问题描述:
我想问下备份一体机的 GUI和Clinent,GUI和GM,Clinent和GM 通信要用到哪些端。因为现在客户这边要过登保,需要在服务器上做出入站的规则,所以要知道备份一体机用到哪些端口,好放行。
组网及组网描述:
- 2021-08-02提问
- 举报
-
(0)
最佳答案
可以在Converged Backup进程跨越防火墙进行通信的环境中配置Converged Backup。
无需为Converged Backup进程的侦听端口设置OB2PORTRANGE和OB2PORTRANGESPEC变量。仍然可为Converged Backup设置这些变量,以用于主机中的进程间通信。
防火墙不阻止进程打开端口,仅连接至来自远程主机的这些端口
1. Converged Backup中的通信
Converged Backup进程使用TCP/IP连接进行通信。Converged Backup需要以下端口:
每个Converged Backup系统上的Inet端口(默认为5555/5565)。
Windows inet为多线程。
Cell Manager系统上的IDB服务端口(默认为7112)。
Cell Manager系统上的应用程序服务器端口(默认为7116)。
StoreOnceSoftware.exe二进制文件的规则必须保留在入站防火墙例外中。由于StoreOnceSoftware.exe不支持(基于第三方代码的)单个端口传递,但的确会打开入站端口并接受这些端口上的通信。
在防火墙中,这些端口必须打开(可从远程主机访问)。
此外,Converged Backup会打开许多动态端口。在防火墙中,升级Converged Backup单元之前,这些端口必须保持打开状态。
若要配置动态端口的范围,需要进行以下更改:
· 限制在升级整个单元之前仍然需要在防火墙中打开的端口。
· 防止Converged Backup打开第三方应用程序可能需要的端口。
· Converged Backup可与可能需要打开自有端口的非Converged Backup软件通信。
在安装期间,需要为Inet打开以下端口:
· 全新Converged Backup安装-5565
· 升级Converged Backup安装-5555
2. 配置机制
可以使用两个omnirc选项配置端口分配行为:
OB2PORTRANGE
· 该选项设置所有Converged Backup进程从中打开动态端口的端口范围。
OB2PORTRANGESPEC
· 安全性:限制Converged Backup打开的端口,因此端口用户需要在防火墙中打开。
· 与其他软件的冲突:非Converged Backup软件可能需要端口1000-2000用于特定用途,因此通过使用OB2PORTRANGE阻止Converged Backup使用该范围。这对OB2PORTRANGE有效。
· 默认情况下,动态端口由操作系统分配。
· 这些选项不影响Inet的固定端口(5555/5565)、IDB服务端口(7112)和应用程序服务器端口(7116)。
· 端口范围选项限制Converged Backup端口使用。它们不能阻止非Converged Backup应用程序分配来自该范围的端口。
参与通信的代理升级后,防火墙中打开的端口数量会减少。在此之前,Converged Backup使用旧方法进行通信。旧版磁盘代理与新介质代理搭配使用,反之亦然。在升级所有单元主机之前,用户应该使端口保持打开状态。
在inetd支持-p<proc_limit>选项的平台上,如果可能,避免使用该选项,否则建议使用大于2200的proc_limit值。
启用实际防火墙之前,建议测试Converged Backup与已启用Converged Backup防火墙的环境。
要在整个单元中启用Converged Backup防火墙,请运行以下命令:
omnicc-firewall–all–enable_dp
要在部分单元中启用Converged Backup防火墙,请指定单个主机,而非-all。
例如,要测试磁盘代理是否可以通过防火墙与介质代理通信,请运行以下命令以关闭防火墙:
omnicc-firewall–hostMAhostDAhost–enable_dp
与-enable_dp选项一起,在Windows防火墙中使用-enable_os选项禁用Converged Backup规则。
使用这些选项进行测试后,用户可以继续关闭第三方防火墙(例如,路由器)。
2.2.2 H3C Converged Backup端口使用情况
下表提供有关Converged Backup组件的端口要求的信息:
表2-2 端口要求
Converged Backup主机 | 端口要求 | 应用程序主机上的Converged Backup的端口要求 | 应用程序的第三方要求 |
作为安装目标 | Linux/Unix lREXEC1(不安全):512 lRSH(不安全):514 lSSH:22 Windows SMB服务:445 | 无 | 无 |
作为Cell Manager | lInet:5555/5565 lhpdp-as:7116 lIDB服务:7112 | 无 | 无 |
作为H3C Converged Backup磁盘代理 | Inet:5555/5565 | 无 | 无 |
作为H3C Converged Backup集成代理4 | Inet:5555/5565 | 无 | 无 |
作为H3C Converged Backup介质代理或NDMP介质代理 | Inet:5555/5565 | 无 | StoreOnce重复数据删除系统2 命令端口:9387 数据端口:9388 NDMP服务器2 服务器:10000 DDBoost3 lNFS:2049 管理的文件复制:2051 lNFS端口映射器:111 |
· 只需要其中一个REXEC/RSH/SSHD端口,具体取决于安装方法。
· 有关可以打开的其他第三方端口的准确信息,请参考第三方软件文档。
· 在WindowsHyper-V服务器上,对于Hyper-v备份和还原,以下端口需要打开
¡ WMI实例:135(启动)
¡ Windows远程管理(HTTPS):5986
· 在WindowsHyper-V服务器上,对于Hyper-v备份和还原,以下端口需要打开
编写防火墙配置规则时,第一列中的进程必须能够在第二列中定义的端口上接受来自第三列中列出的进程的新TCP连接(设置了SYN位)。
此外,第一列中列出的进程必须能够在现有的TCP连接(未设置SYN位)上答复第三列中的进程。
例如,介质代理系统中的Inet进程必须能够在端口5555/5565上接受来自Cell Manager的新TCP连接。介质代理必须能够使用现有的TCP连接答复Cell Manager。介质代理不必能够打开TCP连接。
1. 限制
该功能在OpenVMS和SCO主机上不可用。如果介质代理(或打开端口的任何H3C Converged Backup组件)在这些系统上运行,用户仍然需要在防火墙中打开这些端口。
2.2.3 DMZ中的磁盘代理、介质代理和应用程序代理
可以配置备份环境,以使Cell Manager和GUI在内部网中,并使某些磁盘代理、应用程序代理和介质代理在DMZ中。
1. 配置图
2. 打开的端口
H3C Converged Backup打开以下端口进行配置:
(1) 磁盘代理和介质代理需要在端口5555/5565上接受来自会话管理器的连接:
· 允许CM系统连接到DA系统中的端口5555/5565
· 允许CM系统连接到MA系统中的端口5555/5565
(2) 启用重新连接已断开的连接时,MA和DA连接到会话管理器:
· 允许MA和DA系统连接到CM系统中的端口5555/5565
(3) 应用程序代理需要连接至会话管理器和CRS:
· 允许应用程序服务器系统连接到CM系统中的端口5555/5565
(2)和(3)允许从DMZ连接到内部网,这是一个潜在的安全风险。
3. 限制
· 此单元可以备份DMZ中的客户机以及Intranet中的客户机。但是,必须将每组客户机都备份到在位于防火墙同端的客户机上配置的设备。如果防火墙不限制从Intranet到DMZ的连接,则可以将Intranet中的客户机备份到在DMZ中客户机上配置的设备。但是,建议不要这样做,因为以此方式备份的数据更容易受到攻击。
· 如果DMZ中的设备具有在不同客户机上配置的机械手,则此客户机也必须在DMZ中。
- 2021-08-02回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论