• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

我想问下备份一体机需要用到哪些端口。有哪位大佬知道。

2021-08-02提问
  • 1关注
  • 1收藏,2498浏览
粉丝:0人 关注:0人

问题描述:

我想问下备份一体机的 GUI和Clinent,GUI和GM,Clinent和GM 通信要用到哪些端。因为现在客户这边要过登保,需要在服务器上做出入站的规则,所以要知道备份一体机用到哪些端口,好放行。

组网及组网描述:


最佳答案

已采纳
粉丝:96人 关注:1人

可以在Converged Backup进程跨越防火墙进行通信的环境中配置Converged Backup。

无需为Converged Backup进程的侦听端口设置OB2PORTRANGE和OB2PORTRANGESPEC变量。仍然可为Converged Backup设置这些变量,以用于主机中的进程间通信。

说明

防火墙不阻止进程打开端口,仅连接至来自远程主机的这些端口

 

1. Converged Backup中的通信

Converged Backup进程使用TCP/IP连接进行通信。Converged Backup需要以下端口:

每个Converged Backup系统上的Inet端口(默认为5555/5565)。

说明

Windows inet为多线程。

 

Cell Manager系统上的IDB服务端口(默认为7112)。

Cell Manager系统上的应用程序服务器端口(默认为7116)。

StoreOnceSoftware.exe二进制文件的规则必须保留在入站防火墙例外中。由于StoreOnceSoftware.exe不支持(基于第三方代码的)单个端口传递,但的确会打开入站端口并接受这些端口上的通信。

在防火墙中,这些端口必须打开(可从远程主机访问)。

此外,Converged Backup会打开许多动态端口。在防火墙中,升级Converged Backup单元之前,这些端口必须保持打开状态。

若要配置动态端口的范围,需要进行以下更改:

·            限制在升级整个单元之前仍然需要在防火墙中打开的端口。

·            防止Converged Backup打开第三方应用程序可能需要的端口。

·            Converged Backup可与可能需要打开自有端口的非Converged Backup软件通信。

说明

在安装期间,需要为Inet打开以下端口:

·         全新Converged Backup安装-5565

·         升级Converged Backup安装-5555

 

2. 配置机制

可以使用两个omnirc选项配置端口分配行为:

OB2PORTRANGE

·            该选项设置所有Converged Backup进程从中打开动态端口的端口范围。

OB2PORTRANGESPEC

·            安全性:限制Converged Backup打开的端口,因此端口用户需要在防火墙中打开。

·            与其他软件的冲突:非Converged Backup软件可能需要端口1000-2000用于特定用途,因此通过使用OB2PORTRANGE阻止Converged Backup使用该范围。这对OB2PORTRANGE有效。

说明

·         默认情况下,动态端口由操作系统分配。

·         这些选项不影响Inet的固定端口(5555/5565)IDB服务端口(7112)和应用程序服务器端口(7116)

·         端口范围选项限制Converged Backup端口使用。它们不能阻止非Converged Backup应用程序分配来自该范围的端口。

 

参与通信的代理升级后,防火墙中打开的端口数量会减少。在此之前,Converged Backup使用旧方法进行通信。旧版磁盘代理与新介质代理搭配使用,反之亦然。在升级所有单元主机之前,用户应该使端口保持打开状态。

在inetd支持-p<proc_limit>选项的平台上,如果可能,避免使用该选项,否则建议使用大于2200的proc_limit值。

启用实际防火墙之前,建议测试Converged Backup与已启用Converged Backup防火墙的环境。

要在整个单元中启用Converged Backup防火墙,请运行以下命令:

omnicc-firewall–all–enable_dp

要在部分单元中启用Converged Backup防火墙,请指定单个主机,而非-all。

例如,要测试磁盘代理是否可以通过防火墙与介质代理通信,请运行以下命令以关闭防火墙:

omnicc-firewall–hostMAhostDAhost–enable_dp

与-enable_dp选项一起,在Windows防火墙中使用-enable_os选项禁用Converged Backup规则。

使用这些选项进行测试后,用户可以继续关闭第三方防火墙(例如,路由器)。

2.2.2  H3C Converged Backup端口使用情况

下表提供有关Converged Backup组件的端口要求的信息:

表2-2 端口要求

Converged Backup主机

端口要求

应用程序主机上的Converged Backup的端口要求

应用程序的第三方要求

作为安装目标

Linux/Unix

lREXEC1(不安全):512

lRSH(不安全):514

lSSH:22

Windows

SMB服务:445

作为Cell Manager

lInet:5555/5565

lhpdp-as:7116

lIDB服务:7112

作为H3C Converged Backup磁盘代理

Inet:5555/5565

作为H3C Converged Backup集成代理4

Inet:5555/5565

作为H3C Converged Backup介质代理或NDMP介质代理

Inet:5555/5565

StoreOnce重复数据删除系统2

命令端口:9387

数据端口:9388

NDMP服务器2

服务器:10000

DDBoost3

lNFS:2049

管理的文件复制:2051

lNFS端口映射器:111

·            只需要其中一个REXEC/RSH/SSHD端口,具体取决于安装方法。

·            有关可以打开的其他第三方端口的准确信息,请参考第三方软件文档。

·            在WindowsHyper-V服务器上,对于Hyper-v备份和还原,以下端口需要打开

¡  WMI实例:135(启动)

¡  Windows远程管理(HTTPS):5986

·            在WindowsHyper-V服务器上,对于Hyper-v备份和还原,以下端口需要打开

编写防火墙配置规则时,第一列中的进程必须能够在第二列中定义的端口上接受来自第三列中列出的进程的新TCP连接(设置了SYN位)。

此外,第一列中列出的进程必须能够在现有的TCP连接(未设置SYN位)上答复第三列中的进程。

例如,介质代理系统中的Inet进程必须能够在端口5555/5565上接受来自Cell Manager的新TCP连接。介质代理必须能够使用现有的TCP连接答复Cell Manager。介质代理不必能够打开TCP连接。

1. 限制

该功能在OpenVMS和SCO主机上不可用。如果介质代理(或打开端口的任何H3C Converged Backup组件)在这些系统上运行,用户仍然需要在防火墙中打开这些端口。

2.2.3  DMZ中的磁盘代理、介质代理和应用程序代理

可以配置备份环境,以使Cell Manager和GUI在内部网中,并使某些磁盘代理、应用程序代理和介质代理在DMZ中。

1. 配置图

 

2. 打开的端口

H3C Converged Backup打开以下端口进行配置:

(1)       磁盘代理和介质代理需要在端口5555/5565上接受来自会话管理器的连接:

·            允许CM系统连接到DA系统中的端口5555/5565

·            允许CM系统连接到MA系统中的端口5555/5565

(2)       启用重新连接已断开的连接时,MA和DA连接到会话管理器:

·            允许MA和DA系统连接到CM系统中的端口5555/5565

(3)       应用程序代理需要连接至会话管理器和CRS:

·            允许应用程序服务器系统连接到CM系统中的端口5555/5565

说明

(2)和(3)允许从DMZ连接到内部网,这是一个潜在的安全风险。

 

3. 限制

·            此单元可以备份DMZ中的客户机以及Intranet中的客户机。但是,必须将每组客户机都备份到在位于防火墙同端的客户机上配置的设备。如果防火墙不限制从Intranet到DMZ的连接,则可以将Intranet中的客户机备份到在DMZ中客户机上配置的设备。但是,建议不要这样做,因为以此方式备份的数据更容易受到攻击。

·            如果DMZ中的设备具有在不同客户机上配置的机械手,则此客户机也必须在DMZ中。

暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明