Bereiten Sie die Verwendung der IP-Sicherheit im ONTAP-Netzwerk vor
Änderungen vorschlagen
PDFs
Ab ONTAP 9.8 haben Sie die Möglichkeit, IP-Sicherheit (IPsec) zum Schutz Ihres Netzwerkverkehrs zu verwenden. IPsec ist eine von mehreren Data-in-Motion- oder in-Flight-Verschlüsselungsoptionen, die mit ONTAP verfügbar sind. Sie sollten die IPsec-Konfiguration vorbereiten, bevor Sie sie in einer Produktionsumgebung verwenden.
Implementierung der IP-Sicherheit in ONTAP
IPsec ist ein Internetstandard, der von der IETF verwaltet wird. Es bietet Datenverschlüsselung und -Integrität sowie Authentifizierung für den Datenverkehr, der auf IP-Ebene zwischen den Netzwerkendpunkten fließt.
Mit ONTAP sichert IPsec den gesamten IP-Datenverkehr zwischen ONTAP und den verschiedenen Clients, einschließlich der NFS-, SMB- und iSCSI-Protokolle. Neben Datenschutz und Datenintegrität ist der Netzwerkverkehr vor mehreren Angriffen wie Replay- und man-in-the-Middle-Angriffen geschützt. ONTAP verwendet die Implementierung des IPsec-Transportmodus. Er nutzt das IKE-Protokoll (Internet Key Exchange) Version 2 für die Verhandlung des Schlüsselmaterials zwischen ONTAP und den Clients, die entweder IPv4 oder IPv6 verwenden.
Wenn die IPsec-Funktion auf einem Cluster aktiviert ist, erfordert das Netzwerk einen oder mehrere Einträge in der ONTAP-Sicherheitsrichtliniendatenbank (SPD), die den verschiedenen Datenverkehrseigenschaften entsprechen. Diese Einträge werden den spezifischen Schutzdetails zugeordnet, die zum Verarbeiten und Senden der Daten erforderlich sind (z. B. Chiffre Suite und Authentifizierungsmethode). Ein entsprechender SPD-Eintrag ist ebenfalls bei jedem Client erforderlich.
Für bestimmte Arten von Datenverkehr ist möglicherweise eine andere Option zur Verschlüsselung von Daten in Bewegung vorzuziehen. Für die Verschlüsselung von NetApp SnapMirror- und Cluster-Peering-Datenverkehr wird beispielsweise das TLS-Protokoll (Transport Layer Security) anstelle von IPsec empfohlen. Das liegt daran, dass TLS in den meisten Situationen eine bessere Leistung bietet.
Weiterentwicklung der ONTAP IPsec-Implementierung
IPsec wurde erstmals mit ONTAP 9.8 eingeführt. Die Implementierung wurde in nachfolgenden ONTAP Versionen wie unten beschrieben weiterentwickelt.
Die Unterstützung für IPsec-Hardware-Offload wird erweitert auf "Link-Aggregationsgruppen" . "Postquanten-Pre-Shared Keys (PPKs)" werden für die IPsec-Pre-Shared Keys (PSK)-Authentifizierung unterstützt.
Mehrere kryptografische Vorgänge, wie Verschlüsselungs- und Integritätsprüfungen, können auf eine unterstützte NIC-Karte verlagert werden. Weitere Informationen finden Sie unter IPsec-Hardware-Offload-Funktion .
Die Unterstützung von IPsec-Front-End-Hostprotokollen ist in MetroCluster-IP- und MetroCluster-Fabric-Attached-Konfigurationen verfügbar. Die durch MetroCluster Cluster bereitgestellte IPsec-Unterstützung für Cluster ist auf Front-End-Host-Datenverkehr beschränkt und wird auf MetroCluster LIFs nicht unterstützt.
Zusätzlich zu den PSKs können Zertifikate für die IPsec-Authentifizierung verwendet werden. Vor ONTAP 9.10.1 werden nur PSKs für die Authentifizierung unterstützt.
Die von IPsec verwendeten Verschlüsselungsalgorithmen sind nach FIPS 140-2 validiert. Diese Algorithmen werden vom NetApp Cryptographic Module in ONTAP verarbeitet, das die FIPS 140-2-2-Validierung führt.
Die Unterstützung für IPsec wird basierend auf der Implementierung des Transportmodus zunächst verfügbar.
IPsec-Hardware-Offload-Funktion
Wenn Sie ONTAP 9.16.1 oder höher verwenden, haben Sie die Möglichkeit, bestimmte rechenintensive Vorgänge, wie z. B. Verschlüsselungs- und Integritätsprüfungen, auf eine am Storage-Node installierte NIC-Karte (Network Interface Controller) zu übertragen. Der Durchsatz für auf die NIC-Karte ausgelagerte Vorgänge beträgt etwa 5 % oder weniger. Dies kann die Leistung und den Durchsatz des durch IPsec geschützten Netzwerkverkehrs erheblich verbessern.
Anforderungen und Empfehlungen
Vor der Verwendung der IPsec-Hardware-Offload-Funktion sollten Sie mehrere Anforderungen beachten.
Sie dürfen nur unterstützte Ethernet-Karten installieren und verwenden. Die folgenden Ethernet-Karten werden ab ONTAP 9.16.1 unterstützt:
-
X50131A (2P, 40G/100G/200G/400G Ethernet-Controller)
-
X60132A (4p, 10G/25G Ethernet-Controller)
ONTAP 9.17.1 fügt Unterstützung für die folgenden Ethernet-Karten hinzu:
-
X50135A (2p, 40G/100G Ethernet-Controller)
-
X60135A (2p, 40G/100G Ethernet-Controller)
Die Karten X50131A und X50135A werden auf den folgenden Plattformen unterstützt:
-
ASA A1K
-
ASA A90
-
ASA A70
-
AFF A1K
-
AFF A90
-
AFF A70
Die Karten X60132A und X60135A werden auf den folgenden Plattformen unterstützt:
-
ASA A50
-
ASA A30
-
ASA A20
-
AFF A50
-
AFF A30
-
AFF A20
Sehen Sie sich die "NetApp Hardware Universe" für weitere Informationen zu den unterstützten Plattformen und Karten.
Die IPsec-Hardware-Offload-Funktion ist global für den Cluster konfiguriert. Und so wird der Befehl beispielsweise security ipsec config auf alle Nodes im Cluster angewendet.
Unterstützte NIC-Karten sollten auf allen Knoten im Cluster installiert werden. Wenn eine unterstützte NIC-Karte nur auf einigen Nodes verfügbar ist, wird nach einem Failover eine deutliche Performance-Verschlechterung angezeigt, wenn einige der LIFs nicht auf einer Offload-fähigen NIC gehostet werden.
Sie müssen den IPsec-Anti-Replay-Schutz auf ONTAP (Standardkonfiguration) und den IPsec-Clients deaktivieren. Wenn diese Option nicht deaktiviert ist, werden Fragmentierung und Multi-Path (redundante Route) nicht unterstützt.
Wenn die ONTAP-IPsec-Konfiguration von der Standardeinstellung auf Anti-Replay-Schutz aktivieren geändert wurde, verwenden Sie diesen Befehl, um sie zu deaktivieren:
security ipsec config modify -replay-window 0Sie müssen sicherstellen, dass der IPsec-Anti-Replay-Schutz auf Ihrem Client deaktiviert ist. Informationen zur Deaktivierung des Anti-Replay-Schutzes finden Sie in der IPsec-Dokumentation für Ihren Client.
Einschränkungen
Vor der Verwendung der IPsec-Hardware-Offload-Funktion sollten Sie mehrere Einschränkungen berücksichtigen.
IPv6 wird für die IPsec-Hardware-Offload-Funktion nicht unterstützt. IPv6 wird nur mit der IPsec-Softwareimplementierung unterstützt.
Die erweiterten IPsec-Sequenznummern werden von der Hardware-Offload-Funktion nicht unterstützt. Es werden nur die normalen 32-Bit-Sequenznummern verwendet.
Ab ONTAP 9.17.1 können Sie die IPsec-Hardware-Offload-Funktion mit einem "Link-Aggregationsgruppe" .
Vor Version 9.17.1 unterstützt die IPsec-Hardware-Offload-Funktion keine Link-Aggregation. Sie kann nicht mit einer Schnittstelle oder Link-Aggregationsgruppe verwendet werden, die über das network port ifgrp Befehle an der ONTAP CLI.
Konfigurationsunterstützung in der ONTAP-CLI
In ONTAP 9.16.1 werden drei vorhandene CLI-Befehle aktualisiert, um die IPsec-Hardware-Offload-Funktion wie unten beschrieben zu unterstützen. "Konfigurieren Sie die IP-Sicherheit in ONTAP"Weitere Informationen finden Sie unter.
| ONTAP-Befehl | Aktualisieren |
|---|---|
|
Der boolesche Parameter |
|
Mit dem Parameter |
|
Vier neue Zähler wurden hinzugefügt, um den ein- und ausgehenden Datenverkehr in Byte und Paketen anzuzeigen. |
Konfigurationsunterstützung in der ONTAP-REST-API
Zwei vorhandene REST-API-Endpunkte werden in ONTAP 9.16.1 aktualisiert, um die IPsec-Hardware-Offload-Funktion wie unten beschrieben zu unterstützen.
| REST-Endpunkt | Aktualisieren |
|---|---|
|
Der Parameter |
|
Zwei neue Zählerwerte wurden hinzugefügt, um die Gesamtzahl der von der Offload-Funktion verarbeiteten Bytes und Pakete zu verfolgen. |
Weitere Informationen zur ONTAP REST-API einschließlich "Neuerungen an der ONTAP REST-API"finden Sie in der Dokumentation zur ONTAP Automatisierung. Weitere Informationen zu finden Sie auch in der Dokumentation zur ONTAP-Automatisierung "IPsec-Endpunkte".