sqlnet 白名单

What is TCP_VALIDNODE_CHECKING and How to Use It (Doc ID 462933.1)

TCP.VALIDNODE_CHECKING
Use to specify whether to screen access to the database.Value is either YES or ON

TCP.EXCLUDED_NODES
Use to specify which clients using the TCP/IP protocol are denied access to the database. Hostname and ip address can be used

TCP.INVITED_NODES
Use to specify which clients using the TCP/IP protocol are allowed access to the database. Hostname and ip address can be used.
Example sqlnet.ora file (set where the LISTENER is running) :

TCP.VALIDNODE_CHECKING = YES
TCP.EXCLUDED_NODES= (<IP ADDRESS>)
TCP.INVITED_NODES=(<IP ADDRESS, <HOSTNAME>)

。请注意，如果“邀请节点”列表中没有数据库服务器的主机名或IP地址，则PMON将不会向侦听器注册。

• 需要在TNS侦听器使用的sqlnet.ora文件中设置参数，因为这是通过侦听器的访问限制
• 对值的任何更改都需要停止并重新启动TNS侦听器。
• 所有主机名必须是可解析的，否则TNS侦听器将无法启动
• 邀请列表优先于排除列表
• 所有条目必须在一行上（最好通过Net Manager添加条目）
• SCAN和TCP.INVITED_NODES将要求将SCAN VIP和Node Vips添加到GRID Infrastructure SQLNET.ORA文件中。
  注1：  由于是侦听器检查INVITED或EXCLUDED节点，因此应将RAC环境中的sqlnet.ora文件更改更改为GRID_HOME / network / admin / sqlnet.ora
  注2：  所有侦听器（SCAN和VIP）必须对INVITED或EXCLUDED节点列表进行任何更改后，将完全重新启动（不重新加载），

tcp.invited_nodes 需要满足如下条件才可成功启动监听：
1、需要设置参数 TCP.VALIDNODE_CHECKING 为YES才能激活该特性；
2、tcp.invited_nodes的值中一定要包括本机地址（127.0.0.1 / 192.0.20.51）或localhost，因为监听需要通过本机ip去访问监听，一旦禁止lsnrct将不能启动或停止监听；
3、不能设置ip段和通配符；
4、此方式只适合tcp/ip协议；
5、此方式是通过监听限制白名单的；
6、针对的是ip地址而不是其他（如用户名等）；
7、此配置适用于9i以上版本。本次踩坑是oracle 11gr2；
8、修改配置后需要重启监听才可生效。

TCP.INVITED_NODES=(192.0.20.51,192.0.20.52)
此时再启动监听不会出现报错了。而对与TCP.EXCLUDED_NODES参数并没有以上的限制，需要将禁止访问的ip传参即可。