AIX调整IPSEC策略
一.背景概述数据库服务器为双节点IBM HACMP架构,当前需要对数据库VIP地址的1521端口进行访问控制。
注意:进行任何操作前,建议进行系统层的备份,强烈建议在测试环境中操作成功后再进行生产环境的操作。
二.涉及设备
本次操作涉及数据库服务器IP为192.168.56.12/13,数据库监听IP为192.168.56.14,根据实际环境只对监听的VIP进行操作。
三.影响范围
本次操作涉及到HA架构上的两台数据库服务器的1521端口,添加到permit列表的IP地址可以继续访问系统的1521端口,其他IP地址无法访问1521端口。
四.操作方案
1.检查IP sec是否启用
#lslpp -l | grep ipsec
#lsdev -Cc ipsec2.查看当前规则表并备份
#lsfilt –s –v4 –O
#expfilt -v4 -f /tmp3.导入新规则
#impfilt -v4 -f /tmp -l ‘ALL’
#IPver:flt_id:act:src_addr:src_mask:dst_addr:dst_mask:src_rte:proto:src_p_op:src_p:dst_p_op:dst_p:if:scope:dir:log:frag:t
un_id:auto_gen:exptime:pattern_type:pattern
4 3 permit 192.168.56.10 255.255.255.255 192.168.56.14 255.255.255.255 y tcp any 0 eq1521 all bothboth no yes 0 no 0 patt_none
4 4 permit 192.168.56.11 255.255.255.255 192.168.56.14 255.255.255.255 y tcp any 0 eq1521 all bothboth no yes 0 no 0 patt_none
4.检查并启用规则
#ckfilt -v4 -O
#lsfilt –v4 –O
#mkfilt -v4 -u5.验证规则
选择permit之外的IP地址telnet数据库VIP的1521端口,如果访问失败则表示IP sec规则配置正确。
验证完毕后,备份新规则表。
五.回退方案
如果操作期间需要回退,回复之前备份的规则表。
#impfilt -v4 -f /tmp
#lsfilt –v4 –O
页:
[1]