为iStorage server设置ipsec策略
今天学习了一下在windows server 2008R2服务器上配置ipsec策略,将istorage server的ipfilter与ipsec结合使用。
首先我们来普及一下ipsec的概念,ipsec(Internet Protocol security)网络协议安全性。是工作在网络层的一种协议,其实实际工作中更像是一种策略。它是基于端到端的安全模式,在源IP和目标IP之间建立安全性。所以,大多数情况下,需要在两端都要配置ipsec,以确保它们之间的通信能够达成协议。
它的传输模式有两种:隧道模式和传输模式。
隧道模式更多是两个通信设备,比如网关之间建立隧道,也可以用于其它通信。
传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。定义了一个通用格式。
借助于ipsec的完美保护,与iStorage Server的ipfilter结合使用,能够更好地保护整个IP SAN.
首先配置一下iStorage Server,创建target过程中选择ipfilter认证机制,不勾选随全局变化。
然后在配置ipfilter地址,如图
客户端地址,访问权限。
在iStorage Server服务器上配置ipsec策略。在管理工具中打开 本地安全策略
右键创建IP安全策略,根据向导下一步。最后打开安全策略属性
点击添加,注意别勾选使用“添加向导”,这一步是添加IP 安全规则。
打开新规则属性后,首先添加IP筛选器列表,输入名称后,再点击添加,设置地址
源地址就为客户端地址,iStorage Server上配置ipfilter的地址。目标地址为我的地址也就是iStorage Server地址。
下面再配置协议,由于iSCSI使用的是tcp3260端口,所以配置如下图:
下面配置筛选器操作,同样点击添加,打开心筛选器操作属性
选择协商安全,点击添加,选择仅保持完整性,至于为什么选择这一项,我也正在了解中,以后会给大家讲解。好,点击确定后,添加成功。
注意勾选这两项。
再配置身份验证方法
然后剩余的隧道设置,选择不适用隧道,连接类型,默认。
编辑完成后,一定要选中筛选器列表,筛选操作前的方框,然后应用,就OK了。默认策略是不分配的,选中右键分配。
配置客户端的IPsec
只有新筛选器属性属性的地址和协议需要更改一下,
配置完成后,利用客户端连上iscsi target 以后,你会发现所有报文均已加密。
继续学习中,希望大家能够多多交流,并提建议。
转载于:https://blog.51cto.com/atom8023/1209063