我正在研究 DISA 对我们网络设备的安全性强化。我们的 iSCSI SAN 网络使用 2 个 Cisco 2960G 第 2 层交换机。SAN 由 2 个 HP P4000 设备组成。服务器是 Hyper-V 集群中的 3 个 Dell R710。DISA 有一条关于启用端口安全性或 802.1x 的规则,但这会扰乱多路径 IO 或 NIC 组合吗?
编辑:每个 SAN 和服务器都与每个交换机连接,并且两个交换机之间有一个以太网通道,因此这是一个全网状配置。可能对问题没有帮助,但它可能有助于可视化配置。
答案1
假设连接布局保持静态,端口安全应该不是问题。我不确定是否有任何 iSCSI SAN 支持 802.1x,所以这可能是一个无法实现的问题。
只需确保 SAN 交换机上所有未使用的端口都已关闭并移至未使用的 VLAN,并在使用的端口上设置端口安全粘性即可。这应该可以满足 STIG。
答案2
可以,这取决于执行多路径的软件,如果两个 NIC 公布其物理 MAC 和移动的团队 MAC,那么您可能会遇到麻烦。唯一可以确定的方法是在每个故障转移场景测试之前、期间和之后观察 CAM。