OracleDG几种传输加密方案教案分析.docx

DataGuard传输加密方案测试文档V1.0前言：目前机房与异地容灾机房之间的通信是利用VPN通道进行连接并且数据传输。为了进一步加强数据的安全性，现考虑从数据层也进行加密。经过虚拟机配置测试，暂时有以下几种可行方案以供参考。方案1：SSH通道概述：建立一条SSH通道，把默认的数据库监听端口1521映射到本地的其他端口，然后通过SSH的加密通道进行数据的传输。优点：配置简单，不需要支付oracle额外费用。缺点：在高并发的场景下，对性能的影响未知，需要一套对应的性能测试方案。需要利用CRONTAB定义一个脚本去频繁监控SSH通道进程是否健康运行中。测试搭建：Oracle11gR2版本 + Oracle Linux6.4 + 单实例数据库(PRIDB) +一台物理DG备库(PHYDB)On Primary:[oracle@pridb]#ssh?-CNfg?-L?1555:phydb.localdomain:1521?oracle@phydb.localdomain-- setup ssh tunnel, port forwarding from standby:1521 to primary:155[oracle@pridb]#ps?-ef|grep?CNfg|grep?-v?greporacle 2475 1 0?21:39?00:00:00?ssh?-CNfg?-L?1555:phydb.localdomain:1521?oracle@phydb.localdomain-- verify[oracle@pridb]#vi tnsnames.ora-- Modify TNS confirguration for standby as below:phydb?=??(DESCRIPTION?=????(ADDRESS?=?(PROTOCOL?=?TCP)(HOST?=?pridb.localdomain)(PORT?=?1555))????(CONNECT_DATA?=??????(SERVER?=?DEDICATED)??????(SID=?phydb)????)??)[oracle@pridb]#lsnrctl stop[oracle@pridb]#lsnrctl start-- Restart listener[oracle@pridb]#tnsping?phydb-- Verify TNSUsed?TNSNAMES?adapter?to?resolve?the?aliasAttempting?to?contact?(DESCRIPTION?=?(ADDRESS?=?(PROTOCOL?=?TCP)(HOST?=?pridb.localdomain)(PORT?=?1555))?(CONNECT_DATA?=?(SERVER?=?DEDICATED)?(SID=?phydb)))OK?(0?msec)On?Standby:[oracle@phydb]#ssh -CNfg -L 1555:pridb.localdomain:1521?oracle@pridb.localdomain[oracle@phydb]#ps?-ef|grep?CNfg|grep?-v?greporacle 2875 1 0?21:55 00:00:00?ssh?-CNfg?-L?1555:phydb.localdomain:1521?oracle@phydb.localdomain [oracle@phydb]#vi tnsnames.orapridb?=??(DESCRIPTION?=????(ADDRESS?=?(PROTOCOL?=?TCP)(HOST?=?phydb.localdomain)(PORT?=?1555))????(CONNECT_DATA?=??????(SERVER?=?DEDICATED)??????(SID=?pridb)????)??)[oracle@phydb]#lsnrctl stop[oracle@phydb]#lsnrctl start[oracle@phydb]#tnsping?pridbUsed?TNSNAMES?adapter?to?resolve?the?aliasAttempting?to?contact?(DESCRIPTION?=?(ADDRESS?=?(PROTOCOL?=?TCP)(HOST?=?phydb.localdomain)(PORT?=?1555))?(CONNECT_DATA?=?(SERVER?=?DEDICATED)?(SID=?pridb)))OK?(0?msec)测试结果：图1-图2：未经过SSH通道的网络抓包以及分析, 抓包文件双击右图打开（源文件为16进制，需要转换）图