基于LAN-Free 組網技術的數據保護技術研究

朱潤娟，郭 麗，肖菊香，湯云富

（航空工業成飛公司，四川 成都 610091）

數據備份已被普遍應用在國內外相關行業中，早期的數據備份主要是采用物理磁帶庫，通過指令調度將生產數據寫入磁帶進行數據備份，這種方式備份效率較低、備份數據類型較少，數據恢復難度大且恢復時間較長。隨著企業信息化業務的不斷增長，信息數據的類型越來越多，數據容量越來越大，生產數據的備份需求不斷提高，新的數據保護技術也應運而生，技術人員開始通過專業的備份系統，根據不同的數據保護需求配置相應的數據備份策略，通過LAN 網絡進行自動化數據備份[1]。

而傳統的LAN 網絡架構無法滿足數據量較大、備份時間窗口緊張時的備份需求，多個備份任務并行搶占LAN 網絡資源，容易造成網絡堵塞，嚴重時會影響生產業務的網絡帶寬，甚至造成業務訪問故障，影響生產業務的正常運行。為了解決LAN 網絡架構存在的上述問題，許多信息化部門開始采用LAN-Free 存儲網絡架構進行數據備份，提高備份效率，減少生產系統的網絡負載，同時保障生產業務連續性和生產數據的安全性。

1 LAN-Free 組網技術

常用的數據備份組網技術包括LAN 備份、LAN-Free 備份等[2]，傳統的LAN 備份和LAN-Free 備份技術采用的主要協議不同，具體如下。

LAN 備份：在LAN 環境下，使用TCP/IP 協議，由1 臺主備服務器和多臺介質服務器組成，在每臺生產服務器上安裝備份客戶端，在生產服務器和備份服務器之間，通過備份指令集的調度，將備份請求發送到主備服務器，主備服務器再通過指令集來判斷備份請求屬于哪種類型，并將備份任務派發給相應的備份介質服務器，備份介質服務器響應前端生產服務器的備份請求，對生產數據進行加密和壓縮，最終將處理過的備份數據通過LAN 網絡傳遞到備份存儲或物理磁帶庫上。

LAN-Free 備份：在SAN 環境下，使用SCSI 協議，備份系統由1 臺Master 服務器和多臺Media 服務器組成，在數據備份時，需要在生產服務器上增加一塊HBA卡，通過SAN 交換機將生產服務器上新增的HBA 卡端口和備份Media 服務器的光纖卡綁定在同一個Zone內，給備份數據流建立一條專用的SAN 網絡通道，在備份Media 服務器上識別生產服務器的光纖通道并進行軟件調試，在數據備份時，備份任務通過LAN 網絡將備份指令集發送給Media 服務器，Media 服務器在備份指令集的驅動下，讀取需要備份的數據并對其進行加密和壓縮，最終將需要備份的生產數據通過SAN網絡傳輸到備份存儲和備份磁帶庫上。

采用LAN-Free 組網技術，在備份服務器與生產服務器以及生產服務器和備份存儲之間通過SAN 網絡建立高速的數據傳輸鏈路。通過LAN 網絡進行Master服務器、Media 服務器和生產服務器之間的網絡通信，通過SAN 網絡進行備份數據流的高速傳輸，實現了數據備份控制流和數據流的分離，備份任務不再占用寶貴的LAN 資源，生產業務系統的LAN 帶寬得到極大的釋放，降低備份操作對生產系統的影響，不僅能有效提高數據備份效率，使備份任務在計劃時間內完成，同時也能有效降低備份作業對生產網絡完成的資源負載，為企業科研生產數據的安全防護做好保障。

2 LAN-Free 技術實施

2.1 基于LAN-Free 組網技術的網絡架構

基于現有的SAN 存儲網絡，在生產服務器、備份服務器、物理磁帶庫和備份磁盤陣列上配置獨立的HBA 卡，將這些設備各自作為獨立的光纖節點，通過SAN 交換機分Zone 劃分連接到SAN 網絡中。建立備份任務時，根據生產數據的類型及重要程度，在備份服務器上配置不同等級的自動化備份策略，當備份策略啟動時，生產服務器和備份服務器之間通過LAN 網絡發送數據備份指令請求，雙方建立請求鏈接后，備份數據流通過SAN 網絡寫入備份存儲[3]。備份架構如圖1所示。

圖1 LAN-Free 組網技術架構圖

如圖1所示，虛線箭頭標注的備份客戶端和Media服務器進行了SAN 備份配置，其中SAN Cleint 客戶端用于備份的HBA 卡和FT Meida Server 中target 模式的HBA 卡在一個SAN Switch Zone 里面。FT Meida Server中initiator 模式的HBA 和備份目標端的Disk 或者VTL或者PTL 在同一個Zone 中。備份任務啟動時，Master服務器通過LAN 網絡向FT Media 服務器發送備份調度指令，FT Media 服務器通過SAN 網絡將備份客戶端的數據流寫入備份存儲，備份數據流不經過LAN 網絡，實現了備份網絡與生產網絡的分離。

2.2 FT Meida Server 和SAN Client 規劃

激活光纖傳輸服務的客戶端，類似于Shared Storage Option 的SAN 介質服務器類似，備份自己的數據，通常要求高帶寬的關鍵數據用于備份，通過光纖通道連接到介質服務器。

如圖2所示，FT Meidia Server 中需要2 塊支持特定功能的HBA 卡，其中一塊HBA 卡修改為target 模式，目的是模擬虛擬的類似驅動器資源，這樣SAN Client 端就能夠識別到類似Tape Drive 資源，另一塊HBA 卡initiator 模式保持不變，這塊HBA 卡可以連接VTL、PTL 或者DISK。最終達到的目的是備份數據流從SAN Client 端傳通過target 模式的HBA 卡傳送到FT Meida Server，然后通過另一塊HBA 卡傳送到備份目標端，達到LAN-Free 備份的目的。

圖2 SAN 境準備示意圖

2.3 配置SAN 光纖通道傳輸

將備份系統改造成基于LAN-Free 方式后，備份系統客戶端變為具有SAN 屬性的LAN-Free 客戶端，可以將磁帶或磁盤用作LAN-Free 客戶端和光纖傳輸功能的目標存儲單元。須先配置SAN 并使其可以正常運行，然后才能配置和使用光纖傳輸（FT）機制。FT 介質服務器中必須有足夠的HBA 端口，以支持來自SAN客戶端的FT 管道。在FT 介質服務器上，QLogic 光纖通道主機總線適配器（HBA）端口將連接到SAN 客戶端。介質服務為這些QLogic HBA 上的端口提供了一個特殊的目標模式驅動程序，目標模式驅動程序將替換默認的啟動器模式驅動程序。

將介質服務器和SAN 客戶端連接到SAN 交換機，將FT 介質服務器上的HBA 端口連接到光纖通道交換機端口，將每個SAN 客戶端HBA 端口連接到同一光纖通道交換機上的端口，在交換機上定義區域，以使客戶端與服務器位于同一區域內。注意必須通過物理端口ID 或全球端口名稱（WWPN）定義NetBackup FT介質服務器目標端口。目標模式驅動程序WWPN 不是唯一的，因為它們源自光纖通道HBA WWPN。可以通過端口ID 或WWPN 定義SAN 客戶端端口。

另外，SAN 客戶端要求連接到備份軟件主服務器和企業介質管理器服務器。因此，必須確保所有防火墻（軟件或硬件）允許客戶端與備份軟件主服務器和EMM 服務器通信。通常，備份軟件主服務器承載EMM服務器，因此可能僅需要允許與其中一個系統通信。

2.4 配置SAN 客戶端光纖模式

SAN 客戶端是激活光纖傳輸服務的備份客戶端。SAN 客戶端與用于Shared Storage Option 的SAN 介質服務器類似，它備份自己的數據。但是，SAN 客戶端基于更小的備份客戶端安裝包，因此具有更少的管理要求，使用更少的系統資源。通常SAN 客戶端包含要求高帶寬的關鍵數據以用于備份，它通過光纖通道連接到備份介質服務器。

SAN 客戶端可以是基于Windows 系列的操作系統平臺，也可以是基于Unix 或Linux 系列的操作系統平臺。可以是單機，也可以是集群架構，但無論是哪種平臺，前提是其服務器硬件設備上必須配備并激活相應的HBA 卡。不同備份軟件配置SAN 客戶端介質服務器HBA 端口的方式不同。以NBU 軟件為例，配置介質服務器HBA 驅動程序過程的第一步是啟動nbhba模式。nbhba 模式將備份軟件提供的ql2300_stub 驅動程序綁定到主機上的所有QLogic ISP2312 和ISP24xx HBA 端口。ql2300_stub 驅動程序阻止標準的啟動器模式驅動程序綁定到這些端口。如果QLogic 驅動程序綁定到HBA 端口，則備份軟件命令將無法對希望在目標模式下工作的端口進行標記。目標模式驅動程序也無法綁定到HBA 端口。ql2300_stub 驅動程序還允許備份軟件讀取和修改QLogic 端口的NVRAM 中的設備ID。在啟動nbhba 模式并對連接到SAN 客戶端的QLogic HBA 的端口進行標記后，這些端口將在目標模式下工作。

2.5 配置SAN 客戶端存儲目標

SAN 客戶端存儲目標可以是傳統的集群磁盤陣列存儲，也可以是當下流行的分布式存儲，可提供足夠的帶寬和讀寫速度以接受備份軟件光纖傳輸機制提供的大量數據。同時，SAN 客戶端也可以將磁帶用作目標存儲單元，某些磁帶驅動器的速度足以讀寫備份軟件光纖傳輸機制提供的大容量數據。將磁帶用作目標，可以使用多數據流將客戶端的自動備份劃分為多個作業。由于作業位于不同的數據流中，因此可以并行發生。可以通過一個或多個FT 管道將數據流發送到FT介質服務器。介質服務器可將它們一起多路復用到一個或多個磁帶介質卷上。例如，如果您的數據庫服務器可提供多個數據流，則可以通過多數據流方式將那些數據庫備份傳輸到FT 介質服務器。FT 介質服務器將數據流多路復用到介質上，從而提高了總體性能。可以使用SAN 客戶端替換SAN 介質服務器，然后繼續備份到磁帶。與SAN 介質服務器相比，SAN 客戶端使用較少的系統資源（包括磁盤空間和處理器兩方面）。

數據的傳輸過程中可以像LAN 網絡一樣對數據進行加密和壓縮，只是數據壓縮或加密可能會降低備份和恢復的光纖傳輸管道性能。試驗證實，如果在備份過程中使用數據壓縮或加密，則備份和恢復的光纖傳輸管道性能會顯著降低，所以一般使用LAN-Free組網技術進行數據備份時，在數據的傳輸過程中盡量不進行加密和壓縮，而是在數據進行最終落盤時再對數據進行加密和壓縮保護。處于數據安全性能的保護要求，通常不同的備份軟件其加密算法都不一樣[4]。

2.6 實施應用

SAN 客戶端相關配置完成后，在客戶端介質服務器啟動光纖傳輸服務，并在啟動時及設備發現過程中驗證客戶端系統的內核和驅動程序堆棧。該驗證會檢查內核和驅動程序是否處于受支持的級別。如果驗證成功，則表示SAN 客戶端支持FT 管道傳輸，此時可以執行FT 管道傳輸。如果驗證失敗，則無法執行FT管道傳輸。

在實際應用中，以大型制造行業的企業資源管理系統為例，作為企業的核心應用系統，企業資源管理系統承載了企業內部的生產模塊、經營模塊、流程治理等業務域的信息化實現功能，隨著數字化生產的不斷推進，企業資源管理系統承載的生產任務越來越重，功能模塊開發越來越繁多，數據庫運行越來越龐大，累積數據量越來巨大，數據越來越重要，對數據的備份要求越來越高。采用傳統的LAN 網絡備份對數量高達幾個太字節（TB）的企業資源管理系統進行數據備份時，為了不影響生產數據庫的正常運行，數據庫管理人員和數據備份管理人員會根據實際生產情況進行綜合考慮，將數據備份策略制定在非工作時間。但由于數據量太大，備份任務并不能在規定的時間窗口內完成，使本該在非工作時間完成的備份任務延長至工作時間。但實際上各個企業的網絡帶寬不盡相同，而且由于投入成本和實施難度的原因，大多數企業并沒有專門進行備份網絡獨立組網，這就導致備份任務和生產任務同時在生產網絡中運行，大大增加了企業內部的網絡負載，輕則導致核心系統的備份任務失敗，重則影響生產系統的正常運行。

針對數據量較大的企業資源管理系統數據備份任務無法在規劃實際內完成的問題，很多公司為了提高核心系統的備份效率，保障生產數據的安全性，對核心系統進行基于LAN-Free 組網技術的備份網絡優化。在企業資源管理系統的數據庫服務器上配置2 塊HBA卡，其中一塊HBA 卡通過SAN 交換機連接至生產存儲陣列，用于生產數據流的讀寫傳輸；另外一塊卡進行SAN-Client 光纖模式配置，通過SAN 交換機連接至備份介質服務器，用于備份數據流的讀寫傳輸。在企業資源管理系統服務器上打通其SAN 光纖通道，啟動SAN-Client 服務，SAN 目標存儲單元配置在線的集中備份存儲磁盤陣列和離線的物理磁帶庫存儲，對生產數據進行雙重保護。在備份系統配置備份任務，首先通過SAN 網絡將備份數據寫入備份存儲磁盤陣列，并二次轉儲至備份物理磁帶庫。按照理論預估，改造后的SAN 網絡備份效率比傳統的LAN 網絡備份效率提高了4～6 倍。同一臺備份客戶端，同樣的備份數據量，同樣的備份策略，LAN 網絡備份效率約為28 497 KB/s，單次備份用時6 h 左右；SAN 網絡備份效率約為181 890 KB/s，單次備份用時1 h 左右。

3 結束語

通過LAN-Free 組網技術的實施，旁路現有基于業務網絡的備份架構將備份數據流從業務網絡分離開來，一方面極大地提高了數據備份效率，確保數據備份與恢復作業能夠在預定窗口時間內完成，保障備份數據的安全性及有效性，另一方面避免了數據備份對業務訪問帶寬的占用，可以有效地提高應用系統業務響應能力，保障應用系統高效穩定運行。