Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

透過有線加密設定IP安全性(IPsec)

貢獻者
PDF

ONTAP 在傳輸模式中使用網際網路傳輸協定安全性( IPsec )、確保資料即使在傳輸過程中也能持續安全且加密。IPsec為所有IP流量提供資料加密、包括NFS、iSCSI和SMB傳輸協定。

從ONTAP 推出支援支援功能的支援功能支援支援功能的功能範例、從功能性支援功能支援功能的支援功能範例起、MetroCluster 可從功能性支援功能的支援功能範例中選擇支援功能MetroCluster 。
支援的IPsec MetroCluster 僅限於前端主機流量、MetroCluster 不受支援於叢集間的LIF。

從ONTAP 版本號《21:1:2:1:2:2:2:2:2:2:2:2:2:2:2:2:2:2:2:2:2:2:2:2以前只有PSDK受IPsec支援。

從ONTAP 靜止9.9.1開始、IPsec使用的加密演算法已通過FIPS 140-2驗證。這些演算法是由ONTAP NetApp的《NetApp Cryptographic Module in the F地 加密模組」所產生、此模組可執行FIPS 140-2驗證。

從 ONTAP 9.8 開始、 ONTAP 在傳輸模式中支援 IPsec 。

設定好IPsec之後、用戶端與ONTAP 支援中心之間的網路流量會受到預防措施的保護、以對抗重播和攔截式(MITM)攻擊。

對於NetApp SnapMirror和叢集對等流量加密、叢集對等加密(CPe)、仍建議使用傳輸層安全性(TLS)來透過IPsec進行傳輸、以確保傳輸過程安全無虞。這是因為TLS的效能優於IPsec。

雖然叢集已啟用IPsec功能、但網路需要安全原則資料庫(SPD)項目來符合要保護的流量、並在流量傳輸之前指定保護詳細資料(例如密碼套件和驗證方法)。每個用戶端也需要對應的SPD項目。

在叢集上啟用IPsec

您可以在叢集上啟用IPsec、以確保資料持續安全且加密、即使在傳輸過程中也是如此。

步驟

  1. 探索是否已啟用IPsec:

    security ipsec config show

    如果結果包括 IPsec Enabled: false,繼續下一步。

  2. 啟用IPsec:

    security ipsec config modify -is-enabled true

  3. 再次執行探索命令:

    security ipsec config show

    現在的結果包括 IPsec Enabled: true

準備使用憑證驗證建立 IPsec 原則

如果您只使用預先共用金鑰( PSK )進行驗證、而且不會使用憑證驗證、則可以略過此步驟。

在建立使用憑證進行驗證的 IPsec 原則之前、您必須確認符合下列先決條件:

  • ONTAP 和用戶端都必須安裝另一方的 CA 憑證、以便雙方可驗證終端實體( ONTAP 或用戶端)憑證

  • 系統會為ONTAP 參與該原則的Sfor the Sfor the Sfor the Sfor the Sfor the Sfor the Sfor the Sfor the

註 可共享證書的產品。ONTAP不需要在憑證與lifs之間建立一對一對應關係。
步驟

  1. 除非已安裝 ONTAP 憑證管理(例如 ONTAP 自我簽署的根 CA )、否則請將在相互驗證期間使用的所有 CA 憑證(包括 ONTAP 端和用戶端 CA )安裝到憑證管理。

    • 命令範例 *
      cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert

  2. 若要確保在驗證期間安裝的 CA 位於 IPsec CA 搜尋路徑內、請使用將 ONTAP 憑證管理 CA 新增至 IPsec 模組 security ipsec ca-certificate add 命令。

    • 命令範例 *
      cluster::> security ipsec ca-certificate add -vserver svm_name -ca-certs my_ca_cert

  3. 建立並安裝認證以供ONTAP 《Sfor the Suse LIF(供《Sfor the Suse:此憑證的發卡行CA必須已安裝ONTAP 至ESA並新增至IPsec。

    • 命令範例 *
      cluster::> security certificate install -vserver svm_name -type server -cert-name my_nfs_server_cert

有關 ONTAP 中證書的詳細信息,請參閱 ONTAP 9 文檔中的安全證書命令。

定義安全性原則資料庫(SPD)

在允許流量在網路上傳輸之前、IPsec需要SPD項目。無論您使用的是用於驗證的PSK或憑證、都是如此。

步驟

  1. 使用 security ipsec policy create 命令至:

    1. 選取ONTAP 要參與IPsec傳輸的IP位址或子網路。

    2. 選取要連線ONTAP 至「靜態IP位址」的用戶端IP位址。

      註 用戶端必須使用預先共用金鑰(PSK)來支援網際網路金鑰交換版本2(IKEv2)。

    3. 選用。選取精細的流量參數、例如上層傳輸協定( UDP 、 TCP 、 ICMP 等) )、本機連接埠號碼和遠端連接埠號碼、以保護流量。對應的參數為 protocolslocal-portsremote-ports 分別。

      跳過此步驟以保護ONTAP 所有介於整個過程中的資訊流量、例如:靜態IP位址和用戶端IP位址。保護所有流量是預設設定。

    4. 輸入的 PSK 或公開金鑰基礎架構( PKI ) auth-method 所需驗證方法的參數。

      1. 如果您輸入一個 PSK 、請包含參數、然後按 <enter> 鍵提示您輸入並驗證預先共用金鑰。

        註 local-identityremote-identity 如果主機和用戶端都使用強化天鵝、而且沒有為主機或用戶端選取萬用字元原則、則參數是選用的。

      2. 如果您輸入 PKI 、也需要輸入 cert-namelocal-identityremote-identity 參數。如果遠端端憑證身分不明、或是需要多個用戶端身分識別、請輸入特殊身分識別 ANYTHING

security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32
Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING

除非 ONTAP 和用戶端都設定了相符的 IPsec 原則、而且雙方都有驗證認證(可以是 PSK 或憑證)、否則 IP 流量無法在用戶端和伺服器之間傳輸。如需詳細資訊、請參閱用戶端端 IPsec 組態。

使用IPsec身分識別

對於預先共用金鑰驗證方法、如果主機和用戶端都使用強化天鵝、而且沒有為主機或用戶端選取萬用字元原則、則本機和遠端身分識別是選用的。

對於公開密碼匙基礎建設/憑證驗證方法、本機和遠端身分識別都是必要的。身分識別會指定在每一方憑證中認證的身分識別、並用於驗證程序。如果遠端身分識別不明、或是可能有許多不同的身分識別、請使用特殊身分識別 ANYTHING

關於這項工作

在不受限的情況下、可透過修改SPD項目或在SPD原則建立期間來指定身分識別。ONTAPSPD可以是IP位址或字串格式身分識別名稱。

步驟

若要修改現有的 SPD 身分識別設定、請使用下列命令:

security ipsec policy modify

命令範例

security ipsec policy modify -vserver vs1 -name test34 -local-identity 192.168.134.34 -remote-identity client.fooboo.com

IPsec多個用戶端組態

當少數用戶端需要使用IPsec時、每個用戶端只需使用一個SPD項目就足夠了。但是、當數百甚至數千個用戶端需要使用IPsec時、NetApp建議使用IPsec多重用戶端組態。

關於這項工作

支援將多個網路上的多個用戶端連線至單一SVM IP位址、並啟用IPsec。ONTAP您可以使用下列其中一種方法來達成此目的:

  • 子網路組態

    若要允許特定子網路上的所有用戶端(例如 192.168.134.0/24 )使用單一 SPD 原則項目連線到單一 SVM IP 位址、您必須指定 remote-ip-subnets 子網路形式。此外、您必須指定 remote-identity 具有正確用戶端身分識別的欄位。

註 在子網路組態中使用單一原則項目時、該子網路中的IPsec用戶端會共用IPsec身分識別和預先共用金鑰(PSK)。不過、憑證驗證並不符合此要求。使用憑證時、每個用戶端都可以使用自己的唯一憑證或共用憑證進行驗證。IPsec會根據安裝在本機信任存放區上的CA來檢查憑證的有效性。ONTAP支援憑證撤銷清單(CRL)檢查。ONTAP

  • 允許所有用戶端組態

    若要允許任何用戶端連線至 SVM IPsec 啟用的 IP 位址、無論其來源 IP 位址為何、請使用 0.0.0.0/0 指定時使用萬用字元 remote-ip-subnets 欄位。

    此外、您必須指定 remote-identity 具有正確用戶端身分識別的欄位。對於憑證驗證、您可以輸入 ANYTHING

    此外、當 0.0.0.0/0 使用萬用字元時、您必須設定要使用的特定本機或遠端連接埠號碼。例如、 NFS port 2049

    步驟

    1. 使用下列其中一個命令來設定多個用戶端的 IPsec 。

      1. 如果您使用 * 子網路組態 * 來支援多個 IPsec 用戶端:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets IP_address/subnet -local-identity local_id -remote-identity remote_id

      命令範例

      security ipsec policy create -vserver vs1 -name subnet134 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 -local-identity ontap_side_identity -remote-identity client_side_identity

      1. 如果您使用 * 允許所有用戶端組態 * 來支援多個 IPsec 用戶端:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports port_number -local-identity local_id -remote-identity remote_id

    命令範例

    security ipsec policy create -vserver vs1 -name test35 -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports 2049 -local-identity ontap_side_identity -remote-identity client_side_identity

IPsec統計資料

透過協商、ONTAP 可在「穩定SVM IP位址」和「用戶端IP位址」之間建立稱為「IKE安全性關聯」(SA)的安全通道。兩個端點都安裝了IPsec SAS、以執行實際的資料加密與解密工作。

您可以使用統計資料命令來檢查IPsec SAS和IKE SAS的狀態。

命令範例

IKE SA命令範例:

security ipsec show-ikesa -node hosting_node_name_for_svm_ip

IPsec SA命令和輸出範例:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ikesa -node cluster1-node1
            Policy Local           Remote
Vserver     Name   Address         Address         Initator-SPI     State
----------- ------ --------------- --------------- ---------------- -----------
vs1         test34
                   192.168.134.34  192.168.134.44  c764f9ee020cec69 ESTABLISHED

IPsec SA命令和輸出範例:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ipsecsa -node cluster1-node1
            Policy  Local           Remote          Inbound  Outbound
Vserver     Name    Address         Address         SPI      SPI      State
----------- ------- --------------- --------------- -------- -------- ---------
vs1         test34
                    192.168.134.34  192.168.134.44  c4c5b3d6 c2515559 INSTALLED