专利名称:网际协议存储区域网络的隔离方法及隔离装置的制作方法
技术领域:
本发明涉及SAN(Storage Area Network,存储区域网络)技术,尤其涉及一种IP(Internet Protocol,网际协议)SAN网络的隔离方法及隔离装置。
背景技术:
传统的存储系统经历了SCSI(Small Computer System Interface,小型机系统接口)电缆直连方式后,一直是以FC(Fibre Channel,光纤通道)为主流。iSCSI(Internet Small Computer System Interface,网际小型机系统接口)的出现,提供了另一种传送SCSI命令的手段,它使存储资源可以在IP范围内被共享。
iSCSI是IETF(Internet Engineering Task Force,互联网工程任务组)制订的一项标准,用于将SCSI数据块映射成以太网数据包,即将数据存储设备使用的SCSI协议承载在TCP/IP上进行传输。它支持以太网的物理层协议,并且允许支持该协议的设备直接连接到标准的以太网交换机或者路由器上形成IP SAN网络。
现有技术中典型IP SAN网络的结构及应用环境如图1所示,在SAN网络中,多个IP存储系统通过IP交换设备接入IP网络,连接在IP网络上的主机可以采用iSCSI协议对这些IP存储系统进行访问。SAN网络中的IP交换设备进行外部IP网络与SAN网络之间的二层或三层转发,转发过程中不解析承载在TCP(Transmission Control Protocol,传输控制协议)协议上的iSCSI协议。
要使外部网络中的主机可以通过iSCSI协议进行对IP SAN网络中存储系统的访问,用来对IP存储系统进行寻址的存储系统的IP地址、TCP端口号就必须对IP网络开放。而IP SAN往往是用户网络的信息存储核心区域,其安全性对用户而言非常关键,这种开放的访问方式使得IP SAN难以对外部网络进行有效的安全防护,容易受来自外部网络的病毒、攻击或信息窃取等威胁。
同时,当IP SAN网络中存储系统的IP地址或路由信息发生变化时,都需要通知外部网络,增加了网络负荷。
发明内容
本发明要解决的是现有技术中SAN网络的开放访问方式造成的安全措施难以实施和网络负荷较大的问题。
本发明所述通过边缘节点与外部网络连通的IP SAN的隔离方法包括以下步骤在边缘节点上建立与外部网络中发起方的连接;在边缘节点上建立与发起方所访问的IP SAN中目标方的连接;在与发起方的连接和与目标方的连接之间转发所承载的网际小型机系统接口iSCSI载荷。
优选地,所述方法还包括在边缘节点上保存IP SAN中的目标方及其内部入口信息,其中内部入口为目标方的入口;在边缘节点上设置目标方的外部入口信息,其中外部入口为边缘节点在与发起方的连接中具有的入口,该外部入口信息对应于该发起方所访问的目标方。
优选地,所述方法在设置目标方的外部入口信息之后还包括边缘节点将发起方的访问请求重定向至目标方的外部入口。
可选地,所述保存IP SAN中目标方及其内部入口信息通过边缘节点在IPSAN中定期向目标方发起发现会话Discovery Session进行。
可选地,所述保存IP SAN中目标方及其内部入口信息通过在IP SAN中运行互联网存储名称服务iSNS协议进行。
优选地,所述与发起方的连接和与目标方的连接包括承载iSCSI标准会话Normal Session的连接。
本发明提供了一种IP SAN与外部网络的隔离装置,包括外网访问单元和SAN访问单元,其中外网访问单元用来通过与外部网络中发起方的连接进行iSCSI通信,将从该连接接收的iSCSI载荷输出至存储访问单元,以及将从存储访问单元输入的iSCSI载荷通过该连接发送;存储访问单元用来通过与发起方所访问的IP SAN中目标方的连接发送从外网访问单元接收的iSCSI载荷,以及将从目标方接收的iSCSI载荷输出至外网访问单元。
优选地,所述装置还包括入口信息单元,用来保存IP SAN中目标方的内部入口和外部入口信息;所述外网访问单元与外部网络中发起方的连接通过该发起方所访问目标方的外部入口进行;所述存储访问单元与目标方的连接通过该目标方的内部入口进行。
优选地,所述装置还包括外网请求单元,用来将外部网络中发起方所访问的目标方的外部入口信息通知发起方。
优选地,所述装置还包括信息维护单元,用来根据当前IP SAN中的目标方及其内部入口信息更新入口信息单元。
本发明提供了另一种通过隔离节点与外部网络连通的IP SAN的隔离方法,包括以下步骤
通过隔离节点与外部网络的连接进行IP SAN与外部网络的iSCSI通信;通过隔离节点与IP SAN中目标方的连接获得与外部网络的iSCSI通信中所需的iSCSI载荷。
优选地,所述方法还包括在隔离节点上维护当前IP SAN中的目标方及其入口信息;所述入口信息包括内部入口和对应的外部入口信息,内部入口为目标方的入口;所述与外部网络的iSCSI通信包括iSCSI发现Discovery过程,其中在iSCSI重定向Redirection消息中返回外部网络发起方在Discovery消息中所请求目标方的当前外部入口信息。
优选地,所述与外部网络的iSCSI通信包括iSCSI Normal Session,通过隔离节点以被访问目标方的外部入口与外部网络发起方的连接进行;所述获得与外部网络通信所需的iSCSI载荷在iSCSI Normal Session中具体为以隔离节点为发起方与被访问目标方的进行相同的iSCSI NormalSession,得到目标方在与隔离节点的连接上发送的iSCSI载荷。
优选地,所述在隔离节点上维护当前IP SAN中的目标方及其入口信息通过定期发送Discovery消息或应用iSNS协议进行。
优选地,所述隔离节点超过1个,形成隔离节点集群;所述方法还包括隔离节点备份集群内其他隔离节点上的目标方及其内部入口和外部入口信息。
本发明通过在连通IP SAN与外部网络的边缘节点上进行连接代理,使得外部网络不直接访问IP SAN中的目标方,将IP SAN中的目标方与外部网络隔离开来,便于对IP SAN应用集中和高效的安全防护措施;并且,IP SAN网络内部的地址和路由信息变化不会对外部网络的访问造成影响,降低了网络负荷。
图1为现有技术中一种IP SAN的网络结构图;图2为本发明中IP SAN的网络结构图;图3为本发明所述IP SAN隔离方法实施例一的流程图;图4为本发明所述IP SAN隔离方法实施例二中发起方、边缘节点与目标方之间的交互流程图;图5为本发明所述IP SAN隔离装置的结构示意图。
图6为本发明应用示例的网络结构图。
具体实施例方式
主机对存储系统基于iSCSI的访问沿用了SCSI的客户端/服务器模式,客户端通常是主机,向服务器发起读写操作请求;服务器通常是存储系统,响应客户端的请求。在存储领域,客户端作为发起方(Initiator)主动发出存储操作指令,服务器作为目标方(Target)被动响应和执行客户端的存储操作指令。
为了满足SCSI块数据(block data)输入输出对传输可靠性的要求,在iSCSI标准中采用基于连接的TCP协议来承载iSCSI协议。因此,在网络上定位一个目标方需要其所在网络节点的IP地址和TCP端口号,称为目标方的入口(Portal)。发起方按照目标方的入口与目标方建立连接,通过连接承载的iSCSI载荷完成iSCSI存储访问过程。
IP SAN通常通过一个或一个以上的边缘节点与外部网络连接,其结构如图2所示,目标方连接到至少一个边缘节点,以实现与外部网络发起方的连通。为避免对IP SAN中目标方的开放式访问,本发明中可以通过边缘节点将IP SAN与外部网络隔离开来,外部网络对IP SAN的iSCSI访问均截至于边缘节点,由边缘节点进行到具体目标方的iSCSI访问。这样,对外部网络中的发起方,边缘节点作为IP SAN中各个目标方的代理与其进行iSCSI通信;对IPSAN中的目标方,边缘节点作为外部网络中发起方的代理与其进行iSCSI通信。当边缘节点超过1个时,每个边缘节点所代理的目标方与其他边缘节点不同。
本发明所述IP SAN隔离方法实施例一的流程如图3所示,在步骤S310,边缘节点通过iSCSI Discovery Session(发现会话)收集并保存IP SAN中的目标方及其内部入口信息。内部入口即为目标方的入口。
在iSCSI标准中,发起方通过Discovery Session来获取目标方的当前配置信息,包括目标方的入口参数。在IP SAN内部,边缘节点与各个目标方进行Discovery Session后,在边缘节点上将保存有IP SAN中所有目标方的内部入口信息。
在一些应用中,目标方及其内部入口信息可能因iSCSI存储操作而发生变化。为了保证边缘节点中目标方及其内部入口信息的准确性,可以令边缘节点定期发起Discovery Session来获得当前的目标方信息。
在步骤S320,在边缘节点上设置目标方的外部入口信息。外部入口是为IP SAN中每个目标方在边缘节点上设置的虚拟入口,供外部网络中的发起方对目标方进行访问,从而向外部网络屏蔽IP SAN内部的信息。
外部入口信息包括目标方的IP地址和/或TCP端口号。在设置目标方的外部入口信息后,可以在边缘节点上通过对应关系表来保存目标方的内部入口和外部入口信息。以下为该对应关系表的一种可能形式
在步骤S330,外部网络的发起方向IP SAN发起Discovery Session。IP SAN中由边缘节点进行与外部网络的iSCSI通信,供外部网络发起方进行iSCSIDiscovery Session的入口配置在边缘节点上,该入口具有外部网络的有效地址,用来对IP SAN中各个目标方进行访问,可以看作是整个IP SAN的入口。在外部网络发起方发起Discovery Session时,采用IP SAN的入口与边缘节点建立连接。
在步骤S340,边缘节点将外部网络的发起方重定向至该发起方所访问目标方的外部入口。
在Discovery Session中,发起方通过Discovery Message(发现消息)告知边缘节点其欲访问的目标方;边缘节点查找到本地保存的目标方的外部入口,在Redirection Message(重定向消息)中告知发起方将真正的数据请求重定向到另一个入口,即发起方所访问目标方的外部入口。
在步骤S350,外部网络的发起方对重定向的入口发起iSCSI NormalSession(标准会话),边缘节点以重定向的入口与发起方建立iSCSI连接。此时,边缘节点作为IP SAN中真正被访问的目标方的代理,响应外部网络发起方的Normal Session。
在步骤S360,边缘节点查找本地保存的与该外部入口对应的内部入口,代理外部网络发起方在IP SAN中与目标方建立iSCSI连接,用来进行NormalSession。
在步骤S370,Normal Session中,边缘节点将从与外部网络发起方的连接上接收的iSCSI载荷通过与IP SAN中目标方的连接发送至目标方,并将从与IP SAN中目标方的连接上接收的iSCSI载荷通过与外部网络发起方的连接发送至发起方。换言之,边缘节点在与外部网络的连接和与目标方的连接之间转发所承载的iSCSI载荷。
iSCSI Normal Session中,发起方将存储操作指令和/或数据封装在iSCSI载荷中发送至目标方,目标方将指令执行结果和/或数据封装在iSCSI载荷中返回给发起方。边缘节点将其作为代理目标方接收的iSCSI载荷发送给IP SAN中真正的目标方,将其作为代理发起方接收的包括IP SAN中真正目标方的执行结果的iSCSI载荷发送给外部网络的发起方,从而完成外部网络发起方对IP SAN中目标方的存储操作。
在实际应用中,根据具体组网结构和应用的需求,上述流程中的一些步骤可以省略。例如,考虑一种最为简单的情况,当IP SAN中只有一个目标方,并且外部网络中的发起方已知该目标方的配置信息时,边缘节点可以将IPSAN的入口作为该目标方的外部入口而省略外部入口的设置和与外部网络发起方的Discovery Session,执行步骤S350至S370即可实现发起方对目标方的访问。
本发明所述IP SAN隔离方法实施例二与实施例一的不同之处在于采用iSNS协议来进行IP SAN中目标方及其内部入口信息的收集过程,以替代实施例一的步骤S310中由边缘节点与目标方之间的Discovery Session。其他步骤与实施例一中相同。同样,根据实际应用情况也可以省略其中一些步骤。
iSNS协议通常用于较大规模的SAN,运行iSNS协议的存储系统在启动后主动向其iSNS服务器注册其上的目标方及其入口等配置信息,并在上述信息发生变动时通知iSNS服务器。发起方可以向iSNS服务器查询目标方的配置信息,根据查询得到的信息发起对目标方的存储操作。
需要说明的是,实施例二中iSNS服务器可以是边缘节点,也可以是外部网络中通信节点。当iSNS服务器是外部网络中的节点时,边缘节点在IP SAN内部节点与iSNS服务器之间同样进行TCP代理,解析来自IP SAN的报文得到IP SAN内部目标方及其配置信息,将其中的内部入口信息修改为该目标方的外部入口信息后,发送给iSNS服务器。此时,外部网络发起方不再与边缘节点进行Discovery Session,而直接以从外部网络的iSNS服务器上得到的目标方外部入口信息向边缘节点发起Normal Session。
当边缘节点作为iSNS服务器时,实施例二中发起方、边缘节点与目标方之间的信息交互流程如图4所示。边缘节点通过与目标方之间的iSNSDiscovery Process(发现过程)收集并保存IP SAN中的目标方及其配置信息;在发起方与边缘节点之间的Discovery Session中,对发起方的DiscoveryMessage所请求的目标方信息,边缘节点在Redirection Message中将目标方的外部入口信息回复给发起方。发起方根据目标方的外部入口信息发起NormalSession,与作为目标方代理的边缘节点建立TCP连接,边缘节点作为发起方代理向IP SAN中被访问的目标方发起Normal Session并建立TCP连接;在Normal Session进行过程中,边缘节点将外部发起方对其进行的NormalSession复制为对目标方所进行的Normal Session,即在与外部网络发起方的连接和与目标方的连接之间转发iSCSI载荷,将外部网络发起方对其进行存储操作在与目标方的连接上同样进行;Normal Session结束,边缘节点与发起方和目标方分别断开其TCP连接。
可见,外部网络对IP SAN的访问分为两段进行,外部网络发起方与边缘节点之间建立连接进行外部网络与IP SAN的iSCSI通信,边缘节点通过与IPSAN中目标方的连接得到与外部网络的iSCSI通信中所需的信息。例如,边缘节点与外部网络的Discovery Session中iSCSI载荷包括的目标方及其配置信息来自于边缘节点与IP SAN内部基于连接的iSNS Discovery Process或者实施例一中与目标方之间的Discovery Session;边缘节点与外部网络发起方的Normal Session中的iSCSI载荷来自于边缘节点与IP SAN中目标方在NormalSession中的连接所承载的iSCSI载荷。
图5为本发明中IP SAN隔离装置的结构示意图,入口信息单元530分别与外网访问单元510、存储访问单元520、外网请求单元540和信息维护单元550相连接,外网访问单元510与存储访问单元520相连接。隔离装置连接外部网络与IP SAN。
入口信息单元530中保存着IP SAN中的目标方及其内部入口信息和对应的外部入口信息。信息维护单元550收集当前IP SAN中目标方以及目标方的内部入口信息,在目标方或者其内部入口信息发生变化时更新入口信息单元530中保存的内容。
外网请求单元540响应外部网络发起方的Discovery Session。对外部网络发起方的Discovery请求,外网请求单元540查询入口信息单元530得到其请求的目标方的外部入口信息,在Redirection消息中将目标方的外部入口信息通知发起方,供其通过Normal Session进行具体的存储访问操作。
外网访问单元510响应外部网络发起方的Normal Session。外部网络发起方对目标方外部入口的Normal Session,外网访问单元510以目标方外部入口建立隔离装置与外部网络发起方的连接,并将目标方外部入口通知存储访问单元520。存储访问单元520从入口信息单元530中查找到具有该外部入口的目标方的内部入口,向该内部入口发起Normal Session并与目标方建立连接。
外网访问单元510将从与外部网络发起方的连接上接收的iSCSI载荷输出至存储访问单元520,存储访问单元520将从外网访问单元510输入的iSCSI载荷承载在与目标方的连接上发送至目标方。待与目标方的连接上返回目标方应答的iSCSI载荷,存储访问单元520将该iSCSI载荷输出至外网访问单元510。外网访问单元510将从存储访问单元输入的iSCSI载荷承载在与外部网络发起方的连接上发送,作为对外部网络发起方的应答。
这样,隔离装置在隔离IP SAN与外部网络的同时提供外部网络对目标方的正常访问。不难理解,隔离装置可以应用在图2中的边缘节点上。
在图6中的IP SAN网络结构中,隔离节点通过接入节点或隔离控制节点连通外部IP网络。本发明可以应用于图6中的隔离节点上,即以隔离节点为边缘节点应用本发明所述IP SAN的隔离方法或者令本发明所述的隔离装置工作在隔离节点上。
接入节点不对iSCSI协议进行处理,而只进行IP报文转发,可能是现有技术中三层网络设备或防火墙等设备。隔离节点可以单独代理与其他隔离节点不同的目标方,也可以由多个隔离节点作为一个隔离节点集群来代理与其他隔离节点及其他隔离节点集群不同的目标方。
由多个隔离节点作为一个隔离节点集群可以为其所代理的目标方提供更大的带宽和更好的可用性。隔离节点集群可以有多种实现方式,例如既可以包括两个及两个以上隔离节点,由其中之一作为主节点;也可以包括两个及两个以上隔离节点以及隔离控制节点。通常集群由主节点或隔离控制节点负责同步或备份集群信息、接收访问请求以及确定由那个隔离节点响应所接收的访问请求。
本发明中隔离节点集群需要同步或备份的信息包括该集群代理的所有目标方及其内部入口和对应的外部入口信息。例如,当集群中的每个隔离节点负责代理的目标方与集群中的其他隔离节点不同时,可以在每个隔离节点备份其他隔离节点所代理目标方及其内部和外部入口信息,以便在某个隔离节点发生故障时其他隔离节点可以接替其工作。关于同步或备份上述信息的具体方式,以及集群中的主节点或隔离控制节点接收请求和分配负荷的具体方式,在现有的集群技术中已经有多种实现,此处不再赘述。
隔离节点集群可以通过接入节点连通外部网络,也可以直接连接外部网络。尤其是在具有隔离控制节点的集群中,隔离控制节点可以集成集群控制和接入节点的功能,此时隔离节点集群直接连接外部网络。
应用本发明后,外部网络无法知道IP SAN中的内部结构、路由等情况,不能直接访问存储系统,提高了存储数据的安全性;由于SAN和外部网络相隔离,SAN内部可以任意单独规划IP地址,增加了SAN的独立性。
本发明可以作为软件功能模块应用在防火墙中,部署在SAN与外部网络的连接处,结合防火墙提供的防护措施为SAN提供更好的安全性能。也可以在NAT(Network Address Translation,网络地址转换)设备中,以ALG(Application Layer Gateway,应用层网关)的方式应用本发明,实现对iSCSI穿透的支持。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
权利要求
1.一种网际协议存储区域网络IP SAN的隔离方法,所述IP SAN通过边缘节点与外部网络连通,其特征在于,所述方法包括以下步骤在边缘节点上建立与外部网络中发起方的连接;在边缘节点上建立与发起方所访问的IP SAN中目标方的连接;在与发起方的连接和与目标方的连接之间转发所承载的网际小型机系统接口iSCSI载荷。
2.如权利要求1所述IP SAN的隔离方法,其特征在于,所述方法还包括在边缘节点上保存IP SAN中的目标方及其内部入口信息,其中内部入口为目标方的入口;在边缘节点上设置目标方的外部入口信息,其中外部入口为边缘节点在与发起方的连接中具有的入口,该外部入口信息对应于该发起方所访问的目标方。
3.如权利要求2所述IP SAN的隔离方法,其特征在于,所述方法在设置目标方的外部入口信息之后还包括边缘节点将发起方的访问请求重定向至目标方的外部入口。
4.如权利要求2或3所述IP SAN的隔离方法,其特征在于所述保存IP SAN中目标方及其内部入口信息通过边缘节点在IP SAN中定期向目标方发起发现会话Discovery Session进行。
5.如权利要求2或3所述IP SAN的隔离方法,其特征在于所述保存IP SAN中目标方及其内部入口信息通过在IP SAN中运行互联网存储名称服务iSNS协议进行。
6.如权利要求1至3任意一项所述IP SAN的隔离方法,其特征在于所述与发起方的连接和与目标方的连接包括承载iSCSI标准会话NormalSession的连接。
7.一种IP SAN与外部网络的隔离装置,其特征在于,包括外网访问单元和存储访问单元,其中外网访问单元用来通过与外部网络中发起方的连接进行iSCSI通信,将从该连接接收的iSCSI载荷输出至存储访问单元,以及将从存储访问单元输入的iSCSI载荷通过该连接发送;存储访问单元用来通过与发起方所访问的IP SAN中目标方的连接发送从外网访问单元接收的iSCSI载荷,以及将从目标方接收的iSCSI载荷输出至外网访问单元。
8.如权利要求7所述IP SAN与外部网络的隔离装置,其特征在于所述装置还包括入口信息单元,用来保存IP SAN中目标方的内部入口和外部入口信息;所述外网访问单元与外部网络中发起方的连接通过该发起方所访问目标方的外部入口进行;所述存储访问单元与目标方的连接通过该目标方的内部入口进行。
9.如权利要求8所述IP SAN与外部网络的隔离装置,其特征在于所述装置还包括外网请求单元,用来将外部网络中发起方所访问的目标方的外部入口信息通知发起方。
10.如权利要求8或9所述IP SAN与外部网络的隔离装置,其特征在于所述装置还包括信息维护单元,用来根据当前IP SAN中的目标方及其内部入口信息更新入口信息单元。
11.一种IP SAN的隔离方法,所述IP SAN通过隔离节点与外部网络连通,其特征在于,所述方法包括以下步骤通过隔离节点与外部网络的连接进行IP SAN与外部网络的iSCSI通信;通过隔离节点与IP SAN中目标方的连接获得与外部网络的iSCSI通信中所需的iSCSI载荷。
12.如权利要求11所述IP SAN的隔离方法,其特征在于,所述方法还包括在隔离节点上维护当前IP SAN中的目标方及其入口信息;所述入口信息包括内部入口和对应的外部入口信息,内部入口为目标方的入口;所述与外部网络的iSCSI通信包括iSCSI发现Discovery过程,其中在iSCSI重定向Redirection消息中返回外部网络发起方在Discovery消息中所请求目标方的当前外部入口信息。
13.如权利要求12所述IP SAN的隔离方法,其特征在于所述与外部网络的iSCSI通信包括iSCSI Normal Session,通过隔离节点以被访问目标方的外部入口与外部网络发起方的连接进行;所述获得与外部网络通信所需的iSCSI载荷在iSCSI Normal Session中具体为以隔离节点为发起方与被访问目标方的进行相同的iSCSI NormalSession,得到目标方在与隔离节点的连接上发送的iSCSI载荷。
14.如权利要求12或13所述IP SAN的隔离方法,其特征在于所述在隔离节点上维护当前IP SAN中的目标方及其入口信息通过定期发送Discovery消息或应用iSNS协议进行。
15.如权利要求12或13任意一项所述IP SAN的隔离方法,其特征在于所述隔离节点超过1个,形成隔离节点集群;所述方法还包括隔离节点备份集群内其他隔离节点上的目标方及其内部入口和外部入口信息。
全文摘要
本发明公开了一种通过边缘节点与外部网络连通的IP SAN的隔离方法,包括在边缘节点上建立与外部网络中发起方的连接;在边缘节点上建立与发起方所访问的IP SAN中目标方的连接;在与发起方的连接和与目标方的连接之间转发所承载的iSCSI载荷。应用本发明后,外部网络无法知道IP SAN中的内部结构、路由等情况,不能直接访问存储系统,提高了存储数据的安全性;由于SAN和外部网络相隔离,SAN内部可以任意单独规划IP地址,增加了SAN的独立性。
文档编号H04L29/06GK1866966SQ20061008690
公开日2006年11月22日 申请日期2006年6月14日 优先权日2006年6月14日
发明者李晓 申请人:杭州华为三康技术有限公司