IPsec是IETF维护的一种Internet标准。它可以为IP级别网络端点之间的流量提供数据加密和完整性以及身份验证。

通过ONTAP、IPsec可保护ONTAP与各种客户端之间的所有IP流量、包括NFS、SMB和iSCSI协议。除了隐私和数据完整性之外、网络流量还可以抵御多种攻击、例如重放攻击和中间人攻击。ONTAP使用IPsec传输模式实现。它利用Internet密钥交换(IKE)协议版本2在ONTAP和使用IPv4或IPv6的客户端之间协商密钥材料。

如果在集群上启用了IPsec功能、则网络需要在ONTAP安全策略数据库(SPD)中有一个或多个与各种流量特征匹配的条目。这些条目映射到处理和发送数据所需的特定保护详细信息(例如密码套件和身份验证方法)。每个客户端还需要相应的SPD条目。

对于某些类型的流量、另一种移动数据加密选项可能更好。例如、对于NetApp SnapMirror和集群对等流量的加密、通常建议使用传输层安全(Transport Layer Security、TLS)协议、而不是IPsec。这是因为在大多数情况下、TLS的性能会更高。

IPsec 最初是在ONTAP 9.8 中引入的。该实现在后续ONTAP版本中不断发展，如下所述。

IPsec 硬件卸载支持扩展至"链路聚合组" 。"后量子预共享密钥（PPK）"支持 IPsec 预共享密钥 (PSK) 身份验证。

加密和完整性检查等多个加密操作可以卸载到受支持的NIC卡。有关详细信息、请参见 IPsec硬件卸载功能 。

MetroCluster IP和MetroCluster光纤连接配置支持IPSec前端主机协议。随MetroCluster集群提供的IPsec支持仅限于前端主机流量、MetroCluster集群间LIS不支持此功能。

除了 PSK 之外，证书还可用于 IPsec 身份验证。在ONTAP 9.10.1 之前的版本中，仅支持使用 PSK 进行身份验证。

IPsec使用的加密算法已通过FIPS 140-2验证。这些算法由ONTAP中的NetApp加密模块处理、该模块执行FIPS 140-2验证。

根据传输模式的实现情况，最初可提供对IPsec的支持。

如果您使用的是NIC.161或更高版本、则可以选择将某些计算密集型操作(例如加密和完整性检查)卸载到存储节点上安装的网络接口控制器(ONTAP 9)卡。卸载到NIC卡的操作吞吐量约为5%或更少。这可以显著提高受IPsec保护的网络流量的性能和吞吐量。