日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

リリースごとのネットワーク機能

寄稿者 netapp-barbe このページの PDF をダウンロード

各 ONTAP 9 リリースで使用できるネットワーク機能の影響を分析する。

最初から利用可能です フィーチャー( Feature ) 説明

ONTAP 9.9.1

クラスタの耐障害性

クラスタの耐障害性と診断に関する次の改善点によって、カスタマーエクスペリエンスが向上します。

  • ポートの監視と回避:

    • 2 ノードスイッチレスクラスタ構成では、パケット損失(接続の切断)が発生するポートが回避されます。以前は、この機能はスイッチを使用する構成でのみ使用できました。

  • 自動ノードフェイルオーバー:

    • クラスタネットワークをまたいでデータを提供できないノードは、ディスクを所有することはできません。パートナーが健全な場合は、代わりに HA パートナーにテイクオーバーする必要があります。

  • 接続の問題を分析するコマンドは次のとおりです。

    • 次のコマンドを使用して、どのクラスタパスでパケット損失が発生しているかを表示します。「 network interface check cluster-connectivity show 」

ONTAP 9.9.1

VIP LIF の機能拡張

仮想 IP ( VIP )ボーダーゲートウェイプロトコル( BGP )機能を拡張するために、次のフィールドが追加されました。

  • -ASN または -peer-ASN ( 4 バイト値):属性自体は新規ではありませんが、現在は 4 バイトの整数を使用しています。

  • - med

  • -use-peer-as ネクストホップ

「 ASN_INTEGER 」パラメータには、 Autonomous System Number ( ASN; 自律システム番号)またはピア ASN を指定します。

  • ONTAP 9.8 以降では、 BGP の ASN は 2 バイトの非負の整数をサポートします。これは 16 ビットの数値です( 0 ~ 64511 を使用可能)。

  • ONTAP 9.9..1 以降では、 BGP の ASN は 4 バイトの非負の整数( 65536 ~ 4294967295 )をサポートしています。デフォルトの ASN は 65501 です。ASN 23456 は、 4 バイト ASN 機能を発表していないピアとの ONTAP セッション確立用に予約されています。

パスの優先順位付けをサポートする Multi-Exit Discriminator ( MED )を使用して、高度なルート選択を行うことができます。MED は、トラフィックに最適なルートを選択するようにルータに指示する BGP アップデートメッセージのオプション属性です。MED は符号なしの 32 ビット整数( 0 ~ 4294967295 )であり、小さい方の値が推奨されます。

VIP BGP では、 BGP ピアグループ化を使用して設定を簡素化するデフォルトルート自動化が提供されます。ONTAP では、 BGP ピアが同じサブネット上にある場合、 BGP ピアをネクストホップルータとして使用してデフォルトルートを簡単に学習できます。この機能を使用するには、「 -use-peer-as next-hop 」属性を「 true 」に設定します。デフォルトでは、この属性は「 false 」です。

ONTAP 9.8

自動ポート配置

ONTAP では、ブロードキャストドメインを自動的に設定し、ポートを選択して、到達可能性とネットワークトポロジの検出に基づいてネットワークインターフェイス( LIF )、仮想 LAN ( VLAN )、およびリンクアグリゲーショングループ( LAG )を設定できます。

クラスタを初めて作成すると、ポートに接続されているネットワークが ONTAP によって自動的に検出され、レイヤ 2 の到達可能性に基づいて必要なブロードキャストドメインが設定されます。ブロードキャストドメインを手動で設定する必要がなくなりました。

次の 2 つの IPspace を使用した新しいクラスタの作成が続行されます:

  • クラスタ IPspace * :クラスタインターコネクト用のブロードキャストドメインを 1 つ含む。この設定には触れないでください。

  • Default IPspace * :残りのポート用のブロードキャストドメインを 1 つ以上含みます。ネットワークトポロジに応じて、 ONTAP は追加のブロードキャストドメインを必要に応じて設定します。 Default-1 、 Default-2 などです。これらのブロードキャストドメインの名前は必要に応じて変更できますが、それらのブロードキャストドメインに設定されているポートは変更できません。

ネットワークインターフェイスを設定する場合、ホームポートの選択はオプションです。ホームポートを手動で選択しない場合、 ONTAP は、同じサブネット内の他のネットワークインターフェイスと同じブロードキャストドメイン内の適切なホームポートを割り当てようとします。

VLAN を作成するか、新たに作成された LAG に最初のポートを追加すると、 ONTAP はレイヤ 2 の到達可能性に基づいて、 VLAN または LAG を適切なブロードキャストドメインに自動的に割り当てようとします。

ブロードキャストドメインとポートが自動的に設定されるため、 ONTAP を使用して、クラスタ内の別のポートまたはノードへのフェイルオーバー時にクライアントが引き続きデータにアクセスできます。

最後に、ポートの到達可能性が正しくないことが検出されると、 ONTAP は EMS メッセージを送信し、「 network port reachability repair repair repair repair repair コマンド」によって一般的な設定ミスを自動的に修復します。

ONTAP 9.8

ワイヤ暗号化による Internet Protocol security ( IPsec; インターネットプロトコルセキュリティ)

転送中もデータの安全性と暗号化を維持するために、 ONTAP は転送モードで IPSec プロトコルを使用します。IPSec では、 NFS 、 iSCSI 、 SMB/CIFS の各プロトコルを含むすべての IP トラフィックを暗号化できます。IPSec では、 iSCSI トラフィックに対して転送中の暗号化オプションのみが提供されます。

IPSec を設定すると、リプレイ攻撃や中間者( MITM )攻撃に対抗するための予防措置を講じて、クライアントと ONTAP 間のネットワークトラフィックを保護できます。

ONTAP 9.8

仮想 IP ( VIP )の拡張

「 network bgp peer-group 」コマンドに新しいフィールドが追加されました。この拡張により、仮想 IP ( VIP )に 2 つの Border Gateway Protocol ( BGP; ボーダーゲートウェイプロトコル)アトリビュートを追加で設定できます。

  • AS path prepend * :他の要素が等しい場合、 BGP は、 Shortest AS (自律システム)パスを持つルートを選択します。オプションの AS パスプリペンド属性を使用して、 Autonomous System Number ( ASN; 自律システム番号)を繰り返すことができます。これにより、 AS パス属性の長さが増加します。最短 AS パスを使用したルート更新が、レシーバによって選択されます。

*BGP コミュニティ *: BGP コミュニティ属性は、ルートアップデートに割り当てることができる 32 ビットタグです。各ルートアップデートには、 1 つ以上の BGP コミュニティタグを含めることができます。プレフィックスを受信するネイバーは、コミュニティ値を調べ、フィルタリングや、再配布のための特定のルーティングポリシーの適用などのアクションを実行できます。

ONTAP 9.8

スイッチ CLI の簡易化

スイッチコマンドを簡易化するために、クラスタおよびストレージスイッチ CLI が統合されました。統合スイッチ CLI には、イーサネットスイッチ、 FC スイッチ、 ATTO プロトコルブリッジが含まれます。

「 system cluster-switch 」コマンドと「 system storage-switch 」コマンドを別々に使用する代わりに、「 system switch 」を使用するようになりました。ATTO プロトコルブリッジには、「ストレージブリッジ」ではなく「システムブリッジ」を使用します。

スイッチヘルスの監視機能も同様に拡張され、ストレージスイッチとクラスタインターコネクトスイッチを監視できるようになりました。「 client_device 」テーブルの「 cluster_network 」にあるクラスタインターコネクトの健常性情報を確認できます。「 client_device 」テーブルの「 storage_network 」下にあるストレージスイッチの健常性情報を確認できます。

ONTAP 9.8

IPv6 変数の長さ

サポートされる IPv6 変数プレフィックス長の範囲が、 64 ビットから 1 ビットから 127 ビットに拡張されました。ビット 128 の値は仮想 IP ( VIP )用に予約されたままです。

アップグレード時には、最後のノードが更新されるまで、 64 ビット以外の VIP 以外の LIF の長さはブロックされます。

アップグレードをリバートすると、 64 ビット以外のプレフィックスの VIP 以外の LIF がないかどうかが確認されます。見つかった場合は、問題の LIF を削除または変更するまでリバートをブロックします。VIP LIF はチェックされません。

ONTAP 9.7

自動 portmap サービス

portmap サービスは、 RPC サービスを RPC サービスがリスンするポートにマッピングします。

ONTAP 9.3 以前では portmap サービスに常にアクセス可能で、 ONTAP 9.4 から ONTAP 9.6 では設定可能で、 ONTAP 9.7 以降では自動的に管理されます。

  • ONTAP 9.3 以前 * :サードパーティのファイアウォールではなく組み込みの ONTAP ファイアウォールを使用するネットワーク構成では、ポート 111 で portmap サービス( rpcbind )へのアクセスが常に許可されます。

  • ONTAP 9.4 から ONTAP 9.6 * :ファイアウォールポリシーを変更して、 portmap サービスへのアクセスを許可するかどうかを LIF ごとに制御できます。

  • ONTAP 9.7 以降 * : portmap ファイアウォールサービスは廃止されています。代わりに、 NFS サービスをサポートするすべての LIF に対して portmap ポートが自動的に開きます。

ONTAP 9.7

キャッシュ検索

NIS の「 netgroup.hostyhost」 エントリは、「 vserver services name-service nis-domain netgroup-domain 」コマンドを使用してキャッシュできます。

ONTAP 9.6

立方体( Cubic

Cubic は、 ONTAP ハードウェアのデフォルトの TCP 輻輳制御アルゴリズムです。ONTAP 9.5 以前のデフォルト TCP 輻輳制御アルゴリズムである NewReno に代わって Cubic が使用されています。

立方は、 RTT ( High Round Trip Times )を含む、 LFN ( Long 、 Fat Network )の問題に対処します。立方が輻輳を検出し、回避します。Cubic は、ほとんどの環境でパフォーマンスを向上させます。

ONTAP 9.6

LIF のロールは LIF のサービスポリシーに置き換えられます

LIF のロールの代わりに、 LIF でサポートされるトラフィックの種類を決定するサービスポリシーを LIF に割り当てることができます。サービスポリシーは、 LIF でサポートされる一連のネットワークサービスを定義します。ONTAP には、 LIF に関連付けることができる一連の組み込みのサービスポリシーが用意されています。

ONTAP でサポートされるサービスポリシーは ONTAP 9.5 以降です。ただし、サービスポリシーを使用できるサービスの数は限られています。ONTAP 9.6 以降では、 LIF のロールは廃止され、すべてのタイプのサービスについてサービスポリシーがサポートされています。

ONTAP 9.5

NTPv3 のサポート

ネットワークタイムプロトコル( NTP )バージョン 3 には SHA-1 鍵を使用した対称認証が含まれており、これによりネットワークセキュリティが向上します。

ONTAP 9.5

SSH ログインのセキュリティアラート

Secure Shell ( SSH ) admin ユーザとしてログインした場合は、前回のログイン、ログイン失敗、および前回のログイン成功後のロールと権限の変更に関する情報を表示できます。

ONTAP 9.5

LIF のサービスポリシー

新しいサービスポリシーを作成するか、組み込みのポリシーを使用できます。1 つ以上の LIF にサービスポリシーを割り当てることで、 1 つまたは一連のサービスのトラフィックの処理を LIF に許可することができます。

ONTAP 9.5

VIP LIF と BGP がサポートされます

VIP データ LIF は、どのサブネットにも属さない、同じ IPspace 内の Border Gateway Protocol ( BGP ) LIF をホストするすべてのポートから到達できる LIF です。VIP データ LIF を使用すると、ホストは個別のネットワークインターフェイスに依存しなくなります。

ONTAP 9.5

マルチパスルーティング

マルチパスルーティングは、デスティネーションへの使用可能なすべてのルートを利用してロードバランシングを提供します。

ONTAP 9.4

portmap サービス

portmap サービスは、リモート手順コール( RPC )サービスをリスンするポートにマッピングします。

ONTAP 9.3 以前では、 portmap サービスに常にアクセスできます。ONTAP 9.4 以降では、 portmap サービスを設定できます。

ファイアウォールポリシーを変更して、 portmap サービスへのアクセスを許可するかどうかを LIF ごとに制御できます。

ONTAP 9.4

LDAP または NIS に対する SSH MFA

LDAP または NIS に対する SSH 多要素認証( MFA )では、リモートユーザの認証に公開鍵と nsswitch を使用します。

ONTAP 9.3

SSH MFA

ローカル管理者アカウント用の SSH MFA では、ローカルユーザの認証に公開鍵とパスワードを使用します。

ONTAP 9.3

SAML 認証

Security Assertion Markup Language ( SAML )認証を使用して、サービスプロセッサインフラストラクチャ( spi )、 ONTAP API 、 OnCommand システムマネージャなどの Web サービスに MFA を設定できます。

ONTAP 9.2

SSH ログインの試行

総当たり攻撃に対する SSH ログイン試行の失敗の最大回数を設定できます。

ONTAP 9.2

デジタルセキュリティ証明書

ONTAP では、デジタル証明書のセキュリティのサポートが強化されています。 Online Certificate Status Protocol ( OCSP )がサポートされるようになり、デフォルトのセキュリティ証明書があらかじめインストールされています。

ONTAP 9.2

FastPath の略

パフォーマンスと耐障害性を向上させるためのネットワークスタックの更新の一環として、 ONTAP 9.2 以降のリリースではファストパスルーティングのサポートが廃止されました。これは、不適切なルーティングテーブルに関する問題を特定することが困難であるためです。したがって、ノードシェルで次のオプションを設定できなくなり、 ONTAP 9.2 以降にアップグレードするとファストパスの既存の設定は無効になります。

ip.fastpath.enable

ONTAP 9.1

SNMPv3 トラップホストのセキュリティ

SNMPv3 トラップホストは、 User-based Security Model ( USM ;ユーザベースのセキュリティモデル)セキュリティを使用して設定できます。この機能拡張により、事前に定義された USM ユーザの認証 / プライバシークレデンシャルを使用して SNMPv3 トラップを生成できます。

ONTAP 9.0

IPv6

Dynamic DNS ( DDNS ;動的 DNS )ネームサービスは IPv6 LIF で使用できます。

ONTAP 9.0

ノードあたりの LIF 数

一部のシステムで、ノードあたりのサポートされる LIF の数が増加しています。指定した ONTAP リリースの各プラットフォームでサポートされる LIF の数については、 Hardware Universe を参照してください。

ONTAP 9.0

LIF の管理

ONTAP と System Manager は、ネットワークポートの障害を自動的に検出して分離します。LIF は、デグレード状態のポートから正常なポートに自動的に移行されます。

ONTAP 9.0

LLDP

リンク層検出プロトコル( LLDP )は、 ONTAP システムとスイッチまたはルータ間のケーブル接続を検証およびトラブルシューティングするためのベンダーに依存しないインターフェイスを提供します。これは、 Cisco Systems が開発したリンクレイヤプロトコルである Cisco Discovery Protocol ( CDP )に代わるものです。

ONTAP 9.0

DSCP マーキングを使用した UC 準拠

統合機能( UC )は、 Differentiated Services Code Point ( DSCP )マーキングに準拠しています。

Differentiated Services Code Point ( DSCP )マーキングは、ネットワークトラフィックを分類および管理するためのメカニズムであり、 Unified Capabilities ( UC )準拠のコンポーネントです。デフォルトまたはユーザが指定した DSCP コードを使用して、特定のプロトコルの発信(出力) IP パケットトラフィックで DSCP マーキングをイネーブルにできます。

特定のプロトコルに対して DSCP マーキングを有効にするときに DSCP 値を指定しない場合は、デフォルトが使用されます。

  • 0x0A ( 10 ) * :データプロトコル / トラフィックのデフォルト値。

  • 0x30 (48)* :制御プロトコル / トラフィックのデフォルト値。

ONTAP 9.0

SHA-2 パスワードハッシュ関数

パスワードのセキュリティを強化するため、 ONTAP 9 では SHA-2 パスワードハッシュ関数をサポートし、デフォルトで SHA-512 を使用して、新規作成または変更されたパスワードのハッシュ化を行います。

パスワードが変更されていない既存のユーザアカウントでは、 ONTAP 9 以降へのアップグレード後も引き続き MD5 ハッシュ関数が使用されます。ユーザは引き続き自分のアカウントにアクセスできます。ただし、ユーザにパスワードの変更を指示し、 MD5 アカウントを SHA-512 に移行することを推奨します。

ONTAP 9.0

FIPS 140-2 をサポート

クラスタ全体のコントロールプレーン Web サービスインターフェイスに対して、 Federal Information Processing Standard ( FIPS ) 140-2 準拠モードを有効にすることができます。

デフォルトでは、 FIPS 140-2 のみのモードは無効になっています。