7.5.4　iSCSI安全

鉴于此前我们已经讨论过iSCSI安全认证的问题，本节的重点将放在iSCSI访问控制方面。iSCSI设备可以从两个不同的角度来实现访问控制：

·基于分区的FC访问控制（在FC端）

·基于ACL的iSCSI访问控制（在iSCSI端）

可以将FC领域的FC分区扩展到iSCSI/IP领域，它使得FC和iSCSI都能够在异构SAN中支持统一的访问控制。可以在iSCSI发现、iSCSI会话及创建FC虚拟N_端口时，强化这两种访问控制机制。

图　7-28　iSCSI HA样例

说明：FC分区属于FC光纤中提供访问控制的机制，它定义了端口之间可以相互访问的关系，也对FC设备之间的互相发现进行了限制。

存在两种FC分区访问控制方法：

·将iSCSI主机静态映射到FC虚拟N_端口以建立永久性的nWWN和pWWN，然后，将赋值了的pWWN配置到分区中，就像在分区中增加一个普通的FC主机的pWWN一样。

·如果iSCSI主机没有静态WWN映射，则可以将iSCSI主机启动器的IP地址或者是iSCSI节点名称加入到分区中，基于IP地址的分区成员关系允许在一个命令行中通过子网掩码指定多个设备。具备静态WWN映射的iSCSI主机同样也可以使用iSCSI主机启动器的IP地址或iSCSI节点名称而非分区编号。

在代理启动模式中，所有连接到同一个IPS端口的iSCSI设备均通过单独的虚拟FC N_端口访问FC光纤，因此，基于iSCSI节点名称或者是IP地址的分区将不会产生任何效果。如果分区是基于pWWN，则所有连接到相应IPS端口的iSCSI设备都将被放入到同一分区中。此时，要求虚拟目标实现基于iSCSI的访问控制，以便在代理启动模式中完成对单个启动器的访问控制。

创立静态iSCSI虚拟目标是实现iSCSI访问控制的前提，对于一个静态iSCSI目标对象而言，可以配置多个允许访问目标对象的iSCSI启动器。可以通过以下方法来定义列表上的启动器：

·iSCSI节点名称

·Ipv4地址和子网

·Ipv6地址

说明：在默认情况下，iSCSI主机不能够访问任意静态iSCSI虚拟目标。用户必须显式配置访问性，才能够允许所有主机对iSCSI虚拟目标的访问。

除了认证和访问控制、iSCSI，就像FCIP一样，需要依靠IPSec以实现基于IP的安全服务，有关IPSec的深入讨论已超出了本书范围。