NetWorker: So testen Sie die Kommunikation durch eine Firewall

So testen Sie die NetWorker-Kommunikation durch eine Firewall.

NetWorker verwendet eine direkte Socket-Verbindung für die Kommunikation und Verschiebung von Daten über das Netzwerk zum erforderlichen Service. NetWorker verwendet zwei Arten von TCP-Ports: Serviceports und Verbindungsports.

Die TCP-Serverprozesse, die auf den einzelnen NetWorker-Hosts ausgeführt werden, verwenden Serviceports zum Abhören auf eingehende Verbindungen. Es verfügt über feste Ports 7937 und 7938. Sie müssen diese Ports in den Serviceportbereich jedes NetWorker-Hosts aufnehmen, da dieser diese Ports zum Initiieren von Verbindungen verwendet.

NetWorker öffnet auch dynamisch Ports. Ein NetWorker-Host kann einen beliebigen Port im definierten Serviceportbereich zuweisen und die NetWorker-Daemons wählen die dynamischen Ports innerhalb dieses Bereichs nach dem Zufallsprinzip aus. Der Standardbereich ist 7937-9936. Sie können diesen Bereich ein- oder ausweiten.

NetWorker-Prozesse verwenden Verbindungsports (ausgehende Ports), um eine Verbindung zu einem Service herzustellen. Die NetWorker-Software erfordert einen Verbindungsport für jede Art von Kommunikation zwischen dem Client, dem Speicher-Node und dem Server.

Wenn die Datenzone eine externe Firewall verwendet, müssen Sie den Serviceportbereich in der Firewall für TCP-Verbindungen öffnen.  Ein standardmäßiger NetWorker-Client erfordert mindestens vier TCP-Serviceports für die Kommunikation mit dem NetWorker-Server.  Die Anzahl der Serviceports, die offen sein müssen, hängt von der Umgebung ab.  Anweisungen zu bestimmten Portbereichen mit Beispielen finden Sie im NetWorker-Sicherheitskonfigurationsleitfaden für Ihre NetWorker-Version.

Im folgenden Artikel werden bestimmte NetWorker-Prozesse und die von ihnen verwendeten Ports beschrieben: NetWorker-Prozesse und -Ports

Beispiel: Kommunikation OK

Auf dem Server:

# nsradmin -s vm-lego-231 -p nsrexecd
NetWorker administration program.
Use the "help" command for help, "visual" for full-screen mode.
nsradmin>

## nsrrpcinfo -t vm231 nsrexecd
Program 390113 version 1 ready and waiting

## nsrrpcinfo -p vm231
PROGRAM VERSION PROTOCOL PORT SERVICE
100000  2       tcp      7938 nsrportmapper  Port Mapper
100000  2       udp      7938 nsrportmapper  Port Mapper
390436  1       tcp      8353 nsrexecd       GSS Authentication
390435  1       tcp      9437 nsrexecd       Resource Mirror
390113  1       tcp      7937 nsrexecd       Remote Execution

Auf dem Client:

# nsradmin -s vm-lego-121
NetWorker administration program.
Use the "help" command for help, "visual" for full-screen mode.
nsradmin> quit

# nsradmin -s vm-lego-121 -p nsrexecd
NetWorker administration program.
Use the "help" command for help, "visual" for full-screen mode.
nsradmin>

NW Client.vm231.## nsrrpcinfo -t vm121 nsrd
Program 390103 version 2 ready and waiting

NW Client.vm231.## nsrrpcinfo -p vm121
   program vers proto   port
    100000    2   tcp   7938  nsrportmapper
    100000    2   udp   7938  nsrportmapper
    390436    1   tcp   9245  nsrexecd
    390435    1   tcp   8190  nsrexecd
    390440    1   tcp   8278  nsrexecd_nsrfa
    390113    1   tcp   7937  nsrexecd
    390402    1   tcp   9001  gstd
    390460    1   tcp   7999  auth_proxyd
    390103    2   tcp   9434  nsrd
    390109    2   tcp   9434  nsrstat
    390110    1   tcp   9434  nsrjb
    390120    1   tcp   9434  nsrd
    390109    2   udp   8063  nsrstat
    390114    1   tcp   9840  nsrdispd
    390105    5   tcp   9105  nsrindexd
    390105    6   tcp   9105  nsrindexd
    390439    1   tcp   8092  nsrfa
    390107    5   tcp   8319  nsrmmdbd
    390107    6   tcp   8319  nsrmmdbd
    390433    1   tcp   8505  nsrjobd
    390438    1   tcp   9416  nsrlogd
    390111    1   tcp   8259  nsrsnmd
    390104  305   tcp   8905  nsrmmd
    390104  205   tcp   9658  nsrmmd
    390104  405   tcp   9576  nsrmmd

Beispiel: Kommunikation funktioniert nicht

Auf dem Server:

# nsradmin -s vm-lego-231 -p nsrexecd
42503:nsradmin: Remote system error - No route to host
There does not appear to be a NetWorker nsrexecd server running on vm-lego-231.

# nsradmin -s 10.64.19.79 -p nsrexecd
42503:nsradmin: Remote system error - No route to host
There does not appear to be a NetWorker nsrexecd server running on 10.64.19.79.

NW Server.vm121.## nsrrpcinfo -t vm231 nsrexecd
nsrrpcinfo: Remote system error - No route to host
program 390113 is not available

Auf dem Client:

NW Client.vm231.## nsrrpcinfo -t vm150 nsrd
84866:nsrrpcinfo: Failed to get DNS information for host 'vm150': Name or service not known.

# nsradmin -s vm-lego-121 -p nsrexecd
NetWorker administration program.
Use the "help" command for help, "visual" for full-screen mode.
nsradmin> quit

# nsradmin -s vm-lego-121
NetWorker administration program.
Use the "help" command for help, "visual" for full-screen mode.
nsradmin>

Durch das vorübergehende Anhalten der Firewall wird bestätigt, dass die Firewall die eingehende Kommunikation mit dem NetWorker-Client blockiert hat:

Auf dem Client:

Windows-Client (PowerShell):

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

Linux-Client mit firewalld

systemctl stop firewalld

Auf Server:# 

nsradmin -s vm-lego-231 -p nsrexecd
NetWorker administration program.
Use the "help" command for help, "visual" for full-screen mode.
nsradmin>

• NetWorker: Verwenden des NetWorker-Befehls „nsrrpcinfo“
• NetWorker: Best Practices für die Netzwerkkonfiguration
• NetWorker: Fehlerbehebung von Netzwerkproblemen
• NVP-vProxy: Troubleshooting der Netzwerkverbindung bei Backup- und Wiederherstellungsvorgängen