北京中青旅海天数码科技有限公司

网站地图招贤纳士联系我们

解决方案 Solutions

路由交换

网络安全

首页»解决方案»数据中心»正文

利用VSAN增强网络分区

网络分区是当今光纤通道交换产品的基本特性。利用分区，可以限制与同一光纤通道SAN相连的各设备的可视性和连通性（参见“解决基本SAN安全漏洞问题”一文）。虽然开始时，分区只是作为一种分段机制，但现在，它已经能够（与LUN掩膜一起）有效保证存储的安全性。

但是，虽然分区能够为网络提供基本的安全功能，但仍然无法满足不断扩展的SAN网络对可扩展性和安全性的要求。为增强网络的扩展能力，进一步增加网络分区提供的安全服务，思科系统公司在Cisco MDS 9000系列多层导向器和矩阵交换机内提供了一种称为虚拟SAN （VSAN）的新技术。VSAN 能够克服当今存在的许多网络分区限制，目前已经被 ANSI T-11委员会定为行业标准。利用 VSAN ，企业能够创建完全隔离的网络拓扑，并让每个网段分别使用自己的一套网络服务。

分区限制

与典型的IP 网络相比，当今光纤通道网络的规模相对较小，存储网络的增长最终将达到网络分区设置的扩展极限。光纤通道不但要求网段内拥有一定数量的域（一般每个域一台交换机），还要求域内拥有一定数量的端口。另外，不同分区中的设备还必须遵守网段内的定址限制和路由扩展能力限制。不仅如此，随着网段的扩大，分区数量以及管理大量分区所需要的控制层面带宽也会增加。

遗憾的是，分区无法在网段内提供增强的可用性。同一服务器或FSPF路由等级的任何功能故障都将波及到整个存储网络，因为网段内的所有分区都使用同一套网络服务。另外，分区的分布式特性还意味着对有效分区集中的任何分区集的修改都将对整个网段带来影响甚至停运风险。

虽然许多机构都在将多种应用整合到更少、更大的SAN 网络上，但分区仍然属于通用的分布式服务。遗憾的是，分区的初衷并非独立管理各个网段。因此，如果某机构试图将A 部门的应用基础设施与B 部门的应用基础设施合并到同一个SAN网段内，那么，应用所有者之间必须经过广泛、深入的协作，才能保证由两个应用组共享的通用分区集运行顺利。

最后，分区并不能通过跨区设备间的存储网络，来控制数据帧的路径选择和传输。只要分区配置中允许两台设备通信，流量就可以根据网段内路由协议的规定、通过SAN内的任何路径传输。随着存储联网环境的增长，对流量规划的要求将越来越高。

VSAN 的作用

虚拟SAN能够以灵活、经济、有效和可管理的方式进一步扩展和保护 SAN。简言之，VSAN 是一种能够分成多个逻辑部分或分区的特殊SAN。利用VSAN ，可以将流量隔离在存储网络中的某个分区之内。如果某个VSAN 发生故障，其影响将只局限在这个VSAN 之中，而不会波及到其它网段。

VSAN 能够将基于硬件的虚拟网络环境重叠置于一个物理网络基础设施上。每个 VSAN 都包含独立（专用）的网络服务，以便增强扩展能力，提高永续性，并降低存储资源域之间的依赖性。在实现服务运作分离以及在分配给不同 VSAN 的高可用性资源域之间执行故障恢复时，这个特性尤其有用。每个VSAN 都包含自己的硬件分区、专用网络服务和管理功能，就好像VSAN 是多个独立的物理网段一样。由于用户无需修改物理布局就能添加或移动设备，因而能简化系统配置，增强扩展能力。另外，VSAN 还能提高SAN利用率和灵活性，因为它不但允许多个用户共享资源，还能安全分割流量，并独立控制每个VSAN 的资源域。

另外，VSAN 不但能提供硬件隔离，还能为每个VSAN 完整地复制光纤通道服务。因此，在建立VSAN 的同时，就在该VSAN 内创建了一整套网络服务、配置管理功能和安全策略。建立的网络服务包括名称服务器、分区服务器、域控制器、别名服务器和登录服务器。利用这些服务复制品提供的隔离环境，不需要牺牲安全性就能实现高可用性要求。例如，在某个VSAN 内的某个有效分区安装设备不会对其它VSAN 中的网段构成任何影响。

与分区不同，VSAN 服务不属于网络内的分布式服务：每个VSAN 配置都只适应于特定的交换机，即一台交换机上的VSAN 配置不会影响网络内任何其它交换机的配置。利用Cisco MDS 9000产品系列中基于角色的配置安全性，VSAN 配置还可以进一步局限到特定交换机上的某些用户。不仅如此，不同的VSAN 还可以设定不同的优先级，并以应用为单位申请对网络内特定路径的访问权。例如，可以有选择地允许或拒绝某VSAN 穿越某些通用VSAN 干线，从而为该 VSAN 创建限定性拓扑。另一种方法是对每个VSAN 实施独立的路由配置。总之，利用 VSAN 提供的流量整合功能，不但能提高网络安全性，增强对流量的控制，还能提高网络资源的利用率。

先VSAN 后分区

利用VSAN ，存储管理员可以实现鱼与熊掌兼得：既能通过 SAN 网段的隔离提高安全性，又能通过协作提高 SAN网段的运作效率。网络内的备用端口可以快速、顺利地分配给现有VSAN ，使应用SAN实现几乎无限的扩展。

总之，VSAN 能够将冗余物理SAN基础设施划分成多个虚拟SAN，并让每个 VSAN 拥有自己的一套光纤通道网络服务。由于每个 VSAN 都支持独立的一套光纤通道服务，因此，VSAN 型基础设施可以支持大量应用，而不用担心这些虚拟环境之间会出现网络资源或事件冲突。但物理网络分段之后，可利用分区在每个VSAN 内实施进一步的安全隔离，满足每个VSAN 内不同应用的要求。