在Synology NAS构建的存储区域网络（SAN）环境中，SAN Manager 是管理iSCSI LUN和主机访问的核心工具，而主机权限配置则是保障数据安全的关键环节——通过精准管控VMware ESXi、Windows等主机对LUN的访问权限，可避免非授权主机入侵、多主机并发写入导致的数据损坏。但多数管理员在操作时会遇到“如何添加主机并分配权限”“不同系统主机能否共享LUN”“权限配置后不生效”等问题。本文基于Synology官方知识库核心内容，从“前置准备”“分步配置流程”“进阶管理技巧”“常见故障排查”四个维度，拆解SAN Manager中主机权限的完整配置方案，覆盖DSM 7及以上版本，确保存储资源访问可控、安全。

一、前置准备：主机权限配置前必满足的4项核心条件

配置主机权限前，需确认DSM版本、套件状态、权限及基础存储资源已就绪，提前核查可避免“添加主机按钮灰显”“LUN无法关联”“权限设置无效”等问题，官方建议重点确认以下事项：

| 准备项目                | 具体要求                                                                 | 检查/确认方法                                                                 |

|-------------------------|--------------------------------------------------------------------------|------------------------------------------------------------------------------|

| 1. 系统与套件版本        | DSM需7.0及以上（DSM 6.2需使用iSCSI Manager，界面操作不同）；SAN Manager为默认预装套件，确保未被卸载 | 查看DSM版本：登录DSM→“控制面板→信息中心→常规”；确认SAN Manager：“套件中心→已安装”，缺失则搜索安装 |

| 2. 管理员权限验证       | 必须使用admin账户或“administrators”群组用户操作（普通用户无SAN配置权限） | 点击DSM右上角“头像”→查看“所属群组”，确认包含“administrators”；非管理员需切换账户 |

| 3. LUN资源已创建        | 需提前创建目标iSCSI LUN（厚置备/精简置备均可），并关联至iSCSI Target | 打开SAN Manager→“LUN”，确认目标LUN状态为“正常”；“iSCSI”页面确认Target已创建并关联LUN |

| 4. 主机启动器信息就绪   | 需获取待配置主机的启动器标识（iSCSI协议用IQN，FC协议用WWPN），可从主机操作系统中查询 | VMware ESXi：vSphere客户端→“存储适配器”查看IQN；Windows：“iSCSI发起程序→配置”查看IQN |

关键提醒：若计划配置CHAP认证增强权限安全性，需提前准备CHAP用户名（1-12位字母/数字）和密码（12-16位字母/数字），且相互CHAP需区分服务器与客户端密码。

二、核心流程：SAN Manager 主机权限配置完整步骤（DSM 7通用）

主机权限配置核心围绕“添加主机→关联启动器→分配LUN权限”三个环节，支持单主机精准配置与批量管理，以下为分步操作指南：

（一）步骤1：添加主机并关联启动器（基础配置）

添加主机是权限管理的前提，需准确录入主机信息并绑定对应的启动器（主机访问SAN的身份标识）：

1.  打开主机管理界面：登录DSM→双击“SAN Manager”→左侧菜单栏选择“主机”→点击页面顶部“添加”按钮，启动配置向导。

2.  填写主机基本信息：

- 名称：自定义主机标识（如“VMware-ESXi-01”“Windows-Server-2022”，便于后续识别）；

- 描述：补充主机用途（如“虚拟化集群节点1”“数据库服务器”）；

- 操作系统：从下拉列表选择对应系统（如VMware ESXi、Windows、Linux等，影响权限冲突校验）；

- 协议：根据连接方式选择iSCSI或FC（主流为iSCSI）；

填写完成后点击“下一步”。

3.  关联启动器（关键步骤）：

- 自动匹配：系统会扫描网络中已发现的启动器，在列表中勾选目标主机的IQN/WWPN；

- 手动添加：若启动器未显示，点击“添加启动器”→输入准确的IQN（如“iqn.1998-01.com.vmware:esxi-00155d0001”）或WWPN→点击“确定”加入列表；

勾选目标启动器后点击“下一步”。

（二）步骤2：分配LUN访问权限（核心安全控制）

权限分配决定主机对LUN的操作范围，需根据业务需求选择合适权限类型，避免过度授权：

1.  选择目标LUN：在“可访问的LUN”列表中，勾选需分配给该主机的LUN（可多选，适用于多LUN集中管理）→点击“下一步”。

2.  设置具体权限：针对每个勾选的LUN，从下拉菜单选择权限类型：

- 读取/写入：允许主机对LUN进行数据读写、修改（适用于数据库服务器、虚拟化主机等核心业务）；

- 只读：仅允许主机查看LUN数据，禁止修改（适用于报表服务器、备份验证主机）；

- 禁止访问：拒绝主机访问LUN（用于临时限制或废弃主机）；

注意：若LUN原权限为“全部允许”，设置为“只读”或“禁止访问”后，会覆盖默认权限，阻止其他未配置主机访问。

3.  完成配置：确认主机信息、启动器及权限设置无误后，点击“完成”，系统提示“主机添加成功”，权限即刻生效。

（三）步骤3：主机权限编辑与移除（后期维护）

当主机用途变更或退役时，需及时调整权限或移除主机，避免权限冗余：

- 编辑权限：在“主机”列表选中目标主机→点击“编辑”→切换至“权限”标签页→修改对应LUN的权限类型→点击“保存”；若需添加新启动器，可在“启动器”标签页点击“添加”补充IQN/WWPN。

- 移除主机：选中需删除的主机→点击“移除”→确认“删除后主机将失去所有LUN访问权限”→点击“删除”。删除后需在对应主机上断开iSCSI连接，避免残留访问请求报错。

三、关键规则：主机与LUN权限的3大核心限制（必知）

不同操作系统主机对LUN的访问兼容性存在差异，错误配置易导致数据损坏，官方明确以下关键规则需严格遵循：

1. 多主机同时访问LUN的兼容性限制

仅特定操作系统的主机支持同时访问同一LUN，非兼容场景需避免并发访问：

| 主机操作系统                | 支持同时访问同一LUN | 适用场景                                                                 |

|-----------------------------|----------------------|--------------------------------------------------------------------------|

| VMware ESXi                 | 是                   | 虚拟化集群中多台ESXi主机共享数据存储LUN                                  |

| Windows（非故障转移集群）   | 否                   | 单台Windows服务器独占LUN，多台访问会导致文件系统损坏        |

| Windows（故障转移集群）     | 是                   | 集群内主机通过集群服务协调LUN访问，避免冲突                              |

| Linux                       | 否                   | 需通过集群文件系统（如GFS2）实现多主机访问，否则禁止并发                  |

| macOS                       | 否                   | 仅支持单主机独占访问LUN                                                  |

| Citrix Hypervisor           | 否                   | 单主机独占LUN用于虚拟机存储                                              |

2. 权限优先级规则

当LUN同时配置“全部允许”和自定义权限时，遵循“自定义权限优先于默认权限”原则：

- 若LUN默认权限为“全部允许”，已配置的主机按自定义权限（读写/只读）访问，未配置主机仍可读写；

- 若对任一主机设置“禁止访问”，则该主机被明确拦截，不受默认权限影响。

3. 启动器与主机的绑定规则

启动器（IQN/WWPN）是主机访问LUN的唯一身份标识，需满足：

- 一个启动器仅可关联至一台主机（重复关联会导致权限冲突）；

- 一台主机可关联多个启动器（适用于多路径I/O配置，提升访问冗余）。

四、进阶技巧：主机权限批量管理与安全加固

针对多主机场景，可通过以下技巧提升权限配置效率与安全性：

1. 主机组批量分配权限（适用于集群环境）

当需为多台同类型主机配置相同权限时，可创建主机组统一管理（需DSM 7.2及以上版本）：

1.  打开SAN Manager→“主机”→点击“创建主机组”→输入组名称（如“ESXi-Cluster”）；

2.  勾选需加入组的主机→点击“确定”完成创建；

3.  选中主机组→点击“编辑权限”→批量分配LUN权限，组内所有主机自动继承权限。

2. 结合CHAP认证加固权限（双重安全验证）

在权限基础上添加CHAP认证，防止启动器身份伪造：

1.  打开SAN Manager→“iSCSI”→选中关联LUN的Target→点击“编辑”；

2.  切换至“CHAP”标签页→勾选“启用CHAP”→输入用户名和密码；

3.  若需双向验证，勾选“启用相互CHAP”→分别设置服务器与客户端密码（不可相同）；

4.  点击“保存”后，需在主机端（如VMware ESXi）配置对应CHAP信息，否则无法连接LUN。

3. 权限生效验证方法

配置后需通过以下步骤确认权限生效：

- 读写权限验证：在主机上向LUN写入测试文件（如新建文本文档），并删除文件，操作成功则权限正常；

- 只读权限验证：尝试修改LUN中的现有文件，系统提示“拒绝访问”则权限生效；

- 禁止访问验证：主机端尝试连接LUN，提示“权限不足”或“连接被拒绝”则配置成功。

五、常见故障：主机权限配置的5类问题解决（官方方案）

1. 问题1：添加主机时找不到目标启动器

核心原因：主机未开启iSCSI服务、启动器IQN输入错误、网络连通性异常； 

解决步骤： 

1.  确认主机iSCSI服务状态：Windows开启“iSCSI发起程序”，VMware ESXi启用“iSCSI软件适配器”； 

2.  重新核对IQN：从主机端复制完整IQN（避免手动输入时多输/少输字符）； 

3.  测试网络连通性：在NAS上ping主机IP，确保网络通畅无丢包。

2. 问题2：权限配置后主机仍无法访问LUN

核心原因：LUN未关联iSCSI Target、Target未启用多重会话、CHAP认证失败； 

解决： 

1.  检查LUN关联：SAN Manager→“LUN”→确认目标LUN“关联的Target”不为空，无关联则点击“编辑”绑定Target； 

2.  启用多重会话：若为主机集群，选中Target→“编辑→高级”→勾选“允许一个或多个iSCSI启动器的多重会话”； 

3.  排查CHAP：若启用CHAP，核对主机与NAS的CHAP用户名/密码是否一致，相互CHAP需确认服务器与客户端密码不重复。

3. 问题3：多主机访问LUN导致数据损坏

核心原因：违反操作系统兼容性规则（如Windows非集群主机并发访问）； 

解决步骤： 

1.  立即断开所有主机的LUN连接：在NAS上设置所有相关主机为“禁止访问”； 

2.  恢复数据：通过LUN快照恢复损坏数据（参考Synology快照恢复教程）； 

3.  重新配置：仅保留符合兼容性的主机访问权限（如仅允许ESXi集群或Windows故障转移集群访问）。

4. 问题4：编辑主机权限后设置不生效

核心原因：主机未重新连接iSCSI、NAS缓存未刷新； 

解决： 

1.  主机端断开iSCSI连接：Windows在“iSCSI发起程序”中删除连接，VMware在“存储适配器”中重新扫描； 

2.  刷新NAS缓存：SAN Manager→点击页面顶部“刷新”按钮（圆形箭头），等待10秒后重新查看权限。

5. 问题5：删除主机后仍能访问LUN

核心原因：主机端存在残留iSCSI会话、LUN默认权限为“全部允许”； 

解决： 

1.  清除残留会话：NAS端→SAN Manager→“iSCSI→会话”→终止目标主机的会话； 

2.  修改默认权限：选中LUN→“编辑→权限”→将“全部允许”改为“自定义”，仅保留必要主机权限。

总结

Synology SAN Manager 主机权限配置的核心是“精准绑定启动器+遵循系统兼容性+强化安全验证”——添加主机时需确保启动器信息准确，分配权限时严格遵守多主机访问规则，通过主机组批量管理提升效率，结合CHAP认证加固安全。按本文步骤操作可有效规避非授权访问、数据损坏等风险，保障SAN存储环境稳定运行。

若需管理大量主机（如超过50台），可参考Synology“企业级SAN权限管理最佳实践”，或联系官方客服获取定制化配置方案。要不要我帮你整理一份“SAN Manager 主机权限配置检查表” ？清单包含“前置准备勾选项”“权限分配规则对照表”“故障排查流程图”，便于快速核对配置细节。