Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Bereiten Sie sich auf die Verwendung der IP-Sicherheit vor

Beitragende
PDFs

Ab ONTAP 9.8 haben Sie die Möglichkeit, IP-Sicherheit (IPsec) zum Schutz Ihres Netzwerkverkehrs zu verwenden. IPsec ist eine von mehreren Data-in-Motion- oder in-Flight-Verschlüsselungsoptionen, die mit ONTAP verfügbar sind. Sie sollten die IPsec-Konfiguration vorbereiten, bevor Sie sie in einer Produktionsumgebung verwenden.

Implementierung der IP-Sicherheit in ONTAP

IPsec ist ein Internetstandard, der von der IETF verwaltet wird. Es bietet Datenverschlüsselung und -Integrität sowie Authentifizierung für den Datenverkehr, der auf IP-Ebene zwischen den Netzwerkendpunkten fließt.

Mit ONTAP sichert IPsec den gesamten IP-Datenverkehr zwischen ONTAP und den verschiedenen Clients, einschließlich der NFS-, SMB- und iSCSI-Protokolle. Neben Datenschutz und Datenintegrität ist der Netzwerkverkehr vor mehreren Angriffen wie Replay- und man-in-the-Middle-Angriffen geschützt. ONTAP verwendet die Implementierung des IPsec-Transportmodus. Er nutzt das IKE-Protokoll (Internet Key Exchange) Version 2 für die Verhandlung des Schlüsselmaterials zwischen ONTAP und den Clients, die entweder IPv4 oder IPv6 verwenden.

Wenn die IPsec-Funktion auf einem Cluster aktiviert ist, erfordert das Netzwerk einen oder mehrere Einträge in der ONTAP-Sicherheitsrichtliniendatenbank (SPD), die den verschiedenen Datenverkehrseigenschaften entsprechen. Diese Einträge werden den spezifischen Schutzdetails zugeordnet, die zum Verarbeiten und Senden der Daten erforderlich sind (z. B. Chiffre Suite und Authentifizierungsmethode). Ein entsprechender SPD-Eintrag ist ebenfalls bei jedem Client erforderlich.

Für bestimmte Arten von Datenverkehr ist möglicherweise eine andere Option zur Verschlüsselung von Daten in Bewegung vorzuziehen. Für die Verschlüsselung von NetApp SnapMirror- und Cluster-Peering-Datenverkehr wird beispielsweise das TLS-Protokoll (Transport Layer Security) anstelle von IPsec empfohlen. Das liegt daran, dass TLS in den meisten Situationen eine bessere Leistung bietet.

Verwandte Informationen

Weiterentwicklung der ONTAP IPsec-Implementierung

IPsec wurde erstmals mit ONTAP 9.8 eingeführt. Die Umsetzung hat sich wie unten beschrieben weiterentwickelt und verbessert.

Hinweis Wenn eine Funktion, die mit einer bestimmten ONTAP Version eingeführt wird, wird sie auch in nachfolgenden Versionen unterstützt, sofern nicht anders angegeben.
ONTAP 9.16.1

Mehrere kryptografische Vorgänge, wie Verschlüsselungs- und Integritätsprüfungen, können auf eine unterstützte NIC-Karte verlagert werden. Weitere Informationen finden Sie unter IPsec-Hardware-Offload-Funktion .

ONTAP 9.12.1

Die Unterstützung von IPsec-Front-End-Hostprotokollen ist in MetroCluster-IP- und MetroCluster-Fabric-Attached-Konfigurationen verfügbar. Die durch MetroCluster Cluster bereitgestellte IPsec-Unterstützung für Cluster ist auf Front-End-Host-Datenverkehr beschränkt und wird auf MetroCluster LIFs nicht unterstützt.

ONTAP 9.10.1

Zusätzlich zu den vorab freigegebenen Schlüsseln (PSKs) können Zertifikate für die IPsec-Authentifizierung verwendet werden. Vor ONTAP 9.10.1 werden nur PSKs zur Authentifizierung unterstützt.

ONTAP 9.9.1

Die von IPsec verwendeten Verschlüsselungsalgorithmen sind nach FIPS 140-2 validiert. Diese Algorithmen werden vom NetApp Cryptographic Module in ONTAP verarbeitet, das die FIPS 140-2-2-Validierung führt.

ONTAP 9,8

Die Unterstützung für IPsec wird basierend auf der Implementierung des Transportmodus zunächst verfügbar.

IPsec-Hardware-Offload-Funktion

Wenn Sie ONTAP 9.16.1 oder höher verwenden, haben Sie die Möglichkeit, bestimmte rechenintensive Vorgänge, wie z. B. Verschlüsselungs- und Integritätsprüfungen, auf eine am Storage-Node installierte NIC-Karte (Network Interface Controller) zu übertragen. Durch die Verwendung dieser Hardware-Offload-Option können die Leistung und der Durchsatz des durch IPsec geschützten Netzwerkverkehrs erheblich verbessert werden.

Anforderungen und Empfehlungen

Vor der Verwendung der IPsec-Hardware-Offload-Funktion sollten Sie mehrere Anforderungen beachten.

Unterstützte Ethernet-Karten

Auf den Storage Nodes müssen nur unterstützte Ethernet-Karten installiert und verwendet werden. Die folgenden Ethernet-Karten werden von ONTAP 9.16.1 unterstützt:

  • X50131A (2P, 40G/100G/200G/400G Ethernet-Controller CX7)

  • X60243A (4p, 10G/25G Ethernet-Controller CX7)

Umfang des Clusters

Die IPsec-Hardware-Offload-Funktion ist global für den Cluster konfiguriert. Und so wird der Befehl beispielsweise security ipsec config auf alle Nodes im Cluster angewendet.

Konsistente Konfiguration

Unterstützte NIC-Karten sollten auf allen Knoten im Cluster installiert werden. Wenn eine unterstützte NIC-Karte nur auf einigen Nodes verfügbar ist, wird nach einem Failover eine deutliche Performance-Verschlechterung angezeigt, wenn einige der LIFs nicht auf einer Offload-fähigen NIC gehostet werden.

Anti-Replay deaktivieren

Sie sollten den IPsec-Anti-Replay-Schutz unter ONTAP (Standardkonfiguration) und den IPsec-Clients deaktivieren. Wenn diese Option nicht deaktiviert ist, werden Fragmentierung und Multi-Path (redundante Route) nicht unterstützt.

Einschränkungen

Vor der Verwendung der IPsec-Hardware-Offload-Funktion sollten Sie mehrere Einschränkungen berücksichtigen.

IPv6

IP-Version 6 wird für die IPsec-Hardware-Offload-Funktion nicht unterstützt. IPv6 wird nur mit der IPsec-Softwareimplementierung unterstützt.

Erweiterte Sequenznummern

Die erweiterten IPsec-Sequenznummern werden von der Hardware-Offload-Funktion nicht unterstützt. Es werden nur die normalen 32-Bit-Sequenznummern verwendet.

Link-Aggregation

Die IPsec-Hardware-Offload-Funktion unterstützt keine Link-Aggregation. Und so kann es nicht mit einer Schnittstelle oder Link Aggregation Group verwendet werden, wie sie über die Befehle an der ONTAP CLI administriert network port ifgrp wird.

Konfigurationsunterstützung in der ONTAP-CLI

In ONTAP 9.16.1 werden drei vorhandene CLI-Befehle aktualisiert, um die IPsec-Hardware-Offload-Funktion wie unten beschrieben zu unterstützen. "Konfigurieren Sie die IP-Sicherheit in ONTAP"Weitere Informationen finden Sie unter.

ONTAP-Befehl Aktualisieren

security ipsec config show

Der boolesche Parameter Offload Enabled zeigt den aktuellen NIC-Offload-Status an.

security ipsec config modify

Mit dem Parameter is-offload-enabled kann die NIC-Offload-Funktion aktiviert oder deaktiviert werden.

security ipsec config show-ipsecsa

Vier neue Zähler wurden hinzugefügt, um den ein- und ausgehenden Datenverkehr in Byte und Paketen anzuzeigen.

Konfigurationsunterstützung in der ONTAP-REST-API

Zwei vorhandene REST-API-Endpunkte werden in ONTAP 9.16.1 aktualisiert, um die IPsec-Hardware-Offload-Funktion wie unten beschrieben zu unterstützen.

REST-Endpunkt Aktualisieren

/api/security/ipsec

Der Parameter offload_enabled wurde hinzugefügt und ist mit der PATCH-Methode verfügbar.

/api/security/ipsec/security_association

Zwei neue Zählerwerte wurden hinzugefügt, um die Gesamtzahl der von der Offload-Funktion verarbeiteten Bytes und Pakete zu verfolgen.

Weitere Informationen zur ONTAP REST-API einschließlich "Neuerungen bei der ONTAP REST API"finden Sie auf der Dokumentationswebsite zur ONTAP Automatisierung. Weitere Informationen zu den IPsec-Endpunkten finden Sie in derONTAP "API-Referenz"-Dokumentation.