简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

按版本查看网络功能

提供者 netapp-barbe 下载此页面的 PDF

分析每个 ONTAP 9 版本提供的网络功能的影响。

可从一开始使用 功能 说明

ONTAP 9.9.1

集群故障恢复能力

以下集群故障恢复能力和诊断改进可改善客户体验:

  • 端口监控和避免:

    • 在双节点无交换机集群配置中,系统可避免发生总数据包丢失(连接丢失)的端口。以前,此功能仅在交换配置中可用。

  • 自动节点故障转移:

    • 如果节点无法通过其集群网络提供数据,则该节点不应拥有任何磁盘。相反,如果其 HA 配对节点运行状况良好,则应接管该配对节点。

  • 用于分析连接问题的命令:

    • 使用以下命令显示哪些集群路径出现数据包丢失: network interface check cluster-connectivity show

ONTAP 9.9.1

VIP LIF 增强功能

添加了以下字段以扩展虚拟 IP ( VIP )边界网关协议( BGP )功能:

  • -ASN 或 -peer-ASN ( 4 字节值)属性本身不是新属性,但现在使用 4 字节整数。

  • -med

  • -use-peer-as 下一跳

ASN_integer 参数指定自治系统编号( ASN )或对等 ASN 。

  • 从 ONTAP 9.8 开始,适用于 BGP 的 ASN 支持一个 2 字节非负整数。这是一个 16 位数( 0 - 64511 可用值)。

  • 从 ONTAP 9.1.1 开始,适用于 BGP 的 ASN 支持一个 4 字节非负整数( 65536 - 4294967295 )。默认 ASN 为 65501 。ASN 23456 保留用于与未公布 4 字节 ASN 功能的对等方建立 ONTAP 会话。

您可以通过多出口鉴别器( Multi-Exit Mixator , MED )支持进行高级路由选择,以确定路径优先级。Med 是 BGP 更新消息中的一个可选属性,用于指示路由器为流量选择最佳路由。MED 是一个无符号的 32 位整数( 0 - 4294967295 );最好使用更低的值。

VIP BGP 使用 BGP 对等分组提供默认路由自动化,以简化配置。当 BGP 对等方位于同一子网上时, ONTAP 可以使用 BGP 对等方作为下一跳路由器来学习默认路由,这种方法非常简单。要使用此功能,请将 ` -use-peer-as -next 跃点` 属性设置为 true 。默认情况下,此属性为 false

ONTAP 9.8

自动端口放置

ONTAP 可以根据可访问性和网络拓扑检测功能自动配置广播域,选择端口,并帮助配置网络接口( LIF ),虚拟 LAN ( VLAN )和链路聚合组(链路聚合组)。

首次创建集群时, ONTAP 会自动发现连接到端口的网络,并根据第 2 层可访问性配置所需的广播域。您不再需要手动配置广播域。

将继续创建一个包含两个 IP 空间的新集群:

  • 集群 IP 空间 * :包含一个用于集群互连的广播域。切勿触摸此配置。

  • 默认 IP 空间 * :包含其余端口的一个或多个广播域。根据您的网络拓扑, ONTAP 会根据需要配置其他广播域: default-1 , Default-2 等。您可以根据需要重命名这些广播域,但不修改在这些广播域中配置的端口。

配置网络接口时,可以选择主端口。如果不手动选择主端口, ONTAP 将尝试在同一广播域中分配与同一子网中的其他网络接口相应的主端口。

创建 VLAN 或将第一个端口添加到新创建的 LAG 时, ONTAP 将尝试根据其第 2 层可访问性自动将 VLAN 或 LAG 分配给相应的广播域。

通过自动配置广播域和端口, ONTAP 有助于确保客户端在故障转移到集群中的其他端口或节点期间能够保持对其数据的访问。

最后, ONTAP 会在检测到端口可访问性不正确时发送 EMS 消息,并提供 "network port reachability repair" 命令来自动修复常见的错误配置。

ONTAP 9.8

基于线缆加密的 Internet 协议安全性( Internet Protocol Security , IPsec )

为了确保数据持续安全和加密,即使在传输期间, ONTAP 也会在传输模式下使用 IPsec 协议。IPsec 为所有 IP 流量提供数据加密,包括 NFS , iSCSI 和 SMB/CIFS 协议。IPsec 为 iSCSI 流量提供了唯一的传输加密选项。

配置 IPsec 后,客户端和 ONTAP 之间的网络流量将通过预防措施得到保护,以防止重放和中间人( MIM )攻击。

ONTAP 9.8

虚拟 IP ( VIP )扩展

已在 network BGP peer-group 命令中添加新字段。通过此扩展,您可以为虚拟 IP ( VIP )配置两个额外的边界网关协议( BGP )属性。

  • 作为路径预处理 * :其他因素相同, BGP 更愿意选择具有最短 AS (自治系统)路径的路由。您可以使用可选的 as path prepend 属性重复自动系统编号( ASN ),从而增加 AS 路径属性的长度。接收器将选择最短 AS 路径的路由更新。

  • BGP community* : BGP community 属性是一个 32 位标记,可分配给路由更新。每个路由更新都可以具有一个或多个 BGP 社区标记。接收前缀的邻居可以检查社区值并执行筛选或应用特定路由策略以进行重新分配等操作。

ONTAP 9.8

简化交换机命令行界面

为了简化交换机命令,整合了集群和存储交换机 CLI 。整合的交换机 CLI 包括以太网交换机, FC 交换机和 ATTO 协议网桥。

现在,您不再使用单独的 system cluster-switch 和 system storage-switch 命令,而是使用 system switch 命令。对于 ATTO 协议网桥,请使用 " 系统网桥 " ,而不是使用 " 存储网桥 " 。

同样,交换机运行状况监控功能也进行了扩展,可以监控存储交换机以及集群互连交换机。您可以在 "client_device" 表的 "cluster_network" 下查看集群互连的运行状况信息。您可以在 "client_device" 表的 "storage_network" 下查看存储交换机的运行状况信息。

ONTAP 9.8

IPv6 变量长度

支持的 IPv6 可变前缀长度范围已从 64 位增加到 1 位到 127 位。位 128 的值仍为虚拟 IP ( VIP )预留。

升级时,除 64 位以外的非 VIP LIF 长度将被阻止,直到最后一个节点更新为止。

还原升级时,还原会检查任何非 VIP LIF 是否存在 64 位以外的任何前缀。如果找到此选项,则此复选框将阻止还原,直到您删除或修改出现问题的 LIF 为止。未检查 VIP LIF 。

ONTAP 9.7

自动端口映射服务

portmap 服务会将 RPC 服务映射到它们侦听的端口。

portmap 服务在 ONTAP 9.3 及更早版本中始终可访问,可在 ONTAP 9.4 至 ONTAP 9.6 中配置,并从 ONTAP 9.7 开始自动进行管理。

  • 在 ONTAP 9.3 及更早版本 * 中:在依赖内置 ONTAP 防火墙而非第三方防火墙的网络配置中,端口 111 上始终可以访问 portmap 服务( rpcbind )。

  • 从 ONTAP 9.4 到 ONTAP 9.6* :您可以修改防火墙策略以控制是否可通过特定 LIF 访问 portmap 服务。

  • 从 ONTAP 9.7* 开始:不再提供 portmap 防火墙服务。而是会自动为支持 NFS 服务的所有 LIF 打开 portmap 端口。

ONTAP 9.7

缓存搜索

您可以使用 vserver services name-service nis-domain netgroup-database 命令缓存 NIS netgroup.byHost 条目。

ONTAP 9.6

立方

Cubic 是 ONTAP 硬件的默认 TCP 拥塞控制算法。Cubic 取代了 ONTAP 9.5 及更早版本的默认 TCP 拥塞控制算法 NewReno 。

Cubic 可解决长胖网络( LIF )的问题,包括高往返时间( RTT )。Cubic 可检测并避免拥塞。Cubic 可提高大多数环境的性能。

ONTAP 9.6

LIF 服务策略取代了 LIF 角色

您可以为 LIF 分配服务策略(而不是 LIF 角色),以确定 LIF 支持的流量类型。服务策略定义 LIF 支持的一组网络服务。ONTAP 提供了一组可与 LIF 关联的内置服务策略。

ONTAP 支持从 ONTAP 9.5 开始的服务策略;但是,服务策略只能用于配置有限数量的服务。从 ONTAP 9.6 开始, LIF 角色已弃用,所有类型的服务均支持服务策略。

ONTAP 9.5

NTPv3 支持

网络时间协议( NTP )版本 3 包括使用 SHA-1 密钥的对称身份验证,可提高网络安全性。

ONTAP 9.5

SSH 登录安全警报

当您以安全 Shell ( SSH )管理员用户身份登录时,您可以查看有关先前登录,失败登录尝试以及自上次成功登录以来角色和权限更改的信息。

ONTAP 9.5

LIF 服务策略

您可以创建新的服务策略或使用内置策略。您可以将服务策略分配给一个或多个 LIF ,从而使 LIF 能够传输单个服务或一系列服务的流量。

ONTAP 9.5

VIP LIF 和 BGP 支持

VIP 数据 LIF 不属于任何子网,可从同一 IP 空间中托管边界网关协议( BGP ) LIF 的所有端口访问。VIP 数据 LIF 可消除主机对各个网络接口的依赖。

ONTAP 9.5

多路径路由

多路径路由可利用所有可用的目标路由来实现负载平衡。

ONTAP 9.4

portmap 服务

portmap 服务会将远程操作步骤调用( RPC )服务映射到其侦听的端口。

在 ONTAP 9.3 及更早版本中, portmap 服务始终可访问。从 ONTAP 9.4 开始, portmap 服务是可配置的。

您可以修改防火墙策略,以控制是否可在特定 LIF 上访问 portmap 服务。

ONTAP 9.4

用于 LDAP 或 NIS 的 SSH MFA

适用于 LDAP 或 NIS 的 SSH 多因素身份验证( MFA )使用公有密钥和 nsswitch 对远程用户进行身份验证。

ONTAP 9.3

SSH MFA

适用于本地管理员帐户的 SSH MFA 使用公有密钥和密码对本地用户进行身份验证。

ONTAP 9.3

SAML 身份验证

您可以使用安全断言标记语言( SAML )身份验证为服务处理器基础架构( Service Processor Infrastructure , SPI ), ONTAP API 和 OnCommand System Manager 等 Web 服务配置 MFA 。

ONTAP 9.2

SSH 登录尝试次数

您可以配置 SSH 登录尝试失败的最大次数,以防止遭受暴力破解攻击。

ONTAP 9.2

数字安全证书

ONTAP 通过联机证书状态协议( Online Certificate Status Protocol , OCSP )和预安装的默认安全证书增强了对数字证书安全性的支持。

ONTAP 9.2

快速路径

在为提高性能和故障恢复能力而进行的网络堆栈更新中, ONTAP 9.2 及更高版本删除了快速路径路由支持,因为这使得很难识别路由表不正确的问题。因此,无法再在 nodeshell 中设置以下选项,并且在升级到 ONTAP 9.2 及更高版本时,现有的快速路径配置将被禁用:

ip.fastpath.enable

ONTAP 9.1

SNMPv3 陷阱主机的安全性

您可以使用基于用户的安全模型( USM )安全性配置 SNMPv3 陷阱主机。通过此增强功能,可以使用预定义的 USM 用户身份验证和隐私凭据生成 SNMPv3 陷阱。

ONTAP 9.0

IPv6

动态 DNS ( DDNS )名称服务可在 IPv6 LIF 上使用。

ONTAP 9.0

每个节点的 LIF 数

对于某些系统,每个节点支持的 LIF 数量有所增加。有关指定 ONTAP 版本中每个平台支持的 LIF 数量,请参见 Hardware Universe 。

ONTAP 9.0

LIF 管理

ONTAP 和 System Manager 可自动检测和隔离网络端口故障。LIF 会自动从已降级的端口迁移到运行正常的端口。

ONTAP 9.0

LLDP

链路层发现协议( Link Layer Discovery Protocol , LLDP )提供了一个供应商中立的接口,用于验证 ONTAP 系统与交换机或路由器之间的布线并对其进行故障排除。它是 Cisco 发现协议( CDP )的替代方案, CDP 是 Cisco Systems 开发的一种专有链路层协议。

ONTAP 9.0

UC 与 DSCP 标记的合规性

统一功能( UC )与差分服务代码点( DSCP )标记的合规性。

差分服务代码点( DSCP )标记是一种用于对网络流量进行分类和管理的机制,是统一功能( Unified Capability , UC )合规性的组成部分。您可以使用默认或用户提供的 DSCP 代码对给定协议的传出(传出) IP 数据包流量启用 DSCP 标记。

如果在为给定协议启用 DSCP 标记时未提供 DSCP 值,则会使用默认值:

  • 0x0A ( 10 ) * :数据协议 / 流量的默认值。

  • 0x30 ( 48 ) * :控制协议 / 流量的默认值。

ONTAP 9.0

SHA-2 密码哈希函数

为了增强密码安全性, ONTAP 9 支持 SHA-2 密码哈希函数,并默认使用 SHA-512 哈希新创建或更改的密码。

升级到 ONTAP 9 或更高版本后,密码未更改的现有用户帐户仍会使用 MD5 哈希函数,用户可以继续访问其帐户。但是,强烈建议您通过让用户更改密码将 MD5 帐户迁移到 SHA-512 。

ONTAP 9.0

支持 FIPS 140-2

您可以为集群范围控制平面 Web 服务接口启用联邦信息处理标准( FIPS ) 140-2 合规模式。

默认情况下,仅 FIPS 140-2 模式处于禁用状态。