存儲基礎（1）

時間 2019-11-16

標籤存儲基礎简体版

原文原文鏈接

存儲基礎（1）轉自：https://www.cnblogs.com/zxqstrong/p/4727912.htmlhtml

---------------------------------------------------------------------------------------------------前端

1.網絡存儲主要技術linux

2.主要協議和相關技術數據庫

3.文件系統編程

4.RAID技術windows

5.數據複製與容災後端

6.備份技術數組

7.windows相關緩存

8.linux相關安全

9.存儲網絡知識

10.存儲I/O

11.雲存儲

12.其餘存儲

13.資料

--------------------------------------------------------------------------------------------------------------------------------

1.網絡存儲主要技術

1.1 NAS

NAS簡介

在20世紀80年代初，英國紐卡斯爾大學布賴恩.蘭德爾教授 ( Brian Randell)和同事經過「紐卡斯爾鏈接」成功示範和開發了在整套UNIX機器上的遠程文件訪問。繼「紐卡斯爾鏈接」以後， 1984 年Sun公司發佈了NFS協議，容許網絡服務器與網絡客戶分享他們的存儲空間。90年代初Auspex工程師建立了集成的NetApp文件管理器，它支持windows CIFS和UNIX NFS協議，並有卓越的可擴展性和易於部署，今後市場有了專用NAS設備。在短短几年中，NAS憑藉簡便高效應用的中心思想，逐漸成爲網絡數據存儲方案的主打設備之一。目前EMC公司 Celerra產品擁有優異的性能及多功能性，在全球NAS市場處於領導地位。

NAS概念

NAS（Network-Attached Storage，網絡附加存儲）是指鏈接到計算機網絡的文件級別計算機數據存儲，能夠爲不一樣客戶端提供數據存取。

NAS被定義爲一種特殊的專用數據存儲服務器，包括存儲器件（一個或多個硬盤驅動器的網絡設備，這些硬盤驅動器一般安排爲邏輯的、冗餘的存儲容器或者RAID陣列）和內嵌系統軟件，可提供跨平臺文件共享功能。NAS一般在一個LAN上佔有本身的節點，無需應用服務器的干預，容許用戶在網絡上存取數據，在這種配置中，NAS集中管理和處理網絡上的全部數據，將負載從應用或企業服務器上卸載下來，有效下降總擁有成本，保護用戶投資。

NAS自己可以支持多種協議（如NFS、CIFS、FTP、HTTP等），並且可以支持各類操做系統。NAS是真正即插即用的產品，而且物理位置靈活，可放置在工做組內，也可放在混合環境中，如混合了Unix/Windows局域網的環境中，而無需對網絡環境進行任何的修改。NAS產品直接經過網絡接口鏈接到網絡上，只需簡單地配置一下IP地址，就能夠被網絡上的用戶所共享。

NAS特色

與採用存儲區域網絡(SAN-Storage Area Network)的方案比較，採用網絡附加存儲(NAS-Network-Attached Storage)結構的方案具備如下特色:

1）. 以網絡爲中心，開放的標準協議支持

區別於存儲區域網絡(SAN)的設計方案，網絡接入存儲(NAS)的模式以網絡爲中心。該方案利用現有的以太網網絡資源來接入專用的網絡存儲設備，而不是另外再部署昂貴的光纖交換機網絡來鏈接傳統的存儲設備，這樣保護了用戶對以太網的投資。

近年來，千兆以太網的傳輸帶寬(1000Mbps，爲125MB/s)已經獲得普及，而且有望朝萬兆以太網發展。屆時，以太網的傳輸帶寬將會是10倍於SAN賴以生存的各類SCSI和 Fiber Channel協議的傳輸帶寬。EMC公司Celerra產品支持目前最流行的TCP/IP網絡協議，而使用的NFS和CIFS文件服務協議也是業界標準協議，充分作到設備的兼容性。

2）. 獨立的操做系統

Celerra的DART操做系統具有自主知識產權，專一於文件系統的傳輸。該操做系統功能強大，性能優越，保證了文件系統高速可靠的傳輸。 Celerra後端經過SAN網絡鏈接後端存儲設備，擁有多條鏈路冗餘，避免單點故障，保障了數據安全性。用戶的數據只要保存一個拷貝，便可被前端的各類類型的主機所使用，所以，具有主機無關性。Celerra的DART操做系統對於不一樣操做系統Unix和Windows一樣保證了數據共享，而且各自的訪問權限亦可獲得相應的保證。

3）. 安裝及管理簡便

NAS無需服務器直接上網，而是採用面向用戶設計的、專門用於數據存儲的簡化操做系統，內置了與網絡鏈接所需的協議，整個系統的管理和設置較爲簡單。Celerra只要現有的網絡具備空閒的網口，在無需關機的狀況下，便可提供給前端不一樣類型主機進行訪問，無需在主機上安裝任何的軟硬件。

4）. NAS底層協議

NAS採用了NFS（Sun）溝通Unix陣營和CIFS溝通NT陣營，這也反映了NAS是基於操做系統的「文件級」讀寫操做，訪問請求是根據「文件句柄+偏移量」得出。

1.2 SAN

SAN(Storage Area Network的簡稱)直譯過來就是存儲區域網絡，它採用光纖通道(Fibre Channel)技術，經過光纖通道交換機鏈接存儲陣列和服務器主機，創建專用於數據存儲的區域網絡。SAN網絡存儲是一種高速網絡或子網絡，SAN存儲系統提供在計算機與存儲系統之間的數據傳輸。一個SAN網絡由負責網絡鏈接的通訊結構、負責組織鏈接的管理層、存儲部件以及計算機系統構成，從而使SAN技術保證數據傳輸的安全性和力度。SAN具備如下幾點優點：

1.SAN的可擴展性意味着你有少數的磁盤不受鏈接到系統上的限制。SAN能夠增加到數百個磁盤，可是普通物理服務器的極限只有十幾個。

2.SAN的性能不會受到以太網流量或本地磁盤訪問量的制約。數據經過SAN從本身的私有網絡傳送，隔開用戶流量、備份流量和其餘SAN流量。

3.在正確的配置環境下，SAN數據被區域劃分。用戶保存數據的分區和其餘人處在一樣的SAN.SAN區域隔離就如同將UNIX服務器和Windows服務器鏈接到相同的SAN上，但這兩種服務器上的數據訪問是不一樣的，事實上，Windows系統不能「看到」UNIX的數據，反之亦然。

4.SAN系統不須要從新啓動就能添加新的磁盤，更換磁盤或配置RAID組。數據流徹底避開服務器系統，SAN一樣增長了數據備份和恢復性能。

5.分區也能夠在SAN上將你的工做負載分離。不只是將你的數據分離保護，並且對那些影響應用程序性能的不相關的工做負載採起屏蔽。在適當的區域應用SAN共享從性能上講不是問題。

6.SAN有個無可比擬的優點，就是存儲鏈接距離爲10千米距離(約6英里)。不是說你必定會用到這個優點，但當你須要的時候，它就能顯現出來。具備距離優點，能夠將數據存儲到一個獨立的位置，從系統服務中脫離出來。

7.在如SAN這樣的存儲網絡上的自動精簡配置的空間利用效率，要比本地存儲的來得高。當一個系統須要更多的存儲資源時，SAN將動態分配資源。這意味着物理系統能夠享受自動精簡配置，就像虛擬化那樣。

1.3 SAN和NAS的區別

目前磁盤存儲市場上，存儲分類根據服務器類型分爲：封閉系統的存儲和開放系統的存儲.

1）封閉系統主要指大型機，AS400等服務器，開放系統指基於包括Windows、UNIX、Linux等操做系統的服務器；

2）開放系統的存儲分爲：內置存儲和外掛存儲；

　　開放系統的外掛存儲根據鏈接的方式分爲：直連式存儲（Direct-Attached Storage，簡稱DAS）和網絡化存儲（Fabric-Attached Storage，簡稱FAS）；

　　　　開放系統的網絡化存儲根據傳輸協議又分爲：網絡接入存儲（Network-Attached Storage，簡稱NAS）和存儲區域網絡（Storage Area Network，簡稱SAN）。

因爲目前絕大部分用戶採用的是開放系統，其外掛存儲佔有目前磁盤存儲市場的70%以上，所以本文主要針對開放系統的外掛存儲進行論述說明。

今天的存儲解決方案主要爲：直連式存儲（DAS）、存儲區域網絡（SAN）、網絡接入存儲（NAS）。（SAN和NAS的 FS反了。。）

DAS

開放系統的直連式存儲（Direct-Attached Storage，簡稱DAS）已經有近四十年的使用歷史，隨着用戶數據的不斷增加，尤爲是數百GB以上時，其在備份、恢復、擴展、災備等方面的問題變得日益困擾系統管理員。

1）直連式存儲依賴服務器主機操做系統進行數據的IO讀寫和存儲維護管理，數據備份和恢復要求佔用服務器主機資源（包括CPU、系統IO等），數據流須要迴流主機再到服務器鏈接着的磁帶機（庫），數據備份一般佔用服務器主機資源20-30%，所以許多企業用戶的平常數據備份經常在深夜或業務系統不繁忙時進行，以避免影響正常業務系統的運行。直連式存儲的數據量越大，備份和恢復的時間就越長，對服務器硬件的依賴性和影響就越大。

2）直連式存儲與服務器主機之間的鏈接通道一般採用SCSI鏈接，帶寬爲10MB/s、20MB/s、40MB/s、80MB/s等，隨着服務器CPU的處理能力愈來愈強，存儲硬盤空間愈來愈大，陣列的硬盤數量愈來愈多，SCSI通道將會成爲IO瓶頸；服務器主機SCSI ID資源有限，可以創建的SCSI通道鏈接有限。

3）不管直連式存儲仍是服務器主機的擴展，從一臺服務器擴展爲多臺服務器組成的羣集(Cluster)，或存儲陣列容量的擴展，都會形成業務系統的停機，從而給企業帶來經濟損失，對於銀行、電信、傳媒等行業7×24小時服務的關鍵業務系統，這是不可接受的。而且直連式存儲或服務器主機的升級擴展，只能由原設備廠商提供，每每受原設備廠商限制。

SAN

存儲區域網絡（Storage Area Network，簡稱SAN）採用光纖通道（Fibre Channel）技術，經過光纖通道交換機鏈接存儲陣列和服務器主機，創建專用於數據存儲的區域網絡。SAN通過十多年曆史的發展，已經至關成熟，成爲業界的事實標準（但各個廠商的光纖交換技術不徹底相同，其服務器和SAN存儲有兼容性的要求）。SAN存儲採用的帶寬從100MB/s、200MB/s，發展到目前的1Gbps、2Gbps。

NAS

網絡接入存儲（Network-Attached Storage，簡稱NAS）採用網絡（TCP/IP、ATM、FDDI）技術，經過網絡交換機鏈接存儲系統和服務器主機，創建專用於數據存儲的存儲私網。隨着IP網絡技術的發展，網絡接入存儲（NAS）技術發生質的飛躍。早期80年代末到90年代初的10Mbps帶寬，網絡接入存儲做爲文件服務器存儲，性能受帶寬影響；後來快速以太網（100Mbps）、VLAN虛網、Trunk(Ethernet Channel) 以太網通道的出現，網絡接入存儲的讀寫性能獲得改善；1998年千兆以太網（1000Mbps）的出現和投入商用，爲網絡接入存儲（NAS）帶來質的變化和市場普遍承認。

因爲網絡接入存儲採用TCP/IP網絡進行數據交換，TCP/IP是IT業界的標準協議，不一樣廠商的產品（服務器、交換機、NAS存儲）只要知足協議標準就可以實現互連互通，無兼容性的要求；而且2002年萬兆以太網（10000Mbps）的出現和投入商用，存儲網絡帶寬將大大提升NAS存儲的性能。NAS需求旺盛已經成爲事實。首先NAS幾乎繼承了磁盤列陣的全部優勢，能夠將設備經過標準的網絡拓撲結構鏈接，擺脫了服務器和異構化構架的桎梏。

其次，在企業數據量飛速膨脹中，SAN、大型磁帶庫、磁盤櫃等產品雖然都是很好的存儲解決方案，但他們那高貴的身份和複雜的操做是資金和技術實力有限的中小企業不管如何也不能接受的。NAS正是知足這種需求的產品，在解決足夠的存儲和擴展空間的同時，還提供極高的性價比。所以，不管是從適用性仍是TCO的角度來講，NAS天然成爲多數企業，尤爲是大中小企業的最佳選擇。

NAS與SAN的分析與比較

針對I/O是整個網絡系統效率低下的瓶頸問題，專家們提出了許多種解決辦法。

其中抓住癥結並通過實踐檢驗爲最有效的辦法是：將數據從通用的應用服務器中分離出來以簡化存儲管理。

由圖可知原來存在的問題：每一個新的應用服務器都要有它本身的存儲器。這樣形成數據處理複雜，隨着應用服務器的不斷增長，網絡系統效率會急劇降低。解決方案：

從圖可看出：將存儲器從應用服務器中分離出來，進行集中管理。這就是所說的存儲網絡（Storage Networks）。

使用存儲網絡的好處：

　　統一性：形散神不散，在邏輯上是徹底一體的。

　　實現數據集中管理，由於它們纔是企業真正的命脈。

　　容易擴充，即收縮性很強。

　　具備容錯功能，整個網絡無單點故障。

專家們針對這一辦法又採起了兩種不一樣的實現手段，即NAS（Network Attached Storage）網絡接入存儲和SAN(Storage Area Networks)存儲區域網絡。

　　NAS：用戶經過TCP/IP協議訪問數據，採用業界標準文件共享協議如：NFS、HTTP、CIFS實現共享。

　　SAN：經過專用光纖通道交換機訪問數據，採用SCSI、FC-AL接口。

NAS和SAN最本質的不一樣就是文件管理系統在哪裏

SAN結構中，文件管理系統（FS）仍是分別在每個應用服務器上；而NAS則是每一個應用服務器經過網絡共享協議（如：NFS、CIFS）使用同一個文件管理系統。

換句話說：NAS和SAN存儲系統的區別是NAS有本身的文件系統管理。

　　NAS是將目光集中在應用、用戶和文件以及它們共享的數據上。

　　SAN是將目光集中在磁盤、磁帶以及聯接它們的可靠的基礎結構。

未來從桌面系統到數據集中管理到存儲設備的全面解決方案將是NAS加SAN

爲何寫NAS就不得不提到SAN呢?緣由之一是它們的名字有69關係，容易混淆;之二是NAS和SAN既競爭又合做，不少高端NAS的後端存儲就是SAN。NAS和SAN的整合也是存儲設備的發展趨勢，好比EMC的新產品VNX系列。右圖展現了一臺NAS的邏輯結構：雙虛線框表示一臺NAS。它經過Fibre Channel從後端SAN得到存儲空間，建立文件系統後，再經過以太網共享給服務器。SAN提供的存儲單位是LUN，屬於block級別的。通過NAS建立成文件系統後，就變成文件級別的了。

若是上邊的邏輯圖還不夠清楚，能夠看看下面的物理鏈接。NAS經過FC Switch連到SAN上，應用服務器再經過Ethernet Switch連到NAS上。同時SAN也直接提供block級別的存儲給應用服務器。

　　關於NAS和SAN的區別，能夠列出不少來。好比帶寬大小，距離長短，共享優劣等等。幾乎全部區別都是由兩個因素衍生出來的。一個是FC與Ethernet，另外一個是block與file system。簡而言之，若是用戶須要經過FC訪問block，就用SAN;若是須要經過Ethernet訪問file system，就用NAS。

1.4 NAS實現類型對比：統一式、網關式和橫向擴展式（Scale-out）

NAS主要有三種類型的實現：統一式、網關式和橫向擴展式（Scale-out）。統一NAS使用統一的存儲平臺將基於NAS和基於SAN的數據訪問合併，提供了能夠同時管理二種環境的統一管理界面。網關NAS使用外部存儲來存取數據，網關NAS和存儲的管理操做是分開的。橫向擴展式（Scale-out）NAS可組合多個節點，造成一個集羣NAS系統。本文將對比三種不一樣NAS實現類型。

統一NAS

統一NAS提供文件服務，同時負責存儲文件數據，並提供塊數據訪問。它支持用於文件訪問的CIFS（Common Internet File System，通用Internet文件系統）和NFS（Network File System，網絡文件系統）協議，以及用於塊級訪問的SCSI（Small Computer System Interface，小型計算機系統接口）和FC（Fibre Channel ）協議。由於基於NAS和基於SAN的訪問合併到同一個存儲平臺，統一NAS下降了企業的基礎設施成本和管理成本。

統一NAS的一個系統中包括了一個或多個NAS頭及存儲。NAS頭與存儲控制器鏈接，提供到存儲的訪問。存儲控制器提供了與iSCSI和FC主機的鏈接。存儲可以使用不一樣的磁盤類型（例如SAS、ATA、FC和閃存盤），以知足不一樣的負載需求。下圖顯示的是一個統一NAS鏈接的例子。

網關式NAS

網關式NAS設備包含一個或多個NAS頭，使用外部存儲或者獨立管理的存儲。與統一NAS類似，存儲是與其餘使用塊級I/O的應用共享的。這種解決方案的管理功能比統一存儲複雜，由於NAS頭和存儲器的管理任務是分開的。網關式解決方案能夠利用FC基礎設施，例如：交換機等，訪問SAN存儲陣列或直連式存儲陣列。

網關式NAS的擴展性比統一NAS好，由於NAS頭和存儲陣列能夠獨立地根據需求進行擴展升級。例如：能夠經過增長NAS頭的方式提高NAS設備的性能。當存儲容量達到上限時，網關NAS設備能夠獨立於NAS頭對SAN進行擴展，增長存儲容量。網關式NAS經過在SAN環境中進行存儲共享，提升了存儲資源的利用率。下圖是一個網關式NAS鏈接的例子。

橫向擴展式（Scale-out）NAS

統一NAS和網關NAS實現都提供了必定的擴展性能，能夠在數據增加和性能需求提升時對資源進行擴展。對NAS設備進行擴展主要涉及增長CPU、內存和存儲容量。擴展性受制於NAS設備對後續增長NAS頭和存儲容量的支持能力。

橫向擴展式（Scale-out）NAS可組合多個節點，造成一個集羣NAS系統。只須要向集羣NAS架構中添加節點便可實現資源的擴展。整個集羣可看做是一個NAS設備，資源是集中管理的。在須要擴大容量或提升性能的時候，可向集羣中添加節點，這不會形成停機下線的狀況。橫向擴展NAS能夠集合許多性能和可用性中等的節點，造成集羣系統擁有更好的整體性能和可用性。它還有易使用、成本低以及理論上可無限擴展的優點。

橫向擴展式（Scale-out）NAS在集羣中的全部節點上建立了一個單一文件系統。節點的全部信息均可以彼此共享，所以鏈接到任何節點的客戶端均可以訪問整個文件系統。集羣NAS將數據在全部節點間分條，同時使用鏡像或效驗方式進行數據保護。數據從客戶端發送到集羣時，數據被分割，並行分配給不一樣節點。當客戶端發送文件讀取請求時，集羣NAS從多個節點獲取相應的塊，將他們組合成文件，而後將文件發給客戶端。隨着節點的增長，文件系統實現動態擴展，數據在節點之間均衡分佈。每一個增長的節點都增長了整個集羣的存儲、內存、CPU和網絡能力。所以，整個集羣的性能都獲得提高。

橫向擴展式（Scale-out）NAS適合解決企業和客戶當前面臨的大數據問題。它統一管理和存儲高速增加的數據，同時又十分靈活，能知足各類性能需求。下圖顯示的是一個橫向擴展式（Scale-out）NAS鏈接的例子。

--------------------------------------------------------------------------------------------------------------------------------------------------------------

2. 主要協議和技術

2.1 SCSI訪問控制原理介紹

SCSI-2 Reserve(預留)/Release(釋放)/Reset（重置）

SCSI-2協議中客戶端訪問lun過程以下：

一、客戶端向lun發起預留操做

二、預留操做成功後，客戶端得到lun操做權限；預留失敗，提示預留衝突，會繼續嘗試，直到預留成功。

三、客戶端操做完畢後，執行釋放操做，其餘客戶端能夠預留。

SCSI-2訪問控制主要缺點有：

一、預留操做基於路徑。預留和釋放必須由相同的客戶端完成，一臺主機不能釋放另一臺主機的預留，同一主機HBA卡不能取消相同主機另一塊HBA的預留。

二、預留沒法長久保留。主機重啓將會丟失預留信息。

三、若是lun已經被預留，其餘主機沒法再預留。若是其餘主機要想得到lun操做權限，必須對lun進行重置，重置操做可能會致使數據丟失。重置後釋放掉lun現有的預留，重置操做由lun主動發起，原來預留主機並不知曉。

SCSI-3 Persistent Reserve (PR)/ PREEMPT（搶佔）

SCSI-3協議引入PGR（persistent group reservation）功能。在訪問lun以前，客戶端首先向lun註冊（registration）一個預留密鑰(reservation key)，註冊成功後客戶端能夠嘗試進行永久預留（reserve），永久預留成功後就能夠得到lun操做權限。預留密鑰是一串16進制的ASCII碼，最長8個字節。永久預留一共6種類型，由一、三、五、六、七、8數字表示。包括兩種操做類型和三種客戶類型，操做類型包括寫排它和全部訪問排他，客戶類型包括全部客戶端、已註冊客戶端和所屬客戶端。數字與永久預留類型對應關係以下：

1-> write exclusive

3-> exclusive access

5-> write exclusive - registrants only

6-> exclusive access - registrants only

7-> write exclusive - all registrants

8-> exclusive access - all registrants.

不一樣註冊類型對應不一樣訪問權限。與SCSI-2不一樣，SCSI-3釋放操做根據預留密鑰。不一樣客戶端能夠使用相同密鑰或是不一樣密鑰進行預留，具體能夠結合永久預留類型決定。客戶端能夠經過搶佔來獲取已被永久預留的lun訪問權限。SCSI-3搶佔和SCSI-2重置不同，搶佔不會形成數據丟失。

SCSI-3關於PGR相關操做命令分爲兩大類：分別是PRIN和PROUT。PRIN主要用於查詢，PROUT用於修改。SCSI命令執行過程當中，須要明確該命令是哪一種類型。

常見使用場景

一、集羣I/O Fencing

爲了防止集羣故障發生「腦裂」現象，2-節點集羣能夠經過SCSI-2 Reseve/Release觸發I/O fencing來保證整個集羣正常運行，是SCSI-2不適用於多-節點集羣，多-節點集羣能夠使用SCSI-3 PGR。主流廠商集羣套件都已經支持SCSI-3 PGR，好比：VCS、HACAMP、RHCS等。

二、集羣文件系統

集羣文件系統須要保證多節點同時訪問存儲時的數據一致性，SCSI-2/SCSI-3均可以知足，當一個節點嘗試訪問一個已經被預留的存儲就會產生訪問權限衝突。SCSI-3 PGR相比SCSI-2 Reserve/Release更可以減小訪問權限衝突。

小結：

SCSI-2具體基本訪問控制能力，可是沒法知足Active/Active多路徑環境和集羣多節點訪問存儲的需求。SCSI-3經過引入客戶端註冊和操做權限分類概念，強化並行訪問權限控制，彌補SCSI-2的不足。

2.2 FCIP

IP光纖通道（FCIP，也被稱爲光纖通道隧道鏈接或存儲隧道鏈接）是基於IP的存儲網絡協議。做爲IP網絡上存儲數據傳輸的兩個主要方法之一，FCIP經過提升存儲數據傳輸的功能和性能，成爲實現SAN市場快速開發的關鍵技術。Fibre Channel over IP protocol（FCIP）是一種隧道協議。將多個物理獨立分步的光纖SAN環境，經過IP LAN/MAN/WAN鏈接起

FCIP使用IP層做爲網絡，TCP做爲傳輸層，TCP頭部的DF位設置爲1.

FCIP基本概念：

FCIP功能支持能夠經過Cisco IPS（ip storage）模塊或者MPS (multiprotocol service) 模塊得到，FCIP基本概念以下。

FCIP和VE_Port

下圖結合Fibre Channel ISL和Cisco EISL描述FCIP內部模型。

FCIP virtual E(VE) Ports在邏輯上於標準Fbire Channel E Ports同樣，只是使用FCIP協議封裝而不是Fibre Channel。

FCIP協議要求鏈路兩端都是VE Ports。

虛擬ISL鏈路經過FCIP鏈路創建，並在之上傳輸Fibre Channel數據幀。虛擬ISL鏈路和Fibre Channel ISL同樣，兩端是E Port或者TE Port。

FCIP鏈路

FCIP鏈路由兩個FCIP終端之間的一個或者多個TCP鏈接組成。每一個鏈路攜帶FCIP協議封裝過的光纖幀。當FCIP鏈路啓動，FCIP鏈路兩端的VE端口會建立一個virtual (E)ISL鏈路，而且初始化E端口協議拉起（E）ISL鏈路。默認狀況下，Cisco MDS 9000系列交換機會爲每一個FCIP鏈路建立兩個TCP鏈接。

一個鏈接用於數據幀傳輸
另一個鏈接用戶Fibre Channel控制幀（全部F類型幀）。專門一個鏈接用於傳輸Fibre Channel控制幀是爲了保證控制幀低延遲。

在IPS或者MPS模塊上使用FCIP功能以前，首先須要配置FCIP interface和FCIP profile。

FCIP鏈路再兩個節點之間創建成功只是，VE Port初始化過程與E Port同樣。初始化過程與FCIP或者Fibre Channel無關，而是基於E Port發現過程（ELP，ESC）。在Fibre Channel層，E Port和VE Port是同樣的。

FCIP Profile

FCIP profile包含本地IP地址和TCP端口燈參數配置信息。FCIP profile的本地IP地址具體FCIP鏈路使用哪一個Gigabit以太網口。

FCIP Profile與FCIP鏈路關係圖以下：

FCIP接口

FCIP接口是指FCIP鏈路本地以太網接口和VE Port接口。全部FCIP和E Port配置都是正對FCIP接口。

FCIP參數包含如下：

Gigabit以太網口和TCP鏈接參數
對端信息
FCIP鏈路TCP鏈接數量
E Port參數（trunking模式和trunk allowed VSAN列表）

2.3 iSCSI, FC和FCoE的比較和適用場景

FC是部署最多的SAN協議了，你們都很熟悉。iSCSI和FCoE都運行在以太網上，所以能夠幫助企業節省IT架構的投入成本和複雜度。特別是iSCSI，能夠直接沿用企業現有的IT架構，對不少中小型企業這是不可忽視的優點。這三種協議工做在不一樣的網絡層。FCoE起步就是10Gb以太網；而iSCSI能夠工做在1Gb或10Gb以太網；FC則有2GB、4Gb或8GB。另外iSCSI支持software initiator，普通臺式機也能夠接入存儲。

iSCSI

The Internet Small Computer Systems Interface (iSCSI) protocol

iSCSI是將SCSI命令在封裝在TCP/IP包裏面，並使用一個iSCSI幀頭；封裝SCSI數據包成爲iSCSI須要大量消耗處理器資源。然而，iSCSI的基於TCP/IP的操做也一樣有一個巨大優點，易於路由，沒必要特殊硬件便可實現，這也是FCoE一直應用於數據中心的一個重要緣由。

FCIP

Fibre Channel over TCP/IP (FCIP)

FCIP是在IP tunnel的基礎上傳送FC包，FC裏面再封裝SCSI命令；爲一類簡單的隧道協議，它能將兩個Fibre Channel網鏈接起來，造成更大的光纖交換網。用於擴展第2層網絡的橋接解決方案，

FCIP的特性在於:首先，FCIP只能在FCIP設備之間創建點到點鏈接，即FCIP設備一端(IP端)和另一個FCIP設備的IP端進行鏈接，FCIP設備的另一端(FC端)和FC光纖通道交換機進行鏈接，FCIP設備沒法在兩個獨立存儲設備之間提供本地IP鏈接;其次，因爲FCIP是一種不透明的傳輸協議，即一個SAN向另外一個SAN發送的信息在FC層沒有錯誤檢測，容易將一個SAN上的錯誤蔓延到各個SAN;再次是FC和IP網絡之間線速的不匹配，或者FCIP引擎的低效實現，都有可能使得FCIP設備成爲一個瓶頸。若是FCIP通道崩潰，兩個遠程FC交換機之間的鏈接也不會自動恢復，這對商業應用來講顯然是難以接受的。

基於FCIP的設備如今有Brocade多協議路由器等。

FCIP （ Fibre Channel over IP ，基於 IP 的光纖信道協議）描述了一種機制，可以經過 IP 網絡將各個孤立的光纖信道存儲區域網絡鏈接起來，從而造成一個統一的存儲區域網絡。 FCIP 爲一類簡單的隧道協議，它能將兩個 Fibre Channel 網鏈接起來，造成更大的光纖交換網。 FCIP 相似於用於擴展第 2 層網絡的橋接解決方案，它自己不具有 iFCP 特有的故障隔離功能。數據格式以下：

iFCP

The Internet Fibre Channel Protocol (iFCP) supports Fibre Channel Layer 4 FCP over TCP/IP. It is a gateway-to-gateway protocol where TCP/IP switching and routing components complement and enhance, or replace, the Fibre Channel fabric.

iFCP的工做原理是：將Fibre Channel數據以IP包形式封裝，並將IP地址映射到分離Fibre Channel設備。

因爲在IP網中每類Fibre Channel設備都有其獨特標識，於是可以與位於IP網其它節點的設備單獨進行存儲數據收發。(由於FChdr跟IPhdr有映射)

在同一本地存儲局域網（san）或者經過傳輸控制協議/互聯網絡協議（TCP/IP協議）在因特網上，Internet光纖信道協議（iFCP）將能夠實現光纖信道設備間的存儲數據流暢收發。經過運用內建的TCP擁塞控制、錯誤檢測以及故障修復機制，iFCP一樣能在Fibre Channel網中進行完整的錯誤控制。Internet光纖信道協議（iFCP）兼容目前的小型計算機系統接口（SCSI）和網絡運行光纖信道（Fibre Channel）通訊標準。它不但能夠和當前的基於IP的光纖信道標準FCIP（Fibre Channel over IP）草案互聯，也能夠取代這個標準。 Internet光纖信道協議（iFCP）具備一些基於IP的光纖信道標準（FCIP）不具有的特色。好比說，FCIP爲一類簡單的隧道協議，它能將兩個Fibre Channel網鏈接起來，造成更大的光纖交換網。FCIP相似於用於擴展第2層網絡的橋接解決方案，它自己不具有iFCP特有的故障隔離功能。因爲iFCP可以取代和兼容FCIP，所以iFCP具備更強的靈活性。iFCP的典型應用是用於SAN對SAN互連。這時Fibre Channel網鏈接到iFCP網關，通訊依次透過城域網（MAN）或WAN進行。

iFCP（Internet Fibre Channel, Internet 光纖信道協議）是一種網關到網關的協議，爲 TCP/IP 網絡上的光纖設備提供光纖信道通訊服務。 iFCP 的工做原理是：將 Fibre Channel 數據以 IP 包形式封裝，並將 IP 地址映射到分離 Fibre Channel 設備。因爲在 IP 網中每類 Fibre Channel 設備都有其獨特標識，於是可以與位於 IP 網其它節點的設備單獨進行存儲數據收發。數據格式以下：

FCoE

Fibre Channel over Ethernet (FCoE) is an encapsulation of Fibre Channel frames over Ethernet networks.

FCoE,適合10Gb以太網。融合存儲網和以太網的一種協議。FCoE被定位在企業級應用，而iSCSI則定位在小型商務應用級別。

由於FCoE機制必須支持存儲數據的讀寫，因此全部網絡存儲路徑下的終端設備和以太網交換機必須支持雙向IEEE 802.3x流控制。儘管這樣的效果可能不如Buffer-to-buffer Credits機制那麼理想，可是IEEE 802.3x暫停幀能夠提供對應的功能性，來調節存儲流量並防止阻塞和緩衝區溢出引發的丟幀。

FCoE也必須解決以太網和光纖通道各自所傳輸的幀之間的差別。一般一個以太網的幀最大爲1518字節。而一個典型的光纖通道幀最大爲大約2112字節。所以在以太網上打包光纖幀時須要進行分段發送，而後在接收方進行重組。這會致使更多的處理開銷，阻礙FCoE端到端傳輸的流暢性。

所以須要一個更大的以太網幀來平衡光纖通道和以太網幀大小上的差別。有一個稱爲"巨型幀"的實質標準，儘管不是正式的IEEE標準，但它容許以太網幀在長度上達到9k字節。在使用"巨型幀"時須要注意，全部以太網交換機和終端設備必須支持一個公共的"巨型幀"格式。

最大的巨型幀（9K字節）能夠實如今一個以太網幀下封裝四個光纖通道幀。可是這會使光纖通道鏈接層恢復以及應用802.3x暫停指令的緩衝流量控制變得更加複雜。如圖2所示，FCoE向一個巨型以太網幀內封裝一個完整的光纖幀（不使用循環冗餘校驗）。由於以太網已經提供了幀檢驗序列（FCS）來檢驗傳輸數據的完整性，因此不須要光纖幀的循環冗餘校驗（CRC）。這進一步下降了傳輸層所需的處理開銷，同時提升通道的性能。因爲光纖幀可能包括拓展的、可選擇的信頭或虛擬光纖標記信息，因此以太網"巨型幀"的大小就不合適，而且會隨着封裝光纖幀的須要而發生變化。

應用環境:

iSCSI：SCSI與TCP/IP結合，把SCSI命令和數據用IP包封裝起來，事實上ISCSI做爲傳輸層的東西。
FCIP：是一個隧道協議，講FC的數據包封裝成IP數據包，成爲一個IP隧道，注意的是IP數據包裏面的數據是FC的數據包,這個是協議封裝協議的思想。
iFCP：是一個轉換協議，講FC協議和TCP/IP協議進行轉換，是在網關上執行的。也就是說將FC的數據包轉化爲IP數據包。注意的是IP數據包裏面的數據就是數據。
通常iSCSI和FCOE是用於SAN也就是本地鏈接部分居多，而FCIP和IFCP是多用於兩個SAN之間的鏈接使用的。

2.4 網絡虛擬化

• 網絡虛擬化（一）：簡介

• 網絡虛擬化（二）：虛擬交換機

• 網絡虛擬化（三）：VXLAN虛擬可擴展局域網（上）

• 網絡虛擬化（四）：VXLAN虛擬可擴展局域網（下）

• 網絡虛擬化（五）：經過劃Zone來提升虛擬網絡的安全性

2.4.1 簡介

　　目前，軟件定義的數據中心是一大熱門技術，VMware做爲全球最大的虛擬化廠商實現了經過軟件能夠定義應用及其所需的全部資源，包括服務器、存儲、網絡和安全功能都會實現虛擬化，而後組合全部元素以建立一個軟件定義的數據中心。經過虛擬化能夠減小服務器部署的時間和成本，能夠實現靈活性和資源利用率的最大化，能夠在調配虛擬機時對環境進行自定義，在軟件定義的數據中內心虛擬機能夠跨越物理子網邊界。

　　傳統的網絡在第2層利用VLAN來實現廣播隔離，在以太網數據幀中使用12位的VLAN ID將第二層網絡劃分紅多個廣播域，VLAN數量需少於4094個。但隨着虛擬化的普及，4094個的數值上限面臨着巨大壓力。此外，因爲生成樹協議（STP）的限制，極大的限制了能夠使用的VLAN 數量。基於VXLAN的網絡虛擬化解決了傳統物理網絡面臨的諸多難題。

　　網絡虛擬化可將網絡抽象化爲一個廣義的網絡容量池。所以即可以將統一網絡容量池以最佳的方式分割成多個邏輯網絡。您能夠建立跨越物理邊界的邏輯網絡，從而實現跨集羣和單位的計算資源優化。不一樣於傳統體系架構，邏輯網絡無需從新配置底層物理硬件便可實現擴展。VMware網絡虛擬化是經過虛擬可擴展局域網（VXLAN）技術，建立疊加在物理網絡基礎架構之上的邏輯網絡。

　　VMware網絡虛擬化解決方案知足了數據中心的如下幾大需求：

• 提升計算利用率

• 實現集羣的擴展

• 跨數據中心內多個機架利用容量

• 解決IP尋址難題

• 避免大型環境中VLAN數量劇增問題

• 實現大規模多租戶

　　經過採用網絡虛擬化，能夠有效的解決這些問題並實現業務優點：

• 加快網絡和服務的調配速度，實現業務敏捷性。

• 將邏輯網絡與物理網絡分離，提供充分的靈活性。

• 大規模隔離網絡流量並將其分段。

• 自動執行可重複的網絡和服務調配工做流。

2.4.2 虛擬交換機

　　虛擬交換機在許多方面都與物理以太網交換機類似。每一個虛擬交換機都是互相隔離的，擁有本身的轉發表，所以交換機查找的每一個目的地只能與發出幀的同一虛擬交換機上的端口匹配。它能夠在數據鏈路層轉發數據幀，而後經過以太網適配器出口鏈接到外部網絡。虛擬交換機可以將多個以太網適配器綁定在一塊兒，相似於傳統服務器上的網卡綁定，從而爲使用虛擬交換機提供更高的可用性和帶寬。它還支持端口級別的VLAN分段，所以能夠將每一個端口配置爲訪問端口或中繼端口，從而提供對單個或多個VLAN的訪問。

　　可是與物理交換機不一樣，虛擬交換機不須要生成樹協議，由於它強制使用單層網絡鏈接拓撲。多個虛擬交換機沒法進行互連，在同一臺主機內，網絡通訊流量沒法在虛擬交換機之間直連流動。虛擬交換機經過一個交換機提供用戶須要的全部端口。虛擬交換機無需進行串聯，由於它們不共享物理以太網適配器。

虛擬交換機可提供二種與主機和虛擬機相鏈接的類型：

　　• 將虛擬機鏈接到物理網絡。

　　• 將VMkernel服務鏈接到物理網絡。VMkernel服務包括訪問IP存儲（如：NFS或iSCSI）、執行vMotion遷移以及訪問管理網絡。

設計網絡鏈接環境時，您能夠經過VMware vSphere將全部網絡都置於一個虛擬交換機中。或者，您也能夠選擇多個虛擬交換機，每一個虛擬交換機具備一個單獨的網絡。具體做何選擇在某種程度上取決於物理網絡的佈局。例如：您可能沒有足夠的網絡適配器，沒法爲每一個網絡建立一個單獨的虛擬交換機。所以，您可能會將這些網絡適配器綁定在一個虛擬交換機上，而後使用VLAN來隔離這些網絡。

虛擬網絡支持二種類型的虛擬交換機：

• 虛擬網絡標準交換機：主機級別的虛擬交換機配置。

標準交換機能夠將多個虛擬機鏈接起來，並使它們彼此能夠進行通訊。每一個標準交換機最多有4088個虛擬交換機端口，而每臺主機最多有4096個虛擬交換機端口。下圖顯示了幾個標準交換機的不一樣用途。這些交換機從左到右依次爲：

1. 配置綁定網卡的標準交換機。綁定的網卡可自動分發數據包以及執行故障切換。

2. 僅限內部使用的標準交換機，容許單個ESXi主機內的虛擬機直接與其餘鏈接到同一標準交換機的虛擬機進行通訊。VM1和VM2可以使用此交換機互相通訊。

3. 配置一個出站適配器的標準交換機。該交換機提供VM3使用。

4. VMkernel用來實現遠程管理功能的標準交換機。

• 虛擬網絡分佈式交換機：虛擬網絡分佈式交換機是一款數據中心級交換機。標準交換機基於主機工做，交換機配置保存在ESXi主機上面。而數據中心交換機可以獨立於物理結構實現統一虛擬化管理。虛擬網絡分佈式交換機配置經過vCenterServer管理，而且全部虛擬網絡配置的詳細信息都存儲在vCenter Server數據庫中。VXLAN網絡可在一個或多個vSphereDistributed Switch上進行配置。

　　另外，vNetwork分佈式交換機具備如下特徵：

1. 獨立於物理結構的統一網絡虛擬化管理。

2. 針對整個數據中心管理一臺交換機與針對每臺主機管理若干標準虛擬交換機。

3. 支持VMware vSpherevMotion，所以統計數據和策略可隨虛擬機一同轉移。

4. 獨立的管理界面。

5. 高級流量管理功能。

6. 監控和故障排除功能，如NetFlow和端口鏡像。

7. 主機級別的數據包捕獲工具（tcpdump）。

2.4.3 VXLAN虛擬可擴展局域網（上）

在2011年的VMworld大會上，VMware提出了VXLAN（virtual Extensible LAN虛擬可擴展局域網）技術。VXLAN技術是VMware、CISCO、Arista、Broadcom、Citrix和Redhat等廠商共同開發用於虛擬網絡的技術，與之抗衡的有Microsoft聯合Intel、HP和Dell開發的NVGRE標準（Network Virtualization using Generic Routing Encapsulation）。本文將重點介紹VXLAN的優點、VMware的VXLAN組件和應用案例分析。

VXLAN邏輯網絡有如下幾項優於傳統物理網絡的明顯優點：

一、突破了傳統VLAN的數量限制。

物理網絡使用VLAN來限制和隔離第2層廣播域，VLAN的數量上限爲4094個。隨着主機虛擬化技術的興起，4094個VLAN數已經遠不能知足雲數據中心的需求。不一樣於VLAN的4094限制，VXLAN網絡能夠支持多達1600萬個VLAN標識符。

二、突破了傳統的物理界限，知足多租戶環境和規模擴展的需求。

VXLAN網絡是一個建立疊加在物理網絡基礎架構之上的邏輯網絡，實現了在底層硬件上的獨立配置。VXLAN網絡大大減小了數據中心網絡管理和配置所花費的時間，它提供的多層次網絡拓撲結構和企業級安全服務，可將部署、調配時間從幾周減小到數小時。同時，在VXLAN網絡部署的虛擬機能夠實現跨物理機遷移，例如：北京數據中心的虛擬機能夠和上海的數據中心的虛擬機在二層網絡上進行通訊，打破了傳統的二層網絡的界限。

三、解決STP（生成樹協議）高負荷

VXLAN 中使用了新技術替代STP（生成樹協議）, 所以解決了匯聚層交換機因爲STP高負荷致使的壓力過大問題。

在vSphere 5.5版本中，VXLAN實現組件包括：

• vShield Manager

　　vShield Manager是vShield的集中式網絡管理組件，可做爲虛擬設備安裝在vCenter Server 環境中的任意ESX主機上。vShieldManager可在與安裝vShield代理不一樣的ESX主機上運行。使用 vShield Manager用戶界面或vSphere Client插件，管理員能夠安裝、配置和維護vShield組件。vShield Manager能夠定義並管理VXLAN網絡，包括：定義VXLAN網絡的延展範圍、配置vSphere承載VXLAN網絡的VDS和配置VTEP等。

• vSphere分佈式交換機

　　在VXLAN網絡中vSphere分佈式交換機用於鏈接主機和互連。

• vSphere主機

　　在VXLAN網絡中每臺vSphere主機上須要配置虛擬安全加密鏈路端點（VETP）模塊，每一個主機VEP會分配到一個惟一的IP地址，在vmknic虛擬適配器上進行配置，用於創建主機之間的通訊安全加密鏈路並承載VXLAN流量。VTEP由如下三個模塊組成：

　　1). vmkernel模塊

　　此模塊負責VXLAN數據路徑處理，其中包括轉發表的維護以及數據包的封裝和拆封。

　　2)、vmknic虛擬適配器

　　此模塊用於承載VXLAN控制流量，其中包括對多播接入、DHCP和ARP請求的響應。

　　3)、VXLAN端口組

　　此端口組包括物理網卡、VLAN信息、綁定策略等。端口組參數規定了VXLAN流量如何經過物理網卡進出主機VTEP。

建立VXLAN虛擬網絡案例演示

此方案的情形以下：在數據中心的兩個羣集上有多個 ESX 主機。工程部門和財務部門都在Cluster1 上。市場部門在Cluster2 上。兩個羣集都由單個vCenter Server 5.5進行管理。

Cluster1 上的計算空間不足，而 Cluster2 未充分利用。老闆要求IT管理員將工程部門的虛擬機擴展到 Cluster2上，實現工程部門的虛擬機位於兩個羣集中，而且可以彼此通訊。若是 IT管理員使用傳統方法解決此問題，他須要以特殊方式鏈接單獨的 VLAN 以便使兩個羣集處於同一二層域中。這可能須要購買新的物理設備以分離流量，並可能致使諸如 VLAN 散亂、網絡循環以及系統和管理開銷等問題。

經過 VXLAN技術，IT管理員能夠經過跨dvSwitch1 和 dvSwitch2 構建VXLAN 虛擬網絡，在不添加物理設備的狀況下達到要求。

2.4.4 VXLAN虛擬可擴展局域網（下）

VXLAN傳輸數據包

VXLAN虛擬可擴展局域網是一種overlay的網絡技術，使用MAC in UDP的方法進行封裝，在封裝包中間添加了一層共50字節的VXLAN Header，而後以IP數據包的形式經過3層網絡進行傳輸。位於VXLAN安全加密鏈路任何一端的虛擬機不知道這個封裝包。同時，物理網絡中的設備也不知道虛擬機的源或目的MAC或IP地址。VXLAN的封裝結構以下圖所示：

1. VXLAN Header：

　　共計8個字節，目前被使用的是Flags中的一個標識位和24bit的VXLAN Network Identifier，其他的部分沒有定義，可是在使用的時候必須設置爲0×0000。

2. 外層的UDP報頭：

　　目的端口使用4789，可是能夠根據須要進行修改。同時UDP的校驗和必須設置成全0。

3. IP報文頭：

　　目的IP地址能夠是單播地址，也能夠是多播地址。

　　單播狀況下，目的IP地址是VXLAN Tunnel End Point(VTEP)的IP地址。

　　在多播狀況下引入VXLAN管理層，利用VNI和IP多播組的映射來肯定VTEPs。

從封裝的結構上來看，VXLAN提供了將二層網絡overlay在三層網絡上的能力，VXLAN Header中的VNI有24個bit，數量遠遠大於4096，而且UDP的封裝能夠穿越三層網絡，所以比的VLAN更好的可擴展性。

VXLAN協議網絡工做原理

（1）、網絡初始化

在VXLAN協議工做前須要進行網絡初始化配置。網絡初始化就是讓虛擬網絡中的主機加入到該VXLAN網絡所關聯的多播組。例如：VM1和VM2鏈接到VXLAN網絡，那麼二臺VXLAN主機（ESXi1和ESXi2）就須要先加入IP多播組239.119.1.1。VXLAN的網絡標識符（VNI）就是網絡ID。

（2）、ARP查詢

下圖描述了VXLAN協議中二個鏈接到邏輯2層網絡的虛擬機（VM1和VM2）ARP查詢流程。

1. VM1以廣播形式發送ARP請求；

2. VTEP1封裝報文。本例中，VXLAN 100關聯在IP多播組239.119.1.1中，VNI爲100；

3. VTEP1經過多播組將數據包發送給VTEP2；

4. VTEP2接收到多播包。VTEP2將驗證VXLAN網段ID，拆封數據包，而後將經過2層廣播包的形式其轉發到虛擬機VM2；

5. VM2收到廣播包後發送ARP響應。

注意：VTEP1只會在VTEP轉發表中沒有虛擬機MAC與該MAC地址的VTEP IP之間的映射時，纔會生成多播包。在廣播數據包時，若是MAC轉發表中沒有與幀目的MAC地址相匹配的條目，2層交換機會執行ARP查詢操做。在發現虛擬機MAC地址與VTEP IP地址的映射條目並將其更新到轉發表中後，任何與該特定虛擬機通訊的請求都將經過點到點安全加密鏈路傳輸。

（3）、ARP應答

ARP應答處理流程相似於ARP請求，不一樣之處在於VM2將經過單播包進行ARP響應。由於VTEP2已經得到了VM1的MAC地址、IP地址以及VTEP1的信息。VTEP2將創建一個轉發條目，之後交換數據包操做會使用該轉發條目。

（4）、VXLAN網關

若是須要VXLAN網絡和非VXLAN網絡鏈接，必須使用VXLAN網關才能把VXLAN網絡和外部網絡進行鏈接。下圖描述了VXLAN網關的工做原理：

1. VM2經過網關MAC地址向網關發送數據包；

2. VTEP2封裝數據包，經過多播（第一次）發送給VTEP1;

3. VTEP1拆封數據包，併發送到網關；

4. 網關將IP數據包路由到Internet。

案例（一）

當二臺虛擬機在同一邏輯2層網絡中時，若是二個虛擬機都在同一臺vSphere主機上，那麼數據包無需封裝。若是二個虛擬機在不一樣vSphere主機上，一臺vSphere主機上的源VTEP將虛擬機數據包封裝到一個新UDP標頭中，並經過外部IP網絡將其發送到另外一臺vSphere主機上的目標VTEP。

案例（二）

圖中顯示了二個虛擬網絡VXLAN-A和VXLAN-B。二個網絡分別屬於192.168.1.0/24網段和192.168.2.0/24網段，二個網絡經過VXLAN網關進行鏈接。如下是可能狀況：

（1）、當全部虛擬機和VXLAN網關位於同一vSphere主機上時。虛擬機將流量導向各自邏輯網絡子網的網關IP地址，VXLAN會根據防火牆規則在二個不一樣接口之間進行路由。

（2）、當全部虛擬機不在同一臺vSphere主機上，而VXLAN網關部署在其中一臺vSphere主機時。虛擬機的流量將被封裝到數據包，而後進過物理網絡傳送到VXLAN網關，以後將由網關將數據包路由到正確的目標。

（3）、當全部虛擬機和VXLAN網關不在同一臺vSphere時。數據包傳輸將相似於狀況2。

2.4.5 經過劃Zone來提升虛擬網絡的安全性

　　虛擬環境面臨的最多見威脅是不安全的接口和網絡、太高的權限、錯誤配置或不當管理，以及未打補丁的組件。因爲虛擬機是直接安裝在服務器硬件上的，所以許多常規安全漏洞並不存在太大的安全威脅。在vSphere環境中，必須保護好如下基本組件：

• 物理網絡和虛擬網絡

• 基於IP的存儲和光纖通道

• 物理和虛擬應用服務器以及應用客戶端

• 託管虛擬機的全部ESXi系統

• 數據中心內的全部虛擬機

• 虛擬機上運行的應用程序

劃Zone是保護物理網絡和虛擬網絡的一種有效方法。Zone定義了一個網段，在網段中的數據流入和流出都將受到嚴格的控制。在虛擬網絡中，常見的劃Zone方式有如下三種：

1）、經過物理設備實現分離

在這種配置中，每一個區域都採用單獨的ESXi物理主機或集羣，區域隔離是經過服務器的物理隔離和物理網絡安全設定來實現的。這種配置方法較爲簡單，複雜度較低，不須要對物理環境進行調整，是一種將虛擬技術引入網絡的好辦法。可是，這種配置方法會制約虛擬化提供的優點，資源整合率和利用率較低，使用成本較高。

2）、經過虛擬技術實現分離

在這種配置中，經過使用虛擬交換機能夠將虛擬服務器鏈接到相應的區域，在同一臺ESXi主機上設置不一樣信任級別的虛擬服務器，這種區域是在虛擬化層中實施的。雖然這種方法能夠實如今物理機和虛擬領域實施不一樣的安全設定，可是仍然須要經過物理硬件來確保區域之間的網絡安全。雖然在每一個區域中都顯示了不一樣的虛擬交換機，可是用戶仍然能夠使用VLAN以及單個虛擬交換機上不一樣的端口組實現相同的目的。

這種方法較好的整合了物理資源，能較好地利用虛擬化優點，成本較低。然而，與採用物理設備實現分離相比，這種配置較爲複雜，必須明確配置人員，須要按期審覈配置。

3）、徹底合併再分離

這是一種創建在徹底虛擬前提下的隔離。用戶能夠將不一樣安全級別的虛擬機置於不一樣物理服務器上，並將網絡安全設備引入虛擬基礎架構。經過虛擬網絡設備實現管理和保護虛擬信任域之間的通行。例如：經過VMware的vShield組件，能夠爲不一樣區域創建通訊，同時監控通訊。

這種配置中，全部的服務器和安全設備都進行了虛擬化，用戶能夠隔離虛擬服務器和網絡，使用虛擬安全設備管理不一樣區域之間的通訊。這是配置可以充分利用資源，減低成本，經過單個管理工做站管理整個網絡，可是配置和管理最爲複雜，出錯概率較高。

2.5 iSCSI存儲系統基礎知識

2.5.1 第一部分

背景:

　　相比直連存儲，網絡存儲解決方案可以更加有效地共享，整合和管理資源。從服務器爲中心的存儲轉向網絡存儲，依賴於數據傳輸技術的發展，速度要求與直連存儲至關，甚至更高，同時須要克服並行SCSI固有的侷限性。全部數據在沒有文件系統格式化的狀況下，都以塊的形式存儲於磁盤之上。並行SCSI將數據以塊的形式傳送至存儲，可是，對於網絡它的用處至關有限，由於線纜不能超過25米，並且最多隻能鏈接16個設備。光纖通道是目前SAN的主導架構，它在專門的高速網絡上分離存儲資源。光纖通道協議與互聯技術起源於知足高性能傳送塊數據的需求，同時克服直連存儲的鏈接和距離限制。一般光纖通道設備鏈接距離可達到10000米，甚至數十萬米，而且對於鏈接在SAN之上的設備沒有數量要求。與SAN不一樣，NAS將數據以文件的形式傳輸而且能夠直接鏈接至IP網絡。部署NAS設備傳送數據庫塊數據，使用基於SCSI的光纖通道協議比Server Message Block(SMB)協議更加高效。

什麼是iSCSI：

　　iSCSI是一種使用TCP/IP協議在現有IP網絡上傳輸SCSI塊命令的工業標準，它是一種在現有的IP網絡上無需安裝單獨的光纖網絡便可同時傳輸消息和塊數據的突破性技術。iSCSI基於應用很是普遍的TCP/IP協議，將SCSI命令/數據塊封裝爲iSCSI包，再封裝至TCP 報文，而後封裝到IP 報文中。iSCSI經過TCP面向鏈接的協議來保護數據塊的可靠交付。因爲iSCSI基於IP協議棧，所以能夠在標準以太網設備上經過路由或交換機來傳輸。

　　iSCSI架構依然遵循典型的SCSI模式：隨着光纖通道的發明initiator和target之間的SCSI線纜已被光線線纜所代替。如今隨着iSCSI的出現光纖線纜又被價格低廉的網線和TCP/IP網絡所替代。

　　然現有的光纖存儲網絡具備高吞吐量的優點，與其餘廠商之間的互通性還是一個短板。而基於成熟的TCP/IP協議的iSCSI網絡，不只免於互通性限制並且在安全性等方面具有優點。同時，因爲千兆以太網的增量部署，iSCSI的吞吐量也會隨之增長，與光線通道匹敵甚至超越光線通道。

iSCSI的優點：

長距離鏈接：SAN網絡集中管理存儲資源，可以覆蓋一個市區範圍。對於分佈在海外的組織則面臨一系列未鏈接的「SAN孤島」，當前的光纖通道鏈接受限於10km而沒法橋接。有擴展的光纖通道鏈接可達數百千米，但這些方法既複雜又昂貴。廣域網iSCSI (wide area network, WAN)提供了一種經濟的長距離傳輸，可用於目前FC SAN或iSCSI SAN的橋接。

更低成本：不一樣於FC SAN解決方案須要部署全新的網絡基礎架構，而且須要專業技術知識，專門的硬件故障排查，iSCSI SAN解決方案充分利用了現有的局域網基礎設施，使之可普遍應用於大多數組織。

簡化部署和實施：iSCSI解決方案僅須要在主機服務器上安裝iSCSI initiator，一個iSCSI target存儲設備，一個千兆比特以太網交換機以在IP網絡傳輸塊數據。諸如存儲配置，調配，備份這樣的管理操做可由系統管理員處理，與管理直連存儲方式相同。而像集羣這樣的解決方案使用iSCSI也比FC更爲簡易。

固有的安全性：光纖通道協議並無內嵌的安全保障。取而代之，經過對SAN的物理鏈接限制來保障安全。雖然對於被限制在加鎖的數據中心的SAN來講是有效的，但隨着FC協議變得更加廣爲人知以及SAN開始鏈接到IP網絡，這種安全方法已失去其功效。

相比之下，微軟實施的iSCSI協議使用質詢握手身份驗證協議（CHAP）進行驗證和Internet協議安全（IPSec）標準加密爲網絡上的設備提供安全保障。目前，iSCSI target實現了CHAP，但暫時沒有更加先進的方法。

iSCSI的現狀與挑戰：

iSCSI這幾年來獲得了快速發展，近兩年iSCSI的熱度持續走高，各存儲設備廠商紛紛推出iSCSI設備，銷量也在快速增加。基於iSCSI的SAN如今已經相對成熟。10Gbps以太網的出現極大地改變了iSCSI的傳輸速率，大多數應用的響應能力徹底能夠適應用戶的需求。同時iSCSI產品的採購成本與維護成本都比FC要低。

可是，iSCSI仍受到幾個掣肘：iSCSI架構於IP協議之上，所以也繼承了IP協議自己的缺陷：區分不一樣流量優先等級，防止丟包的QoS與流量控制機制不足，而FCoE在這一點上，具有暫停幀需求和將高優先級流量先於低優先級流量傳輸的功能，無疑具備先天的優點。即便帶寬提高到10Gb，TCP/IP協議管理方面的問題在仍會影響iSCSI的效率表現。此外，以太網帶寬擴展到10Gb只是外部傳輸通道的增長，若是主機I/O處理能力、存儲陣列性能沒法跟上，則存儲網絡總體性能一樣會受到影響。目前iSCSI在高I/O環境下的性能表現仍不如光纖通道。

2.5.2 第二部分

iSCSI SAN概念解析:

iSCSI SAN組件與FC SAN組件相相似。包括如下部件：

iSCSI Client/Host：

　　系統中的iSCSI客戶端或主機（也稱爲iSCSI initiator），諸如服務器，鏈接在IP網絡並對iSCSI target發起請求以及接收響應。每個iSCSI主機經過惟一的IQN來識別，相似於光纖通道的WWN。

要在IP網絡上傳遞SCSI塊命令，必須在iSCSI主機上安裝iSCSI驅動。推薦經過GE適配器（每秒1000 megabits）鏈接至iSCSI target。如同標準10/100適配器，大多數Gigabit適配器使用Category 5 或Category 6E線纜。適配器上的各端口經過惟一的IP地址來識別。

iSCSI Target：

　　iSCSI target是接收iSCSI命令的設備。此設備能夠是終端節點，如存儲設備，或是中間設備，如IP和光纖設備之間的鏈接橋。每個iSCSI target經過惟一的IQN來標識，存儲陣列控制器上（或橋接器上）的各端口經過一個或多個IP地址來標識。

本機與異構IP SAN：

　　iSCSI initiator與iSCSI target之間的關係如圖1所示。本例中，iSCSI initiator(或client)是主機服務器而iSCSI target是存儲陣列。此拓撲稱爲本機iSCSI SAN,它包含在TCP/IP上傳輸SCSI協議的整個組件。

　　與之相反，異構IP SAN，以下圖所示，包含在TCP/IP與光纖交換結構傳輸SCSI的組件。爲了實現這一點，須要在IP與光纖通道之間安裝鏈接橋或網關設備。鏈接橋用於TCP/IP與光纖通道之間的協議轉換，所以iSCSI主機將存儲看作iSCSI target。直接鏈接光纖通道target的服務器必須包含HBA而不是iSCSI主機的網絡適配卡。iSCSI主機可以使用NIC或HBA。　　

iSCSI 存儲系統四大架構

控制器系統架構：

iSCSI的核心處理單元採用與FC光纖存儲設備相同的結構。即採用專用的數據傳輸芯片、專用的RAID數據校驗芯片、專用的高性能cache緩存和專用的嵌入式系統平臺。打開設備機箱時能夠看到iSCSI設備內部採用無線纜的背板結構，全部部件與背板之間經過標準或非標準的插槽連接在一塊兒，而不是普通PC中的多種不一樣型號和規格的線纜連接。

控制器架構iSCSI存儲內部基於無線纜的背板連接方式，徹底消除了連接上的單點故障，所以系統更安全，性能更穩定。通常可用於對性能的穩定性和高可用性具備較高要求的在線存儲系統，好比：中小型數據庫系統，大型數據的庫備份系統，遠程容災系統，網站、電力或非線性編輯製做網等。

鏈接橋系統架構：

整個iSCSI存儲系統架構分爲兩個部分，一個部分是前端協議轉換設備，另外一部分是後端存儲。結構上相似NAS網關及其後端存儲設備。

前端協議轉換部分通常爲硬件設備，主機接口爲千兆以太網接口，磁盤接口通常爲SCSI接口或FC接口，可鏈接SCSI磁盤陣列和FC存儲設備。經過千兆以太網主機接口對外提供iSCSI數據傳輸協議。

後端存儲通常採用SCSI磁盤陣列和FC存儲設備，將SCSI磁盤陣列和FC存儲設備的主機接口直接鏈接到iSCSI橋的磁盤接口上。

iSCSI鏈接橋設備自己只有協議轉換功能，沒有RAID校驗和快照、卷複製等功能。建立RAID組、建立LUN等操做必須在存儲設備上完成，存儲設備有什麼功能，整個iSCSI設備就具備什麼樣的功能。

PC系統架構：

即選擇一個普通的、性能優良的、可支持多塊磁盤的PC(通常爲PC服務器和工控服務器)，選擇一款相對成熟穩定的iSCSI target軟件，將iSCSI target軟件安裝在PC服務器上，使普通的PC服務器轉變成一臺iSCSI存儲設備，並經過PC服務器的以太網卡對外提供iSCSI數據傳輸協議。

在PC架構的iSCSI存儲設備上，全部的RAID組校驗、邏輯卷管理、iSCSI 運算、TCP/IP 運算等都是以純軟件方式實現，所以對PC的CPU和內存的性能要求較高。另外iSCSI存儲設備的性能極容易收PC服務器運行狀態的影響。

PC+NIC系統架構：

PC+iSCSI target軟件方式是一種低價低效比的iSCSI存儲系統架構解決方案，另外還有一種基於PC+NIC的高階高效性iSCSI存儲系統架構方案。

這款iSCSI存儲系統架構方案是指在PC服務器中安裝高性能的TOE智能NIC卡，將CPU資源較大的iSCSI運算、TCP/IP運算等數據傳輸操做轉移到智能卡的硬件芯片上，由智能卡的專用硬件芯片來完成iSCSI運算、TCP/IP運算等，簡化網絡兩端的內存數據交換程序，從而加速數據傳輸效率，下降PC的CPU佔用，提升存儲的性能。

2.5.3 第三部分

協議映射:

　　iSCSI協議是讓SCSI協議在TCP協議之上工做的傳輸協議，是一種SCSI遠程過程調用模型到TCP協議的映射。SCSI命令加載在iSCSI請求之上，同時SCSI狀態和響應也由iSCSI來承載。iSCSI一樣使用請求響應機制。在iSCSI 配置中，iSCSI 主機或服務器將請求發送到節點。主機包含一個或多個鏈接到IP 網絡的啓動器，以發出請求，並接收來自iSCSI 目標的響應。爲每一個啓動器和目標都指定了一個惟一的iSCSI 名稱，如 iSCSI 限定名 (IQN) 或擴展的惟一標識(EUI)。 IQN 是 223 字節的ASCII 名稱。EUI 是 64 位標識。iSCSI 名稱表明全球惟一命名方案，該方案用於標識各啓動器或目標，其方式與使用全球節點名(WWNN) 來標識光纖通道光纖網中設備的方式相同。

　　iSCSI 目標是響應 iSCSI 命令的設備。iSCSI 設備能夠是諸如存儲設備的結束節點，或者能夠是諸如IP 與光纖通道設備之間的網橋的中間設備。每一個iSCSI 目標由惟一的iSCSI 名稱標識。

　　要經過 IP 網絡傳輸 SCSI 命令，iSCSI 驅動程序必須安裝到iSCSI 主機和目標中。驅動程序用於經過主機或目標硬件中的網絡接口控制器(NIC) 或 iSCSI HBA 來發送iSCSI 命令和響應。

　　爲實現最佳性能，請使用傳輸速度爲每秒 1000 兆位 (Mbps) 的千兆以太網適配器在iSCSI 主機和 iSCSI 目標間進行鏈接。

iSCSI 命令封裝：

　　發起端和目標端之間以消息的形式進行通訊。PDU（Protocal Data Unit）就是用來傳輸這些消息的。

　　iSCSI 協議就是一個在網絡上封包和解包的過程，在網絡的一端，數據包被封裝成包括TCP/IP頭、iSCSI識別包和SCSI數據三部份內容，傳輸到網絡另外一端時，這三部份內容分別被順序地解開。iSCSI 系統由一塊 SCSI 卡發出一個 SCSI 命令，命令被封裝到第四層的信息包中併發送。

　　接收方從信息包中抽取SCSI 命令並執行，而後把返回的SCSI命令和數據封裝到IP信息包中，並將它們發回到發送方。系統抽取數據或命令，並把它們傳回SCSI子系統。全部這一切的完成都無需用戶干預，並且對終端用戶是徹底透明的。爲了保證安全，iSCSI 有本身的上網登陸操做順序。在它們首次運行的時候，啓動器(initiator)設備將登陸到目標設備中。

　　任何一個接收到沒有執行登陸過程的啓動器的iSCSI PDU目標設備都將生成一個協議錯誤，並且目標設備也會關閉鏈接。在關閉會話以前，目標設備可能發送回一個被駁回的iSCSI PDU。這種安全性是基本的，由於它只保護了通訊的啓動，卻沒有在每一個信息包的基礎上提供安全性。還有其餘的安全方法，包括利用IPsec。在控制和數據兩種信息包中，IPsec 能夠提供總體性，實施再次(replay)保護和確認證實，它也爲各個信息包提供加密。

iSCSI 會話：

　　iSCSI 會話創建於一個initiator與一個target之間，一個會話容許多個TCP鏈接，而且支持跨鏈接的錯誤恢復。大多數通訊仍是創建在SCSI基礎之上的，例如，使用R2T進行流量控制。iSCSI添加於SCSI之上的有：當即和主動的數據傳輸以免往返通訊；鏈接創建階段添加登陸環節，這是基於文本的參數協商。創建一個iSCSI會話，包括命名階段：肯定須要訪問的存儲，以及initiator，與FC不一樣，命名與位置無關；發現階段：找到須要訪問的存儲；登陸階段：創建於存儲的鏈接，讀寫以前首先進行參數協商，按照TCP鏈接登陸。

結構模式:

　　iSCSI有兩大主要網絡組件。第一個是網絡團體，網絡團體表現爲可經過IP網絡訪問的一個驅動或者網關。一個網絡團體必須有一個或者多個網絡入口，每個均可以使用，經過IP網絡訪問到一些iSCSI節點包含在網絡團體中。第二個是網絡入口，網絡入口是一個網絡團隊的組件，有一個TCP/IP的網絡地址能夠使用給一個iSCSI節點，在一個ISCSI會話中提供鏈接。一個網絡入口在啓動設備中間被識別爲一個IP地址。一個網絡入口在目標設備被識別爲一個IP地址+監聽端口。

iSCSI端口組:

　　iSCSI支持同一會話中的多個鏈接。在一些實現中也能夠作到同一會話中跨網絡端口組合鏈接。端口組定義了一個iSCSI節點內的一系列網絡端口，提供跨越端口的會話鏈接支持。

2.6 Fibre Channel光纖通道系統基礎

2.6.1 第一部分

光纖通道技術（Fibre Channel）是一種網絡存儲交換技術，可提供遠距離和高帶寬，可以在存儲器、服務器和客戶機節點間實現大型數據文件的傳輸。瞭解光纖通道技術是瞭解網絡存儲的起點。

Fibre Channel的概念:

　　Fibre Channel (FC) 是一種高速網絡互聯技術（一般的運行速率有2Gbps、4Gbps、8Gbps和16Gbps），主要用於鏈接計算機存儲設備。過去，光纖通道大多用於超級計算機，但它也成爲企業級存儲SAN中的一種常見鏈接類型。儘管被稱爲光纖通道，但其信號也能在光纖以外的雙絞線上運行。

　　光纖通道協議（Fibre Channel Protocol，FCP）是一種相似於TCP的傳輸協議，大多用於在光纖通道上傳輸SCSI命令。

　　光纖通道普遍用於通訊接口，併成爲傳統I/O接口與網絡技術相結合趨勢的一部分。Network運做於一個開放的，非結構化的而且本質上不可預測的環境。Channels一般運行在一個封閉的、結構化的和可預測的環境，該環境下全部與主機通訊的設備都預先已知，任何變動都須要主機軟件或配置表進行相應更改。通道協議如SCSI，ESCON, IPI。Fibre Channel將這兩種通訊方式的優點集合爲一種新的接口，同時知足network和channel用戶的需求。

Fibre Channel的目標與優點:

　　Fibre Channel要提供的是一個鏈接計算機和共享外圍設備的接口，在這一技術提出以前是經過多種不一樣的接口來鏈接的，如IDE，SCSI，ESCON。

　　Fibre Channel須要提供大量信息的高速傳輸。

　　上圖顯示了2Gbps Fibre Channel與Escon和SCSI同等級下的傳送速率對比。

　　除了速度增加之外，Fibre Channel也須要支持千米級的距離。經過光纖交換機實現，以下圖所示：

　　光纖通道還須要提供傳輸多種上層協議的能力，並維持這些上層協議的持續使用。光纖通道接口以下圖所示：

　　鏈接和擴展是光纖通道的一個主要目標，經過將數千個設備共享數據並鏈接在一塊兒來實現。Fibre Channel支持交換光纖，一個光纖結構理論上可支持一千六百萬地址。光纖結構能夠從一個單一交換機開始，按照需求可添加更多交換機來實現擴展。

　　光纖通道還須要提供比例如SCSI形式更簡單的線纜和插頭。光纖線纜比傳統SCSI銅線更易於管理，插頭體積更小從而一個適配器端口密度更高。當使用光纖線纜時，系統安裝更爲簡便。下圖顯示了Fibre Channel使用的LC插頭。

　　無中斷安裝和服務也是光纖線纜的一個要求。不一樣於銅線，在插拔時須要斷電，光纖在上下電時無需擔憂瞬態損傷。

　　可靠性，可用性和可維護性一直是光纖通道協議的目標。與銅線相比它具備明顯的優點：對電磁干擾和線間串擾不明顯。

2.6.2 第二部分

節點（Node）:

　　光纖通道環境包括兩個或更多經過互聯拓撲鏈接在一塊兒的設備。光纖通道設備如我的電腦，工做站，磁盤陣列控制器，磁盤和磁帶設備都被稱爲節點。每一個節點都是一個或多個節點的信息源或目的。以EMC爲例節點能夠是Symmetrix系統。每一個節點須要一個或多個端口做爲節點間通訊的物理接口。端口是一個容許節點經過物理接口發送或接收信息的硬件附件。一些設備將這些端口集成，其餘一些設備則使用可插拔端口如HBA。以EMC爲例端口能夠是Symmetrix FA適配器上的接口。

端口（Ports）:

　　每個光纖通道節點包含至少一個硬件端口，將該節點與光纖通道環境鏈接，並處理與其餘端口的信息。此端口稱爲節點端口。一個節點能夠有一個或多個節點端口。按照端口支持的協議標準有如下幾種不一樣類型的節點端口：

N_PORT：Node_ports既能夠用在端到端也能夠用在光纖交換環境。在端到端環境下N_ports發送端與接收端之間直接互連。舉例來講，一個HBA或一個Symmetrix FA端口就是一個N_port。

F_PORT：Fabric_Ports用於光纖交換環境下N_port之間的互連，從而全部節點均可以相互通訊。一般這些端口在交換機上，容許HBA和其餘設備如Symmetrix FA鏈接到光纖。

NL_PORT：NL_Port是支持仲裁環路的節點端口。例如，NL_Port能夠是HBA或Symmetrix FA端口。

FL_PORT：FL_PORT是支持仲裁環路的交換端口。一般是交換機上鍊接到仲裁環路的端口。

E_PORT：E_Port是一個光纖擴展端口，用於在多路交換光纖環境下。E_ports一般指一個交換機上鍊接到光纖網絡另外一個交換機的端口。

G_PORT：G_Port是一個既能配成E_Port又能配成F_Port的通用端口。是一種位於交換機上的端口。

光纖（Fiber）：

　　端口經過鏈路鏈接至光纖網絡。此鏈路包括線纜和承載兩個獨立光纖網絡間收發信息端口的其餘鏈接器。鏈路可能包括光導纖維或電纜。發送信號多是長波光，短波光，LED或電子信號。光纖結構包括光傳輸的纖芯。纖芯包裹着覆層，功能是反射並控制光在芯內傳輸。纖芯和覆層由玻璃材質製造而且很容易被損壞。爲了保護光纖避免受到物理損壞覆蓋了更多保護層，以使光纖可以承受必定力度。並有一個光纖可彎曲的最小角度，在這個角度附近光纖將被彎曲，超過這個角度將會致使光纖傳輸信號衰減，最壞狀況將致使光纖損壞。正常使用下線纜較爲堅實而且除了要留意最小彎曲半徑之外無需特別維護。芯徑和外徑（µm爲單位）一般是光纖規格的定義方式。例如，62.5/125µm光纖，芯徑爲62.5µm外徑爲125µm。兩根這樣的光纖結合在一根雙芯線纜中，兩端有相應的雙芯鏈接器。兩根光纖以相反的方向發送和接收數據。雙芯線纜容許同步發送和接收。

單模和多模（Single Mode and Multimode）：

光纖通道中有兩種傳輸模式。

單模鏈路的芯徑爲9-10µm而且使用位於光譜紅外部分約爲1300納米的長波光做爲光源。此光對於人眼是不可見的。下芯徑容許單模鏈路支持端口間最大10km的距離，全部光在光纖中沿着同一路徑傳輸，以下圖所示。單模鏈路主要用於長距離傳輸，應用於Symmetrix Fibre Channel適配器的幾個版本。

多模鏈路相對於單模成本較低，用於無需單模那樣遠距離傳輸的場景。光纖通道鏈路一般基於50或62.5µm芯徑並支持光波長約爲800nm。這種相對於單模增長的芯徑意味着光在光纖中有多種傳播路徑。

這就致使一種狀況：某些頻率的光在光纖中沿着一條路徑傳輸而其餘光沿着另外一條路徑，這種結果稱爲模態色散（Modal Dispersion）。這致使光呈放射狀從而限制了多模線纜的距離。

網絡（Fabric）：

　　術語Fabric用於光纖通道描述通用的交換或路由結構，該結構依據幀頭的目的地址來傳遞幀。網絡多是端到端，交換光纖或是仲裁環路。

拓撲（Topology）：

　　光纖通道拓撲描述端口之間的物理互連。光纖通道支持三種不一樣的互連方案，稱爲拓撲結構。分別是點對點，仲裁環和交換結構。

2.6.3 第三部分

光纖通道提供了三種不一樣的拓撲結構和一個混合的互連拓撲結構。這些拓撲結構是：

端到端
光纖交換
仲裁環路
混合

端到端：

端到端拓撲是全部拓撲結構中最簡單的一種，容許兩個N_Port經過鏈路直接互連。各N_Port的發送端直接連至另外一端口的接收端。此鏈路爲這兩個端口專用，訪問鏈路無需特定協議，所以這兩個端口徹底佔據鏈路帶寬。

光纖交換：

端到端拓撲雖然很簡單直觀，但鏈接數量有限。這就致使了光纖交換技術的誕生，理論上支持一千六百萬個端口（2^24）。交換網絡能夠包含單個交換機，或多個交換機互連做爲一個邏輯總體。

每一個N_Port經過相關鏈路鏈接至光纖網絡端口（F_Port）。在光纖網絡內各F_Port經過路由功能鏈接。這就使幀結構按照幀頭的目標地址從一個F_Port路由至另外一個F_Port。

多個併發鏈接能夠同時在N_Port之間共存，所以，隨着N_Port數量的增長，聚合帶寬也在增加。

仲裁環路：

仲裁環路比端到端提供更多鏈接，可在一個迴路上支持126個NL_Port和1個FL_Port，在端到端和光纖交換之間提供一箇中間值。在仲裁環路中一個端口的發送輸出鏈接至下一個端口的接收端，全部節點之間都有這樣的鏈接直到造成一個閉合環路。以下圖所示。這類配置一般使用光纖通道集線器從而無需使用線纜。仲裁環路中各端口在環路上發現全部消息並忽視/傳遞目的地非本端口的信息。

混合光纖：

光纖通道經過鏈接一個活多個仲裁環路到網絡從而支持混合拓撲。這種方式結合了兩種拓撲的長處。光纖網絡拓撲提供鏈接選擇和高聚合帶寬，而仲裁環路拓撲提供低成本鏈接和共享帶寬，而無需增長光纖交換機成本。

混合配置的好處在於仲裁環路上的NL_Port可經過交換機上的FL_Port鏈接光纖交換機上的N_Port，但須要進行必要的轉換。這種轉換包括將光纖網絡地址轉換成環路地址，以及將環路地址轉換成光纖交換地址。該配置同時容許N_Port鏈接至仲裁環路上的NL_Port。

2.7 淺談SDN和NFV的區別

EMC近日宣佈成立新的NFV Group（Network Functions Virtualization Technology Group），並由聯邦的核心智庫CTO Office來直轄，EMC CTO Office的負責人John Roese在EMC PULSE博客中表示，EMC成立新的NFV Group，該部門成立的用意很明確，幫助運營商轉型，助力它們迎接更爲廣闊的市場機遇。

SDN-誕生於校園，成熟於數據中心:

SDN初始於園區網絡，一羣研究者（斯坦福的達人們）在進行科研時發現，每次進行新的協議部署嘗試時，都須要改變網絡設備的軟件，這讓他們很是鬱悶，因而乎，他們開始考慮讓這些網絡硬件設備可編程化，而且能夠被集中的一個盒子所管理和控制，就這樣，誕生了當今SDN的基本定義和元素

分離控制和轉發的功能
控制集中化（或集中化的控制平面）
使用普遍定義的（軟件）接口使得網絡能夠執行程序化行爲

另外一個SDN成功的環境就是雲數據中心了，這些數據中心的範圍和規模的擴展，如何控制虛擬機的爆炸式增加，如何用更好的方式鏈接和控制這些虛擬機，成爲數據中心明確需求。而SDN的思想，偏偏提供了一個但願：數據中心能夠如何更可控。

OpenFlow–驅動向前的標準：

那麼，OpenFlow是從何處走進SDN的視野中呢？當SDN初創伊始，若是須要得到更多的承認，就意味着標準化這類工做必不可少。因而，各路公司聯合起來組建了開放網絡論壇（ONF），其目的就是要將控制器和網絡設備（也就是SDN提到的控制平面和轉發平面）之間的通信協議標準化，這就是OpenFlow。OpenFlow第必定義了流量數據如何組織成流的形式，第二定義了這些流如何按需控制。這是讓業界認識到SDN益處的關鍵一步。

NFV-由運營商提出：

和SDN始於研究者和數據中心不一樣，NFV則是由運營商的聯盟提出，原始的NFV白皮書描述了他們遇到的問題，以及初步的解決方案。運營商網絡的設備呈指數級的增加，愈來愈多各類類型的硬件設備不斷的增長。當開展一個新的網絡業務時，每每提出多樣化的需求，尋找適合空間和電力去容納這些「盒子」變得愈來愈困難。能耗的增長，資本投資的挑戰，以及設計，集成和運行這些日益複雜的基於硬件的平臺所須要的技術這些種種挑戰複合在一塊兒。另外，基於硬件平臺的很快就有可能到達其生命週期，須要重複大量的採購–設計–集成–部署週期，也只能獲取少許利潤收益，甚至可能沒有收益。

網絡功能虛擬化的目標是使用標準的IT虛擬化技術，把如今大量的位於數據中心，網絡節點以及最終用戶處的這些不一樣類型網絡設備–標準的服務器，交換機和存儲設備集合在一塊兒。咱們相信網絡功能虛擬化能夠適用於任何數據平面的包處理，控制平面的功能集成，以及無線網絡的基礎架構中。

SDN vs NFV：

如今，讓咱們看看SDN和NFV的關係，原始的NFV白皮書給出一個SDN和NFV關係的概述

如圖所示，網絡功能虛擬化和軟件定義網絡有很強的互補性，可是並不相互依賴（反之亦然），網絡功能虛擬化能夠不依賴於SDN部署，儘管兩個概念和解決方案能夠融合，而且潛在造成更大的價值。

依賴於應用在大量數據中心內的現有技術，網絡功能虛擬化的目標能夠基於非SDN的機制而實現。可是，若是能夠逐漸接近SDN所提出的將控制平面和數據平面的思路，那麼就能進一步使現有的部署性能加強且簡化互操做性，減輕運營和維護流程的負擔。網絡功能虛擬化爲SDN軟件的運行提供基礎架構的支持，將來，網絡功能虛擬化能夠和SDN的目標緊密聯繫在一塊兒—-使用通用的商業性服務器和交換機。

SDN和NFV協同工做？：

讓咱們看一個SDN和NFV協同工做的案例，首先，下圖展現了當今路由器服務部署典型案例，在每一個客戶站點使用均使用一臺路由器提供服務：

以下圖所示，使用虛擬路由器的功能，NFV就能夠在這個場景中展示做用，全部的用戶站點左側都是一個網絡接口設備（NID）–虛擬路由器，提供網絡的分界點，而且測量性能：

最終，SDN被引入進來，將控制平面和轉發平面分割，數據包將會根據更優化的數據平面被轉發，路由（控制平面）功能則運行在某機櫃服務器的虛擬機內。

SDN和NFV的結合提供了最優的解決方案