Preparare l'utilizzo della protezione IP sulla rete ONTAP
Suggerisci modifiche
PDF
A partire da ONTAP 9.8, è possibile utilizzare la protezione IP (IPsec) per proteggere il traffico di rete. IPSec è una delle diverse opzioni di crittografia data-in-motion o in-flight disponibili con ONTAP. È necessario prepararsi a configurare IPsec prima di utilizzarlo in un ambiente di produzione.
Implementazione della protezione IP in ONTAP
IPSec è uno standard Internet gestito da IETF. Fornisce crittografia e integrità dei dati nonché autenticazione per il traffico che fluisce tra gli endpoint di rete a livello IP.
Con ONTAP, IPSec protegge tutto il traffico IP tra ONTAP e i vari client, inclusi i protocolli NFS, SMB e iSCSI. Oltre alla privacy e all'integrità dei dati, il traffico di rete è protetto da diversi attacchi, come il replay e gli attacchi man-in-the-middle. ONTAP utilizza l'implementazione della modalità di trasporto IPSec. Utilizza il protocollo IKE (Internet Key Exchange) versione 2 per negoziare il materiale chiave tra ONTAP e i client utilizzando IPv4 o IPv6.
Quando la funzionalità IPsec è attivata su un cluster, la rete richiede una o più voci nel database dei criteri di protezione ONTAP (SPD) corrispondenti alle varie caratteristiche del traffico. Queste voci vengono associate ai dettagli di protezione specifici necessari per elaborare e inviare i dati (ad esempio, la suite di crittografia e il metodo di autenticazione). È inoltre necessaria una voce SPD corrispondente in ogni client.
Per alcuni tipi di traffico, potrebbe essere preferibile un'altra opzione di crittografia dati in movimento. Ad esempio, per la crittografia del traffico NetApp SnapMirror e di peering dei cluster, si consiglia di utilizzare il protocollo TLS (Transport Layer Security) invece di IPSec. Ciò è dovuto al fatto che TLS offre prestazioni migliori nella maggior parte delle situazioni.
Evoluzione dell'implementazione di ONTAP IPSec
IPsec è stato introdotto per la prima volta con ONTAP 9.8. L'implementazione ha continuato a evolversi nelle successive versioni ONTAP , come descritto di seguito.
Il supporto per l'offload hardware IPsec è esteso a "gruppi di aggregazione di link" . "Chiavi pre-condivise postquantistiche (PPK)" sono supportati per l'autenticazione con chiavi pre-condivise IPsec (PSK).
Molte delle operazioni crittografiche, come la crittografia e i controlli di integrità, possono essere scaricate su una scheda NIC supportata. Per ulteriori informazioni, vedere Funzione di offload dell'hardware IPSec .
Il supporto del protocollo host front-end IPSec è disponibile nelle configurazioni fabric-attached MetroCluster IP e MetroCluster. Il supporto IPSec fornito con i cluster MetroCluster è limitato al traffico host front-end e non è supportato nelle LIF intercluster MetroCluster.
Oltre alle PSK, è possibile utilizzare i certificati per l'autenticazione IPsec. Prima di ONTAP 9.10.1, solo le PSK erano supportate per l'autenticazione.
Gli algoritmi di crittografia utilizzati da IPSec sono validati con FIPS 140-2-2. Questi algoritmi vengono elaborati dal modulo crittografico di NetApp in ONTAP che esegue la convalida FIPS 140-2.
Il supporto per IPsec diventa inizialmente disponibile in base all'implementazione della modalità di trasporto.
Funzione di offload dell'hardware IPSec
Se si utilizza ONTAP 9.16,1 o versioni successive, è possibile eseguire l'offload di alcune operazioni a elaborazione intensiva, come la crittografia e i controlli di integrità, a una scheda NIC (Network Interface Controller) installata nel nodo di storage. La velocità di trasmissione per le operazioni scaricate sulla scheda NIC è di circa il 5% o inferiore. Ciò può migliorare significativamente le prestazioni e la velocità effettiva del traffico di rete protetto da IPsec.
Requisiti e raccomandazioni
Prima di utilizzare la funzione di offload dell'hardware IPsec, è necessario prendere in considerazione diversi requisiti.
È necessario installare e utilizzare solo schede Ethernet supportate. Le seguenti schede Ethernet sono supportate a partire da ONTAP 9.16.1:
-
X50131A (controller Ethernet 2P, 40G/100g/200G/400G)
-
X60132A (controller Ethernet 4P, 10G/25g)
ONTAP 9.17.1 aggiunge il supporto per le seguenti schede Ethernet:
-
X50135A (controller Ethernet 2p, 40G/100G)
-
X60135A (controller Ethernet 2p, 40G/100G)
Le schede X50131A e X50135A sono supportate sulle seguenti piattaforme:
-
ASA A1K
-
ASA A90
-
ASA A70
-
AFF A1K
-
AFF A90
-
AFF A70
Le schede X60132A e X60135A sono supportate sulle seguenti piattaforme:
-
ASA A50
-
ASA A30
-
ASA A20
-
AFF A50
-
AFF A30
-
AFF A20
Vedi il "NetApp Hardware Universe" per maggiori informazioni sulle piattaforme e sulle schede supportate.
La funzione di offload dell'hardware IPSec è configurata globalmente per il cluster. Così, ad esempio, il comando security ipsec config si applica a tutti i nodi nel cluster.
Le schede NIC supportate devono essere installate in tutti i nodi del cluster. Se una scheda NIC supportata è disponibile solo su alcuni dei nodi, è possibile riscontrare un peggioramento significativo delle prestazioni dopo un failover se alcune LIF non sono ospitate su una NIC con funzionalità offload.
È necessario disattivare la protezione anti-replay IPsec su ONTAP (configurazione predefinita) e sui client IPsec. Se non è disattivata, la frammentazione e il percorso multiplo (percorso ridondante) non saranno supportati.
Se la configurazione IPsec di ONTAP è stata modificata rispetto all'impostazione predefinita per attivare la protezione anti-replay, utilizzare questo comando per disattivarla:
security ipsec config modify -replay-window 0È necessario verificare che la protezione anti-riproduzione IPsec sia disattivata sul client. Per disattivare la protezione anti-riproduzione, consultare la documentazione IPsec relativa al client.
Limitazioni
Prima di utilizzare la funzione di offload dell'hardware IPsec, è necessario prendere in considerazione diverse limitazioni.
IPv6 non è supportato per la funzionalità di offload hardware IPsec. IPv6 è supportato solo con l'implementazione software IPsec.
I numeri di sequenza estesi IPsec non sono supportati con la funzione di offload hardware. Vengono utilizzati solo i normali numeri di sequenza a 32 bit.
A partire da ONTAP 9.17.1, è possibile utilizzare la funzionalità di offload hardware IPsec con un "gruppo di aggregazione di link" .
Prima della versione 9.17.1, la funzionalità di offload hardware IPsec non supporta l'aggregazione di link. Non può essere utilizzata con un'interfaccia o un gruppo di aggregazione di link amministrato tramite network port ifgrp comandi nella CLI ONTAP .
Supporto di configurazione nell'interfaccia a riga di comando di ONTAP
Tre comandi CLI esistenti vengono aggiornati in ONTAP 9.16,1 per supportare la funzione di offload dell'hardware IPsec come descritto di seguito. Per ulteriori informazioni, vedere anche"Configurare la protezione IP in ONTAP".
| Comando ONTAP | Aggiornare |
|---|---|
|
Il parametro booleano |
|
Il parametro |
|
Sono stati aggiunti quattro nuovi contatori per visualizzare il traffico in entrata e in uscita in byte e pacchetti. |
Supporto della configurazione nell'API REST ONTAP
Due endpoint REST API esistenti vengono aggiornati in ONTAP 9.16,1 per supportare la funzione di offload hardware IPsec come descritto di seguito.
| Endpoint REST | Aggiornare |
|---|---|
|
Il parametro |
|
Sono stati aggiunti due nuovi valori del contatore per tenere traccia dei byte totali e dei pacchetti elaborati dalla funzione di offload. |
Ulteriori informazioni sull'API REST di ONTAP, incluso "Novità dell'API REST di ONTAP", nella documentazione di automazione di ONTAP. Per ulteriori informazioni su, consultare anche la documentazione relativa all'automazione di ONTAP "Endpoint IPSec" .