View a markdown version of this page

Konfiguration von IPSec mithilfe der Zertifikatsauthentifizierung - FSx für ONTAP
CA-Zertifikate erstellen und installierenInstallation des Libreswan-ClientsKonfiguration von IPSec auf Ihrem DateisystemStarten Sie IPSec auf dem ClientIPSec für mehrere Clients einrichten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von IPSec mithilfe der Zertifikatsauthentifizierung

Die folgenden Themen enthalten Anweisungen zur Konfiguration der IPSec-Verschlüsselung mithilfe der Zertifikatsauthentifizierung auf einem FSx for ONTAP-Dateisystem und einem Client, auf dem Libreswan IPSec ausgeführt wird. Diese Lösung verwendet AWS Certificate Manager und, um eine private Zertifizierungsstelle AWS Private Certificate Authority zu erstellen und die Zertifikate zu generieren.

Die allgemeinen Schritte zur Konfiguration der IPSec-Verschlüsselung mithilfe der Zertifikatsauthentifizierung auf FSx for ONTAP-Dateisystemen und verbundenen Clients lauten wie folgt:

  1. Richten Sie eine Zertifizierungsstelle für die Ausstellung von Zertifikaten ein.

  2. Generieren und exportieren Sie CA-Zertifikate für das Dateisystem und den Client.

  3. Installieren Sie das Zertifikat und konfigurieren Sie IPSec auf der Client-Instanz.

  4. Installieren Sie das Zertifikat und konfigurieren Sie IPSec auf Ihrem Dateisystem.

  5. Definieren Sie die Sicherheitsrichtlinien-Datenbank (SPD).

  6. Konfigurieren Sie IPSec für den Zugriff mehrerer Clients.

CA-Zertifikate erstellen und installieren

Für die Zertifikatsauthentifizierung müssen Sie Zertifikate von einer Zertifizierungsstelle auf Ihrem FSx for ONTAP-Dateisystem und den Clients, die auf die Daten in Ihrem Dateisystem zugreifen, generieren und installieren. Im folgenden Beispiel wird AWS Private Certificate Authority eine private Zertifizierungsstelle eingerichtet und die Zertifikate für die Installation im Dateisystem und auf dem Client generiert. Mit dieser AWS Private Certificate Authority Methode können Sie eine vollständig AWS gehostete Hierarchie von Stamm- und untergeordneten Zertifizierungsstellen (CAs) für den internen Gebrauch in Ihrer Organisation erstellen. Dieser Prozess besteht aus fünf Schritten:

  1. Erstellen Sie eine private Zertifizierungsstelle (CA) mit AWS Private CA

  2. Stellen Sie das Stammzertifikat auf der privaten CA aus und installieren Sie es

  3. Fordern Sie ein privates Zertifikat AWS Certificate Manager für Ihr Dateisystem und Ihre Clients an

  4. Exportieren Sie das Zertifikat für das Dateisystem und die Clients.

Weitere Informationen finden Sie unter Private CA-Administration im AWS Private Certificate Authority Benutzerhandbuch.

Um die private Root-CA zu erstellen

  1. Wenn Sie eine Zertifizierungsstelle erstellen, müssen Sie die CA-Konfiguration in einer von Ihnen bereitgestellten Datei angeben. Der folgende Befehl verwendet den Nano-Texteditor, um die ca_config.txt Datei zu erstellen, in der die folgenden Informationen angegeben sind:

    • Den Namen des Algorithmus

    • Der Signaturalgorithmus, den die CA zum Signieren verwendet

    • X.500 Informationen zum Thema

    $ > nano ca_config.txt

    Der Texteditor wird angezeigt.

  2. Bearbeiten Sie die Datei mit den Spezifikationen für Ihre CA.

    {
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"*.ec2.internal"
   }
}

  3. Speichern und schließen Sie die Datei und beenden Sie den Texteditor. Weitere Informationen finden Sie im AWS Private Certificate Authority Benutzerhandbuch unter Verfahren zum Erstellen einer Zertifizierungsstelle.

  4. Verwenden Sie den AWS Private CA CLI-Befehl create-certificate-authority, um eine private CA zu erstellen.

    ~/home > aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 --region aws-region

    Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.

    {
   "CertificateAuthorityArn": "arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012"
}
Um ein Zertifikat für Ihre private Root-CA zu erstellen und zu installieren (AWS CLI)

  1. Generieren Sie mit dem get-certificate-authority-csr AWS CLI-Befehl eine Certificate Signing Request (CSR).

    $ aws acm-pca get-certificate-authority-csr \
     --certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
     --output text \
     --endpoint https://acm-pca.aws-region.amazonaws.com \
     --region eu-west-1 > ca.csr

    Die resultierende Dateica.csr, eine im Base64-Format codierte PEM-Datei, hat das folgende Aussehen.

    -----BEGIN CERTIFICATE-----
 MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
 VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
 BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
 MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
 VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
 b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
 YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
 rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
 Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
 FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
 NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
 -----END CERTIFICATE-----

    Weitere Informationen finden Sie im Benutzerhandbuch unter Installation eines Root-CA-Zertifikats. AWS Private Certificate Authority

  2. Verwenden Sie den issue-certificate AWS CLI Befehl, um das Root-Zertifikat auszustellen und auf Ihrer privaten CA zu installieren.

    $ aws acm-pca issue-certificate \
     --certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
     --csr file://ca.csr \
     --signing-algorithm SHA256WITHRSA \
     --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
     --validity Value=3650,Type=DAYS --region aws-region

  3. Laden Sie das Stammzertifikat mit dem get-certificate AWS CLI Befehl herunter.

    $ aws acm-pca get-certificate \
    --certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
    --certificate-arn arn:aws:acm-pca:aws-region:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
    --output text --region aws-region > rootCA.pem

  4. Installieren Sie das Stammzertifikat mit dem import-certificate-authority-certificate AWS CLI Befehl auf Ihrer privaten CA.

    $ aws acm-pca import-certificate-authority-certificate \
     --certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
     --certificate file://rootCA.pem --region aws-region
Generieren und exportieren Sie das Dateisystem und das Client-Zertifikat

  1. Verwenden Sie den request-certificate AWS CLI Befehl, um ein AWS Certificate Manager Zertifikat für Ihr Dateisystem und Ihre Clients anzufordern.

    $ aws acm request-certificate \
    --domain-name *.ec2.internal \
    --idempotency-token 12345 \
    --region aws-region \
    --certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012

    Wenn die Anfrage erfolgreich ist, wird der ARN des ausgestellten Zertifikats zurückgegeben.

  2. Aus Sicherheitsgründen müssen Sie dem privaten Schlüssel beim Exportieren eine Passphrase zuweisen. Erstellen Sie eine Passphrase und speichern Sie sie in einer Datei mit dem Namen passphrase.txt

  3. Verwenden Sie den export-certificate AWS CLI Befehl, um das zuvor ausgestellte private Zertifikat zu exportieren. Die exportierte Datei enthält das Zertifikat, die Zertifikatskette und den verschlüsselten privaten 2048-Bit-RSA-Schlüssel, der dem öffentlichen Schlüssel zugeordnet ist, der in das Zertifikat eingebettet ist. Aus Sicherheitsgründen müssen Sie dem privaten Schlüssel beim Exportieren eine Passphrase zuweisen. Das folgende Beispiel bezieht sich auf eine Linux EC2-Instance.

    $ aws acm export-certificate \
     --certificate-arn arn:aws:acm:aws-region:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
     --passphrase $(cat passphrase.txt | base64) --region aws-region > exported_cert.json

  4. Verwenden Sie die folgenden jq Befehle, um den privaten Schlüssel und das Zertifikat aus der JSON-Antwort zu extrahieren.

    $ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key                                    
cat exported_cert.json | jq -r .Certificate > cert.pem

  5. Verwenden Sie den folgenden openssl Befehl, um den privaten Schlüssel aus der JSON-Antwort zu entschlüsseln. Nach Eingabe des Befehls werden Sie zur Eingabe der Passphrase aufgefordert.

    $ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key

Installation und Konfiguration von Libreswan IPSec auf einem Amazon Linux 2-Client

Die folgenden Abschnitte enthalten Anweisungen zur Installation und Konfiguration von Libreswan IPSec auf einer Amazon EC2 EC2-Instance, auf der Amazon Linux 2 ausgeführt wird.

Um Libreswan zu installieren und zu konfigurieren

  1. Stellen Sie über SSH eine Connect zu Ihrer EC2-Instance her. Spezifische Anweisungen dazu finden Sie unter Herstellen einer Connect zu Ihrer Linux-Instance mithilfe eines SSH-Clients im Amazon Elastic Compute Cloud-Benutzerhandbuch für Linux-Instances.

  2. Führen Sie zur Installation libreswan den folgenden Befehl aus:

    $ sudo yum install libreswan

  3. (Optional) Bei der Überprüfung von IPSec in einem späteren Schritt werden diese Eigenschaften möglicherweise ohne diese Einstellungen gekennzeichnet. Wir empfehlen, Ihr Setup zunächst ohne diese Einstellungen zu testen. Wenn bei Ihrer Verbindung Probleme auftreten, kehren Sie zu diesem Schritt zurück und nehmen Sie die folgenden Änderungen vor.

    Verwenden Sie nach Abschluss der Installation Ihren bevorzugten Texteditor, um der /etc/sysctl.conf Datei die folgenden Einträge hinzuzufügen.

    net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0

    Speichern Sie die Änderungen und beenden Sie den Texteditor.

  4. Übernehmen Sie die Änderungen.

    $ sudo sysctl -p

  5. Überprüfen Sie die IPSec-Konfiguration.

    $ sudo ipsec verify

    Stellen Sie sicher, dass die Version von Libreswan Ihnen installiert ist, läuft.

  6. Initialisieren Sie die IPSec-NSS-Datenbank.

    $ sudo ipsec checknss
Um das Zertifikat auf dem Client zu installieren

  1. Kopieren Sie das Zertifikat, das Sie für den Client generiert haben, in das Arbeitsverzeichnis auf der EC2-Instance. Sie

  2. Exportieren Sie das zuvor generierte Zertifikat in ein Format, das mit libreswan kompatibel ist. 

    $ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \ 
    -certfile rootCA.pem -out certkey.p12 -name fsx

  3. Importieren Sie den neu formatierten Schlüssel und geben Sie die Passphrase an, wenn Sie dazu aufgefordert werden.

    $ sudo ipsec import certkey.p12

  4. Erstellen Sie mit dem bevorzugten Texteditor eine IPSec-Konfigurationsdatei.

    $ sudo cat /etc/ipsec.d/nfs.conf

    Fügen Sie der Konfigurationsdatei die folgenden Einträge hinzu:

    conn fsxn
    authby=rsasig
    left=172.31.77.6
    right=198.19.254.13
    auto=start
    type=transport
    ikev2=insist
    keyexchange=ike
    ike=aes256-sha2_384;dh20
    esp=aes_gcm_c256
    leftcert=fsx
    leftrsasigkey=%cert
    leftid=%fromcert
    rightid=%fromcert
    rightrsasigkey=%cert

Sie starten IPSec auf dem Client, nachdem Sie IPSec auf Ihrem Dateisystem konfiguriert haben.

Konfiguration von IPSec auf Ihrem Dateisystem

Dieser Abschnitt enthält Anweisungen zur Installation des Zertifikats auf Ihrem FSx for ONTAP-Dateisystem und zur Konfiguration von IPSec.

Um das Zertifikat auf Ihrem Dateisystem zu installieren

  1. Kopieren Sie das Stammzertifikat ()rootCA.pem), das Client-Zertifikat (cert.pem) und die entschlüsselten Schlüsseldateien (decrypted.key) in Ihr Dateisystem. Sie müssen die Passphrase für das Zertifikat kennen.

  2. Um auf die ONTAP CLI zuzugreifen, richten Sie eine SSH-Sitzung auf dem Management-Port des Amazon FSx for NetApp ONTAP-Dateisystems oder der SVM ein, indem Sie den folgenden Befehl ausführen. management_endpoint_ipErsetzen Sie es durch die IP-Adresse des Management-Ports des Dateisystems.

    [~]$ ssh fsxadmin@management_endpoint_ip

    Weitere Informationen finden Sie unter Verwaltung von Dateisystemen mit ONTAP CLI.

  3. Verwenden Sie es cat auf einem Client (nicht in Ihrem Dateisystem), um den Inhalt der decrypted.key Dateien aufzulistenrootCA.pem, cert.pem sodass Sie die Ausgabe jeder Datei kopieren und einfügen können, wenn Sie in den folgenden Schritten dazu aufgefordert werden.

    $ > cat cert.pem

    Kopieren Sie den Inhalt des Zertifikats.

  4. Sie müssen alle CA-Zertifikate, die während der gegenseitigen Authentifizierung verwendet wurden, einschließlich ONTAP-side sowohl der clientseitigen Zertifizierungsstellen als auch der clientseitigen Zertifizierungsstellen, in der ONTAP Zertifikatsverwaltung installieren, sofern sie nicht bereits installiert ist (wie es bei einer selbstsignierten ONTAP-Root-CA der Fall ist).

    Verwenden Sie den security certificate install NetApp CLI-Befehl wie folgt, um das Client-Zertifikat zu installieren:

    FSxID123:: > security certificate install -vserver dr -type client -cert-name ipsec-client-cert
    Please enter Certificate: Press <Enter> when done

    Fügen Sie den Inhalt der cert.pem Datei ein, die Sie zuvor kopiert haben, und drücken Sie die Eingabetaste.

    Please enter Private Key: Press <Enter> when done

    Fügen Sie den Inhalt der decrypted.key Datei ein und drücken Sie die Eingabetaste.

    Do you want to continue entering root and/or intermediate certificates {y|n}:

    Geben Sie n die Eingabetaste ein, um die Eingabe des Client-Zertifikats abzuschließen.

  5. Erstellen und installieren Sie ein Zertifikat zur Verwendung durch die SVM. Die ausstellende Zertifizierungsstelle dieses Zertifikats muss bereits in IPSec installiert ONTAP und zu IPSec hinzugefügt worden sein.

    Verwenden Sie den folgenden Befehl, um das Stammzertifikat zu installieren.

    FSxID123:: > security certificate install -vserver dr -type server-ca -cert-name ipsec-ca-cert 
    Please enter Certificate: Press <Enter> when done

    Fügen Sie den Inhalt der rootCA.pem Datei ein und drücken Sie die Eingabetaste.

  6. Um sicherzustellen, dass sich die installierte Zertifizierungsstelle während der Authentifizierung innerhalb des IPSec-CA-Suchpfads befindet, fügen Sie die ONTAP Zertifizierungsstellen für die Zertifikatsverwaltung mithilfe des Befehls „security ipsec ca-certificate add“ zum IPSec-Modul hinzu.

    Geben Sie den folgenden Befehl ein, um das Stammzertifikat hinzuzufügen.

    FSxID123:: > security ipsec ca-certificate add -vserver dr -ca-certs ipsec-ca-cert

  7. Geben Sie den folgenden Befehl ein, um die erforderliche IPSec-Richtlinie in der Security Policy Database (SPD) zu erstellen.

    security ipsec policy create -vserver dr -name policy-name -local-ip-subnets 198.19.254.13/32 -remote-ip-subnets 172.31.0.0/16 -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"

  8. Verwenden Sie den folgenden Befehl, um die IPSec-Richtlinie für das Dateisystem zur Bestätigung anzuzeigen.

    FSxID123:: > security ipsec policy show -vserver dr -instance

                                    Vserver: dr
                                Policy Name: promise
                           Local IP Subnets: 198.19.254.13/32
                          Remote IP Subnets: 172.31.0.0/16
                                Local Ports: 0-0
                               Remote Ports: 0-0
                                  Protocols: any
                                     Action: ESP_TRA
                               Cipher Suite: SUITEB_GCM256
          IKE Security Association Lifetime: 86400
        IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
                          Is Policy Enabled: true
                             Local Identity: CN=*.ec2.internal
                            Remote Identity: CN=*.ec2.internal
                      Authentication Method: PKI
             Certificate for Local Identity: ipsec-client-cert

Starten Sie IPSec auf dem Client

Jetzt ist IPSec sowohl auf dem FSx for ONTAP-Dateisystem als auch auf dem Client konfiguriert. Sie können IPSec auf dem Client starten.

  1. Stellen Sie über SSH eine Connect zu Ihrem Clientsystem her.

  2. Starten Sie IPSec.

    $ sudo ipsec start

  3. Überprüfen Sie den Status von IPSec.

    $ sudo ipsec status

  4. Hängen Sie ein Volume in Ihr Dateisystem ein.

    $ sudo mount -t nfs 198.19.254.13:/benchmark /home/ec2-user/acm/dr

  5. Überprüfen Sie das IPSec-Setup, indem Sie die verschlüsselte Verbindung auf Ihrem FSx for ONTAP-Dateisystem anzeigen.

    FSxID123:: > security ipsec show-ikesa -node FsxId123
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
            Policy Local           Remote
Vserver     Name   Address         Address         Initator-SPI     State
----------- ------ --------------- --------------- ---------------- -----------
dr          policy-name
                   198.19.254.13   172.31.77.6     551c55de57fe8976 ESTABLISHED
fsx         policy-name
                   198.19.254.38   172.31.65.193   4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.

IPSec für mehrere Clients einrichten

Wenn eine kleine Anzahl von Clients IPSec nutzen muss, ist die Verwendung eines einzigen SPD-Eintrags für jeden Client ausreichend. Wenn jedoch Hunderte oder sogar Tausende von Clients IPSec nutzen müssen, empfehlen wir, die IPSec-Konfiguration für mehrere Clients zu verwenden.

FSx for ONTAP unterstützt die Verbindung mehrerer Clients in vielen Netzwerken mit einer einzigen SVM-IP-Adresse mit aktiviertem IPSec. Sie können dies entweder mithilfe der subnet Konfiguration oder der Konfiguration erreichen, die Allow all clients in den folgenden Verfahren erläutert werden:

So konfigurieren Sie IPSec für mehrere Clients mithilfe einer Subnetzkonfiguration

Um alle Clients in einem bestimmten Subnetz zuzulassen (192.168.134. 0/24 Um beispielsweise mithilfe eines einzigen SPD-Richtlinieneintrags eine Verbindung zu einer einzelnen SVM-IP-Adresse herzustellen, müssen Sie dies im remote-ip-subnets Subnetzformat angeben. Darüber hinaus müssen Sie das remote-identity Feld mit der richtigen clientseitigen Identität angeben.

Wichtig

Bei Verwendung der Zertifikatsauthentifizierung kann jeder Client entweder sein eigenes eindeutiges Zertifikat oder ein gemeinsames Zertifikat zur Authentifizierung verwenden. FSx for ONTAP IPSec überprüft die Gültigkeit des Zertifikats anhand der CAs, die in seinem lokalen Trust Store installiert sind. FSx for ONTAP unterstützt auch die Überprüfung von Zertifikatssperrlisten (CRL).

  1. Um auf die ONTAP CLI zuzugreifen, richten Sie eine SSH-Sitzung auf dem Management-Port des Amazon FSx for NetApp ONTAP-Dateisystems oder der SVM ein, indem Sie den folgenden Befehl ausführen. management_endpoint_ipErsetzen Sie es durch die IP-Adresse des Management-Ports des Dateisystems.

    [~]$ ssh fsxadmin@management_endpoint_ip

    Weitere Informationen finden Sie unter Verwaltung von Dateisystemen mit ONTAP CLI.

  2. Verwenden Sie den security ipsec policy create NetApp ONTAP CLI-Befehl wie folgt und ersetzen Sie die sample Werte durch Ihre spezifischen Werte.

    FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
  -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 \
  -local-ports 2049 -protocols tcp -auth-method PSK \
  -cert-name my_nfs_server_cert -local-identity ontap_side_identity \
  -remote-identity client_side_identity
So konfigurieren Sie IPSec für mehrere Clients mithilfe der Konfiguration „Alle Clients zulassen“

Damit jeder Client unabhängig von seiner Quell-IP-Adresse eine Verbindung zur IPsec-enabled SVM-IP-Adresse herstellen kann, verwenden Sie bei der Angabe des 0.0.0.0/0 Felds den Platzhalter. remote-ip-subnets

Darüber hinaus müssen Sie das remote-identity Feld mit der richtigen clientseitigen Identität angeben. Für die Zertifikatsauthentifizierung können Sie Folgendes eingebenANYTHING.

Ebenfalls, wenn die 0.0.0. 0/0 Wenn ein Platzhalter verwendet wird, müssen Sie eine bestimmte lokale oder Remote-Portnummer konfigurieren, die verwendet werden soll. Zum Beispiel NFS-Port 2049.

  1. Um auf die ONTAP CLI zuzugreifen, richten Sie eine SSH-Sitzung auf dem Management-Port des Amazon FSx for NetApp ONTAP-Dateisystems oder der SVM ein, indem Sie den folgenden Befehl ausführen. management_endpoint_ipErsetzen Sie es durch die IP-Adresse des Management-Ports des Dateisystems.

    [~]$ ssh fsxadmin@management_endpoint_ip

    Weitere Informationen finden Sie unter Verwaltung von Dateisystemen mit ONTAP CLI.

  2. Verwenden Sie den security ipsec policy create NetApp ONTAP CLI-Befehl wie folgt und ersetzen Sie die sample Werte durch Ihre spezifischen Werte.

    FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
  -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 0.0.0.0/0 \
  -local-ports 2049 -protocols tcp -auth-method PSK \
  -cert-name my_nfs_server_cert -local-identity ontap_side_identity \
  -local-ports 2049 -remote-identity client_side_identity