利用 VSAN 增强网络分区
网络分区是当今光纤通道交换产品的基本特性。
利用分区，可以限制与同一光纤通道 SAN 相连的各设备的可视性和连通性（参见“解决基本 SAN 安全漏洞问题”一文）。虽然开始时，分区只是
作为一种分段机制，但现在，它已经能够（与 LUN 掩膜一起）有效保证存储的安全性。
但是，虽然分区能够为网络提供基本的安全功能，但仍然无法满足不断扩展的 SAN 网络对可扩展性和安全性的要求。为增强网络的扩展能力，进
一步增加网络分区提供的安全服务，思科系统公司在 Cisco MDS 9000 系列多层导向器和矩阵交换机内提供了一种称为虚拟 SAN（VSAN）的新技
术。VSAN 能够克服当今存在的许多网络分区限制，目前已经被 ANSI T-11 委员会定为行业标准。利用 VSAN，企业能够创建完全隔离的网络拓扑，
并让每个网段分别使用自己的一套网络服务。
分区限制
与典型的 IP 网络相比，当今光纤通道网络的规模相对较小，存储网络的增长最终将达到网络分区设置的扩展极限。光纤通道不但要求网段内拥有
一定数量的域（一般每个域一台交换机），还要求域内拥有一定数量的端口。另外，不同分区中的设备还必须遵守网段内的定址限制和路由扩展能
力限制。不仅如此，随着网段的扩大，分区数量以及管理大量分区所需要的控制层面带宽也会增加。
遗憾的是，分区无法在网段内提供增强的可用性。同一服务器或 FSPF 路由等级的任何功能故障都将波及到整个存储网络，因为网段内的所有分区
都使用同一套网络服务。另外，分区的分布式特性还意味着对有效分区集中的任何分区集的修改都将对整个网段带来影响甚至停运风险。
虽然许多机构都在将多种应用整合到更少、更大的 SAN 网络上，但分区仍然属于通用的分布式服务。遗憾的是，分区的初衷并非独立管理各个网
段。因此，如果某机构试图将 A 部门的应用基础设施与 B 部门的应用基础设施合并到同一个 SAN 网段内，那么，应用所有者之间必须经过广泛、
深入的协作，才能保证由两个应用组共享的通用分区集运行顺利。
最后，分区并不能通过跨区设备间的存储网络，来控制数据帧的路径选择和传输。只要分区配置中允许两台设备通信，流量就可以根据网段内路由
协议的规定、通过 SAN 内的任何路径传输。随着存储联网环境的增长，对流量规划的要求将越来越高。
VSAN 的作用
虚拟 SAN 能够以灵活、经济、有效和可管理的方式进一步扩展和保护 SAN。简言之，VSAN 是一种能够分成多个逻辑部分或分区的特殊 SAN。利
用 VSAN，可以将流量隔离在存储网络中的某个分区之内。如果某个 VSAN 发生故障，其影响将只局限在这个 VSAN 之中，而不会波及到其它网
段。
VSAN 能够将基于硬件的虚拟网络环境重叠置于一个物理网络基础设施上。每个 VSAN 都包含独立（专用）的网络服务，以便增强扩展能力，提高
永续性，并降低存储资源域之间的依赖性。在实现服务运作分离以及在分配给不同 VSAN 的高可用性资源域之间执行故障恢复时，这个特性尤其有
用。每个 VSAN 都包含自己的硬件分区、专用网络服务和管理功能，就好像 VSAN 是多个独立的物理网段一样。由于用户无需修改物理布局就能
添加或移动设备，因而能简化系统配置，增强扩展能力。另外，VSAN 还能提高 SAN 利用率和灵活性， 因为它不但允许多个用户共享资源，还能
安全分割流量，并独立控制每个 VSAN 的资源域。
利用 VSAN 增强网络分区
另外，VSAN 不但能提供硬件隔离，还能为每个 VSAN 完整地复制光纤通道服务。因此，在建立 VSAN 的同时，就在该 VSAN 内创建了一整套网
络服务、配置管理功能和安全策略。建立的网络服务包括名称服务器、分区服务器、域控制器、别名服务器和登录服务器。利用这些服务复制品提
供的隔离环境，不需要牺牲安全性就能实现高可用性要求。例如，在某个 VSAN 内的某个有效分区安装设备不会对其它 VSAN 中的网段构成任何
影响。
与分区不同，VSAN 服务不属于网络内的分布式服务：每个 VSAN 配置都只适应于特定的交换机，即一台交换机上的 VSAN 配置不会影响网络内
任何其它交换机的配置。利用 Cisco MDS 9000 产品系列中基于角色的配置安全性，VSAN 配置还可以进一步局限到特定交换机上的某些用户。不
仅如此，不同的 VSAN 还可以设定不同的优先级，并以应用为单位申请对网络内特定路径的访问权。例如，可以有选择地允许或拒绝某 VSAN 穿
越某些通用 VSAN 干线，从而为该 VSAN 创建限定性拓扑。另一种方法是对每个 VSAN 实施独立的路由配置。总之，利用 VSAN 提供的流量整合
功能，不但能提高网络安全性，增强对流量的控制，还能提高网络资源的利用率。
先 VSAN 后分区
利用 VSAN，存储管理员可以实现鱼与熊掌兼得：既能通过 SAN 网段的隔离提高安全性，又能通过协作提高 SAN 网段的运作效率。网络内的备用
端口可以快速、顺利地分配给现有 VSAN，使应用 SAN 实现几乎无限的扩展。
总之，VSAN 能够将冗余物理 SAN 基础设施划分成多个虚拟 SAN，并让每个 VSAN 拥有自己的一套光纤通道网络服务。由于每个 VSAN 都支持独
立的一套光纤通道服务，因此，VSAN 型基础设施可以支持大量应用，而不用担心这些虚拟环境之间会出现网络资源或事件冲突。但物理网络分段
之后，可利用分区在每个 VSAN 内实施进一步的安全隔离，满足每个 VSAN 内不同应用的要求。
如果想详细了解 VSAN，请点击以下链接：
z
VSAN 工作原理–VoD 教程
z
Cisco MDS 9000 网络管理器配置指南 – VSAN 配置
z
思科 VSAN 技术成为行业标准
z
利用 Cisco MDS 9000 系列中的 VSAN 和分区
思科系统 (中国) 网络技术有限公司
北京
北京市东城区东长安街 1 号东方广
场东方经贸城东一办公楼 19-21 层
邮政编码：100738
电话：(8610) 85155000
传真：(8610) 85181881
上海
上海市淮海中路 222 号力宝
广场 32-33 层
邮政编码：200021
电话：(8621) 33104777
传真：(8621) 53966750
如需了解思科公司的更多信息，请浏览
广州
广州市天河北路 233 号中信
广场 43 楼
邮政编码：510620
电话：(8620) 85193000
传真：(8620) 38770077
成都
成都市顺城大街 308 号冠城
广场 23 层
邮政编码：610017
电话：(8628) 86961000
传真：(8628) 86528999
http://www.cisco.com /cn
思科系统（中国）网络技术有限公司版权所有。
2005思科系统公司版权所有。该版权和/或其它所有权利均由思科系统公司拥有并保留。Cisco, Cisco IOS, Cisco IOS 标识，Cisco Systems, Cisco Systems 标识，
Cisco Systems Cisco Press 标识等均为思科系统公司或其在美国和其他国家的附属机构的注册商标。这份文档中所提到的所有其它品牌、
名称或商标均为其各自所有人的财产。合作伙伴一词的使用并不意味着在思科和任何其他公司之间存在合伙经营的关系。
2005 年 4 月翻译