ESXi 支持为所有类型的 iSCSI/iSER 启动器设置单向 CHAP,以及为软件和从属硬件 iSCSI 和 iSER 设置双向 CHAP。

在配置 CHAP 之前,请检查是否在 iSCSI 存储系统中启用了 CHAP。此外,还请获取有关系统支持的 CHAP 身份验证方法的信息。如果已启用 CHAP,请为启动器配置 CHAP,并确保 CHAP 身份验证凭据与 iSCSI 存储上的身份验证凭据相匹配。

ESXi 支持下列 CHAP 身份验证方法:
单向 CHAP
在单向 CHAP 身份验证中,目标需验证启动器,但启动器无需验证目标。
双向 CHAP
双向 CHAP 身份验证额外增加了一层安全保护。通过此方法,启动器也可以对目标进行身份验证。VMware 仅对软件和从属硬件 iSCSI 适配器以及 iSER 适配器支持此方法。

对于软件和从属硬件 iSCSI 适配器以及 iSER 适配器,可以为每个适配器或在目标级别设置单向 CHAP 和双向 CHAP。独立硬件 iSCSI 仅支持适配器级别的 CHAP。

设置 CHAP 参数时,请指定 CHAP 的安全级别。

注: 指定 CHAP 安全级别时,存储阵列的响应方式取决于阵列的 CHAP 实施,且因供应商而异。有关不同的启动器和目标配置中的 CHAP 身份验证行为的信息,请参阅阵列文档。
表 1. CHAP 安全级别
CHAP 安全级别 描述 支持的存储适配器
主机不使用 CHAP 身份验证。如果启用了身份验证,则使用此选项会将其禁用。

独立硬件 iSCSI

软件 iSCSI

从属硬件 iSCSI

iSER

使用单向 CHAP (如果目标需要) 主机首选非 CHAP 连接,但如果目标要求可以使用 CHAP 连接。 软件 iSCSI

从属硬件 iSCSI

iSER

使用单向 CHAP (除非目标禁止) 主机首选 CHAP,但如果目标不支持 CHAP,可以使用非 CHAP 连接。

独立硬件 iSCSI

软件 iSCSI

从属硬件 iSCSI

iSER

使用单向 CHAP 主机需要成功的 CHAP 身份验证。如果 CHAP 协商失败,则连接失败。

独立硬件 iSCSI

软件 iSCSI

从属硬件 iSCSI

iSER

使用双向 CHAP 主机和目标支持双向 CHAP。 软件 iSCSI

从属硬件 iSCSI

iSER