iSCSI 端点隔离

从 ONTAP 9.1 开始,现有的 iSCSI 安全命令已得到增强,可接受 IP 地址范围或多个 IP 地址。

在与目标建立会话或连接时,所有 iSCSI 启动程序都必须提供源 IP 地址。如果源 IP 地址不受支持或未知,则这一新增功能可以防止启动程序登录到集群,从而提供一个唯一的标识方案。对于来自不受支持或未知 IP 地址的任何启动程序,系统将在 iSCSI 会话层拒绝其登录,从而防止该启动程序访问集群中的任何 LUN 或卷。

可以使用两个新命令实施这一新功能来管理原有的条目。

添加启动程序地址范围

可通过 vserver iscsi security add-initiator-address-range 命令添加 IP 地址范围或多个 IP 地址来改进 iSCSI 启动程序安全管理。

cluster1::> vserver iscsi security add-initiator-address-range

删除启动程序地址范围

可通过 vserver iscsi security remove-initiator-address-range 命令删除 IP 地址范围或多个 IP 地址。

cluster1::> vserver iscsi security remove-initiator-address-range