如何设置 Airgap+ 来保护 HBS 备份

最后修订日期: 2024-12-18

适用产品

NAS 型号：所有 QNAP NAS
NAS 操作系统：QTS、QuTS hero
NAS 应用程序：HBS 3 Hybrid Backup Sync 版本 25 或更高版本
路由器型号：QHora-321 或 QHora-322
路由器操作系统：QuRouter 2.4.2 或更高版本

简介

Airgap+ 是一项 QNAP 解决方案，用于创建离线备份来实现企业级数据保护。

将 QNAP NAS 设备连接到支持 Airgap+ 的 QNAP 路由器后，可以创建一个专用网络，当 HBS (Hybrid Backup Sync) 运行备份或同步作业时其中的路由器仅允许 NAS 设备之间互相连接。路由器将拒绝其他时间指向备份 NAS 的所有其他连接请求，以隔离并保护备份数据。

本教程提供有关为 HBS 备份设置 Airgap+ 环境的分步指南。

Airgap+ 选项和要求

可以选择两个设置选项，具体取决于您的需要和偏好：

	标准 Airgap+	高级 Airgap+
QNAP 路由器	Airgap+ 路由器（QHora-321 或 QHora-322）路由器必须运行 QuRouter 2.4.2 或更高版本
QNAP NAS 操作系统	QTS、QuTS hero
QNAP NAS 应用程序	HBS 3 (Hybrid Backup Sync) 版本 25 或更高版本
QNAP NAS 设备	至少两台 NAS 设备：运行 HBS 作业的源 NAS 备份 NAS	至少三台 NAS 设备：源 NAS 备份 NAS 运行 HBS 作业的桥接 NAS
QNAP NAS 设备	NAS 设备在通过 Airgap+ 路由器连接的专用网络中。源 NAS 也会连接到公共网络，是运行服务的主设备。
Airgap 限制	路由器仅在以下情况下允许连接：
Airgap 限制	源 NAS 通过 HBS 将数据传输到备份 NAS。	桥接 NAS 通过 HBS 传输来自源 NAS 的数据或将数据传输到备份 NAS。
优点	设备更少配置步骤更少	为备份 NAS 提供额外隔离层保留源 NAS 上的系统资源供其他重要任务和服务使用

标准 Airgap+

在标准 Airgap+ 设置中，源和备份 NAS 设备连接到同一 Airgap+ 路由器。当源 NAS 连接到公共网络时，也通过该路由器接入备份 NAS 所在的专用网络。

在此专用网络中，当源 NAS 运行 HBS 作业时，路由器仅允许源 NAS 访问备份 NAS。

标准 Airgap+ 工作原理

通常，仅源 NAS 可以访问路由器。备份 NAS 完全被隔离。

当源 NAS 在 HBS 中运行备份作业时，路由器允许将数据从源 NAS 传输到备份 NAS。

标准 Airgap+ 设置说明

要设置标准 Airgap+ 环境，需要先配置 Airgap+ 路由器和两种 NAS 设备，之后您才可以创建 HBS 作业以开始备份数据。

提示

准备文本编辑器或纸笔。以下说明需要在不同设备和应用程序之间复制并输入信息。

A. 配置路由器。

将源 NAS 和备份 NAS 直接连接到 Airgap+ 路由器以创建专用网络。
重要
建议为备份 NAS 配置一个静态 IP 地址。这样可确保所有设备上的 Airgap+ 设置持续有效。
- 要为连接到路由器的备份 NAS 网络适配器配置静态 IP 地址，请参见以下内容：
  - 《QTS 用户指南》或《QuTS hero 用户指南》中的“配置 IPv4 设置”。
  - 《QTS 用户指南》或《QuTS hero 用户指南》中的“配置 IPv6 设置”。
- 如果选择使用 DHCP 服务器分配 IP 地址，请确保在连接到备份 NAS 的路由器 LAN 端口上保留备份 NAS IP 地址。
  有关配置的详细信息，请参见《适用于 QHora 路由器的 QuRouter 用户指南》中的“配置局域网 (LAN) 接口设置”（“预留 IP 表”设置）。
在路由器上启用双向 TLS 连接。
1. 登录路由器操作系统 QuRouter。
2. 转到系统 > 访问控制 > 访问控制设置。
3. 启用双向 TLS (mTLS)。
获取专用网络中备份 NAS 的 IP 地址。
1. 在 QuRouter 中，转到连接的 QNAP 设备。
2. 找到备份 NAS 设备。
3. 复制备份 NAS IP 地址。
  注意事项
  - NAS 可能会列出多个 IP 地址。复制与路由器在同一 IP 范围内的 IP 地址。
    在本示例中，IP 地址为 "192.168.102.100"。
  - 在步骤 B-6c 和 D-8e 中使用此 IP 地址。
获取连接到备份 NAS 的 Airgap+ 路由器上的 LAN 端口 IP 地址。
1. 在 QuRouter 中，转到网络 > 物理接口设置 > LAN。
2. 找到连接到备份 NAS 的路由器 LAN 端口。
3. 在 IP 地址下，复制 IP 地址。
  注意事项
  使用步骤 B-6e 中的 IP 地址的最后一个数字。
  在本示例中，IP 地址 "192.168.102.1" 的最后一个数字是 "1"。
4. 在 IP 地址下，复制子网掩码。
  注意事项
  在步骤 B-6d 中指定此子网掩码。
  在此示例中，子网掩码为 "/24"。

B. 配置源 NAS。

找到连接至 Airgap+ 路由器的源 NAS 适配器。
1. 在源 NAS 上，打开“网络与虚拟交换机”。
2. 转到网络 > 接口。
3. 找到连接至 Airgap+ 路由器的适配器。
  注意事项
  在步骤 B-6f 中使用此适配器。
  在此示例中，适配器 2 已连接至 Airgap+ 路由器。
4. 复制适配器的 IP 地址。
  注意事项
  使用步骤 B-6e 中的 IP 地址的前三个数字。
  在本示例中，IP 地址 "192.168.100.100" 的前三个数字是 "192.168.100"。
在源 NAS 上创建一个静态路由规则以连接到备份 NAS。
1. 在“网络与虚拟交换机”中，转到网络 > 路由。
2. 在静态路由下，单击添加。
  此时会打开静态路由(IPv4) 窗口。
3. 在目标旁边，指定备份 NAS 的 IP 地址（请参见步骤 A-3c）。
4. 在网络掩码旁边，指定连接到备份 NAS 的路由器 LAN 端口的子网掩码（请参见步骤 A-4d）。
5. 在网关旁边，指定连接到路由器的源 NAS 适配器的 IP 地址的前三个数字（请参见步骤 B-5d），后跟连接到备份 NAS 的路由器 LAN 端口的 IP 地址的最后一个数字（请参见步骤 A-4c）。
  注意事项
  在本示例中：
  - 步骤 B-5d 提供该 IP 地址的前三个数字 ("192.168.100")。
  - 步骤 A-4c 提供该 IP 地址的最后一个数字 ("1")。
  将这两组数字联接起来得到 "192.168.100.1"。在网关字段中输入此地址。
  在步骤 D-8j 中也要使用此地址。
6. 在接口旁边，选择连接到路由器的源 NAS 适配器（请参见步骤 B-5c）。
7. 单击应用。
  网络与虚拟交换机即会添加静态路由规则。

C. 配置备份 NAS

在备份 NAS 上启用 RTRR 服务器。
这样源 NAS 上的 HBS 作业可以使用备份 NAS 作为备份目标。
1. 在备份 NAS 上，打开 HBS。
2. 转到服务 > 远程 NAS (RTRR 服务器)。
3. 在状态旁边，单击切换按钮以启用 RTRR 服务器。
4. 配置 RTRR 服务器设置。
  有关详细信息，请参见配置 RTRR 服务器。
  注意事项
  - 复制在此页面上指定的端口号，并在步骤 D-8f 中输入此端口号。
  - 记住在此步骤中配置的帐户访问方法和凭据，并在步骤 D-8g 和 D-8h 中使用。
5. 单击应用。
  HBS 即会启用已配置设置的 RTRR 服务器。

D. 在源 NAS 上创建 HBS 作业。

在源 NAS 上的 HBS 中，为备份 NAS 创建存储空间。
这样便可以保存备份 NAS 的连接设置，并在源 NAS 和备份 NAS 之间建立 Airgap+ 连接。
1. 在源 NAS 上，打开 HBS。
2. 转到存储空间。
3. 单击创建，然后单击远程 NAS。
  此时会打开创建存储空间窗口。
4. 输入一个名称来标识备份 NAS。
5. 输入备份 NAS IP 地址（请参见步骤 A-3c）。
6. 输入备份 NAS RTRR 服务器端口号（请参见步骤 C-7d）。
7. 选择您在备份 NAS 上的 RTRR 服务器设置中配置的帐户访问方法（请参见步骤 C-7d）。
8. 输入帐户访问方法的凭据（请参见步骤 C-7d）。
9. 选择使用 Airgap+ 保护远程 NAS 上的数据。
10. 输入您创建的静态路由规则中的网关 IP 地址（请参见步骤 B-6e）。
11. 输入路由器管理帐户凭据。
12. 单击创建。
  HBS 即会创建存储空间，并将其添加到存储空间列表。
  此时存储空间条目顶部应显示“受 Airgap+ 保护”。
在源 NAS 上创建备份作业。
1. 在 HBS 中，转到备份和恢复。
2. 单击立即备份，然后单击新备份作业。
  注意事项
  如果您之前创建过备份作业，请单击创建，然后单击新备份作业。
  此时会打开创建备份作业向导。
3. 按照向导中的步骤操作。
  有关详细信息，请参见创建备份作业。
创建备份作业后，请验证是否已在路由器上建立 Airgap+ 链路。
1. 在 QuRouter 中，转到网络 > 物理接口设置 > LAN。
2. 找到连接到备份 NAS 的 LAN 端口。
3. 在链路状态下，验证 LAN 端口是否带有 Airgap+ 标签。

现在即可在源 NAS 上运行 Airgap+ 保护的 HBS 备份作业。

高级 Airgap+

在高级 Airgap+ 设置中，源、备份和桥接 NAS 设备都连接到同一路由器。当源 NAS 连接到公共网络时，也通过该路由器接入备份和桥接 NAS 设备所在专用网络。

在此专用网络中，当桥接 NAS 运行 HBS 作业时，路由器仅允许桥接 NAS 访问源和备份 NAS 设备。

由于桥接 NAS 运行所有 HBS 作业，源 NAS 可以保留并分配更多系统资源供其他重要任务和服务使用。

高级 Airgap+ 工作原理

通常，仅桥接 NAS 可以访问路由器。备份 NAS 完全被隔离。

当桥接 NAS 在 HBS 中运行活动同步作业时，路由器允许将要备份的数据通过路由器从源 NAS 传输到桥接 NAS，而备份 NAS 保持被隔离状态。

完成活动同步作业后，桥接 NAS 随后会运行备份作业，路由器允许将备份数据通过路由器从桥接 NAS 传输到备份 NAS，而阻止源 NAS 访问专用网络。

高级 Airgap+ 设置说明

要设置高级 Airgap+ 环境，需要先配置 Airgap+ 路由器和所有 NAS 设备，之后才能创建 HBS 作业以开始备份数据。

提示

准备文本编辑器或纸笔。以下说明需要在不同设备和应用程序之间复制并输入信息。

A. 配置路由器。

将源、桥接和备份 NAS 设备直接连接到 Airgap+ 路由器以建立专用网络。
重要
建议为源和备份 NAS 设备配置静态 IP 地址。这样可确保所有设备上的 Airgap+ 设置持续有效。
- 要为连接到路由器的备份和源 NAS 网络适配器配置静态 IP 地址，请参见以下内容之一：
  《QTS 用户指南》或《QuTS hero 用户指南》中的“配置 IPv4 设置”。
  《QTS 用户指南》或《QuTS hero 用户指南》中的“配置 IPv6 设置”。
- 如果选择使用 DHCP 服务器分配 IP 地址，请确保在连接到 NAS 设备的路由器 LAN 端口上保留备份和源 NAS IP 地址。
  有关配置的详细信息，请参见《适用于 QHora 路由器的 QuRouter 用户指南》中的“配置局域网 (LAN) 接口设置”（“预留 IP 表”设置）。
在路由器上启用双向 TLS 连接。
1. 登录路由器操作系统 QuRouter。
2. 转到系统 > 访问控制 > 访问控制设置。
3. 启用双向 TLS (mTLS)。
获取专用网络中源和备份 NAS 设备的 IP 地址。
1. 在 QuRouter 中，转到连接的 QNAP 设备。
2. 找到源和备份 NAS 设备。
3. 复制源 NAS IP 地址。
  注意事项
  - NAS 可能会列出多个 IP 地址。复制与路由器在同一 IP 范围内的 IP 地址。
    在本示例中，IP 地址为 "192.168.100.100"。
  - 在步骤 B-6c 和 D-10e 中使用此 IP 地址。
4. 复制备份 NAS IP 地址。
  注意事项
  - NAS 可能会列出多个 IP 地址。复制与路由器在同一 IP 范围内的 IP 地址。
    在本示例中，IP 地址为 "192.168.102.100"。
  - 在步骤 B-7c 和 D-11e 中使用此 IP 地址。
获取连接到源和备份 NAS 设备的 Airgap+ 路由器上的 LAN 端口 IP 地址。
1. 在 QuRouter 中，转到网络 > 物理接口设置 > LAN。
2. 找到连接到源和备份 NAS 设备的路由器上的 LAN 端口。
3. 在 IP 地址下，复制连接到源 NAS 的 LAN 端口的 IP 地址。
  注意事项
  使用步骤 B-6e 中的 IP 地址的最后一个数字。
  在本示例中，IP 地址 "192.168.100.1" 的最后一个数字是 "1"。
4. 复制连接到源 NAS 的 LAN 端口的子网掩码。
  注意事项
  在步骤 B-6d 中指定子网掩码。
  在此示例中，子网掩码为 "/24"。
5. 复制连接到备份 NAS 的 LAN 端口的 IP 地址。
  注意事项
  使用步骤 B-7e 中的 IP 地址的最后一个数字。
  在本示例中，IP 地址 "192.168.102.1" 的最后一个数字是 "1"。
6. 复制连接到备份 NAS 的 LAN 端口的子网掩码。
  注意事项
  在步骤 B-7d 中指定子网掩码。
  在此示例中，子网掩码为 "/24"。

B. 配置桥接 NAS。

找到连接至 Airgap+ 路由器的桥接 NAS 适配器。
1. 在桥接 NAS 上，打开“网络与虚拟交换机”。
2. 转到网络 > 接口。
3. 找到连接至 Airgap+ 路由器的适配器。
  注意事项
  在步骤 B-6f 和 B-7f 中使用此适配器。
  在此示例中，适配器 5 已连接至 Airgap+ 路由器。
4. 复制适配器的 IP 地址。
  注意事项
  使用步骤 B-6e 和 B-7e 中的 IP 地址的前三个数字。
  在本示例中，IP 地址 "192.168.104.100" 的前三个数字是 "192.168.104"。
在桥接 NAS 上创建一个静态路由规则以连接到源 NAS。
1. 在桥接 NAS 上，转到网络与虚拟交换机 > 网络 > 路由。
2. 在静态路由下，单击添加。
  此时会打开静态路由(IPv4) 窗口。
3. 在目标旁边，指定源 NAS 的 IP 地址（请参见步骤 A-3c）。
4. 在网络掩码旁边，指定连接到源 NAS 的路由器 LAN 端口的子网掩码（请参见步骤 A-4d）。
5. 在网关旁边，指定连接到路由器的桥接 NAS 适配器的 IP 地址的前三个数字（请参见步骤 B-5d），后跟连接到源 NAS 的路由器 LAN 端口的 IP 地址的最后一个数字（请参见步骤 A-4c）。
  注意事项
  在本示例中：
  - 步骤 B-5d 提供该 IP 地址的前三个数字 ("192.168.104")。
  - 步骤 A-4c 提供该 IP 地址的最后一个数字 ("1")。
  将这两组数字联接起来得到 "192.168.104.1"。在网关字段中输入此地址。
  或在步骤 D-10j 中使用此地址。
6. 在接口旁边，选择连接到路由器的桥接 NAS 适配器（请参见步骤 B-5c）。
7. 单击应用。
  网络与虚拟交换机即会添加静态路由规则。
在桥接 NAS 上创建一个静态路由规则以连接到备份 NAS。
1. 在桥接 NAS 上，留在网络与虚拟交换机 > 网络 > 路由中。
2. 在静态路由下，单击添加。
  此时会打开静态路由(IPv4) 窗口。
3. 在目标旁边，指定备份 NAS 的 IP 地址（请参见步骤 A-3d）。
4. 在网络掩码旁边，指定连接到备份 NAS 的路由器 LAN 端口的子网掩码（请参见步骤 A-4f）。
5. 在网关旁边，指定连接到路由器的桥接 NAS 适配器的 IP 地址的前三个数字（请参见步骤 B-5d），后跟连接到源 NAS 的路由器 LAN 端口的 IP 地址的最后一个数字（请参见步骤 A-4e）。
  注意事项
  在本示例中：
  步骤 B-5d 提供该 IP 地址的前三个数字 ("192.168.104")。
  步骤 A-4e 提供该 IP 地址的最后一个数字 ("1")。
  将这两组数字联接起来得到 "192.168.104.1"。在网关字段中输入此地址。
  在步骤 D-11j 中也要使用此地址。
6. 在接口旁边，选择连接到路由器的桥接 NAS 适配器（请参见步骤 B-5c）。
7. 单击应用。
  网络与虚拟交换机即会添加静态路由规则。

C. 配置源和备份 NAS 设备。

在源 NAS 上启用 RTRR 服务器。
这样桥接 NAS 上的 HBS 作业可以使用源 NAS 作为同步源。
1. 在源 NAS 上，打开 HBS。
2. 转到服务 > 远程 NAS (RTRR 服务器)。
3. 在状态旁边，单击切换按钮以启用 RTRR 服务器。
4. 配置 RTRR 服务器设置。
  有关详细信息，请参见配置 RTRR 服务器。
  注意事项
  - 复制在此页面上指定的端口号，并在步骤 D-10f 中输入此信息。
  - 记住在此步骤中配置的帐户访问方法和凭据，并在步骤 D-10g 和 D-10h 中使用。
5. 单击应用。
  HBS 即会在源 NAS 上启用 RTRR 服务器。
在备份 NAS 上启用 RTRR 服务器。
这样桥接 NAS 上的 HBS 作业可以使用备份 NAS 作为备份目标。
1. 在备份 NAS 上，打开 HBS。
2. 转到“服务”>“远程 NAS (RTRR 服务器)”。
3. 在状态旁边，单击切换按钮以启用 RTRR 服务器。
4. 配置 RTRR 服务器设置。
  有关详细信息，请参见配置 RTRR 服务器。
  注意事项
  - 复制在此页面上指定的端口号，并在步骤 D-11f 中输入此信息。
  - 记住在此步骤中配置的帐户访问方法和凭据，并在步骤 D-11g 和 D-11h 中使用。
5. 单击应用。
  HBS 即会在备份 NAS 上启用 RTRR 服务器。

D. 在桥接 NAS 上创建 HBS 作业。

在桥接 NAS 上的 HBS 中，为源 NAS 创建存储空间。
这样便可以保存源 NAS 的连接设置，并在源 NAS 和桥接 NAS 之间建立 Airgap+ 连接。
1. 在桥接 NAS 上，打开 HBS。
2. 转到存储空间。
3. 单击创建，然后单击远程 NAS。
  此时会打开创建存储空间窗口。
4. 输入一个名称来标识源 NAS。
5. 输入源 NAS IP 地址（请参见步骤 A-3c）。
6. 输入源 NAS RTRR 服务器端口号（请参见步骤 C-8d）。
7. 选择您在源 NAS 上的 RTRR 服务器设置中配置的帐户访问方法（请参见步骤 C-8d）。
8. 输入帐户访问方法的凭据（请参见步骤 C-8d）。
9. 选择使用 Airgap+ 保护远程 NAS 上的数据。
10. 输入连接到源 NAS 的桥接 NAS 上的静态路由规则中的网关 IP 地址（请参见步骤 B-6e）。
11. 输入路由器管理帐户凭据。
12. 单击创建。
  HBS 即会创建存储空间，并将其添加到存储空间列表。
在桥接 NAS 上的 HBS 中，为备份 NAS 创建存储空间。
这样便可以保存备份 NAS 的连接设置，并在桥接 NAS 和备份 NAS 之间建立 Airgap+ 连接。
1. 在桥接 NAS 上，留在 HBS 中。
2. 转到存储空间。
3. 单击创建，然后单击远程 NAS。
  此时会打开创建存储空间窗口。
4. 输入一个名称来标识备份 NAS。
5. 输入备份 NAS IP 地址（请参见步骤 A-3d）。
6. 输入备份 NAS RTRR 服务器端口号（请参见步骤 C-9d）。
7. 选择您在备份 NAS 上的 RTRR 服务器设置中配置的帐户访问方法（请参见步骤 C-9d）。
8. 输入帐户访问方法的凭据（请参见步骤 C-9d）。
9. 选择使用 Airgap+ 保护远程 NAS 上的数据。
10. 输入连接到备份 NAS 的桥接 NAS 上的静态路由规则中的网关 IP 地址（请参见步骤 B-7e）。
11. 输入路由器管理帐户凭据。
12. 单击创建。
  HBS 即会创建存储空间，并将其添加到存储空间列表。
  创建两个存储空间后，HBS > 存储空间中存储空间条目的顶部应显示“受 Airgap+ 保护”。
在桥接 NAS 上创建活动同步作业，将备份数据从源 NAS 传输到桥接 NAS。
1. 在桥接 NAS 上，转到 HBS > 同步。
2. 单击立即同步，然后单击活动同步作业。
  注意事项
  如果您之前创建过同步作业，请单击创建，然后单击活动同步作业。
  此时会打开创建同步作业向导。
3. 按照向导中的步骤操作。
  有关详细信息，请参见创建活动同步作业。
在桥接 NAS 上创建备份作业，将备份数据传输到备份 NAS。
1. 在桥接 NAS 上，转到 HBS > 备份和恢复。
2. 单击立即备份，然后单击新备份作业。
  注意事项
  如果您之前创建过备份作业，请单击创建，然后单击新备份作业。
  此时会打开创建备份作业向导。
3. 按照向导选择源和目标文件夹。
  重要
  确保此备份作业中的源文件夹与刚创建的活动同步作业中的目标文件夹相同。
4. 在计划页面上，选择在此作业后运行，然后选择您刚创建的活动同步作业。
  这样每当活动同步作业完成时，备份作业都会自动运行，完成将备份数据传输到备份 NAS。
5. 按照向导中的剩余步骤操作。
  有关详细信息，请参见创建备份作业。
创建活动同步作业和备份作业后，请验证是否已在路由器上建立 Airgap+ 链路。
1. 在路由器上，转到 QuRouter > 网络 > 物理接口设置 > LAN。
2. 找到连接到源和备份 NAS 设备的 LAN 端口。
3. 在链路状态下，验证 LAN 端口是否带 Airgap+ 标签。