Konfigurieren Sie die IP-Sicherheit in ONTAP
Änderungen vorschlagen
PDFs
Zum Konfigurieren und Aktivieren der IPsec-Verschlüsselung während der Übertragung auf Ihrem ONTAP-Cluster sind mehrere Aufgaben erforderlich.
|
Überprüfen Sie die "Bereiten Sie sich auf die Verwendung der IP-Sicherheit vor"Einstellungen, bevor Sie IPsec konfigurieren. Sie müssen beispielsweise entscheiden, ob Sie die ab ONTAP 9.16.1 verfügbare IPsec-Hardware-Offload-Funktion verwenden möchten. |
Aktivieren Sie IPsec auf dem Cluster
Sie können IPsec auf dem Cluster aktivieren, um sicherzustellen, dass Daten während der Übertragung kontinuierlich verschlüsselt und sicher sind.
-
Ermitteln, ob IPsec bereits aktiviert ist:
security ipsec config showWenn das Ergebnis enthält
IPsec Enabled: false, fahren Sie mit dem nächsten Schritt fort. -
IPsec aktivieren:
security ipsec config modify -is-enabled trueSie können die IPsec-Hardware-Offload-Funktion mit dem booleschen Parameter aktivieren
is-offload-enabled. -
Führen Sie den Ermittlungsbefehl erneut aus:
security ipsec config showDas Ergebnis enthält nun
IPsec Enabled: true.
Bereiten Sie die IPsec-Richtlinienerstellung mit Zertifikatauthentifizierung vor
Sie können diesen Schritt überspringen, wenn Sie nur PSKs (Pre-Shared Keys) zur Authentifizierung verwenden und keine Zertifikatauthentifizierung verwenden.
Bevor Sie eine IPsec-Richtlinie erstellen, die Zertifikate für die Authentifizierung verwendet, müssen Sie überprüfen, ob die folgenden Voraussetzungen erfüllt sind:
-
Sowohl ONTAP als auch der Client müssen das CA-Zertifikat der anderen Partei installiert haben, damit die Zertifikate der Endeinheit (entweder ONTAP oder der Client) von beiden Seiten verifiziert werden können
-
Für die ONTAP LIF, die an der Richtlinie teilnimmt, wird ein Zertifikat installiert
|
|
ONTAP LIFs können Zertifikate gemeinsam nutzen. Es ist keine 1:1-Zuordnung zwischen Zertifikaten und LIFs erforderlich. |
-
Installieren Sie alle während der gegenseitigen Authentifizierung verwendeten CA-Zertifikate, einschließlich ONTAP- und Client-seitiger CAS, in das ONTAP-Zertifikatsmanagement, sofern sie nicht bereits installiert ist (wie bei einer selbstsignierten ONTAP-Root-CA).
Beispielbefehl
cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert -
Um sicherzustellen, dass sich die installierte CA während der Authentifizierung im IPsec-CA-Suchpfad befindet, fügen Sie mithilfe des
security ipsec ca-certificate addBefehls die ONTAP-Zertifizierungsstelle für die Zertifikatsverwaltung zum IPsec-Modul hinzu.Beispielbefehl
cluster::> security ipsec ca-certificate add -vserver svm_name -ca-certs my_ca_cert -
Erstellen und installieren Sie ein Zertifikat zur Verwendung durch die LIF von ONTAP. Die Emittent-CA dieses Zertifikats muss bereits in ONTAP installiert und zu IPsec hinzugefügt werden.
Beispielbefehl
cluster::> security certificate install -vserver svm_name -type server -cert-name my_nfs_server_cert
Weitere Informationen zu Zertifikaten in ONTAP finden Sie in den Befehlen für Sicherheitszertifikate in der Dokumentation zu ONTAP 9.
Security Policy Database (SPD) definieren
IPsec erfordert einen SPD-Eintrag, bevor der Datenverkehr im Netzwerk fließen kann. Dies gilt unabhängig davon, ob Sie ein PSK oder ein Zertifikat zur Authentifizierung verwenden.
-
Mit dem
security ipsec policy createBefehl können Sie:-
Wählen Sie die ONTAP-IP-Adresse oder das Subnetz der IP-Adressen aus, die am IPsec-Transport beteiligt werden sollen.
-
Wählen Sie die Client-IP-Adressen aus, die eine Verbindung zu den ONTAP-IP-Adressen herstellen.
Der Client muss Internet Key Exchange Version 2 (IKEv2) mit einem vorab freigegebenen Schlüssel (PSK) unterstützen. -
Optional Wählen Sie die feingranularen Datenverkehrsparameter aus, z. B. die Protokolle der oberen Schicht (UDP, TCP, ICMP usw.), die lokalen Portnummern und die Remote-Portnummern zum Schutz des Datenverkehrs. Die entsprechenden Parameter sind
protocols,local-portsremote-portsbzw. und.Überspringen Sie diesen Schritt, um den gesamten Datenverkehr zwischen der ONTAP-IP-Adresse und der Client-IP-Adresse zu schützen. Der Schutz des gesamten Datenverkehrs ist die Standardeinstellung.
-
Geben Sie entweder PSK oder Public-Key-Infrastruktur (PKI) für den
auth-methodParameter für die gewünschte Authentifizierungsmethode ein.-
Wenn Sie eine PSK eingeben, fügen Sie die Parameter ein, und drücken Sie dann <enter>, um die Aufforderung zur Eingabe und Überprüfung der zuvor freigegebenen Taste zu drücken.
Die local-identityParameter undremote-identitysind optional, wenn sowohl Host als auch Client strongSwan verwenden und keine Platzhalterrichtlinie für den Host oder Client ausgewählt ist. -
Wenn Sie eine PKI eingeben, müssen Sie auch die
cert-namelocal-identityremote-identityParameter , , eingeben. Wenn die Identität des externen Zertifikats unbekannt ist oder mehrere Client-Identitäten erwartet werden, geben Sie die spezielle Identität einANYTHING.
-
-
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING
Der IP-Verkehr kann erst zwischen Client und Server übertragen werden, wenn sowohl ONTAP als auch der Client die entsprechenden IPsec-Richtlinien eingerichtet haben und die Authentifizierungsdaten (entweder PSK oder Zertifikat) auf beiden Seiten vorhanden sind.
Verwenden Sie IPsec-Identitäten
Bei der Authentifizierungsmethode für vorinstallierte Schlüssel sind lokale und Remote-Identitäten optional, wenn sowohl Host als auch Client strongSwan verwenden und keine Platzhalterrichtlinie für den Host oder Client ausgewählt ist.
Für die PKI/Zertifikat-Authentifizierungsmethode sind sowohl lokale als auch Remote-Identitäten zwingend erforderlich. Die Identitäten geben an, welche Identität innerhalb des Zertifikats jeder Seite zertifiziert ist und für den Überprüfungsprozess verwendet wird. Wenn die Remote-Identität unbekannt ist oder wenn es viele verschiedene Identitäten sein könnte, verwenden Sie die spezielle Identität ANYTHING.
Innerhalb von ONTAP werden Identitäten durch Ändern des SPD-Eintrags oder während der Erstellung der SPD-Richtlinie festgelegt. Beim SPD kann es sich um einen Identitätsnamen im IP-Adressenformat oder String-Format handelt.
-
Verwenden Sie den folgenden Befehl, um eine vorhandene SPD-Identitätseinstellung zu ändern:
security ipsec policy modify
security ipsec policy modify -vserver vs1 -name test34 -local-identity 192.168.134.34 -remote-identity client.fooboo.com
IPsec Konfiguration für mehrere Clients
Wenn eine kleine Anzahl von Clients IPsec nutzen muss, reicht die Verwendung eines einzelnen SPD-Eintrags für jeden Client aus. Wenn jedoch Hunderte oder gar Tausende von Clients IPsec nutzen müssen, empfiehlt NetApp die Verwendung einer IPsec Konfiguration für mehrere Clients.
ONTAP unterstützt die Verbindung mehrerer Clients über mehrere Netzwerke mit einer einzelnen SVM-IP-Adresse, wobei IPsec aktiviert ist. Dies lässt sich mit einer der folgenden Methoden erreichen:
-
Subnetz-Konfiguration
Damit alle Clients in einem bestimmten Subnetz (z. B. 192.168.134.0/24) über einen einzigen SPD-Richtlinieneintrag eine Verbindung zu einer einzelnen SVM-IP-Adresse herstellen
remote-ip-subnetskönnen, müssen Sie das im Subnetz-Formular angeben. Außerdem müssen Sie dasremote-identityFeld mit der korrekten clientseitigen Identität angeben.
|
|
Bei der Verwendung eines einzelnen Richtlinieneintrags in einer Subnetzkonfiguration teilen IPsec-Clients in diesem Subnetz die IPsec-Identität und den vorab gemeinsam genutzten Schlüssel (PSK). Dies gilt jedoch nicht für die Zertifikatauthentifizierung. Bei der Verwendung von Zertifikaten kann jeder Client sein eigenes eindeutiges Zertifikat oder ein freigegebenes Zertifikat zur Authentifizierung verwenden. ONTAP IPsec überprüft die Gültigkeit des Zertifikats auf der Grundlage des CAS, das auf seinem lokalen Vertrauensspeicher installiert ist. ONTAP unterstützt auch die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL). |
-
Alle Clients konfigurieren zulassen
Damit jeder Client unabhängig von seiner Quell-IP-Adresse eine Verbindung zur IPsec-fähigen SVM-IP-Adresse
0.0.0.0/0herstellen kann, verwenden Sie bei der Angabe desremote-ip-subnetsFelds den Platzhalter.Außerdem müssen Sie das
remote-identityFeld mit der korrekten clientseitigen Identität angeben. Für die Zertifikatauthentifizierung können Sie eingebenANYTHING.Wenn der
0.0.0.0/0Platzhalter verwendet wird, müssen Sie außerdem eine bestimmte lokale oder Remote-Portnummer konfigurieren, die verwendet werden soll. `NFS port 2049`Beispiel: .Schritte-
Verwenden Sie einen der folgenden Befehle, um IPsec für mehrere Clients zu konfigurieren.
-
Wenn Sie Subnetz-Konfiguration zur Unterstützung mehrerer IPsec-Clients verwenden:
security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets IP_address/subnet -local-identity local_id -remote-identity remote_id
Beispielbefehlsecurity ipsec policy create -vserver vs1 -name subnet134 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 -local-identity ontap_side_identity -remote-identity client_side_identity-
Wenn Sie allow all Clients Configuration verwenden, um mehrere IPsec-Clients zu unterstützen:
security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports port_number -local-identity local_id -remote-identity remote_id
-
Beispielbefehlsecurity ipsec policy create -vserver vs1 -name test35 -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports 2049 -local-identity ontap_side_identity -remote-identity client_side_identity -
Zeigt IPsec-Statistiken an
Während der Verhandlung kann ein Sicherheitskanal, der als IKE-Sicherheitszuordnung (SA) bezeichnet wird, zwischen der ONTAP SVM-IP-Adresse und der Client-IP-Adresse eingerichtet werden. IPsec SAS werden auf beiden Endpunkten installiert, um die eigentliche Datenverschlüsselung und -Entschlüsselung zu ermöglichen. Sie können Statistikbefehle verwenden, um den Status von IPsec SAS und IKE SAS zu überprüfen.
|
|
Wenn Sie die IPsec-Hardware-Offload-Funktion verwenden, werden mit dem Befehl mehrere neue Zähler angezeigt security ipsec config show-ipsecsa.
|
IKE SA-Beispielbefehl:
security ipsec show-ikesa -node hosting_node_name_for_svm_ip
IPsec SA-Beispielbefehl und -Ausgabe:
security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip
cluster1::> security ipsec show-ikesa -node cluster1-node1
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
vs1 test34
192.168.134.34 192.168.134.44 c764f9ee020cec69 ESTABLISHED
IPsec SA-Beispielbefehl und -Ausgabe:
security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip
cluster1::> security ipsec show-ipsecsa -node cluster1-node1
Policy Local Remote Inbound Outbound
Vserver Name Address Address SPI SPI State
----------- ------- --------------- --------------- -------- -------- ---------
vs1 test34
192.168.134.34 192.168.134.44 c4c5b3d6 c2515559 INSTALLED