一、先懂：iSCSI CHAP验证是什么？为什么必须配置？

在开始操作前，需明确CHAP验证的核心作用与适用场景，避免“为配置而配置”，真正理解其安全价值：

1. CHAP验证的核心作用：阻断未授权iSCSI连接

iSCSI协议默认通过“IP地址授权”允许主机访问存储，若攻击者伪造ESXi主机IP，可能非法访问NAS上的iSCSI LUN（存储虚拟机文件的核心区域）。而CHAP验证通过以下机制解决这一问题：

- 单向CHAP：NAS作为“验证方”，ESXi主机作为“被验证方”——ESXi发起连接时，需向NAS提交预设的“CHAP用户名+密码”，验证通过才能建立连接；

- 相互CHAP（更安全）：NAS与ESXi双向验证——ESXi验证NAS的CHAP凭据，NAS也验证ESXi的凭据，适合对安全性要求极高的场景（如金融、医疗数据存储）。

2. 必须配置CHAP的3类场景

对以下用户而言，iSCSI CHAP验证不是“可选配置”，而是“必选安全措施”：

- 多ESXi主机共享NAS存储：避免某台未授权的ESXi主机接入存储，篡改其他主机的虚拟机文件；

- 存储部署在非隔离网络：若NAS与ESXi处于含“访客设备”的局域网（如企业办公网），需通过CHAP防止无关设备扫描到iSCSI Target后尝试访问；

- 合规要求严格的行业：如符合ISO 27001、等保2.0的企业，需通过身份验证确保存储访问可控。

二、前置准备：配置CHAP前需满足的5个核心条件（附检查方法）

根据Synology官方要求，需先完成以下5项准备工作，否则后续配置会出现“参数无法保存”“连接验证失败”等问题：

| 准备项目                | 具体要求                                                                 | 检查/确认方法                                                                 |

|-------------------------|--------------------------------------------------------------------------|------------------------------------------------------------------------------|

| 1. 支持iSCSI的Synology NAS | 需为“Plus系列”“XS系列”等中高端型号（如DS923+、RS1221+），基础款（DS224j、DS423j）不支持iSCSI Target | 登录Synology官网→搜索NAS型号→“规格参数”→查看“iSCSI支持”是否标注“支持iSCSI Target与CHAP验证” |

| 2. 已安装DSM系统        | DSM版本为6.2及以上（官方教程基于6.2/7.0，7.0及以上为当前主流版本，功能更完善） | 登录NAS的DSM界面→“控制面板”→“信息中心”→“常规”→查看“DSM版本”（如“DSM 7.2.1-69057 Update 3”） |

| 3. 已完成iSCSI基础配置  | 需在NAS上创建iSCSI LUN，并将LUN“映射到Target”（即Target与LUN关联，ESXi访问Target时才能识别LUN） | DSM 7.0：打开“SAN Manager”→“iSCSI”→“Target”列表中，确认目标Target的“LUN映射”状态为“已关联”；DSM 6.2：打开“iSCSI Manager”→“Target”→“LUN映射”查看 |

| 4. VMware ESXi已配置iSCSI连接 | ESXi主机已通过iSCSI软件适配器“发现”NAS的iSCSI Target（未配置CHAP时能正常连接） | 登录vSphere Client→选中ESXi主机→“配置”→“存储适配器”→找到“iSCSI软件适配器”（如vmhba65）→“Targets”中能看到NAS的iSCSI Target，状态为“已连接” |

| 5. 记录关键信息          | 提前记录NAS的iSCSI Target名称（如“VMware-Target-01”）、ESXi的iSCSI启动器名称（如“iqn.1998-01.com.vmware:esxi-01-abc123”） | NAS端：在iSCSI Manager/SAN Manager中查看Target名称；ESXi端：“存储适配器”→iSCSI软件适配器→“属性”→“常规”→查看“启动器名称” |

关键提醒：若未完成iSCSI基础配置

若NAS尚未创建iSCSI Target和LUN，需先补充配置（以DSM 7.0为例）：

1. 打开“SAN Manager”→“iSCSI”→“Target”→“创建”，输入Target名称（如“VMware-Target-01”），点击“下一步”；

2. 进入“LUN”页面→“创建LUN”，选择“块级LUN”（适配VMware），设置容量（建议≥100GB，根据虚拟机需求调整），点击“确定”；

3. 在“Target-LUN映射”页面，勾选刚创建的LUN，点击“完成”——基础iSCSI配置完成，可继续CHAP设置。

三、第一步：在Synology NAS上配置iSCSI CHAP（DSM 6.2/7.0双版本）

NAS端是CHAP验证的“凭据设置方”，需先在这里配置用户名和密码，DSM 6.2与7.0的操作入口不同，需分别说明：

场景1：DSM 7.0及以上版本（当前主流版本）

DSM 7.0将iSCSI管理整合到“SAN Manager”，界面更直观，步骤如下：

步骤1：打开SAN Manager并定位目标iSCSI Target

1. 登录Synology NAS的DSM界面（需用管理员账户，如admin，普通用户无权限修改iSCSI设置）；

2. 在桌面找到“SAN Manager”图标（蓝色存储图标，默认在“系统工具”分类），双击打开；

3. 在左侧菜单选择“iSCSI”，进入iSCSI管理页面——在“Target”列表中，找到“已与ESXi建立连接的Target”（如“VMware-Target-01”），确认Target状态为“在线”。

步骤2：编辑Target并启用CHAP验证

1. 选中目标Target（如“VMware-Target-01”），点击页面上方的“编辑”按钮（铅笔图标），弹出“编辑iSCSI Target”窗口；

2. 在窗口顶部切换到“常规”选项卡（默认显示此选项卡，无需额外切换）；

3. 找到“CHAP验证”板块，勾选“启用CHAP”复选框——此时会显示“CHAP用户名”和“CHAP密码”输入框；

4. 按官方要求输入凭据（格式错误会导致验证失败）：

- CHAP用户名：1-12个字母数字字符（仅支持A-Z、a-z、0-9，不能含特殊符号或中文，如“ESXi-CHAP-01”）；

- CHAP密码：12-16个字母数字字符（需包含大小写+数字，如“SynoVMware@2025”，避免简单密码如“123456789012”）；

5. （可选）启用相互CHAP：若需双向验证，勾选“启用相互CHAP”复选框，输入“相互CHAP用户名”和“相互CHAP密码”（注意：相互CHAP的用户名/密码需与单向CHAP不同，且密码也需12-16位字母数字）；

6. 点击窗口右下角“保存”按钮——系统会提示“设置已更新”，CHAP凭据在NAS端配置完成。

场景2：DSM 6.2及以下版本（旧版本用户参考）

DSM 6.2使用独立的“iSCSI Manager”管理iSCSI功能，步骤与7.0类似但入口不同：

1. 登录DSM后，打开桌面的“iSCSI Manager”（橙色图标，在“存储”分类中）；

2. 在左侧菜单选择“Target”，进入Target列表页面，找到需配置CHAP的Target（如“VMware-Target-01”）；

3. 选中Target后，点击页面上方“操作”下拉菜单，选择“编辑”（或右键Target选择“编辑”）；

4. 在“编辑iSCSI Target”窗口的“常规”选项卡中，勾选“启用CHAP”，输入符合格式的用户名和密码（与DSM 7.0要求一致）；

5. 如需相互CHAP，勾选“启用相互CHAP”并输入独立凭据；

6. 点击“确定”按钮，等待1-2分钟，系统会自动应用CHAP设置（无需重启NAS）。

四、第二步：在VMware ESXi上配置iSCSI CHAP（vSphere 6.7为例）

NAS端配置好CHAP凭据后，需在VMware ESXi上“同步配置”，否则ESXi发起连接时会因“无凭据”被NAS拒绝，步骤如下（基于vSphere Client操作）：

步骤1：登录vSphere Client并定位ESXi主机的存储适配器

1. 打开安装在管理机（Windows/macOS）上的VMware vSphere Client，输入vCenter Server或ESXi主机的IP地址、用户名和密码，点击“登录”；

2. 在左侧导航栏“主机和集群”中，选中“需配置CHAP的ESXi主机”（如“ESXi-01”）；

3. 点击主机下方的“配置”选项卡（横向菜单，在“摘要”右侧），在左侧“硬件”分类中找到“存储适配器”，点击进入。

步骤2：选择iSCSI软件适配器并找到目标Target

1. 在“存储适配器”列表中，找到“iSCSI软件适配器”（名称格式为“vmhbaXX”，如“vmhba65”），右键点击该适配器，选择“属性”；

2. 在“iSCSI软件适配器属性”窗口中，切换到“动态发现”或“静态发现”选项卡（根据ESXi发现NAS Target的方式选择，多数用户为“动态发现”）；

3. 在“已发现的Target”列表中，找到“在NAS端配置了CHAP的Target”（如“iqn.2000-01.com.synology:nas.vmware-target-01”），选中该Target后，点击右侧“验证”按钮（关键步骤，配置CHAP的入口）。

步骤3：配置CHAP验证方法与凭据

1. 在弹出的“验证设置”窗口中，首先取消勾选“从父级继承设置”（必须取消，否则无法自定义CHAP凭据）；

2. 根据NAS端的配置选择“验证方法”：

- 若NAS仅启用“单向CHAP”：在“验证方法”下拉框中选择“使用单向CHAP”；

- 若NAS启用“相互CHAP”：选择“使用双向CHAP”（需额外配置传入凭据）；

3. 配置“传出CHAP凭据”（ESXi发给NAS的凭据，必须与NAS端的单向CHAP凭据一致）：

- 勾选“使用启动器名称”：若希望CHAP用户名等于ESXi的iSCSI启动器名称（如“iqn.1998-01.com.vmware:esxi-01-abc123”），需确保NAS端的CHAP用户名也设置为该启动器名称；

- 取消“使用启动器名称”：若NAS端的CHAP用户名是自定义名称（如“ESXi-CHAP-01”），则在此处“名称”文本框中输入该自定义名称（必须与NAS端完全一致，区分大小写）；

- 在“密码”文本框中输入NAS端配置的单向CHAP密码（如“SynoVMware@2025”，同样区分大小写，不能多输/漏输字符）；

4. （若启用相互CHAP）配置“传入CHAP凭据”（NAS发给ESXi的凭据，需与NAS端的相互CHAP凭据一致）：

- 勾选“配置传入CHAP凭据”；

- 在“名称”文本框输入NAS端的相互CHAP用户名，“密码”文本框输入相互CHAP密码（必须与传出密码不同，官方强制要求，避免单向/双向密码相同导致安全风险）；

5. 点击“确定”按钮，返回“iSCSI软件适配器属性”窗口。

步骤4：重新扫描适配器，使CHAP配置生效

1. 右键点击iSCSI软件适配器（如vmhba65），选择“重新扫描”——在弹出的“重新扫描存储适配器”窗口中，勾选“扫描所有存储适配器”和“扫描新存储设备”，点击“确定”；

2. 等待扫描完成（进度在vSphere Client底部“近期任务”中显示，约1-2分钟）；

3. 扫描完成后，在“存储适配器”→“Targets”中，查看目标Target的“状态”是否为“已连接”——若显示“已连接”，说明CHAP验证通过；若显示“已断开”，需检查凭据是否匹配。

五、关键步骤：验证CHAP配置是否真正生效（避免“假成功”）

部分用户配置后看到“已连接”就认为完成，但需进一步验证“连接是否真的使用了CHAP”，避免因配置遗漏导致安全漏洞：

方法1：在VMware ESXi中验证

1. 进入ESXi主机的“存储适配器”→右键iSCSI软件适配器→“属性”→“Targets”；

2. 选中目标Target，点击“详情”按钮；

3. 在“Target详情”窗口的“验证”选项卡中，查看“当前验证方法”：

- 若显示“单向CHAP”或“双向CHAP”，且“凭据状态”为“有效”，说明CHAP已生效；

- 若显示“无”，则说明配置未生效，需重新检查步骤3-4的凭据设置。

方法2：在Synology NAS中验证

1. DSM 7.0：打开“SAN Manager”→“iSCSI”→“会话”；

2. 在“会话”列表中，找到ESXi主机对应的会话，查看“CHAP状态”：

- 显示“已验证（单向）”或“已验证（相互）”，说明CHAP生效；

- 显示“未验证”，需重新配置NAS与ESXi的CHAP凭据。

六、常见问题：CHAP配置失败的4类高频问题及解决方法

1. 问题1：ESXi配置CHAP后，Target状态变为“已断开”（提示“验证失败”）

核心原因：NAS与ESXi的CHAP凭据不匹配（90%的失败源于此），如用户名大小写错误、密码多输字符。 

解决步骤：

1. 登录NAS的iSCSI Manager/SAN Manager，重新查看Target的CHAP用户名和密码（注意大小写，如“ESXi-CHAP-01”≠“esxi-chap-01”）；

2. 在ESXi的“验证设置”中，逐字符核对“名称”和“密码”，确保与NAS端完全一致（建议先在记事本中写下NAS的凭据，再对照输入）；

3. 重新扫描适配器，查看连接状态。

2. 问题2：启用相互CHAP后，提示“传入CHAP凭据无效”

核心原因：相互CHAP的“传入密码”与NAS端的相互CHAP密码不一致，或传入/传出密码相同（官方禁止）。 

解决步骤：

1. 登录NAS，确认“相互CHAP密码”（与单向CHAP密码不同）；

2. 在ESXi的“验证设置”中，确保“传入密码”与NAS的相互CHAP密码一致，且“传出密码”对应NAS的单向CHAP密码（两者不能相同）；

3. 保存后重新扫描适配器。

3. 问题3：更改CHAP密码后，ESXi仍能通过旧密码连接

核心原因：CHAP参数更改后，仅对“新建立的iSCSI会话”生效，现有会话仍使用旧密码（官方规则）。 

解决步骤：

1. 在NAS的“SAN Manager/iSCSI Manager”→“会话”中，找到ESXi的现有会话，点击“断开”；

2. 在ESXi的“存储适配器”中，重新扫描适配器，建立新会话——此时会使用新的CHAP密码；

3. 验证新会话的CHAP状态（参考步骤五）。

4. 问题4：DSM 7.0中“启用CHAP”选项为灰色，无法勾选

核心原因：Target已存在活跃的iSCSI会话（如ESXi已连接该Target），NAS不允许在会话活跃时修改CHAP设置。 

解决步骤：

1. 先在NAS的“会话”列表中，断开所有连接该Target的ESXi会话；

2. 重新进入Target的“编辑”窗口，此时“启用CHAP”选项会变为可勾选状态；

3. 配置CHAP凭据后，让ESXi重新建立连接。

七、注意事项：保障CHAP验证长期安全的5个关键要点

1. 凭据格式严格遵守官方要求：用户名1-12位字母数字，密码12-16位字母数字，避免使用特殊符号（如@、）——部分旧型号ESXi不支持特殊符号，可能导致验证失败；

2. 定期更换CHAP凭据：建议每3个月更新一次CHAP密码（NAS与ESXi需同步更新），降低凭据泄露后的风险；

3. 相互CHAP优先用于高安全场景：普通企业用“单向CHAP”即可满足需求，金融、医疗等行业建议启用“相互CHAP”，并确保传入/传出密码完全不同；

4. 记录CHAP凭据并加密存储：将CHAP用户名/密码记录在加密文档中（如用KeePass管理），避免明文存储在电脑桌面；

5. 多ESXi主机需分别配置：若有多台ESXi主机共享同一NAS Target，需为每台ESXi单独配置CHAP（可使用相同凭据，也可每台单独设置，后者更安全）。

总结

Synology NAS与VMware ESXi之间的iSCSI CHAP验证配置，核心是“NAS端设置凭据+ESXi端同步匹配”，关键在于“凭据完全一致”和“取消继承设置”。无论是单向CHAP还是相互CHAP，只要严格遵循本文的DSM 6.2/7.0分步操作，并通过ESXi与NAS的双重验证确认生效，就能有效阻断未授权访问，保障虚拟化存储的安全。若操作中遇到型号适配问题，可参考Synology官方“支持机型列表”或拨打400-028-9623客服，确保配置符合官方规范。

这篇文章详细覆盖了CHAP验证的全流程，包括版本差异、凭据格式、生效验证等关键细节。若你需要补充特定场景（如vSphere 7.0/8.0版本的配置差异），或调整某部分步骤的详细程度，欢迎随时告知，我会进一步优化内容实用性。