跨越防火墙与IBM TSM连接

IBM Tivoli Storage Manager 服务器和客户机可跨越防火墙工作,或者服务器可跨越防火墙安全地管理客户机备份和恢复操作以及管理功能。要启用客户机跨越防火墙工作,请配置防火墙使之打开服务器和客户机需要的端口。仅当需要服务器提示调度的那些功能以外的功能时才需要打开端口。可以使用 REGISTER NODE 或 UPDATE NODE 命令的 SESSIONINIT=SERVERONLY 与 HLA 和 LLA 选项处理服务器提示的调度。因为防火墙在端口打开方式上有所不同,所以请遵循您正在使用的防火墙软件或硬件附带的指示信息。如果需要配置防火墙的帮助,请联系防火墙的供应商。

以下操作需要您打开防火墙上的端口:

  • 要启用客户机与服务器跨越防火墙进行通信,可在 dsmserv.opt 文件中的 TCPPORT 选项上为服务器打开 TCP/IP 端口。缺省 TCP/IP 端口为 1500。当认证打开时,将加密通过电线发送的信息。
    注:
    如果 指定了 TCPADMINPORT 选项,则来自客户机的不具有管理权限的会话将只能在 TCPPOR 端口上启动。
  • 要跨越防火墙使用服务器的管理 Web 界面,可在 dsmserv.opt 文件中的 HTTPPORT 选项上为服务器打开 HTTP 端口。缺省 HTTP 端口为 1580。

    传送的信息未加密。要加密服务器和 Web 浏览器之间的信息,请使用用于 IBM Tivoli Storage Manager 服务器 的 Web 和管理的 Tivoli Storage Manager 安全 Web 管理员代理。在防火墙上的 Web 服务器上安装代理,这样 Web 服务器可访问防火墙两侧的资源。在设置代理后,用它管理 V3.7 或更高版本的 Tivoli Storage Manager 服务器。有关安装和使用代理的更多信息,请参阅附录C. 设置安全 Web 管理员代理

  • 要使用 Web 备份-归档客户机跨越防火墙连接到客户机,可使用 V4.1.2 或更高版本的客户机。在防火墙上打开这些端口:
    • 客户机 dsm.opt 文件中的 HTTPPORT 选项上的客户机 HTTP 端口。缺省客户机 HTTP 端口为 1581。
    • dsm.opt 文件中 WEBPORTS 选项所指定的两个端口。缺省情况下,Web 端口是随机指定的,它不跨越防火墙工作。用这两个端口的非零值指定该选项;然后在防火墙上打开这些端口。当认证打开时,将加密通过电线的信息。

可指定服务器 TCP/IP 通信驱动程序用于等待除客户机会话外的会话请求的单独端口。这包括管理会话、服务器对服务器会话、库客户机会话、存储代理程序会话、SNMP 子代理程序会话、受管服务器会话和事件服务器会话。使 用 dsmserv.opt 文件中的 TCPADMINPORT 选项可指定端口号。缺省端口为 1500。对选项 TCPPORT 和 TCPADMINPORT 使用不同的端口号使您能为客户机会话创建一组防火墙规则,并为其它会话类型创建另一组防火墙规则。

如果 TCPPORT 和 TCPADMINPORT 指定不同端口,则任何尝试使用 TCPADMINPORT 选项上所指定的端口的客户机会话都将结束。管理会话可以使用任何一个端口,缺省情况下是使用 TCPADMINPORT 选项上所指定的端口。

如果使用 REGISTER NODE 或 UPDATE NODE 命令的 SessionInitiation 参数并且不需要其它功能,则您可在防火墙上关闭 TCPPORT 选项上所指定的端口并指定其(节点)已调度会话将从服务器启动的节点。如果需要特别会话或恢复会话,您必须打开该端口。

缺省情况下,客户机将联系服务器。要仅允许对服务器启动已调度备份-归档客户机会话,可在 REGISTER NODE 命令上或在 UPDATE NODE 命令上将 SessionInitiation 参数更改为 ServerOnly 并指定 HLA 和 LLA 选项。这些选项必须与客户机正在使用的选项相匹配,否则服务器将不知道如何连接客户机。通过这样做,您可以指定服务器将不接受客户机的会话请求。所有会话必须通过服务器提示调度在使用 REGISTER NODE 或 UPDATE NODE 命令为客户机所定义的端口上启动。如果 选择 CLIENTORSERVER 选项,客户机可以通过在 TCP/IP 端口(使用 TCPPORT 服务器选项定义的)上进行通信来启动与服务器的会话。服务器提示的调度还可用来提示客户机连接到服务器。

注:
该功能仅适用于服务器提示的调度。

已调度备份-归档客户机会话由服务器启动。可允许单个客户机根据节点启动与服务器的会话。调度使用您在 REGISTER NODE 或 UPDATE NODE 命令上设置的高层地址和低层地址。

要在防火墙外启动会话,可指定服务器侦听客户机会话请求(在客户机定义的端口上)的端口。使用 dsmserv.opt 文件中的 TCPPORT 选项可指定端口号。缺省 TCP/IP 端口为 1500。