當有限,因為線纜不能超過25米,而且最多只能連接16個設備。光纖通道是目前SAN的主導架構,它在專門的高速網絡上分離存儲資源。光纖通道協議與互聯技術起源於滿足高性能傳送塊數據的需求,同時克服直連存儲的連接和距離限制。通常光纖通道設備連接距離可達到10000米,甚至數十萬米,並且對於連接在SAN之上的設備沒有數量要求。與SAN不同,NAS將數據以文件的形式傳輸並且可以直接連接至IP網絡。部署NAS設備傳送數據庫塊數據,使用基於SCSI的光纖通道協議比Server Message Block(SMB)協議更加高效。

什么是iSCSI:

  iSCSI是一種使用TCP/IP協議在現有IP網絡上傳輸SCSI塊命令的工業標准,它是一種在現有的IP網絡上無需安裝單獨的光纖網絡即可同時傳輸消息和塊數據的突破性技術。iSCSI基於應用非常廣泛的TCP/IP協議,將SCSI命令/數據塊封裝為iSCSI包,再封裝至TCP 報文,然后封裝到IP 報文中。iSCSI通過TCP面向連接的協議來保護數據塊的可靠交付。由於iSCSI基於IP協議棧,因此可以在標准以太網設備上通過路由或交換機來傳輸。

  iSCSI架構依然遵循典型的SCSI模式:隨着光纖通道的發明initiator和target之間的SCSI線纜已被光線線纜所代替。現在隨着iSCSI的出現光纖線纜又被價格低廉的網線和TCP/IP網絡所替代。

  然現有的光纖存儲網絡具有高吞吐量的優勢,與其他廠商之間的互通性仍是一個短板。而基於成熟的TCP/IP協議的iSCSI網絡,不僅免於互通性限制而且在安全性等方面具備優勢。同時,由於千兆以太網的增量部署,iSCSI的吞吐量也會隨之增加,與光線通道匹敵甚至超越光線通道。

iSCSI的優勢:

長距離連接:SAN網絡集中管理存儲資源,能夠覆蓋一個市區范圍。對於分布在海外的組織則面臨一系列未連接的“SAN孤島”,當前的光纖通道連接受限於10km而無法橋接。有擴展的光纖通道連接可達數百公里,但這些方法既復雜又昂貴。廣域網iSCSI (wide area network, WAN)提供了一種經濟的長距離傳輸,可用於目前FC SAN或iSCSI SAN的橋接。

更低成本:不同於FC SAN解決方案需要部署全新的網絡基礎架構,並且需要專業技術知識,專門的硬件故障排查,iSCSI SAN解決方案充分利用了現有的局域網基礎設施,使之可廣泛應用於大多數組織。

簡化部署和實施:iSCSI解決方案僅需要在主機服務器上安裝iSCSI initiator,一個iSCSI target存儲設備,一個千兆比特以太網交換機以在IP網絡傳輸塊數據。諸如存儲配置,調配,備份這樣的管理操作可由系統管理員處理,與管理直連存儲方式相同。而像集群這樣的解決方案使用iSCSI也比FC更為簡易。

固有的安全性:光纖通道協議並沒有內嵌的安全保障。取而代之,通過對SAN的物理連接限制來保障安全。雖然對於被限制在加鎖的數據中心的SAN來說是有效的,但隨着FC協議變得更加廣為人知以及SAN開始連接到IP網絡,這種安全方法已失去其功效。

相比之下,微軟實施的iSCSI協議使用質詢握手身份驗證協議(CHAP)進行驗證和Internet協議安全(IPSec)標准加密為網絡上的設備提供安全保障。目前,iSCSI target實現了CHAP,但暫時沒有更加先進的方法。

iSCSI的現狀與挑戰:

iSCSI這幾年來得到了快速發展,近兩年iSCSI的熱度持續走高,各存儲設備廠商紛紛推出iSCSI設備,銷量也在快速增長。基於iSCSI的SAN現在已經相對成熟。10Gbps以太網的出現極大地改變了iSCSI的傳輸速率,大多數應用的響應能力完全可以適應用戶的需求。同時iSCSI產品的采購成本與維護成本都比FC要低。

但是,iSCSI仍受到幾個掣肘:iSCSI架構於IP協議之上,因此也繼承了IP協議本身的缺陷:區分不同流量優先等級,防止丟包的QoS與流量控制機制不足,而FCoE在這一點上,具備暫停幀需求和將高優先級流量先於低優先級流量傳輸的功能,無疑具有先天的優勢。即使帶寬提升到10Gb,TCP/IP協議管理方面的問題在仍會影響iSCSI的效率表現。 此外,以太網帶寬擴展到10Gb只是外部傳輸通道的增加,如果主機I/O處理能力、存儲陣列性能無法跟上,則存儲網絡整體性能同樣會受到影響。目前iSCSI在高I/O環境下的性能表現仍不如光纖通道。

 

2.5.2 第二部分

iSCSI SAN概念解析:

iSCSI SAN組件與FC SAN組件相類似。包括以下部件:

  iSCSI Client/Host

  系統中的iSCSI客戶端或主機(也稱為iSCSI initiator),諸如服務器,連接在IP網絡並對iSCSI target發起請求以及接收響應。每一個iSCSI主機通過唯一的IQN來識別,類似於光纖通道的WWN。

要在IP網絡上傳遞SCSI塊命令,必須在iSCSI主機上安裝iSCSI驅動。推薦通過GE適配器(每秒1000 megabits)連接至iSCSI target。如同標准10/100適配器,大多數Gigabit適配器使用Category 5 或Category 6E線纜。適配器上的各端口通過唯一的IP地址來識別。

  iSCSI Target:

  iSCSI target是接收iSCSI命令的設備。此設備可以是終端節點,如存儲設備,或是中間設備,如IP和光纖設備之間的連接橋。每一個iSCSI target通過唯一的IQN來標識,存儲陣列控制器上(或橋接器上)的各端口通過一個或多個IP地址來標識。

 

本機與異構IP SAN

  iSCSI initiator與iSCSI target之間的關系如圖1所示。本例中,iSCSI initiator(或client)是主機服務器而iSCSI target是存儲陣列。此拓撲稱為本機iSCSI SAN,它包含在TCP/IP上傳輸SCSI協議的整個組件。

  與之相反,異構IP SAN,如下圖所示,包含在TCP/IP與光纖交換結構傳輸SCSI的組件。為了實現這一點,需要在IP與光纖通道之間安裝連接橋或網關設備。連接橋用於TCP/IP與光纖通道之間的協議轉換,因此iSCSI主機將存儲看做iSCSI target。直接連接光纖通道target的服務器必須包含HBA而不是iSCSI主機的網絡適配卡。iSCSI主機可使用NIC或HBA。  

 

iSCSI 存儲系統四大架構

控制器系統架構:

iSCSI的核心處理單元采用與FC光纖存儲設備相同的結構。即采用專用的數據傳輸芯片、專用的RAID數據校驗芯片、專用的高性能cache緩存和專用的嵌入式系統平台。打開設備機箱時可以看到iSCSI設備內部采用無線纜的背板結構,所有部件與背板之間通過標准或非標准的插槽鏈接在一起,而不是普通PC中的多種不同型號和規格的線纜鏈接。

控制器架構iSCSI存儲內部基於無線纜的背板鏈接方式,完全消除了鏈接上的單點故障,因此系統更安全,性能更穩定。一般可用於對性能的穩定性和高可用性具有較高要求的在線存儲系統,比如:中小型數據庫系統,大型數據的庫備份系統,遠程容災系統,網站、電力或非線性編輯制作網等。

連接橋系統架構:

整個iSCSI存儲系統架構分為兩個部分,一個部分是前端協議轉換設備,另一部分是后端存儲。結構上類似NAS網關及其后端存儲設備。

前端協議轉換部分一般為硬件設備,主機接口為千兆以太網接口,磁盤接口一般為SCSI接口或FC接口,可連接SCSI磁盤陣列和FC存儲設備。通過千兆以太網主機接口對外提供iSCSI數據傳輸協議。

后端存儲一般采用SCSI磁盤陣列和FC存儲設備,將SCSI磁盤陣列和FC存儲設備的主機接口直接連接到iSCSI橋的磁盤接口上。

iSCSI連接橋設備本身只有協議轉換功能,沒有RAID校驗和快照、卷復制等功能。創建RAID組、創建LUN等操作必須在存儲設備上完成,存儲設備有什么功能,整個iSCSI設備就具有什么樣的功能。

PC系統架構:

即選擇一個普通的、性能優良的、可支持多塊磁盤的PC(一般為PC服務器和工控服務器),選擇一款相對成熟穩定的iSCSI target軟件,將iSCSI target軟件安裝在PC服務器上,使普通的PC服務器轉變成一台iSCSI存儲設備,並通過PC服務器的以太網卡對外提供iSCSI數據傳輸協議。

在PC架構的iSCSI存儲設備上,所有的RAID組校驗、邏輯卷管理、iSCSI 運算、TCP/IP 運算等都是以純軟件方式實現,因此對PC的CPU內存的性能要求較高。另外iSCSI存儲設備的性能極容易收PC服務器運行狀態的影響。

PC+NIC系統架構:

PC+iSCSI target軟件方式是一種低價低效比的iSCSI存儲系統架構解決方案,另外還有一種基於PC+NIC的高階高效性iSCSI存儲系統架構方案。

這款iSCSI存儲系統架構方案是指在PC服務器中安裝高性能的TOE智能NIC卡,將CPU資源較大的iSCSI運算、TCP/IP運算等數據傳輸操作轉移到智能卡的硬件芯片上,由智能卡的專用硬件芯片來完成iSCSI運算、TCP/IP運算等,簡化網絡兩端的內存數據交換程序,從而加速數據傳輸效率,降低PC的CPU占用,提高存儲的性能。

 

2.5.3 第三部分

協議映射:

  iSCSI協議是讓SCSI協議在TCP協議之上工作的傳輸協議,是一種SCSI遠程過程調用模型到TCP協議的映射。SCSI命令加載在iSCSI請求之上,同時SCSI狀態和響應也由iSCSI來承載。iSCSI同樣使用請求響應機制。在iSCSI 配置中,iSCSI 主機或服務器將請求發送到節點。 主機包含一個或多個連接到IP 網絡的啟動器,以發出請求,並接收來自iSCSI 目標的響應。 為每個啟動器和目標都指定了一個唯一的iSCSI 名稱,如 iSCSI 限定名 (IQN) 或擴展的唯一標識(EUI)。 IQN 是 223 字節的ASCII 名稱。EUI 是 64 位標識。iSCSI 名稱代表全球唯一命名方案,該方案用於標識各啟動器或目標,其方式與使用全球節點名(WWNN) 來標識光纖通道光纖網中設備的方式相同。

  iSCSI 目標是響應 iSCSI 命令的設備。iSCSI 設備可以是諸如存儲設備的結束節點,或者可以是諸如IP 與光纖通道設備之間的網橋的中間設備。每個iSCSI 目標由唯一的iSCSI 名稱標識。

   要通過 IP 網絡傳輸 SCSI 命令,iSCSI 驅動程序必須安裝到iSCSI 主機和目標中。驅動程序用於通過主機或目標硬件中的網絡接口控制器(NIC) 或 iSCSI HBA 來發送iSCSI 命令和響應。

  為實現最佳性能,請使用傳輸速度為每秒 1000 兆位 (Mbps) 的千兆以太網適配器在iSCSI 主機和 iSCSI 目標間進行連接。

iSCSI 命令封裝:

  發起端和目標端之間以消息的形式進行通信。PDU(Protocal Data Unit)就是用來傳輸這些消息的。

  iSCSI 協議就是一個在網絡上封包和解包的過程,在網絡的一端,數據包被封裝成包括TCP/IP頭、iSCSI識別包和SCSI數據三部分內容,傳輸到網絡另一端時,這三部分內容分別被順序地解開。iSCSI 系統由一塊 SCSI 卡發出一個 SCSI 命令,命令被封裝到第四層的信息包中並發送。

  接收方從信息包中抽取SCSI 命令並執行,然后把返回的SCSI命令和數據封裝到IP信息包中,並將它們發回到發送方。系統抽取數據或命令,並把它們傳回SCSI子系統。所有這一切的完成都無需用戶干預,而且對終端用戶是完全透明的。 為了保證安全,iSCSI 有自己的上網登錄操作順序。在它們首次運行的時候,啟動器(initiator)設備將登錄到目標設備中。

  任何一個接收到沒有執行登錄過程的啟動器的iSCSI PDU目標設備都將生成一個協議錯誤,而且目標設備也會關閉連接。在關閉會話之前,目標設備可能發送回一個被駁回的iSCSI PDU。這種安全性是基本的,因為它只保護了通信的啟動,卻沒有在每個信息包的基礎上提供安全性。還有其他的安全方法,包括利用IPsec。在控制和數據兩種信息包中,IPsec 可以提供整體性,實施再次(replay)保護和確認證明,它也為各個信息包提供加密。

iSCSI 會話:

  iSCSI 會話建立於一個initiator與一個target之間,一個會話允許多個TCP連接,並且支持跨連接的錯誤恢復。大多數通信還是建立在SCSI基礎之上的,例如,使用R2T進行流量控制。iSCSI添加於SCSI之上的有:立即和主動的數據傳輸以避免往返通信;連接建立階段添加登錄環節,這是基於文本的參數協商。建立一個iSCSI會話,包括命名階段:確定需要訪問的存儲,以及initiator,與FC不同,命名與位置無關;發現階段:找到需要訪問的存儲;登錄階段:建立於存儲的連接,讀寫之前首先進行參數協商,按照TCP連接登錄。

                

 

結構模式:

  iSCSI有兩大主要網絡組件。第一個是網絡團體,網絡團體表現為可通過IP網絡訪問的一個驅動或者網關。一個網絡團體必須有一個或者多個網絡入口,每一個都可以使用,通過IP網絡訪問到一些iSCSI節點包含在網絡團體中。第二個是網絡入口,網絡入口是一個網絡團隊的組件,有一個TCP/IP的網絡地址可以使用給一個iSCSI節點,在一個ISCSI會話中提供連接。一個網絡入口在啟動設備中間被識別為一個IP地址。一個網絡入口在目標設備被識別為一個IP地址+監聽端口。

iSCSI端口組:

  iSCSI支持同一會話中的多個連接。在一些實現中也可以做到同一會話中跨網絡端口組合連接。端口組定義了一個iSCSI節點內的一系列網絡端口,提供跨越端口的會話連接支持。

 

 

2.6 Fibre Channel光纖通道系統基礎

2.6.1 第一部分

光纖通道技術(Fibre Channel)是一種網絡存儲交換技術,可提供遠距離和高帶寬,能夠在存儲器、服務器和客戶機節點間實現大型數據文件的傳輸。了解光纖通道技術是了解網絡存儲的起點。

Fibre Channel的概念:

  Fibre Channel (FC) 是一種高速網絡互聯技術(通常的運行速率有2Gbps、4Gbps、8Gbps和16Gbps),主要用於連接計算機存儲設備。過去,光纖通道大多用於超級計算機,但它也成為企業級存儲SAN中的一種常見連接類型。盡管被稱為光纖通道,但其信號也能在光纖之外的雙絞線上運行。

  光纖通道協議(Fibre Channel Protocol,FCP)是一種類似於TCP的傳輸協議,大多用於在光纖通道上傳輸SCSI命令。

  光纖通道廣泛用於通信接口,並成為傳統I/O接口與網絡技術相結合趨勢的一部分。Network運作於一個開放的,非結構化的並且本質上不可預測的環境。Channels通常運行在一個封閉的、結構化的和可預測的環境,該環境下所有與主機通信的設備都預先已知,任何變更都需要主機軟件或配置表進行相應更改。通道協議如SCSI,ESCON, IPI。Fibre Channel將這兩種通信方式的優勢集合為一種新的接口,同時滿足network和channel用戶的需求。

Fibre Channel的目標與優勢:

  Fibre Channel要提供的是一個連接計算機和共享外圍設備的接口,在這一技術提出之前是通過多種不同的接口來連接的,如IDE,SCSI,ESCON。

  Fibre Channel需要提供大量信息的高速傳輸

  上圖顯示了2Gbps Fibre Channel與Escon和SCSI同等級下的傳送速率對比。

   除了速度增長以外,Fibre Channel也需要支持公里級的距離。通過光纖交換機實現,如下圖所示:

   光纖通道還需要提供傳輸多種上層協議的能力,並維持這些上層協議的持續使用。光纖通道接口如下圖所示:

  連接和擴展是光纖通道的一個主要目標,通過將數千個設備共享數據並連接在一起來實現。Fibre Channel支持交換光纖,一個光纖結構理論上可支持一千六百萬地址。光纖結構可以從一個單一交換機開始,按照需求可添加更多交換機來實現擴展。

  光纖通道還需要提供比例如SCSI形式更簡單的線纜和插頭。光纖線纜比傳統SCSI銅線更易於管理,插頭體積更小從而一個適配器端口密度更高。當使用光纖線纜時,系統安裝更為簡便。下圖顯示了Fibre Channel使用的LC插頭。

 

  無中斷安裝和服務也是光纖線纜的一個要求。不同於銅線,在插拔時需要斷電,光纖在上下電時無需擔心瞬態損傷。

  可靠性,可用性和可維護性一直是光纖通道協議的目標。與銅線相比它具有明顯的優勢:對電磁干擾和線間串擾不明顯。

 

 

2.6.2 第二部分

節點(Node):

  光纖通道環境包括兩個或更多通過互聯拓撲連接在一起的設備。光纖通道設備如個人電腦,工作站,磁盤陣列控制器,磁盤和磁帶設備都被稱為節點。每個節點都是一個或多個節點的信息源或目的。以EMC為例節點可以是Symmetrix系統。每個節點需要一個或多個端口作為節點間通信的物理接口。端口是一個允許節點通過物理接口發送或接收信息的硬件附件。一些設備將這些端口集成,其他一些設備則使用可插拔端口如HBA。以EMC為例端口可以是Symmetrix FA適配器上的接口。

端口(Ports):

  每一個光纖通道節點包含至少一個硬件端口,將該節點與光纖通道環境連接,並處理與其他端口的信息。此端口稱為節點端口。一個節點可以有一個或多個節點端口。按照端口支持的協議標准有以下幾種不同類型的節點端口:

N_PORT:Node_ports既可以用在端到端也可以用在光纖交換環境。在端到端環境下N_ports發送端與接收端之間直接互連。舉例來說,一個HBA或一個Symmetrix FA端口就是一個N_port。

F_PORT:Fabric_Ports用於光纖交換環境下N_port之間的互連,從而所有節點都可以相互通信。通常這些端口在交換機上,允許HBA和其他設備如Symmetrix FA連接到光纖。 

NL_PORT:NL_Port是支持仲裁環路的節點端口。例如,NL_Port可以是HBA或Symmetrix FA端口。

FL_PORT:FL_PORT是支持仲裁環路的交換端口。通常是交換機上連接到仲裁環路的端口。

E_PORT:E_Port是一個光纖擴展端口,用於在多路交換光纖環境下。E_ports通常指一個交換機上連接到光纖網絡另一個交換機的端口。

G_PORT:G_Port是一個既能配成E_Port又能配成F_Port的通用端口。是一種位於交換機上的端口。

光纖(Fiber):

  端口通過鏈路連接至光纖網絡。此鏈路包括線纜和承載兩個獨立光纖網絡間收發信息端口的其他連接器。鏈路可能包括光導纖維或電纜。發送信號可能是長波光,短波光,LED或電子信號。光纖結構包括光傳輸的纖芯。纖芯包裹着覆層,功能是反射並控制光在芯內傳輸。纖芯和覆層由玻璃材質制造並且很容易被損壞。為了保護光纖避免受到物理損壞覆蓋了更多保護層,以使光纖能夠承受一定力度。並有一個光纖可彎曲的最小角度,在這個角度附近光纖將被彎曲,超過這個角度將會導致光纖傳輸信號衰減,最壞情況將導致光纖損壞。正常使用下線纜較為堅實並且除了要留意最小彎曲半徑以外無需特別維護。芯徑和外徑(µm為單位)通常是光纖規格的定義方式。例如,62.5/125µm光纖,芯徑為62.5µm外徑為125µm。兩根這樣的光纖結合在一根雙芯線纜中,兩端有相應的雙芯連接器。兩根光纖以相反的方向發送和接收數據。雙芯線纜允許同步發送和接收。

 

單模和多模(Single Mode and Multimode):

光纖通道中有兩種傳輸模式。

單模鏈路的芯徑為9-10µm並且使用位於光譜紅外部分約為1300納米的長波光作為光源。此光對於人眼是不可見的。下芯徑允許單模鏈路支持端口間最大10km的距離,所有光在光纖中沿着同一路徑傳輸,如下圖所示。單模鏈路主要用於長距離傳輸,應用於Symmetrix Fibre Channel適配器的幾個版本。

多模鏈路相對於單模成本較低,用於無需單模那樣遠距離傳輸的場景。光纖通道鏈路通常基於50或62.5µm芯徑並支持光波長約為800nm。這種相對於單模增加的芯徑意味着光在光纖中有多種傳播路徑。

 這就導致一種情況:某些頻率的光在光纖中沿着一條路徑傳輸而其他光沿着另一條路徑,這種結果稱為模態色散(Modal Dispersion)。這導致光呈放射狀從而限制了多模線纜的距離。

網絡(Fabric):

  術語Fabric用於光纖通道描述通用的交換或路由結構,該結構依據幀頭的目的地址來傳遞幀。網絡可能是端到端,交換光纖或是仲裁環路。

拓撲(Topology):

  光纖通道拓撲描述端口之間的物理互連。光纖通道支持三種不同的互連方案,稱為拓撲結構。分別是點對點,仲裁環和交換結構。

 

2.6.3 第三部分

光纖通道提供了三種不同的拓撲結構和一個混合的互連拓撲結構。這些拓撲結構是:

  • 端到端
  • 光纖交換
  • 仲裁環路
  • 混合

端到端:

端到端拓撲是所有拓撲結構中最簡單的一種,允許兩個N_Port通過鏈路直接互連。各N_Port的發送端直接連至另一端口的接收端。此鏈路為這兩個端口專用,訪問鏈路無需特定協議,因此這兩個端口完全占據鏈路帶寬。

光纖交換:

端到端拓撲雖然很簡單直觀,但連接數量有限。這就導致了光纖交換技術的誕生,理論上支持一千六百萬個端口(2^24)。交換網絡可以包含單個交換機,或多個交換機互連作為一個邏輯整體。

每個N_Port通過相關鏈路連接至光纖網絡端口(F_Port)。在光纖網絡內各F_Port通過路由功能連接。這就使幀結構按照幀頭的目標地址從一個F_Port路由至另一個F_Port。

多個並發連接可以同時在N_Port之間共存,因此,隨着N_Port數量的增加,聚合帶寬也在增長。

仲裁環路:

仲裁環路比端到端提供更多連接,可在一個回路上支持126個NL_Port和1個FL_Port,在端到端和光纖交換之間提供一個中間值。在仲裁環路中一個端口的發送輸出連接至下一個端口的接收端,所有節點之間都有這樣的連接直到形成一個閉合環路。如下圖所示。這類配置通常使用光纖通道集線器從而無需使用線纜。仲裁環路中各端口在環路上發現所有消息並忽視/傳遞目的地非本端口的信息。

 

混合光纖:

光纖通道通過連接一個活多個仲裁環路到網絡從而支持混合拓撲。這種方式結合了兩種拓撲的長處。光纖網絡拓撲提供連接選擇和高聚合帶寬,而仲裁環路拓撲提供低成本連接和共享帶寬,而無需增加光纖交換機成本。

混合配置的好處在於仲裁環路上的NL_Port可通過交換機上的FL_Port連接光纖交換機上的N_Port,但需要進行必要的轉換。這種轉換包括將光纖網絡地址轉換成環路地址,以及將環路地址轉換成光纖交換地址。該配置同時允許N_Port連接至仲裁環路上的NL_Port。

 

2.7 淺談SDN和NFV的區別

 EMC近日宣布成立新的NFV Group(Network Functions Virtualization Technology Group),並由聯邦的核心智庫CTO Office來直轄,EMC CTO Office的負責人John Roese在EMC PULSE博客中表示,EMC成立新的NFV Group,該部門成立的用意很明確,幫助運營商轉型,助力它們迎接更為廣闊的市場機遇。

SDN-誕生於校園,成熟於數據中心:

      SDN初始於園區網絡,一群研究者(斯坦福的達人們)在進行科研時發現,每次進行新的協議部署嘗試時,都需要改變網絡設備的軟件,這讓他們非常郁悶,於是乎,他們開始考慮讓這些網絡硬件設備可編程化,並且可以被集中的一個盒子所管理和控制,就這樣,誕生了當今SDN的基本定義和元素

  • 分離控制和轉發的功能
  • 控制集中化(或集中化的控制平面)
  • 使用廣泛定義的(軟件)接口使得網絡可以執行程序化行為

      另一個SDN成功的環境就是雲數據中心了,這些數據中心的范圍和規模的擴展,如何控制虛擬機的爆炸式增長,如何用更好的方式連接和控制這些虛擬機,成為數據中心明確需求。而SDN的思想,恰恰提供了一個希望:數據中心可以如何更可控。

OpenFlow–驅動向前的標准:

      那么,OpenFlow是從何處走進SDN的視野中呢?當SDN初創伊始,如果需要獲得更多的認可,就意味着標准化這類工作必不可少。於是,各路公司聯合起來組建了開放網絡論壇(ONF),其目的就是要將控制器和網絡設備(也就是SDN提到的控制平面和轉發平面)之間的通訊協議標准化,這就是OpenFlow。OpenFlow第一定義了流量數據如何組織成流的形式,第二定義了這些流如何按需控制。這是讓業界認識到SDN益處的關鍵一步。

NFV-由運營商提出

     和SDN始於研究者和數據中心不同,NFV則是由運營商的聯盟提出,原始的NFV白皮書描述了他們遇到的問題,以及初步的解決方案。運營商網絡的設備呈指數級的增長,越來越多各種類型的硬件設備不斷的增加。當開展一個新的網絡業務時,往往提出多樣化的需求,尋找適合空間和電力去容納這些“盒子”變得越來越困難。能耗的增加,資本投資的挑戰,以及設計,集成和運行這些日益復雜的基於硬件的平台所需要的技術這些種種挑戰復合在一起。另外,基於硬件平台的很快就有可能到達其生命周期,需要重復大量的采購–設計–集成–部署周期,也只能獲取少量利潤收益,甚至可能沒有收益。

      網絡功能虛擬化的目標是使用標准的IT虛擬化技術,把現在大量的位於數據中心,網絡節點以及最終用戶處的這些不同類型網絡設備–標准的服務器,交換機和存儲設備集合在一起。我們相信網絡功能虛擬化可以適用於任何數據平面的包處理,控制平面的功能集成,以及無線網絡的基礎架構中。

SDN vs NFV

      現在,讓我們看看SDN和NFV的關系,原始的NFV白皮書給出一個SDN和NFV關系的概述

      如圖所示,網絡功能虛擬化和軟件定義網絡有很強的互補性,但是並不相互依賴(反之亦然),網絡功能虛擬化可以不依賴於SDN部署,盡管兩個概念和解決方案可以融合,並且潛在形成更大的價值。

      依賴於應用在大量數據中心內的現有技術,網絡功能虛擬化的目標可以基於非SDN的機制而實現。但是,如果可以逐漸接近SDN所提出的將控制平面和數據平面的思路,那么就能進一步使現有的部署性能增強且簡化互操作性,減輕運營和維護流程的負擔。網絡功能虛擬化為SDN軟件的運行提供基礎架構的支持,未來,網絡功能虛擬化可以和SDN的目標緊密聯系在一起—-使用通用的商業性服務器和交換機。

SDN和NFV協同工作?

      讓我們看一個SDN和NFV協同工作的案例,首先,下圖展示了當今路由器服務部署典型案例,在每個客戶站點使用均使用一台路由器提供服務:

      如下圖所示,使用虛擬路由器的功能,NFV就可以在這個場景中展現作用,所有的用戶站點左側都是一個網絡接口設備(NID)–虛擬路由器,提供網絡的分界點,並且測量性能:

      最終,SDN被引入進來,將控制平面和轉發平面分割,數據包將會根據更優化的數據平面被轉發,路由(控制平面)功能則運行在某機櫃服務器的虛擬機內。

      SDN和NFV的結合提供了最優的解決方案

  • 一個昂貴的專業設備被通用硬件和高級軟件替代
  • 軟件控制平面被轉移到了更優化的位置(從專用設備硬件中剝離,放置在數據中心或者POP位置,可能以服務器或者虛擬機的形式存在)
  • 數據平面的控制被從專有設備上提取出來,並且標准化,使得網絡和應用的革新無需網絡設備硬件升級

匯總


 

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM