linux – 备份需要很长时间才能使防火墙关闭连接

前端之家收集整理的这篇文章主要介绍了linux – 备份需要很长时间才能使防火墙关闭连接前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
这里有一些mashup系统,所以请耐心等待.基本上,在尝试备份远程 Linux服务器时,我在使用Oracle的Backup Exec代理时遇到了一些麻烦. BE代理似乎使用RMAN备份数据库

备份服务器位于一个VLAN上,目标服务器位于另一个VLAN上,Cisco ASA防火墙提供它们之间的唯一链接.这是设计使然,因为备份服务器将支持多个客户端,并且每个客户端必须位于其自己的VLAN上以防止它们相互访问.我已将建议的端口添加到防火墙,以至少允许代理与媒体服务器通信.

备份启动得足够好(实际上同一服务器上的小型Oracle数据库完成没有问题),但是一个200GB的数据库,显然需要几个小时才能完成,无法完成.

我认为问题与http://www.symantec.com/business/support/index?page=content&id=TECH59632有关,它表示在备份开始时在端口5633上建立了CORBA会话,并在每个RMAN操作之前使用,但是在传输数据时,CORBA会话的套接字不接收任何数据包.由于防火墙上的连接超时为60分钟,因此CORBA会话被丢弃,当RMAN代理尝试执行其下一个操作时,整个过程会发生爆炸.赛门铁克表示此问题已在早期版本的Backup Exec中修复,但未详细说明任何其他设置以强制执行此问题.

将防火墙上的连接超时设置为足以覆盖备份窗口的内容(例如12小时)似乎是错误的做法,因为它是一个属性范围的更改,这也会影响连接的生命周期(例如)Web请求到另一个客户端的Web服务器.

将Linux服务器移动到与备份服务器相同的LAN是不可能的.

我不是Linux大师,但我大致了解我的方式.到目前为止,我已经尝试开始使用libkeepalive(http://libkeepalive.sourceforge.net/)强制beremote进程’套接字创建使用KEEPALIVE TCP标志,但快速netstat -top表明它没有采取.要么我错误地使用了libkeepalive,要么它对beremote二进制文件不起作用

我想我正在寻找一个适合我所处环境的选项.我想我正在寻找以下一个或多个:

>一种配置BE代理以保持连接活动的方法
>将keepalive标志注入现有TCP连接的方法(例如通过cronjob)?
>告诉思科设备增加特定源/目标(可能是策略映射)的连接超时的方法

欢迎任何/所有(其他)想法……

J.

RE:@Weaver的评论

根据要求,类映射,策略映射和服务映射条目……

class-map CLS_INSPECTION_TRAFFIC
 match default-inspection-traffic
class-map CLS_ALL_TRAFFIC
 match any
class-map CLS_BACKUPEXEC_CORBA
 description Oracle/DB2 CORBA port for BackupExec traffic
 match port tcp eq 5633
!
!
policy-map type inspect dns PMAP_DNS_INSPECT_SETTINGS
 parameters
  message-length maximum client auto
  message-length maximum 1280
policy-map PMAP_GLOBAL_SERVICE
 class CLS_INSPECTION_TRAFFIC
  inspect dns PMAP_DNS_INSPECT_SETTINGS 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect ipsec-pass-thru 
  inspect icmp 
  inspect snmp 
 class CLS_BACKUPEXEC_CORBA
  set connection timeout idle 1:00:00 dcd 
 class CLS_ALL_TRAFFIC
  set connection decrement-ttl
!

解决方法

ASA超时/定时器的背景:

全局超时conn是TCP虚电路(会话)空闲计时器,默认为60分钟.全局超时udp用于UDP漏洞,默认为2分钟.全局超时xlate用于清除在conn超时后徘徊的翻译. The conn (TCP) timeout takes precedence over the xlate timeout.下一段进一步解释了conn和xlate定时器之间的关系.

如果conn通过TCP拆卸成功拆除,conn和xlate将继续使用它(如果动态xlate,静态NAT和静态PAT xlate从未被删除).如果conn超时,则考虑xlate计时器.如果xlate首先超时(你将它设置为真正的低),它将不会取消连接,直到conn超时.

ASA有几种方法可以处理不同的超时. Conn是一个可以根据类映射覆盖全局设置的地方 – 如果可能的话,这应该优先于增加全局设置.

The other interesting feature the ASA possesses is dead connection detection — DCD. DCD允许您将[全局] conn超时保持在60分钟(默认值),当达到60分钟时 – ASA中间人欺骗将每个端点的数据ACK作为另一个端点.空数据用于防止序列号递增.如果双方都响应连接,则空闲计时器重置为0并再次开始.如果在给定时间段内在任意一次尝试(可配置)之后没有响应,则conn被移除并且xlate定时器如上所述获得相关性.

我建议配置一个类映射并将其添加到启用DCD的策略中.您可以使用ACL或端口(其他也可用).使用该端口快速,简单,如果您确定TCP / 5633是问题所在,它将运行良好.

我已经使用了下面的global_policy,但可以随意调整.

class-map BE-CORBA_class
 description Backup Exec CORBA Traffic Class
 match port tcp eq 5633

policy-map global_policy
 class BE-CORBA_class
  -->::Choose one below::<--
  set connection timeout idle 1:00:00 dcd --> for 8.2(2) and up
  set connection timeout tcp 1:00:00 dcd --> for prior to 8.2(2)

service-policy global_policy global

@评论

According to the reference guide – “每个要素类型的数据包只能匹配策略映射中的一个类映射.”

关键词是粗体.跨越接口的数据包可以匹配策略映射中的多个类,但前提是这些类使用不同的“功能”.如果您只是在上述链接中向上滚动,您将看到列出的各种功能.整页都是MPF花絮的金矿.

正如您所提到的,您匹配任何类映射,然后在策略映射中引用为类 – 如果您在该策略映射类中执行任何其他TCP和UDP连接限制和超时更改,则后续类匹配流量的映射 – 如果在策略映射中设置 – 将不会对该数据包执行TCP和UDP连接限制以及超时更改.

如果您发布所有ACL,策略映射和服务策略,我们可以确定.

猜你在找的Linux相关文章