Veritas NetBackup™ 管理指南，第 I 卷

PREFERRED_NETWORK 示例

使用 bplocaladdrs 命令可观察操作系统提供给 NetBackup 的本地接口以及提供这些接口的顺序。

对于以下主题中的示例中的主机 (bob)，bplocaladdrs 返回以下输出。

$ bplocaladdrs
10.82.105.11
10.82.105.8
10.82.10.10

使用 bptestnetconn 命令可观察条目评估顺序和评估结果。TGT 或 SRC 指示是否允许使用该目标以及 NetBackup 为操作系统提供哪个源绑定列表。值为 ANY 表示出站接口不受 NetBackup 约束。

$ bptestnetconn -asp -v6
...
FL:  myprimary -> 10.82.105.14  :  5 ms FAST (< 5 sec) TGT PROHIBITED
FL:  mymedia -> 10.81.40.61  :  6 ms FAST (< 5 sec) SRC: 
10.82.10.10
...

按以下顺序应用 PREFERRED_NETWORK 规则：

[0] PREFERRED_NETWORK = 10.82.105.14 PROHIBITED
[1] PREFERRED_NETWORK = 10.81.40.0/24 MATCH 10.82.10.10

$ bptestnetconn -asp -v6 -H myclient
...
FL:  myclient -> 10.81.40.127  :  6 ms FAST (< 5 sec) SRC: ANY

按以下顺序应用 PREFERRED_NETWORK 规则：

[0] PREFERRED_NETWORK = 10.82.105.15/32 MATCH 10.82.105.0/24
[1] PREFERRED_NETWORK = 10.82.105.0/29 PROHIBITED
[2] PREFERRED_NETWORK = 10.82.104.0/24 MATCH 10.82.105.5

以下示例更复杂，所用的 NetBackup 服务器 (bob) 使用以下网络接口：

eri0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
   inet 10.82.105.11 netmask fffff800 broadcast 10.82.111.255

eri0:1: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
   inet 10.82.105.8 netmask fffff800 broadcast 10.255.255.255

eri1: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3
   inet 10.82.10.10 netmask fffff800 broadcast 10.82.15.255

到以下四个主机（billcat、muzzy、beetle、lilo）的常规出站连接使用第一个接口。内部连接使用目标接口作为源接口。

$ bptestbpcd -host billcat
10.82.105.11:54129 -> 10.82.105.15:13724

$ bptestbpcd -host muzzy
10.82.105.11:54152 -> 10.82.105.14:13724

$ bptestbpcd -host beetle
10.82.105.11:54135 -> 10.82.104.249:13724

$ bptestbpcd -host lilo  
10.82.105.11:54139 -> 10.82.56.79:1556
$ bptestbpcd -host 10.82.105.11
10.82.105.11:54144 -> 10.82.105.11:1556
$ bptestbpcd -host 10.82.105.8
10.82.105.8:52148 -> 10.82.105.8:1556

将本地接口用作 MATCH 条目的 target 没有任何影响。在此示例中，源接口不受本地 MATCH 条目影响。

PREFERRED_NETWORK = 10.82.105.8/32 MATCH 

$ bptestbpcd -host billcat

10.82.105.11:54202 -> 10.82.105.15:13724

$ bptestbpcd -host muzzy
10.82.105.11:54206 -> 10.82.105.14:13724

$ bptestbpcd -host beetle
10.82.105.11:54300 -> 10.82.104.249:13724

$ bptestbpcd -host lilo
10.82.105.11:54302 -> 10.82.56.79:1556
$ bptestbpcd -host 10.82.105.11
10.82.105.11:54306 -> 10.82.105.11:1556
$ bptestbpcd -host 10.82.105.8
10.82.105.8:54309 -> 10.82.105.8:1556

与 示例 1 类似，将本地接口用作 ONLY 条目的 target 不会对源绑定产生任何影响。但这样做确实会阻止连接到目标地址（不存在与目标更为 MATCH 的其他指令）。到主机的内部连接不受影响。

PREFERRED_NETWORK = 10.82.105.8/32 ONLY

$ bptestbpcd -host billcat
<16> bptestbpcd main: ConnectToBPCD(billcat) failed: 
25 cannot connect on socket

$ bptestbpcd -host muzzy
<16> bptestbpcd main: ConnectToBPCD(muzzy) failed: 
25 cannot connect on socket

$ bptestbpcd -host beetle
<16> bptestbpcd main: ConnectToBPCD(beetle) failed: 
25 cannot connect on socket

$ bptestbpcd -host lilo
<16> bptestbpcd main: ConnectToBPCD(lilo) failed: 
25 cannot connect on socket

$ bptestbpcd -host 10.82.105.11
10.82.105.11:54306 -> 10.82.105.11:1556

$ bptestbpcd -host 10.82.105.8
10.82.105.8:54309 -> 10.82.105.8:1556

使用 MATCH 条目，到特定主机或网络的出站连接可能优先于默认设置。在此示例中，请求连接到特定主机和单独网络以使用第二个出站网络接口。

PREFERRED_NETWORK = 10.82.105.15/32 MATCH 10.82.105.8
PREFERRED_NETWORK = 10.82.104.0/24 MATCH 10.82.105.8

$ bptestbpcd -host billcat（由第一个条目首选）

10.82.105.8:54192 -> 10.82.105.15:13724

$ bptestbpcd -host muzzy（隐式允许使用默认值）

10.82.105.11:54196 -> 10.82.105.14:13724

$ bptestbpcd -host beetle（由第二个条目首选）

10.82.105.8:54200 -> 10.82.104.249:13724

$ bptestbpcd -host lilo（隐式允许使用默认值）

10.82.105.11:54202 -> 10.82.56.79:1556

添加 ONLY 条目可阻止连接到任何其他不在指定网络上或与先前条目匹配的主机。

PREFERRED_NETWORK = 10.82.105.15/32 MATCH 10.82.105.8
PREFERRED_NETWORK = 10.82.104.0/24 MATCH 10.82.105.8
PREFERRED_NETWORK = 10.82.56.0/24 ONLY

$ bptestbpcd -host billcat（由第一个条目首选）

10.82.105.8:54209 -> 10.82.105.15:13724

<16> bptestbpcd -host 10.82.105.14（与 1 或 2 不匹配，被 3 排除）

<16> bptestbpcd main: ConnectToBPCD(muzzy) failed: 25 cannot connect on socket

$ bptestbpcd -host beetle（由第二个条目首选）

10.82.105.8:54214 -> 10.82.104.249:13724（第三个条目所需）

10.82.105.11:54216 -> 10.82.56.79:1556

将 ONLY 更改为 PROHIBITED 可显式排除与这些目标主机的连接并隐式允许连接到未指定的主机。PROHIBITED 网络不在本地，不影响源绑定。

PREFERRED_NETWORK = 10.82.105.15/32 MATCH 10.82.105.8
PREFERRED_NETWORK = 10.82.104.249/32 MATCH 10.82.105.8
PREFERRED_NETWORK = 10.82.56.0/24 PROHIBITED

$ bptestbpcd -host billcat（由第一个条目首选）

10.82.105.8:54224 -> 10.82.105.15:13724

$ bptestbpcd -host muzzy（隐式允许）

10.82.105.11:54228 -> 10.82.105.14:13724

$ bptestbpcd -host beetle（由第二个条目首选）

10.82.105.8:54232 -> 10.82.104.249:13724

$ bptestbpcd -host 10.82.56.79（与 1 或 2 不匹配，被 3 禁止）

<16> bptestbpcd main: ConnectToBPCD(lilo) failed: 25 cannot connect on socket

相反，将 ONLY 移到列表顶部不会阻止评估 MATCH 条目，因为与 MATCH 条目相比，ONLY 适用于限制更少的 IP 范围。对于这些主机，首先评估后者。

PREFERRED_NETWORK = 10.82.104.0/24 ONLY
PREFERRED_NETWORK = 10.82.105.15/32 MATCH 10.82.105.11
PREFERRED_NETWORK = 10.82.104.249/32 MATCH 10.82.105.8

$ bptestbpcd -host billcat（由第二个条目首选）

10.82.105.11:54392 -> 10.82.105.15:13724

$ bptestbpcd -host 10.82.105.14（与 2 或 3 不匹配，被 1 排除）

<16> bptestbpcd main: ConnectToBPCD(muzzy) failed: 25 cannot connect on socket

$ bptestbpcd -host beetle（由 3 首选，然后为 1 所需）

10.82.105.8:54396 -> 10.82.104.249:13724

$ bptestbpcd -host 10.82.56.79（与 2 或 3 不匹配，被 1 排除）

<16> bptestbpcd main: ConnectToBPCD(lilo) failed: 25 cannot connect on socket

此 ONLY 条目上的子网与 billcat 和 muzzy 均匹配，但不影响出站接口，进而确认了 ONLY 用于目标地址过滤而非源地址过滤。否则，所有连接都将失败，因为本地接口 10.82.105.11 和 10.82.105.8 均不在该子网中。

PREFERRED_NETWORK = 10.82.105.14/31 ONLY
PREFERRED_NETWORK = 10.82.105.15/32 MATCH 10.82.105.8

$ bptestbpcd -host billcat（由第二个条目首选）

10.82.105.8:54209 -> 10.82.105.15:13724

$ bptestbpcd -host muzzy（由第一个条目首选）

10.82.105.11:45662 -> 10.82.105.14:13724

$ bptestbpcd -host 10.82.104.249（被第一个条目排除）

<16> bptestbpcd main: ConnectToBPCD(beetle) failed: 25 cannot connect on socket

其中，所有三个远程主机均可访问，但请注意，在对 10.82.105.11 执行 PROHIBITED 指令后仅剩源接口。其中包括 billcat 的明显目标 MATCH，该目标实际上无法匹配，因为先前已对 source 执行 PROHIBITED 指令。请注意，内部连接不受 PROHIBITED 影响。

PREFERRED_NETWORK = 10.82.105.11/32 PROHIBITED
PREFERRED_NETWORK = 10.82.105.15/32 MATCH 10.82.105.11

$ bptestbpcd -host billcat（与 2 匹配，但 1 禁止该源）

10.82.105.8:54202 -> 10.82.105.15:13724

$ bptestbpcd -host muzzy（隐式匹配和删除源）

10.82.105.8:54206 -> 10.82.105.14:13724

$ bptestbpcd -host beetle（隐式匹配和删除源）

10.82.105.8:54300 -> 10.82.104.249:13724

$ bptestbpcd -host 10.82.105.11（不受第一个条目影响）

10.82.105.11:54306 -> 10.82.105.11:1556
$ bptestbpcd -host 10.82.105.8
10.82.105.8:54309 -> 10.82.105.8:1556

此示例说明了源绑定评估导致使用 ANY 接口代替非禁止接口的两个细微差别。在处理第三个条目之前，第二个条目从源绑定列表中删除 10.82.10.10 本地接口，从而导致 source 不可用。第一个条目上的 source 导致在所有评估期间忽略由第二个条目创建的缩短列表。

PREFERRED_NETWORK = 10.82.104.249 MATCH 10.82.105.0/24
PREFERRED_NETWORK = 10.82.10.10 PROHIBITED
PREFERRED_NETWORK = 10.82.56.0/24 MATCH 10.82.10.10

FL: billcat -> 10.82.105.15 ... SRC: ANY（第一个源隐式否定第二个目标）

FL: muzzy -> 10.82.105.14 ... SRC: ANY（第一个源隐式否定第二个目标）

FL: beetle -> 10.82.104.249 ... SRC: 10.82.105.11（与 1 匹配，使用范围内的第一个目标）

FL: lilo -> 10.82.56.79 ... SRC: ANY（第二个目标显式否定第三个源）

在示例 8 中，第一个条目上的 source 与两个本地接口匹配。在连接到 beetle 时，优先选择 10.82.105.11 接口（而不是 10.82.105.8）作为源，因为操作系统首先返回该接口，如此示例的 bplocaladdrs 输出中所示。（请参见使用 bplocaladdrs 进行故障排除。）

此示例显示如何通过禁止本地接口来缩短绑定列表。如果 ANY 是默认源绑定列表，这些目标的出站接口为 10.82.105.11。（请参见示例 1。）禁止其他本地接口会导致 NetBackup 缩短该列表且操作系统选择 10.82.10.10 作为源 IP。由于此操作系统使用强主机模型，因此该接口对这些目标 IP 无效，连接尝试将失败。

PREFERRED_NETWORK = 10.82.105.8 PROHIBITED

FL:  billcat -> 10.82.105.15  ... SRC: 10.82.10.10,10.82.105.11
FL:     lilo -> 10.82.56.79   ... SRC: 10.82.10.10,10.82.105.11
 
$ bptestbpcd -host billcat
<16> bptestbpcd main: ConnectToBPCD(billcat) failed: 
25 cannot connect on socket
$ bptestbpcd -host lilo
<16> bptestbpcd main: ConnectToBPCD(lilo) failed: 
25 cannot connect on socket

如果将操作系统更改为弱主机模型，则每个连接的 TCP SYN 会将默认接口 (10.10.82.105.11) 传输到 10.82.104.0 网络，但源 IP 为 10.82.10.10。如果存在从 10.82.104.0 网络到目标主机的网络路由，则 SYN 将访问这些目标。但是，仅当从目标主机不对称地路由回 10.82.8.0 网络时，回复才成功。请注意成功连接中的伪造源 IP，它不反映 TCP SYN 数据包实际发送到的网络。

$ bptestbpcd -host billcat
<16> bptestbpcd main: ConnectToBPCD(billcat) failed: 
25 cannot connect on socket
$ bptestbpcd -host lilo
10.82.10.10:52842 -> 10.82.56.79:1556