1、1基于 iSCSI 的 IP 网络存储技术研究余 以 胜(广东女子职业技术学院 计算机系,广东 广州 511450)摘 要: IP 网络存储技术是存储区域网络(SAN)中的重要支撑技术之一。详细论述了 IP 网络存储协议标准、iSCSI 协议机制、 iSCSI 存储系统实现技术等内容。关键词:IP 网络存储;iSCSI 协议;网络存储系统一、引言近年来,随着 Internet 的广泛应用,企业数据存储容量和复杂性迅速增加。对存储系统提出越来越高的要求,如海量数据存储、数据复制、远程备份和恢复等。按照与主机的耦合方式,存储系统可以分为直接存储 DAS(direct attached storag
2、e) 、网络附加存储 NAS(network attached storage)和存储区域网 SAN(storage area network)等 3 种,DAS 是传统的主机存储模式,其系统可用性、可伸缩性和可扩展性等都存在很多缺陷。NAS 和 SAN 都是近年来发展起来的网络存储技术,其中 NAS 是基于文件传输的网络存储系统。比较适合用作网络文件服务器。SAN 是以数据块进行传送和存储的,对高档数据库的支持能力强,比较适合用作网络服务器的后端存储器。目前,SAN 主要采用光纤通道 FC(fiber channel)技术和 IP 技术来构架。虽然 FC 技术仍占主导地位,但在产品价格和兼容
3、性上存在一些问题,使 SAN 应用受到一定的限制。基于 IP 的 SAN 技术主要采用千兆位以太网和 iSCSI(Internet SCSI)技术来构架,在产品价格和兼容性上具有一定的优势,有利于 SAN 技术的推广应用,代表了未来网络存储技术的发展方向。二、IP 网络存储协议标准近几年,在 IP 网络存储技术的研究上取得很大进展,相继提出了一些 IP 网络存储技术和协议标准,典型的有 FCIP(fiber channel over IP) 、iFCP (Internet fiber channel protocol)和 iSCSI(Internet SCSI)等协议,它们可以分成两大类:FC
4、-IP 网络存储结构和 SCSI-IP网络存储结构。(一)FC-IP 网络存储结构在 FC-IP 网络存储结构中,本地 SAN 采用 FC 技术来构架,本地 SAN 与远程 SAN 之间采用 IP 网络连接。FC 命令和数据被封装在 IP 数据包中进行传输,形成一个 FC 传输通道。其目的是利用已有的 IP 网络基础设施来实现 SAN 的远程传输,有利于降低通信系统费用。而 FC 技术只能提供最长 10km 的传输距离,并且需要附设专用的光纤,系统造价很高。FCIP 和 iFCP 协议都是基于这种网络存储结构,只是在实现技术上有所不同。(二)SCSI-IP 网络存储结构在 SCSI-IP 网络
5、存储结构中,网络存储设备采用 SCSI 接口来驱动磁盘,并通过2LAN/WAN 链路、LAN 交换机 /路由器以及 IP 协议连接到网络上,构成本地或远程SAN。SCSI 命令和数据被封装在 TCP 数据包中进行传输。这种网络存储结构的优点是利用成熟的 LAN/WAN 技术和 IP 技术构架 SAN,可以大大降低 SAN 组网费用。iSCSI 协议则是基于这种网络存储结构,其系统模型如图 1 所示。在该模型中,SCSI存储设备通过 iSCSI 协议连接到网络上, iSCSI 定义了两个关键功能组件: iSCSI 发起器(主机方)和 iSCSI 目标器(存储设备方) ,启动器驻留在主机上,应用程
6、序通过文件系统产生的 SCSI 命令和数据被封装成 TCP 包,然后通过 IP 网络传输给目标器,目标器收到这个 TCP 包后解析出 SCSI 命令和数据,再通过 SCSI 驱动器传送给 SCSI 存储设备。iSCSI 协议最初是由 IBM,Cisco 等公司提出的,由 IETF 和存储网络工业协会(SNIA )制定了 iSCSI 规范,作为行业标准。三、ISCSI 协议机制iSCSI 是由 IETF 开发的一种基于存储网络的新的 Internet 协议,其基本工作原理是:当发起端(Initiator)用户或应用程序发送一个请求后,操作系统对这个请求进行处理并生成一个适当的 SCSI 命令和数
7、据请求,这些命令通过 iSCSI 封装,再加上 TCP/IP 协议包头,形成 iSCSI 协议数据单元,数据包可以在局域网或 Internet 上传送。目标端(Target)在收到该数据包后,将按照相反的方向进行解包,解析出原 SCSI 命令和数据请求,操作系统将 SCSI 命令再发送给 SCSI 设备驱动程序,从而可以通过 HBA 访问 SCSI 存储设备。由于 IP 网络的灵活性,iSCSI 可以在局域网(LAN) 、广域网(WAN )或 Internet 上传输数据。iSCSI 1采用 TCP 协议进行数据传输,其工作过程分为建立连接、数据传输、断开连接等 3 个阶段。(一)建立连接在
8、iSCSI 协议中,当目标器处于监听状态后,启动器便可以发起建立一个 TCP 连接,如果 TCP 连接建立起来,则进入登录阶段,双方通过交换登录信息进行身份认证和参数协商。iSCSI 的身份认证是双向的,在每个新建立的 TCP 连接上,使用协商好的认证模式来交换登录信息。任何一方认证失败,都会关闭 TCP 连接,通过认证机制能够防止假冒攻击。在通过身份认证后,双方进行 iSCSI 参数协商,包括发起者所支持的协议版本号、发Initiator应用程序操作系统iSCSI 启动器TCP/IP 协议栈TargetSCSI 子系统SCSI 启动器 SCSI HBATCP/IP 协议栈 SCSI 盘IP
9、网络图 1 iSCSI 系统模型3起方名字、目标名字、连接标识符以及最大连接数等。(二)数据传输当发起器方与目标方完成了上述协商后,它们之间便建立起 iSCSI 会话。iSCSI 会话分为两个阶段:登录阶段和工作阶段。在登录阶段,两个网络实体之间要协商各种参数,并确认启动器的访问权限。如果登录成功,则进入 iSCSI 会话的工作阶段,两个网络实体之间可以利用这 iSCSI 会话进行数据传输。如果一个 iSCSI 会话建立了多个 TCP 连接,每个命令/ 响应则对应一个 TCP 连接,不同的数据传输可以使用一个会话的不同的 TCP 连接。iSCSI 数据传输是一个基于 TCP/IP 协议的封包和
10、解包过程。在网络的一端, SCSI 数据被封装上 iSCSI 头、TCP 头和 IP 头等协议头,然后经过 IP 网络传输到网络的另一端,接收方顺序将数据包解开,得到 SCSI 数据,并执行规定的任务。(三)断开连接如果发起方与目标方完成了所有的通信任务后,则要关闭会话,断开连接。在这种情况下,发起方使用退出命令请求从一次会话中断开一个连接,或关闭整个会话。当目标方收到这种命令请求后,必须终止所有未决的命令,并发送退出请求应答,关闭 TCP 连接。为了确保在 IP 网络上安全和可靠地传输数据,iSCSI 协议规定了如下的协议机制:1.寻址与命名机制。每一个 iSCSI 节点都是独立的网络实体,
11、必须使用一个唯一的名字来标识。iSCSI 名字的最大长度为 255B,并按 Internet 节点的命名规则来组织,可由DNS 系统处理,iSCSI 名字提供了 iSCSI 设备物理位置的唯一标识,可以方便地进行 IP 地址和 TCP 端口的绑定,同时可以处理设备之间的数据传送。 iSCSI 协议还允许使用别名,以便于系统管理员更好地管理 iSCSI 设备。2.差错处理机制。在 IP 网络,特别是在 WAN 中,数据传输差错是难免的。iSCSI 利用 TCP 协议的差错机制来保证数据传输的正确性,同时 iSCSI 提供命令缓冲功能,在发生数据传输差错时能够及时恢复原来的数据。3.安全机制。在
12、IP 网络上传输数据时,存在一定的安全风险,比如数据非法窃取或篡改、身份欺诈攻击等。iSCSI 协议提供了身份认证和登录确认功能,能够防止在建立 iSCSI会话时的身份攻击。但 iSCSI 协议本身没有提供数据机密性和完整性保护机制,而是建议采用 IPSec 协议来解决。四、iSCSI 存储系统实现技术在基于 iSCSI 的存储区域网( SAN)对网络性能、安全性、可伸缩性以及可管理性等方面的要求比较高,这也是系统实现中需要重点解决的问题。(一)网络性能问题与普通的数据通信网相比,SAN 对网络性能的要求更高。影响 SAN 性能的主要因素是网络带宽和节点吞吐能力。网络带宽主要和 SAN 的链路
13、传输能力有关。对于基于 IP 的 SAN,链路最好采用高速的交换式网络技术,如千兆位以太网,一方面通过高速网络技术为数据传输提供足够的网络带宽,另一方面通过交换技术将网络延迟减少到最低程度。节点吞吐能力主要和 SAN 节点构成方式有关。在每个 SAN 节点上,需要花费大量的CPU 时间去处理 TCP/IP 和 iSCSI 协议任务,如数据缓冲区管理、流量与拥塞控制、计数器管理、数据包校验以及数据封装与解封等。据有关研究表明,处理网络通信任务所占用的 CPU 时间高达 50%以上,对节点吞吐能力产生很大的影响。这个问题可以采用网络协处理器硬件技术来解决,例如节点的网络接口卡可以采用 iSCSI
14、适配器卡,这是一种将千兆位以太网通信功能、TCP/IP 和 iSCSI 协议处理功能集成一体的网络适配器卡,由卡上 CPU4来处理大部分网络通信任务,从而节省了大量的主机 CPU 处理工销,大大提高了节点吞吐量。Intel 、Adaptec 等公司都有这种产品。(二)网络安全问题在 iSCSI 协议中,只提供了登录身份论证功能,没有提供数据机密性和完整性保护机制,而是建议采用 IPSec 协议来解决。IPSec 协议是一种 IP 层的安全协议,通过数据加密技术和遂道技术来保证数据机密性和完整性,其应用模式是虚拟专用网(VPN) 。由于采用了数据加密技术,协议开销比较大,网络性能损失大约为 10
15、%-30%。因此,只有在 Internet 上构架远程 SAN 时,才使用 VPN技术。在这种情况下,数据加密算法最好采用 ASIC 硬件技术来实现,将网络性能损失减少到最低程度。在本地 SAN 中,可以采用虚拟局域网(VLAN)技术来保护数据安全。VLAN 通过控制数据包转发路由将网络流量限制在一个可信的工作组网络中,避免困广播式传输所带来的数据外泄问题,从而保证了数据机密性和完整性。由于 VLAN 是交换机通过控制转发路由实现的,而不是采用复杂的加密算法实现的,因此对网络性能的影响很小。(三)IPv6 支持问题IPv6 作为下一代 Internet 的核心协议,是今后重点发展的网络技术。由
16、于 iSCSI 节点是按 Internet 节点的命名规则来组织的,因此 iSCSI 完全支持 IPv6。然后,IPv6 对未来的IP 网络存储系统实现技术将产生重要的影响。在 IPv4 中,IPSec 作为一个可选的安全协议,需要时再进行安装和使用,结果可能造成不同 IPSec 实现系统之间的互不兼容,无法进行互通和互操作。在 IPv6 中,IPSec 是由内部组件实现的,作为内置的安全功能,这种内置的 IPSec 能够提供比较统一和一致的安全协议标准,大大提高了不同 IPv6 实现系统之间的互操作性。IPv6 的地址长度为 128B,所提供的 IP 地址数目几乎是无穷大,所有 IP 设备都
17、能分配到一个全球通用地址,从 Internet 上可以直接访问每一个 IP 设备,不需要再使用内部 IP 地址和网络地址转换(NAT)技术来解决 IP 地址匮乏问题。这种端到端的通信机制给构架远程 IP 网络存储系统带来很大的方便。同时,IP 地址的公开化也使得网络存储设备更易受到黑客攻击,如分布式拒绝服务(DDoS)等,带来新的安全风险,需要研究和开发新的安全机制对网络存储系统进行防护。五、结束语随着网络技术的发展和应用,在金融、证券、税务及民航等行业中用“数据大集中”的模式来构架网络信息存储系统,即各个子系统产生的业务数据不再由本地计算机处理和保存,而是集中在数据中心进行统一的处理和保存。
18、这种模式反映了网络计算模型由传统的“分布式计算,分布式存储”模型向先进的“分布式计算,集中式存储”模型转变,更加有利数据管理和安全。因此,在基于数据集中存储的网络信息系统中,数据存储系统大多采用网络存储系统来集中存储业务数据,而基于 iSCSI 的 IP 网络存储技术是建立集中式存储业务数据的存储管理系统的关键技术之一,具有开放性好、易于扩展、建设成本低等优点,必将会有广阔的发展前景。参考文献1IETF RFC 3347. Small computer system interface protocol over the Internet (iSCSI) requirements and de
19、sign considerations. http:/www.ietf.org,2000.52傅湘林,韩德志,谢长生.基于 IP 的 SAN 互联技术的研究 . 计算机科学,2003 vol. 30, No. 6.3Farley M. 存储区域网. 北京:机械工业出版社,2001.4Marc Farley 著.孙功星等译 .SAN 存储区域网.第二版,机械工业出版社.5郭御风,黄金锋.IP 存储技术研究 .计算机工程与科学,2002 vol.24 No. 5 .the Network Storage Technology Based on iSCSIYu Yi-sheng(Guangdong
20、Womans Polytechnical College Computer Department,Guangzhou 511450)Abstract: IP network storage technology is the important one of the SAN. This paper introduces the IP network storage protocol standard, iSCSI protocol principle and iSCSI storage system realization.Keywords: IP Network Storage;ISCSI Protocol;Network Storage System收稿日期:20050322作者简介: 余以胜(1970 ) ,男,河南罗山人,工学硕士,广东女子职业技术学院计算机系讲师,主要从事数据库和知识库等方面的研究。6
