正德厚生,臻于至善

sqlnet 白名单

What is TCP_VALIDNODE_CHECKING and How to Use It (Doc ID 462933.1)

TCP.VALIDNODE_CHECKING
Use to specify whether to screen access to the database.Value is either YES or ON

TCP.EXCLUDED_NODES
Use to specify which clients using the TCP/IP protocol are denied access to the database. Hostname and ip address can be used

TCP.INVITED_NODES
Use to specify which clients using the TCP/IP protocol are allowed access to the database. Hostname and ip address can be used.
Example sqlnet.ora file (set where the LISTENER is running) :

TCP.VALIDNODE_CHECKING = YES
TCP.EXCLUDED_NODES= (<IP ADDRESS>)
TCP.INVITED_NODES=(<IP ADDRESS, <HOSTNAME>)

。请注意,如果“邀请节点”列表中没有数据库服务器的主机名或IP地址,则PMON将不会向侦听器注册。

  • 需要在TNS侦听器使用的sqlnet.ora文件中设置参数,因为这是通过侦听器的访问限制
  • 对值的任何更改都需要停止并重新启动TNS侦听器。
  • 所有主机名必须是可解析的,否则TNS侦听器将无法启动
  • 邀请列表优先于排除列表
  • 所有条目必须在一行上(最好通过Net Manager添加条目)
  • SCAN和TCP.INVITED_NODES将要求将SCAN VIP和Node Vips添加到GRID Infrastructure SQLNET.ORA文件中。
    注1:  由于是侦听器检查INVITED或EXCLUDED节点,因此应将RAC环境中的sqlnet.ora文件更改更改为GRID_HOME / network / admin / sqlnet.ora
    注2:  所有侦听器(SCAN和VIP)必须对INVITED或EXCLUDED节点列表进行任何更改后,将完全重新启动(不重新加载),

tcp.invited_nodes 需要满足如下条件才可成功启动监听:
1、需要设置参数 TCP.VALIDNODE_CHECKING 为YES才能激活该特性;
2、tcp.invited_nodes的值中一定要包括本机地址(127.0.0.1 / 192.0.20.51)或localhost,因为监听需要通过本机ip去访问监听,一旦禁止lsnrct将不能启动或停止监听;
3、不能设置ip段和通配符;
4、此方式只适合tcp/ip协议;
5、此方式是通过监听限制白名单的;
6、针对的是ip地址而不是其他(如用户名等);
7、此配置适用于9i以上版本。本次踩坑是oracle 11gr2;
8、修改配置后需要重启监听才可生效。

TCP.INVITED_NODES=(192.0.20.51,192.0.20.52)
此时再启动监听不会出现报错了。而对与TCP.EXCLUDED_NODES参数并没有以上的限制,需要将禁止访问的ip传参即可。

赞(0) 打赏
未经允许不得转载:徐万新之路 » sqlnet 白名单
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

联系我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏