反用路由表实现物理隔离SAP服务器

昨天有个朋友咨询我同构System Copy的问题，由于他也担心System Copy之后外部系统连接的问题，我给他附赠了一个我的小技巧，现在我把这个技巧记录下来，供大家参考。

          SAP System Copy最需要担心的一个问题就是系统Copy过来之后，由于SAP与外部系统之间可能有接口实时连通，这个时候，Copy出来的系统一旦起来，则有可能把测试环境的数据给推送到正式的外部系统，引起系统混乱。当然 很多朋友都有自己的办法去避免这种问题的出现，无论是通过修改后台进程数量，限制后台作业起来也好，还是直接修改RFC的表使RFC失效也罢，都是可选的方案。

         就我个人的而言，现目前常用的一种方法则是：反用路由表，来实现物理隔离，使得copy出来的测试环境跟其他任何未知机器的网络都是不通的，则可以最大限度的防止数据混乱的可能。

         此种方法的原理为：

        降系统默认的路由全部删除，只添加指定需要连接的机器的静态路由，则其他机器由于没有路由就无法与COPY出的测试环境进行互通，待COPY出来的系统处理好之后，再予以开放就可以最大限度的进行控制。通过这种方法，我们还可以限制测试人员必须通过Router才能进行服务器连接，确保测试环境的独立性。

实施命令步骤为（以AIX为例，其他平台命令有些许区别，方法通用）：

netstat –rn 查看路由表：

netstat -rn

Routing tables

Destination        Gateway           Flags   Refs     Use  If   Exp  Groups

Route Tree for Protocol Family 2 (Internet):

default            192.168.0.254     UG        6    674895 en0      –      –  

127/8              127.0.0.1         U        23   2082398 lo0      –      –  

192.168.0.0        192.168.0.173     UHSb      0         0 en0      –      –   =>

192.168.0/24       192.168.0.173     U        10    366972 en0      –      –  

192.168.0.173      127.0.0.1         UGHS     62 580005983 lo0      –      –  

192.168.0.255      192.168.0.173     UHSb      0         4 en0      –      –  

Route Tree for Protocol Family 24 (Internet v6):

::1%1              ::1%1             UH        1    101761 lo0      –      –  

使用route add和delete修改路由表：

route add -host 192.168.0.202  192.168.0.254   —-添加管理机器的IP（这个IP可以是中转服务器，也可以是自己的笔记本，不添加的话，后面自己也远程不了了）

route delete -host default 192.168.0.254     —- 删除全局默认的路由

route delete -host 192.168.0.0 192.168.0.205 —-删除同网段的默认路由

route delete -host 192.168.0/24 192.168.0.205  —删除同网段的默认路由

确认修改后的路由表：

hostname//netstat -rn

Routing tables

Destination        Gateway           Flags   Refs     Use  If   Exp  Groups

Route Tree for Protocol Family 2 (Internet):

 

127/8              127.0.0.1         U        23   2082398 lo0      –      

192.168.0.202      192.168.0.254     UGH       0         7 en0   –      —我们手动添加的路由

192.168.0.173      127.0.0.1         UGHS     62 580005983 lo0      –      –  

192.168.0.255      192.168.0.173     UHSb      0         4 en0      –      –  

Route Tree for Protocol Family 24 (Internet v6):

::1%1              ::1%1             UH        1    101761 lo0      

确认网络隔离成功，除202之外的其他服务器,ping是直接报无法访问的：

0821-069 ping: sendto: Cannot reach the destination network.

ping: wrote 192.168.0.2 64 chars, ret=-1

0821-069 ping: sendto: Cannot reach the destination network.

ping: wrote 192.168.0.2 64 chars, ret=-1

^C

— 192.168.0.2 ping statistics —

2 packets transmitted, 0 packets received, 100% packet loss

模拟问答：

问题1：这种方法看起来跟防火墙差不多，用防火墙是否可以实现？

答：理论上用防火墙也可以实现，不过默认防火墙一般是防止外部访问自己，对出站的连接是不做防护的，所以对于防止数据错乱来讲，需要手动添加防止出站的策略，相比较而言，路由表更简单，更彻底。

问题2：此方法跟网管配置交换机做vlan，做隔离有何区别，为啥不用交换机实现？

答：通过网管来配置交换机，划vlan等等当然可以实现物理隔离，很多大公司搭建灾备环境的时候就需要通过网管搭建一套一模一样的隔离环境，这个技术上没有任何问题，但是对于BASIS来讲，如果要配置交换机来实现，需要寻求网管的帮助，有沟通成本，时效性也难以保证，难以把控。而通过路由表自行控制则一切是自己说了算，非常方便灵活。

问题3：你是怎么想到这个方法的？

答：路由表这个东西非常的常用，很多人都知道，但是一般情况下都是添加路由表，实现双线访问或者VPN，外网同时在线等功能，我个人第一次使用静态路由表也是为了双网卡实现一条网线访问内网，一条ADSL访问外网。在一个PI的灾备项目中，为了尽可能保证项目的安全，我测试了删除路由表来进行物理隔离的方法，效果非常好，就一直沿用至今。我个人一直有个观点，就是尽可能的去利用你所学到的所有东向西，除了正着用以外，也可以反着用，很多时候都会有意外的收获。

转载自莫贵阳的技术Blog.

原文链接：http://www.sapmogy.com/?p=122