为何客户端到数据库scan ip防火墙通却报错ORA-12170

开发尝试从客户端连接到数据库报错ORA-12170，数据库一直正常运行、连接串也正确

一般该报错与防火墙拦截有关，但开发反馈到scan ip防火墙策略已开通，telnet也正常

 

解决方法：

不仅要开通到scan ip的防火墙策略，还需要开通到vip的防火墙策略

 

关于Oracle RAC的scan ip与vip

为什么还需要开通vip的防火墙策略，可以参考下图

https://orainternals.files.wordpress.com/2012/04/2012_326_riyaj_scan_vip_haip_doc.pdf

SCAN IP：在oracle 11gR2中，SCAN  IP是作为一个新增IP出现的, scan ip其实是oracle在客户端与数据库之间，新加的一个连接层，当有客户端访问时，连接到 SCAN IP LISTENER， 而SCAN IP LISTENER接收到连接请求时，会根据 LBA 算法将该客户端的连接请求，转发给对应的instance上的VIP LISTENER，从而完成了整个客户端与服务器的连接过程。简化如下：
client -> scan listener -> local listener -> local instance

你也可以把scan理解为一个虚拟主机名，它对应的是整个RAC集群。客户端主机只需通过这个scan name即可访问数据库集群的任意节点。当然访问的节点是随机的，oracle强烈建议通过DNS Server的round robin模式配置解析SCAN，实现负载均衡（即轮换连接SCAN对应的IP地址）。这有点类似通过vip和listener loadbalance配置实现负载均衡的原理。

 

那么有了Virtual ip后为什么还增加了一个SCAN IP呢？

在oracle 11.2之前，client链接数据库的时候要用vip，假如你的oracle cluster有4个节点，那么客户端的tnsnames.ora中就对应有四个主机vip的一个连接串，如果cluster增加了一个节点，那么对于每个连接数据库的客户端都需要修改这个tnsnames.ora。

引入了scan以后，就方便了客户端连接的一个接口，顾名思义 single client access name ，简单客户端连接名，这是一个唯一的名称，在整个公司网络内部唯一，并且在DNS中可以解析为三个ip地址，客户端连接的时候只需要知道这个名称，并连接即可， 每个SCAN VIP对应一个scan listener，cluster内部的service在每个scan listener上都有注册，scan listener接受客户端的请求，并foward到不同的Local listener中去，还是由local 的listener提供服务给客户端。scan ip主要是为了简化客户端连接，假如你的oracle 集群有20个节点，客户端连接的时候，是不是需要配置20个vip，如果用scan，只需要一个scan name就行了，剩下的事情，scan帮你做了。

 

参考

https://blog.51cto.com/xjsunjie/1547128

https://rajeevjhaoracle.wordpress.com/2014/05/17/what-is-scan-in-rac/