SAN当道NAS管理莫忘（图）

【IT168 专稿】存储技术在这两年得到了飞速发展，从NAS到SAN，从普通存储网络到ISCSI光存储网络。越来越多的企业重视存储速度与存储性能。大中型企业也建立了自己的SAN存储网络来提高数据的读取效率。但是在实际使用过程中大部分企业的网络都是NAS和SAN两种形式并存的，在我们重视管理SAN网络的同时，是否忽略了NAS设备的管理和安全呢？在本文中我们将分析下在SAN当道的今天，NAS的管理是否不再重要。
一、基础知识：
NAS是英文“Network Attached Storage”的缩写，中文意思是“网络附加存储”。按字面的意思简单说就是连接在网络上，具备资料存储功能的装置，因此也称为“网络存储器”或者“网络磁盘阵列”。在实际使用中我们可以把NAS当成一台大容量硬盘的计算机，虽然他没有鼠标键盘，没有显示器，但是我们可以使用他上面的存储容量，一般NAS设备都是直接连接到公司的网络中，任何一台计算机只要有权限都可以访问他。（如图1）

SAN的英文全称是Storage Area Network，即存储区域网络。它是一种通过光纤集线器、光纤路由器、光纤交换机等连接设备将磁盘阵列、磁带等存储设备与相关服务器连接起来的高速专用子网。在实际使用中SAN是一个存储网络，他是由多个存储设备组成的，一般SAN网络是连接到公司的服务器上的，只有服务器才可以访问SAN中的资源，其他计算机即使有权限也无法跨越服务器使用SAN中的资源。当然SAN存储网络比NAS在很多地方有优势，这也是为什么现在越来越多的人选择SAN的原因。介绍SAN具有优势的相关文章比较多这里就不详细说明了。（如图2）

二、SAN当道NAS管理莫忘：
当然一般企业都不会一上来就建立SAN存储网络的，都会经历从NAS到SAN的过度。当我们的企业组建了自己的SAN网络后，就会把所有精力都放到SAN的管理与维护上，然而在实际中却忽视了对原有NAS设备的管理及安全防范。这在一定程度上给公司带来了麻烦。下面就简单分析下SAN当道NAS管理莫忘的重要性。
（1）访问NAS人员复杂，需要有效管理帐户：
SAN网络是连接到服务器上的，他是独立于企业内部网络的存储网络，所以说一般员工计算机或者连接到公司网络中的客户机都是不能直接访问SAN网络中的资源的，必须经过服务器的授权才可以。所以只需要在服务器上做好安全策略和帐户授权工作，再结合一些认证软件就可以保证SAN网络的帐户安全。然而NAS设备则大大不同，NAS产品是直接连接到公司网络中的，这样使得任何一台连接到公司网络中的员工机，客户机都可以实现访问NAS的目的，只要有NAS访问权限就可以实现访问。
客户端访问难度降低了，必然使安全性也降低了。试想任何一个员工都可以在自己的计算机上通过自己的帐户来访问NAS，这样NAS上的帐户信息就会非常巨大，毕竟我们不可能让所有员工都使用同一个帐户。所以说因为访问NAS设备的人员众多，需要管理员在NAS上设置一套帐户体系，从而进一步实现有效管理帐户的目的。
小结——SAN网络只需要做好服务器安全即可，而NAS设备需要一套高安全性高可靠性的帐户管理体系，网络管理员要根据公司各个员工的权限来设置不同级别的帐户，管理任务很艰巨。
（2）访问NAS客户机存在安全隐患，NAS安全有风险：（如图3）

正如前面所说SAN网络连直接连接到服务器上与员工普通计算机是隔离的，这样即使员工计算机存在安全隐患，例如感染病毒和木马，在访问存储资源时依然是通过服务器来读取存储数据的，只要服务器防范的好就不会将自己的病毒和木马传播到SAN网络中。而现实中经常出问题的也是那些普通员工计算机，服务器都有专门人员看管，专门的软件硬件来防护。所以安全级别大大提高。
而NAS的安全则没有那么有保障，毕竟NAS产品是直接连接到企业内部网络的，任何一台员工计算机都可以对其进行访问。如果员工计算机上感染了病毒和木马，那么也会给NAS带来同样的危害。病毒，木马程序会随着员工计算机对NAS可写权限的访问而进入NAS存储设备中，当其他人再对NAS访问时很有可能造成被感染问题的发生。所以说NAS的安全管理是非常重要的，如果不能直接在NAS上进行防护的话，也应该找一台专门的NAS管理机定期维护上面的资源，查杀文件是否感染病毒。
小结——SAN网络由于有服务器群对普通客户机的隔离，所以先天情况下对病毒的免疫性比较高，而NAS产品则大大不同，一方面企业可以只为员工设置只读权限，而没有上传及更改数据的权限，所有上传工作交给专人负责，经过查杀病毒操作后再进行；如果非要员工具备上传权限的话，就需要拿出专门的管理机定期对NAS上的资源进行维护了。
（3）访问NAS人员决定NAS需要简单性操作：
 
服务器连接SAN网络，可以通过一些管理软件管理工具轻松读取其上的数据。当员工对数据读取时，服务器将自动完成数据读取的工作，普通员工的操作并不复杂。然而访问NAS时则不同，大部分NAS没有具备图形化访问界面，当普通员工要访问NAS设备时，首先需要建立相应的磁盘映射，然后才是根据自己的帐户权限去访问。这种访问NAS的复杂性也让很多企业的员工头疼，经常出现NAS设备磁盘映射失败的情况，或者因为系统的IPC连接过多等原因造成无法使用对应帐户访问的问题。
所以说当企业中有NAS设备时，网络管理员要尽量保证NAS设备访问的简单化，一般可以提前为各个员工设置好磁盘映射，并放到启动项中，让这些操作自动完成，给各个员工设置NAS访问密码和帐户时也应该尽量保证信息和员工自己计算机上的系统帐户和密码相对应。一方面可以减少员工忘记NAS帐户信息问题的发生，另一方面也方便系统对NAS的访问，毕竟windows共享访问在被访问设备和当前系统帐户，密码信息相一致的情况下出现问题机率更低，访问成功率也更高。
小结——SAN网络中资源的访问都在后台完成，普通员工的操作很简单。而NAS设备则不同，需要网络管理员为员工建立好磁盘映射和访问帐户的设置工作，尽量做到让普通员工简单化操作的目的。
（4）NAS负载要当心：
直接访问SAN网络的服务器仅仅是几台，最多不过十几台，再加上SAN网络都是基于光纤设备进行传输的，所以他的负载可以说比较低。而NAS设备则不同，一般情况下一个NAS设备在网络中经常需要向数百个客户端提供服务，员工同时访问NAS设备的现象也时有发生，所以网络管理员也要对NAS设备的负载做到心中有数，尽量把频繁读取数据的工作安排到SAN网络中进行。
小结——SAN网络中服务器承担了相当数量的客户端访问工作，所以SAN负载不会很高，并不需要我们特别关照。而NAS设备则不同企业有多少台员工计算机就存在多少个连接请求同时访问NAS的情况。因此网络管理员应该随时了解NAS的运转情况，当负载超过一定程度时选择备用NAS承担部分工作或者干脆限制连接数即可。
总结：
本文介绍的是一些管理NAS的经验，当然大家从文中可以看出SAN存储网络的优势还是非常明显的，减少了我们这些网络管理员的工作量。不过很多企业都是SAN和NAS并存的网络，所以在SAN当道的今天，我们也需要对网络中的NAS设备特别关照，好好的管理NAS设备，不要让NAS设备在关键时刻掉链子影响企业业务运营。也许NAS设备存在很多缺点，但是只要你的企业在使用他，就需要引起网络管理员对他的重视，防止企业网络的安全与稳定在NAS上出现问题。当然最有效的管理NAS和SAN混合网络的办法就是尽可能的将大部分业务移交到SAN中进行，另外还可以通过文件虚拟化实现员工对NAS资源的访问。（如图4）

1