一、如何保障SAN安全 在交换机上实现存储安全

FC、IP网络的安全性

不论是光纤通道还是IP网络，主要的潜在威胁来自非授权访问，特别是管理接口。例如，一旦获得和存储区域网络(SAN)相连接服务器管理员的权限，欺诈进入就可以得逞。这样入侵者可以访问任何一个和SAN连接的系统。因此，无论使用的是哪一种存储网络，应该认识到应用充分的权限控制、授权访问、签名认证的策略对防止出现安全漏洞是至关重要的。

测错攻击在IP网络中也比在光纤通道的SAN中易于实现。针对这类攻击，一般是采用更为复杂的加密算法。

尽管DoS似乎很少发生，但是这并不意味着不可能。然而如果要在光纤通道SAN上实现DoS攻击，则不是一般的黑客软件所能实现的，因为它往往需要更为专业的安全知识。

实现SAN数据安全方法

保证SAN数据安全的两个基本安全机制是分区制zoning和逻辑单元值(Logical Unit Number)掩码。

分区制是一种分区方法。通过该方法，一定的存储资源只对于那些通过授权的用户和部门是可见的。一个分区可以由多个服务器、存储设备、子系统、交换机、HBA和其它计算机组成。只有处于同一个分区的成员才可以互相通讯。

分区制往往在交换级来实现。根据实现方式，可以分为两种模式，一为硬分区，一为软分区。硬分区是指根据交换端口来制定分区策略。所有试图通过未授权端口进行的通讯均是被禁止的。由于硬分区是在系统电路里来实现，并在系统路由表中执行，因此，较之软分区，具有更好的安全性。

在光纤通道网络中，软分区是基于广域命名机制的(WWN)的。WWN是分配给网络中光纤设备的唯一识别码。由于软分区是通过软件来保证在不同的分区中不会出现相同的WWNs，因此，软分区技术比硬分区具有更好的灵活性，特别是在网络配置经常变化的应用中具有很好的可管理性。

有些交换机具有端口绑定功能，从而可以限制网络设备只能和通过预定义的交换端口进行通讯。利用这种技术，可以实现对存储池的访问限制，从而保护SAN免受非授权用户的访问。

另一种被广泛采用的技术是LUN掩码。一个LUN就是对目标设备(如磁带和磁盘阵列)内逻辑单元的SCSI识别标志。在光纤通道领域，LUN是基于系统的WWN实现的。

LUN掩码技术是将LUN分配给主机服务器，这些服务器只能看到分配给它们的LUN。如果有许多服务器试图访问特定的设备，那么网络管理者可以设定特定的LUN或LUN组可以访问，从而可以拒绝其它服务器的访问，起到保护数据安全的目的。不仅在主机上，而且在HBA、存储控制器、磁盘阵列、交换机上也可以实现各种形式的LUN屏蔽技术。

如果能够将分区制和LUN技术与其它的安全机制共同运用到网络及其设备上的话，对网络安全数据安全将是非常有效的。

业界对存储安全的做法

尽管目前对于在哪一级设备应用存储安全控制是优的还没有一个明确的结论，例如，IPSec能够在ASIC、VPN设备、家电和软件上实现，但目前已有很多商家在他们的数据存储产品中实现了加密和安全认证功能。

IPSec对于其它基于IP协议的安全问题，比如互联网小型计算机接口(iSCSI)、IP上的光纤通道(FCIP)和互联网上的光线通道(IFCP)等，也能起到一定的的作用。

通常使用的安全认证、授权访问和加密机制包括轻量级的路径访问协议Lightweight Directory Access Protocol(LDAP)、远程认证拨入用户服务(RADIUS),增强的终端访问控制器访问控制系统(TACACS+)、Kerberos、 Triple DES、高级加密标准(AES)、安全套接层(SSL)和安全Shell(SSH)。

尽管SAN和NAS的安全机制有诸多相似之处，其实它们之间也是有区别的。很多NAS系统不仅支持SSH、SSL、Kerberos、RADIUS和LDAP安全机制，同时也支持访问控制列表(ACL)以及多级许可。这里面有一个很重要的因素是文件锁定，有很多产品商家和系统通过不同的方式来实现这一技术。例如，微软采用的为硬锁定，而基于 Unix的系统采用的是相对较为松弛的建议级锁定。由此可以看到，如果在Windows-Unix混合环境下，将会带来一定的问题。

呼唤存储安全标准化

SAN安全的实现基础在交换机这一层。因此，存储交换机的标准对网络产品制造商的技术提供方式的影响是至关重要的。

存储安全标准化进程目前还处于萌芽阶段。ANSI成立了T11光纤通信安全协议(FC-SP)工作组来设计存储网络基础设施安全标准的框架。目前已经提交了多个协议草案，包括FCSec协议，它实现了IPSec和光纤通讯的一体化;同时提交的还有针对光纤通讯的挑战握手认证协议(CHAP)的一个版本;交换联结认证协议(SLAP)使用了数字认证使得多个交换机能够互相认证;光纤通信认证协议(FCAP)是SLAP的一个扩展协议。IEEE的存储安全工作组正在准备制定一个有关将加密算法和方法标准化的议案。

存储网络工业协会(SNIA)于2002年建立了存储安全工业论坛(SSIF)，但是由于不同的产品商支持不同的协议，因此实现协议间的互*作性还有很长一段路要走。

关注存储交换安全

大家都已经注意到了为了保证存储安全，应该在存储交换机和企业网络中的其它交换机上应用相同的安全预警机制，因此，对于存储交换机也应有一些特殊的要求。

存储交换安全重要的一个方面是保护光纤管理接口，如果管理控制台没有很好的安全措施，则一个非授权用户有可能有意或无意地入侵系统或改变系统配置。有一种分布锁管理器可以防止这类事情发生。用户需要输入ID和加密密码才能够访问交换机光纤的管理界面。为了将SAN设备的管理端口通过安全认证机制保护起来，好是将SAN配置管理工作集中化，并且对管理控制台和交换机之间的通讯进行加密。另外一个方面，在将交换机接入到光纤网络之前，也应该通过ACL和 PKI机制实现授权访问和安全认证。因此，交换机间链接应当建立在严密的安全防范措施下。

二、存储交换机又叫做光纤交换机

FC交换机不叫光纤交换机，FC全称Fibre Channel，Fibre与光纤Fiber不是同一个单词，长期以来国人把这两个单词搞混，以为FC交换机翻译过来就是光纤交换机，这个说法不对。FC交换机可以用光纤连接，也可以用双绞线，FC交换机跟跟光纤没有任何联系。光纤只是FC协议定义的物理层的其中一种传输数据的方式，就像以太网我们可以用双绞线，可以用光纤，也可以用无线一样，但以太网叫以太网，不叫双绞线网或光纤网。

三、IP-SAN与FC-SAN部署有什么区别

存储区域网络(Storage Area Network，简称SAN)采用光纤通道(Fibre Channel)技术，通过光纤通道交换机连接存储阵列和服务器主机，建立专用于数据存储的区域网络。

SAN结构有两种，IPSAN与FCSAN。

IPSAN:

IPSAN是在SAN后产生的，SAN默认指FCSAN，以光纤通道构建存储网络，IPSAN则以IP网络构建存储网络。由于FC

SAN的高成本使得很多中小规模存储网络不能接受，一些人开始考虑构建基于以太网技术的存储网络。但是在SAN中，传输的指令是 SCSI的读写指令，不是IP数据包。iSCSI（互联网小型计算机系统接口）是一种在TCP/IP上进行数据块传输的标准。它是由Cisco和IBM两家发起的，并且得到了各大存储厂商的大力支持。iSCSI可以实现在IP网络上运行SCSI协议，使其能够在诸如高速千兆以太网上进行快速的数据存取备份*作。为了与之前基于光纤技术的FCSAN区分开来，这种技术被称为IPSAN。iSCSI继承了两大传统技术：SCSI和TCP/IP协议。这为iSCSI的发展奠定了坚实的基础。

基于iSCSI的存储系统只需要不多的投资便可实现SAN存储功能，甚至直接利用现有的TCP/IP网络。相对于以往的网络存储技术，它解决了开放性、容量、传输速度、兼容性、安全性等问题，其优越的性能使其备受关注与青睐。在实际工作时，是将SCSI命令和数据封装到TCP/IP包中，然后通过IP网络进行传输。

IPSAN优势：

成本低廉，购买的网线和交换机都是用以太网，甚至可以利用现有网络组建SAN；

部署简单，管理难度低；

万兆以太网的出现使得IP SAN在与FC SAN竞争时不再逊色于传输带宽；

基于IP网络的天生优势使得IP SAN很容易实现异地存储、远程容灾等穿越WAN才能时间的技术

FCSAN:

早期的SAN采用的是光纤通道（FC，Fibre Channel）技术，所以，以前的SAN多指采用光纤通道的存储局域网络，业内称为FCSAN。

FCSAN优势：

传输带宽高，目前有1,2,4和8Gb/s四种标准，主流的是4和8Gb/s

性能稳定可靠，技术成熟，是关键应用领域和大规模存储网络的不二选择。

FCSAN缺点：

成本极其高昂，需要光纤交换机和大量的光纤布线；

维护及配置复杂，需要培训完全不同于LAN管理员的专业FC网络管理员。

四、FC-SAN的结构有哪些部件

1、宿主层

允许访问 SAN及其存储设备的服务器被认为构成了 SAN的主机层。此类服务器具有主机适配器，它们是连接到服务器主板上的插槽（通常是 PCI插槽）并与相应的固件和设备驱动程序一起运行的卡。通过主机适配器，服务器的*作系统可以与 SAN中的存储设备进行通信。

在光纤通道部署中，电缆通过千兆接口转换器(GBIC)连接到主机适配器。GBIC也用于 SAN内的交换机和存储设备，它们将数字位转换为光脉冲，然后可以通过光纤通道电缆传输。相反，GBIC将传入的光脉冲转换回数字位。GBIC的前身称为千兆链路模块(GLM)。

2、织物层

结构层由 SAN网络设备组成，包括SAN交换机、路由器、协议桥、**设备和电缆。SAN网络设备在 SAN内或在启动器（例如服务器的 HBA端口）和目标（例如存储设备的端口）之间移动数据。

在初构建 SAN时，集线器是唯一支持光纤通道的设备，但是开发了光纤通道交换机，现在在 SAN中很少发现集线器。与集线器相比，交换机的优势在于它们允许所有连接的设备同时通信，因为交换机提供专用链路以将其所有端口相互连接。

初构建 SAN时，光纤通道必须通过铜缆实现，如今 SAN中使用多模光纤电缆。 

SAN网络通常采用冗余方式构建，因此 SAN交换机之间采用冗余链路连接。SAN交换机将服务器与存储设备连接起来，并且通常是无阻塞的，允许同时通过所有连接的线路传输数据。

29个 SAN交换机用于在网状拓扑中设置的冗余目的。单个 SAN交换机可以具有少至 8个端口和多达 32个带有模块化扩展的端口。 所谓的导向器级交换机多可以有128个端口。

在交换 SAN中，使用光纤通道交换结构协议 FC-SW-6，在该协议下，SAN中的每个设备在主机总线适配器(HBA)中都有一个硬编码的全球名称(WWN)地址。如果设备连接到 SAN，其 WWN将在 SAN交换机名称服务器中注册。

代替 WWN或全球端口名称(WWPN)，SAN光纤通道存储设备供应商还可以硬编码全球节点名称(WWNN)。存储设备端口的WWN通常以5开头，而服务器的总线适配器则以10或21开头。

3、存储层

串行化小型计算机系统接口(SCSI)协议通常用于服务器和 SAN存储设备中的光纤通道交换结构协议之上。

以太网上的Internet小型计算机系统接口(iSCSI)和Infiniband协议也可以在 SAN中实现，但通常桥接到光纤通道 SAN中。但是，可以使用 Infiniband和 iSCSI存储设备，尤其是磁盘阵列。

SAN中的各种存储设备被称为形成存储层。它可以包括各种存储数据的硬盘和磁带设备。在 SAN中，磁盘阵列通过RAID连接起来，这使得许多硬盘看起来和运行起来就像一个大存储设备。

每个存储设备，甚至该存储设备上的分区，都有一个逻辑单元号(LUN)分配给它。这是 SAN中的唯一编号。SAN中的每个节点，无论是服务器还是其他存储设备，都可以通过引用 LUN来访问存储。

优势

存储器的共享通常简化了存储器的维护，提高了管理的灵活性，因为连接电缆和存储器设备不需要物理地从一台服务器上搬到另外一台服务器上。

其它的优势包括从SAN自身来启动并引导服务器的*作系统。因为SAN可以被重新配置，所以这就使得更换出现故障服务器变得简单和快速，更换后的服务器可以继续使用先前故障服务器LUN。

这个更替服务器的过程可以被压缩到半小时之短，这在目前还是一个只在新建数据中心才使用的相对新潮的办法。现在也出现了很多新产品得益于此，并且在提高更换速度方面不断进步。

例如Brocade的应用资源管理器Application Resource Manager可以自动管理可以从SAN启动的服务器，而完成*作的时间通常情况只需要几分钟。

尽管此方向的技术现在仍然很新，还在不断演进，许多人认为它将进入未来的企业级数据中心。

SAN也被设计为可以提供更有效的灾难恢复特性。一个SAN可以“携带”距离相对较远的第二个存储阵列。这就使得存储备份可以使用多种实现方式，可能是磁盘阵列控制器、服务器软件或者其它特别SAN设备。