利用 Cisco MDS 9000系列多层交换机构建: SAN 互联解决方案

SAN已经从为小型隔离SAN岛提供连接的基于仲裁环集线器的小网络发展为当今连接数百台设备的大型SAN网络。像以太网发展过程中需要考虑可扩展性和永续性一样,依靠一个SAN网络连接众多设备也会降低SAN的永续性和稳定性。另外,以前只局限在一个数据中心内,专为一个应用或一个部门使用的SAN网络,现在可能已经跨越国界或洲界。大型SAN网络的优势是能够集中管理,能够更加有效地使用网络资源(端口、ISL),但是,为保证扩展过程中能够保持适当的

永续性,原有SAN交换机的体系结构以及基础光纤通道协议本身很快就会达到使用极限。

与以太网协议一样,光纤通道属于交换式第2层协议,由于没有等级网络域概念,因而不能将控制协议和消息传送隔离和限制在网络的某个分区,与以太网类似,光纤通道在一定网络范围内(例如分区)使用一套网络fabric控制协议,以及交换机产生的一套状态变化通知。因此,即使是本地的光纤通道控制协议消息也只能在小Fabric网络范围内传送,因此,它们的影响只局限在Fabric之内。这种体系结构上的缺陷会在网络中形成很大的高可用性漏洞,尤其是地理分布范围较大的

SAN。造成这种高可用性风险的原因是,潜在干扰性局域控制协议事件可能会于扰到扩展链路两边的整个Fabric网络。另外两个大问题是网络扩展过程中遇到的质量问题和上述事件影响问题。

许多客户都计划建立一个网络中包含3000多个端口的超大型Fabric网络。随着这些Fabric网络的增长,网络控制信息量将不断增加,交换机CPU和内存资源的负担也将加重,从面破坏网络的稳定性。在MDS9000系列交换机中,思科满足了增加CPU处理资源的需要,使CPU处理能力达到了市场上其它导向器或Fabric交换机的10倍以上。但是,因Fabric网络控制协议流量的增加而提高的Fabric网络级干扰风险依然存在。

为在以太网域中解决这个问题,建议使用第2层和第3层网络协议层为大型以太网提供等级和必要的隔离。VLAN能够在第2层提供隔离功能,OSPF和BGP等IP路由协议则能够提供有目的的高层IP连接。生成树等以太网控制协议与对应的VLAN隔离开,这样,在发生生成树事件时就不会影响到其它VLAN。遗憾的是,SAN中的通用上层协议-一光纤通道协议(FCP)不提供IP世界里的隔离功能。随着SAN的增长,以及传输方式、线速和延迟的进一步改善,这个问题将变得越来越重要。

SAN 岛的发展

以前的SAN设计使用了许多较小的SAN连接岛。这些SAN岛一般都以应用或部门为单位部署,以满足应用的安全性和稳定性要求。许多稳定性问题的根源都是因为光纤通道协议内缺乏在上述大Fabric网络中建立分区的相应功能。不仅如此,由于以前没有高端口数的大型SAN 交换机,不能在SAN中支持大量交换机,再加上前面提到的光纤通道协议低效的现象,使客户不得不在较小的"SAN岛"配置中部署SAN。SAN岛指利用少量交换机建立的SAN,这种SAN为每个企业应用或部门提供的总端口数量很少。多个小SAN岛的管理非常困难。现在,老交换机已经被更大的导向器级交换机所取代,因而能够支持端口密度较高的核心一边缘配置。但是,出于许多技术和非技术原因,建立SAN岛仍是首选方案,SAN岛还在不断涌现。部署多个SAN岛是一种浪费,因为每个SAN岛的所有端口都为某一个应用服务,而且许多端口都处于闲置状态,从而进一步提高了这种设计方法的有效成本。

虚拟 SAN

为解决SAN岛的低效问题,思科开发了一种称为虚拟SAN(VSAN)的技术。虚拟SAN利用了在以太网中使用虚拟LAN的概念,成功地克服了SAN岛的低效问题。VSAN将相互隔离的SAN岛连接到同一物理基础设施上,但并不合并独立Fabric的控制和管理。Cisco MDS9000系列交换机的每个端口被分配到建好的VSAN,物理Fabric网络内的每台交换机最多支持256个VSAN,通过使用独立SAN岛实现的所有Fabric网络隔离都采用了VSAN技术。在VSAN型网络中,称为EISL的通用ISL同时为多个VSAN服务。来自所有VSAN的流量都将打上VSAN成员信息标记,通过通用ISL传输,都仍然保留逻辑上的隔离。在多个虚拟网络和应用中使用通用ISL能够进一步降低基础设施成本。借助VSAN,不但能够在更大的物理Fabric网络中实现第2层隔离,还可以集中执行VSAN管理。另外,还可以将单个VSAN的管理全部或部分分配给应用管理员,即允许指定管理员管理与分配与相应应用有关的虚拟网络的所有服务和策略。利用思科推出的基于角色的访问控制(RBAC)技术以及RBACVSAN增强,可以为管理员指定单项角色,允许管理员有选择地访问交换机配置功能,例如以VSAN为基础。例如,如果指定了称为role_I的角色,管理员将可以查看整个物理网络(所有VSAN),但只能对VSAN_10定义和激活分区和静态FCID分配。

与通常会浪费端口的SAN岛不同,物理Fabric网络中的端口可以顺利地从一个VSAN转移到另一个VSAN,大大降低供应成本。与VLAN和以太网相似,称为EISL的VSAN型ISL能够承载与交换机间多个VSAN相关的光纤通道流量。利用EISL,网络设计者可以为多个虚拟网络使用相同的交换机间链路,并对每个VSAN实施最终的流量控制。另外,利用CiscoMDS 9000系列内称为端口通道的ISL或EISL汇聚,还可以将多个(E)ISL捆绑汇聚在一起,形成永续性和带宽更高的大型虚拟(E)ISL,

VSAN内的所有控制和数据流量都与VSAN隔开,只能随着特定VSAN网络范围的扩展而扩展。

VSAN的这种设计特性是提高大物理Fabric网络扩展能力的关键。利用VSAN,不但可以在Fabric网络内建立任意到任意物理连接,还可以在网络范围内动态建立更小,可管理性更高的虚拟网络。由于这种VSAN型设计能够提供离散性和必要的控制隔离,因而能提高网络的永续性和可扩展性。小虚拟网络中发生的网络事件只对虚拟网络构成影响,而不会影响到更大的物理Fabric网络。VSAN不但有助于开发规模更大、永续性更高、可管理性更好的SAN网络,还有助于建立端口数量高于1000的Fabric网络。但是,VSAN的设计有一个局限。由于所有流量都被隔离在相应VSAN之内,因此,与Fabric网络相连的设备只能包含在一个VSAN中。虽然对于多数主机HBA连接,这都不成问题,但是,如果想在包含多个VSAN的多个应用和/或多个部门之间共享更多存储阵列端口,问题就暴露出来了。在长距离的扩展网络解决方案中,用户可能并不希望利用高延迟传输服务扩展通用网络或VSAN,并以此提高网络永续性。为使VSAN解决方案满足这些要求,MDS9000 交换机系列中采用了称为VSAN间路由或IVR的VSAN技术扩展。

VSAN 间路由简介

如前所述,VSAN能够在普通物理Fabric网络之上构建虚拟Fabric网络,从而实现高度隔离。但是,SAN构建者可能既要求某些设备在多个VSAN内通信,又不希望将虚拟Fabric网络合并在一起,因为这样会降低永续性。磁带驱动器或大型子系统等设备通常会出现在多个VSAN中。利用思科VSAN间路由(IVR)技术,可以建立从一个VSAN到不同VSAN内多台设备的路径,而且不需要合并单个VSANFabric网络,即不会造成错误分区融合。如果没有IVR功能,大型磁盘阵列等设备必须与它想参与的所有VSAN的特定交换机端口相连。利用IVR技术,只需要定义多个VSAN中需要连接的设备IVR分区,共享设备就可以在多个VSAN之间通信,而且不需要合并参与的虚拟Fabric网络(VSAN)。

VSAN间分区(IVZ)

VSAN间路由技术的最大优点之一是易于供应和管理。IVR的主要功能之一,即IVR与iFCP等其它方法之间的主要区别是,IVR的供应是利用已知步骤提供给SAN管理员的。利用SAN管理员再熟悉不过的分区管理步骤和管理任务,只需定义一种称为VSAN间分区的新型分区,就可以建立VSAN间路由实例。VSAN间分区的定义方法与其它分区相同,但它包含参与了边缘VSAN,需要跨VSAN 连接的设备。IVR技术能按照VSAN间分区的定义自动确定哪些路径和名称服务器需要交叉传播。利用类似的分区机制,SAN管理员不需要学习iFCP和iSNS或新的管理工具就可以管理IVR服务。

IVR边界交换机

为了实现IVR连接,网络中至少有一台交换机必须作为传输或IVR边界交换机,以提供VSAN之间的传输路径。在图2所举的例子中,VSAN_1中的设备pWWN_1需要与VSAN_2 中的设备pWWN_2通信。边界交换机作为独立VSAN中设备间的传输交换机,如图2所示,可以利用多台IVR边界交换机提供冗余路径。边界交换机只将某些FSPF路径加入相应的本地VSAN,这些本地VSAN与需要IVR连接的预定IVR型VSAN中的设备有关。换言之,只有通往包含这些设备的预定IVR VSAN中的城(交换机)的FSPF路径,才会交叉传播。另外,包含预定VSAN间分区内通信设备的身份识别的名称服务器数据库项,也将在规定的IVRVSAN内交叉传播。如果所有设备都包含在一个VSAN中,每台交换机里的所有数据库信息都将同步。利用IVR特性,按照VSAN间分区的规定,只有需要IVR通信的设备的一小部分路由和名称服务器信息才需要交叉传播,而且不需要合并参与的虚拟网络(VSAN)。

IVR方法对SAN互联的另一个优点是,IVR依靠标准FSPF路由实现路径选择和路径永续性。利用iFCP等其它互联解决方案,由于可以转换为iFCP,因而没有端到端使用FSPF协议,也就没有端到端路由智能和永续性。iFCP等解决方案严格依赖基于逐级的多路径解决方案提供永续性。但是,由于IVR通过IVR边界交换机传播某些FSPF路径,因而可以使用简单的标准FSPF从端到端网络角度选择路径和确定冗余路径。对于iFCP的解决方案不能担保的拓扑中的任何路径故障,这

个功能都能提供快速、可靠的恢复机制。

IVR通道(Transit)VSAN

对扩展SAN DR解决方案特别有用的另一个IVR配置选项是使用IVR通道VSAN。通道VSAN是用于连接两个边缘IVR VSAN 的VSAN,有了它,无需从一个IVRVSAN扩展到另一个VSAN就能建立IVR服务。事实上,通道VSAN能够扩展边界交换机的范围,到达参与的各IVRVSAN。

如图2所示,设备需要通信的两个边缘IVRVSAN已经与普通VSAN边界交换机相连。在这个简单的配置中,不需要通道VSAN。事实上,虽然通道VSAN通常是任选设备,但在某些配置中,最好保持隔离状态,例如广城网SAN扩展解决方案。图3所示的通道VSAN可用于连接广城网上三个不同的边缘VSAN。值得注意的是,通道VSAN中也可以包含各种设备,而且边缘VSAN之间可以存在多个通道VSAN。如图3所示,IVR建立IVR服务时,不需要将任何边缘IVR VSAN扩展到普通边界交换机。在这个例子中,这种做法不需要在高延迟长途网上扩展本地IVRVSAN。

虽然IVR功能支持选择性连接,但利用MDS9000系列交换机内基于VSAN,基于角色的访问控制(RBAC),无论是从控制协议角度,还是从管理角度,三个边缘VSAN都完全隔绝。另外,原来的非思科光纤通道交换机也可以加入任一边缘IVR型VSAN,跨VSAN间边界通信,并成为通道VSAN的一部分,但不能作为边界交换机参与在图3所示的例子中,IVR型VSAN_A和VSAN_B的网络控制流量在边界交换机处本地终止。IVR型VSAN_C的控制流量在远程边界交换机处本地终止。通道VSAN是横跨边界交换机间广城连接的唯一VSAN。因此,发生在每个边缘IVR VSAN中的网络事件,无论是普通控制流量,还是错误事件,都将局限在各自的边缘VSAN内,不会穿越和影响其它IVR型VSAN或通道VSAN。在稳定环境中,参与IVR的所有交换机都将交换巨大的控制流量。在某两台交换机之间的正常ISL链路初始化过程中,交换机将交换少量控制协议信息。除这些信息外,位于通道VSAN 边缘的两台交换机还将交换严格属于将通过通道VSAN建立IVR连接的那些设备的FSPF和名称服务器数据库信息。这种交换为需要IVR连接的每台设备增加了大约相当于两个光纤通道帧的流量。

与iFCP等其它互联方法相比,IVR解决方案的另一个优点是,它对通道VSAN可以使用的传输技术没有限制。IVR服务严格依赖基本光纤通道服务,因而可以利用光纤通道能够使用的所有传输选项,例如光纤通道本身、DWDM/CWDM传输、SONET传输或FCIP。在基于iFCP的解决方案中,iFCP必须是以太网/IP协议,不需要增加网关设备。

IVR解决方案的其它优点还包括,它不生成也不需要任何其它新控制协议。为提供相应功能,IVR服务严格使用VSAN和分区等通用机制,以及Cisco Fabric Manager中的某些功能。

网络的稳定性和永续性

需要强调的是,VSAN能够将Fabric网络服务限制在每个虚拟Fabric网络或VSAN范围内,因而能提供Fabric网络稳定性。为新的VSAN配置MDS9000系列交换机时,新虚拟Fabric网络中的所有交换机都交换设备、转发和分区数据库,以保证新VSAN的一致性。另外,VSAN中的交换机还按照交换的VSAN专用型FSPF链路状态信息建立路由拓扑。在虚拟Fabric网络初始化过程中,一台交换机被选为"首(principal)"交换机。首交换机将为其它交换机指定一组VSAN专用城ID,用于在新虚拟Fabric网络中定址和路由。如果交换机失去了与首交换机的联络,其余交换机将重新执行初始化过程,为VSAN选择另一台首交换机。交换机将重新交换数据库,根据虚拟Fabric网络内交换机的数量以及VSAN的设备数量,开始时间不等的信息交换过程。

考虑扩展SAN解决方案时,长途网络传输服务的可靠性相当于服务供应商提供的服务等级协议(SLA)的规定。虽然长途链路存在连接中断问题,但出问题的概率非常低。在缺少长途传输手段的场合,VSAN间路由能够减少数据库同步流量的中断和泛滥。在图3中,扩展SAN解决方案采用了VSAN间路由,并使用了通道VSAN。通道VSAN选举驻留在长途链路一边的交换机为首交换机。另外,单边VSAN还选举了各自VSAN中的首交换机。如果长途传输服务出现故障,VSAN间分区内拥有设备的边缘IVRVSAN中的交换机将收到远程IVRVSAN上某交换机(城)不再可用的通知。但是,与长途传输服务两边的所有交换机都位于同一个SAN或VSAN的情况不同,与通道VSAN连接的边缘IVRVSAN将不间断地继续操作,因为其VSAN内的首交换机仍然可用。IVR配置和通道VSAN中的控制板隔离功能消除了边缘VSAN以外链路故障引发的边缘VSAN网络中断。

与iFCP相比,IVR解决方案的最大优点是,IVR解决方案使用了端到端标准光纤通道网络路由和通知服务,例如RSCN,而且不需要将这些控制信息转换成另一协议中的其它控制信息,例如iFCP。由于采用了连续的通用网络警报机制RSCN,IVR解决方案的可用性高于基于iFCP的解决方案。

采用了 VSAN 间路由的永续性设计

VSAN和VSAN间路由基于在光纤通道中建立的路由准则和机制,称为基于FSPF的拓扑图。IVR边界交换机之间横跨通道VSAN的链路就好像是光纤通道交换机间链路(ISL)。它们基于光纤通道,可以使用多种方式传输,包括CWDM/DWDM、SONET/SDH或FCIP。多条ISL可以汇聚成几个端口通道,以提高链路永续性,并将最高带宽增加到32Gbps。如果利用FCIP实施长途传输,还可以利用基于网络的端口通道技术,将来自FCIP通道的虚拟ISL汇聚成最高16Gbps的虚拟端口通道。提供VSAN间路由服务时,管理员不需要配置任何其它组件或传输/网关协议。

VSAN 间路由的用途

VSAN间路由是思科VSAN技术的逻辑功能扩展。IVR可用于如下多种解决方案。

共享对跨 VSAN 边界的存储设备的访问

VSAN提供的永续性来自于每个VSAN的Fabric网络服务复制,以及属于每个VSAN的帧的显性标记。这种永续性或隔离度相当于用更经济、有效的方式建立了多个物理隔离的SAN岛。在IVR出现之前,流量无法穿越VSAN边界,因为硬件中的所有隔离机制都采用了显性帧标记。

VSAN 间路由是允许跨VSAN边界选择发送流量的唯一机制。IVR无需合并VSAN网络就能实现交叉VSAN通信。这个特性很重要,因为每个VSAN内仍然保留着独立的错误域。只有必须跨VSAN 边界与其它设备通信的设备才使用VSAN间路由技术。从控制协议和管理角度看,每个边缘VSAN仍然保持着其Fabric网络永续性。由于VSAN允许大大扩充网络端口数量,因此,借助IVR提供的可以扩展的永续性方法,无需完全合并整个Fabric网络就能共享与这些大Fabric网络内通用存储设备的连接。例如,用户可以考虑建立应用专用或OS专用VSAN,将与某应用或OS相关的所有服务器都放置在一个VSAN中,以提高水续性。利用IVR技术,无需合并虚拟Fabric网络和错误城就能在多个VSAN之间共享通用大型企业阵列。利用IVR在三个独立的部门VSAN之间共享磁盘阵列的例子如图4所示-一为提高可管理性和稳定性,所有VSAN都保留在独立Fabric 网络中。

为数据复制提供扩展SAN 解决方案VSAN间路由能够改进VSAN为建立设备连接而提供的解决方案,这种解决方案只通过SAN扩展服务通信,通常不在任何本地SAN中使用。例如,用大型企业存储阵列将数据复制到远程数据中心。这种远程复制解决方案包括基于阵列的服务,例如EMC SRDF,HDS Truecopy、IBM PPRC和HP Continuous Access复制服务。多数阵列要求控制器端口专门用于复制服务,不允许主机使用这些端口。最简单的解决方案是建立另一个VSAN,只包含解决方案两边用于复制服务的存储阵列端口,而且只允许这个VSAN穿越长途链路。在这种配置中,指定VSAN中的控制流量最少,因为VSAN 中的配置相对稳定,只包含少量设备。但是,由于VSAN间路由在解决方案两边之间提供了控制协议边界,只允许在两边之间交换相关FSPF路径和名称服务器项,因而提高了永续性。无论是计划内还是计划外Fabric网络事件,都将限制在各自的边缘VSAN内,不会通过长途链路传播。

利用IVR,可以减少SAN之间的长途交换机间流量。对于SAN扩展解决方案,如果SAN扩展的两个端点之间的延迟相对高于数据中心内部,使用VSAN间路由也很有利。只有定义为VSAN间分区一部分的设备的相关控制协议信息才会通过长途链路传输。另外,还可以为通道VSAN调整ED_TOV等独立网络定时器,以适应较高的传输延迟。SAN扩展两边的Fabric网络保持隔离状态,并作为独立分区控制,因面能够为整体数据复制解决方案提供非常高的永续性。如图5所示,可以将IVR与DWDM和端口通道结合起来使用,建立高水续性的扩展SAN解决方案。

VSAN 间路由的最佳实践经验

部署IVR解决方案时,建议使用以下最佳实践经验:为长途解决方案使用通道VSAN虽然并不完全必要,但IVR通道VSAN能够为SAN解决方案提供最佳永续性和隔离度。这些扩展SAN解决方案可以是点到点,或者点到多点,而且可以包含一个或多个通道VSAN。

必要时使用分区、VSAN和 IVR

Cisco MDS 9000系列多层光纤通道交换机使用硬件机制增强分区配置。事实上,来自某设备的流量只能传输到规定分区的其它设备。分区不但能提供硬件安全性和数据流量隔离,还是通过VSAN提供的隔离增强功能。如果控制协议和数据水平上需要Fabric网络隔离,最好使用VSAN,因为这样能够模拟独立物理网络提供的隔离。如果既希望提供网络控制和数据流量隔离,又希望实现不同VSAN内的设备之间的选择性通信,最好使用VSAN间分区。如果想详细了解分区和VSAN,请参考思科白皮书《在Cisco MDS 9000多层光纤通道交换机中使用VSAN和分区》。

建立冗余的 VSAN 间路径

VSAN间路由的一个最大优点是使用了基于标准的光纤通道路由准则和机制。因此,最好使用同样的方法,利用建立高度可用的光纤通道SAN时所用的方式建立高度可用的VSAN间路由SAN。在大型SAN网络中,最好使用冗余的VSAN间边界交换机,最好在交换机之间使用端口通道,最好使用冗余设备链路。

实现 SAN 互联的其它方法

思科提供的VSAN间路由技术是VSAN功能的自然扩展。IVR的优势在于,它不需要额外协议,通过用户熟知的建区和激活过程实施和管理,对性能没有不良影响。IVR解决方案可以使用能够承载光纤通道的任何传输介质,例如光纤通道本身,CWDM/DWDM.SONET/SDH和FCIP。支持IVR不需要特殊的控制协议或帧类型,即使是使用了老式SAN交换机的解决方案,只要IVR边界交换机属于MDS9000系列,就可以与CiscoMDS9000系列交换机互操作。另外,对于可以通过IVR解决方案承载的协议,没有任何限制,包括许多基于阵列的带内管理协议和其它FC-4协议类型。

为提供这种永续性和隔离度,以前还作过许多其它尝试,尤其是对于SAN扩展解决方案,虽然在概念上比较吸引人,但还必须不断学习供应和管理解决方案的新协议和新途径。另外,这些解决方案一般都必须添加专用冗余网关设备。下面一节将主要介绍一种使用了iFCP协议的方法。

互联网光纤通道协议(iFCP)

iFCP协议由Nishan Systems(现在为McDATA)公司提交给互联网工程任务组(IETF)。虽然iFCP得到了IETF的认可,但由于技术专有的缘故,NishanSystems是实施iFCP的唯一厂商。与基于光纤通道的解决方案相比,iFCP解决方案是一种全新的SAN互联方法。iFCP的初始目的是用IP网络取代光纤通道网络,并提供网关服务,使光纤通道终端设备能够通过IP骨干网相互通信。这样做的好处是能够使用IP等通用协议,以及IP路由协议提供的自治地区隔离功能,提高SAN 的永续性。iFCPSAN中的所有光纤通道设备都利用基于UDP/IP的iFCP传输实现相互之间的本地通信,并通过基于TCP/IP的iFCP传输实现远程通信。iFCP背后的准则是,尽可能在接近源头的地方终止所有光纤通道流量,例如主机和磁盘,并将流量转换成iFCP协议。

由于UDP的可靠性较低,光纤通道替代解决方案的ROI也不理想,因此,部署基于UDP的iFCP解决方案的热情很快消失。另外,iFCP解决方案还需要光纤通道设备附件和FC到IP网关设备,这进一步提高了成本。利用iSCSI解决方案提供的可用性,想建立IP SAN解决方案的客户可以使用基于TCP/IP的iSCSI建立IP端到端解决方案,完全实现IPSAN提供的成本优势。基于这个原因,iFCP被列为使用iFCP的TCP/IP变种的SAN互联网关解决方案。

作为网关解决方案,iFCP必须通过IP网络提供本地光纤通道网络与远程光纤通道网络之间的映射功能。iFCP解决方案用iFCP对等物取代了光纤通道栈的FC-2层。但是,负责定址和路由的正是光纤通道协议栈的FC-2层,因而,iFCP必须修改每个帧的定址信息,以通过iFCP服务转发。

FCIP解决方案则不同,它通过TCP/IP隧道提供完全透明的光纤通道,因而不需要操作任何帧定址或内容。经过iFCP服务时,iFCP解决方案需要对每个光纤通道帧执行地址转换,在某些情况下,例如对于某些光纤通道ELS控制消息,还必须转换部分帧负载。

iFCP的另一个缺点是,由于FCP(FC-2)层需要特殊映射,因此,iFCP必须有选择地处理FC-4型服务,不能直接支持所有FC-4服务。例如,iFCP FICON属于不被支持的FC-4类型,但FCIPFICON等服务则可以实现,因为FCIP对光纤通道FC-2协议本身是透明的。因此,iFCP协议必须能够处理各种FC-4帧类型。FC-2帧链路服务请求、光纤通道广播流量和iFCP控制帧各不相同。

另外,iFCP解决方案还必须将所有必要的光纤通道服务仿真到光纤通道设备,并提供必须支持光纤通道终端设备通信的多个iFCP网关之间的协调。光纤通道服务的例子包括登录服务器、名称服务器、通知服务器、别名服务器、组播服务器和广播服务器。例如,设备可以通过登录服务器登录到Fabric网络,通过通知服务器登记接收Fabric网络变化通知,并利用名称服务器确定能够与哪些设备通信。为适应这种新型iFCP协议,所有服务都必须在IP世界里复制。因此,为适应这些服务,iFCP解决方案必须生成另一种协议。

为iFCP提供的iSNS

互联网存储名称服务(iSNS)是一种模仿iFCP环境中的光纤通道服务子网的机制。iSNS服务是iFCP操作的必要组件,但可以扩展到其它协议,例如iSCSI。以下服务由iSNS服务器提供:设备识别和网络管理、由光纤通道名称服务器提供的仿真服务和RSCN服务、识别城的定义和管理以及"逻辑网络"的定义和管理。虽然在FCIP解决方案中,这些服务都由光纤通道本地提供,但iFCP必须至少配置一台iSNS服务器,以提供这些关键服务。另外,如果iSNS服务器出现故障,在选举新的iSNS主服务器的过程中,可能会出现延迟和流量中断现象。通过iFCP网关链路连接的每个本地光纤通道网络都必须配有iSNS服务器,以便各种设备交换信息,并通过iFCP网络输出。

iFCP遇到的主要挑战是,对iSNS服务的绝对要求隔开了整体网络中的错误警报和恢复机制。光纤通道的警报和响应机制与iFCP(IP)的警报和响应机制之间没有紧密的关联。基于FCIP的解决方案则不同,光纤通道的警报和响应机制是通用的,而且透明地扩展到整个Fabric网络。利用思科的VSAN技术,可以将大物理Fabric网络分成若干小虚拟Fabric网络,每个小Fabric网络都有自己的警报和响应机制及范围。因此,VSAN有助于将网络警报和响应限制在发生警报和响应的VSAN范围内,然后沿FCIP解决方案扩展某些VSAN,为进一步将网络警报和响应限制在需要IVR连接的设备上,可以为基于VSAN的FCIP解决方案添加VSAN间路由(IVR),但都使用相同的通用光纤通道网络机制。

iFCP的另一个挑战来自于iSNS提供的特殊服务。在边缘光纤通道网络重配置过程中,需要重新计算的所有iSNS地址转换表都将丢失每个活跃登录操作。只要有人在远程网络中添加新服务器,导致发生RCF事件(重配置网络),这个漏洞就会暴露出来。这些弱点弱化了iFCP解决方案的永续性优势。目前,利用FCIP提供的通用端到端机制是最好的警报和响应机制。

iFCP和 SAN 扩展

通过IP运行的TCP能够将IP链路的可靠性提高到与光纤通道相当的水平。为实现这种可靠性,iFCP的网关功能通过TCP/IP运行。iFCP提供的传输功能要求网关为需要通过iFCP服务通信的每对设备创建一个TCP/IP连接。因此,必须为每条连接,也就是通过iFCP网关服务通信的每对管理TCP/IP流量提供控制和错误恢复。

通过iFCP服务通信的这些设备不会带来太大的负担,但需要为通过网关通信的每对设备提供的处理能力和缓存越来越多。与通过iFCP通信的每对设备相关的每条TCP连接需要更多内存和CPU才能支持多个TCP窗口和恢复机制。另外,一条IP传输链路的故障可以意味着多条TCP连接的中断,这些中断的连接需要同时重新建立。重新建立连接事件,以及需要产生的大量SW-RSCN,可以会造成iFCP网关处理器超载,减慢重新汇聚的速度。

再看一下在适当的地方使用IVR的FCIP解决方案,FCIP为两台交换机之间的每个光纤通道或者虚拟ISL创建一条TCP连接。在两台光纤通道交换机之间使用FCIP连接的设备的数量不会影响TCP吞吐量或错误恢复性能。利用IVR与FCIP能够提供控制协议隔离度好、TCP/IP传输性能高的最佳整体解决方案。

iFCP路由

与描写iFCP的某些文将不同,事实上,iFCP并不提供路由功能。iFCP服务只是一种简单的网关功能,负责光纤通道流量转换并转发到IP目标网关。实际上,iFCP的路由功能是由IP传输网络中的IP路由协议提供的。但是,虽然iFCP并不提供路由,但它确实代表着光纤通道与IP之间一段端到端网络拓扑和路由协议。基于FSPF路由的光纤通道没有可视能力,不了解IP网络的路由信息,只简单地将流量发送到配置好的iFCP网关。当利用iFCP将光纤通道流量转换成IP包之后,将按照IP路由协议而不是光纤通道路由协议发送。由于缺乏可视性,不能端到端自动识别和使用整个基础设施上的冗余路径,因而会影响到解决方案的永续性。因此,不存在iFCP网络负载平衡技术。作为对这种分段拓扑的弥补,iFCP解决方案必须使用基于主机的多路径软件组件提供必要的永续性。由于FCIP是TCP/IP连接中光纤通道的透明通道,每个TCIP通道都代表一个虚拟Fabric网络ISL,参与FSPF路由拓扑决策,因此,在FCIP解决方案中,FSPF是一个一致的路由协议,能够在光纤通道和以太网中建立和维护整个拓扑。利用这种端到端可视性,当Fabric网络出现故障时,FSPF能够快速确定和利用基础设施中任何地方的冗余路径。SAN 扩展支持服务Nishan Systems已经为其iFCP产品线开发了IP层压缩和快写特性,思科也已经将压缩和FCIP写加速服务作为整个Cisco MDS9000产品系列中嵌入式特性的一部分。实践证明,思科的压缩和写加速性能优于iFCP解决方案。另外,这些服务的管理与光纤通道、iSCSI、FCIP、VSAN、IVR和许多其它服务的管理一起,都已嵌入到Cisco Fabric Manager套件中。

iFCP遇到的挑战

虽然iFCP作为IETF RFC草案已存在了一段时间,但除了Nishan Systems(现在为McDATA)之外,并没有其它追随者。它不被认同的原因很多,例如复杂性及其它因素。iFCP的最初目的是用IP取代光纤通道核心,但由于iSCSI逐步成长为真正的端到端IPSAN技术,这个目的未能实现。虽然iFCP已被定义为SAN扩展技术,但FCIP等更加被广为接受的技术能够为SAN扩展解决方案提供更简单、更透明的方法。

iFCP不但因上层协议的永续性和兼容性不够而面临技术问题,还面临可管理性问题。管理员必须了解新技术才能管理实施iFCP的产品,增加了SAN以外的管理负担。另外,如果想实施iFCP服务,系统管理员还必须了解和管理另一项新服务一iSNS。基于iFCP的产品必须拥有大量级存,因为新TCP连接是在通过服务通信的设备对之间创建的。随着使用iFCP网关服务的设备的增多,TCP处理负担将很快加重。对于这么多的连接,管理和排障都很困难。另外,利用iFCP的SAN扩展还仅限于FCP(非大型主机)应用,必须将存储流量的每一帧主动转换到IP,这个代价实在是太大了,思科在Cisco MDS9000系列中采用了很多集成式技术,与iFCP解决方案相比,这些技术的部署和管理相对简单,虚拟SAN(VSAN)、VSAN间路由(IVR)和FCIP等技术都使用同一套光纤通道路由及警报和响应机制,提供可以扩展的永续性端到端基础设施。

以下是基于iFCP的解决方案面临的某些挑战,以及包含FCIP、VSAN和IVR的思科解决方案的比较。

1.iFCP需要更多网关设备当今的iFCP只能通过冗余iFCP网关设备对实现,而这种网关设备只能由一家厂商Nishan Systems(现在为McDATA)提供。由于没有集成式解决方案,致使整个解决方案变得很复杂。与之相反,VSAN、IVR和FCIP都可以作为Cisco MDS 9000系列多层交换机中的嵌入式解决方案使用,包括导向器和Fabric网络交换机。

2.iFCP需要更多管理工具一iFCP解决方案不但用了iFCP协议,还用了iSNS协议。这些解决方案都必须通过NishanSystems提供的独立工具管理。由于这些工具没有与任何网络管理工具集成,因面使管理解决方案变得异常复杂,与之相反,思科则将Cisco Fabric Manager作为每台MDS9000交换机的一部分提供,将光纤通道、iSCSI、FCIP、VSAN,IVR和几种其它特性的管理都放在同一个管理套件下进行。另外,它还将继续集成第三方管理套件,包括EMCECCIBM Tivoli、VeritasSPC、HPOV-SAM及其它工具,以提高直接管理MDS9000系列产品及其特性的能力。

3.iFCP需要了解两种新协议一-iFCP使用了iFCP和iSNS协议,对SAN来讲,这是两种新协议。

因此,负责管理SAN和iFCP服务的管理员必须了解这些复杂协议,并能够排除故障。与之相反,思科的VSAN和IVR则严格以光纤通道概念为基础,包括分区,而且已完成集成到思科的管理套件中。另外,FCIP是光纤通道ISL到TCP连接的透明映射,作为ISL从Cisco Fabric

Manager进行管理。

4.iFCP具有FC-4型限制一iFCP有效取代了光纤通道协议栈的FC-2层。基于这个原因,FCIP是光纤通道ISL到TCP连接的透明映射。任何FC-4服务都可以通过FCIP传输,包括用于远程带内管理的IP-over-FC(IETF RFC 2625)等服务,以及FICON服务。

5.iFCP需要广泛的TCP连接一iFCP要求为使用iFCP服务的每对通信设备建立一个新TCP连接。每个TCP连接都需要CPU资源和内存资源,以便管理TCP连接和窗口服务,因此,当使用服务的设备增多之后,总性能就会受到限制。另外,如果物理链路出现故障,TCP连接可能会受到影响,需要重新建立连接,从而消耗更多的CPU资源。如果每条TCP连接都需要重新建立,还必须创建和传输一系列SW-RSCN。与之相反,每创建一条虚拟ISL,FCIP服务只需要一条TCP连接,其性能不依赖于使用FCIP通道的设备的数量。不仅如此,如果物理链路出现故障,FCIP上的显示是:ISL中断,用SW-RSCN表示城丢失。

  1. iFCP NAT需要逐帧操作一iFCP的功能是将定址从本地SAN域转换到远程域,因而必须对每个帧进行操作。对于嵌入在帧内FCID地址中的ELS帧等光纤通道管理协议,这种操作方式会带来一些问题。与之相反,FCIP解决方案则为光纤通道ISL流量提供完全透明的通道。利用VSAN和IVR能够进一步限制必须穿越FCIP解决方案的控制流量,而且不需要对任何帧进行操作。

7.iFCP需要iSNS服务才能正常运行一iFCP解决方案的部分功能是将通用光纤通道网络服务复制到IP服务,以供iFCP网关使用。这个功能是通过创建称为iSNS的其它协议实现的。如果没有iSNS服务,iFCP就不能运行。另外,如果iSNS服务器出现故障,在选举新型iSNS主服务器过程中会出现延迟和流量中断。与之相反,采用了FCIP、VSAN和IVR的思科解决方案只需要Fabric网络中已有的一套标准光纤通道服务,不再需要其它Fabric网络服务。

8.iFCP只使用以太网一由于iFCP只使用以太网传输,因而不在纯光纤通道环境中提供任何城功能。另外,如果需要在解决方案中使用其它传输协议必须先转换为以太网协议,然后再转换为选定的传输协议。例如,使用了SONET和iFCP的SAN扩展解决方案必须先将光纤通道流量转换成基于以太网的iFCP,然后再转换成SONET。与之相反,利用透明的FCIP协议,VSAN和IVR则可以在纯光纤通道环境中使用,也可以直接使用其它传输协议,例如SONET或者IP网络。

9.iFCP划分路由域一一iFCP使用IP网络提供的路由服务,因此,iFCP提供网络FSPF路由和IP路由之间的网关功能,但不能端到端双向扩展,也不提供负载平衡功能。没有端到端路由功能意味着光纤通道网络不能通过iFCP解决方案中的其它冗余路径动态重新路由或平衡负载。光纤通道内的FSPF只能看见iFCP网关,而看不到上面的东西。与之相反,无论是否使用了FCIP,利用了思科IVR的解决方案都采用了FSPF路由拓扑,都可以端到端看到光纤通道和IP网络上的所有相关域。因此,FSPF可以在端到端网络中建立和利用所有冗余路径,从而提高了解决方案的永续性。思科VSAN技术能够进一步将路由拓扑限制到需要访问SAN扩展服务的那些设备。

相关推荐
zhou周大哥33 分钟前
linux 安装 ffmpeg 视频转换
linux·运维·服务器
Sun_12_242 分钟前
SQL注入(SQL lnjection Base)21
网络·数据库
网络安全Jack1 小时前
网络安全概论——身份认证
网络·数据库·web安全
易我数据恢复大师1 小时前
如何彻底删除电脑数据以防止隐私泄露
网络·电脑·数据删除·擦除
the丶only1 小时前
单点登录平台Casdoor搭建与使用,集成gitlab同步创建删除账号
linux·运维·服务器·docker·gitlab
ccubee2 小时前
docker 安装 ftp
运维·docker·容器
学习溢出2 小时前
【网络安全】逆向工程 练习示例
网络·安全·网络安全·渗透测试·逆向工程
枫叶红花2 小时前
【Linux系统编程】:信号(2)——信号的产生
linux·运维·服务器
yaosheng_VALVE2 小时前
探究全金属硬密封蝶阀的奥秘-耀圣控制
运维·eclipse·自动化·pyqt·1024程序员节