灵活性和可扩展性

SAN-OS是可以扩展、高度灵活的企业SAN平台，因为它具有以下特性：

所有平台使用统一的软件

SAN-OS可以在从多层矩阵交换机到多层导向器的所有Cisco MDS 9000系列交换机上运行。由于思科系统®公司在整个产品系列中使用了统一的基础系统软件，因而能够在Cisco MDS 9000系列中提供一致、可以扩展且相互兼容的特性。

多协议支持

除支持光纤通道协议（FCP）外，SAN-OS还在同一个平台上支持IBM光纤连接（FICON）、IP小型计算机系统接口（iSCSI）和IP光纤通道（FCIP）。利用Cisco MDS 9000系列中的本地iSCSI支持，客户能够将各种服务器的存储聚合成SAN上的共享存储池。本地FCIP支持使客户能够充分利用IP网络中的原有投资，同时为光纤通道和FICON环境提供经济有效的业务连续性解决方案。利用SAN-OS多协议支持，客户可以更好地利用企业资源，从而降低了成本。

虚拟SAN

虚拟SAN（VSAN）技术可以将一个物理SAN分成多个VSAN。Cisco MDS 9000系列交换机是市场上通过交换机硬件支持VSAN的第一款SAN交换机。利用VSAN功能，可以将SAN-OS从逻辑上将一个大物理网络划分成多个独立环境，从而提高光纤通道SAN的可扩展性、可用性、可管理性和网络安全性。对于FICON，VSAN有助于真正从硬件上隔离FICON和开放系统。

每个VSAN都是逻辑上和功能上都独立的SAN，拥有自己的一套光纤通道网络服务。由于这种网络服务分区能够将网络的重新配置和错误局限在某个VSAN内，因而能够大大降低网络的不稳定性。利用VSAN提供的严格流量隔离功能，可以将某个VSAN的控制流量和数据流量控制在特定的区域内，从而提高了SAN的安全性。VSAN能够在不降低可用性的前提下将相互隔离的SAN岛聚合成共享基础设施，从而大大降低了成本。

用户可以建立只负责管理某几个VSAN的管理员角色。例如，可以建立一个负责配置所有平台功能的网络管理员角色，其它角色则只能配置和管理某几个VSAN。利用这种方式，可以按照交换机端口或相连设备的全局名称（WWN）建立VSAN的成员关系，将用户的操作后果局限在某个VSAN内，因而减小了人工错误带来的影响，改善了大型SAN的可管理性。

VSAN通过SAN之间的FCIP链路建立，因而可以包含远程设备。另外，Cisco MDS 9000系列还提供了VSAN中继，因而使交换机间链路（ISL）能够在同一条物理链路上传输多个VSAN的流量。

VSAN间路由

利用VSAN间路由，可以在不同VSAN上的源节点和目标节点之间传输数据流量，而不需要将VSAN合并成一个逻辑网络。光纤通道控制流量不会在VSAN之间流动，源节点也不会访问VSAN间路由指定资源以外的任何其它资源。这种方式允许方便地共享磁带库等宝贵资源。另外，还可以将VSAN间路由与FCIP配合使用，建立更加有效的业务连续性和故障恢复解决方案。

智能网络服务

SAN-OS支持智能存储服务，从而为在网络中的Cisco MDS 9000系列交换机上提供虚拟化、快照和复制等存储应用建立了坚实的基础。因此，SAN-OS的灵活性能够提供未来投资保护。

网络安全性

为提高SAS-OS的网络安全性，思科采用了很多办法。除能够真正隔离与SAN相连的设备的VSAN外，SAN-OS还提供了多种其它的安全特性。

交换机和主机认证

SAN-OS的光纤通道安全协议（FC-SP）功能为企业级网络提供了交换机?交换机认证和主机?交换机认证。带挑战握手认证协议（DH-CHAP）的Diffie-Hellman扩展可在Cisco MDS 9000系列本地或通过RADIUS或TACACS+远程执行认证。如果认证失败，交换机或主机不能加入网络。

FCIP和iSCSI的IP Security

流出数据中心的流量必须得到保护。SAN-OS中切实可行的IETF标准IP Security（IPsec）不但能通过安全认证和数据加密保护私密性，还能为Cisco MDS 9000系列多协议服务模块和Cisco MDS 9216i多层矩阵交换机上的FCIP和iSCSI连接保证数据完整性。SAN-OS使用互联网密钥交换版本1（IKEv1）和IKEv2协议为IPsec动态建立安全关联，并针对远程认证使用预共享密钥。

基于角色的访问控制

SAN-OS为Cisco MDS 9000系列命令行界面（CLI）和简单网络管理协议（SNMP）的管理访问提供了基于角色的访问控制（RBAC）。除交换机中的两个默认角色外，还可以配置64个用户定义角色。对于用这种协议管理的交换机特性，使用SNMP版本3（SNMPv3）的应用，例如Cisco Fabric Manager，将拥有最高的RBAC。角色规定了对一个或多个VSAN上的各种特性命令的访问控制策略。CLI和SNMP用户和密钥也是共享的，每个用户只需要一个管理账户。

端口安全性和矩阵捆绑

端口安全性用于锁定实体与交换机端口之间的映射。实体可以是通过全局名称标识的主机、目标节点或交换机。利用这种方式，即使非法设备与交换机端口连接，也不会对SAN网络构成影响。矩阵捆绑是端口安全性的扩展，它只支持某些交换机之间的ISL。

分区

分区为SAN内的各种设备提供了访问控制。SAN-OS支持以下种类的分区：

• N端口分区??按照终端设备（主机和存储）端口定义分区成员
• 全局名称
• 光纤通道标识符（FC-ID）
• Fx端口分区??按照交换机端口定义分区成员
• 全局名称
• 全局名称＋接口索引，或者域ID＋接口索引
• 域ID＋端口号（为实现Brocade互操作性）
• iSCSI分区??根据主机分区定义分区成员
• iSCSI名称
• IP地址
• 逻辑单元号（LUN）分区??如果与N端口分区结合使用，LUN分区能够保证只让某些主机访问LUN，从而为管理混合存储子系统访问提供了单控制点。
• 只读分区??利用这种属性，可以将所有分区类型中的I/O操作限制为SCSI只读命令。如果想在服务器之间共享卷，以便备份或者建立数据仓库，这个特性将非常有用。
• 广播分区??利用这种属性，可以将所有分区类型的广播帧限制为具体分区的成员。

为实现严格的安全性，一般使用入口交换机处的访问控制表（ACL）对每一帧实施分区。所有分区策略都通过硬件执行，因而不会降低性能。如果一次只允许一个用户修改分区，增强型分区操作管理功能还可以进一步增强安全性。

其他网络安全特性

其它网络安全特性包括：

• 通过RADIUS和TACACS+实现的基于角色的网络级认证、授权和计录（AAA）
• 用于执行认证、保证数据完整性和管理流量保密性的安全壳（SSH）协议版本2和SNMPv3
• 用于保护文件传输的安全FTP（SFTP）
• 用于实现安全认证和管理的高级加密标准（AES）、消息摘要5（MD5）和安全散列算法（SHA 1）
• 用于管理访问的IP ACL

可用性

SAN-OS为关键业务硬件部署提供了永续性软件体系结构。

不间断软件升级

SAN-OS利用冗余硬件为导向器级产品提供了不间断软件升级，为没有配备冗余交换管理引擎硬件的矩阵交换机提供了微间断升级。

状态化过程恢复

SAN-OS能自动重新启动失败的软件流程，并提供状态化交换管理引擎故障恢复，以保证控制板上的任何硬件或软件故障都不会影响网络中流量的正常流动。

利用PortChannel提高交换机间链路永续性

无论是光纤通道流量还是FICON流量，PortChannel都能将多条物理交换机间链路（ISL）聚合成一条带宽和端口永续性更高的逻辑链路。利用这个特性，可以将16个扩展端口（E端口）捆绑成一个PortChannel，实现最高32Gbps的总带宽。ISL端口可以驻留在任何交换模块上，不需要指定主端口。因此，当某端口或交换模块发生故障时，PortChannel仍然能够正常操作，而不需要对网络进行重新配置。

SAN-OS使用协议交换相邻交换机之间的PortChannel配置信息，以简化PortChannel管理，包括兼容ISL之间的误配置检测和PortChannel自动生成。在自动配置模式下，带兼容参数的ISL可以自动形成通道组，不需要人工干预。

iSCSI、FCIP和管理界面的高可用性

虚拟路由冗余协议（VRRP）能够提高同时通过以太网和光纤通道网路由的Cisco MDS 9000系列管理流量的可用性。VRRP能够动态管理外部Cisco MDS 9000系列管理应用的冗余路径，从而提高了控制流量路径故障对应用的透明度。

同样，VRRP还能在发生故障时从一个端口切换到另一个端口，实现连接的故障恢复，因而提高了iSCSI和FCIP连接的IP网络可用性。发生故障时，iSCSI卷可以从一个IP服务端口切换到同一台或另一台Cisco MDS 9000系列交换机上的另一个IP服务端口。

无论采用哪种主机软件，自动执行特性都能提供与RAID子系统的高可用性iSCSI连接。当SAN-OS检测到主路径上有故障时，将自动发出执行命令。

通过端口跟踪实现永续性SAN扩展

SAN扩展永续性通过SAN-OS端口跟踪特性得到了增强。当Cisco MDS 9000系列交换机检测到WAN或城域网（MAN）链路上有故障时，它将在配置端口跟踪特性时切断相关的磁盘阵列链路，这样，阵列不需要等待I/O超时信息就可以将失败的I/O切换到另一条链路。否则，磁盘阵列必须在几秒钟，即等到I/O超时信息之后才能从网络链路故障中恢复。

可管理性

SAN-OS包含许多管理特性，因而能够利用现有资源有效管理越来越复杂的存储环境。思科网络服务（CFS）能够将配置信息自动分布到网络中的所有交换机，因而能够简化SAN供应。分布式设备别名服务则能够为主机总线适配器（HBA）、存储设备和交换机端口提供网络级别名，从而在移动设备时免去了重新输入名称的麻烦。

SAN-OS支持的管理界面包括：

• 通过串行端口、带外（OOB）以太网管理端口和光纤通道带内IP端口实现的CLI
• 通过OOB管理端口和光纤通道带内IP端口实现的SNMPv1、v2和v3
• FICON控制单元端口（CUP），用于从IBM S/390或z/900处理器实现带内管理

Fabric Manager和Device Manager

Fabric Manager和Device Manager都是易于使用的反应性Java应用，其GUI能够提供集成式交换机和矩阵管理方法。Cisco Fabric Manager能够为存储管理员提供矩阵级管理功能，包括识别、多交换机配置、实时网络监控、历史性能监控以及网络流量热点分析和故障排除等。这种强有力的方法不但能大大缩短交换机设置时间，提高整个矩阵的可靠性，还能运用多种诊断方法，发现和解决配置不一致性。

与Cisco IOS Software相似的SAN-OS

SAN-OS为用户提供了一致的逻辑CLI。它采用了用户熟知的Cisco IOS Software CLI语句，不但易于学习，还提供了许多管理功能。Cisco MDS 9000系列CLI是一种非常有效、直接的界面，能够为管理员管理企业环境提供最佳功能。管理员可以编写CLI程序，利用标准编程语言管理Cisco MDS 9000系列。

开放式API

SAN-OS按照业界标准SNMP为Cisco MDS 9000提供了真正开放的API。Cisco Fabric Manager广泛使用这种开放式API在交换机上执行各种命令。另外，几乎所有主要的存储和网络管理软件厂商都使用SAN-OS管理API。

SAN-OS提供的矩阵-设备管理界面（FDMI）功能能够通过带内通信简化设备管理，例如光纤通道HBA。利用FDMI，管理应用不需要安装专用主机代理就能收集HBA和主机操作系统信息。

SAN-OS提供了可扩展标记语言（XML）界面，其嵌入式代理符合基于Web的企业管理（WBEM）、通用信息模型（CIM）和存储管理计划规范（SMI-S）标准，包括交换机、矩阵、服务器和分区概要。

自动学习网络安全配置

自动学习特性使Cisco MDS 9000系列能够自动了解与之相连的设备和交换机。管理员可以利用这个特性配置和激活网络安全特性，例如端口安全性，从而免去了人工配置每个端口的安全性的麻烦。

为iSCSI主机提供网络启动功能

为简化与iSCSI相连的主机的管理，SAN-OS还提供了网络启动功能。

配置和软件图像管理

CiscoWorks是一套通用工具，适用于IP交换机、路由器和无线设备等思科设备。利用SAN-OS开放式API，CiscoWorks Resource Manager Essentials（RME）应用能够提供集中式Cisco MDS 9000系列配置管理、软件图像管理、智能系统消息登录（syslog）管理和资产管理等。另外，开放式API还能帮助CiscoWorks Device Fault Manager（DFM）监控Cisco MDS设备状态，例如交换管理引擎内存和处理器使用率。风扇、电源和温度等重要组件的状态还可以由CiscoWorks DFM监控。

互联网存储名称服务

互联网存储名称服务（iSNS）能够自动识别、管理和配置iSCSI设备，借助它，现有TCP/IP网络的运作比SAN更有效。IP存储服务提出的iSCSI目标节点和光纤通道设备状态变更通知由SAN-OS注册，注册时使用已内置到SAN-OS中的高度可用的分布式iSNS服务，或者使用外部iSNS服务器。

代理iSCSI源节点

如果将多个iSCSI源节点（主机）指定到相同的iSCSI目标端口，代理iSCSI源节点能够简化配置步骤。代理模式不但能缩短光纤通道分区等“后端”任务的执行时间，还能缩短存储设备的配置时间。

流量管理

除实施首先打开最短光纤通道路径（FSPF）协议，以便计算出两台交换机之间的最佳路径，然后提供顺序供应特性外，SAN-OS还能通过若干高级流量管理特性在负载不断变化的情况下提供一致的SAN性能，从而增强Cisco MDS 9000系列的体系结构。

服务质量

服务质量（QoS）共分四级：三级针对光纤通道数据流量，一级针对光纤通道控制流量。利用数据QoS优先级，可以让延迟敏感应用的光纤通道数据流量的优先级高于对吞吐量不太敏感的应用。为快速聚合FSPF等网络级协议，实施分区合并和完成主交换机选择，控制流量将自动获得最高的QoS优先级。

数据流量可以按照VSAN标识符、分区、N端口全局名称或FC-ID分配QoS。基于分区的QoS能够利用类似的分区概念简化配置和管理。

光纤通道拥塞控制

光纤通道拥塞控制提供了全新的端到端拥塞控制机制，能够增强标准光纤通道缓冲器到缓冲器信用机制。遭遇拥塞的交换机可以明确地将拥塞情况报告给入口交换机（正遭遇拥塞的网络的流量入口）。接收到拥塞通知后，入口交换机将通过减少缓冲器到缓冲器信用点抑制N端口/NL端口流量。

扩展信用

Cisco MDS 9000系列全线速端口提供了256点缓冲器信用标准。利用扩展信用，可以为多协议服务模块和Cisco MDS 9216i上的一组四个光纤通道端口中的一个光纤通道端口分配3500点信用。增加信用点能够延长光纤通道SAN扩展的距离。

虚拟输出排序

虚拟输出排序（VOQ）能够在进入端口为光纤通道流量设置缓冲，以消除线端拥堵。在这种交换机上，SAN上的某个慢N端口不会影响SAN中其它端口的性能。

光纤通道端口速率限制

为Cisco MDS 9100系列多层矩阵交换机设计的光纤通道端口速率限制特性能够控制为每组四个主机优化端口中的一个光纤通道端口分配的带宽量。在高峰期，通过限制一个或多个光纤通道端口的带宽，组合中的其它端口将能够获得较大的可用带宽份额。另外，端口速率限制还有助于在源节点处堵住WAN流量，减轻光纤通道或IP数据网络设备的缓冲压力。

PortChannel流量的负载平衡

PortChannel利用一组源FC-ID和目标FC-ID（交换ID任选）实现了光纤通道流量的负载平衡。使用PortChannel的负载平衡通过光纤通道和FCIP链路执行。另外，SAN-OS还可以配置成在多条等成本FSPF路径间实现负载平衡。

光纤通道写加速

光纤通道写加速能够缩短I/O延迟，并延长故障恢复和业务连续性应用在MAN上的距离。这个特性只在Cisco MDS 9000系列存储服务模块（SSM）和Cisco MDS 9000系列高级服务模块（ASM）上提供。

iSCSI和SAN扩展性能增强

iSCSI和FCIP增强能够解决无序供应问题，优化IP网络拓扑的传输尺寸，并通过取消多数数据传输的TCP链接设置而缩短延迟。通过压缩和写加速，FCIP性能将进一步得到增强，从而更有利于SAN扩展。

为优化WAN性能，SAN-OS增加了SAN Extension Tuner。它不但能将SCSI I/O命令发布到某个虚拟目标节点，还能每秒报告一次I/O和I/O延迟结果，帮助系统确定提高FCIP吞吐量所需要的并发I/O的数量。

FCIP压缩

SAN-OS中的FCIP压缩不需要对基础设施进行昂贵的升级就能增加有效WAN带宽。在Cisco MDS 9000系列中融入数据压缩之后，将能够实施更加有效的FCIP业务连续性和故障恢复解决方案，而不需要再添加和管理其它独立设备。IP存储服务的千兆位以太网端口能够实现30: 1的压缩率，而多数数据源的典型压缩率只有2: 1。

FCIP磁带加速

集中式磁带备份和档案操作允许共享昂贵的自动磁带库和高速驱动器，因而能大幅节省成本。但它同时对需要通过WAN传输数据的远程备份媒体服务器提出了挑战。为避免写数据操作显著降低写吞吐量，高性能的流磁带驱动器要求数据连续流动。

如果没有FCIP磁带加速，远程磁带备份的有效WAN吞吐量将随着WAN延迟的增加快速降低。对于通过WAN执行的远程磁带备份操作，FCIP磁带加速能够实现接近额定值的吞吐量。

可维护性??排障和诊断

SAN-OS是第一种提供了多种可维护性功能，能够简化SAN的建立、扩展和维护过程的存储网络OS。这些特性不但能减小SAN对维护的影响，还能缩短从严重故障中恢复的时间，因而能提高可用性。

Switched Port Analyzer和Cisco Fabric Analyzer

一般情况下，调试光纤通道SAN中的错误时需要使用光纤通道分析器，因而将对SAN中的流量带来很大的影响。利用Switched Port Analyzer（SPAN），管理员能够以“后台”方式将SPAN操作流量转至连有外部分析器的SPAN目标端口，从而分析端口（称为SPAN源端口）之间的所有流量。SPAN目标端口不必与SPAN源端口位于同一台交换机上，矩阵中的任何光纤通道端口都可以是源端口。SPAN源端口可以包括光纤通道端口，也可以包括执行IP服务的FCIP和iSCSI虚拟端口。

利用嵌入式Cisco Fabric Analyzer，Cisco MDS 9000系列不但能减少交换机内用于文本分析的光纤通道控制流量，还能将用IP封装的光纤通道控制流量发送到远程PC解码，并利用开放源代码Ethereal网络分析器应用显示。因此，Cisco MDS 9000系列无需配备昂贵的光纤通道分析器就能捕获和分析光纤通道控制流量。

LUN级SCSI流量统计数据可以按源节点和目标节点的任意组合收集。这些统计数据包括读、写、控制命令和错误统计数据。该特性只在SSM和ASM上提供。

Fibre Channel Ping和Fibre Channel Traceroute特性

SAN-OS引入了Fibre Channel Ping和Fibre Channel Traceroute等存储网络特性，这些都是IP网络排障必需的特性。利用Fibre Channel Ping，管理员可以检查N端口的连接状况，并确定其全程延迟。Fibre Channel Traceroute则能够帮助管理员检查交换机的可到达性，方法是跟踪帧后面的路径，然后确定每一跳延迟。

呼叫到家

为实现主动错误管理，SAN-OS提供了呼叫到家特性。呼叫到家提供了由软件和硬件触发的通知系统，能够用标准格式将警报和事件与其它相关信息封装在一起，发送给外部实体。警报组合功能和可定制目标概要具有极高的灵活性，一般情况下只通知相应人员，只有在必要时才通知支持机构。这些通知消息能够自动发送技术支持请求，以便在问题变得严重之前就予以解决。外部实体可以包括但不局限于：管理员的电子邮件账户或寻呼机、内部服务器或服务供应商的设施或者思科技术支持中心（TAC）。

系统日志

Cisco MDS 9000系列系统日志（syslog）功能能够大大增强调试和管理。所有SAN-OS设施都可以单独设置系统日志严重等级，记录和显示的消息可以是简单的汇总信息，也可以是非常详细的调试用信息。消息可以传送到控制台，也可以传送到日志文件。消息首先记录在内部，然后发送至外部系统日志服务器。

其它可维护性特性

其它可维护性包括：

• 联机诊断??高级联机诊断功能由SAN-OS提供。为检查交换管理引擎、交换模块和互联模块的运作是否正常，测试程序定期运行。由于这些联机诊断程序不会影响正常的光纤通道操作，因而可以在生产SAN环境中使用。
• 环回测试??Cisco MDS 9000系列使用脱机端口环回测试检查端口功能。在测试过程中，端口与外部连接隔绝，流量在内部循环，从发送路径到接收路径。
• 光纤通道IP??Cisco MDS 9000系列能够通过光纤通道网络传输IP分组。利用这个特性，通过OOB管理端口与矩阵中Cisco MDS 9000系列交换机相连的外部管理站将能够利用带内光纤通道IP协议管理矩阵中的所有其它交换机。
• 网络时间协议（NTP）支持??NTP能够使矩阵中的系统时钟同步，为所有交换机提供精确的时间。NTP服务器必须能够通过OOB以太网端口从矩阵访问。在矩阵内，NTP消息利用光纤通道IP传输。
• 利用SNMP陷阱和系统日志增强事件记录和报告??Cisco MDS 9000系列事件过滤和远程监控（RMON）能够全面、有力、灵活地控制SNMP陷阱。陷阱可以按照阈值、交换机计数器或时间标记产生。系统日志为Cisco MDS 9000系列交换机的管理提供了丰富的信息源。根据需要，可以只记录非常严重的事件，也可以记录详细的调试信息。