PowerVault ME5: Wpływ skanerów zabezpieczeń sieciowych na wydajność iSCSI, stabilność sieci SAN i dostęp do danych

Podsumowanie: W tym artykule omówiono problem, w którym nadmierne skanowanie sieci w sieci iSCSI powodowało niestabilność systemu, w tym awarie rdzenia i brak odpowiedzi węzłów pamięci masowej. Główną przyczyną zostały zidentyfikowane skanowania bezpieczeństwa zalewające sieć iSCSI, prowadzące do wyczerpania zasobów. Zalecanym rozwiązaniem jest odizolowanie ruchu iSCSI od ogólnych skanów sieci i przestrzeganie najlepszych praktyk w celu bezpiecznego wdrażania iSCSI. ...

Ten artykuł dotyczy Ten artykuł nie dotyczy Ten artykuł nie jest powiązany z żadnym konkretnym produktem. Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Sprawdź inne zasoby

Objawy

Oba kontrolery przestają odpowiadać.

Z dzienników zdarzeń ME5:

A1643	2025-04-22 15:02:09	658		Warning	The system health is degraded and cannot support firmware upgrade. (number of pre-firmware upgrade tests failed: 1, pre-firmware upgrade failed tests: 0x0000000000000002 )
A1642	2025-04-22 15:01:57	658		Warning	The system health is degraded and cannot support firmware upgrade. (number of pre-firmware upgrade tests failed: 1, pre-firmware upgrade failed tests: 0x0000000000000002 )
A1641	2025-04-22 15:01:45	658		Warning	The system health is degraded and cannot support firmware upgrade. (number of pre-firmware upgrade tests failed: 1, pre-firmware upgrade failed tests: 0x0000000000000002 )
A1640	2025-04-22 14:55:26	81		Informational	Kill was released (that is, the partner controller was allowed to boot up), automatic.
A1639	2025-04-22 14:53:26	71		Informational	Failover completed. (failed or shutdown controller: B)
A1638	2025-04-22 14:53:26	77		Informational	Write-back cache was initialized for controller B. Write-back data was found.
A1637	2025-04-22 14:53:26	71		Informational	Failover was initiated. (failed or shutdown controller: B)
A1636	2025-04-22 14:53:25	194		Informational	Auto-write-through trigger event: partner processor down.
A1635	2025-04-22 14:53:25	188		Informational	Write-back cache was disabled.
A1634	2025-04-22 14:53:25	84		Warning	Killed partner controller. (reason: Heartbeat lost)

Przyczyna

Główną przyczyną tego problemu było nieautoryzowane lub agresywne skanowanie sieci w sieci iSCSI. Do najważniejszych czynników przyczyniających się do tego należą:

  • Brak izolacji sieci: ruch iSCSI nie był prawidłowo oddzielony od ogólnego ruchu w sieci przedsiębiorstwa, przez co był podatny na skanowanie.
  • Obsługa ruchu w trybie bursty: interfejs iSCSI jest wrażliwy na pakiety z dużą szybkością, a skany bezpieczeństwa generowały nadmierną liczbę żądań, co prowadziło do wyczerpania zasobów.
  • Nasycenie tabeli OID: Tabela identyfikatorów obiektów (OID) systemu pamięci masowej zapełniła się z powodu natłoku prób połączenia, powodując awarie rdzenia. (Błędy zapełnienia tabeli oid).
  • Zakłócenia komunikacji międzyrdzeniowej (niereagujące dzienniki rdzenia).

Rozwiązanie

Aby zapobiec ponownemu wystąpieniu problemu, zastosuj następujące najlepsze rozwiązania:

  1. Izolowanie sieci iSCSI

    • Upewnij się, że ruch iSCSI działa w dedykowanej, izolowanej sieci (oddzielnej sieci VLAN lub sieci fizycznej).
    • Ogranicz dostęp tylko do autoryzowanych inicjatorów.

  2. Unikaj skanowania portów iSCSI

    • Aby zapobiec zakłóceniom, skanowanie zabezpieczeń powinno wykluczać sieci iSCSI.
    • Jeśli skanowanie jest obowiązkowe, wykonuj je tylko podczas przerw konserwacyjnych po wcześniejszej koordynacji.

  3. Wdrożenie odpowiednich kontroli dostępu

    • Użyj uwierzytelniania CHAP dla inicjatorów iSCSI.
    • Skonfiguruj reguły zapory, aby blokować nieautoryzowany dostęp do portów iSCSI (zazwyczaj TCP 3260).

  4. Monitorowanie nietypowego ruchu

    • Wdróż monitorowanie sieci w celu wykrywania nietypowych wzorców ruchu, które mogą wskazywać na skanowanie lub ataki.

Najlepsze praktyki dotyczące bezpiecznego wdrażania iSCSI:

  • Segmentacja logiczna: Używaj dedykowanych sieci VLAN lub sieci fizycznych dla iSCSI, aby zminimalizować narażenie.
  • Separacja portów zarządzania: Interfejsy zarządzania pamięcią masową należy udostępniać tylko sieci ogólnej, izolując porty iSCSI.
  • Regularne aktualizacje oprogramowania wewnętrznego: Upewnij się, że kontrolery pamięci masowej i karty sieciowe mają najnowsze oprogramowanie wewnętrzne, aby efektywnie obsługiwać ruch.

Stosując te środki, organizacje mogą utrzymać wysoką dostępność i bezpieczeństwo infrastruktury pamięci masowej iSCSI, unikając jednocześnie spadku wydajności spowodowanego skanowaniem zewnętrznym.

 

Zalecane najlepsze praktyki:

Implementacja protokołu iSCSI w odizolowanych sieciach VLAN lub sieciach fizycznych zapewnia lepszą wydajność i chroni infrastrukturę pamięci masowej przed niezamierzonymi zakłóceniami. Zapobiegaj ukierunkowywaniu narzędzi skanowania na ten segment sieci, aby uniknąć zalewania dzienników i awarii rdzeni. Właściwa segmentacja, zasady bezpieczeństwa i wykluczenia ze skanowania mają kluczowe znaczenie dla zdrowego środowiska pamięci masowej.

Produkty, których dotyczy problem

PowerVault ME5012, PowerVault ME5024, PowerVault ME5084
Właściwości artykułu
Numer artykułu: 000321701
Typ artykułu: Solution
Ostatnia modyfikacja: 23 maj 2026
Wersja:  3
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.