Блокировка трафика протоколов на портах
??ногда бывает важно сделать так, чтобы трафик определенных протоколов вообще не ходил по определенным портам. Например, у нас есть система хранения, лицензированы протоколы iSCSI, CIFS и настроена репликация SnapMirror. Каждый из этих протоколов работает в своей физической сети. По CIFS ходят юзеры за файлами, по iSCSI прицеплены сервера, а SnapMirror льет свои данные по третьей сети, выделенной только под трафик репликации.
?? мы хотели бы гарантировать, что каждый трафик будет существовать только в своей сети. До ONTAP 7.3 минимальные средства такого управления были только для iSCSI. Можно было разрешить или запретить iSCSI на конкретном порту, и только. Но начиная с 7.3 появилась новая возможность.
fas> options interface.cifs.blocked e0b fas> options interface.iscsi.blocked e1a,e1b,e1c,e1d fas> options interface.nfs.blocked e0a,e0c fas> options interface.snapmirror.blocked e0d
??з приведенных примеров, как мне кажется, все понятно. Обратите внимание, что настройки на обоих контроллерах кластера должны быть строго идентичны! Также имейте ввиду, что данные настройки не работают для iSCSI HBA и TOE-карт, то есть это только для обычных NIC, как onboard, так и карт расширения.
А с чем связана невозможность использования способа на аппаратных iSCSI-картах? ):
Думаю, что в специфичности драйвера таких карт, не поддерживающего такую функцию. С другой стороны, подозреваю, что в iSCSI HBA просто не может быть никакого другого трафика, кроме iSCSI, он еще на уровне драйвера отсечется.