Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

準備在 ONTAP 網路上使用 IP 安全性

貢獻者 netapp-bhouser dmp-netapp netapp-aherbin netapp-dbagwell netapp-aaron-holt netapp-barbe

從 ONTAP 9 8 開始,您可以選擇使用 IP 安全性( IPsec )來保護網路流量。IPsec 是 ONTAP 提供的數種資料傳輸或傳輸中加密選項之一。在正式作業環境中使用 IPsec 之前,您應該做好設定的準備。

ONTAP 中的 IP 安全實作

IPsec 是由 IETF 維護的網際網路標準。它提供資料加密與完整性,以及 IP 層級網路端點之間流量傳輸的驗證。

使用 ONTAP 時, IPsec 可保護 ONTAP 和各種用戶端之間的所有 IP 流量,包括 NFS , SMB 和 iSCSI 傳輸協定。除了隱私權和資料完整性之外,網路流量還能防範多種攻擊,例如重播和攔截式攻擊。ONTAP 使用 IPsec 傳輸模式實作。它利用網際網路金鑰交換( IKE) 傳輸協定第 2 版,在 ONTAP 和使用 IPv4 或 IPv6 的用戶端之間協商金鑰資料。

當叢集上啟用 IPsec 功能時,網路需要 ONTAP 安全性原則資料庫( SPD )中的一或多個項目,才能符合各種流量特性。這些項目會對應至處理及傳送資料所需的特定保護詳細資料(例如密碼套件和驗證方法)。每個用戶端也需要對應的 SPD 項目。

對於某些類型的流量,最好使用另一個資料傳輸加密選項。例如,對於 NetApp SnapMirror 和叢集對等流量的加密,一般建議使用傳輸層安全性( TLS )傳輸協定,而非 IPsec 。這是因為 TLS 在大多數情況下都能提供更好的效能。

ONTAP IPsec 實作的演進

IPsec 最初是在ONTAP 9.8 中引入的。該實現在後續ONTAP版本中不斷發展,如下所述。

ONTAP 9.17.1

IPsec 硬體卸載支援擴充至"鏈路聚合組""後量子預共享密鑰(PPK)"支援 IPsec 預共用金鑰 (PSK) 驗證。

ONTAP 9.16.1.

加密和完整性檢查等多項密碼編譯作業可卸載至支援的 NIC 卡。如需詳細資訊、請參閱 IPsec 硬體卸載功能

ONTAP 9.12.1

MetroCluster IP 和 MetroCluster 網路附加組態提供 IPsec 前端主機傳輸協定支援。MetroCluster 叢集所提供的 IPsec 支援僅限於前端主機流量, MetroCluster 叢集間的生命體不受支援。

零點9.10.1 ONTAP

除了 PSK 之外,憑證還可用於 IPsec 驗證。在ONTAP 9.10.1 之前的版本中,僅支援使用 PSK 進行身份驗證。

部分9.9.1 ONTAP

IPsec 使用的加密演算法已通過 FIPS 140-2 驗證。這些演算法由 ONTAP 中的 NetApp 密碼編譯模組處理,該模組執行 FIPS 140-2 驗證。

部分9.8 ONTAP

根據傳輸模式實作, IPsec 的支援一開始就可用。

IPsec 硬體卸載功能

如果您使用的是 ONTAP 9 。 16.1 或更新版本,您可以選擇將某些運算密集的作業(例如加密和完整性檢查)卸載到儲存節點上安裝的網路介面控制器( NIC )卡。卸載到 NIC 卡的作業處理量約為 5% 或更低。這可大幅改善受 IPsec 保護的網路流量的效能和處理量。

要求與建議

在使用 IPsec 硬體卸載功能之前,您應該考量幾項需求。

支援的乙太網路卡

您只需安裝並使用受支援的乙太網路卡。從ONTAP 9.16.1 開始,支援以下乙太網路卡:

  • X50131A ( 2p , 40G/100g/200g/400G 乙太網路控制器)

  • X60132A ( 4p , 10G/25G 乙太網路控制器)

ONTAP 9.17.1 增加了對以下乙太網路卡的支援:

  • X50135A(2p,40G/100G乙太網路控制器)

  • X60135A(2p,40G/100G乙太網路控制器)

以下平台支援 X50131A 和 X50135A 卡:

  • ASA A1K

  • ASA A90

  • ASA A70

  • AFF A1K

  • AFF A90

  • AFF A70

以下平台支援 X60132A 和 X60135A 卡:

  • ASA A50

  • ASA A30

  • ASA A20

  • AFF A50

  • AFF A30

  • AFF A20

查看"NetApp Hardware Universe"有關支援的平台和卡片的更多資訊。

叢集範圍

IPsec 硬體卸載功能是針對叢集進行全域設定。例如,此命令會 `security ipsec config`套用至叢集中的所有節點。

一致的組態

支援的 NIC 卡應安裝在叢集中的所有節點上。如果支援的 NIC 卡只能在某些節點上使用,則當容錯移轉後,如果部分生命負載未裝載於具有卸載功能的 NIC 上,您就會發現效能大幅降低。

停用反重播

您必須停用 ONTAP (預設組態)和 IPsec 用戶端上的 IPsec 反重新執行保護。如果未停用,將不支援分割和多重路徑(備援路由)。

如果 ONTAP IPsec 組態已從預設變更為啟用反重新執行保護,請使用此命令將其停用:

security ipsec config modify -replay-window 0

您必須確定用戶端上的 IPsec 反重新執行保護已停用。請參閱用戶端的 IPsec 文件,以停用反重播保護。

限制

在使用 IPsec 硬體卸載功能之前,您應該考慮幾項限制。

IPv6

IPsec 硬體卸載功能不支援 IPv6。 IPv6僅在 IPsec 軟體實作中支援。

延伸序號

硬體卸載功能不支援 IPsec 延伸序列號。僅使用正常的 32 位元序列號。

連結集合體

從ONTAP 9.17.1 開始,您可以將 IPsec 硬體卸載功能與"鏈路聚合組"

在 9.17.1 之前的版本中,IPsec 硬體卸載功能不支援連結聚合。它不能與通過 network port ifgrp ONTAP CLI 中的指令。

ONTAP CLI 中的組態支援

ONTAP 9 。 16.1 中更新了三個現有的 CLI 命令,以支援以下所述的 IPsec 硬體卸載功能。如需詳細資訊,請參閱"在 ONTAP 中設定 IP 安全性"

指令ONTAP 更新

security ipsec config show

布林參數 `Offload Enabled`顯示目前的 NIC 卸載狀態。

security ipsec config modify

此參數 `is-offload-enabled`可用於啟用或停用 NIC 卸載功能。

security ipsec config show-ipsecsa

新增了四個新的計數器,以位元組和封包顯示傳入和傳出流量。

ONTAP REST API 中的組態支援

ONTAP 9 中更新了兩個現有的 REST API 端點。 16.1 可支援 IPsec 硬體卸載功能,如下所述。

REST端點 更新

/api/security/ipsec

此參數 `offload_enabled`已新增,可透過修補方法使用。

/api/security/ipsec/security_association

新增兩個計數器值,以追蹤卸載功能處理的總位元組和封包數。

從 ONTAP 自動化文件中深入瞭解 ONTAP REST API ,包括 "ONTAP REST API 的新功能"。您也應該檢閱 ONTAP 自動化文件,以取得有關的詳細資訊 "IPsec 端點"

相關資訊