Isolierung von iSCSI-Endpunkten
Änderungen vorschlagen
PDFs
Ab ONTAP 9.1 wurden bestehende iSCSI-Sicherheitsbefehle auf den IP-Adressbereich oder mehrere IP-Adressen erweitert.
Alle iSCSI-Initiatoren müssen die Ursprung-IP-Adressen bereitstellen, wenn eine Sitzung oder Verbindung zu einem Ziel eingerichtet wird. Durch diese neue Funktion wird verhindert, dass sich ein Initiator beim Cluster anmelden kann, wenn die Ursprung-IP-Adresse nicht unterstützt oder unbekannt ist und somit ein eindeutiges Identifikationsschema bereitgestellt wird. Jeder Initiator, der von einer nicht unterstützten oder unbekannten IP-Adresse stammt, wird seine Anmeldung auf der iSCSI-Sitzungsebene abgelehnt. Dies verhindert, dass der Initiator auf beliebige LUNs oder Volumes innerhalb des Clusters zugreift.
Implementieren Sie diese neue Funktion mit zwei neuen Befehlen, um bereits vorhandene Einträge zu verwalten.
Fügen Sie den Adressbereich des Initiators hinzu
Verbessern Sie die Sicherheitsverwaltung von iSCSI-Initiatoren, indem Sie einen IP-Adressbereich oder mehrere IP-Adressen mit dem vserver iscsi security add-initiator-address-range Befehl hinzufügen.
cluster1::> vserver iscsi security add-initiator-address-range
Entfernen Sie den Adressbereich des Initiators
Entfernen Sie einen IP-Adressbereich oder mehrere IP-Adressen mit dem vserver iscsi security remove-initiator-address-range Befehl.
cluster1::> vserver iscsi security remove-initiator-address-range