NetBackup 6.x 和 7.x 的防火墙端口要求

问题

要使 NetBackup (NBU) 6.x 和 7.x 主机能够相互通信，必须在防火墙中打开哪些 TCP 端口？

这并不包括与 NetBackup 5.x 主机、远程 EMM 服务器或其他旧式进程进行通信的端口要求。 “NetBackup (tm) 6.0 Port Usage Guide for Windows and UNIX Platforms”（《面向 Windows 和 UNIX 平台的 NetBackup (tm) 6.0 端口使用指南》）和“NetBackup 7.0.1 Security and Encryption Guide”（《NetBackup 7.0.1 安全和加密指南》）介绍了这些详细信息。请参阅“相关文章”。
 </

原因

NetBackup 6.0 的主要变化是引入了 PBX，以便支持 CORBA 连接和 vnetd 转发套接字。 

• PBX 在端口 1556 侦听入站 CORBA 连接（连接到多线程的新进程），就像 vnetd 对单线程的旧式进程所做的那样。  因此，可以通过端口 1556 访问所有新进程，而且每个新进程均无需在唯一的端口进行侦听。 

• vnetd 转发套接字取代了用于向 bpcd 和其他旧式客户端进程打开更多套接字的事先回调机制。  此版本为服务器主机到客户端主机的通信打开了转发套接字（如服务套接字），因此，如果仅执行服务器启动的标准备份和还原操作，则无需接受从 NetBackup 客户端传入的 TCP SYN 数据包。
  
  默认情况下不会出现客户端逆向连接，因此只需要出站端口。但是，如果已修改客户端属性以禁用 vnetd，则对于来自 bpcd 和其他客户端进程的回调连接，可能需要为从客户端主机传入服务器主机的通信打开“服务器端口窗口”和/或“服务器保留端口窗口”。

如果安全策略允许传入 TCP SYN 请求，则双向打开 vnetd 端口。这样一来，如果站点使用客户端启动的 NetBackup 功能，而且这些功能启动从客户端主机到主服务器的连接，则无需修改配置。例如：

• 用户控制的标准备份/列表/还原操作
• 基于流的数据库 (DataSore/DB2/Informix/Oracle/SAP/SQL-Server/Sybase/Teradata/XBSA) 应用程序备份/还原操作。  客户端启动的此类操作需要客户端主机连接到主服务器，以便将请求排队。
• SAN 客户端操作

对于服务器到服务器的通信，在为 vnetd 打开 TCP 端口 13724 的同时，还必须为 PBX 双向打开 TCP 端口 1556。 如果在主服务器上为介质服务器配置防火墙连接选项，则对于回调连接，可能需要为从介质服务器主机传入主服务器主机的通信打开“服务器端口窗口”和/或“服务器保留端口窗口”，而对于后台驻留程序连接，可能需要为从主服务器传出到介质服务器主机的通信打开 bpcd 的 TCP 端口 13782。  如果在介质服务器上为主服务器或其他介质服务器配置防火墙连接选项，则可能需要为这些主机到主服务器的通信打开后台驻留程序端口（bpdbm、bpjobd、机械手控制等）。

 

解决方案

下面列出默认配置的 TCP 端口要求（不覆盖客户端属性 (bpclient) 中的连接选项或防火墙 (CONNECT_OPTIONS) 设置）、单独主服务器和 EMM 服务器的 TCP 端口要求和旧安全策略的注意事项：

• 主服务器与介质服务器之间的双向连接需要双向打开 TCP 端口 13724（对于 vnetd）和 1556（对于 PBX）。
• 如果客户端执行客户端控制的操作、用户备份/还原、用户存档或者应用程序备份/还原，则主服务器到客户端的连接需要打开 TCP 端口 1556（对于 PBX）和13724（对于 vnetd）。
   
• 介质服务器到客户端的连接需要打开 TCP 端口 13724（对于 vnetd）和 1556（对于 PBX）。
• 介质服务器到介质服务器的连接需要双向打开 TCP 端口 13724（对于 vnetd）和 1556（对于 PBX）。
   
• 客户端到主服务器的连接需要打开 TCP 端口 1556（对于 PBX）和 13724（对于 vnetd），以便执行客户端启动的（用户或应用程序）操作而不是服务器启动的操作。
• 客户端到主服务器的连接需要打开 TCP 端口 1556（对于 PBX）和 13724（对于 vnetd），以便执行 Client Direct 还原（7.6 中的新功能）。 
   
• SAN 客户端与主/介质服务器之间的双向连接需要双向打开 TCP 端口 13724（对于 vnetd）和 1556（对于 PBX）。 
   
• Java/Windows 管理控制台到主服务器和介质服务器的连接需要双向打开 TCP 端口 13724（对于 vnetd）和 1556（对于 PBX）。  
   
• 要备份和还原 VMWare：
  
  备份主机到 vCenter 的连接需要打开 TCP 端口 443。
  
  如果使用查询生成器 (VIP)，主服务器到 vCenter 的连接需要打开 TCP 端口 443。
  
  如果使用 nbd 传输类型，备份主机到 ESX 主机的连接需要打开 TCP 端口 902。
   
• 要备份和还原 SharePoint：
  
  前端与 SQL 客户端主机之间的双向连接需要双向打开 TCP 端口 13724（对于 vnetd）和 1556（对于 PBX）。
  
  前端与 SQL 客户端主机之间的双向连接还使用“远程注册表服务”，该服务需要访问 TCP 端口 135、137、138、139 和 445。
  请参见 Microsoft 文章：https://msdn.microsoft.com/zh-cn/library/cc288143.aspx  
   
• 如果使用粒度恢复技术 (GRT)：
  
  客户端需要在 portmap 的端口 111 和 nbfsd 的端口 7394 连接到介质服务器。
   
• 如果使用 OpsCenter：
  
  Web 浏览器需要使用 TCP 端口 http/80 和 https/443 来访问 OpsCenter Web GUI，并将 8181 和 8443 或者 8282 和 8553 用作备用端口。
  
  自定义报告生成器需要使用 TCP 端口 13786 连接到 OpsCenter 服务器。
  
  如果运行容量许可报告，请在 OpsCenter 服务器与主服务器之间打开 vnetd 的端口 13724。
  
  对于 SNMP 陷阱协议，OpsCenter 服务器还使用 UDP 端口 162 作为出站端口。
   
• 要备份和还原 NDMP 文件服务器：
  
  介质服务器 (DMA) 到 NDMP 文件服务器（磁带或磁盘）的连接需要使用 TCP 端口 10000。
  
  对于远程 NDMP，从文件服务器传入到介质服务器的通信要使用 SERVER_PORT_WINDOW。也可以将它与本地和三向 NDMP 一起使用，以高效地移动目录库文件（TIR 数据）。
   
• 如果将 VxSS 与 NetBackup Access Control (NBAC) 一起使用：
  
  主服务器需要使用 TCP 端口 vrts-at-port/2821 和 vrts-auth-port/4032 来连接到 VxSS 服务器。 
  
  介质服务器需要使用 TCP 端口 vrts-at-port/2821 和 vrts-auth-port/4032 来连接到 VxSS 服务器。 
  
  客户端需要使用 TCP 端口 vrts-at-port/2821 来连接到 VxSS 服务器。
  
  Java/Windows 管理控制台需要使用 TCP 端口 vrts-at-port/2821 来连接到 VxSS 服务器。
     
• 如果通过 DataDomain 使用 OpenStorage 插件：
  
  需要访问 TCP 端口 2049、UDP/TCP 端口 111 和目标 DataDomain 阵列上的 mountd 端口。
  
  对于优化复制，还需要访问 TCP 端口 2051。
      
• 如果使用优化复制（包括自动复制映像）：
  
  对于 MSDP 到 MSDP，源存储服务器需要访问目标服务器上的 spad/10102 和 spoold/10082。
  
  对于 MSDP 到 PDDO，源存储服务器需要访问目标服务器上的 SPA/443 和 spoold/10082。
  
  对于 PDDO 到 PDDO，源存储服务器需要访问目标服务器上的 SPA/443 和 spoold/10082。
   
• 对于自动复制映像 (AIR)
  
  除了打开优化复制的端口外，还要在主服务器之间打开 PBX 的 TCP 端口 1556。
   
• 对于 NetBackup 5xxx 设备：
  
  为入站通信打开 ssh/22、http/80 和 https/443，以便执行带内管理。
  
  为传入到智能平台管理接口 (IPMI) 的通信打开 http/80 和 https/443，以便执行带外管理。
  
  为传入到 IPMI 的通信打开 5900，以便从 NetBackup Integrated Storage Manager（5020/5200 设备）执行 KVM 远程控制台/CLI 和虚拟 ISO/CDROM 重定向。  
                 如果端口 623 已打开，则也会使用它。
  
  为传入到 IPMI 的通信打开 7578，以便访问远程控制台 CLI（5220/5x30 设备）。
  
  为传入到 IPMI 的通信打开 5120，以便从远程控制台执行虚拟 ISO/CD-ROM 重定向（5220/5x30 设备）。
  
  为传入到 IPMI 的通信打开 5123，以便执行远程控制台虚拟软盘重定向（5220/5x30 设备）。
  
  为传出到 Symantec Call Home 服务器的通信打开 https/443，以便主动监测硬件和传递消息。
  
  为传出到 Symantec Critical System Protection (SCSP) 服务器的通信打开 https/443，以便下载 SCSP 证书。
  
  为传出到 SNMP 服务器的通信打开 snmp/162，以便传递 SNMP 陷阱和警报。
  
  在 PureDisk 设备之间打开 11111，以便发现多节点拓扑结构。

•  对于 NetBackup CloudStore Service Container ，打开端口 5637

NetBackup 7.0.1 注意事项

现在，bpcd 和 vnetd 进程独立运行，而且它们和其他旧式进程会在启动时向 PBX 注册。现在，首选使用 PBX 端口 1556 来连接以前访问过 vnetd 端口的旧式进程。如果无法访问 PBX 端口，则将使用 vnetd 端口。如果无法访问 vnetd 端口，则将使用后台驻留程序端口。通过为从 NetBackup 服务器传出到 NetBackup 客户端的通信打开 TCP 端口 1556，将能防止在尝试使用 PBX 时出现延迟。同样，为传入的通信打开 TCP 端口 1556 将能防止由客户端启动且对主服务器提出的请求出现延迟。 

请注意，Java 控制台到主服务器的连接使用 vnetd 端口来连接到 bpjobd，并使用 PBX 端口进行所有其他连接。

为提高效率，upgrade/install 还为 localhost 增加了连接选项“1 0 2”。同一主机上的进程所访问的环回接口上的内部套接字将使用后台驻留程序端口，而不是直接通过 vnetd 或 PBX。

NetBackup 7.1 注意事项

NetBackup Access Control (NBAC) 已与 NetBackup 集成，而且将使用进程 nbatd 和 nbazd 来取代 vxatd 和 vxazd。这些进程向 PBX 注册，以通过 PBX 端口 1556 接收入站连接，从而无需向 VxSS 服务器开放端口。

这些进程还分别在 TCP 端口 13783 和 13722 进行侦听。这些端口号通过原始服务名称“vopied”和“bpjava-msvc”向 IANA 注册，而且 NetBackup 使用这些原始名称对它们进行解析。旧版本的主机无法通过端口 1556 感知可用的新进程，并将继续通过 vrts-at-port/2821 和 vrts-at-auth/4032 访问 vxatd 和 vxazd。

如果没有为客户端到主服务器的通信打开端口 1556，则在快照删除期间快照备份可能会出现短暂延迟。

NetBackup 7.5 注意事项

Resilient Client 功能需要在介质服务器与客户端主机之间双向打开 vnetd 的 13724 端口。如果使用客户端控制的操作，则必须在客户端与主服务器之间双向打开 vnetd 的 13724 端口。此功能无法使用 PBX 的 1556 端口。

如果没有为客户端到主服务器的通信打开端口 1556，则在数据传输之前和之后快照备份可能会出现延迟。

NetBackup 7.6 注意事项

Client Direct 还原功能需要为客户端到主服务器的通信打开 TCP 端口 1556（对于 PBX）和 13724（对于 vnetd），以允许文件列表端口连接，而不管还原是服务器还是客户端启动的。

网络地址转换 (NAT) 和端口地址转换 (PAT) 注意事项

NetBackup 不支持使用 NAT 和 PAT。请参阅“相关文章”部分中的 TECH15006，了解详细信息。