AIX调整IPSEC策略

admin

一．背景概述
数据库服务器为双节点IBM HACMP架构，当前需要对数据库VIP地址的1521端口进行访问控制。

注意：进行任何操作前，建议进行系统层的备份，强烈建议在测试环境中操作成功后再进行生产环境的操作。

二．涉及设备
本次操作涉及数据库服务器IP为192.168.56.12/13，数据库监听IP为192.168.56.14，根据实际环境只对监听的VIP进行操作。

三．影响范围
本次操作涉及到HA架构上的两台数据库服务器的1521端口，添加到permit列表的IP地址可以继续访问系统的1521端口，其他IP地址无法访问1521端口。

四．操作方案
1.检查IP sec是否启用

1. #lslpp -l | grep ipsec
   
2. #lsdev -Cc ipsec

复制代码

2.查看当前规则表并备份

1. #lsfilt –s –v4 –O
   
2. #expfilt -v4 -f /tmp

复制代码

3.导入新规则

1. #impfilt -v4 -f /tmp -l ‘ALL’
   
2. #IPver:flt_id:act:src_addr:src_mask:dst_addr:dst_mask:src_rte:proto:src_p_op:src_p:dst_p_op:dst_p:if:scope:dir:log:frag:t
   
3. un_id:auto_gen:exptime:pattern_type:pattern
   
4. 4 3 permit 192.168.56.10 255.255.255.255 192.168.56.14 255.255.255.255 y tcp any 0 eq  1521 all both  both     no yes 0 no 0 patt_none
   
5. 4 4 permit 192.168.56.11 255.255.255.255 192.168.56.14 255.255.255.255 y tcp any 0 eq  1521 all both  both     no yes 0 no 0 patt_none
   

复制代码

4.检查并启用规则

1. #ckfilt -v4 -O
   
2. #lsfilt –v4 –O
   
3. #mkfilt -v4 -u

复制代码

5.验证规则
选择permit之外的IP地址telnet数据库VIP的1521端口，如果访问失败则表示IP sec规则配置正确。
验证完毕后，备份新规则表。
五．回退方案
如果操作期间需要回退，回复之前备份的规则表。

1. #impfilt -v4 -f /tmp
   
2. #lsfilt –v4 –O

复制代码