使用Cisco MDS 9000多层光纤信道交换机系列的VSAN和分区功能

使用Cisco MDS 9000多层光纤信道交换机系列的VSAN和分区功能

目的

本白皮书介绍Cisco MDS 9000多层存储交换机系列的VSAN和分区功能，以及它们在存储联网环境中的实际应用。VSAN和分区是互为补充的两项技术，为SAN设计人员提供了两种强大的工具。本文阐述存储网络中分区的优势和局限性，以及VSAN在成本、可扩展性、可用性安全性方面的改进。

简介

目前当设计人员设计和部署存储域网络（SAN）时需要考虑多种因素。当设计和实施网络时必须仔细考虑网络的高可用性、可扩展性和安全性等特性。Cisco MDS 9000多层导向器和结构交换机系列提供各种产品，使软件和硬件特性能够满足这些要害设计要求，从而为SAN设计人员提供更经济高效和更可靠的部署方案。

结构分区（Fabric zoning）是目前光纤信道交换产品中的一种基本特性。分区可以限制连接到通用光纤信道SAN的设备之间的可视性和连接。虽然分区在结构内提供基本的安全功能，但它不改进结构的可扩展性和可用性。

为了提高结构可扩展性和可用性，并进一步丰富结构分区所提供的安全性业务，思科在Cisco MDS 9000多层导向器和结构交换机系列内开发了称为虚拟SAN（VSAN）的新技术。VSAN结合硬件强制分区为SAN设计人员提供新工具，以高度优化SAN部署的可扩展性、可用性、安全性和治理。VSAN能够在可扩展的通用物理基础设施上创建完全独立的结构拓扑结构，每个拓扑结构都有自己的一套结构业务。当每个VSAN处理自己的分区业务时，分区在每个VSAN内单独配置，且不会影响任何其它VSAN和分区业务。

本方主要介绍VSAN和分区之间的区别，以及这两项技术如何相互补充。每项技术都旨在解决光纤信道网络中不同的问题。了解这两项技术的优势是有效部署并获得最大优势的要害。

结构分区业务

光纤信道结构中的分区业务旨在在共享同一结构的设备之间提供安全性。主要目的是阻止某些设备接入结构中的其它设备。假如在网络中部署很多不同类型的服务器和存储设备，安全性是要害。例如，假如一台主机使用另一台主机使用的磁盘，另一台主机可能使用不同的操作系统，那么该磁盘的数据有可能被破坏。为了避免破坏SAN中的要害数据，分区答应用户使用安全性示意图，规定那台设备－也就是主机--可以看到那些目标设备，从而减少数据丢失风险。

但是，分区也有其局限性。分区只用于阻止设备与其它未鉴权的设备进行通信。这是一项分布式业务，它通常遍布结构中的每个角落。因此对分区配置进行任何更改都会破坏整个连接的结构。分区还不能满足光纤信道基础设施的可用性或可扩展性需求。因此，当分区在结构中提供需要的服务时，VSAN以及分区的使用提供最佳解决方案。

分区优势

• 增强的设备安全性—通过在光纤信道结构中部署分区，设备接入只局限于区域中的设备。用户可以根据特定存储设备（目标设备）的接入来隔离设备。当处理接入同一物理结构的多OS环境时必须提供这种功能。大多数操作系统不能读取或了解不同操作系统的布局或文件系统结构。例如，使用Windows的主机能否看到AIX主机使用的磁盘，文件结构能否查看外部设备，并且被Windows系统视为被破坏的Windows卷，这种Windows卷可用并必须修复。一旦Windows服务器向该磁盘写入其“签名”，它将查看原始的AIX服务器，并且数据将遭到破坏。这是分区设计用于阻止某些设备接入其它设备的典型实例以及分区如此重要的原因所在。在所有分区都使用硬件实施的环境中，Cisco MDS 9000产品系列可以提供更强大的分区功能。每当安装分区配置时，无论其是基于端口还是基于WWN，实际上都将配置下载到硬件中，并安装基于帧到帧硬件的过滤器来确保没有分区配置则不答应帧通过。
  
  
• RSCN 抑制—通过在光纤信道网络中实施分区，注册状态更改通知(RSCN)与区域中已改变状态的设备隔离。这会减少结构中设备的中断，尤其是那些不信任或不接近于实际状态变化的设备。但是，在一些情况下，如同时保存在多个区域的存储磁盘阵列接口，分区不能提供全面保护。
  
  
• 每端口多个区域—当使用分区来隔离设备连接时，单个共享的设备可能同时必须驻留在多个区域中。当多台服务器需要接入同一个磁盘子系统接口时一般会出现这种情况。每台服务器通常通过磁盘子系统接口驻留在单独的区域中，因此磁盘子系统接口与每台服务器驻留在一个区域中。这支持接入普通设备－存储子系统接口，同时阻止服务器相互之间进行通信。
  分区局限性
  
  
• 可扩展性—虽然与典型ip网络相比，目前的光纤信道网络在规模上相对有限，但在未来进行存储网络扩展将有可能揭示设计方面的局限性。光纤信道不仅仅限制结构中域的数量(通常一台交换机一个域)，还限制域中端口的数量。分区对为网络提供高级别的可扩展性不起任何作用。即使设备在单独的区域中，如仍然驻留在一个通用结构中的区域，它受到结构中寻址限制和路由可扩展性的束缚。此外，随着结构的增长，部署的区域的数量增加，治理较多数量区域需要的控制面板带宽也随之增加。
  
  
• 结构可用性—当硬件强制进行分区时，虽然分区可以在网络中提供重大的安全性优势，但它对在结构中提高自身的可用性无任何作用。当结构中所有区域共享通用的结构业务时，假如名称服务器终止响应，或FSPE开始不规则路由，将会给整个存储网络带来严重的破坏性影响。此外，由于分区的分布式特性，对正在使用的一组区域进行的任何更改都会给结构造成影响，并且当安装了更改时有可能中断业务。
  
  
• 流量治理—在治理存储网络中终端设备之间的连接方面，分区非常有效。但是，分区不提供任何功能来控制路径选择和直通分区的设备之间的存储网络。根据分区配置规定，只要两台设备答应进行通信，他们的数据流可以通过SAN中的任何路径，这些路径根据结构中的路由协议来确定。随着存储联网环境的增长，工程师的数据流传输需求变得越来越重要，以确保以一种最佳方式来利用结构带宽。
  
  
• 可治理性—由于分区是结构中一项普通的分布式业务，它可以作为普通业务来治理。因此，当企业考虑在较少数的大型SAN结构中取消多种业务时，分区将仍然作为一项普通的分布式业务而存在。分区不是一项用于让多个治理小组进行治理的业务。因此，假如企业在同一SAN结构中取消了HR应用基础设施以及工程应用基础设施，需要在应用拥有者之间大范围地进行要害性调整，确保两个应用组共享的一组普通区域不会遭到破坏，或突发的更改。
  
  
• 区域治理安全性—在光纤信道存储网络中，将分区业务作为一项分布式业务进行部署。分布式数据库在存储网络的所有成员交换机中同步并维系。作为一项分布式业务，分区数据库可以由结构的任意成员交换机来进行更新。因此，虽然分区是一项安全性业务，但它的实际部署是相对不安全的。假如结构中成员交换机的安全性受到威胁，结构级的分区配置也会受到不利影响。尽管ANSI T11标准委员会提出新的建议来保护分区业务，但当前的分区实施也有它们的缺点。
  
  
• 记账—分区是一项相对动态的业务，出于各种与应用相关的原因考虑，可以频繁对其进行更改。同样，它很难计算应用组之间的带宽使用，这些应用组可以根据他们的分区定义来定义。因此，假如构建一个通用结构包含了多种应用，每种应用根据分区定义来划分，使用当今的硬件来隔离并计算每个区域的带宽使用通常是不可能实现的。

虚拟SAN (VSAN)

虚拟SAN以一种弹性、安全、经济高效和可治理的方式来提供扩展SAN突破当前限制的能力。SAN设计人员可以使用VSAN来构建大量统一的结构，在应用之间仍然提供需要的安全性和隔离，它超出了目前通过分区提供的安全性和隔离的范畴。

今天，出于各种原因考虑，SAN设计人员构建单独的结构，也称为SAN孤岛。SAN孤岛指物理上完全独立的用于把主机连接到存储设备的交换机或交换机组。构建SAN孤岛的原因包括希望把各种应用隔离到自己的结构中，或通过最大限度地降低结构级中断事件的影响来提高可用性。此外，物理上隔离的SAN孤岛还提供高安全性，因为每个物理基础设施都有自己单独的一组结构业务和治理接入。虽然这些都是构建单独结构的正当原因，但是这种方案会迅速增加并浪费结构端口和资源的成本。增加单独的结构意味着需要更多的硬件、更多的端口、更高的成本、要治理更多的设备以及通常都不能充分利用硬件。部署单独的SAN孤岛的另一个缺点是完全隔离的孤岛在资源重新分配方面的不灵活性。假如一个结构有许多未使用的端口，而另一个结构端口明显不足，一个结构不能简单地把未使用的端口重新分配到需要它们的位置。

为了帮助实现相同的独立环境，同时取消构建物理上独立的结构的额外费用，思科在Cisco MDS多层导向器和结构交换机系列中引入了虚拟SAN (VSAN)。VSAN提供在相同的冗余物理基础设施上创建独立的虚拟结构的能力。

SAN设计人员可以使用VSAN来提高SAN结构的工作效率，无需构建多个物理上独立的结构来满足企业或应用需求。实际上，您可以部署少量低成本的冗余结构，每个结构安装多种应用，同时仍然提供与孤岛类似的独立功能。结构内的备用端口可以在不发生中断的情况下迅速分配到现有的VSAN，从而提供一种虚拟增长面向应用的SAN孤岛的方法。

VSAN功能的另外一种主要优势在于提供高可用性。VSAN不仅仅提供基于硬件的独立，而且还为每个VSAN提供一套完全相同的光纤信道业务。因此，当创建了一个VSAN时，在新VSAN内也创建了一套完全独立的结构业务、配置治理功能和策略。创建的结构业务实例包括名称服务器、区域服务器、域控制器、别名服务器和登录服务器。这种业务复制功能提供在同一物理基础设施上构建解决HA焦点需要的独立环境的能力。例如，VSAN1中一组正在使用的区域的一部分根本不影响VASN2中的结构。

除了降低基础设施成本之外，VSAN还为SAN设计人员提供很多灵活性。例如，MDS 9000产品系列每个物理结构支持1000个VSAN。您可以从中继链路选择添加或删除每个VSAN，从而通过结构控制VSAN的扩展。此外，我们还提供专用的业务计数器来跟踪每个VSAN的统计数据。

VSAN还提供一种方法可通过长距离基础设施在远程数据中心进行独立结构的互连。由于在硬件内完成向帧添加标记，并且帧标记包括在所有EISL帧中，它可以在传输中承载，包括DWDM、CWDM和FCIP。因此，多个VSAN发送的业务可以通过一对光纤来超远程复用和传输，但仍然保持完全独立。VSAN利用通用冗余物理基础设施构建灵活的独立结构以此实现HA目标，从而提高可扩展性。

在VSAN成员端口和EISL链路上，每个单独的虚拟结构使用基于硬件的帧标记来相互隔离。增强型ISL (EISL)链路已经创建，并在结构中包括了为每个帧增加的标记信息。在互连任何MDS 9000系列交换机产品的链路上支持EISL链路。VSAN的成员数取决于物理端口，一个物理端口只属于一个VSAN。因此，无论那一种接口连接到一个物理端口，它都属于该端口的VSAN的成员。

VSAN优势

• 虚拟SAN孤岛—目前在存储网络中仍然有许多原因，要求SAN设计人员为不同的应用构建独立的结构。我们在本文中已经讨论了许多这类原因，如部署安全性焦点和系统OS冲突。VSAN为SAN设计人员提供一种方法，将多个昂贵的物理SAN孤岛结合到更经济高效的通用冗余SAN结构中。使用VSAN，可以在相同的物理基础设施上虚拟复制与通过构建物理上独立的孤岛实现的相同的安全性和独立功能。
  
  
• 对终端设备透明—VSAN不需要对SAN终端设备有任何非凡的了解、配置或软件，如主机/HBA或磁盘子系统。当流量进入交换机时向它添加标记，一旦帧离开交换机前往Nx_Port时将标记删除。
  
  
• ISL中继—即使每个VSAN代表独立的结构，并且业务不能通过VSAN，MDS 9000系列支持Trunking E_Port (TE_Port)上的VSAN“中继”。使用TE_Ports可提供多种优势。虽然业务不能跨越VSAN，但多个VSAN可以共享相同的ISL。多个VSAN可共享ISL的带宽，以便提高ISL的利用率。这可以大大减少规定部署中需要的ISL的数量。跨越TE_Port的VSAN中继还支持流量整形的基本格式。由于VSAN可以单独分配到一个中继，将具有较低优先级业务的VSAN将分配到可能有较长路径的ISL，从而为较高优先级的业务保留较短的路径。

• 结构可用性—每个VSAN包括所有结构业务的单独业务。这提供了更稳定的结构，因为不仅仅是每个VSAN的结构业务故障是隔离的，而且每个VSAN的结构级事件，如构建结构或重新配置结构也是隔离的。假如将一台交换机添加到现有网络中，那么只需对新交换机上部署的VSAN进行结构重建或重新配置，整个网络中剩余的VSAN保持不变。VSAN功能限制了对需要驻留在独立环境中的设备任何可能的中断，无需物理隔离。结果是提高了VSAN提供的可用性，这还答应SAN设计人员来构建经济高效的大型SAN，而不是小型SAN孤岛。
  
  
• 结构可扩展性—在网络可用性方面，光纤信道有多种局限性。但是，VSAN提供一种方式来扩展结构。当在物理基础设施中部署VSAN时，每个VSAN的光纤信道寻址方案必须是唯一的。在标准结构中只答应239个域(交换机)。这在很大程度上限制了结构的可扩展性。通过部署VSAN，光纤信道寻址方案基于每个VSAN付诸实施。现在，每个VSAN最多可以支持239个域，从而扩展物理基础设施中的可扩展性。
  
  
• 精简（Collapsed）物理基础设施—通常的存储域网络实施是部署“SAN孤岛”。每种应用、操作系统或业务部门都有自己的SAN结构。当使用这一设计方案来部署时，硬件通常并未得到充分利用，并浪费了昂贵的硬件和治理资源。相反，部署VSAN能够把许多单个的SAN 融合到大型的单个基础设施中。这可以降低硬件成本，提高整个网络的可治理性，同时维持SAN孤岛模式的稳定和业务隔离。

• 流量治理和业务优势—VSAN的实施使SAN设计人员能够通过网络更全面地控制业务的传输和其优先级分配。使用VSAN功能，您可以根据应用对不同的VSAN进行优先级分配，并使他们能够依据逐项应用接入结构中特定的路径。您还可以使用VSAN来进行业务传输，从而更有效地使用网络带宽。采用流量工程的一种级别，SAN设计人员可以从通过任何指定的通用VSAN中继（EISL）中选择启动或关闭特定的VSAN，从而为特定的VSAN创建有限的拓扑结构。流量工作的另一种级别来源于每个VSAN的单独路由配置。正如前面所讨论的，VSAN的实施规定每个配置的VSAN支持一套独立的结构业务。其中一种业务是FSPE路由协议，它可以基于每个VSAN单独进行配置。因此，在每个VSAN拓扑结构中，可以配置FSPF来提供唯一的路由配置以及随之发生的业务传输。使用VSAN提供的流量工程功能能够更全面地控制结构中的业务，并充分使用已部署的结构资源。
  
  
• VSAN治理安全性—与分区不同，VSAN业务在结构中不是一项分布式业务。每台交换机在本地进行VSAN配置，在一台交换机上配置VSAN不影响网络中任何其它交换机的配置。虽然用户可以使用思科结构治理器在网络中的任意交换机上配置VSAN，但工具也是对每台交换机单独进行配置。因此，每台交换机只强制在交换机本身本地进行VSAN配置。使用Cisco MDS 9000产品系列中提供的基于角色的配置安全性功能，在选定的交换机上可以进一步限制选定的用户来接入VSAN配置。

使用VSAN和分区

MDS 9000产品系列中的VSAN和分区是两种功能强大的工具，旨在帮助SAN设计人员来构建强韧、安全和可治理的网络环境，同时优化交换硬件的使用，降低成本。一般说来，VSAN用于把冗余物理SAN基础设施分成独立的虚拟SAN孤岛，每个虚拟SAN孤岛具有自己的一套光纤信道结构业务。通过使每个VSAN支持一套独立的光纤信道业务， 基于VSAN部署的基础设施可以存储大量应用，无需关注这些虚拟环境之间的结构资源或事件冲突。一旦分隔了物理结构，分区用于在每个VSAN中部署安全性，我们对安全性方案进行了调整，以满足每个VSAN中每种应用的需求。下表汇总了VSAN和分区之间的主要区别。右图还显示了通用物理结构区域中VSAN之间的关系。在通用物理拓扑结构中，首先将VSAN作为独立的结构来创建。一旦创建了VSAN，根据需要在每个VSAN中应用各个唯一的区域设置。

VSAN可以在要求调用SAN孤岛的任何位置使用。下面介绍一些使用VSAN的常用设计方案。其中，我们在每个VSAN中基于各种应用需求来使用度身定制的单独分区配置。

备份VSAN

这是一种常见的方案，严格创建单独和物理上隔离的备份SAN来承载备份业务。使用VSAN，可以在通用物理基础设施上创建额外的VSAN，它只承载磁带业务。使用这种设计方案， SAN设计人员可以降低为备份构建物理上隔离的SAN的成本，但仍然能够实现相同功能的隔离。

部门VSAN

目前仍有许多原因，要求保证构建独立的SAN孤岛。我们在本文中已经提到了许多这方面的原因。由于需要额外的硬件，构建物理上独立的结构要求增加成本。考虑到这样一个事实，每个SAN孤岛作为自己物理上独立的结构来处理，它必须可以单独进行治理和单独进行容量规划。我们通常超额供给每个SAN孤岛，以满足应用的额外增长需求，直到实现了这类增长为止，这些多余的端口将保留不用。正如存储设备联合提高了存储设备的利用率那样，SAN的联合也提高了SAN网络硬件的利用率。

例如，假如一个部门应用需要42个SAN连接端口，通常我们将在独立的SAN孤岛中供给64个端口来支持增长。但是，是否应稍后确定这一应用将不需要所有这些多余的端口，拆除这些端口并重新部署用于另外一个应用在物理上是可行的。因此，假如设计时考虑了未使用的端口（为42个连接点部署了64个端口），那么在这一实例中每个端口的有效成本高达152%。假如在构建64端口SAN需要的任何ISL成本中考虑了您的因素，成本还要高于这一数值。

在这一实例中使用VSAN，在大型冗余结构中最初只要部署42个端口。可以创建VSAN并把42个端口分配给VSAN，从而优化SAN端口的有效成本。将来假如需要更多的端口来支持增长，在不中断业务的前提下可以从物理结构未使用的端口库中简单进行分配。通过进行简单的软件配置，未使用的端口可以简单地重新部署用于基于VSAN中的其它应用。

扩展的VSAN

VSAN的另一种重要特性是可以在数据中心之间通过广泛的传输网络承载，同时仍然维持独立。随着客户继续在多个数据中心之间构建分布式应用环境，无论是地理上的应用还是灾难恢复原因，都必须维持VSAN相互隔离。

由于VSAN涉及使用成员关系标识符明确标记每个帧，这些被标记的帧可以在广泛的媒介中传输。这类媒介包括DWDM(密波分复用)、CWDM (稀疏波分复用)以及IP光纤信道(FCIP)方法等光传输，使用可以承载IP业务 (SONET分组、ATM、帧中继、固定无线等) 的任意传输网络。例如，使用VSAN可以提供多种应用发送的数据的虚拟独立，这些数据通过城域或广域网络传输到通用灾难恢复站点。在灾难恢复站点，可以通过单独实施DR配置来相互隔离VSAN标记的数据。

利用VSAN技术可以显著降低与从多个SAN通过城域或广域网传输存储业务相关的成本。今天，需要许多独立的SONET电路或DWDM波长来传输与独立的SAN孤岛相关的存储业务。但是，使用VSAN技术提供的孤岛功能，可以使用较少的电路和/或波长来传输多个SAN孤岛发送的业务，同时仍然维持严格的独立。因此，VSAN技术提供的孤岛功能可以直接降低增加传输硬件的成本，包括SONET客户机端接口和DWDM转发器。

结语

VSAN提供一种解决方案来解决当今SAN设计人中碰到的许多挑战。作为分区功能的提供者，除了分区之外，VSAN还提供补充和需要的功能。

目前仍存在许多挑战，要求SAN设计人员构建富有弹性的存储网络基础设施，同时降低成本。但是，降低成本不能以牺牲SAN基础设施的可用性、安全性或可治理性为代价。借助于目前的光纤信道交换产品，SAN设计人员可以构建多个物理上独立的SAN基础设施，帮助确保应用环境之间的可用性和安全性。由于交换机、磁盘和磁带资源物理上独立，在这个基础上制订的设计方案会使容量规划和资源优化变得更加复杂。资源，尤其是昂贵的交换机端口，不能轻松地从一个应用移植到另一个应用。因此出现了端口的超额供给，从而大幅增加存储网络基础设施每端口的有效成本。虽然分区功能可以促进SAN基础设施的整体安全性，但它不能解决以上难题。

在Cisco MDS 9000多层导向器和结构交换机系列中引入虚拟SAN可使SAN设计人员能够灵活地构建联合且低成本的存储网络，同时满足要害应用的安全性和可用性需求。VSAN功能提供优化光纤信道基础设施的使用，以及维持在不中断业务的前提下，在虚拟结构之间重新分配和移植结构和存储资源的能力的方法。此外还提供基于具体记录的VSAN的统计数据记账，旨在促进与结构资源相关的容量规划和可能的退费处理。VSAN技术只是Cisco MDS 9000交换机系列提供的可以帮助SAN设计人员构建多层存储网络的工具之一。