©作者：eygle 发布在 eygle.com

在Oracle数据库中，我们可以通过SQLNET.ora文件实现地址访问限制。

在SQLNET.ora文件中设置以下参数可以实现IP访问限制：

tcp.validnode_checking=yes 
tcp.invited_nodes=(ip1,ip2......) 
tcp.excluded_nodes=(ip1,ip2......)

在未设置这些参数前，测试数据库可以正常访问：

D:\>tnsping eygle

TNS Ping Utility for 32-bit Windows: Version 10.2.0.3.0 - Production on 28-1月 -2008 14:52:52

Copyright (c) 1997, 2006, Oracle.  All rights reserved.

已使用的参数文件，:
C:\oracle\10.2.0\network\admin\sqlnet.ora

已使用 TNSNAMES 适配器来解析别名
Attempting to contact (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = 172.16.33.11)(PORT = 1521))) (CONNECT_DATA = (SERVICE_NAME = eygle)))
OK (30 毫秒)

当设置参数之后：

[oracle@jumper admin]$ cat sqlnet.ora
# SQLNET.ORA Network Configuration File: /opt/oracle/product/9.2.0/network/admin/sqlnet.ora
# Generated by Oracle configuration tools.

NAMES.DIRECTORY_PATH= (TNSNAMES, ONAMES, HOSTNAME)

tcp.validnode_checking=yes
tcp.invited_nodes=(172.16.33.11,172.16.34.89)

重新启动监听器使设置生效：

[oracle@jumper admin]$ lsnrctl start

LSNRCTL for Linux: Version 9.2.0.4.0 - Production on 28-JAN-2008 14:42:01
Copyright (c) 1991, 2002, Oracle Corporation.  All rights reserved.
Starting /opt/oracle/product/9.2.0/bin/tnslsnr: please wait...

TNSLSNR for Linux: Version 9.2.0.4.0 - Production
System parameter file is /opt/oracle/product/9.2.0/network/admin/listener.ora
Log messages written to /opt/oracle/product/9.2.0/network/log/listener.log
Trace information written to /opt/oracle/product/9.2.0/network/trace/listener.trc
Listening on: (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=172.16.33.11)(PORT=1521)))

Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)(PORT=1521)))
STATUS of the LISTENER
------------------------
Alias                    LISTENER
Version                  TNSLSNR for Linux: Version 9.2.0.4.0 - Production
Start Date                28-JAN-2008 14:42:01
Uptime                    0 days 0 hr. 0 min. 0 sec
Trace Level              support
Security                  ON
SNMP                      OFF
Listener Parameter File  /opt/oracle/product/9.2.0/network/admin/listener.ora
Listener Log File        /opt/oracle/product/9.2.0/network/log/listener.log
Listener Trace File      /opt/oracle/product/9.2.0/network/trace/listener.trc
Listening Endpoints Summary...
  (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=172.16.33.11)(PORT=1521)))
Services Summary...
Service "eygle" has 1 instance(s).
  Instance "eygle", status UNKNOWN, has 1 handler(s) for this service...
Service "julia" has 1 instance(s).
  Instance "eygle", status UNKNOWN, has 1 handler(s) for this service...
The command completed successfully

我们再来看客户端的访问：

D:\>tnsping eygle

TNS Ping Utility for 32-bit Windows: Version 10.2.0.3.0 - Production on 28-1月 -2008 14:53:19
Copyright (c) 1997, 2006, Oracle.  All rights reserved.

已使用的参数文件:
C:\oracle\10.2.0\network\admin\sqlnet.ora


已使用 TNSNAMES 适配器来解析别名
Attempting to contact (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = 172.16.33.11)(PORT = 1521))) (CONNECT_DATA = (SERVICE_NAME = eygle)))
TNS-12547: TNS: 丢失连接

需要注意的是一定要将本地地址，或者Cluster群集其他节点的地址都加入到允许列表，否则监听器可能无法启动。
修改参数之后，重启监听器设置即可生效。

通过监听器的限制，通常属于轻量级，比在数据库内部通过触发器进行限制效率要高。

-The End-

相关文章|Related Articles

• Oracle的监听口令及监听器安全
  
• 案例学习:inode耗尽导致No space left on device错误
  
• 如何更改监听器日志文件名称
  

评论数量(0)|Add Comments

本文网址：http://www.eygle.com/archives/2008/01/sqlnetora_ip_limit.html

Oracle性能分析入门学习中，遇到Oracle数据库的性能问题，一般首要的步骤就是导出AWR的分析报告，AWR是10g中新引入的一个工具，在这之前一般是利用statspack。要导出AWR报告，只要利用Oracle的一个脚本即可以完成，下面是我利用script录制的一段导出AWR report的过程。
首先进入$ORACLE_HOME/rdbms/admin目录，在sqlplus下运行@awrrpt脚本，按照提示一步一步就可以达成，导出的格式有两种，txt格式和html格式。

在OTN上，有一个DBA新feature系列，第六周就是专门讲的这个feature，大家可以去那里了解一下（中文的）

Script started on Sun 27 Jan 2008 08:47:15 PM PST
[ractest@sun880-1 /u01/app/oracle/orahome/rdbms/admin]$ cd $ORACLE_HOME/rdbms/admin

[ractest@sun880-1 /u01/app/oracle/orahome/rdbms/admin]$ sqlplus / as sysdba

SQL*Plus: Release 10.2.0.4.0 - Production on Sun Jan 27 20:47:38 2008

Copyright (c) 1982, 2007, Oracle. All Rights Reserved.

Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 - 64bit Production
With the Partitioning, Real Application Clusters, OLAP, Data Mining
and Real Application Testing options

SQL> @awrrpt
(more…)

Share This

上午同事在msn上发过来他收到的两qq消息,不知道真假,不过我觉得极有可能是真的.

第一条是:

弱电之家(*******) 09:54:08 我家就住高速公路旁边，昨天早上害我早餐都没有吃。从高速上下来一帮饿鬼，三天没有吃东西的，把我们附近的早餐店洗劫一空

第二条是:

俊(********) 10:40:59 刚听我同事说，堵在高速上的大巴车为了剩油，不能开空调，乘客互相抱着取暖

唉,不知道说啥好了,才多大个雪,就这样了.

如果第一条是真的,那些人还是不错的,三天没吃东西,还能”抢”人家的早餐店,不知道看了是该哭还是该笑,和谐社会,难道就是这么和谐的?真是觉得奇怪呀.电视上不是说保证有免费的开水,保证食物不涨价吗?

如果第二条是真的,估计不少人开始YY了,觉得要是有个美女在旁边,抱着取暖也不错,可是,这种艳遇真的有人愿意摊上吗?

总之无语了,中国的春运,本来就麻烦,再碰上坏的天气那就是雪上加霜,希望我回家的时候,天气好转.

That’s what Stephane Faroult claims in the third part of his three part video series about SQL database performance best practices (shown below). Do you agree with him?

For sure, there exist young database developers whose level of expertise is still very shallow. But, isn’t that how we all started? As you grow older and learn and try new things, you gain more experience and you become less and less clueless.

So, older developers have more experience than younger ones. But, younger developers tend to be more energetic and learn new things faster. This is of course a theory and a generalization as much as it is common sense. What do you think?

Now, do you mind If I ask you this question: (more…)

---
Related Articles at Eddie Awad's Blog:

• Open source databases
• The world’s largest database runs Oracle
• Bad Code Costing Oracle Millions
• A Thank You and a Couple of Pictures
• Indirect Privilege Escalation And Defeating Virtual Private Databases

主子表的并发控制，一般是通过主外键的约束来实现。通过这种方式，保证子表插入数据的情况下，主表不能将记录删除。目前碰到一个问题，无法通过主外键的约束来控制并发访问。这篇讨论目前的问题，无法使用主外键进行并发控制的情况。无法利用主外键时控制主子表的并发访问（一）：http://yangtingkun.itpub.net/post/468/453295目前的问题是，数据库表结构采用下面的设计：SQL> DESC T_P 名称 是否为空? 类型 -------------------- -------- ------------------------ ID NOT NULL NUMBER FLAG VARCHAR2(1)SQL> DESC T_F 名称 是否为空? 类...