跳到主要内容

iSCSI 认证的工作原理

在 iSCSI 会话的初始阶段,发起方向存储系统发送登录请求以启动 iSCSI 会话。然后,存储系统允许或拒绝登录请求,或确定不需要登录。

iSCSI 认证方法为:

  • 质询握手认证协议(CHAP)— 发起方使用 CHAP 用户名和密码登录。

    可指定 CHAP 密码或生成十六进制密钥密码。有两种 CHAP 用户名和密码:

    • 入站 — 存储系统对发起方进行认证。

      如果使用的是 CHAP 认证,则需要入站设置。

    • 出站 — 这是可选设置,用于让发送方对存储系统进行认证。

      仅当在存储系统上定义了入站用户名和密码,才可以使用出站设置。

  • 拒绝 — 拒绝发起方访问存储系统。

  • 无 — 存储系统不要求对发起方进行认证。

可定义发起方列表及其认证方法。也可以定义为此列表中不包含的发起方应用的默认认证方法。

  • iSCSI 发起方安全性管理
    ONTAP 提供一些功能,用于管理 iSCSI 发起方的安全。可定义一列 iSCSI 发起方并为这些发起方中的每一个定义认证方法,在认证列表中显示发起方及其关联的认证方法,在认证列表中添加和删除发起方,以及为不在列表中的发起方定义默认 iSCSI 发起方认证方法。
  • iSCSI 端点隔离
    从 ONTAP 9.4 开始,现有 iSCSI 安全命令已经过增强,现在可以接受 IP 地址范围或多个 IP 地址。
  • CHAP 认证是什么
    可通过质询握手认证协议(CHAP)在 iSCSI 发起方与目标之间进行经过认证的通信。使用 CHAP 认证时,需要在发起方和存储系统上定义 CHAP 用户名和密码。
  • 关于使用 CHAP 认证的准则
    使用 CHAP 认证时,应遵守特定准则。
  • 使用 iSCSI 接口访问列表限制发起方接口如何提高性能和安全性
    iSCSI 接口访问列表可用于限制 SVM 中发起方可访问的 LIF 数量,从而提高性能和安全性。