任务 3：配置安全性

　　使用 SAN 存储管理器有几种可用的 iSCSI 安全级别。基本级别是基于质询握手身份验证协议 (CHAP)。CHAP 是一个用于对连接对等方进行身份验证的协议，它基于共享机密（与密码相似的一种安全密钥）的对等方。IP 安全 (IPsec) 是一种在 IP 数据包层强制身份验证和数据加密的协议，它提供增加的安全级别。

　　必须选择最适合组织的安全策略的安全级别：

　　> 单向 CHAP 身份验证。使用此安全级别，仅目标对发起程序进行身份验证。机密仅是为目标设置的；希望访问该目标的所有发起程序需要使用相同的机密来启动与目标的登录会话。

　　> 相互 CHAP 身份验证。使用此安全级别，目标和发起程序会彼此进行身份验证。会为 SAN 中的每个目标和每个发起程序设置一个单独的机密。

　　> IPsec。使用此安全级别，会对在数据传输过程中发送的所有 IP 数据包进行加密和身份验证。系统会在所有 IP 门户上设置一个通用密钥，使所有对等方可以彼此进行身份验证并协商数据包加密。

　　注：至少应在 iSCSI 发起程序和目标之间使用单向 CHAP 身份验证。可为某个存储子系统设置何种安全级别，取决于硬件制造商。并非所有子系统都支持所有的 iSCSI 安全级别。建议您与硬件制造商联系，以确认其产品支持哪种安全级别。

　　配置 iSCSI 安全性1.在"LUN 管理"中，单击"管理 iSCSI 安全"。

　　2.要配置单向 CHAP 身份验证，请在"管理 iSCSI 安全"对话框中，配置"目标"选项卡上的下列设置：

　　- 如果要为不同的目标配置不同的 CHAP 机密，请在目标列表中，选择要为其设置 CHAP 机密的目标，然后单击"设置机密"。或要为一组目标使用相同的 CHAP 机密，请从列表中选择目标，然后单击"设置机密"。

　　- 在"设置机密"对话框中，键入并确认目标 CHAP 机密。

　　- 或者，如果要自动将新的机密传送给本地发起程序，可以选择"记住本地发起程序的机密"。

　　- 要设置新的机密，请单击"确定"。

　　3.要配置相互 CHAP 身份验证，必须首先按照步骤 2 配置单向 CHAP 身份验证。然后，在"本地发起程序"选项卡上输入以下配置：

　　- 键入并确认本地发起程序的 CHAP 机密。

　　- 在相互 CHAP 身份验证下，发起程序将仅能够登录到共享发起程序机密的目标。要与服务器需要访问的目标共享发起程序机密，请在目标列表中，选择要在发起程序上进行身份验证的每个目标。

　　- 要为本地发起程序设置新的机密并与所选的目标共享，请单击"应用机密"。

　　4.要配置 IPsec，请在"管理 iSCSI 安全"对话框中，配置"门户"选项卡上的下列设置：

　　- 如果要对不同的门户使用不同的 IPsec 密钥，请在门户列表中，选择一个门户，然后单击"设置 IPsec 密钥"。或要对一组门户使用相同的 IPsec 密钥，请从列表中选择门户，然后单击"设置 IPsec 密钥"。

　　- 在"设置 IPsec 密钥"对话框中，键入并确认新的 IPsec 密钥。

　　- 或者，如果要自动将新的密钥传送给本地发起程序，可以选择"记住本地发起程序的 IPsec 密钥"。

　　- 要设置新的 IPsec 密钥，请单击"确定"。

　　5. 完成配置 iSCSI 安全性后，请单击"确定"。