FCoE的未来是实现聚合数据中心，其中存储通过以太网连接接入应用系统。对很多从事IT工作的人来说，这也许就是未来的发展方向。但现实情况是，FCoE尚未履行这一承诺。目前这项技术的成本仍然很高，而且没有提供企业级数据中心必要的端到端功能。

　　此前有预测称2010年底FCoE将普及，但至今未实现。

　　市场调研机构Gartner数据中心改造研究副总裁Joe Skorupa表示：“目前，这项技术的市场渗透率几乎是一个取整误差。”这很很大程度上是因为支持FCoE的硬件刚刚上市。例如，惠普和IBM等主流存储厂商仍处于宣布推出支持FCoE的硬件的初期阶段。

　　Skorupa表示：“大多数服务器是机架优化的，出货时主板上仍然采用的是千兆以太网，而千兆以太网并不支持FCoE。”

　　Enterprise Strategy Group高级分析师Bob Laliberte表示，今年是“接受市场检验的一年，现有的大多数FCoE技术都是顶架式配置。”他表示，目前用户正在采购聚合网络适配器（CNA）和交换机，并测试顶架式配置。

　　然而实现端到端的FCoE仍然是一项挑战。Laliberte表示：“NetApp刚刚宣布推出的端到端的FCoE技术，但这并不是多跳的，而是相当有局限性的配置。”

　　现在，FCoE标准还没有被完全通过，但“当主流厂商通过验证并同时支持FCoE，就是用户开始采用FCoE之时。”

　　另外，当涉及到FCoE，除了技术以外还有更多考虑因素。Skorupa同意这一点：“技术的部分很简单。难的是人员和流程的变更，以及文化的转变。存储技术人员不想为以太网技术人员工作，他们知道这中间肯定有赢家有输家，谁都不想成为输的一方。”

　　不同部门机构之间的“剑拔弩张”也在以太网SAN和LAN传输方面扮演重要的角色。

　　不过，考虑到这是一项新兴技术，FCoE在短短几年内迅速成长起来。Laliberte表示，任何技术涉及到存储的部分一般都比较滞后，通常首先是交换机、然后是网卡，最后是存储。

　　Laliberte表示：“能够对普及起到帮助作用的就是成本的降低。全面实现端到端功能也将是一个推动因素，尤其是在生产环境中。”

　　尽管采用滞后，但存储网络厂商仍在继续推动支持FCoE的交换平台。近日，博科宣布推出面向自己所有光纤通道和以太网网络产品的统一管理平台Brocade Network Advisor (BNA)，思科则推出了支持Unified Port技术的Nexus 5548交换机。

　　甚至当FCoE在市场中有更大斩获的时候—也许是明年，它也并不一定会成为一个全方位服务的解决方案。据Skorupa表示，完全聚合网络主干这样一种理念可能在“长远的未来内实现，如果可能的话。它不省钱，也不简化，而且会导致更加复杂的组织问题。”

　　FCoE并不是实现聚合网络的唯一方法，有很多途径可以整合I/O。Skorupa表示：“你可以使用iSCSI聚合网络和以太网，这么做没问题。”他还提到，利用NAS而不是块存储来整合存储也是一种选择。“你不需要CNA来做到这一点。”

　　只要使用合适的适配器，你甚至可以在虚拟化环境下实现网络聚合。Skorupa还指出，现在有很多数据中心成功使用了InfiniBand、混合I/O或者PCIe来实现I/O整合。

　　他说：“真正的胜利将是围绕一项技术的，而不是一个网络。但当光纤通道装机规模达到150亿美元的时候，没有什么是能在一夜之间就实现的。”

　　刚开始兴起的服务器虚拟化浪潮其主要亮点在于技术完善和工作高效上。在VMs虚拟机上首先获得应用的当属开发环境或者服务器轻量级负载，并且他们大多是静态的，而不是I/O集中化，比如DHCP、DNS和动态目录等，服务器针对网络磁盘存储也主要使用基于块的存储区域网络（SAN）。

　　随着服务器虚拟化应用的普及，对SAN基础设施的支持也变得更加紧迫。每一个虚拟机需要一个专门的逻辑单元号（LUN）供应。一个早期的存储虚拟化例子，VMware公司开发的文件系统（VMFS）可以专门处理虚拟机的SAN存储问题，它可以通过创建更大的（但仍然有限）LUN存储来自多个虚拟主机的数据。这意味着服务器端的存储虚拟化会一直面临着巨大的挑战。

　　另一方面，随着服务器虚拟化技术的成熟，运行在虚拟主机中的企业应用已经达到了前所未有的高度，而随之而来的复杂管理，让I/O瓶颈、存储和虚拟化服务器的成本问题成为重要议题。网络附加存储（NAS）和iSCSI存储已成为虚拟存储的解决方案。相比传统的FC光纤通道SAN存储，iSCSI具有成本低廉使用方便的优势但它却面临着其他同样的问题。NAS具有同样的成本优势和使用简便的特点，但固有的可扩展性和共享功能定位的NAS无疑会成为云存储平台的首选。当前，数据中心被大幅引入虚拟化并采纳能显著提高NAS效率实现云存储的云模型。

　　一、SAN的不足之处

　　SAN是计算机信息处理技术中的一种架构，它将服务器和远程的计算机存储设备（如磁盘阵列、磁带库）连接起来，使得这些存储设备看起来就像是本地一样。存储区域网络作为存储解决方案中的重要一员，SAN是最昂贵的存储选项，同时也是最复杂的选项。

　　有限的扩展性——SAN属于块存储，然而管理SAN上的数据需要一个可扩展性的文件系统。通过使用VMware VMFS可以把虚拟磁盘当作文件进行存储。虽然I/O会在达到极限值之前出现瓶颈问题，但是单个虚拟磁盘存储仍可以达到2TB、总量为64TB的存储容量。如果考虑到应用程序所生成多数据情况可能会更糟糕。对于SAN来说如果没有一个全局命名空间，要管理数百TB容量的数据或者管理基于云应用程序创建的字节级数据可能都会比较麻烦。如果使用SAN存储但又缺乏可扩展的高性能存储云计算架构，将会给存储方案带来灾难。

　　管理上的挑战——在一个相对静态的环境，配置和管理LUN是一个常规任务。在云环境下数百个虚拟主机也可以通过供给LUN在数分钟内焕发新机。对于大量的LUN来说备份、还原和配置这些任务无疑会十分艰巨。SAN管理要求有专业的知识，比如需要使用多种方法来创建超过2TB容量的VMFS卷标，或者实施绩效原始设备映射。鉴于云的益处只能体现在大型自动化IT项目上，这种管理上的复杂性无疑会影响到SAN的具体实施。

　　数据共享——LUN要同时跨物理和虚拟机访问共享虚拟磁盘和应用程序数据。即使对VMware来说，VMFS也仅仅是满足共享虚拟磁盘存储要求。其他虚拟主机比如Hyper-V,Xen或者KVM都缺少VMFS。云应用程序需要共享对集群数据分区的访问，然而SAN本身却不能提供共享功能，从而并不能实现数据共享这一目的。

　　成本——长期以来FC SAN本身缺乏标准，特别在管理上；采购成本居高不下，甚至于远高于新兴的IB网络技术，属于大型企业使用的高端存储方案；在管理与维护上，需要专业性人才，其总拥有成本较高。

　　可扩展的NAS文件系统可以使用SAN或者DAS直接附加存储互补的形式来克服这些问题。SAN可以使用在某些关键任务上，同时也能通过建设磁盘的使用来降低电力成本，而基于DAS的云存储则需要数据至少被复制2次，它主要是基于软件的具有成本效益和灵活性的存储方案，缺点则是成本较高而且需要专业知识。

　　二、NAS的一些优点

　　减轻服务器负担——NAS设备的目的就是为了分离网络设备中的服务器和存储，让这二者独立进行。这样做能够让服务器（特别是通用服务器）有更多的计算资源来处理用户的各种应用和业务（比如电子邮件处理、远程应用等）。NAS则是用来帮助服务器完成一些文件的任务和I/O的操作。

　　方便数据共享——我们都知道，当前的企业内部网络越来越庞大，形成了一个多操作系统、网络设备多样化的复杂网络环境。NAS设备正是为这种多样性环境而设计的，除了对多种操作系统（Unix、Linux、Windows 等）的支持外，还支持多种网络协议(TCP/IP等)，这种设计使得NAS轻而易举的支持多个系统之间的数据共享（Unix和Windows之间、Unix和Linux之间、Linux和Windows之间的数据传输共享）。终端客户则根本不许知道数据原先是在Unix系统上，还是Linux系统上，异或是在Windows上。

　　对现有网络环境有很好的适应性——NAS设备对企业网络环境基本上没有什么特别的要求和限制，可以很很方便的在现有的网络环境中添加NAS设备。这是因为NAS所支持的那些操作系统和网络协议都是已有网络中得到很好的支持，NAS设备的添加不会引发新的网络支持的问题。

　　高可扩展性——NAS设备的高扩展性很好的满足了企业日益增长的存储需求。NAS的扩展只需通过添加一个节点及网络设备即可（做到真正的即插即用，并且部署位置非常灵活），基本上启动NAS设备，运行相应的网络文件系统，并将这个NAS设备接入网络环境就完成添加了。高级NAS更能做到支持网络接口的热安装、硬盘的的随时增加等。

　　易管理性——NAS本身就是为了企业内部网络而设计，实现了异构平台下的数据共享，因此NAS的使用和维护成本就相对很低，管理和维护工作也相对简单。用户只需一些简单的初期设置和管理，NAS设备就可以很好的运行起来。

　　当前NAS的扩展趋势已经演变成为NAS集群技术了。NAS集群技术通过一组NAS设备集合来形成如同一个NAS 设备，NAS集群技术提供了一定的存储分流，使得不同的NAS设备可以同事工作来存储网络存储的存储需求，从而提高了整个NAS系统的整体性能，并解决了多个NAS系统的扩展性和管理趋于复杂性的问题。

　　三、新型NAS协议

　　NAS结构和SAN最大的区别就在于NAS有文件操作和管理系统，而SAN却没有这样的系统功能，其功能仅仅停留在文件管理的下一层，即数据管理。从这些意义上看，SAN和NAS的功能互为补充，同时SAN的服务器访问数据的时候不会占LAN的资源，但是NAS结构的服务器都需要和文件服务器进行交互，以取得自己请求的数据，因此，NAS结构在速度慢的LAN（如10/100M网络）上几乎不具有任何优势和意义。

　　由于G位和10G位以太网的出现，使得NAS结构的这一缺陷自然消失，NAS方案一下子就获得了巨大的生命力和发展空间。同时SAN和NAS相比不具有资源共享的特征，因此SAN最近越来越感觉到了NAS的巨大冲击力。

　　SAN和NAS并不是相互冲突的，是可以共存于一个系统网络中的，但NAS通过一个公共的接口实现空间的管理和资源共享，SAN仅仅是为服务器存储数据提供一个专门的快速后方通道，在空间的利用上，SAN和NAS也有截然不同之处，SAN是只能独享的数据存储池，NAS是共享与独享兼顾的数据存储池。

　　NAS在云存储中注定要发挥主导作用的原因是多方面的：海量的非结构化数据只能通过NAS技术进行处理，NAS在无限带宽和10GbE方面也走在SAN前头，计算和存储网络也于DCB标准进行衔接。而SAN必须采用新的以太网iSCSI/FCoE协议，NAS则享有TCP/IP和RDMA的得天独厚优势。SAN则可以作为NAS的后端存储方案，也可以应用在一些特殊任务上的存储需求，而商业化后的云存储浪潮无疑将会涌向NAS。

　　最新发现的一类恶意软件“高级躲避技术（AET）”能够隐蔽地通过大多数入侵防御系统，向目标计算机注入Sasser和Conficker等著名的恶意代码，不会留下如何进入系统的任何痕迹。

　　据芬兰国家计算机应急响应组（CERT-FI）称，一些国家的CERT已经向几十家入侵防御系统（IPS）厂商发出通告，告知厂商这种威胁的存在，以便厂商采取防御措施。入侵防御系统厂商Stonesoft发现了这种威胁并且向芬兰国家CERT报告了这个情况。

　　CERT-FI信息安全顾问Jussi Eeronen说，其它国家的CERT已帮助传播这个消息。目的是让厂商升级设备以应对“AET”。

　　入侵防御系统和其它安全设备厂商Stonesoft说，AET把一种以上的已知的简单躲避技术结合在一起。入侵防御系统能够分别检测这些躲避技术，但是，把多种躲避技术结合在一起就使入侵防御系统很难发现。

　　Stonesoft高级解决方案设计师Mark Boltz说，AET本身不造成破坏。但是，这种技术能够为恶意软件提供隐蔽能力，使恶意软件能够到达目标系统。他说，到目前为止还没有证据表明AET已经在现实中应用。

　　躲避技术的出现已经有十几年时间。大多数入侵防御系统厂商都能够防御这种技术。Boltz说，但是，如果一次使用一种以上的躲避技术就能够绕过当前的入侵防御系统。

　　Boltz说，把已知的躲避技术混合配对能够产生2180种可能的AET。增加同时使用超过两种技术的AET能够使可能的种数更多，就像在已知列表中增加新的简单躲避技术一样。

　　Boltz说，在Stonesoft的测试中，一组AET被用来隐藏Conficker和Sasser蠕虫。它们被发送给市场研究公司Gartner最近发表的入侵防御系统魔力象限报告中排名前十的行业领先入侵防御系统。这些入侵防御系统没有一台检测除AET。

　　他说，Stonesoft自己的StoneGate入侵检测系统能发现并拦截攻击。

　　ICSA的网络入侵防御系统项目经理Jack Walsh说，Stonesoft有关AET的说法得到了ICSA实验室的证实。实验室允许Stonesoft使用其工具从芬兰对一个虚拟专用网实施攻击。攻击必须穿越位于宾夕法尼亚的ICSA设施中的入侵防御系统。

　　Walsh说，这个工具生成的AET成功地避开了入侵防御系统并且使Conficker蠕虫抵达了攻击目标——带有未修复的CVE-2008-4250安全漏洞的Windows服务器。使用Conficker蠕虫是因为这种蠕虫是已知的，如果这种蠕虫不隐蔽起来，入侵防御系统现在应该能够识别它。

　　他说，所有进行测试的入侵防御系统都没能拦截AET，其中包括Stonesoft自己的某一个版本的入侵防御系统。Stonesoft称，它最新版本的入侵防御系统能够检测到AET。但是，ICSA没有测试这种入侵防御系统。

　　Boltz说，IP碎片是简单躲避技术的例子。攻击者把包含恶意软件的数据包破碎，希望入侵防御系统不能把这些数据包重新组合起来，从而漏掉这些数据包中的恶意软件，使这些恶意软件通过。目前，大多数入侵防御系统拥有重新组合和筛选碎片数据包的引擎。

　　URL模糊是简单躲避技术的另一个例子。在这种技术中，把URL稍微进行一下修改以便通过入侵防御系统。但是不能改动过大，否则目标计算机就不能使用它。许多入侵防御系统目前都能够处理这种情况。

　　但是，Boltz说，把简单躲避技术结合起来使用，一些简单躲避技术就能够绕过入侵防御系统。Stonesoft 还提出了一些能够添加到这种组合中的新的简单躲避方法。

　　Stonesoft对它的AET工具一直是保密的，不允许把这个工具复制给CERTS，甚至不愿意提供给ICSA进行测试。

　　Eeronen说，CERT-FI希望通过告知产品可能受到AET影响的厂商，让这些厂商采取措施防御这些威胁。同以前的这种通知一样，CERT-FI将给厂商一些时间以便对它的警告做出反应。最后，即使所有的厂商都没有升级到能够应对AET，CERT-FI也将发布有关AET的正式公告。

　　Eeronen说，Stonesoft对AET的披露与CERT-FI的正式公告是不同步的。但是，他说，这是因为Stonesoft 是一家厂商，而不是一个研究者。他说，这个问题有点特别。他们是商业实体，有自己的商业利益。

　　Eeronen说，他希望厂商能够在年底之前解决这个问题。

　　Boltz说，使用入侵防御系统的企业应该咨询自己的厂商，看他们是否容易受到AET的攻击。Walsh说，总的来说，企业应该不断更新其入侵防御软件并且要知道产品拥有什么认证以及这些认证的含义是什么。